gestiÓn de tecnologÍas de la informaciÓn y la código: … · 2020. 6. 8. · gestiÓn de...

DE ALCALDÍA

----iiiiii----

' u

MAYOR BOGOTÁ D.G.

GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN .TIC

Código: 4ES-GTIC-D-03

Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión: 1 Página: 1 de 21

Objetivo: Este documento presenta la metodología de gestión de riesgos de los activos de información.

Alcance: La presente metodología definida en el presente documento aplica para los recursos informáticos del proceso de gestión tecnología Instituto distrital de las artes - !darles.

Fecha de Aprobación Responsable del

Documento Ubicación '

30 de Julio de 2018 Área de Sistemas Página Intranet:

http://comunicartaidarteszvco/idartes

HISTÓRICO DE CAMBIOS

Versión Fecha de Emisión Cambios realizados

01 Julio 2018 Emisión Inicial Oficinas Participantes

Subdirección Administrativa y Financiera Oficina Asesora de Planeación

Elaboró:

Luis Albeiro Cortés Contratista Área de TIC

Aprobó:

Juan C Profesional

\

Liliana Valencia Subdirectora

de

Financiera

o nhi TI

Administrativa

billos sitario

r

Mejía

Área

-71

y

Validó

---N._

,

ce Camila Cr spo Murillo

Contratista Oficina Asesora de

Planeación

'

Aprobó

L s er an Jefe Oficina

Planeación

t•-

M 'ía Castro ora de

Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idadesmov.co se considera COPIA NO CONTROLADA

BOGOTA

PARA TODOS

.. GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC


> ALCALCEA MAYOR DE BOGOTÁ D.C.

-c-u- TuliAlltgl'Eact-gNiati-----

Fecha: 30/07/2018


CONTENIDO CONTENIDO 2 INTRODUCCIÓN 4

OBJETIVO DEL DOCUMENTO 4 ALCANCE 5 METODOLOGÍA 5 CRITERIOS DE ACEPTACIÓN DEL RIESGO 7 IDENTIFICACIÓN DE RIESGOS 8

5.1 IDENTIFICACIÓN DEL ACTIVO 9

5.2 IDENTIFICACIÓN DE LAS AMENAZAS 9

5.3 IDENTIFICACIÓN DE LAS VULNERABILIDADES 10

5.4 IDENTIFICACIÓN DE ESCENARIOS DE RIESGOS 10 ESTIMACIÓN DEL RIESGOS 11

6.1 ANÁLISIS DEL RIESGO 11

6.1.1 Probabilidad 12

6.1.2 Impacto 12

6.1.3 Nivel Riesgo 14

6.2 EVALUACIÓN DEL RIESGO 14

6.3 IDENTIFICACIÓN DE LAS CONSECUENCIAS 15

6.4 IDENTIFICACIÓN DE LOS CONTROLES EXISTENTES 16 TRATAMIENTO DEL RIESGO 17 POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO 18 COMUNICACIÓN DE LOS RIESGOS 19

MONITOREO Y REVISIÓN DEL RIESGO 19 NORMATIVA 20

DEFINICIONES 20

Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarteidartes.qov.co se considera COPIA NO CONTROLADA

p9GOTA MEJOR PARA TODOS

> GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC


ALCALDÍA PAAYOR DE BOGOTÁ D.C.

-------

Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SCSI Versión. 1

.3 Página de 21

LISTA DE FIGURAS

Figura 1. Proceso de gestión del riesgo de la seguridad de la información 5 Figura 2. Proceso de gestión del riesgo DAFP 6 Figura 3. Matriz de activos de información 9 Figura 4. Identificación del riesgo 11 Figura 5. Estimación del riesgo 16 Figura 6. Actividades tratamiento del riesgo 17 Figura 7. Tratamiento del riesgo 18

LISTA DE TABLAS

Tabla. 1. Etapas de la Gestión del Riesgo en el SGSI 7 Tabla 2. Matriz de Calificación, Evaluación y respuesta a los Riesgos 14

Este es un documento controlado una vez se descargue ose imprima de la intranet: httn://comunicarte.idartes.qov.co se considera COPIA NO CONTROI,ADA

pC?GOTA MEJOR PARA TODOS

DE ALCALDIA

>

e, MAYOR

BOGOTÁ O C.

GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC


Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión. 1

-----,--- Página::

de 21

INTRODUCCIÓN

Cualquier tipo de organización independiente de su tamaño y tipo afronta factores tanto internos como externos

que pueden afectar uno de los activos más importante de la organización la información.

Todas las actividades de una entidad y/o organización involucran riesgos y de una forma u otra los gestionan

mediante su identificación, análisis y su respectivo tratamiento. El presente documento establece las directrices

para la gestión del riesgo basándose en la guía del DAFP (Departamento Administrativo de la Función Pública y a

la guia de gestión de riesgos del MSPI (Modelo de Seguridad y privacidad de la información), sin olvidar los

estándares internacionales como la NTC-ISO/IEC 27005 y la NTC-ISO 31000.

Para el desarrollo de la gestión del riesgo se tomó como base el conjunto de los activos de información calificados

con importancia "ALTA", identificando las amenazas y vulnerabilidades, probabilidad e impacto presentes en los

activos de información, todo lo anterior llevado en una matriz de Gestión de riesgo la cual se puede encontrar en

el archivo anexo 'Matriz riesgos SCSI IDARTES.xlsx".

1. OBJETIVO DEL DOCUMENTO

Presentar la metodología de gestión de riesgos de los activos de información de TI del Instituto Distrital de las

Artes - IDARTES con el fin de que dicha actividad pueda realizarse de manera estándar.

Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idartesmov.co se considera COPIA NO CONTROLADA

BOGOTA

PARA TODOS

VALORAGIOt1 DEL RIESGO

ANÁLISIS DEL RIESGO

IDENTIFICACIÓN DEL RIESGO

ESTIMACIÓN DEL RIESGO

1 ESTABLECIMIENTO DE CONTEXTO

DEGISION SOBRE El RIESGO PUNIR I Vattielen satflaciola

TO

RE

O Y

RE

VIS

ION

DE

L R

IES

SI

TRATAMIENTO DEL RIESGO

GEERS10/2 SOWIE EL RIESGO PU1110 if/11.111101110 5d05.50710

SI

ACEPTACIÓN Da RIESGO

U EVALUACIÓN DEL RIESGO

DE ALGAISILA

--------

u

111AVOR BOGOTÁ D.G.



Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión. 1 Página:

.5 de 21

ALCANCE

La identificación, análisis y gestión de los riesgos está limitado solo a los activos de información que tienen una

clasificación como ALTA dentro del inventario de activos de información.

METODOLOGÍA

El proceso de gestión de riesgo en la seguridad de la información está basado en las normas NTC-ISO/IEC

27005 y la NTC-ISO 31000

Figura 1. Proceso de gestión del riesgo de la seguridad de la información

Fin de la primera iteración o de las posteriores

Fuente: NTC-ISODEC 27005

Este es un documento controlado una vez se descargue ose imprima de la intranet: http://comunicarte.idartesoov.co se considera COPIA NO CONTROLADA

BoGOTA

PAI4rODD

%? , ALCALDIA MAYOR

-;v1.51:122-1-9,5=



Fecha: 30/07/2018


Figura 2. Proceso de gestión del riesgo DAFP

ldentifi‘cián del Riesgo jan& puede suceder?

¿arad puede suceder?

vs

O u Aaá ists dPI Riesgo ).• DetenrInn Prebabilided

Detennquir Coersecuenchre u

Determinar Nivel de Riesgo

E o Valorticlén del Riesgo

Identificar c enroles pera el time

Verificar la theta/Wad de los can al

Fuente: Guia gestión del riesgo DAFP

Este es un documento controlado; una vez se descargue ose imprima de la intranet httolicomunicarte.idartes.nov.co se considera COPIA NO CONTROLADA

BoGoTA PARAMEJO

TODOS

DE ALcALoharkwavon

----..----

— .

BOGOTÁ D.C.



Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSIInstituto

Versión. 1 .7 Página: de 21 Disuital da os Ntss

El enfoque del análisis del riesgo en la Seguridad de la Información se estable de acuerdo al ciclo PHVA.

Tabla. 1. Etapas de la Gestión del Riesgo en el SCSI

CICLO PHVA PROCESO DE GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA— INFORMACIÓN

Planear Establecer el contexto Valoración del Riesgo Planificación del tratamiento del riesgo Aceptación del Riesgo

Hacer o implementar Implementación del plan de tratamiento del riesgo

Verificar o Gestionar Monitoreo y revisión continuos de los riesgos

Actuar (Mejora Continua) Mantener y mejorar el proceso de gestión del riesgo en la seguridad de la información

Fuente: Guía Gestión de Riesgos MSPI-MINC TIC

4. CRITERIOS DE ACEPTACIÓN DEL RIESGO

El instituto de acuerdo con el alcance dado se establece los siguientes criterios:

Evaluación del Riesgo:

Se evalúan los activos con criticidad ALTA.

Los requisitos legales y reglamentarios contemplados en el normograma de IDARTES, así como las

obligaciones contractuales.

La importancia de la disponibilidad de la confidencialidad, e integridad de la información para las

operaciones y la entidad.

Las expectativas y percepciones de las partes interesadas y las consecuencias negativas para el buen

nombre y la reputación de la entidad.

Criterios de Impacto

Nivel de Afectación del grupo de interesados del negocio.

Brechas en la seguridad de la información. Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarte.idartes.gov.co se considera

COPIA NO CONTROLADA

80GoTA PARVOIDli

DE ALGALDIA

>

4 . r• MAYOR

BOGOTÁ D G.



Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión. 1

=Kr j=,-zrAr,er *8 Página: de 21

Incumplimiento de metas y objetivos de IDARTES.

Pérdida de confianza de la entidad afectando su reputación.

Perdidas de información para la Entidad.

Aceptación del Riesgo

El Instituto debe fijar sus propias escalas para los niveles de aceptación del riesgo considerando los

siguientes aspectos:

Umbrales múltiples, con una meta de nivel de riesgo deseable

La relación entre el beneficio estimado (u otros beneficios del negocio) y el riesgo estimado requisitos

para tratamiento adicional en el futuro, por ejemplo, se puede aceptar un riesgo si existe aprobación y

compromiso para ejecutar acciones que reduzcan dicho riesgo hasta un nivel aceptable en un periodo

definido de tiempo.

5. IDENTIFICACIÓN DE RIESGOS

A continuación, se presentan una serie de etapas propuestas para la Generación del análisis de riesgos de las

Entidades, basadas la norma 15027005.

El objetivo de la identificación de riesgos es determinar que podria suceder que cause una perdida potencial y

llegar a comprender el cómo, dónde y por qué podría ocurrir pérdida. Las causas pueden ser internas o externas,

según lo que haya identificado la Entidad a través del Contexto estratégico.

Es importante establecer cuáles son los activos críticos para asociados a los procesos correspondientes y de allí

generar el listado de procesos críticos. Inventariar los activos de información sensible y revisar los proceesos

según la clasificación.

Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarte.idartes.qov.co se considera COPIA NO CONTROL,ADA

BoGoTA PARA TODOSPA

' „ ,

ALCALWA PAAYOR



Fecha: 30107/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión: 1 DE BOGOTA D.C.

-------,---- Página: 9 de 21

5.1 IDENTIFICACIÓN DEL ACTIVO

La clasificación de activos de información se llevó a cabo en por medio del diligenciamiento del documento

"Matriz activos de Información de TI IDARTES.xlsx", en la cual se establecieron los activos de mayor criticidad.

Figura 3. Matriz de activos de información

"Tc ,

MATRIZ DE INVENTARIO Y VALORACIÓN DE ACTIVOS DE TI

D__t Id.....S.." .....

P.p, *bu ce

«3 F.

- brubbla 14.....lail.

44444•443, 1 0...../

L..........4.r. bere...1 Gara. ,...n..........„ ir......., ,......ssis Ve.

G... ,,,,,..,..... enea. Un.. e.na

.

cta..

.

Kb.. be. bu.

301.301 MG 133520

di ca"'"' cc...anta roba 4•1••••1

rEkTICOGE 0.12.ERCJJTAN 10A0 10121 MEGA MeGnáln baba dr

....... 1...... bobeo

1 Ritt

by.. I no. atan

SIIIMMUI 13M MI.GD.

bar. sub roub RJ44/1.4.0 MMAIM PCIAM PC. ...Gr.!. ,........

µburs.... es..

lb.. bar Mur FI•12

3 1.0.41193.

56.442M HP ~lb rt.3513

14.4......... ur pm..

r.....i.R0 .-...-"'

Mor. babor

Cre..... 14......

14...... 4. POS3

4 M.4.. Irib s.. -14GYÓGIGMVALL ~DM

to........ un halown é CAtLL U

A.,.1.11.4.4141.4

G.M.

In....`"

1....

G...... s....,...Lea ennmeede liabas

,~1.......

1.033

Suba NOS.0320 Senv etollita t...,*.,. Cal/ C n ca

c....ante. U 9

Fuente: autor

5.2 IDENTIFICACIÓN DE LAS AMENAZAS

Una amenaza es la causa potencial de un incidente no deseado, que puede provocar daños a los activos,

aplicativos, sistema de información o a la organización.

Las amenazas pueden ser de origen natural o humano y podrían ser accidentales o deliberadas es recomendable

identificar todos los origenes de las amenazas accidentales como deliberadas.

Algunas amenazas pueden afectar a más de un activo y en tales casos pueden causar diferentes impactos

dependiendo de los activos que se vean afectados. En el documento de la matriz en Excel se puede encontrar las

amenazas comunes por el tipo de activo de información, así como el origen de las mismas de acuerdo a las

recomendaciones de NTC-ISO-IEC27005.

Este es un documento controlado: una vez se descargue ose imprima de la intranet: http://comunicarteldartes.gov.co se considera COPIA NO CONTROL,ADA

1.0GOTA MEJOR PARA TODOS

DE

.. GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC


ALCALDM

-----.----

Y , MAYOR

BOGOTÁ D.C.

Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS • SGSI Versión: 1 Página: 10 de 21 do las Anos

5.3 IDENTIFICACIÓN DE LAS VULNERABILIDADES

Una vulnerabilidad es debilidad de un activo o control que puede ser explotada por una o más amenazas. Una

vulnerabilidad que no tiene una amenaza correspondiente puede que no !quiera de la implementación de un

control, pero se recomienda que se mantenga monitoreada. Por el contrario, una amenaza que no tiene una

vulnerabilidad correspondiente puede no resultar en un riesgo.

Para compendiar el listado se puede llevar mediante entrevistas a usuarios y administradores de los diferentes

sistemas, inspección física, análisis de documentos, listado de vulnerabilidades comunes y la utilización de

herramientas para la identificación de vulnerabilidades.

En el documento de la matriz en Excel se puede encontrar las vulnerabilidades comunes de acuerdo a las

recomendaciones de NTC-ISO-IEC27005.

5.4 IDENTIFICACIÓN DE ESCENARIOS DE RIESGOS

Una vez identificadas las amenazas y vulnerabilidades, se procede a definir escenarios de riesgos determinando

las posibles consecuencias, daños temporales o permanentes a causa de ocurrencia de un incidente donde una

amenaza explote una vulnerabilidad o conjunto de vulnerabilidades.

Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarteldartes.gov.co se considera COPIA NO CONTROLADA

BoGoTA PARA P

. GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC

Código: 4ES-GTIC-D-03 u „

ALCALDÍA MAYOR DE BOGOTA D.C.

Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión

: 1

Página: 11 de 21

Figura 4. Identificación del riesgo Identificación del riesgo

MI or medOn del Activo Criticklad ALTA Amenaza Vuhnebidad Eseenacbde riesgo ID

Activo Tico Nomine del Ackno de

Harem& Onen~1

observacknn

5 Reidor* ;Reto 5ERV005RREWALL

CELL W20

Acceso •scoonm no ~dudo Inciadaelentlespraeffide Accno ro, eutodz edad* ~rones • •014301 y

genikkaes debido e La mala ~In de conligtaaciones de ~Wad

Uso broceo de sonyans Usono acepe *le de eciens

Dala paletean pules

Gestión hadecueda de tient/apanes

Dama bc eceigos y tenkbee Paced. No oírte conciente é y lomeo& en seigneded No *cine papenÁsión do matos denuo de la otganizeoln

funoinunot 54 t•10•10S,

Recoso& coneczacgabef Mento

Denntelade~ce denteles Deneseln o dan° litkos detko • ~den& erranaMes amenes y ole inocnecto de los crlirrrsntiann a' rotemesabkadardesancto

Usoatencen, de *nunca

rallada rnationimierm

de «Nom

GeriSncl• cambios iiefkirm Falas pacciales o males de n'ices delic$5 erro realziaMnédas dem/nen:Nem

blenenbedentohp.iblente No eiMe gestiende aulas Rarlioacidn ymcritoitz bollo de capacidad

Ed4po de con lundonm de seeedow de

Fiewalpociatien Fuego

No editen ~oí de deteccelcideinancles %Mi paielal o mal del sentioo equipe causado potinundacknes t'incendio. No 'list eneTipos de ~tido de Incendios

%cede de ~codo encola Suscopublind a las ~1 ~es de volieke tildad ente prestación de senollio uno

a usuarias icemos carro wenn,. debido a probiernat o «nes irlos temidos palcos

Manip4acI5ndelesecidpcd

No evEne coneol de los eetMrs luna de les innelichnes Manyndaciln de bs «pipa de ~te esdebkla. debido a la mala genial de aotkos. comal de

mertem y polleras de dspesitines croan No oeste pocadmiento pasa el amolde carrbko No elinenpciticas pata el uso de crup:cebes ~es Uso no eoeoceble de activos

Polvo.lunaded. cononón Excesio4n e Inenecled. Polon, suciedad

izan parciales o males en *I luicinunientode bs ecp.Oos y serddcas debido no caes cenia implemenuoldnde coman when/nenel isee dando se encuentren alojados.

as~5n de rnedios mcndados o desunidos

No nene genl5n de aceros thalgnácndeMonnecioned faba de Peeedieientos pata chnanelod• meceos e decoluclen de activos d•R No enlosen pocearriento pesa deuolueln de bayos

Fuente: Autor

6. ESTIMACIÓN DEL RIESGOS

En la fase de la estimación del riesgo presenta de una cualitativa la probabilidad de ocurrencia del riesgo y el

impacto de este.

6.1 ANÁLISIS DEL RIESGO

Se realiza una estimación, de cuál podría ser la probabilidad de ocurrencia del riesgo y el impacto que traería

éste, en caso de materializarse.

Este es un documento centrolado; una vez se descargue ose imprima de la intranet http://comunicarteidartes.qov.co se considera COPIA NO CONTROLADA

BoGoTA MEJOPAF00R

-- DE

• GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN -TIC


ALCALOtA

-- y

.0. . MAYOR

BOGOT ÁSto-,

Fecha: 30/07/2018


6.1.1 Probabilidad

La posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se ha materializado

(por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de

factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.

Para hallar la probabilidad se debe responder las siguientes preguntas

¿Cuál es la probabilidad estimada del riesgo?

¿Cuántas veces ha ocurrido el riesgo?

¿Cuántas veces realiza la actividad que genera el riesgo?

La medición de la probabilidad se establéce de forma cuantitativa:

Raro (1): El evento puede ocurrir solo en circunstancias excepcionales, no se ha presentado en los últimos 5

años.

Improbable (2): El evento puede ocurrir en algún momento, ha sucedido al menos una vez en los últimos 5 años

Posible (3): El evento podría ocurrir en algún momento, ha sucedido al menos una vez en los últimos 2 años.

Probable (4): El evento probablemente ocurrirá en la mayoria de las circunstancias, ha sucedido al menos una

vez el último año.

Casi Seguro (5): Se espera que el evento ocurra en la mayoría de las circunstancias, ha sucedido más de una

vez el último año.

6.1.2 Impacto

Se entiende por impacto las consecuencias que puede ocasionar a la organización la materialización del riesgo.

Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarteldartesoov.co se considera COPIA NO CONTROL,ADA

5?GOTA MEJOR PARA TODOS

DE ALCALDM MAYOR

BOGOTÁ D.C.



Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS- SCSI Versión: 1

Página: 13 de 21

¿Afectar al grupo de funcionados del proceso?

¿Afectar el cumplimiento de las metas y objetivos de la dependencia?

¿Generar pérdida de confianza de la entidad, afectando su reputación?

¿Generan pérdida de recursos a la entidad?

¿Afecta la generación de productos o la prestación de servicios?

¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida de bien o servicios o los recursos públicos?

¿Generar pérdida de información a la entidad?

¿Dar lugar a procesos sancionatorios, disciplinarios y/o fiscales?

¿Generar pérdida de credibilidad del sector?

¿Ocasionar lesiones física o pérdida de vidas humanas?

La medición de la probabilidad se establece de forma cuantitativa:

Insignificante (1): efecto adverso de rápida solución, sin perjuicios a la operación, imagen, sin pérdidas

financieras, de activos o afectación de individuos dentro de la organización.

Menor (2): efecto adverso limitado en las operaciones, activos o imagen de la organización, se puede contener

inmediatamente, pérdida financiera media. En individuos afectación mínima a la salud.

Moderado (3): efecto adverso que afecta en mediana proporción las funciones primarias de la empresa, su

solución no es inmediata y podría requerir costos adicionales, pérdida financiera alta. En individuos incapacidad

temporal o afectación leve a la salud.

Mayor (4): efecto adverso grave en las operaciones o activos de la organización que podría ocasionar que la

empresa continúe realizando sus funciones primarias, pero considerablemente reducidas. Pérdida financiera

mayor. En individuos incapacidad permanente o afectación significativa a la salud.

Catastrófico (5): muerte, pérdida financiera elevada con posibilidad mínima de recuperación

Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idartes.qov.co se considera COPIA NO CONTROLADA

eoGoTA PAMOILNI

irc x

ALCALDÍA MAYOR DE BOGOTÁ D.C.

------...---



Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión.

* 1 Página: 14 de 21

6.1.3 Nivel Riesgo

El nivel del riesgo está establecido como el producto entre la probabilidad y el impacto

6.2 EVALUACIÓN DEL RIESGO

El propósito de la evaluación de riesgos es facilitar la toma de decisiones basadas en los resultados del análisis.

De acuerdo al nivel de riesgo se establece las zonas de riesgo presentando las posibles formas de tratamiento

que se le puede dar a ese riesgo, tal como se muestra en la siguiente imagen

Tabla 2. Matriz de Calificación, Evaluación y respuesta a los Riesgos

Probabilidad IMPACTO

Insignificante (.1),

Menor (2)

Moderado

Mayor

Catastrófico (1)

Raro Entre OcY0 - 20% 8(1) 1 B (21 i M 3) JA (4) ES Improbable Entre 21% - 40% 8(2). 4', 8 (41 M 6 A 8 Posible A Entre 41% - 60% 8(3) T M(6) AS Probable Entre 61% - 80% M (4) A(8) A 12

{

Casi certeza Entre 81% - 100% A (5) A(10) 1:

ZONA DE RIESGOS

ACEPTACION DE LOS RIESGOS

Reducir el riesgo, Evitar, Compartir o Transferir

Alt o Reducir el riesgo, Evitar, Compartir o

Transferir Moderado Asumir, Reducir Riesgo

Asumir Riesgo

Fuente: Gula de Riesgos DAFP

Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idartes.cov.co se considera COPIA NO CONTROL,ADA

BOGOTA

PA1401:ig

DE c



ALCALDÍA

v --

MAYOR BOGOTÁ D.C.

Fecha: 30/07/2018


Y= r=nci =dm.

A partir del tipo de riesgo, existen 4 alternativas de tratamiento:

Evitar el riesgo: evitar la actividad o la acción que da origen al riesgo particular, esta alternativa de tratamiento

ocurre cuando su probabilidad es alta y representa un alto peligro para el instituto. Se debe tener si los costos

para implementar los controles exceden los beneficios se puede tomar la decisión de evitar por completo el

riesgo.

Transferir o compartir el riesgo: transferir a otra parte que pueda gestionar de manera más eficaz el riesgo

particular. La transferencia se puede realizar mediante un seguro. Al transferir el riesgo a un tercero le damos la

responsabilidad para su administración, pero no significa que eliminamos el riesgo.

Mitigar el riesgo: reducir mediante la implementación de controles, de manera tal que el riesgo residual se pueda

revaluar como aceptable.

Aceptar o asumir el riesgo: retener el riesgo sin acción posterior. Los riesgos se aceptan cuando la frecuencia

es baja e impacto leve, y no coloca en peligro la estabilidad del instituto.

6.3 IDENTIFICACIÓN DE LAS CONSECUENCIAS

En esta actividad se deben identificar los daños o las consecuencias para entidad que podrían ser causadas por

un escenario de incidente. Un escenario de incidente es la descripción de una amenaza que explota una

vulnerabilidad determinada o un conjunto de vulnerabilidades relacionadas a un activo.

Las consecuencias operativas de los escenarios de incidentes en términos de:

Tiempo de investigación y reparación

Pérdida de tiempo operacional

Pérdida de oportunidad

Este es un documento controlado: una vez se descargue ose imprima de la intranet: htto://comunicarteldartesciov.co se considera COPIA NO CONTROL,ADA

BOGOTA

MEJOR PAII0D4:

DE sjrrg,

ALCALDIA

Y o ,. ..,

MAYOR BOGOTÁ D.G.

atar= r



Fecha: 30/07/2018


Salud y seguridad

Costo financiero

Imagen, reputación y buen nombre.

6.4 IDENTIFICACIÓN DE LOS CONTROLES EXISTENTES

La Entidad debe identificar los controles existentes y los planificados para evitar trabajo costos innecesarios y

realizar la verificación para garantizar que los existentes funcionan correctamente. Para recopilar los controles

existentes es necesario revisar si en la entidad se lleva un plan de tratamiento del riesgo, asi como el resultado

de las últimas auditorias de SGSI. •

Figura 5. Estimación del riesgo estima-clon del mteego - ,,z- • iLlzet rneiveremmo

,Inisii 0.1 ringo %pialad& Intracien epa 44.• Can:~ bémetn

Mose de Anda:. ti *pe :ése EniacZn da ~ 14.11400,

Evalaa~ del Meto. ct~eedee Calid~.1 ~d.! °D'a" Probabldad boato ?tango FInilo Pro!~

I 3 3 Modsurdo X %te de

unza ocsecnd

Ac.•..•~• 0.~ dwlims da raen I I 1

, Pirtida S

peono comeóz.id

Pahua de ~salad de Y récterucla Carniso del lalenarb telt pela.= e 4. anulad de Y elarmelln

1 I i

Pináck de

con.eced Al 2

Fuente:autor

Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idartes.00vto se considera COPIA NO CONTROL,ADA

p<?GOTA MEJOR PARA TODOS

DECISION SOBRE EL RIESGO. PLINIO I

TRATAMIENTO DEL RIESGO

DECISION SOBRE EL RIESGO • PUNTO?

OPCIONES PARA EL TRAT AMIEN I O DEL RIESGO

I

REDUCGION DEL RIESGO

REIENCION DEL RIESGO

EVITAC ION DEL RIESGO

TRANSFERENCIA DEL RIESGO

DE ALCALDIA

-------0----

—

MAYOR BOGOTÁ D.C.



Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS - SGSI Versión. 1 Página:

:de 21

7. TRATAMIENTO DEL RIESGO

La implementación del tratamiento de riesgo inicia con la determinación de la actividad de tratamiento (mitigar,

aceptar, evitar o transferir) a seguir para cada uno de los riesgos identificados en la Plantilla de análisis de

riesgos, siguiendo el proceso planteado en la norma NTC-ISO-IEC27005. Se deben establecer controles para

reducir, retener, evitar o transferir los riesgos.

Figura 6. Actividades tratamiento del riesgo

Fuente: NTC-ISO/ IEC 27005

Una vez definidas las alternativas de tratamiento de riesgos identificadas en la matriz, se fabricará el Plan para el

Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarte.idartesclovto se considera COPIA NO CONTROLADA

BoGoTA PARA

DE ALCALDIA

.., PAAYOR

BOGOTA D.C.



Fecha: 30/07/2018


: 1

Página: 18 de 21

Tratamiento de Riesgos con una serie de Controles que permitirán reducir el nivel de riesgo teniendo en

consideración:

> Que sean adecuados y justificados

Costo y tiempo esperado de implementar estas opciones

Beneficios esperados

Presupuestos

Requisitos de negocio (cumplimiento de política y normas de seguridad)

Figura 7. Tratamiento del riesgo , ..,

Plan de Tratamiento del riesgo

h./ un/asa del Merco Controle / attlann • Implannntar

....

itevh.ldri cantina de «teso I del Atea

de ~Cilia,

Contrelas•sech.dos •

NTC 1%012013 ..- ...- _ .......

All.I.1

Recurun Tiznabas

......_....

Ao Fecli~ntadám

Implemen

de

31/12/701/3

RESIONSACILIS

. .....,-...- —....—

Asumir. Reducir Plugo Sistema 0-kmétrke Asta di tecnologia

Reduck el riesgo, (Mur.

Compankr o Translede Ilindgatka de políticas de ~NIÑA Ad ea de tecnologia

Reducb el dese*, hitas.

Croaras o Transferir Manterdntlentnire mond/dorada. Área de tecnología

Fuente: Autor

8. POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO

Es el documento con las justificaciones de la aplicación o elección de los controles, identifican las opciones para

tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar decisiones adecuadas y fijar

los lineamientos, que van a transmitir la posición de la alta dirección

Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarteldartesmov.co se considera COPIA NO CONTROL,ADA

BOGOTA

MEJOR PARA TODOS

DE ALCALDÍA

---......---

u ,

, MAYOR

BOGOTÁ D.C.



Fecha: 30/97/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS- SGSI Versión: 1 Página: 19 de 21

Debe contener los siguientes aspectos:1

Los objetivos que se esperan lograr.

Las estrategias para establecer cómo se van a desarrollar la política, a largo,

mediano y corto plazo.

Los riesgos que se van a controlar.

Las acciones a desarrollar contemplando el tiempo, los recursos, los responsables

y el talento humano requerido.

El seguimiento y evaluación a la implementación y efectividad de las políticas.

COMUNICACIÓN DE LOS RIESGOS

La comunicación del riesgo es una actividad para lograr un acuerdo sobre la manera de gestionar los riesgos al

intercambiar información entre quienes toman las decisiones y las otras partes involucradas.

La comunicación es importante para garantizar que aquellos responsables de la implementación de las acciones

dentro de cada uno de los procesos entiendan las bases sobre las cuales se toman las decisiones y las razones

por las cuales se requieren dichas acciones.

MONITOREO Y REVISIÓN DEL RIESGO

Una vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos,

es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una

amenaza para la organización.

A los indicadores se les hace seguimiento de cumplimiento de acuerdo al cronograma definido en el Comité de

Guía del DAFP Este es un documento controlado; una vez se descargue ose imprima de la intranet http://comunicarte.idartesmov.co se considera

COPIA NO CONTROI,ADA

BoGoTA PM:141'01i

DE


Código: 4E5-GTIC-D-03

ALCALDÍA

: a ....

MAYOR BOGOTÁ D.C.

Fecha: 30/07/2018


: 1

Página: 20 de 21 c====

Seguridad, y se revisan mínimo anualmente valorando su conveniencia, adecuación y eficacia, oportunidades de

mejora y la necesidad de cambios en el proceso de Revisión por la Dirección.

NORMATIVA

Guía de gestión de Riesgos (MSPI-MinTIC).

Décimo segundo lineamiento — Gestión del Riesgo (Sistema Integrado de Gestión Distrital).

Norma Técnica Distrital NTD-SIG 001-2011

NTC-ISO-IEC27001:2013: Sistemas de Gestión de la Seguridad de la información.

NTC-ISO-IEC27002:2013: Código de Buenas Prácticas en Gestión de la Seguridad de la Información

NTC-ISO 27005: Gestión del riesgo en la seguridad de la información.

NTC-ISO/IEC 31000: La gestión de riesgos, principios y directrices.

12. DEFINICIONES

Activo de información: Cualquier información o elemento relacionado con el tratamiento de esta (sistemas,

soportes, edificios, personas...) que tenga valor para la organización. (ISO 27000:2013)

Activos primarios: actividades, información y procesos del negocio (ISO 27005).

Amenaza: causa potencial de un incidente no deseado, que puede provocar daños a los activos, aplicativos,

sistema de información o a la organización

Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo

Confidencialidad: Propiedad que determina que la información sólo esté disponible y sea revelada a individuos,

entidades o procesos autorizados. (ISO 27000:2013)

Control: Las politicas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener

los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado

Este es un documento controlado; una vez se descargue ose imprima de la intranet: htto://comunicarte.idartesmov.co se considera COPIA NO CONTROL,ADA

BoGoTA MEJOPAIIDDR

DE



ALCALDIA

-----0-----

v v .

MAYOR BOGOTÁ D.C.

Fecha: 30/07/2018

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS- SGSI Versión. 1 Página: 21 de 21

como sinónimo de salvaguarda o contramedida.

Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad

autorizada, cuando ésta así lo requiera. (ISO 27000:2013)

Gestión de incidentes de seguridad de la información: Procesos para detectar, reportar, evaluar, responder,

tratar y aprender de los incidentes de seguridad de la información.

Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Se

compone de la evaluación y el tratamiento de riesgos.

Impacto: El coste para la empresa de un incidente de la escala que sea, que puede o no ser medido en términos

estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales

Información: Puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada

electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta

en una conversación. Cualquiera sea la forma que adquiere la información, o los medios por los cuales se

distribuye o almacena, siempre debe ser protegida en forma adecuada.

Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos. (ISO 27000:2013)

MSPI: Modelo de Seguridad de privacidad de la información.

Riesgo en la seguridad de la información: Posibilidad de que una amenaza concreta pueda explotar una

vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una

combinación de la probabilidad de un evento y sus consecuencias.

Riesgo inherente: riesgo intrínseco de cada actividad, proceso o trabajo, que no puede ser eliminado del

sistema.

Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.

Vulnerabilidad: debilidad de un activo o control que puede ser explotada por una o más amenazas •

(Fuente ISO 27000)

Este es un documento controlado; una vez se descargue ose imprima de la intranet: http://comunicarteldartes.gov.co se considera COPIA NO CONTROLADA

BoGoTA MEJOPAFODD

gestiÓn de tecnologÍas de la informaciÓn y la código: … · 2020. 6. 8. · gestiÓn de...

Documents