Hoja 1 DE 15

Secretaría de Hacienda y Crédito Público

Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

2. Directriz de administración de riesgos

Objetivo

Establecer las reglas que permitan evaluar y administrar los riesgos inherentes a los activos de información empleados en
los procesos de negocio, a través de un adecuado tratamiento de los mismos mediante la identificación, valoración,
implantación y medición de las medidas de seguridad seleccionadas, con el fin de apoyar al cumplimiento de la misión y
objetivos de la Secretaría.

Objetivos específicos

 Generar una visión sistémica acerca de la evaluación y administración de los riesgos con el fin de apoyar el
direccionamiento estratégico de la seguridad.
 Definir las consideraciones sobre riesgos de TIC y seguridad a la información que coadyuven en la toma de
decisiones estratégicas de la Secretaría.
 Definir las estrategias, metodologías y herramientas para administrar los riesgos.
 Establecer los roles y responsabilidades de los grupos y equipos involucrados en la administración de riesgos.
 Definir la forma y periodicidad con las que se informará a los equipos y grupos involucrados en la
administración de riesgos, sobre los riesgos a los que se encuentran expuestos los procesos y servicios que
utilizan.
 Establecer las reglas para medir la efectividad de controles en la administración de riesgos.
 Garantizar el cumplimiento normativo regulatorio relacionado con la administración de riesgos.

Alcance

Las reglas de la directriz de administración de riesgos aplican a todos aquellos procesos de los que la Secretaría dependa
para alcanzar sus objetivos y niveles de servicio comprometidos y aquellos procesos críticos vinculados a la Seguridad
Nacional.

Justificación

Para la Secretaría, la seguridad de la información posee una importancia relevante como aporte para el logro de sus
objetivos y la gestión institucional; la información que se transmite, almacena o procesa a través de los sistemas, bases de
datos, aplicaciones y redes apoya las operaciones de los procesos. En ese sentido este flujo dinámico de información
presenta como consecuencia la exposición a amenazas que representan un riesgo respecto a la seguridad de la
información, por lo que se hace necesario ejecutar acciones para la administración de estos riesgos tomando en cuenta
que están determinados por factores de carácter externo, también denominados del entorno y factores de carácter interno
puedan impedir en un momento determinado los objetivos institucionales.

Algunos de los factores externos que ha enfrentado la Secretaría son: emergencias sanitarias, sismos, manifestaciones,
amenazas de bomba, fuga de gas, entre otros.

Entre los factores internos destacan ataques al portal web, denegación de servicios, accesos no autorizados, la falta de
conocimientos en seguridad de la información del personal, entre otros.

Formato ASI F3, v 1.0.

 Hoja 2 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

Por consiguiente, es necesario prevenir las posibles pérdidas en la confidencialidad, integridad y disponibilidad al activo
más valioso de la Secretaría, después del recurso humano; su información. Para alcanzar esta meta es indispensable
conducir de forma periódica ejercicios que permitan identificar los riesgos que cuenten con una posibilidad real de
impactar los procesos críticos del negocio.

En este sentido la directriz de administración de riesgos es un elemento fundamental para la administración de la

seguridad de la información, ya que establece las reglas para identificar, tipificar, reducir, mitigar y monitorear los riesgos
inherentes a los activos de información empleados en los procesos de negocio, así como reducir el impacto negativo que
pudieran traer a la Secretaría.

Requerimientos regulatorios

Las regulaciones aplicables para la administración de riesgos y el establecimiento de los controles de seguridad se
enlistan a continuación:

Ley de Seguridad Nacional. Ley que marca las bases de integración y acción coordinada de las instituciones y
autoridades encargadas de preservar la seguridad nacional en sus respectivos ámbitos de competencia.

Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Ley que pone de manifiesto lo
necesario para garantizar el acceso a toda persona a la información en posesión de los poderes de la Unión, órganos
constitucionales autónomos o con autonomía legal o cualquier otra entidad federal.

Ley Federal de Protección de Datos Personales. Ley de orden público e interés general que tiene por objeto establecer
los principios, derechos, obligaciones y procedimientos que regulan la protección y tratamiento de los datos personales
en posesión de los entes públicos.

Ley de Responsabilidades Administrativas de los Servidores Públicos. Ley que dicta y establece la conducta,
responsabilidades, obligaciones y sanciones de los servidores públicos, así como las autoridades competentes para hacer
valer los estatutos mencionados en dicha ley.

Reglamento Interior de la Secretaría de Hacienda y Crédito Público. Reglamento que marca los lineamientos para la
Secretaria, estructura, responsabilidades y funciones

MAAGTICSI. El Manual Administrativo de Aplicación General en materia de Tecnologías de Información y

Comunicaciones y Seguridad de la Información son lineamientos para la regulación de la gestión de las tecnologías de
información y la seguridad de la información en la Administración Pública Federal.

Metodología para la administración de riesgos

La metodología para la gestión de riesgos se basa en un modelo que contempla seis etapas como se muestra en la
siguiente figura:

Formato ASI F3, v 1.0.

 Hoja 3 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

Diagrama de las etapas de administración de riesgos.

Etapa I. Establecimiento del contexto

Consideraciones generales. Se debe recopilar la información de la Unidad Administrativa que permita establecer el
alcance y los límites del análisis de riesgos.

Definición de criterios básicos:

Identificación de los activos de información.

Los activos de información se encuentran divididos de la siguiente manera:

 Activo de información intangible: bases de datos, archivos, software de aplicación, software de sistema o
correo electrónico.
 Activo de información tangible: documentación en papel (contratos, guías y reglamentos de expedientes,
notificaciones, papeles de trabajo, requisiciones, reportes, etc.).

Adicionalmente, cada activo debe ser ubicado respecto a sus características en alguno de los siguientes grupos (clúster):

Clúster de activos
Almacenes Guías y manuales
Aplicación/BD Informes

Formato ASI F3, v 1.0.

 Hoja 4 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

Bitácoras Insumos y material de impresión

Catálogos Material para diseño
Clientes Material para pasaportes
Controles de almacén Oficios
Controles de destrucción Orden de trabajo
Controles de entrega Proceso
Cotización Productos de la unidad administrativa
Documentos de diseño y especificación. Programas
Documentos de facturación Reportes
Equipos de la unidad administrativa Roles

Etapa II. Identificación de amenazas

Las amenazas son cualquier posible acto que pueda causar algún tipo de daño a los activos de información de la
Secretaría. Una amenaza en caso de materializarse tendría efectos negativos en la seguridad de la información.

El Equipo de Trabajo de Análisis de Riesgos debe actualizar la lista de amenazas de referencia en base a información o
incidentes obtenidos en el área de TI, en base a listas de amenazas publicadas en normas como el ISO/IEC 27005:2008,
MAGERIT, RiskIT u otras y en base a los catálogos publicados por organismos de seguridad de la información como
NIST y CERT.

El proceso de asociar amenazas a los activos que forman parte del alcance, debe ser realizado de forma conjunta entre el
Equipo de Trabajo de Análisis de Riesgos y el personal responsable de los activos que se están evaluando.

Formato ASI F3, v 1.0.

 Hoja 5 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

Etapa III. Identificar escenarios de riesgo (probabilidad de ocurrencia, amenaza e impacto).

En esta etapa, el Equipo de Trabajo de Análisis de Riesgos, deberá definir los escenarios de riesgo, para lo cual es
necesario efectuar los cálculos para establecer el valor del riesgo para cada escenario. La fórmula que será utilizada para
dichos escenarios es:

R=P*I

En la que “P” es la probabilidad de ocurrencia de la amenaza e “I” es el Impacto ocasionado por la materialización de la
misma. Para establecer la probabilidad de ocurrencia hay que tomar en cuenta si el elemento humano participa como
agente perpetrador para las amenazas. En este caso la probabilidad se calcula de la siguiente manera:

P = (e + i + c + v) / 20
En el caso de que el factor humano no intervenga como agente perpetrador, la probabilidad de ocurrencia de la amenaza
se calcula con la siguiente fórmula:

P = (e + c + v) / 15
Dónde:

P = Probabilidad de ocurrencia de la amenaza.

e = Existencia de un agente amenaza desde la perspectiva de un activo de información particular (existir).
i = Interés del agente amenaza para atacar al activo de información (querer).
c = Capacidad del agente amenaza para atacar al activo de información (poder).
v = Vulnerabilidad del activo de información.

En la segunda fórmula para el cálculo de la probabilidad no se toma en cuenta el parámetro del interés del agente, ya que
este parámetro solo aplica cuando el factor humano se convierte en un agente de amenaza. Para agentes de amenaza
naturales o materiales el parámetro de interés del agente no aplica.

Para establecer los valores de cada uno de los parámetros anteriormente definidos y de acuerdo a la necesidad de la
Secretaría se estableció una escala con valores entre 1 y 3 a fin de contar con un método conservador que permita
identificar un espectro más amplio de los riesgos en las primeras iteraciones, a continuación se presentan las tablas de
ponderación:

Formato ASI F3, v 1.0.

 Hoja 6 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

Valor Probabilidad de existencia del agente amenaza

3 Es casi seguro que existe. Las instalaciones y el entorno presentan condiciones muy favorables
para que el agente de amenaza se presente con mucha frecuencia.
2 Es probable que exista. Las instalaciones y el entorno presentan ciertas condiciones para que el
agente de amenaza se presente.
1 Es casi imposible que exista. Las instalaciones y el entorno presentan condiciones
desfavorables para que el agente de amenaza se presente en algún momento.

Escala de valoración parámetro existencia para el cálculo de P.

Valor Nivel de interés del agente amenaza

El interés es incontrolable. El agente amenaza utiliza y administra el activo. Adicionalmente
3
tiene un amplio conocimiento sobre su importancia para la empresa.
Se genera regular interés. El agente amenaza utiliza y/o administra el activo. Adicionalmente
2
tiene cierto conocimiento sobre su importancia para la empresa.
Casi no se genera interés. El agente amenaza utiliza o administra el activo pero desconoce su
1
importancia para la empresa.

Escala de valoración parámetro interés para el cálculo de P.

Valor Nivel de capacidad del agente amenaza

Los recursos son superiores. Esto implica que:
 El ambiente donde se encuentra el activo presenta muy altas condiciones para que el
agente materialice la amenaza en cualquier momento. (agente natural, material).
 El agente amenaza tiene las habilidades y competencias para atacar al activo. (Agente
humano).
 El agente amenaza tiene los conocimientos técnicos para utilizar recursos y atacar al
3 activo. (agente humano).
 El agente amenaza utiliza y administra información importante sobre el activo y la
puede utilizar fácilmente.
 El agente amenaza tiene todos los recursos necesarios (herramientas) para atacar al
activo. (agente humano).
 El ambiente presenta todas las libertades para que el agente amenaza acceda y
manipule al activo libremente. (agente humano).
2 Los recursos son regulares. Esto implica que:
 El ambiente donde se encuentra el activo presenta condiciones normales para que el
agente materialice la amenaza en cualquier momento. (agente natural, material).
 El agente amenaza tiene las habilidades y competencias para atacar al activo. (agente
humano).
 El agente amenaza tiene los conocimientos técnicos para utilizar recursos y atacar al
activo. (agente humano).
 El agente amenaza conoce información importante del activo pero no la puede acceder

Formato ASI F3, v 1.0.

 Hoja 7 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

Valor Nivel de capacidad del agente amenaza

y utilizar fácilmente. (agente humano).
 El agente amenaza puede acceder a pocos recursos (herramientas) para atacar al activo.
(agente humano).
 El ambiente presenta pocas libertades para que el agente amenaza acceda y manipule al
activo libremente. (agente humano)

Los recursos son casi nulos. Esto implica que:

 El ambiente donde se encuentra el activo presenta muy bajas condiciones para que el
agente materialice la amenaza en cualquier momento. (agente natural, material).
1  El agente amenaza tiene las habilidades y competencias para atacar el activo. (agente
humano).
 El agente amenaza tiene los conocimientos técnicos para utilizar recursos y atacar el
activo. (agente humano).

Escala de valoración parámetro capacidad para el cálculo de P.

Valor Vulnerabilidad del activo de información

Sin ningún tipo de protección. No existen ningún tipo de control o mecanismo de seguridad
3
que proteja al activo de una amenaza.
Medianamente protegido. El activo tiene un control o mecanismo de seguridad que se
2
considera que funciona adecuadamente y se tiene poca documentación del mismo.
Protección reforzada. El activo tiene varios controles o mecanismos de seguridad que se
1
encuentran bien documentados y su eficiencia ha sido evaluada constantemente.

Escala de valoración parámetro vulnerabilidad del activo para el cálculo de P.

Por cada amenaza asociada a un activo hay que valorar cada uno de los parámetros que forman parte del cálculo de la
probabilidad de ocurrencia. La valoración de estos parámetros se realizará por el dueño del activo que se está evaluando
con apoyo del Equipo de Trabajo de Análisis de Riesgos. El líder del Equipo de Trabajo de Análisis de Riesgos debe
coordinar esta reunión.

El Equipo de Trabajo de Análisis de Riesgos deberá plantear un escenario de riesgos para la tabla de amenazas asociadas
a los activos de información. El propósito de esta actividad es guiar al dueño del activo para que logre visualizar un
escenario en el que la amenaza perjudicaría al activo; y en base a este escenario, sea más fácil plantear las escalas de los
factores para el cálculo de la probabilidad.

Una vez obtenido el valor de probabilidad de ocurrencia de la amenaza se le categoriza de acuerdo a la siguiente tabla.

Valor Probabilidad de ocurrencia de la amenaza

0.8 - 0.9 Casi Seguro
0.6 - 0.7 Alta
0.4 - 0.5 Media

Formato ASI F3, v 1.0.

 Hoja 8 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

0.2 - 0.3 Baja

0.1 Casi Imposible

Escala de valoración de la probabilidad de ocurrencia para el cálculo de R.

Para determinar el impacto ocasionado por la materialización de la amenaza hay que tomar en cuenta 5 factores de
impacto: humano, material, financiero, operativo e imagen de la Secretaría. Tomando en cuenta los cinco factores de
impacto se tiene la certeza de que se han considerado los posibles impactos desde diferentes perspectivas y no únicamente
con base en las primeras impresiones.

De igual forma, para cada activo registrado que forma parte del análisis de riesgos, hay que establecer un valor de
impacto de las amenazas asociadas a dichos activos.

Se deberá realizar una reunión en la que participe el dueño del proceso, el dueño del activo y el Equipo de Trabajo de
Análisis de Riesgos; para que en base al escenario que se planteó para el cálculo de la probabilidad, también se logren
valorar los cinco niveles de impacto (humano, material, financiero, operativo e imagen) mostrados en la siguiente tabla, a
través del consenso de los participantes.

Una vez evaluado cada uno de los cinco tipos de impacto, únicamente se utilizará el valor más alto que se haya obtenido
entre los cinco tipos de riesgos, con el fin de sustituirlo en la fórmula principal:

R = P * I.

Formato ASI F3, v 1.0.

 Hoja 9 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

Impacto Humano Material Financiero Operativo Imagen

Afectación de
procesos críticos que Difusión a
Pérdidas graves Más de
10 Desastroso Muertes no pueden nivel
no recuperables $1,000,000.00
restablecerse en internacional
menos de dos días
Afectación de
Pérdidas graves Entre
Gran procesos críticos, que Difusión a
8 Heridos recuperables a $100,000.00 y
impacto pueden restablecerse nivel nacional
largo plazo $1,000,000.00
en menos de dos días
Lesiones que
Regular Pérdidas leves Entre $50,000.00 Afectación de varios Difusión a
6 producen una
impacto no recuperables y $100,000.00 procesos no críticos nivel local
incapacidad
Difusión
Mínimo Pérdidas leves Entre $10,000.00 Afectación de un dentro de la
4 Lesiones leves
impacto recuperables y $50,000.00 proceso no crítico dependencia o
entidad
Difusión
Insignificant Sin pérdidas Menor de Sin afectación de dentro de la
2 Sin lesiones
e materiales $10,000.00 procesos dependencia o
entidad

Escala de valoración del Impacto para el cálculo de R.

Los niveles de impacto son definidos de acuerdo a la siguiente tabla:

Valor Impacto
10 Desastroso
8 Crítico
6 Grave
4 Significativo
2 Insignificante

Escala de valoración del impacto para el cálculo de R.

Con los valores de la probabilidad de ocurrencia de la amenaza y del impacto obtenidos en las etapas anteriores, se
procede a obtener el valor del riesgo al reemplazar dichos valores en la fórmula R = P * I. Una vez que se obtiene el valor
del riesgo asociado a cada activo de información, hay que aplicar el criterio de aceptación del riesgo para definir las

Formato ASI F3, v 1.0.

 Hoja 10 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

prioridades de tratamiento de los riesgos. En la siguiente tabla “matriz de riesgos” se definen los valores de los riesgos y
cómo priorizar su tratamiento.

MATRIZ DE RIESGOS
0.9 1.8 3.6 6.4 7.2 9.0
0.8 1.6 3.2 4.8 6.4 8.0
0.7 1.4 2.8 4.2 5.6 7.0
0.6 1.2 2.4 3.6 4.8 6.0
Probabilidad

0.5 1.0 2.0 3.0 4.0 5.0

0.4 0.8 1.6 2.4 3.2 4.0
0.3 0.6 1.2 1.8 2.4 3.0
0.2 0.4 0.8 1.2 1.6 2.0
0.1 0.2 0.4 0.6 0.8 1.0
2 4 6 8 10

Impacto
Matriz de riesgos.

Nota: Es importante aclarar que en la tabla anterior, se incluyeron valores adicionales a los que se incluyen en el formato
original, para poder colocar de forma más clara el valor de los riesgos que se han identificado.

Nivel de riesgo Interpretación

Estos riesgos deben ser tratados y deben mitigarse en el
Alto
corto o mediano plazo.
Estos riesgos deben ser tratados en un mediano o largo
Medio
plazo.
Estos riesgos son bajos pero deben ser monitoreados
Bajo
para evitar que cambien de nivel de riesgo.

Escala de valoración de los niveles de riesgo.

Formato ASI F3, v 1.0.

 Hoja 11 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

Etapa IV. Priorización de los riesgos.

El nivel de prioridad de cada riesgo está basado en su valor relativo, esto es, al escenario de riesgo cuyo valor relativo es
el más alto le corresponde la prioridad de 1, al riesgo con el segundo valor más alto le corresponde la prioridad 2 y así
sucesivamente hasta completar todos los escenarios. Si existen riesgos con el mismo valor, el Grupo de Trabajo
Estratégico de Seguridad de la Información deberá establecer las prioridades para el tratamiento de los riesgos de acuerdo
a los intereses y necesidades de Secretaría. El Equipo de Trabajo de Análisis de Riesgos debe coordinar esta labor de
priorización de los riesgos.

 Tratamiento de los riesgos.

o Plan de tratamiento de los riesgos.

Se deberá identificar y evaluar las opciones para el tratamiento de riesgos. Las acciones incluyen: evitar, prevenir, mitigar
o reducir, financiar, transferir o compartir y asumir, debiendo evaluarse en este mismo orden.

o Análisis costo–beneficio de los controles de seguridad.

El Equipo de Trabajo de Análisis de Riesgos debe elaborar la lista de escenarios de riesgo, cuya acción de seguridad
implica el uso de controles o la modificación de un proceso para evitar, prevenir, mitigar y financiar los riesgos. Con esta
lista deben comparar el costo del control que se proponga contra el impacto que se podría ocasionar por la materialización
del riesgo.

El alcance de esta etapa se limita a aquellos factores principales, cuyo cálculo relativamente sencillo permite obtener una
aproximación de los costos involucrados en un escenario de riesgo, donde predominan los factores probabilísticos.

Finalmente y en consenso, se deben proponer los controles que serán implementados en cada uno de los escenarios de
riesgo, considerando lo siguiente:

 El tipo de control (preventivo, correctivo o de recuperación) debe corresponder al tipo de estrategia seleccionada.
 Es posible (más no obligatorio), listar hasta tres controles por cada escenario, en orden de importancia; y
 Un mismo control puede brindar la seguridad requerida en más de un escenario de riesgo.

Formato ASI F3, v 1.0.

 Hoja 12 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

 Aceptación del riesgo.

o Programa de mitigación de riesgos.

El programa de mitigación consiste en elaborar el plan detallado de las actividades que se llevarán a cabo para
implementar los controles que fueron seleccionados para mitigar los riesgos. El plan debe establecer especialmente un
responsable de la implementación y un responsable que se encarga de verificar el cumplimiento del programa.
Adicionalmente hay que establecer un responsable para cada actividad, además de definir las fechas para llevar a cabo las
actividades planeadas.

o Resultado del análisis de riesgos.

Esta etapa genera la presentación de los resultados del análisis de riesgos. Los resultados deben contemplar factores que
forman parte de la documentación generada en las etapas anteriores.

El resultado del análisis de riesgos debe contemplar que el riesgo residual se encuentra en el umbral del criterio de
aceptación definido en la directriz rectora para la administración de riesgos. Si no fuera el caso, el riesgo debe ser tratado
nuevamente para identificar controles de seguridad que logren establecer un riesgo residual que se encuentra dentro del
criterio de aceptación.

 Programa de implantación para el manejo de los riesgos.

o Comunicación del riesgo.

Se debe intercambiar o compartir la información relacionada a los riesgos con los tomadores de decisiones y partes
interesadas. La comunicación debe asegurar que los responsables de implementar la administración de riesgos y las partes
interesadas comprendan las decisiones tomadas y las acciones requeridas.

La comunicación debe lograr:

 Brindar garantías de los resultados de la administración de riesgos.

 Obtener información de riesgos.
 Compartir resultados de la valoración de riesgos y presentar el plan de tratamiento de riesgos.
 Evitar o reducir la ocurrencia y consecuencias de las brechas de seguridad debido a la falta de entendimiento
entre los tomadores de decisiones y las partes interesadas.
 Sustentar a los tomadores de decisiones.
 Obtener nuevo conocimiento en seguridad de la información.

Formato ASI F3, v 1.0.

 Hoja 13 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

 Monitoreo y revisión del riesgo.

Se deben revisar y monitorear los riesgos y sus factores (valor de activos, impactos, amenazas, vulnerabilidades,
probabilidad de ocurrencia) para identificar cualquier cambio en el contexto de manera temprana y mantener un
panorama completo de los riesgos.

Se debe monitorear y revisar:

 Nuevos activos dentro del alcance.

 Modificaciones a los valores de activos.
 Nuevas amenazas y vulnerabilidades.
 Incremento en el impacto o consecuencias de amenazas o vulnerabilidades.
 Incidentes de seguridad de la información.

El análisis de riesgos debe realizarse o actualizarse al menos una vez al año, o bien, en caso de un cambio en los procesos,
activos de información o cuando se detecte una nueva amenaza o vulnerabilidad a la seguridad de la información y/o a los
activos de TIC’s que la soportan.

Adicionalmente hay que monitorear, revisar y mejorar la administración de riesgos de seguridad de la información, para
lo cual se debe cumplir con lo siguiente:

 Contexto legal.
 Contexto ambiental.
 Enfoque de la valoración de riesgos.
 Categorías y valores de los activos.
 Criterios de evaluación y aceptación de riesgos.
 TCO y recursos necesarios.

Este proceso tiene el propósito de mantener la importancia del proceso de administración de riesgos para los objetivos de
negocio o la actualización del proceso.

Formato ASI F3, v 1.0.

 Hoja 14 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

Elementos para la administración de riesgos

Elementos Grupo de riesgo sobre los que incide Escenario

Umbrales de tolerancia al riesgo
Mecanismos que se utilizarán para
medir la correcta administración de
riesgos
Estrategias de mitigación
Periodicidad con la que se
informará a los involucrados en el
proceso
2% de tolerancia
Seguridad de la información
Concientizar, educar y capacitar al
personal interno y externo respecto a temas
de seguridad de la información
Semestral o Anual
Nivel de tolerancia
Afectación en la Confidencialidad,
Integridad y Disponibilidad de la
Información
Proceso de fortalecimiento de la
cultura de la seguridad de la
información
Tiempo estimado

Directrices de administración de riesgos

Necesidad Directriz de administración de Escenario Impacto

riesgos
Contar con un  Proceso de Administración de la Falta de un Sistema de Gestión La no definición e
Sistema de Seguridad de la Información de Seguridad de la Información implementación de
Gestión de  Operación de los Controles de para el establecimiento de controles de seguridad en la
Seguridad de la Información y
Seguridad de la directrices de seguridad de la Secretaría podría generar un
del ERISC
Información en la información. impacto a nivel tecnológico
Secretaría e impedir la continuidad en
las operaciones.

Patrocinio del  Proceso de Administración de la Falta de sensibilización sobre la La no concienciación de la

titular de la Seguridad de la Información importancia de la participación importancia de la seguridad
institución y  Operación de los Controles de de personal estratégico para la de la información para
Seguridad de la Información y
unidades toma de decisiones estratégicas garantizar la
del ERISC
administrativas en la administración de la confidencialidad e
seguridad de la información. integridad de los datos.

Mecanismo de difusión de la Directriz

Se establece como mecanismo de difusión para el conocimiento general de la Directriz para la administración de riesgos,
sesiones de trabajo con los grupos y equipos de trabajo las cuales contendrá los riesgos a los que se encuentra expuesto
cada proceso crítico, asimismo la propuesta de mitigación para cada riesgo.

Mecanismo de revisión del cumplimiento de la Directriz

Formato ASI F3, v 1.0.

 Hoja 15 DE 15
Secretaría de Hacienda y Crédito Público
Proceso ASI
Unidad de Banca de Desarrollo
Banco Nacional de Servicios Financieros Fecha Mayo-2014

Documento de resultados del análisis de riesgos Formato ASI F3

Se establece para la revisión del cumplimiento de la Directriz para la administración de riesgos una sesión de trabajo
entre los miembros del Grupo Estratégico de Seguridad de la Información para procurar su adecuado funcionamiento.

Mecanismo de revisión periódica de la Directriz con respecto de las necesidades la Institución

Se programará una revisión de la Directriz para la administración de riesgos, por lo menos una vez al año, a través de una
sesión de trabajo con los miembros del Grupo Estratégico de Seguridad de la Información y el Responsable de Seguridad
de la Información en la Institución.

Control del documento

Versión Fecha Referencia del cambio
Elaboración del documento
1.0
Firma de revisión y autorización

Firmas de elaboración, revisión y autorización

Elaboró Revisó Autorizó

_______________________ _______________________ _______________________

Formato ASI F3, v 1.0.