Documentos de Académico
Documentos de Profesional
Documentos de Cultura
II.C - ASI-F3 - Directriz de Administración de Riesgos SGSI
II.C - ASI-F3 - Directriz de Administración de Riesgos SGSI
Objetivo
Establecer las reglas que permitan evaluar y administrar los riesgos inherentes a los activos de información empleados en
los procesos de negocio, a través de un adecuado tratamiento de los mismos mediante la identificación, valoración,
implantación y medición de las medidas de seguridad seleccionadas, con el fin de apoyar al cumplimiento de la misión y
objetivos de la Secretaría.
Objetivos específicos
Generar una visión sistémica acerca de la evaluación y administración de los riesgos con el fin de apoyar el
direccionamiento estratégico de la seguridad.
Definir las consideraciones sobre riesgos de TIC y seguridad a la información que coadyuven en la toma de
decisiones estratégicas de la Secretaría.
Definir las estrategias, metodologías y herramientas para administrar los riesgos.
Establecer los roles y responsabilidades de los grupos y equipos involucrados en la administración de riesgos.
Definir la forma y periodicidad con las que se informará a los equipos y grupos involucrados en la
administración de riesgos, sobre los riesgos a los que se encuentran expuestos los procesos y servicios que
utilizan.
Establecer las reglas para medir la efectividad de controles en la administración de riesgos.
Garantizar el cumplimiento normativo regulatorio relacionado con la administración de riesgos.
Alcance
Las reglas de la directriz de administración de riesgos aplican a todos aquellos procesos de los que la Secretaría dependa
para alcanzar sus objetivos y niveles de servicio comprometidos y aquellos procesos críticos vinculados a la Seguridad
Nacional.
Justificación
Para la Secretaría, la seguridad de la información posee una importancia relevante como aporte para el logro de sus
objetivos y la gestión institucional; la información que se transmite, almacena o procesa a través de los sistemas, bases de
datos, aplicaciones y redes apoya las operaciones de los procesos. En ese sentido este flujo dinámico de información
presenta como consecuencia la exposición a amenazas que representan un riesgo respecto a la seguridad de la
información, por lo que se hace necesario ejecutar acciones para la administración de estos riesgos tomando en cuenta
que están determinados por factores de carácter externo, también denominados del entorno y factores de carácter interno
puedan impedir en un momento determinado los objetivos institucionales.
Algunos de los factores externos que ha enfrentado la Secretaría son: emergencias sanitarias, sismos, manifestaciones,
amenazas de bomba, fuga de gas, entre otros.
Entre los factores internos destacan ataques al portal web, denegación de servicios, accesos no autorizados, la falta de
conocimientos en seguridad de la información del personal, entre otros.
Por consiguiente, es necesario prevenir las posibles pérdidas en la confidencialidad, integridad y disponibilidad al activo
más valioso de la Secretaría, después del recurso humano; su información. Para alcanzar esta meta es indispensable
conducir de forma periódica ejercicios que permitan identificar los riesgos que cuenten con una posibilidad real de
impactar los procesos críticos del negocio.
Requerimientos regulatorios
Las regulaciones aplicables para la administración de riesgos y el establecimiento de los controles de seguridad se
enlistan a continuación:
Ley de Seguridad Nacional. Ley que marca las bases de integración y acción coordinada de las instituciones y
autoridades encargadas de preservar la seguridad nacional en sus respectivos ámbitos de competencia.
Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Ley que pone de manifiesto lo
necesario para garantizar el acceso a toda persona a la información en posesión de los poderes de la Unión, órganos
constitucionales autónomos o con autonomía legal o cualquier otra entidad federal.
Ley Federal de Protección de Datos Personales. Ley de orden público e interés general que tiene por objeto establecer
los principios, derechos, obligaciones y procedimientos que regulan la protección y tratamiento de los datos personales
en posesión de los entes públicos.
Ley de Responsabilidades Administrativas de los Servidores Públicos. Ley que dicta y establece la conducta,
responsabilidades, obligaciones y sanciones de los servidores públicos, así como las autoridades competentes para hacer
valer los estatutos mencionados en dicha ley.
Reglamento Interior de la Secretaría de Hacienda y Crédito Público. Reglamento que marca los lineamientos para la
Secretaria, estructura, responsabilidades y funciones
La metodología para la gestión de riesgos se basa en un modelo que contempla seis etapas como se muestra en la
siguiente figura:
Consideraciones generales. Se debe recopilar la información de la Unidad Administrativa que permita establecer el
alcance y los límites del análisis de riesgos.
Activo de información intangible: bases de datos, archivos, software de aplicación, software de sistema o
correo electrónico.
Activo de información tangible: documentación en papel (contratos, guías y reglamentos de expedientes,
notificaciones, papeles de trabajo, requisiciones, reportes, etc.).
Adicionalmente, cada activo debe ser ubicado respecto a sus características en alguno de los siguientes grupos (clúster):
Clúster de activos
Almacenes Guías y manuales
Aplicación/BD Informes
Las amenazas son cualquier posible acto que pueda causar algún tipo de daño a los activos de información de la
Secretaría. Una amenaza en caso de materializarse tendría efectos negativos en la seguridad de la información.
El Equipo de Trabajo de Análisis de Riesgos debe actualizar la lista de amenazas de referencia en base a información o
incidentes obtenidos en el área de TI, en base a listas de amenazas publicadas en normas como el ISO/IEC 27005:2008,
MAGERIT, RiskIT u otras y en base a los catálogos publicados por organismos de seguridad de la información como
NIST y CERT.
El proceso de asociar amenazas a los activos que forman parte del alcance, debe ser realizado de forma conjunta entre el
Equipo de Trabajo de Análisis de Riesgos y el personal responsable de los activos que se están evaluando.
En esta etapa, el Equipo de Trabajo de Análisis de Riesgos, deberá definir los escenarios de riesgo, para lo cual es
necesario efectuar los cálculos para establecer el valor del riesgo para cada escenario. La fórmula que será utilizada para
dichos escenarios es:
R=P*I
En la que “P” es la probabilidad de ocurrencia de la amenaza e “I” es el Impacto ocasionado por la materialización de la
misma. Para establecer la probabilidad de ocurrencia hay que tomar en cuenta si el elemento humano participa como
agente perpetrador para las amenazas. En este caso la probabilidad se calcula de la siguiente manera:
P = (e + i + c + v) / 20
En el caso de que el factor humano no intervenga como agente perpetrador, la probabilidad de ocurrencia de la amenaza
se calcula con la siguiente fórmula:
P = (e + c + v) / 15
Dónde:
En la segunda fórmula para el cálculo de la probabilidad no se toma en cuenta el parámetro del interés del agente, ya que
este parámetro solo aplica cuando el factor humano se convierte en un agente de amenaza. Para agentes de amenaza
naturales o materiales el parámetro de interés del agente no aplica.
Para establecer los valores de cada uno de los parámetros anteriormente definidos y de acuerdo a la necesidad de la
Secretaría se estableció una escala con valores entre 1 y 3 a fin de contar con un método conservador que permita
identificar un espectro más amplio de los riesgos en las primeras iteraciones, a continuación se presentan las tablas de
ponderación:
Por cada amenaza asociada a un activo hay que valorar cada uno de los parámetros que forman parte del cálculo de la
probabilidad de ocurrencia. La valoración de estos parámetros se realizará por el dueño del activo que se está evaluando
con apoyo del Equipo de Trabajo de Análisis de Riesgos. El líder del Equipo de Trabajo de Análisis de Riesgos debe
coordinar esta reunión.
El Equipo de Trabajo de Análisis de Riesgos deberá plantear un escenario de riesgos para la tabla de amenazas asociadas
a los activos de información. El propósito de esta actividad es guiar al dueño del activo para que logre visualizar un
escenario en el que la amenaza perjudicaría al activo; y en base a este escenario, sea más fácil plantear las escalas de los
factores para el cálculo de la probabilidad.
Una vez obtenido el valor de probabilidad de ocurrencia de la amenaza se le categoriza de acuerdo a la siguiente tabla.
Para determinar el impacto ocasionado por la materialización de la amenaza hay que tomar en cuenta 5 factores de
impacto: humano, material, financiero, operativo e imagen de la Secretaría. Tomando en cuenta los cinco factores de
impacto se tiene la certeza de que se han considerado los posibles impactos desde diferentes perspectivas y no únicamente
con base en las primeras impresiones.
De igual forma, para cada activo registrado que forma parte del análisis de riesgos, hay que establecer un valor de
impacto de las amenazas asociadas a dichos activos.
Se deberá realizar una reunión en la que participe el dueño del proceso, el dueño del activo y el Equipo de Trabajo de
Análisis de Riesgos; para que en base al escenario que se planteó para el cálculo de la probabilidad, también se logren
valorar los cinco niveles de impacto (humano, material, financiero, operativo e imagen) mostrados en la siguiente tabla, a
través del consenso de los participantes.
Una vez evaluado cada uno de los cinco tipos de impacto, únicamente se utilizará el valor más alto que se haya obtenido
entre los cinco tipos de riesgos, con el fin de sustituirlo en la fórmula principal:
R = P * I.
Valor Impacto
10 Desastroso
8 Crítico
6 Grave
4 Significativo
2 Insignificante
Con los valores de la probabilidad de ocurrencia de la amenaza y del impacto obtenidos en las etapas anteriores, se
procede a obtener el valor del riesgo al reemplazar dichos valores en la fórmula R = P * I. Una vez que se obtiene el valor
del riesgo asociado a cada activo de información, hay que aplicar el criterio de aceptación del riesgo para definir las
prioridades de tratamiento de los riesgos. En la siguiente tabla “matriz de riesgos” se definen los valores de los riesgos y
cómo priorizar su tratamiento.
MATRIZ DE RIESGOS
0.9 1.8 3.6 6.4 7.2 9.0
0.8 1.6 3.2 4.8 6.4 8.0
0.7 1.4 2.8 4.2 5.6 7.0
0.6 1.2 2.4 3.6 4.8 6.0
Probabilidad
Impacto
Matriz de riesgos.
Nota: Es importante aclarar que en la tabla anterior, se incluyeron valores adicionales a los que se incluyen en el formato
original, para poder colocar de forma más clara el valor de los riesgos que se han identificado.
El nivel de prioridad de cada riesgo está basado en su valor relativo, esto es, al escenario de riesgo cuyo valor relativo es
el más alto le corresponde la prioridad de 1, al riesgo con el segundo valor más alto le corresponde la prioridad 2 y así
sucesivamente hasta completar todos los escenarios. Si existen riesgos con el mismo valor, el Grupo de Trabajo
Estratégico de Seguridad de la Información deberá establecer las prioridades para el tratamiento de los riesgos de acuerdo
a los intereses y necesidades de Secretaría. El Equipo de Trabajo de Análisis de Riesgos debe coordinar esta labor de
priorización de los riesgos.
Se deberá identificar y evaluar las opciones para el tratamiento de riesgos. Las acciones incluyen: evitar, prevenir, mitigar
o reducir, financiar, transferir o compartir y asumir, debiendo evaluarse en este mismo orden.
El Equipo de Trabajo de Análisis de Riesgos debe elaborar la lista de escenarios de riesgo, cuya acción de seguridad
implica el uso de controles o la modificación de un proceso para evitar, prevenir, mitigar y financiar los riesgos. Con esta
lista deben comparar el costo del control que se proponga contra el impacto que se podría ocasionar por la materialización
del riesgo.
El alcance de esta etapa se limita a aquellos factores principales, cuyo cálculo relativamente sencillo permite obtener una
aproximación de los costos involucrados en un escenario de riesgo, donde predominan los factores probabilísticos.
Finalmente y en consenso, se deben proponer los controles que serán implementados en cada uno de los escenarios de
riesgo, considerando lo siguiente:
El tipo de control (preventivo, correctivo o de recuperación) debe corresponder al tipo de estrategia seleccionada.
Es posible (más no obligatorio), listar hasta tres controles por cada escenario, en orden de importancia; y
Un mismo control puede brindar la seguridad requerida en más de un escenario de riesgo.
El programa de mitigación consiste en elaborar el plan detallado de las actividades que se llevarán a cabo para
implementar los controles que fueron seleccionados para mitigar los riesgos. El plan debe establecer especialmente un
responsable de la implementación y un responsable que se encarga de verificar el cumplimiento del programa.
Adicionalmente hay que establecer un responsable para cada actividad, además de definir las fechas para llevar a cabo las
actividades planeadas.
Esta etapa genera la presentación de los resultados del análisis de riesgos. Los resultados deben contemplar factores que
forman parte de la documentación generada en las etapas anteriores.
El resultado del análisis de riesgos debe contemplar que el riesgo residual se encuentra en el umbral del criterio de
aceptación definido en la directriz rectora para la administración de riesgos. Si no fuera el caso, el riesgo debe ser tratado
nuevamente para identificar controles de seguridad que logren establecer un riesgo residual que se encuentra dentro del
criterio de aceptación.
Se debe intercambiar o compartir la información relacionada a los riesgos con los tomadores de decisiones y partes
interesadas. La comunicación debe asegurar que los responsables de implementar la administración de riesgos y las partes
interesadas comprendan las decisiones tomadas y las acciones requeridas.
Se deben revisar y monitorear los riesgos y sus factores (valor de activos, impactos, amenazas, vulnerabilidades,
probabilidad de ocurrencia) para identificar cualquier cambio en el contexto de manera temprana y mantener un
panorama completo de los riesgos.
El análisis de riesgos debe realizarse o actualizarse al menos una vez al año, o bien, en caso de un cambio en los procesos,
activos de información o cuando se detecte una nueva amenaza o vulnerabilidad a la seguridad de la información y/o a los
activos de TIC’s que la soportan.
Adicionalmente hay que monitorear, revisar y mejorar la administración de riesgos de seguridad de la información, para
lo cual se debe cumplir con lo siguiente:
Contexto legal.
Contexto ambiental.
Enfoque de la valoración de riesgos.
Categorías y valores de los activos.
Criterios de evaluación y aceptación de riesgos.
TCO y recursos necesarios.
Este proceso tiene el propósito de mantener la importancia del proceso de administración de riesgos para los objetivos de
negocio o la actualización del proceso.
Se establece como mecanismo de difusión para el conocimiento general de la Directriz para la administración de riesgos,
sesiones de trabajo con los grupos y equipos de trabajo las cuales contendrá los riesgos a los que se encuentra expuesto
cada proceso crítico, asimismo la propuesta de mitigación para cada riesgo.
Se establece para la revisión del cumplimiento de la Directriz para la administración de riesgos una sesión de trabajo
entre los miembros del Grupo Estratégico de Seguridad de la Información para procurar su adecuado funcionamiento.
Se programará una revisión de la Directriz para la administración de riesgos, por lo menos una vez al año, a través de una
sesión de trabajo con los miembros del Grupo Estratégico de Seguridad de la Información y el Responsable de Seguridad
de la Información en la Institución.