Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plan de Tratamiento de Riesgos de Seguridad y Privacidad de La Información
Plan de Tratamiento de Riesgos de Seguridad y Privacidad de La Información
RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA
INFORMACIÓN
IMPLEMENTACIÓN ESTRATEGIA TECNOLOGÍAS DE
INFORMACIÓN Y COMUNICACIONES
ALCALDÍA MUNICIPAL DE CANDELARIA – VALLE
2018©
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
TABLA DE CONTENIDO
GLOSARIO .....................................................................................................................5
INTRODUCCION ............................................................................................................7
1. OBJETIVOS .............................................................................................................8
1.1 OBJETIVO GENERAL ....................................................................................8
1.2 OBJETIVOS ESPECÍFICOS ..........................................................................8
2. MARCO TEORICO ...................................................................................................8
2.1 SEGURIDAD INFORMÁTICA .........................................................................8
2.2 NORMA ISO 27001.........................................................................................9
2.3 NORMA ISO 27005.........................................................................................9
2.4 ISO 27001. ORIGEN E HISTORIA5 ..............................................................11
2.5 MODELO PHVA PARA EL SGSI ..................................................................13
2.6 METODOLOGÍA MAGERIT ..........................................................................13
2.7 OBJETIVOS DE LA METODOLOGÍA MAGERIT ..........................................14
3. MARCO CONTEXTUAL .........................................................................................14
3.1 PRESENTACIÓN DE LA ORGANIZACIÓN ..................................................15
4. ETAPAS PARA LA ADMINISTRACIÓN DEL RIESGO APAS DEL PROYECTO ....17
4.4 IDENTIFICACIÓN DE LAS AMENAZAS .......................................................26
4.5 IDENTIFICACIÓN DE LAS VULNERABILIDADES .......................................27
4.6 IDENTIFICACIÓN DE CONTROLES EXISTENTES .....................................29
4.7 EVALUACIÓN DE RIESGO ..........................................................................29
4.8 VALORACION DE CONTROLES..................................................................34
4.9 SOCIALIZACIÓN DE LA IMPORTANCIA DE LA GESTIÓN DE RIESGOS
INFORMÁTICOS Y SEGURIDAD DE LA INFORMACIÓN ......................................40
5. RESULTADOS Y DISCUSIÓN ...............................................................................48
5.1 RECOMENDACIONES .................................................................................48
6. ANEXOS.................................................................................................................48
2
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
TABLA DE CUADROS
3
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
LISTA DE FIGURAS
4
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
GLOSARIO
5
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
6
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
INTRODUCCION
7
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
1. OBJETIVOS
2. MARCO TEORICO
2.1 SEGURIDAD INFORMÁTICA
8
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
• Prefacio
• Introducción
• Referencias normativas
• Términos y definiciones
• Estructura
• Fondo
• Establecimiento de contexto
5 The ISO 27000 Directory, Introduction To ISO 27005 (ISO27005), 2008 [en línea], [consultado el 15, Enero, 2018].
Disponible en Internet: http://www.27000.org/iso-27005.htm
6 Modelo de Seguridad Y Privacidad de la Información (MSPI)2017 [en línea], [consultado el 15, Enero, 2018].
Disponible en Internet:http:// http://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf
10
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
1901 – Nacen en Inglaterra las Normas “BS”: La British Standards Institution publica
normas con el prefijo “BS” con carácter internacional.
2
1998 –Se hace una revisión de la anterior norma BS 7799-2:1999 que establecía los
requisitos para implantar un Sistema de Gestión de Seguridad de la Información
certificable.
2006 - BS 7799-3:2006 proporciona una guía para soportar los requisitos establecidos
por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de
análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad
de la información (SGSI).
11
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
2007 –Se renombra la norma ISO 17799: y pasa a ser la ISO 27002:2005
2008 –se crea la norma ISO 27005:2008 para la Gestión de Riesgos (BS 7799-3:2006)
Este año 2013 se ha publicado ya la nueva versión de la ISO 27001 que trae cambios
significativos en su estructura, evaluación y tratamiento de los riesgos.
12
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Un SGSI establece una serie de procesos y lineamientos que se deben seguir mediante
la estandarización de la norma ISO 27001 para asegurar los activos de información
como Bases de datos, oficios, actas etc. de una organización. El objetivo es mantener
siempre la confidencialidad, integridad y disponibilidad de la información.
Esta metodología, guía paso a paso cómo llevar a cabo el análisis de riesgos. Está
dividida en tres partes. La primera parte hace referencia al Método, donde se describe
la estructura que debe tener el modelo de gestión de riesgos de acuerdo a la norma ISO
27001.
13
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Por último, son las técnicas que Contiene ejemplos de análisis con tablas, algoritmos,
árboles de ataque, análisis de costo beneficio, técnicas gráficas y buenas prácticas para
llevar adelante sesiones de trabajo para el análisis de los riesgos.
3. MARCO CONTEXTUAL
CANDELARIA VALLE:
14
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Símbolos:
Escudo
Se Adoptó según Acuerdo No. 034 de noviembre de 1991, compuesto por cuatro
cantones; Canton superior izquierdo sobre azul simboliza la agroindustria, Cantón
superior izquierdo diestro en franjas sinople y morado irrumpen los ricos corregimientos
iluminados por el sol naciente, Cantón inferior izquierdo en siena la tierra arada, Cantón
inferior diestro la cabecera con el río que taja el cantón y se apoya en la franja sinople,
signo de fertilidad y esperanza.
El Escudo esta bordeado por la bandera del Municipio en oro sinople y coronado por la
cinta que dice 1545 candelaria 1894 este escudo fue diseñado por el niño Fabián
Alexis Manzano de nueve años de edad del colegio Ana Julia Holguín Hurtado del
Ingenio de Mayagüez S.A. en el concurso de ideas de carácter regional realizado en
noviembre de 1991 por la Secretaria de Educación Municipal.
15
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Bandera
Himno
Autor: Autor de Letra: Isaías Gamboa Holguín Autor de Música: Libardo Mora Ramos
Misión
16
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Visión
Fase 4
Identificación de Amenazas
Identificación de
Fase 5
vulnerabilidades
Fase 6 Identificación
de controles
Fase 7
Evaluación de Riesgos
17
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
TIPO DOCUMENTAL:
Nombre del activo de información / Nombre correspondiente al activo de información
como Base de Datos, Actas, informes, Sistemas de información etc.
TIPOLOGÍA:
Software / el activo de información se encuentra en forma digital
Hardware/ el activo de información se encuentra en física
18
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Información que puede ser conocida y utilizada sin autorización por cualquier
0 Publico
persona, sea empleado de la Alcaldía o no
Información que puede ser conocida y utilizada por todos los empleados de la
Alcaldía y algunas entidades externas debidamente autorizadas, y cuya Reservada –
1
divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves para Uso Interno
la Alcaldía, el Sector Público Nacional o terceros.
Información que sólo puede ser conocida y utilizada por un grupo de empleados,
Reservada -
2 que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados
Confidencial
podría ocasionar pérdidas significativas a la Alcaldía o a terceros.
Información que sólo puede ser conocida y utilizada por un grupo muy reducido
de empleados, generalmente de la alta dirección de la Alcaldía, y cuya Reservada
3
divulgación o uso no autorizados podría ocasionar pérdidas graves al mismo o a Secreta
terceros.
19
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Información cuya modificación no autorizada puede repararse, aunque podría ocasionar pérdidas
1 leves para la Alcaldía o terceros
Información cuya inaccesibilidad permanente durante una hora podría ocasionar pérdidas
3 significativas a la Alcaldía o a terceros. Disponibilidad
/ Se evalúa con
los siguientes valores
Tabla 4:Evaluación de Disponibilidad.
20
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Area/Dependencia
Observaciones
La identificación de los riegos se realiza con observación directa, ingeniería social y con el
análisis a los equipos de seguridad perimetral. Por confidencialidad de la Alcaldía municipal
de Candelaria Valle se presenta la identificación de riesgos general.
RIESGOS
CAUSAS EFECTO
INFORMÁTICOS
-Fallas en el proceso de -Afectación
copia de respaldo o de parcial o total de
restauración de la la continuidad de
información, o pérdida de la las operaciones
misma. de los servicios
del
Perdida Robo o Fuga
-Fallas en los análisis y Incumplimiento
de Información
socialización de las normativo
vulnerabilidades de la
infraestructura de IT -Vulneración de
los sistemas de
-No contar con acuerdos de seguridad
confidencialidad con los operando
21
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
-Ataques cibernéticos
internos o externos -Pérdida o fuga
de información
-Empleados no capacitados
en los temas de riesgos
informáticos.
22
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
-Conectar dispositivos
externos a los equipos.
-Falta de implementación de
la política escritorio limpio
-Cifrado de la
información.
-Empleados no capacitados
en los temas de riesgos
- Captura de las
informáticos.
pulsaciones del
teclado.
- Desconocimiento del riesgo.
- Monitoreo de
- No generar una Cultura de
las actividades
Seguridad de la Información
realizadas en el
Correos electrónicos de equipo.
- Falta de Filtros en el
extraña procedencia
Servidor de Correo
- Ataque remoto
mediante un
- Programas de DLP (Data
troyano o
Lost Prevention)
gusano.
- Falta de instalación de
- Robo de
EndPoint (programa
contraseñas.
seguridad punto final) en las
estaciones de trabajo.
- Equipo usado
como Zombie
23
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
para BotNet
(usado para
atacar otros
DDoS)
- Robo de
documentos y/o
archivos.
- Sistema con
mal
funcionamiento.
-Manejo inadecuado de los -Perdida de
equipos información
- Derrame de líquido
- Falta de ambiente
adecuado para los equipos
24
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
equipos de computo
-Creación de
-Desconocimiento del riesgo. perfil de ataque
Dumpsterdiving
(buceo en la basura) -Falta de capacitación y -Captura de
conciencia. información
privilegiada
-Daño externo del ISP
(Internet service provider)
Perdida de
conectividad -Ataque DDoS o DOS
(denegación de servicios
distribuidos o Denegación de
servicios )
-Daño en los
equipos
tecnológicos
-Espionaje -Denegación de
servicios
-Secuestro de la
información
25
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
-Divulgación
ilegal de la
información
-Suplantación de
identidad
-Destrucción de
la información
-Soborno de la
información
Una amenaza se identifica como un evento, persona, situación o fenómeno que pueda
causar daño a los activos de la organización. Las amenazas pueden ser de origen Humano
o Ambientales.
AMENAZA TIPO
Polvo, Corrosión Evento Naturales
Inundación Evento Naturales
26
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Las vulnerabilidades son las Fallas o debilidades en un sistema, que puede ser
explotada por quien la conozca. Cuando la amenaza encuentra la vulnerabilidad es
cuando se crea el riesgo. Por eso es necesario conocer la lista de amenazas y el
inventario de activos de información
VULNERABILIDADES DESCRIPCIÓN
No existe un control para el acceso de
Fácil acceso a las dependencias o
las personas no autorizadas a las
Secretarías.
secretarías.
El dispositivo de seguridad biométrica
Falta de dispositivos de seguridad
reduce el riesgo de robo de
biométrica para acceso a las
información o equipos electrónicos por
secretarias de alto riesgo.
fácil acceso.
Falta de Aplicación de la Política de La política de escritorio limpio, es
27
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
28
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
TABLA DE PROBABILIAD
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
El evento puede ocurrir solo en circunstancias
1 Raro No se ha presentado en los últimos 5 años
excepcionales
2 improbable El evento puede ocurrir en algún momento Al menos una vez en los últimos 5 años
3 posible El evento podría ocurrir en algún momento Al menos una vez en los últimos 2 años
El evento probablemente ocurra en la mayoría
4 probable Al menos una vez en el último año
de las circunstancias
Se espera que el evento ocurra en la mayoría de
5 Casi Seguro 29 Más de una vez al año
las circunstancias
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
TABLA DE IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
Si el hecho llegara a presentarse, tendría
1 Insignificante
consecuencias o efecto mínimos sobre la entidad
IMPACTO
PROBABILIDAD
Insignificante(1) Menor(2) Moderado(3) Mayor(4) Catastrofico(5)
Raro(1) B B M A A
improbable(2) B B M A E
posible(3) B M A E E
probable(4) M A A E E
Casi Seguro (5) A A E E E
30
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
ANÁLISIS DE RIESGOS
EVALUACIÓ
CALIFICACIÓN
TIPO DE N MEDIDAS DE
RIESGO
IMPACTO ZONA DE RESPUESTAS
PROBABILIDAD IMPACTO
RIESGO
Disponibilida
Perdida, d ,integridad Reducir el
Robo o fuga y riesgo
3 5 Extrema
de confidenciali ,Evitar o
IMPACTO
PROBABILIDAD
Insignificante(1) Menor(2) Moderado(3) Mayor(4) Catastrofico(5)
Raro(1) B B M A A
improbable(2) B B M A E
posible(3) B M A E E
probable(4) M A A E E
Casi Seguro (5) A A E E E
31
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
aclarar que esta aplicación cuenta con derecho de autor y es información confidencial la
cual no puede ser divulgada.
32
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Nuevo riesgos
33
Ilustración 11:Creacion de Causa y Efecto.
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
34
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
VALORACIÓN DE CONTROL
0 0
ENTRE 0-50
1 1
ENTRE 51-75
2 2
ENTRE 76-100
Tabla 14:Evaluación de los controles
35
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
ANÁLISIS DE RIESGOS
CALIFICACIÓN PUNTAJE
PUNTAJE
TIPO DE Herramienta PUNTAJE
RIESGO CONTROL Seguimiento
PROB IMPACTO CONTROL para ejercer FINAL
al Control
el control
Perdida,
PROBABILID
Robo o
3 5 Reservado AD E 60 40 100
fuga de
IMPACTO
información
De acuerdo con el análisis anterior, el riesgo reduce dos puntos en Probabilidad, y dos
en impacto, de acuerdo a las calificaciones de los controles, como se muestra en la
siguiente ilustración:
IMPACTO
PROBABILIDAD
Insignificante(1) Menor(2) Moderado(3) Mayor(4) Catastrofico(5)
Raro(1) B B M A A
improbable(2) B B M A E
posible(3) B M A E E
probable(4) M A A E E
Casi Seguro (5) A A E E E
37
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
38
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
MAPA DE RIESGOS
Debido a que los funcionarios de una entidad, son el eslabón más débil de la
seguridad informática, se realiza una presentación sobre seguridad informática y
seguridad de la información que permite a los funcionarios, conocer la importancia
de la gestión de riesgos informáticos y conocer los riesgos que enfrentan para
poder mitigarlos.
40
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
41
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
42
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
43
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
44
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
45
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
46
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
47
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
5. RESULTADOS Y DISCUSIÓN
5.1 RECOMENDACIONES
6. ANEXOS
48
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
49
Código: 54-PGI-FT-538
MUNICIPIO DE CANDELARIA Fecha: 12-Octubre-2017
REGISTRO DE ACTIVOS DE INFORMACIÓN Versión: 1
Página 50 de 51
Área/Dependencia
Nivel del
Presentación de la inf.
(formato o extensión)
Criterio
Documentos físicos
Nombre del líder del Norma, función
OBSERVACIONES
Electrónico
Confidencialidad
proceso o proceso
Hardware
Servicios
Disponibilidad
Software
Nombre del
Análogo
Digital
Descripción
Integridad
registro o
del activo de
Activo de
información
información
UNA VEZ IMPRESO ESTE DOCUMENTO SE CONSIDERA COPIA NO CONTROLADA Y NO NOS HACEMOS RESPONSABLES POR SU ACTUALIZACION
Código: 54-PGI-FT-538
MUNICIPIO DE CANDELARIA Fecha: 12-Octubre-2017
REGISTRO DE ACTIVOS DE INFORMACIÓN Versión: 1
Página 51 de 51
Información cuya modificación no autorizada puede repararse fácilmente, o no afecta la operatoria Nivel Descripción Criterio de Disponibilidad
0 de la Alcaldía.
Información cuya modificación no autorizada puede repararse aunque podría ocasionar pérdidas 0 Información cuya inaccesibilidad no afecta la operatoria de la Alcaldía.
1 leves para la Alcaldía o terceros
Información cuya inaccesibilidad permanente durante una semana podría ocasionar
Información cuya modificación no autorizada es de difícil reparación y podría ocasionar pérdidas 1 pérdidas significativas para la Alcaldía o terceros.
2 significativas para la Alcaldía o terceros.
Información cuya inaccesibilidad permanente durante un día podría ocasionar pérdidas
Información cuya modificación no autorizada no podría repararse, ocasionando pérdidas graves a la 2 significativas a la Alcaldía o a terceros.
3 Alcaldía o a terceros.
Información cuya inaccesibilidad permanente durante una hora podría ocasionar pérdidas
3 significativas a la Alcaldía o a terceros.
Información que puede ser conocida y utilizada sin autorización por cualquier
0 Publico
persona, sea empleado de la Alcaldía o no
Información que puede ser conocida y utilizada por todos los empleados de la
Alcaldía y algunas entidades externas debidamente autorizadas, y cuya Reservada –
1
divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves para Uso Interno
la Alcaldía, el Sector Público Nacional o terceros.
Información que sólo puede ser conocida y utilizada por un grupo de empleados,
Reservada -
2 que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados
Confidencial
podría ocasionar pérdidas significativas a la Alcaldía o a terceros.
Información que sólo puede ser conocida y utilizada por un grupo muy reducido
de empleados, generalmente de la alta dirección de la Alcaldía, y cuya Reservada
3
divulgación o uso no autorizados podría ocasionar pérdidas graves al mismo o a Secreta
terceros.
UNA VEZ IMPRESO ESTE DOCUMENTO SE CONSIDERA COPIA NO CONTROLADA Y NO NOS HACEMOS RESPONSABLES POR SU ACTUALIZACION