gestiÓn de tecnologÍas de la informaciÓn y la código: … · 2020. 6. 8. · gestiÓn de...
TRANSCRIPT
DE ALCALDÍA
----iiiiii----
' u
MAYOR BOGOTÁ D.G.
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN .TIC
Código: 4ES-GTIC-D-03
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión: 1 Página: 1 de 21
Objetivo: Este documento presenta la metodología de gestión de riesgos de los activos de información.
Alcance: La presente metodología definida en el presente documento aplica para los recursos informáticos del proceso de gestión tecnología Instituto distrital de las artes - !darles.
Fecha de Aprobación Responsable del
Documento Ubicación '
30 de Julio de 2018 Área de Sistemas Página Intranet:
http://comunicartaidarteszvco/idartes
HISTÓRICO DE CAMBIOS
Versión Fecha de Emisión Cambios realizados
01 Julio 2018 Emisión Inicial Oficinas Participantes
Subdirección Administrativa y Financiera Oficina Asesora de Planeación
Elaboró:
Luis Albeiro Cortés Contratista Área de TIC
Aprobó:
Juan C Profesional
\
Liliana Valencia Subdirectora
de
Financiera
o nhi TI
Administrativa
billos sitario
r
Mejía
Área
-71
y
Validó
---N._
,
ce Camila Cr spo Murillo
Contratista Oficina Asesora de
Planeación
'
Aprobó
L s er an Jefe Oficina
Planeación
t•-
M 'ía Castro ora de
Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idadesmov.co se considera COPIA NO CONTROLADA
BOGOTA
PARA TODOS
.. GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
> ALCALCEA MAYOR DE BOGOTÁ D.C.
-c-u- TuliAlltgl'Eact-gNiati-----
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión: 1 Página: 2 de 21
CONTENIDO CONTENIDO 2 INTRODUCCIÓN 4
OBJETIVO DEL DOCUMENTO 4 ALCANCE 5 METODOLOGÍA 5 CRITERIOS DE ACEPTACIÓN DEL RIESGO 7 IDENTIFICACIÓN DE RIESGOS 8
5.1 IDENTIFICACIÓN DEL ACTIVO 9
5.2 IDENTIFICACIÓN DE LAS AMENAZAS 9
5.3 IDENTIFICACIÓN DE LAS VULNERABILIDADES 10
5.4 IDENTIFICACIÓN DE ESCENARIOS DE RIESGOS 10 ESTIMACIÓN DEL RIESGOS 11
6.1 ANÁLISIS DEL RIESGO 11
6.1.1 Probabilidad 12
6.1.2 Impacto 12
6.1.3 Nivel Riesgo 14
6.2 EVALUACIÓN DEL RIESGO 14
6.3 IDENTIFICACIÓN DE LAS CONSECUENCIAS 15
6.4 IDENTIFICACIÓN DE LOS CONTROLES EXISTENTES 16 TRATAMIENTO DEL RIESGO 17 POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO 18 COMUNICACIÓN DE LOS RIESGOS 19
MONITOREO Y REVISIÓN DEL RIESGO 19 NORMATIVA 20
DEFINICIONES 20
Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarteidartes.qov.co se considera COPIA NO CONTROLADA
p9GOTA MEJOR PARA TODOS
> GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
ALCALDÍA PAAYOR DE BOGOTÁ D.C.
-------
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SCSI Versión. 1
.3 Página de 21
LISTA DE FIGURAS
Figura 1. Proceso de gestión del riesgo de la seguridad de la información 5 Figura 2. Proceso de gestión del riesgo DAFP 6 Figura 3. Matriz de activos de información 9 Figura 4. Identificación del riesgo 11 Figura 5. Estimación del riesgo 16 Figura 6. Actividades tratamiento del riesgo 17 Figura 7. Tratamiento del riesgo 18
LISTA DE TABLAS
Tabla. 1. Etapas de la Gestión del Riesgo en el SGSI 7 Tabla 2. Matriz de Calificación, Evaluación y respuesta a los Riesgos 14
Este es un documento controlado una vez se descargue ose imprima de la intranet: httn://comunicarte.idartes.qov.co se considera COPIA NO CONTROI,ADA
pC?GOTA MEJOR PARA TODOS
DE ALCALDIA
>
e, MAYOR
BOGOTÁ O C.
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión. 1
-----,--- Página::
de 21
INTRODUCCIÓN
Cualquier tipo de organización independiente de su tamaño y tipo afronta factores tanto internos como externos
que pueden afectar uno de los activos más importante de la organización la información.
Todas las actividades de una entidad y/o organización involucran riesgos y de una forma u otra los gestionan
mediante su identificación, análisis y su respectivo tratamiento. El presente documento establece las directrices
para la gestión del riesgo basándose en la guía del DAFP (Departamento Administrativo de la Función Pública y a
la guia de gestión de riesgos del MSPI (Modelo de Seguridad y privacidad de la información), sin olvidar los
estándares internacionales como la NTC-ISO/IEC 27005 y la NTC-ISO 31000.
Para el desarrollo de la gestión del riesgo se tomó como base el conjunto de los activos de información calificados
con importancia "ALTA", identificando las amenazas y vulnerabilidades, probabilidad e impacto presentes en los
activos de información, todo lo anterior llevado en una matriz de Gestión de riesgo la cual se puede encontrar en
el archivo anexo 'Matriz riesgos SCSI IDARTES.xlsx".
1. OBJETIVO DEL DOCUMENTO
Presentar la metodología de gestión de riesgos de los activos de información de TI del Instituto Distrital de las
Artes - IDARTES con el fin de que dicha actividad pueda realizarse de manera estándar.
Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idartesmov.co se considera COPIA NO CONTROLADA
BOGOTA
PARA TODOS
VALORAGIOt1 DEL RIESGO
ANÁLISIS DEL RIESGO
IDENTIFICACIÓN DEL RIESGO
ESTIMACIÓN DEL RIESGO
1 ESTABLECIMIENTO DE CONTEXTO
DEGISION SOBRE El RIESGO PUNIR I Vattielen satflaciola
TO
RE
O Y
RE
VIS
ION
DE
L R
IES
SI
TRATAMIENTO DEL RIESGO
GEERS10/2 SOWIE EL RIESGO PU1110 if/11.111101110 5d05.50710
SI
ACEPTACIÓN Da RIESGO
U EVALUACIÓN DEL RIESGO
DE ALGAISILA
--------
u
111AVOR BOGOTÁ D.G.
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión. 1 Página:
.5 de 21
ALCANCE
La identificación, análisis y gestión de los riesgos está limitado solo a los activos de información que tienen una
clasificación como ALTA dentro del inventario de activos de información.
METODOLOGÍA
El proceso de gestión de riesgo en la seguridad de la información está basado en las normas NTC-ISO/IEC
27005 y la NTC-ISO 31000
Figura 1. Proceso de gestión del riesgo de la seguridad de la información
Fin de la primera iteración o de las posteriores
Fuente: NTC-ISODEC 27005
Este es un documento controlado una vez se descargue ose imprima de la intranet: http://comunicarte.idartesoov.co se considera COPIA NO CONTROLADA
BoGOTA
PAI4rODD
%? , ALCALDIA MAYOR
-;v1.51:122-1-9,5=
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión: 1 Página: 6 de 21
Figura 2. Proceso de gestión del riesgo DAFP
ldentifi‘cián del Riesgo jan& puede suceder?
¿arad puede suceder?
vs
O u Aaá ists dPI Riesgo ).• DetenrInn Prebabilided
Detennquir Coersecuenchre u
Determinar Nivel de Riesgo
E o Valorticlén del Riesgo
Identificar c enroles pera el time
Verificar la theta/Wad de los can al
Fuente: Guia gestión del riesgo DAFP
Este es un documento controlado; una vez se descargue ose imprima de la intranet httolicomunicarte.idartes.nov.co se considera COPIA NO CONTROLADA
BoGoTA PARAMEJO
TODOS
DE ALcALoharkwavon
----..----
— .
BOGOTÁ D.C.
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSIInstituto
Versión. 1 .7 Página: de 21 Disuital da os Ntss
El enfoque del análisis del riesgo en la Seguridad de la Información se estable de acuerdo al ciclo PHVA.
Tabla. 1. Etapas de la Gestión del Riesgo en el SCSI
CICLO PHVA PROCESO DE GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA— INFORMACIÓN
Planear Establecer el contexto Valoración del Riesgo Planificación del tratamiento del riesgo Aceptación del Riesgo
Hacer o implementar Implementación del plan de tratamiento del riesgo
Verificar o Gestionar Monitoreo y revisión continuos de los riesgos
Actuar (Mejora Continua) Mantener y mejorar el proceso de gestión del riesgo en la seguridad de la información
Fuente: Guía Gestión de Riesgos MSPI-MINC TIC
4. CRITERIOS DE ACEPTACIÓN DEL RIESGO
El instituto de acuerdo con el alcance dado se establece los siguientes criterios:
Evaluación del Riesgo:
Se evalúan los activos con criticidad ALTA.
Los requisitos legales y reglamentarios contemplados en el normograma de IDARTES, así como las
obligaciones contractuales.
La importancia de la disponibilidad de la confidencialidad, e integridad de la información para las
operaciones y la entidad.
Las expectativas y percepciones de las partes interesadas y las consecuencias negativas para el buen
nombre y la reputación de la entidad.
Criterios de Impacto
Nivel de Afectación del grupo de interesados del negocio.
Brechas en la seguridad de la información. Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarte.idartes.gov.co se considera
COPIA NO CONTROLADA
80GoTA PARVOIDli
DE ALGALDIA
>
4 . r• MAYOR
BOGOTÁ D G.
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión. 1
=Kr j=,-zrAr,er *8 Página: de 21
Incumplimiento de metas y objetivos de IDARTES.
Pérdida de confianza de la entidad afectando su reputación.
Perdidas de información para la Entidad.
Aceptación del Riesgo
El Instituto debe fijar sus propias escalas para los niveles de aceptación del riesgo considerando los
siguientes aspectos:
Umbrales múltiples, con una meta de nivel de riesgo deseable
La relación entre el beneficio estimado (u otros beneficios del negocio) y el riesgo estimado requisitos
para tratamiento adicional en el futuro, por ejemplo, se puede aceptar un riesgo si existe aprobación y
compromiso para ejecutar acciones que reduzcan dicho riesgo hasta un nivel aceptable en un periodo
definido de tiempo.
5. IDENTIFICACIÓN DE RIESGOS
A continuación, se presentan una serie de etapas propuestas para la Generación del análisis de riesgos de las
Entidades, basadas la norma 15027005.
El objetivo de la identificación de riesgos es determinar que podria suceder que cause una perdida potencial y
llegar a comprender el cómo, dónde y por qué podría ocurrir pérdida. Las causas pueden ser internas o externas,
según lo que haya identificado la Entidad a través del Contexto estratégico.
Es importante establecer cuáles son los activos críticos para asociados a los procesos correspondientes y de allí
generar el listado de procesos críticos. Inventariar los activos de información sensible y revisar los proceesos
según la clasificación.
Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarte.idartes.qov.co se considera COPIA NO CONTROL,ADA
BoGoTA PARA TODOSPA
' „ ,
ALCALWA PAAYOR
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30107/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión: 1 DE BOGOTA D.C.
-------,---- Página: 9 de 21
5.1 IDENTIFICACIÓN DEL ACTIVO
La clasificación de activos de información se llevó a cabo en por medio del diligenciamiento del documento
"Matriz activos de Información de TI IDARTES.xlsx", en la cual se establecieron los activos de mayor criticidad.
Figura 3. Matriz de activos de información
"Tc ,
MATRIZ DE INVENTARIO Y VALORACIÓN DE ACTIVOS DE TI
D__t Id.....S.." .....
P.p, *bu ce
«3 F.
- brubbla 14.....lail.
44444•443, 1 0...../
L..........4.r. bere...1 Gara. ,...n..........„ ir......., ,......ssis Ve.
G... ,,,,,..,..... enea. Un.. e.na
.
cta..
.
Kb.. be. bu.
301.301 MG 133520
di ca"'"' cc...anta roba 4•1••••1
rEkTICOGE 0.12.ERCJJTAN 10A0 10121 MEGA MeGnáln baba dr
....... 1...... bobeo
1 Ritt
by.. I no. atan
SIIIMMUI 13M MI.GD.
bar. sub roub RJ44/1.4.0 MMAIM PCIAM PC. ...Gr.!. ,........
µburs.... es..
lb.. bar Mur FI•12
3 1.0.41193.
56.442M HP ~lb rt.3513
14.4......... ur pm..
r.....i.R0 .-...-"'
Mor. babor
Cre..... 14......
14...... 4. POS3
4 M.4.. Irib s.. -14GYÓGIGMVALL ~DM
to........ un halown é CAtLL U
A.,.1.11.4.4141.4
G.M.
In....`"
1....
G...... s....,...Lea ennmeede liabas
,~1.......
1.033
Suba NOS.0320 Senv etollita t...,*.,. Cal/ C n ca
c....ante. U 9
Fuente: autor
5.2 IDENTIFICACIÓN DE LAS AMENAZAS
Una amenaza es la causa potencial de un incidente no deseado, que puede provocar daños a los activos,
aplicativos, sistema de información o a la organización.
Las amenazas pueden ser de origen natural o humano y podrían ser accidentales o deliberadas es recomendable
identificar todos los origenes de las amenazas accidentales como deliberadas.
Algunas amenazas pueden afectar a más de un activo y en tales casos pueden causar diferentes impactos
dependiendo de los activos que se vean afectados. En el documento de la matriz en Excel se puede encontrar las
amenazas comunes por el tipo de activo de información, así como el origen de las mismas de acuerdo a las
recomendaciones de NTC-ISO-IEC27005.
Este es un documento controlado: una vez se descargue ose imprima de la intranet: http://comunicarteldartes.gov.co se considera COPIA NO CONTROL,ADA
1.0GOTA MEJOR PARA TODOS
DE
.. GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
ALCALDM
-----.----
Y , MAYOR
BOGOTÁ D.C.
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS • SGSI Versión: 1 Página: 10 de 21 do las Anos
5.3 IDENTIFICACIÓN DE LAS VULNERABILIDADES
Una vulnerabilidad es debilidad de un activo o control que puede ser explotada por una o más amenazas. Una
vulnerabilidad que no tiene una amenaza correspondiente puede que no !quiera de la implementación de un
control, pero se recomienda que se mantenga monitoreada. Por el contrario, una amenaza que no tiene una
vulnerabilidad correspondiente puede no resultar en un riesgo.
Para compendiar el listado se puede llevar mediante entrevistas a usuarios y administradores de los diferentes
sistemas, inspección física, análisis de documentos, listado de vulnerabilidades comunes y la utilización de
herramientas para la identificación de vulnerabilidades.
En el documento de la matriz en Excel se puede encontrar las vulnerabilidades comunes de acuerdo a las
recomendaciones de NTC-ISO-IEC27005.
5.4 IDENTIFICACIÓN DE ESCENARIOS DE RIESGOS
Una vez identificadas las amenazas y vulnerabilidades, se procede a definir escenarios de riesgos determinando
las posibles consecuencias, daños temporales o permanentes a causa de ocurrencia de un incidente donde una
amenaza explote una vulnerabilidad o conjunto de vulnerabilidades.
Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarteldartes.gov.co se considera COPIA NO CONTROLADA
BoGoTA PARA P
. GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03 u „
ALCALDÍA MAYOR DE BOGOTA D.C.
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión
: 1
Página: 11 de 21
Figura 4. Identificación del riesgo Identificación del riesgo
MI or medOn del Activo Criticklad ALTA Amenaza Vuhnebidad Eseenacbde riesgo ID
Activo Tico Nomine del Ackno de
Harem& Onen~1
observacknn
5 Reidor* ;Reto 5ERV005RREWALL
CELL W20
Acceso •scoonm no ~dudo Inciadaelentlespraeffide Accno ro, eutodz edad* ~rones • •014301 y
genikkaes debido e La mala ~In de conligtaaciones de ~Wad
Uso broceo de sonyans Usono acepe *le de eciens
Dala paletean pules
Gestión hadecueda de tient/apanes
Dama bc eceigos y tenkbee Paced. No oírte conciente é y lomeo& en seigneded No *cine papenÁsión do matos denuo de la otganizeoln
funoinunot 54 t•10•10S,
Recoso& coneczacgabef Mento
Denntelade~ce denteles Deneseln o dan° litkos detko • ~den& erranaMes amenes y ole inocnecto de los crlirrrsntiann a' rotemesabkadardesancto
Usoatencen, de *nunca
rallada rnationimierm
de «Nom
GeriSncl• cambios iiefkirm Falas pacciales o males de n'ices delic$5 erro realziaMnédas dem/nen:Nem
blenenbedentohp.iblente No eiMe gestiende aulas Rarlioacidn ymcritoitz bollo de capacidad
Ed4po de con lundonm de seeedow de
Fiewalpociatien Fuego
No editen ~oí de deteccelcideinancles %Mi paielal o mal del sentioo equipe causado potinundacknes t'incendio. No 'list eneTipos de ~tido de Incendios
%cede de ~codo encola Suscopublind a las ~1 ~es de volieke tildad ente prestación de senollio uno
a usuarias icemos carro wenn,. debido a probiernat o «nes irlos temidos palcos
Manip4acI5ndelesecidpcd
No evEne coneol de los eetMrs luna de les innelichnes Manyndaciln de bs «pipa de ~te esdebkla. debido a la mala genial de aotkos. comal de
mertem y polleras de dspesitines croan No oeste pocadmiento pasa el amolde carrbko No elinenpciticas pata el uso de crup:cebes ~es Uso no eoeoceble de activos
Polvo.lunaded. cononón Excesio4n e Inenecled. Polon, suciedad
izan parciales o males en *I luicinunientode bs ecp.Oos y serddcas debido no caes cenia implemenuoldnde coman when/nenel isee dando se encuentren alojados.
as~5n de rnedios mcndados o desunidos
No nene genl5n de aceros thalgnácndeMonnecioned faba de Peeedieientos pata chnanelod• meceos e decoluclen de activos d•R No enlosen pocearriento pesa deuolueln de bayos
Fuente: Autor
6. ESTIMACIÓN DEL RIESGOS
En la fase de la estimación del riesgo presenta de una cualitativa la probabilidad de ocurrencia del riesgo y el
impacto de este.
6.1 ANÁLISIS DEL RIESGO
Se realiza una estimación, de cuál podría ser la probabilidad de ocurrencia del riesgo y el impacto que traería
éste, en caso de materializarse.
Este es un documento centrolado; una vez se descargue ose imprima de la intranet http://comunicarteidartes.qov.co se considera COPIA NO CONTROLADA
BoGoTA MEJOPAF00R
-- DE
• GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
ALCALOtA
-- y
.0. . MAYOR
BOGOT ÁSto-,
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión: 1 Página: 12 de 21
6.1.1 Probabilidad
La posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se ha materializado
(por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de
factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.
Para hallar la probabilidad se debe responder las siguientes preguntas
¿Cuál es la probabilidad estimada del riesgo?
¿Cuántas veces ha ocurrido el riesgo?
¿Cuántas veces realiza la actividad que genera el riesgo?
La medición de la probabilidad se establéce de forma cuantitativa:
Raro (1): El evento puede ocurrir solo en circunstancias excepcionales, no se ha presentado en los últimos 5
años.
Improbable (2): El evento puede ocurrir en algún momento, ha sucedido al menos una vez en los últimos 5 años
Posible (3): El evento podría ocurrir en algún momento, ha sucedido al menos una vez en los últimos 2 años.
Probable (4): El evento probablemente ocurrirá en la mayoria de las circunstancias, ha sucedido al menos una
vez el último año.
Casi Seguro (5): Se espera que el evento ocurra en la mayoría de las circunstancias, ha sucedido más de una
vez el último año.
6.1.2 Impacto
Se entiende por impacto las consecuencias que puede ocasionar a la organización la materialización del riesgo.
Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarteldartesoov.co se considera COPIA NO CONTROL,ADA
5?GOTA MEJOR PARA TODOS
DE ALCALDM MAYOR
BOGOTÁ D.C.
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS- SCSI Versión: 1
Página: 13 de 21
¿Afectar al grupo de funcionados del proceso?
¿Afectar el cumplimiento de las metas y objetivos de la dependencia?
¿Generar pérdida de confianza de la entidad, afectando su reputación?
¿Generan pérdida de recursos a la entidad?
¿Afecta la generación de productos o la prestación de servicios?
¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida de bien o servicios o los recursos públicos?
¿Generar pérdida de información a la entidad?
¿Dar lugar a procesos sancionatorios, disciplinarios y/o fiscales?
¿Generar pérdida de credibilidad del sector?
¿Ocasionar lesiones física o pérdida de vidas humanas?
La medición de la probabilidad se establece de forma cuantitativa:
Insignificante (1): efecto adverso de rápida solución, sin perjuicios a la operación, imagen, sin pérdidas
financieras, de activos o afectación de individuos dentro de la organización.
Menor (2): efecto adverso limitado en las operaciones, activos o imagen de la organización, se puede contener
inmediatamente, pérdida financiera media. En individuos afectación mínima a la salud.
Moderado (3): efecto adverso que afecta en mediana proporción las funciones primarias de la empresa, su
solución no es inmediata y podría requerir costos adicionales, pérdida financiera alta. En individuos incapacidad
temporal o afectación leve a la salud.
Mayor (4): efecto adverso grave en las operaciones o activos de la organización que podría ocasionar que la
empresa continúe realizando sus funciones primarias, pero considerablemente reducidas. Pérdida financiera
mayor. En individuos incapacidad permanente o afectación significativa a la salud.
Catastrófico (5): muerte, pérdida financiera elevada con posibilidad mínima de recuperación
Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idartes.qov.co se considera COPIA NO CONTROLADA
eoGoTA PAMOILNI
irc x
ALCALDÍA MAYOR DE BOGOTÁ D.C.
------...---
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión.
* 1 Página: 14 de 21
6.1.3 Nivel Riesgo
El nivel del riesgo está establecido como el producto entre la probabilidad y el impacto
6.2 EVALUACIÓN DEL RIESGO
El propósito de la evaluación de riesgos es facilitar la toma de decisiones basadas en los resultados del análisis.
De acuerdo al nivel de riesgo se establece las zonas de riesgo presentando las posibles formas de tratamiento
que se le puede dar a ese riesgo, tal como se muestra en la siguiente imagen
Tabla 2. Matriz de Calificación, Evaluación y respuesta a los Riesgos
Probabilidad IMPACTO
Insignificante (.1),
Menor (2)
Moderado
Mayor
Catastrófico (1)
Raro Entre OcY0 - 20% 8(1) 1 B (21 i M 3) JA (4) ES Improbable Entre 21% - 40% 8(2). 4', 8 (41 M 6 A 8 Posible A Entre 41% - 60% 8(3) T M(6) AS Probable Entre 61% - 80% M (4) A(8) A 12
{
Casi certeza Entre 81% - 100% A (5) A(10) 1:
ZONA DE RIESGOS
ACEPTACION DE LOS RIESGOS
Reducir el riesgo, Evitar, Compartir o Transferir
Alt o Reducir el riesgo, Evitar, Compartir o
Transferir Moderado Asumir, Reducir Riesgo
Asumir Riesgo
Fuente: Gula de Riesgos DAFP
Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idartes.cov.co se considera COPIA NO CONTROL,ADA
BOGOTA
PA1401:ig
DE c
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
ALCALDÍA
v --
MAYOR BOGOTÁ D.C.
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión: 1 Página: 15 de 21
Y= r=nci =dm.
A partir del tipo de riesgo, existen 4 alternativas de tratamiento:
Evitar el riesgo: evitar la actividad o la acción que da origen al riesgo particular, esta alternativa de tratamiento
ocurre cuando su probabilidad es alta y representa un alto peligro para el instituto. Se debe tener si los costos
para implementar los controles exceden los beneficios se puede tomar la decisión de evitar por completo el
riesgo.
Transferir o compartir el riesgo: transferir a otra parte que pueda gestionar de manera más eficaz el riesgo
particular. La transferencia se puede realizar mediante un seguro. Al transferir el riesgo a un tercero le damos la
responsabilidad para su administración, pero no significa que eliminamos el riesgo.
Mitigar el riesgo: reducir mediante la implementación de controles, de manera tal que el riesgo residual se pueda
revaluar como aceptable.
Aceptar o asumir el riesgo: retener el riesgo sin acción posterior. Los riesgos se aceptan cuando la frecuencia
es baja e impacto leve, y no coloca en peligro la estabilidad del instituto.
6.3 IDENTIFICACIÓN DE LAS CONSECUENCIAS
En esta actividad se deben identificar los daños o las consecuencias para entidad que podrían ser causadas por
un escenario de incidente. Un escenario de incidente es la descripción de una amenaza que explota una
vulnerabilidad determinada o un conjunto de vulnerabilidades relacionadas a un activo.
Las consecuencias operativas de los escenarios de incidentes en términos de:
Tiempo de investigación y reparación
Pérdida de tiempo operacional
Pérdida de oportunidad
Este es un documento controlado: una vez se descargue ose imprima de la intranet: htto://comunicarteldartesciov.co se considera COPIA NO CONTROL,ADA
BOGOTA
MEJOR PAII0D4:
DE sjrrg,
ALCALDIA
Y o ,. ..,
MAYOR BOGOTÁ D.G.
atar= r
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión: 1 Página: 16 de 21
Salud y seguridad
Costo financiero
Imagen, reputación y buen nombre.
6.4 IDENTIFICACIÓN DE LOS CONTROLES EXISTENTES
La Entidad debe identificar los controles existentes y los planificados para evitar trabajo costos innecesarios y
realizar la verificación para garantizar que los existentes funcionan correctamente. Para recopilar los controles
existentes es necesario revisar si en la entidad se lleva un plan de tratamiento del riesgo, asi como el resultado
de las últimas auditorias de SGSI. •
Figura 5. Estimación del riesgo estima-clon del mteego - ,,z- • iLlzet rneiveremmo
,Inisii 0.1 ringo %pialad& Intracien epa 44.• Can:~ bémetn
Mose de Anda:. ti *pe :ése EniacZn da ~ 14.11400,
Evalaa~ del Meto. ct~eedee Calid~.1 ~d.! °D'a" Probabldad boato ?tango FInilo Pro!~
I 3 3 Modsurdo X %te de
unza ocsecnd
Ac.•..•~• 0.~ dwlims da raen I I 1
, Pirtida S
peono comeóz.id
Pahua de ~salad de Y récterucla Carniso del lalenarb telt pela.= e 4. anulad de Y elarmelln
1 I i
Pináck de
con.eced Al 2
Fuente:autor
Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idartes.00vto se considera COPIA NO CONTROL,ADA
p<?GOTA MEJOR PARA TODOS
DECISION SOBRE EL RIESGO. PLINIO I
TRATAMIENTO DEL RIESGO
DECISION SOBRE EL RIESGO • PUNTO?
OPCIONES PARA EL TRAT AMIEN I O DEL RIESGO
I
REDUCGION DEL RIESGO
REIENCION DEL RIESGO
EVITAC ION DEL RIESGO
TRANSFERENCIA DEL RIESGO
DE ALCALDIA
-------0----
—
MAYOR BOGOTÁ D.C.
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión. 1 Página:
:de 21
7. TRATAMIENTO DEL RIESGO
La implementación del tratamiento de riesgo inicia con la determinación de la actividad de tratamiento (mitigar,
aceptar, evitar o transferir) a seguir para cada uno de los riesgos identificados en la Plantilla de análisis de
riesgos, siguiendo el proceso planteado en la norma NTC-ISO-IEC27005. Se deben establecer controles para
reducir, retener, evitar o transferir los riesgos.
Figura 6. Actividades tratamiento del riesgo
Fuente: NTC-ISO/ IEC 27005
Una vez definidas las alternativas de tratamiento de riesgos identificadas en la matriz, se fabricará el Plan para el
Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarte.idartesclovto se considera COPIA NO CONTROLADA
BoGoTA PARA
DE ALCALDIA
.., PAAYOR
BOGOTA D.C.
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión
: 1
Página: 18 de 21
Tratamiento de Riesgos con una serie de Controles que permitirán reducir el nivel de riesgo teniendo en
consideración:
> Que sean adecuados y justificados
Costo y tiempo esperado de implementar estas opciones
Beneficios esperados
Presupuestos
Requisitos de negocio (cumplimiento de política y normas de seguridad)
Figura 7. Tratamiento del riesgo , ..,
Plan de Tratamiento del riesgo
h./ un/asa del Merco Controle / attlann • Implannntar
....
itevh.ldri cantina de «teso I del Atea
de ~Cilia,
Contrelas•sech.dos •
NTC 1%012013 ..- ...- _ .......
All.I.1
Recurun Tiznabas
......_....
Ao Fecli~ntadám
Implemen
de
31/12/701/3
RESIONSACILIS
. .....,-...- —....—
Asumir. Reducir Plugo Sistema 0-kmétrke Asta di tecnologia
Reduck el riesgo, (Mur.
Compankr o Translede Ilindgatka de políticas de ~NIÑA Ad ea de tecnologia
Reducb el dese*, hitas.
Croaras o Transferir Manterdntlentnire mond/dorada. Área de tecnología
Fuente: Autor
8. POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO
Es el documento con las justificaciones de la aplicación o elección de los controles, identifican las opciones para
tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar decisiones adecuadas y fijar
los lineamientos, que van a transmitir la posición de la alta dirección
Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarteldartesmov.co se considera COPIA NO CONTROL,ADA
BOGOTA
MEJOR PARA TODOS
DE ALCALDÍA
---......---
u ,
, MAYOR
BOGOTÁ D.C.
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
Fecha: 30/97/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS- SGSI Versión: 1 Página: 19 de 21
Debe contener los siguientes aspectos:1
Los objetivos que se esperan lograr.
Las estrategias para establecer cómo se van a desarrollar la política, a largo,
mediano y corto plazo.
Los riesgos que se van a controlar.
Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables
y el talento humano requerido.
El seguimiento y evaluación a la implementación y efectividad de las políticas.
COMUNICACIÓN DE LOS RIESGOS
La comunicación del riesgo es una actividad para lograr un acuerdo sobre la manera de gestionar los riesgos al
intercambiar información entre quienes toman las decisiones y las otras partes involucradas.
La comunicación es importante para garantizar que aquellos responsables de la implementación de las acciones
dentro de cada uno de los procesos entiendan las bases sobre las cuales se toman las decisiones y las razones
por las cuales se requieren dichas acciones.
MONITOREO Y REVISIÓN DEL RIESGO
Una vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos,
es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una
amenaza para la organización.
A los indicadores se les hace seguimiento de cumplimiento de acuerdo al cronograma definido en el Comité de
Guía del DAFP Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idartesmov.co se considera
COPIA NO CONTROI,ADA
BoGoTA PM:141'01i
DE
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4E5-GTIC-D-03
ALCALDÍA
: a ....
MAYOR BOGOTÁ D.C.
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión
: 1
Página: 20 de 21 c====
Seguridad, y se revisan mínimo anualmente valorando su conveniencia, adecuación y eficacia, oportunidades de
mejora y la necesidad de cambios en el proceso de Revisión por la Dirección.
NORMATIVA
Guía de gestión de Riesgos (MSPI-MinTIC).
Décimo segundo lineamiento — Gestión del Riesgo (Sistema Integrado de Gestión Distrital).
Norma Técnica Distrital NTD-SIG 001-2011
NTC-ISO-IEC27001:2013: Sistemas de Gestión de la Seguridad de la información.
NTC-ISO-IEC27002:2013: Código de Buenas Prácticas en Gestión de la Seguridad de la Información
NTC-ISO 27005: Gestión del riesgo en la seguridad de la información.
NTC-ISO/IEC 31000: La gestión de riesgos, principios y directrices.
12. DEFINICIONES
Activo de información: Cualquier información o elemento relacionado con el tratamiento de esta (sistemas,
soportes, edificios, personas...) que tenga valor para la organización. (ISO 27000:2013)
Activos primarios: actividades, información y procesos del negocio (ISO 27005).
Amenaza: causa potencial de un incidente no deseado, que puede provocar daños a los activos, aplicativos,
sistema de información o a la organización
Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo
Confidencialidad: Propiedad que determina que la información sólo esté disponible y sea revelada a individuos,
entidades o procesos autorizados. (ISO 27000:2013)
Control: Las politicas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener
los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado
Este es un documento controlado; una vez se descargue ose imprima de la intranet: htto://comunicarte.idartesmov.co se considera COPIA NO CONTROL,ADA
BoGoTA MEJOPAIIDDR
DE
GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC
Código: 4ES-GTIC-D-03
ALCALDIA
-----0-----
v v .
MAYOR BOGOTÁ D.C.
Fecha: 30/07/2018
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS- SGSI Versión. 1 Página: 21 de 21
como sinónimo de salvaguarda o contramedida.
Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad
autorizada, cuando ésta así lo requiera. (ISO 27000:2013)
Gestión de incidentes de seguridad de la información: Procesos para detectar, reportar, evaluar, responder,
tratar y aprender de los incidentes de seguridad de la información.
Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Se
compone de la evaluación y el tratamiento de riesgos.
Impacto: El coste para la empresa de un incidente de la escala que sea, que puede o no ser medido en términos
estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales
Información: Puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada
electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta
en una conversación. Cualquiera sea la forma que adquiere la información, o los medios por los cuales se
distribuye o almacena, siempre debe ser protegida en forma adecuada.
Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos. (ISO 27000:2013)
MSPI: Modelo de Seguridad de privacidad de la información.
Riesgo en la seguridad de la información: Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una
combinación de la probabilidad de un evento y sus consecuencias.
Riesgo inherente: riesgo intrínseco de cada actividad, proceso o trabajo, que no puede ser eliminado del
sistema.
Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.
Vulnerabilidad: debilidad de un activo o control que puede ser explotada por una o más amenazas •
(Fuente ISO 27000)
Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarteldartes.gov.co se considera COPIA NO CONTROLADA
BoGoTA MEJOPAFODD