Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Analisis de Riesgo
Analisis de Riesgo
BOGOTÁ D.C.
2018
1
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
TABLA DE CONTENIDO
1. OBJETIVO ............................................................................................................ 4
2. ALCANCE ............................................................................................................ 4
3. ÁMBITO DE APLICACIÓN .................................................................................. 4
4. REQUISITOS DE CALIDAD APLICABLE.......................................................... 4
5. DEFINICIONES .................................................................................................... 5
6. VALORACIÓN DE RIESGOS EN EL CONTEXTO DE LA
SUPERINTENDENCIA NACIONAL DE SALUD ASOCIADOS A LOS ACTIVOS
DE INFORMACIÓN..................................................................................................... 8
6.1. Contexto de la Superintendencia Nacional de Salud................................. 8
6.2. Contexto Interno ............................................................................................. 8
6.3. Contexto con los Grupos de Interés .......................................................... 10
6.4. Comunicación................................................................................................ 13
6.5. Contexto de Seguridad y Privacidad de la Información .......................... 13
7. RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ........... 14
7.1. Definición del Riesgo ................................................................................... 14
7.2. Riesgos de Seguridad Digital ...................................................................... 15
7.3. Riesgos de Privacidad.................................................................................. 16
7.4. Incidente de Seguridad de la Información ................................................. 16
7.5. Identificación de los Riesgos ...................................................................... 16
7.6. Factores de Riesgo ....................................................................................... 16
8. METODOLOGÍA DE ANÁLISIS DE RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN PARA LA SUPERINTENDENCIA
NACIONAL DE SALUD ............................................................................................ 17
8.1. Metodología de Valoración del Activo y Análisis de Riesgos de
Seguridad de la Información ................................................................................. 17
2
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
3
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
1. OBJETIVO
2. ALCANCE
3. ÁMBITO DE APLICACIÓN
4
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
5. DEFINICIONES
1
Debe tenerse en cuenta el último versionamiento para trabajar
5
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
6
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
7
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
8
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
10
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
cumplir con las labores asignadas en el menor tiempo posible. De igual manera
proteger la información personal de cada funcionario de acuerdo a lo establecido
en la Ley 1581 de 2012.
Expectativas en Subsistema de Seguridad de la Información: Garantizar la
continuidad de las operaciones de la Superintendencia Nacional de Salud,
mantener la integridad de los datos generados en las operaciones diarias de la
SNS.
Proveedores:
Requisitos en Subsistema de Seguridad de la Información: Cumplir con los
acuerdos contractuales.
Expectativas en Subsistema de Seguridad de la Información: Garantizar la
disponibilidad de los sistemas de información para poder cumplir con el objeto
contractual estipulado.
11
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
Vigilados:
Requisitos en Subsistema de Seguridad de la Información: Se haga un
Inspección, Vigilancia y Control conforme lo establecido por las normas.
Expectativas en Subsistema de Seguridad de la Información: Se realicen
auditorías, seguimientos, solicitud de información por medio de Circular Única.
12
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
6.4. Comunicación
13
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
2
Ministerio de Tecnologías de la Información y de las Comunicaciones (MINTIC).
3
Guía para la Administración del Riesgo del Departamento Administrativo de la Función Pública (DAFP).
4
Modelo Estándar de Control Interno (MECI)
5
Procedimiento de Administración de Riesgos ASPD03 de la Superintendencia Nacional de Salud
6
Departamento Nacional de Planeación. CONPES 3854
14
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
7
Departamento Nacional de Planeación. CONPES 3854, pág 24.
15
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
Riesgos que afectan a las personas cuyos datos son tratados y que se concreta en
la posible violación de sus derechos, la pérdida de información necesaria o el daño
causado por una utilización ilícita o fraudulenta de los mismos. Como riesgo
tipificado se cuenta con lo siguiente:
Los riesgos serán identificados de acuerdo a las tres iniciales del nombre del
proceso, seguido de la letra “R” y el número consecutivo.
16
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
17
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
Medios físicos, destinados a soportar directa o indirectamente los servicios que presta la
entidad, siendo depositarios temporales o permanentes de los datos, soporte de
ejecución de las aplicaciones informáticas o responsables del procesado o la transmisión
de datos.
Hardware /
Infraestructura Ejemplo: Servidores (host), Equipos de Escritorio (Pc), Equipos Portátiles (Laptop), Dispositivos
Móviles, Equipos de Respaldo, Periféricos, Dispositivos Criptográficos, Dispositivos Biométricos,
Servidores de Impresión, Impresoras, Escáneres, Equipos Virtuales (vhost), Soporte de la Red
(Network), Módems, Concentradores, Conmutadores (switch), Encaminadores (router),
Pasarelas (bridge), Firewall, Central Telefónica, Telefonía IP, Access Point.
Que gestionan, analizan y transforman los datos permitiendo la explotación de la
información para la prestación de los servicios.
Software /
Ejemplo: Desarrollo Inhouse, Desarrollo Subcontratado, Estándar, Navegador, Servidor de
Aplicaciones
Presentación (www), Servidor de Aplicaciones (app), Cliente de Correo Electrónico, Servidor de
Informáticas
Correo Electrónico, Servidor de Ficheros (file), Sistemas de Gestión de Bases de Datos (dbms),
Monitor Transaccional, Ofimática, Antivirus, Sistema Operativo (OS), Servidor de Terminales,
Sistema de Backup o Respaldo, Gestor de Máquinas Virtuales.
Funciones que permiten suplir una necesidad de los usuarios (del servicio).
18
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
19
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
20
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
21
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
SEGURIDAD Y PRIVACIDAD DE
NIVEL CONCEPTO DESCRIPCIÓN
LA INFORMACIÓN
Si el hecho llegara a presentarse tendría consecuencias o
1 Insignificante Afecta a una actividad del proceso.
efectos mínimos sobre la organización
Afecta a un grupo de trabajo, a una
Si el hecho llegara a presentarse, tendría bajo impacto o
2 Menor persona, grupo de personas o
efecto sobre la organización.
algunas actividades del proceso.
22
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
SEGURIDAD Y PRIVACIDAD DE
NIVEL CONCEPTO DESCRIPCIÓN
LA INFORMACIÓN
Si el hecho llegara a presentarse tendría medianas Afecta un conjunto de datos
3 Moderado
consecuencias o efectos sobre la organización. personales o el proceso.
Afecta varios conjuntos de datos
Si el hecho llegara a presentarse tendría altas
4 Mayor personales o procesos de la
consecuencias o efectos sobre la organización.
organización.
Afecta toda la organización. Multas
Si el hecho llegara a presentarse tendría desastrosas por incumplimiento de la Legislación.
5 Catastrófico
consecuencias o efectos sobre la organización. Suspensión de las actividades
misionales de la organización.
Tabla # 4 Valoración del Impacto
23
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
Figura # 2 Mapa de Calor para la Representación de los niveles de Riesgo por Zonas
Zona de Riesgo Asumir el Riesgo: Riesgos para los cuales se determina que el nivel de exposición es adecuado
Aceptable y por lo tanto se acepta.
Zona de Riesgo Mitigar el Riesgo: Riesgos que se puede permitir gestionar, que en caso de materialización la
Tolerable entidad se encuentra en la capacidad de asumirlo.
Zona de Riesgo Mitigar o Evitar el Riesgo: Riesgos para los cuales se requiere fortalecer los controles existentes
Moderado y/o agregar nuevos controles.
Zona de Riesgo Mitigar o Evitar el Riesgo: Implementación de controles adicionales como parte del
Importante fortalecimiento de los actuales o como resultado de haberlo compartido o transferido.
Zona de Riesgo Evitar el Riesgo: Se requiere de acciones inmediatas que permitan reducir la probabilidad y el
Inaceptable impacto de materialización.
Tabla # 6 Zona de Riesgo
24
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
25
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
26
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
27
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
28
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
8
Procedimiento de Administración de Riesgos ASPD03 de la Superintendencia Nacional de Salud,
29
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
CONTROL DE CAMBIOS
ASPECTOS
RESPONSABL
QUE FECHA DEL
DETALLES DE LOS CAMBIOS E DE LA
CAMBIARON CAMBIO VERSIÓN
EFECTUADOS SOLICITUD
EN EL DD/MM/AAAA
DEL CAMBIO
DOCUMENTO
Se aprobó el presente documento, Jefe Oficina de
Adopción del
mediante memorando 3-2016- Tecnologías de 29/06/2016 1
documento
012489 la Información
Se agrega acciones que se
deberán realizar como parte del
tratamiento del riesgo mediante Jefe de la
Ajuste del requerimiento NURC:3-2016- Oficina de
21/10/2016 2
documento 019200 Tecnologías de
la Información
Se aprueba el cambio mediante
NURC: 3-2016-019444
Se ajusta la metodología de
análisis, agregando conceptos
que permiten tipificar los riesgos
de seguridad y privacidad, se
incluye la valoración de controles
Jefe de la
existentes para la reducción o
Ajuste del Oficina de
mitigación del riesgo inherente y 14/03/2017 3
documento Tecnologías de
se ajustan las acciones de
la Información
implementación de actividades de
tratamiento del riesgo.
30
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
acciones de implementación de
actividades de tratamiento del
riesgo.
31
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE ANÁLISIS
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 6
PRIVACIDAD DE LA INFORMACIÓN
32