Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TRATAMIENTO DE RIESGOS
ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE
LA INFORMACIÓN (EGSI versión 2.0)
[Versión 1]
FIRMAS DE REVISIÓN Y APROBACIÓN
2. Alcance ............................................................................................................................................................ 4
3. Usuarios .......................................................................................................................................................... 4
Anexo 1 ........................................................................................................................................................................ 12
2. Alcance
La evaluación y tratamiento de riesgos se aplican al Esquema Gubernamental de Seguridad de la
Información (EGSI); es decir, a todos los activos que se utilizan dentro de la institución o que pueden
tener un impacto sobre la seguridad de la información en el ámbito del EGSI. Su alcance específico
se encuentra definido en el documento “Definición del Alcance EGSI V2.0”.
3. Usuarios
Los usuarios de este documento son todos los funcionarios del Ministerio de Ambiente, Agua y
Transición Ecológica que participan en la evaluación y tratamiento de riesgos de seguridad de la
información. Dentro de los principales usuarios, tenemos:
Ministro (a)
La máxima autoridad a través del Comité de Seguridad de la Información es el responsable de
asegurar que la seguridad de la información se gestione adecuadamente en toda la Institución.
El líder de cada Unidad, es responsable de garantizar que los funcionarios (as) que trabajan bajo su
control protejan la información de acuerdo con las normas establecidas por la Institución.
Funcionarios (as)
Son las personas que usan los activos de información y los sistemas para su procesamiento. Son
los responsables de conocer, cumplir y hacer cumplir la política de seguridad de la información
vigente y además tienen la obligación de reportar incidentes de seguridad.
Propietario de los activos: puede no tener derechos de propiedad sobre el activo, pero tiene la
responsabilidad de su producción, desarrollo, mantenimiento, uso y seguridad, según corresponda.
El propietario del activo con frecuencia es la persona más idónea para determinar el valor que el
activo tiene para la institución.
Propietario de los riesgos: Persona o entidad propietaria del riesgo con responsabilidad y autoridad
para gestionar un riesgo
Para simplificar el proceso se define que el propietario del activo para cada riesgo también será el
propietario del riesgo.
4.2. Activos, vulnerabilidades y amenazas
Estimación de la amenaza
Valoración de Ejemplo de Estimación de la vulnerabilidad Ejemplo de
(criterio)
la probabilidad amenaza (TI) (criterio) vulnerabilidad (TI)
No se utilizan
La ocurrencia es muy No existe ninguna medida de contraseñas para
Código
Alto (3) probable (probabilidad > seguridad implementada para que los usuarios
malicioso
50%) prevenir la ocurrencia de la amenaza ingresen a los
sistemas
Existen normas
Existen medidas de seguridad
para la utilización
La ocurrencia es probable Falla de implementadas que no reducen la
Medio (2) de contraseñas,
(probabilidad =50%) hardware probabilidad de ocurrencia de la
pero no se
amenaza a un nivel aceptable
implementa
Existen normas
La ocurrencia es menos
desastres para la utilización
Bajo (1) probable (probabilidad >0 y La medida de seguridad es adecuada
naturales de contraseñas y
<50%)
es aplicada
Para los riesgos calificados desde 4 a 27 se deben seleccionar una o más opciones de
tratamiento: Reducción, Transferencia, Evitar o Aceptación del riesgo.
1. Reducción del riesgo, elección de control o controles de seguridad del Anexo del Acuerdo Ministerial
No. 025-2019.
2. Transferencia de los riesgos a terceros; por ejemplo, suscribiendo una póliza de seguros o un
contrato con proveedores o socios.
3. Evitar los riesgos discontinuando una actividad comercial que ocasiona ese riesgo.
4. Aceptación del riesgo: esta opción está permitida solamente si la selección de otras opciones de
tratamiento del riesgo costaría más que el potencial impacto en el caso de que se materializara dicho
riesgo.
El tratamiento de riesgos relacionados con procesos externalizados debe ser atendido por
medio de contratos con los terceros responsables.
Los propietarios de riesgos deben revisar los riesgos vigentes y deben actualizar la Matriz
de evaluación de riesgos y el Cuadro de tratamiento de riesgos de acuerdo con los nuevos
riesgos identificados. La revisión se realiza al menos una vez por año, o con mayor
frecuencia en caso de cambios organizacionales significativos, cambios importantes en
tecnología, en los objetivos de negocios, en el entorno empresarial o cuando exista una
necesidad específica.
En nombre de los propietarios de riesgos, la máxima autoridad aceptará todos los riesgos
residuales a través del Informe de cumplimiento de la Gestión de Riesgos.
[3] 27001 ACADEMY, Implement ISO 27001 and ISO 22301 effortlessly,
Referencia:
www.iso27001standard.com
Historial de modificaciones
Evaluación de Riesgos
Análisis de Riesgos
Impacto Probabilidad controles
Cálculo de Nivel
Proceso Nro. Nombre Nivel de Nivel de Evaluación de
Subprocesos Amenaza Vulnerabilidad CID implementados
Macro Activo Activo amenaza vulnerabilidad Riesgo Riesgo
existentes
0,00 0,00
A1 0,00 0,00
0,00 0,00
Tratamiento de Riesgos
Cálculo de
Nivel de
Evaluación
Método de tratamiento Tipo de Controles a Nivel de Nivel de Riesgo con el
CID Riesgo con el
de Riesgos control Implementar amenaza vulnerabilidad control
control
Implementado
implementado
0,00
0,00
0,00
0,00