Está en la página 1de 71

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

SGSI SECRETARIA DE LAS TIC


SEGURIDAD INFORMATICA
Conjunto de métodos, procesos o técnicas para la protección de los sistemas informáticos (redes e
infraestructura) y la información en formato digital que éstos almacenen.

SEGURIDAD DE LA INFORMACIÓN
Medidas y actividades que procuran proteger los activos de información, entendiéndose éstos como los
conocimientos o datos que tienen valor para una organización

CIBERSEGURIDAD
Conjunto de medidas de “Protección de activos de información, a través del tratamiento de amenazas que
ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información
que se encuentran interconectados”

CONFIDENCIALIDAD – INTEGRIDAD - DISPONIBILIDAD


LINEAMIENTOS GENERALES
MINTIC MINISTERIO DE LAS TECNOLOGIAS
INFORMACION Y COMUNICACIONES
SGSI SISTEMA DE GESTION DE TRANSVERSAL SG SISTEMAS DE GESTION DE LA
SEGURIDAD DE LA MINFORMACION ENTIDAD
DAFP DEPARTAMENTO ADMINISTRATIVO DE LA
FUNCION PUBLICA

ISO 27001 - 2013


DOCUMENTOS APLICABLES

GUIA PARA LA ADMINISTRACION DEL RIESGO DAFP


http://www.funcionpublica.gov.co/documents/418537/506911/1592.pdf/73e5a159-2d8f-41aa-8182-eb99e8c4f3ba

NORMAS ISO
27001 – 2013 – SEGURIDAD DE LA INFORMACION
27005 – 2011 GESTION DE RIESGOS
27002 – 2013 CODIGO DE PRACTICA PARA LA GESTION DE LA SEGURIDAD DE
LA INFORMACION 14 dominios, 35 objetivos de control y 114 controles
https://tienda.icontec.org/producto/e-book-ntc-iso-iec27001-tecnologia-de-la-informacion-tecnicas-de-seguridad-sistemas-de-gestion-de-la-seguridad-de-
la-informacion-requisitos/?v=42983b05e2f2
LEY 1581 – 2012 PROTECCION DE DATOS PERSONALES

LEY 1273 – 2009 PROTECCION DE LA INFORMACION Y LOS DATOS

LEY 1266 – 2008 HABEAS DATA

LEY 594 – 2000 GESTION DOCUMENTAL


LEY 1712 – 2014 Ley de Transparencia y del Derecho de
Acceso a la Información Pública Nacional
Decreto Único Reglamentario del sector de las tecnologías y las
comunicaciones 1078 de 2015 Nivel Nacional

Titulo 9 - Políticas y Lineamientos de Tecnologías de la Información

Capitulo 1 - Estrategia Gobierno en Línea

Sección 2 - Componentes Instrumentos y Responsables

Numeral 4 - SPI Comprende las acciones transversales él los demás


componentes enunciados, tendientes a proteger la información y los sistemas
de información, del acceso, uso, divulgación, interrupción o destrucción no
autorizada.
DATO PERSONAL

Es cualquier información vinculada o que pueda asociarse a una o


varias personas naturales que, dependiendo de su grado de
utilización y acercamiento con la intimidad de las personas podrá
ser pública, semiprivada o privada

DIRECCION
Son aquellos datos
personales que las NO ES NECESARIA TELEFONO
DATO PERSONAL normas y la SENTENCIAS
LA AUTORIZACION
PUBLICO Constitución han JUDICIALES
determinado DEL TITULAR
expresamente como
EJECUTORIADAS
públicos ESTADO CIVIL
DATO PERSONAL

No tienen una
naturaleza íntima, DATO FINANCIERO
AUTORIZACION
DATO PERSONAL reservada, ni pública Y CREDITICIO
EXPRESA DEL
SEMI PRIVADO y cuyo conocimiento Ley 1266 de
o divulgación puede TITULAR
Habeas Data
interesar no solo a su
titular, sino a un grupo
de personas o a la
sociedad en general

Es un dato personal
que por su naturaleza AUTORIZACION
DATO PERSONAL NIVEL DE
íntima o reservada EXPRESA DEL
PRIVADO solo interesa a su ESCOLARIDAD
TITULAR
titular.
DATO PERSONAL

origen racial o étnico,


Especial protección, por inclinación política,
cuanto afecta la
intimidad del titular y
tendencia religiosa,
su tratamiento puede datos biométricos
generar discriminación. AUTORIZACION (firma, fotografía y
DATO PERSONAL Este dato no puede ser
huella), la información
objeto de tratamiento a EXPRESA DEL
SENSIBLE relacionada con la
menos que sea TITULAR
requerido para salud. Ej. Estado de
salvaguardar un interés salud, historial clínico,
vital del titular o este se
encuentre incapacitado
enfermedades,
y su obtención haya información
sido autorizada relacionada con
expresamente
cuestiones de carácter
psicológico,
psiquiátrico,, etc.
ISO 27001 - 2013

1- ALCANCE: Este estándar internacional especifica los requisitos para establecer,


implementar, mantener y mejorar de manera continua un sistema de gestión de
seguridad de la información dentro del contexto de la organización. Este estándar
internacional también incluye requisitos para la evaluación y tratamiento de riesgos de
seguridad de la información de forma específica a las necesidades de la organización.
Los requisitos establecidos en este estándar internacional son genéricos con la
intención de ser aplicables a todas las organizaciones, de manera independiente a su
tipo, tamaño o naturaleza. La exclusión de los requisitos especificados en las cláusulas
4 a 10 no es aceptable cuando una organización clama la conformidad con este
estándar internacional.
2- REFERENCIAS NORMATIVAS
3 -TERMINOS Y DEFINICIONES
- al 10
ISO 27001 - 2013

Objetivos
Proveer a las organizaciones con los elementos de un Sistema de
Seguridad de la Información efectivo que logre la mejor práctica en la
seguridad de la información mientras es viable de forma económica.
Requisitos
• Especifica de manera formal (mediante requisitos) el sistema de
gestión necesario para llevar la seguridad de información a un estado de
control de gestión explícito.
• En su anexo A enumera los objetivos de control y los controles que
desarrolla la ISO 27002.
GUIAS MINTIC MODELO SPI
GUIAS MINTIC

MSPI
http://www.mintic.gov.co/gestionti/615/w3-article-5482.html

Modelo de seguridad http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html

El Modelo de Seguridad y Privacidad de la Información se encuentra alineado con el Marco


de Referencia de Arquitectura TI y soporta transversalmente los otros componentes de la
Estrategia GEL: TIC para Servicios, TIC para Gobierno Abierto y TIC para Gestión.
Ciclo de operación del modelo de Seguridad y Privacidad de la información
MSPI

D
I
A
G
N
O
S
T
I
C
O
P H
V A
MSPI - Metas, Resultados e Instrumentos de la Fase
Etapas previas a la implementación - DIAGNOSTICO

DIAGNOSTICO

ESTADO ACTUAL DE LA
ENTIDAD

IDENTIFICAR EL NIVEL DE
MADUREZ

LEVANTAMIENTO DE
INFORMACIÓN
Metas, Resultados e Instrumentos de la Fase Etapas
previas a la implementación
Determinar el estado actual de
la gestión de seguridad y Diligenciamiento de la Herramienta de diagnóstico
privacidad de la información al herramienta.
interior de la Entidad.

Identificar el nivel de madurez Diligenciamiento de la


de seguridad y privacidad de la herramienta e identificación del Herramienta de diagnóstico
información en la Entidad nivel de madurez de la entidad.

Identificar vulnerabilidades
Documento con los hallazgos
técnicas y administrativas que Herramienta de diagnóstico
encontrados en las pruebas de
sirvan como insumo para la fase
vulnerabilidad.
de planificación.

Utilizar los siguientes instrumentos:


Herramienta de diagnostico
Instructivo para el diligenciamiento de la herramienta
Guía No 1 - Metodología de Pruebas de Efectividad
MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION MSPI
MADUREZ

NIVEL 1 NIVEL 3 NIVEL 4


NIVEL 0 NIVEL 5
INICIAL NIVEL 2 EFECTIVO GESTIONADO
INEXISTENTE OPTIMIZADO
REPETIBLE
Reconoce que En este nivel se Ha realizado las
Desconoce o no Encuentra en la
tiene Tiene realizan tareas fases de
tiene en cuenta seguridad de la
problemas de procedimientos de diagnostico evaluación y
el tema de información un
seguridad y que no formales de planificación e desempeño y
Seguridad de la valor agregado
estos necesitan seguridad implementació mejora
Información para la entidad.
ser resueltos n continua
ISO 27001 - 2013

ESTRUCTURA DE LA NORMA - 1 A 10
PLANIFICACIÓN HACER VERIFICAR ACTUAR
MSPI - PLANIFICACIÓN
PLANIFICACIÓN
MSPI - FASES
Metas, Resultados e Instrumentos de la Fase Etapas
previas a la implementación - PLANIFICACION
Documento con la política de
seguridad de la información,
POLITICA DE SEGURIDAD DE LA Guía No 2 – Política General
debidamente aprobado por la
INFORMACION MSPI
alta Dirección y socializada al
interior de la Entidad.

Manual con las políticas de


seguridad y privacidad de la
POLÍTICAS DE SEGURIDAD
información, debidamente Guía No 2 – Política General
Y PRIVACIDAD DE LA
aprobadas por la alta dirección MSPI
INFORMACIÓN
y socializadas al interior de la
Entidad.

Procedimientos, debidamente
PROCEDIMIENTOS DE documentados, socializados y Guía No 3 - Procedimientos de
SEGURIDAD DE LA aprobados por el comité que Seguridad y Privacidad de la
INFORMACIÓN. integre los sistemas de gestión Información.
institucional.
Metas, Resultados e Instrumentos de la Fase Etapas
previas a la implementación - PLANIFICACION

Acto administrativo a través


del cual se crea o se modifica
las funciones del comité
gestión institucional (o el que
haga sus veces), en donde se
incluyan los temas de Guía No 4 - Roles y
ROLES Y RESPONSABILIDADES
seguridad de la información responsabilidades de
DE SEGURIDAD Y PRIVACIDAD
en la entidad, revisado y seguridad y privacidad de la
DE LA INFORMACIÓN.
aprobado por la alta información
Dirección, deberá designarse
quien será el encargado de
seguridad de la información
dentro de la entidad.
Metas, Resultados e Instrumentos de la Fase Etapas
previas a la implementación - PLANIFICACION

Documento con la
metodología para
identificación, clasificación y
valoración de activos de
información, validado por el
comité de seguridad de la
información o quien haga sus
Guía No 5 - Gestión De
veces y revisado y aprobado
INVENTARIO DE ACTIVOS DE Activos
por la alta dirección.
INFORMACIÓN. Guía No 20 - Transición Ipv4 a
Matriz con la identificación,
Ipv6
valoración y clasificación de
activos de información.
Documento con la
caracterización de activos de
información, que contengan
datos personales
Inventario de activos de IPv6
Metas, Resultados e Instrumentos de la Fase Etapas
previas a la implementación - PLANIFICACION
INTEGRACIÓN DEL MSPI CON EL Integración del MSPI, con el
Guía No 6 - Gestión Documental
SISTEMA DE GESTIÓN sistema de gestión documental
DOCUMENTAL de la entidad.

Documento con la
metodología de gestión de
riesgos.
Documento con el análisis y
evaluación de riesgos. Guía No 7 - Gestión de
IDENTIFICACIÓN,
Documento con el plan de Riesgos
VALORACIÓN Y TRATAMIENTO
tratamiento de riesgos. Guía No 8 - Controles de
DE RIESGO.
Documento con la declaración Seguridad
de aplicabilidad.
Documentos revisados y
aprobados por la alta
Dirección.

Guía No 14 - Plan de
Documento con el plan de
comunicación, sensibilización y
PLAN DE COMUNICACIONES. comunicación, sensibilización y
capacitación
capacitación para la entidad.
Metas, Resultados e Instrumentos de la Fase Etapas
previas a la implementación - PLANIFICACION

Documento con el Plan de


PLAN DE DIAGNÓSTICO DE Guía No 20 - Transición IPv4 a
diagnóstico para la transición
IPV4 A IPV6. IPv6
de IPv4 a IPv6.
MSPI - IMPLEMENTACIÓN

IMPLEMENTACION

CONTROL Y PLANEACION
OPERACIONAL

PLAN DE TRATAMIENTO DE
RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA
INFORMACIÓN

DEFINICION DE INDICADORES
DE GESTION
Metas, Resultados e Instrumentos de la Fase de
Implementación

Documento con la estrategia de


Documento con el plan de
planificación y control
PLANIFICACIÓN Y CONTROL tratamiento de riesgos.
operacional, revisado y
OPERACIONAL. Documento con la declaración
aprobado por la alta Dirección
de aplicabilidad.

IMPLEMENTACIÓN DEL PLAN Informe de la ejecución del plan Documento con la declaración
DE TRATAMIENTO DE RIESGOS de tratamiento de riesgos de aplicabilidad.
aprobado por el dueño de cada Documento con el plan de
proceso. tratamiento de riesgos.
Metas, Resultados e Instrumentos de la Fase de
Implementación

Documento con la descripción


de los indicadores de gestión de Guía No 9 - Indicadores de
INDICADORES DE GESTIÓN.
seguridad y privacidad de la Gestión SI.
información

Documento con el Plan de


PLAN DE DIAGNÓSTICO DE IPV4 Guía No 20 - Transición IPv4 a
diagnóstico para la transición
A IPV6. IPv6
de IPv4 a IPv6.
MSPI – EVALUACION DE DESEMPEÑO

EVALUACION DE DESEMPEÑO

MONITOREO, MEDICIÓN,
ANALISIS Y EVALUACIÓN.

AUDITORIA INTERNA

REVISION POR LA ALTA


DIRECCIÓN
Metas, Resultados e Instrumentos de la Fase de
Evaluación del Desempeño

PLAN DE REVISIÓN Y Documento con el plan de


SEGUIMIENTO, A LA seguimiento y revisión del Guía No 16 – Evaluación del
IMPLEMENTACIÓN DEL MSPI. MSPI revisado y aprobado por desempeño.
la alta Dirección.

Documento con el plan de


ejecución de auditorías y Guía No 15 – Guía de
PLAN DE EJECUCIÓN DE
revisiones independientes al Auditoría.
AUDITORIAS
MSPI, revisado y aprobado por
la Alta Dirección.
MSPI – MEJORA CONTINUA

MEJORAMIENTO CONTINUO

ACCIONES CORRECTIVAS

MEJORA CONTINUA
Metas, Resultados e Instrumentos de la Fase de
Mejora Continua

Resultados de la ejecución del


Plan de Revisión y
Seguimiento, a la
Documento con el plan de
Implementación del MSPI.
PLAN DE MEJORA CONTINUA mejoramiento.
Resultados del plan de
Documento con el plan de
ejecución de auditorías y
comunicación de resultados.
revisiones independientes al
MSPI.
Guía No 17 – Mejora Continua
ISO 27001 – 2013 / MSPI

MANEJO DE
APLICACIONES
ACTIVOS - ACTIVOS
SEGURAS
RIESGOS

DOCUMENTACION PROCESOS -
CONTROLES
PROCEDIMIEN
AUDITABLE TOS DE ACCESO

COPIAS DE
RESPALDO Y SU CONTINUIDAD DRP - BCP
MANEJO
ACTIVOS DE INFORMACION

IMPACTO
PERSONAS ECONOMICO INFRAESTRUCTURA
U
OPERATIVO

PROCESOS IMPACTO REDES


IMAGEN

HARDWARE
IMPACTO DATOS
Y
SOFTWARE LEGAL
DE QUE PROTEGEMOS LOS ACTIVOS DE
INFORMACION

DEBEMOS ASEGURAR
CONFIDENCIALIDAD - INTEGRIDAD Y DISPONIBILIDAD
ACTIVOS DE INFORMACION

CONFIDENCIALIDAD DISPONIBILIDAD
INTEGRIDAD
Propiedad mediante la cual la Propiedad mediante la cual la
información no se hace Propiedad de protección de la información es accesible y
disponible o revelada a exactitud y completitud de la utilizable por nuestra entidad o
personas, entidades o procesos información por solicitud de una entidad
no autorizados autorizada
ISO 27001 – 2013 / MSPI
IDENTIFICAR ACTIVOS DE
INFORMACION - INVENTARIO

VALORACION DE LOS
ACTIVOS

ANALISIS DE RIESGOS

PROBABILIDAD
IMPACTO

RIESGO INHERENTE

VALORAR CONTROLES
EXISTENTES

RIESGO RESIDUAL

TRATAMIENTO DE RIESGOS
IMPLEMENTAR CONTROLES
ISO 27001 - 2013
INVENTARIO DE ACTIVOS DE INFORMACION
IDENTIFICAR - INGRESO - RETIRO – MODIFICACION
ACTIVO DE INFORMACION
OFICIAL DE SEGURIDAD

El inventario de activos de información debe ser un documento clasificado como


“Confidencial”, y no debe tener características que lo permitan modificar por los usuarios
autorizados. Sólo debe tener acceso de modificación a este documento el líder del proceso
con previa autorización del oficial de seguridad de la información o quien hagas sus veces.
MATRIZ INVENTARIO Y CLASIFICACIÓN DE
ACTIVOS DE INFORMACION
MATRIZ INVENTARIO Y CLASIFICACIÓN DE
ACTIVOS DE INFORMACION
IDENTIFICACION DEL ACTIVO DE INFORMACION
Objetivo: Documentar toda la información posible de cada uno de los activos de información pertenecientes a
MUNICIPIO XXX – ALCALDIA XXXXXX ETC.

NÚMERO DE REGISTRO: El encargado de


Diligenciar el Proceso de la entidad
llevar y actualizar el inventario de activos
relacionado al activo de la información.
de información, deberá asignar un
Ejemplo1: Proceso de Gestión Humana
número consecutivo único que identifica
Ejemplo2: Proceso de Gestión
al activo en el inventario.
Tecnológica.
Ejemplo3: Proceso de Finanzas
MATRIZ INVENTARIO Y CLASIFICACIÓN DE
ACTIVOS DE INFORMACION

Diligenciar el nombre dado al Servidor,


Equipo, Aplicación, persona, documentos
etc. Diligenciar el Sistema de información con Diligenciar las áreas asociadas al activo de
Ejemplo para Aplicación: BIZAZGI el cual está relacionado al activo de la información que tengan influencia sobre
Ejemplo para Servidor: CUNDISSRV03 información. la información.
Ejemplo para documentos: Archivo de Ejemplo1: Sistema de Nómina. Ejemplo1: Área de Gestión Humana.
gestión = Carpetas físicas Ejemplo2: Sistema de Salud. Ejemplo2: Área de la Salud.
Ejemplo3: SISFIN - Sistema Financiero Ejemplo3: Área Financiera
MATRIZ INVENTARIO Y CLASIFICACIÓN DE
ACTIVOS DE INFORMACION

Diligenciar el tipo de activo:


HARDWARE: Equipos de cómputo y de comunicaciones que por su criticidad son considerados activos de
información, no sólo activos fijos. Diligenciar el Sitio en el cual se encuentra
SOFTWARE: Software de aplicación, interfaces, software del sistema, herramientas de desarrollo y otras utilidades físicamente el activo de información
relacionadas Ejemplo: CTRO DE COMPUTO PISO 3
INFORMACION : bases y archivos de datos, contratos, documentación del sistema, investigaciones, acuerdos de ALCALDIA.
confidencialidad, manuales de usuario, procedimientos operativos o de soporte, planes para la continuidad del
negocio, acuerdos sobre retiro y pruebas de auditoría, entre otros.
RECURSO HUMANO: Aquellas personas que, por su conocimiento, experiencia y criticidad para el proceso, son
consideradas activos de información.
SERVICIO: Servicios de computación y comunicaciones, tales como Internet, páginas de consulta, directorios
compartidos e Intranet
OTROS: activos de información que no corresponden a ninguno de los tipos descritos anteriormente pero deben
ser valorados para conocer su criticidad al interior del proceso.
MATRIZ INVENTARIO Y CLASIFICACIÓN DE
ACTIVOS DE INFORMACION
IDENTIFICACION DEL ACTIVO DE INFORMACION
Objetivo: Documentar toda la información posible de cada uno de los activos de información pertenecientes al
MUNICIPIO XXXXXXXX - ALCALDIA XXXXX ETC.
MATRIZ INVENTARIO Y CLASIFICACIÓN DE
ACTIVOS DE INFORMACION
CLASIFICACION DE ACUERDO A LA CONFIDENCIALIDAD
se refiere a que la información no esté disponible ni sea revelada a individuos, entidades o procesos no
autorizados. Ley 1712 de 2104
MATRIZ INVENTARIO Y CLASIFICACIÓN DE
ACTIVOS DE INFORMACION
CLASIFICACION DE ACUERDO A LA INTEGRIDAD
se refiere a la exactitud y completitud de la información (ISO 27000) esta propiedad es la que permite que
la información sea precisa, coherente y completa desde su creación hasta su destrucción
MATRIZ INVENTARIO Y CLASIFICACIÓN DE
ACTIVOS DE INFORMACION
CLASIFICACION DE ACUERDO A LA DISPONIBILIDAD
es la propiedad de la información que se refiere a que ésta debe ser accesible y utilizable por solicitud de
una persona entidad o proceso autorizada cuando así lo requiera está, en el momento y en la forma que
se requiere ahora y en el futuro, al igual que los recursos necesarios para su uso
MATRIZ INVENTARIO Y CLASIFICACIÓN DE
ACTIVOS DE INFORMACION
CRITICIDAD
Es un cálculo automático que determina el valor general del activo, de acuerdo con la clasificación de la
Información:

- Alta. Activos de información en los cuales la clasificación de la información en dos o todas las
propiedades (confidencialidad, integridad, y disponibilidad) es alta.

- Media. Activos de información en los cuales la clasificación de la información es alta en una de sus
propiedades (confidencialidad, integridad, y disponibilidad) o al menos una de ellas es de nivel medio.

- Baja. Activos de información en los cuales la clasificación de la información en todos sus niveles es baja.
MATRIZ INVENTARIO Y CLASIFICACIÓN DE
ACTIVOS DE INFORMACION

PROPIETARIO: Es una parte designada de la entidad, un


cargo, proceso, o grupo de trabajo que tiene la CUSTODIO: Es la persona/área que se encarga de
responsabilidad de garantizar que la información y los administrar la seguridad en cuanto a las actividades de
activos asociados con el proceso se clasifican control para la confidencialidad, integridad y
adecuadamente. Deben definir y revisar periódicamente disponibilidad de la información contenida en el activo de
las restricciones y clasificaciones del acceso. información.
Ciclo de operación del modelo de Seguridad y Privacidad de la información
MSPI - RIESGOS

D
I
A
G
N
O
S
T
I
C
O
P H
V A
FACTORES DE RIESGO

Factor de Riesgo Descripción


Personal de la organización que se encuentra relacionado con
Personas
la ejecución del proceso de forma directa o indirecta.
Conjunto interrelacionado entre sí de actividades y tareas
Procesos
necesarias para llevar a cabo el proceso.
Conjunto de herramientas tecnológicas que intervienen de
Tecnología
manera directa o indirecta en la ejecución del proceso.
Conjunto de recursos físicos que apoyan el funcionamiento de
Infraestructura
la organización y de manera específica el proceso.
Condiciones generadas por agentes externos, las cuales no
Factores son controlables por la empresa y que afectan de manera
Externos
directa o indirecta el proceso.
CLASIFICACION DE RIESGOS

Tipo de Riesgo Descripción


Se asocia con la forma como se administra la entidad. Su manejo se
enfoca a asuntos globales relacionados con la misión y el
Riesgo estratégico cumplimiento de los objetivos estratégicos, la clara definición de las
políticas, diseño y conceptualización de la entidad por parte de la alta
gerencia.
Están relacionados con la percepción y la confianza por parte de la
Riesgo de imagen
ciudadanía hacia la institución.
Riesgos provenientes del funcionamiento y operatividad de los
Riesgo operativo sistemas de información institucional, la definición de los procesos, de
la estructura de la entidad, articulación entre dependencias.
CLASIFICACION DE RIESGOS

Tipo de Riesgo Descripción


Manejo de recursos de la entidad, estados financieros, ejecución
Riesgo financiero presupuestal, pagos, manejo de excedentes de tesorería, y manejo de
bienes
Riesgos de Capacidad para cumplir con requisitos legales, contractuales, ética
cumplimiento publica y compromisos con la comunidad
Riesgos de Capacidad tecnológica de la entidad para satisfacer sus necesidades
Tecnología actuales y futuras y el cumplimiento de la misión.
RIESGO = PROBABILIDAD DE QUE UNA AMENAZA
EXPLOTE UNA VULNERABILIDAD
EJEMPLO PARA HARDWARE

VULNERABILIDAD AMENAZA
Mantenimiento Incumplimiento en el
insuficiente/instalación fallida de los mantenimiento del sistema de
medios de almacenamiento. información

RIESGO RIESGO ES LA
Equipos en alto riesgo de fallas por PROBABILIDAD DE QUE
falta de mantenimiento – falla en UNA AMENAZA
EXPLOTE UNA
los equipos por falta de reemplazo
VULNERABILIDAD
o actualización

CONTROL ANEXO A NORMA ISO 27001-2013


A.11.2.4 MANTENIMIENTO DE EQUIPOS
Los equipos deben recibir mantenimiento adecuado para
garantizar disponibilidad e integridad continuadas
Registro ultimo mantenimiento fecha y firmas
Garantías vigentes y ANS
MATRIZ VALORACION DE RIESGOS
DE ACTIVOS DE INFORMACION
PROBABILIDAD DE OCURRENCIA X IMPACTO VALORACION DE CONTROLES RIESGO RESIDUAL
MATRIZ VALORACION DE RIESGOS
DE ACTIVOS DE INFORMACION

5 – CATASTROFICO 5 – CATASTROFICO 5 – CATASTROFICO


4 - MAYOR 4 - MAYOR 4 - MAYOR
3 - MODERADO 3 - MODERADO 3 - MODERADO
Probabilidad 2 – MENOR 2 – MENOR 2 – MENOR
1 - INSIGNIFICANTE 1 - INSIGNIFICANTE 1 - INSIGNIFICANTE
Casi Seguro

Probable
Posible
Improbable
Raro
MATRIZ VALORACION DE RIESGOS
DE ACTIVOS DE INFORMACION
Probabilidad de ocurrencia EstImacion del Impacto
Este riesgo se ha materializado?
1 No se ha presentado en
los últimos 5 años. Valoracion y clasificacion
2 Al menos de una vez en OPERATIVO Valoracion y clasificacion del
Amenaza Vulnerabilidad RIESGO los últimos 5 años. IMAGEN LEGAL del Riesgo
1 Grupo de funcionarios 1 Multas
1 Ajustes a una actividad completa Impacto
3 Al menos de una vez en 2 Cambios en los procedimientos = Riesgo Inherente
los últimos 2 años. 2 Todos los funcionarios 2 Demandas
3 Cambios en la interaccion de los
4 Al menos de una vez en 3 Usuarios ciudad 3 Investigacion disciplinaria
procesos
el último año. 4 Usuarios region 4 Investigacion fiscal
4 Intermitencia en el servicio
5 Más de una vez al año. 5 Usuarios país 5 Intervencion sancion
5 Paro total del proceso

Equipos en alto riesgo de


Incumplimiento en el mantenimiento Mantenimiento insuficiente fallas por falta de 2 IMPROBABLE

mantenimiento
Falla en los equipos por
Ausencia de esquemas
Destrucción de equipos falta de reemplazo o 2 IMPROBABLE
de reemplazo periódico

1 Ausencia de un eficiente
actualizacion.
Por falta de control de
cambios se podria
Error en el uso control de cambios en la presentar fallas en la 4 PROBABLE

POR CADA RIESGO configuración configuracion de los


equipos.

DAMOS UN VALOR Perdida de suministro de energia


Susceptibilidad a las
variaciones de tension
No disponibilidad de los
equipos por fallas de
energia electrica.
5 CASI SEGURO

A PROBABILIDAD DE Por falta de controles de


acceso fisico - Manipulacion
Hurto o daño en los
equipos por falta de
Hurto de medios o documentos controles de acceso fisico al 1 RARO

OCURRENCIA sin autorizacion de los


equipos
sitio donde se encuentran
los equipos.

.(10 RIESGOS POR Abuso de los derechos


Ausencias de pistas de
auditoria (LOGS)
Abuso de los derechos por
ausencia de pistas de
auditoria (logs)
3 POSIBLE
5 5 5 5 CATASTROFICO 15 EXTREMO

CADA ACTIVO) Fallas o daños o error en el


Ausencia de mecanismos de uso en los equipos por
Procesamiento ilegal de datos 3 POSIBLE
monitoreo sobre el equipo ausencia de mecanismos de
monitoreo.

Procesamiento ilegal de
datos por habilitacion de
Habilitación de servicios
Procesamiento ilegal de datos servicios innecesarios (guias 2 IMPROBABLE
innecesarios
de hardening o guias de
aseguramiento).
Ausencia de planes de
Ausencia de planes de
Falla del equipo continuidad en caso de falla 5 CASI SEGURO
continuidad
del equipo
Autenticacion no
Ausencia de identificacion y
autorizada por falsificacion
Falsificacion de derechos autentificacion del emisor y 2 IMPROBABLE
de derechos. Permisos
el receptor
usuario contraseña etc.
29 5 5 5 5 CATASTROFICO 145 0
3

TOTAL PROBABILIDAD TOTAL IMPACTO RIESGO INHERENTE

3 POSIBLE 5 CATASTROFICO 15 EXTREMO

2
SE SUMAN LOS DIEZ 3
VALORES DE DAMOS UN VALOR ENTRE 1 Y 5 A
PROBABILIDAD DE ESTIMACION DE IMPACTO A :
4
OCURRENCIA Y SE IMAGEN – LEGAL - OPERATIVO.
MULTIPLICAMOS EL VALOR DE
DIVIDEN EN 10 LO CUAL SE SUMAN ESTOS TRES VALORES Y
TOTAL PROBABILIDAD (3) * TOTAL
NOS DA EL VALOR DE SE DIVIDEN EN TRES LO CUAL NOS
IMPACTO (5) = 3*5=15
TOTAL PROBABILIDAD DA COMO RESULTADO
RIESGO INHERENTE
PARA EL EJEMPLO = 3 TOTAL IMPACTO
PARA EL EJEMPLO = 15 EXTREMO
PARA EL EJEMPLO 5+5+5=15
DIVIDIDO EN 3 = 5
MATRIZ VALORACION DE RIESGOS
DE ACTIVOS DE INFORMACION
Con los datos anteriores ya podemos valorar y clasificar el Riesgo Inherente, para esto tomamos el valor que nos
dio en TOTAL PROBABILIDAD y los multiplicamos por el valor que nos dio en TOTAL IMPACTO. En el caso del
ejemplo 3*5 = 15 y nos ubicamos en el mapa de calor. Para el ejemplo nos da 15 = EXTREMA

Probabilidad Valor Evaluación 25 EXTREMA


20 EXTREMA
Casi Seguro 5 5 10 15 20 25
16 EXTREMA
Probable 4 4 8 12 16 20 15 EXTREMA
12 ALTA
Posible 3 3 6 9 12 15
10 ALTA
Improbable 2 2 4 6 8 10
9 ALTA
Raro 1 1 2 3 4 5
8 ALTA
Valor 1 2 3 4 5
6 MODERADA
Catastrófic
Impacto Insignificante Menor Moderado Mayor 5 MODERADA
a
4 MODERADA
3 BAJA
Valoración Descripción Zona 2 BAJA
Zona de riesgo Crítico: Evitar el riesgo, Reducir el riesgo, Compartir 1 BAJA
Extrema
o transferia
Alta Zona de riesgo importante - Reducir el riesgo, Compartir o transferir
Moderada Zona de riesgo moderado - Asumir el riesgo o Reducir el riesgo
Baja Zona de riesgo tolerable - Asumir el riesgo
MATRIZ VALORACION DE RIESGOS
VALORACION DE CONTROLES
AL RESPONDER SI O NO A CADA PREGUNTA, LA MATRIZ AUTOMATICAMENTE LE DARA UN VALOR DE
ACUERDO A LA SIGUIENTE TABLA

PARAMETROS CRITERIOS SI/NO PUNTAJE


Posee una herramienta para ejercer
N 15
el control

Existen manuales instructivos o


Herramientas para ejercer el procedimientos para el manejo de S 15
control la herramienta

En el tiempo que llava la


herramienta ha demostrado ser S 30
efectiva

Estan definidos los responsables de


la ejecucion del control y del N 15 VALORACION DE CONTROLES
seguimiento EXISTENTES
Seguimiento al control

La frecuencia de la ejecucion del


S 25
control y seguimiento es adecuada.

100

Y AUTOMATICAMENTE NOS DARÁ EL RESULTADO DE LA VALORACIÓN DE LOS CONTROLES EXISTENTES


EN CADA RIESGO
ESTE PASO SE REALIZA A CADA UNO DE LOS 10 RIESGOS IDENTIFICADOS Y AL FINALIZAR LA MATRIZ
SUAMARÁ LOS 10 RESULTADOS Y NOS DARÁ DE FORMA AUTOMATICA EL VALOR TOTAL DE LOS 10
CONTROLES EXISTENTES

Disminuir # de casillas en
Nueva probabilidad Nuevo impacto Nueva valoracion Y CLASIFICACION DEL Riesgo
Disminuir # de casillas en impacto en el mapa de calor probabilidad en el mapa de calor
VALORACION CONTROLES EXISTENTES despues de valorar los despues de valorar los controles una vez valorados los controles
despues de valorar los controles existente despues de valorar los controles
controles existentes existentes = RIESGO RESIDUAL
existentes

53 1 1 2 4 8 ALTO
NUEVA VALORACION DEL RIESGO DESPUES DE
VALORAR LOS CONTROLES EXISTENTES

Ya con la valoración de los controles existentes que para este ejemplo dio 53, revisamos la siguiente tabla
y dependiendo del valor que nos de como resultado y si el control Afecta la probabilidad o el impacto se
desplazará automáticamente en la matriz de calificación (mapa de calor), de acuerdo al rango.
Para el ejemplo nos da 53 por lo tanto disminuiremos un cuadrante en PROBABILIDAD y un cuadrante
en IMPACTO . Recordemos que el riesgo inherente fue el resultado de Probabilidad 3 Impacto 5 = 15
Ahora la matriz de forma automática nos disminuirá 1 cuadrante en cada uno Probabilidad 2 Impacto 4 = 8
EL RIESGO RESIDUAL NOS HABIA DADO 15 EXTREMO POR LO QUE AHORA DISMINUIREMOS
UNA CASILLA EN IMPACTO Y UNA CASILLA EN PROBABILIDAD

La valoración del control nos dio 53 por lo tanto disminuimos un cuadrante en probabilidad y uno en impacto
En el mapa de calor. Quedando Probabilidad = 2 e Impacto = 4 y nos ubicamos de nuevo en el cuadro de calor
En donde el resultado es 8 PROBABILIDAD X IMPACTO = 8 ALTA (RIESGO RESIDUAL)

25 EXTREMA
Probabilidad Valor Evaluación
20 EXTREMA
16 EXTREMA
Casi Seguro 5 5 10 15 20 25
15 EXTREMA
Probable 4 4 8 12 16 20 12 ALTA
Posible 3 3 6 9 12 15 10 ALTA
Improbable 2 2 4 6 8 10 9 ALTA
Raro 1 1 2 3 4 5 8 ALTA
Valor 1 2 3 4 5 6 MODERADA
Impacto Insignificante Menor Moderado Mayor Catastrófica 5 MODERADA
4 MODERADA
3 BAJA
2 BAJA
1 BAJA
DESPUES DE VALORAR LOS CONTROLES EXISTENTES Y DE LLEVARLOS A LA TABLA DE RANGO DE
CALIFICACION DE LOS CONTROLES EL FORMATO NOS PRESENTA DE FORMA AUTOMATICA LA NUEVA
PROBABILIDAD Y EL NUEVO IMPACTO

Disminuir # de casillas en
Nueva probabilidad Nuevo impacto Nueva valoracion Y CLASIFICACION DEL Riesgo
Disminuir # de casillas en impacto en el mapa de calor probabilidad en el mapa de calor
VALORACION CONTROLES EXISTENTES despues de valorar los despues de valorar los controles una vez valorados los controles
despues de valorar los controles existente despues de valorar los controles
controles existentes existentes = RIESGO RESIDUAL
existentes

53 1 1 2 4 8 ALTO

RIESGO
RESIDUAL
RIESGO

(INHERENTE)
RIESGO

RESIDUAL

CONTROL
TRATAMIENTO DEL RIESGO RESIDUAL MEJORAS Y
SEGUIMIENTO

Para el tratamiento o mejora debemos especificar que controles implementar o mejorar basándonos En la Norma de Seguridad
de la Información ISO 27001-2013.

CONTROLES ISO 27001-2013


SEGUIMIENTO
A IMPLEMENTAR

- Quien: Juan Pérez


- Como: Con tal herramienta x
- Cuando: Se implementará el 25
Implementar el control 9.1.1 de la Norma
de Dic. Del año x
ISO27001-2013
- Seguimiento: Se realizará un
seguimiento a esta actividad en
Jun.15 del año x

Para su seguimiento, se debe registrar quien será el responsable de implementar el control, Como o con que herramientas y la fecha en la
que debe estar implementado.

El responsable de su implementación debe valorar costo beneficio de implementación de un control Ya que de este análisis puede resultar
mejor compartir, transferir o evitar el Riesgo.

FORMATO ACTA PLAN DE TRATAMIENTO DE RIESGOS A-


GT-FR-0XX
BENEFICIOS AL IMPLEMENTAR UN SGSI
O MSPI (MINTIC)

• Reduce el riesgo de que se produzcan pérdidas de información en las organizaciones. Por


pérdidas también entendemos robos y corrupciones en la manipulación de la misma.
• Se hace una revisión continua de los riesgos a los que están expuestos los clientes.
Adicionalmente, se hacen controles de manera periódica.
• Establece una metodología gracias a la cual se puede gestionar la seguridad de la información
de forma clara y concisa.
• Implanta medidas de seguridad para que los propios clientes puedan acceder a la información.
• Gracias a contar con dicho Sistema de Gestión, obliga a que se realicen auditorías externas de
manera periódica y este hecho permite identificar las incidencias que pudiera haber en el
Sistema de Gestión de Seguridad de la Información, fomentando de este modo la mejora
continua en la organización.
• Contribuye al incremento en la motivación del personal, ya que se desempeñan en una
organización comprometida con la seguridad de la información.
BENEFICIOS AL IMPLEMENTAR UN SGSI –
O MSPI (MINTIC)

• Contar un SGSI otorga a la organización una garantía frente a clientes y socios estratégicos ya
que muestra a la misma como un organismo preocupado por la confidencialidad y seguridad de la
información que es depositada en la misma.
• Permite a las organizaciones continuar operando con normalidad en caso de producirse
problemas importantes.
• Se puede hacer una integración conjunta con otros Sistemas de Gestión Normalizados tales
como ISO 9001, ISO 14001, OHSAS 18001 ,entre otras.
• Hace que la organización esté cumpliendo con la legislación vigente en materia de información
personal y propiedad intelectual.
• La seguridad en la información que ofrece implantar un SGCI de acuerdo a ISO 27001 favorece
una reducción de los costes y un mejor funcionamiento de los procesos.
• Se convierte en un elemento favorable para la empresa frente a la competencia, pues el contar con
un SGSI le hace aumentar su imagen a nivel internacional.
LA SECRETARIA DE LAS TIC APOYA TODOS LOS PROCESOS
DE LA GOBERNACION DE CUNDINAMARCA Y SUS MUNICIPIOS
GARANTIZANDO
CONFIDENCIALIDAD – INTEGRIDAD Y DISPONIBILIDAD
DE LA INFORMACION

GRACIAS POR SU ATENCION


Miguel Antonio Garcia Arango
Ingeniero de Sistemas - Especialista Auditoria de sistemas
AI Sistemas de Gestión de Seguridad de la Información ISO 27001:2013
AI Sistemas de Gestión del Servicio ISO 20000-1:2011
AI Sistemas de Gestión de Continuidad del Negocio ISO 22301:2012
AI Sistemas de Gestión del Riesgo en Seguridad de la Información ISO
27005:2011
GRACIAS POR SU ATENCION

JEIMY ANDREA RODRIGUEZ ACERO


andrea.rodriguez@cundinamarca.gov.co
Cel. 3208682025

DIANA MERCEDES SARMIENTO CORREA


diana.sarmiento@cundinamarca.gov.co
Cel. 3214547106

También podría gustarte