Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ámbito 4
Alcalde de Bogotá
Enrique Peñalosa Londoño
Secretario General
Raúl Buitrago Arias
Diciembre 2018
4 5
1
ÍNDICE DE TABLAS PÁG.
Tabla 1. Referentes normativos 8
Tabla 2. Referentes técnicos
Tabla 3. Roles, responsabilidades y responsables
9
12
INTRODUCCIÓN
Tabla 4. Relación tipo de riesgos con tipo de Impactos 19
El proceso de gestión de riesgos es importante para el éxito de la protección de los
Tabla 5. Valor del impacto 21 activos de información de la entidad. Con ello, se identifica la criticidad de un activo
para la entidad, las potenciales o reales amenazas y vulnerabilidades sobre dichos
Tabla 6. Nivel de probabilidad del riesgo 23
activos, y por tanto los riesgos con mayor posibilidad e impacto que afectan los procesos
Tabla 7. Nivel de riesgo 25 estratégicos, misionales y de apoyo de la entidad.
Tabla 8. Nivel de tratamiento de riesgo 25 La gestión de riesgos permite tener un panorama actualizado de las posibles pérdidas
en confidencialidad, integridad y disponibilidad de los activos de información, por lo que
Tabla 9. Nivel de aceptación de riesgo 28 requiere un plan de tratamiento de riesgos que permita llevarlos a niveles aceptables
definidos y acordados por la alta dirección de la entidad. Finalmente, realizar el monitoreo
Tabla 10. Mapa de calor 28 continuo es lo que conlleva a un nivel de madurez óptimo y lograr la mejora continua.
ÍNDICE DE FIGURAS
Figura 1. Modelo de gestión de riesgo 13
Figura 2. Diagrama de fases del modelo de gestión de riesgo 14
Figura 3. Contexto para la gestión de riesgo 15
Figura 4. Fase de establecimiento del contexto 16
Figura 5. Fase valoración de riesgos 17
Figura 6. Análisis de riesgos 20
Figura 7. Evaluación de riesgos 24
Figura 8. Fase tratamiento de riesgos 26
Figura 9. Fase aceptación de riesgos 27
Figura 10. Fase monitoreo y control 29
7
2 DEFINICIÓN 3 OBJETIVO
GENERAL
Estructurar un proceso de gestión de riesgos de seguridad digital -SD-, de acuerdo con
el Modelo de Gestión de Riesgos de Seguridad Digital - MGRSD.
La gestión de riesgos es el conjunto de con los riesgos de las organizaciones. La
actividades coordinadas para dirigir y gestión del riesgo se lleva a cabo como
controlar la organización con relación al una actividad holística que abarca toda
4
riesgo (Icontec-ISO, 2018, p. 2). la organización y que aborda el riesgo
desde el nivel estratégico hasta el táctico,
La gestión del riesgo es una actividad asegurando que la toma de decisiones
compleja y multifacética que requiere la basada en el riesgo se integre en todos los Esto se aplica al proceso misional crítico
participación de las partes interesadas 2 de aspectos de la organización 3. OBJETIVOS que determine la entidad, garantizando
ESPECÍFICOS
una organización, desde la alta dirección que dicho proceso utilice elementos
-que proporcionan la visión estratégica, las (aplicativos, recursos, infraestructura y
metas y los objetivos de alto nivel para la plataforma tecnológica) de las TIC.
organización-; pasando por los gerentes Identificar y documentar los roles,
de nivel medio -que planifiquen ejecuten y responsabilidades y responsables en Adicionalmente se realiza la evaluación
administren proyectos-; hasta los gerentes seguridad que apliquen en el proceso de correspondiente a la distribución de roles
de primera línea y sus equipos -que operan gestión de riesgos. y responsabilidades de los diferentes
los sistemas de información que apoyan las ambientes que están involucrados con el
funciones misionales de la organización. Aplicar la gestión de riesgos de área de las TIC en la organización para
seguridad digital en la entidad. garantizar su alineación de acuerdo con
La gestión del riesgo es un proceso integral lo definido en las guías del Ministerio
que requiere que las organizaciones: (i) Evaluar la eficacia de la gestión de de Tecnologías de la Información y las
enmarquen el riesgo (es decir, establezcan riesgos de seguridad digital y de los sus Comunicaciones -MinTIC- (2015).
el contexto para las decisiones basadas respectivos planes de tratamiento. Lo descrito anteriormente se realiza para
en el riesgo); (ii) evalúen el riesgo; (iii) cada entidad distrital -de acuerdo con lo
5
respondan al riesgo una vez determinado; definido por la Alta Consejería Distrital de
y (iv) monitoreen el riesgo de forma las TIC- identificando en ellas la matriz de
ALCANCE
continua, utilizando comunicaciones roles y responsabilidades, y garantizando
organizacionales efectivas y un circuito su correspondiente alineamiento a lo
de retroalimentación para la mejora establecido en el anexo técnico.
continua en las actividades relacionadas El presente documento metodológico
describe las principales acciones a realizar
frente a la gestión de riesgos de los activos
2
“Persona u organización que puede afectar, verse afectada, o percibirse como afectada por una decisión o una actividad.” ISO 31000 (Icontec-ISO, de información identificados en la entidad.
2018, p. 2)
3
Traducción al español de la sección “2.1 Components of risk management”. NIST Special Publication 800-39 - Managing Information Security Risk
(Locke & Gallagher, 2011).
8 9
6 MARCO TEÓRICO
Y JURÍDICO 7 DESARROLLO DE LA
METODOLOGÍA
!
Durante el proceso de gestión de riesgos de seguridad digital, es importante conocer
!
6
y entender los siguientes instrumentos normativos que soportan la presente guía: Ley
1581 de 2012, Decreto 1499 de 2017, CONPES 3701 y 3854, Guía No. 7 Gestión de ADALID CORP propone la metodología para ser implementada en la Alta Consejería
riesgos de (MinTIC, 2016), Guía para la administración del riesgo y el diseño de controles Distrital con el fin de una adecuada gestión de los riesgos de seguridad digital.
en entidades públicas (DAFP, 2018) y el Modelo de Gestión de Riesgos de Seguridad
Digital (MinTIC, 2017). Corresponde a un proceso estructurado y alineado con la gestión de riesgos de los
referentes señalados en el marco teórico y jurídico.
De igual manera la guía se apoya en los siguientes estándares: ISO-IEC 27001:2013
(Icontec, 2013), ISO-IEC 27002:2013 (Icontec, 2015), ISO-IEC 27000:2018, ISO-IEC Para lograr el éxito de la gestión de riesgos eficaz en seguridad digital, la entidad debe
27005:2018, ISO 31000:2018 (Icontec, 2018), Magerit V3 (Ministerio de Hacienda y garantizar la definición e implementación de los siguientes prerrequisitos:
Administraciones Públicas de España, 2012), NIST-800-30 (Stoneburner, Goguen, &
Feringa, 2002) y NIST-800-39 (Locke & Gallagher, 2011). a. Compromiso de la alta dirección
Para mayor información consultar el anexo técnico de “Buenas prácticas y marco El liderazgo y compromiso de la alta dirección se establece como actividad previa a la
normativo de la seguridad digital.” gestión de riesgos de seguridad digital, de esta forma la entidad garantiza que la gestión
del riesgo sea pertinente, implementada y mantenida en el tiempo, logrando una mejora
continua.
La alta dirección debe comprometerse para apoyar y brindar los recursos de modo que
se facilite el cumplimiento de los objetivos alineados a la gestión del riesgo, a través del
establecimiento de políticas, guías, proceso, roles y responsabilidades, que aporten los
recursos (financieros, de personal, herramientas) necesarios para que el proceso sea
exitoso y adecuado para la entidad.
10 11
A continuación, se describe las actividades claves para el proceso de identificación, A continuación, se describe el detalle del proceso que permite tener una exitosa gestión
documentación y comunicación de los roles, responsabilidades y responsables, en de riesgos en seguridad digital.
adelante 3R, en gestión de seguridad digital:
Identificar si existe información previa donde se describa los 3R de la gestión de 7.1 Proceso de gestión de riesgos de seguridad digital
riesgos de seguridad digital.
La gestión de riesgos corresponde al conjunto de actividades coordinadas para dirigir y
La información se puede identificar en: controlar una organización con relación al riesgo (ISO/IEC 27000:2018).
Manuales de seguridad de la información o seguridad digital.
Documentación de perfiles y funciones de los cargos de los servidores públicos. Figura 1. Modelo de gestión de riesgo
Políticas definidas en la entidad sobre la gestión de riesgos.
Metodologías de gestión de riesgos que tenga actualmente la entidad.
12 13
Figura 3. Contexto para la gestión de riesgo
En la figura 1 se describe las etapas o fases de la gestión de riesgos que deben ser
aplicadas en la entidad, en búsqueda de una mejora continua de seguridad digital, en
concordancia con lo establecido por los referentes citados en el marco teórico y jurídico.
7
Fuente: ADALID CORP
Para el establecimiento del contexto, la entidad debe identificar, documentar y revisar las
condiciones:
14 15
Como fuentes de información se emplea la documentación de la entidad, ejemplo La siguiente figura contiene el esquema del proceso de valoración de riesgos.
sistema de gestión de calidad, tecnología y gestión documental; así mismo se utilizan
entrevistas con los líderes o responsables de los procesos involucrados, encuestas con Figura 5. Fase valoración de riesgos
el personal, visitas a instalaciones y demás herramientas que se consideren necesarias.
7
Figura 4. Fase de establecimiento del contexto
16 17
A continuación, se describe el detalle de las fases que comprende realizar una adecuada Identificación del tipo riesgo: Se realiza realizada para el entendimiento del
valoración de riesgos: la tipificación del riesgo identificado según impacto potencial del riesgo.
los siguientes criterios:
Identificación del riesgo: La identificación puede causar diferentes impactos Lógico: corresponde a los riesgos Identificación tipo de Impacto: A
de riesgos tiene como propósito “encontrar, dependiendo del número de activos o de la que se relacionan con afectación a continuación, se presentan los tipos
reconocer y describir los riesgos…” (ISO/ criticidad de este. infraestructura tecnológica. de impactos de acuerdo con los
IEC 27000:2018; Icontec, 2018). Esto • Así mismo, se requiere identificar Físico: corresponde a los riesgos requerimientos de la entidad:
requiere encontrar, numerar y caracterizar las vulnerabilidades que pueden ser relacionados con control de acceso físico Financiero: corresponde a un efecto
los elementos del riesgo. explotadas por las amenazas previamente y pérdida de activos de información a nivel positivo o negativo que genera un gasto
identificadas, y que causen daño a los físico, entre otros. adicional o retribución no esperada.
El objetivo de identificar el riesgo es activos de la entidad. Es importante anotar Locativo: corresponde a los Continuidad operativa: corresponde
determinar qué podría suceder que que un control implementado de manera riesgos relacionados con afectación en a la afectación de la continuidad en los
cause una pérdida potencial y llegar a incorrecta o que funcione mal, o que se infraestructura física y no disponibilidad de procesos operativos de la entidad.
comprender el cómo, dónde y por qué utiliza de modo incorrecto podría por si solo sitio de trabajo. Imagen: corresponde a la afectación
podría ocurrir esta pérdida. generar una vulnerabilidad. Legal: corresponde a los riesgos positiva o negativa que puede tener ante
relacionados con incumplimiento las partes interesadas el bueno nombre de
Para llevar a cabo esta actividad es Se especifica una base a manera de normativos o regulatorias. la entidad.
importante contar con la información que ejemplo de amenazas y vulnerabilidades, De imagen: corresponde a los Legal: corresponde a las posibles
se relaciona a continuación: ver “Herramienta - Matriz de Riesgos, tabla riesgos que puedan generar afectación al afectaciones en términos jurídicos que
Variables”. bueno nombre de la entidad. puede tener la entidad.
Descripción del riesgo: Consiste en la Financiero: corresponde al riesgo
identificación y descripción del riesgo Activos de información asociados relacionado con pérdidas económicas, Los tipos de impactos están relacionados
a raíz de la combinación entre una o al riesgo: Identificar los activos de sanciones de tipo financiero o costos directamente con los tipos de riesgo
varias amenazas y vulnerabilidades. Se información conlleva al establecimiento asociados a pérdidas de confidencialidad, identificados propuestos. Esto permite que
realiza una descripción puntual del riesgo de lo que debe ser protegido bajo integridad o disponibilidad de activos de basado en el tipo de riesgo identificado se
asociado a los activos de información. los términos de la seguridad de la información. realice una asociación al tipo de impacto
información (confidencialidad, integridad y que este riesgo genera y se pueda realizar
Identificación de las causas de riesgo y disponibilidad). Identificación del dueño del riesgo: su calificación. Esta relación se evidencia
fuentes (Amenazas, vulnerabilidades): Se realiza la identificación del proceso y en la siguiente tabla:
La entidad debe identificar las fuentes y Este proceso se detalla en el documento: el propietario que es responsable por la Tabla 4. Relación tipo de riesgos con tipo de Impactos
causas de los riesgos que conllevan a la “Gestión de activos de información”, cual gestión del riesgo. Así se tendrá un grado
posible afectación de la confidencialidad, establece toda una metodología apropiada de compromiso sobre la valoración de
integridad y disponibilidad de los activos para ser implementada por la entidad, los niveles de probabilidad, impacto,
de información de la misma, afectando el acorde con los requisitos normativos y de y el compromiso de definir planes de
logro de los objetivos de seguridad y por buenas prácticas internacionales. tratamiento, en caso de ser requerido, así
tanto los estratégicos. como el monitoreo continuo.
A continuación, se detalla una descripción Para más información sobre los activos de
g e n e r a l d e l o s c o n c e p t o s y l a s información ver Archivo Excel “Herramienta Identificación de propiedades de
responsabilidades: – Activos de información”. la información asociadas al riesgo:
• Las amenazas provienen de Se realiza la identificación de las
origen natural o humano y podrían ser propiedades de la información que son
accidentales o deliberadas. Algunas afectadas por el riesgo. Estas propiedades
amenazas pueden afectar a más de un son confidencialidad, integridad y
activo de información. En tales casos disponibilidad. Esta etapa debe ser Fuente: ADALID CORP
18 19
i. Análisis de riesgos Se realizan las siguientes estimaciones para el riesgo:
El análisis de riesgos es el proceso de comprender la naturaleza del riesgo y determina Estimación de riesgo actual: Se evalúa el valor del impacto y la probabilidad de
el nivel de riesgo. (ISO/IEC 27000:2018). ocurrencia del riesgo actual, es decir, durante el momento de realizar el análisis con la
Esta etapa busca obtener el valor de probabilidad de ocurrencia del riesgo y el impacto presencia o no de los controles establecidas por la entidad.
de sus consecuencias, calificándolos y evaluándolos para establecer el nivel de riesgo y
las acciones a implementar. Identificación de controles: Se realiza la identificación de los controles
implementados en la entidad para tratar los riesgos. Puede que no existan controles para
La siguiente gráfica permite ubicar al lector en la gestión de riesgos de seguridad digital: el tratamiento del riesgo.
Figura 6. Análisis de riesgos Valoración del nivel de impacto: La siguiente tabla, corresponde a la propuesta de los
niveles de impacto, alineados con el MSPI y el MGRSD de MinTIC:
20 21
Valoración del nivel de probabilidad del riesgo: Los niveles de probabilidad
corresponden al valor que mayor se aproxima en cuanto a la posibilidad de ocurrencia
de la materialización de un riesgo respecto al causal de riesgo. Se sugiere tener en
cuenta los siguientes aspectos esenciales para calificar la probabilidad de ocurrencia:
Evaluación de riesgos de seguridad digital.
Cambios en la tecnología, por ejemplo, cambios de sistema operativo, tipos de
bases de datos, lenguajes de programación, etc.
Vulnerabilidades de día cero.
Vulnerabilidad o amenaza por personas.
Definición e implementación de controles.
No conformidades identificadas por auditorías internas o por servidores públicos
de la entidad.
Criticidad de los activos de información identificados.
22 23
ii. Evaluación de riesgos
seguridad digital.
7
La figura 7 permite ubicar al lector en la fase del proceso de gestión de riesgos de
A continuación, se describe los diferentes niveles de riesgo:
b) Tratamiento de riesgos
Tabla 7. Nivel de riesgo
Lo primero es determinar cuáles son los niveles de riesgo en que la entidad aplicará el
tratamiento. Para ello, en el presente documento se definen los dos niveles de mayor
probabilidad, impacto y valor de riesgo.
24 25
Durante el tratamiento se identifican los controles aplicables para llevarlos a los niveles c) Aceptación de riesgos
aceptables definidos por la entidad.
Corresponde a decisión informada de asumir un riesgo en particular. (ISO/IEC
Las opciones para el tratamiento de los riesgos después de su evaluación son: 27000:2018).
• Reducir el riesgo aplicando controles eficaces de manera que el riesgo residual En esta etapa se evalúa si el tratamiento a los riesgos fue eficaz o necesita ser
pueda ser reevaluado como aceptable. nuevamente tratado.
• Asumir el riesgo (Retención) por parte de la alta dirección quien debe conocer y Se establece los siguientes criterios de aceptación de riesgo para la entidad:
entender la responsabilidad. Se aplica siempre que cumplan con la política de seguridad
previamente establecida por la entidad. Figura 9. Fase aceptación de riesgos
7
• Compartir o transferir el riesgo a organizaciones (aseguradoras, proveedores, etc.)
que gestionan eficazmente el nivel de riesgo, siempre que no resulte un costo superior al
del riesgo mismo.
A continuación, se presenta una figura para ubicar al lector en la fase del proceso de
gestión de riesgos de seguridad digital.
Figura 8. Fase tratamiento de riesgos
26 27
Tabla 9. Nivel de aceptación de riesgo
Así mismo, es importante determinar la valoración de los riesgos como mínimo, una vez al
año o cuando se presenten cambios en:
d) Monitoreo y revisión
En la gestión de riesgos es importante realizar monitoreo de los cambios que se puedan
producir en los diferentes riesgos y los factores (activos, vulnerabilidades, amenazas,
etc.), para así lograr realizar a tiempo modificaciones o adiciones al enfoque en la
metodología dependiendo de cambios identificados.
28 29
Finalmente, se llega a la última fase de gestión de riesgos de seguridad digital. En la
figura 10 se evidencia el cubrimiento de la totalidad de las fases planteadas.
en la entidad.
30 31
9 GLOSARIO
Disponibilidad: Propiedad de ser accesible y utilizable a la demanda por una
entidad autorizada. (ISO/IEC 27000:2018).
Aceptación del riesgo: Decisión informada de asumir un riesgo en particular. (ISO/IEC Impacto: Cambio adverso en el nivel de los objetivos del negocio logrado.
27000:2018). (ISO/IEC 27000:2018).
Amenaza: Causa potencial de un incidente no deseado, que puede resultar en daño a Integridad: Propiedad de exactitud y completitud. (ISO/IEC 27000:2018).
un sistema u organización. (ISO/IEC 27000:2018).
Análisis del riesgo: Proceso de comprender la naturaleza del riesgo y determina el nivel Nivel de Riesgo: Magnitud del riesgo expresada en términos de la
de riesgo. (ISO/IEC 27000:2018). combinación del impacto y la probabilidad. (ISO/IEC 27000:2018).
32 33
Probabilidad: Frecuencia o Factibilidad de ocurrencia del Riesgo. (ISO/IEC
27000:2018).
Transferencia del riesgo: compartir con otra de las partes la ganancia o Icontec. (2013). NTC-ISO-IEC 27001:2013 – TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. SISTEMAS
pérdida de un riesgo. DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. REQUISITOS. Bogotá D.C. Recuperado a partir de
https://tienda.icontec.org/producto/impreso-ntc-iso-iec27001-tecnologia-de-la-informacion-tecnicas-de-seguridad-
Tratamiento del riesgo: Proceso de modificar el riesgo. (ISO/IEC sistemas-de-gestion-de-la-seguridad-de-la-informacion-requisitos/?v=42983b05e2f2
27000:2018).
Icontec. (2015). NTC-ISO-IEC 27002:2015 – TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD.
CÓDIGO DE PRÁCTICA PARA CONTROLES DE SEGURIDAD DE LA INFORMACIÓN – Tienda ICONTEC. Bogotá.
Valor del Activo: Está determinado por el valor de la confidencialidad, Recuperado a partir de https://tienda.icontec.org/producto/e-book-gtc-iso-iec27002-tecnologia-de-la-informacion-
integridad y disponibilidad del activo de información. tecnicas-de-seguridad-codigo-de-practica-para-controles-de-seguridad-de-la-informacion/?v=42983b05e2f2
Valoración del riesgo: Proceso general de identificación, análisis y Icontec. (2018). NTC-ISO 31000 - Gestión de riesgos: Principios y directrices. Recuperado a partir de https://tienda.icontec.
evaluación de riesgos. (ISO/IEC 27000:2018). org/producto/impreso-ntc-iso31000-gestion-del-riesgo-principios-y-directrices/?v=42983b05e2f2
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por Locke, G., & Gallagher, P. D. (2011). Managing Information Security Risk Organization, Mission, and Information System View
JOINT TASK FORCE TRANSFORMATION INITIATIVE. https://doi.org/10.6028/NIST.SP.800-39
una o más amenazas. (ISO/IEC 27000:2018).
Ministerio de Hacienda y Administraciones Públicas de España. (2012). MAGERIT v.3 : Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Madrid. Recuperado a pa rtir de https://administracionelectronica.gob.es/
pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.XAOD02j0mUk
Ministerio de Tecnologías de la Información y las Comunicaciones. (2015). Modelo de Seguridad. Recuperado 16 de agosto
de 2018, a partir de https://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
Ministerio de Tecnologías de la Información y las Comunicaciones. (2016). Guía de gestión de riesgos - Guía No. 7. Bogotá
D.C. Recuperado a partir de https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf
Ministerio de Tecnologías de la Información y las Comunicaciones. (2017). Modelo de Gestión de Riesgos de Seguridad
Digital –MGRSD-. Bogotá D.C. Recuperado a partir de https://www.mintic.gov.co/portal/604/articles-61854_
documento.docx
Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk Management Guide for Information Technology Systems
Recommendations of the National Institute of Standards and Technology. Recuperado a partir de https://www.
archives.gov/files/era/recompete/sp800-30.pdf
34 35
Elaborado por:
Documento Metodológico
Ámbito 4
38