Docsity
Inicia sesiónRegístrate
Docsity
Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity

Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium

Orientación Universidad
Orientación Universidad
Vende en Docsity
Vende en Docsity
Inicia sesiónRegístrate

Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity

Busca documentos

Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity

Busca documentos en el Store

Los mejores documentos en venta realizados por estudiantes que han terminado sus estudios

Video Cursos

Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades

Quiz

Responde a preguntas de exámenes reales y pon a prueba tu preparación

Busca entre todos los recursos para el estudio
Docsity AINEW

Resume tus documentos, hazles preguntas, conviértelos en quiz y mapas conceptuales

Ver preguntas

Despeja tus dudas leyendo las respuestas a las preguntas que realizaron otros estudiantes como tú

Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium

Compartir documentos
download point icon20 Puntos

Por cada documento subido

Responde a las preguntas
download point icon5 Puntos

por cada respuesta dada (máx. 1 al día)

Todos los modos para conseguir puntos gratis
Consigue puntos de inmediato

Elige un plan Premium con todos los puntos que necesitas.

Oportunidades de estudio

Elige tu próximo programa de estudio

Ponte en contacto inmediatamente con las mejores universidades del mundo. Busca entre miles de universidades en todo el mundo. Busca entre miles de universidades partner oficiales

Comunidad

Pregúntale a la comunidad

Pide ayuda a la comunidad y resuelve tus dudas de estudio

Ranking de las universidades

Descubre las mejores universidades de tu país según los usuarios de Docsity

Ebooks gratuitos

¡Nuestros e-books salva-estudiantes!

Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity

Del blog

Actualidad
Becas y ayuda
Ve al blog

PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACION, Diapositivas de Informática

Corporación Universitaria Remington - ApartadóInformática

Definir los lineamientos y metodología a seguir para el análisis, valoración y tratamiento de riesgos de Seguridad, alineados con las políticas de seguridad y privacidad de la información

Tipo: Diapositivas

2022/2023

Subido el 23/11/2023

edwar-moreno-2
edwar-moreno-2 🇨🇴

5 documentos

1 / 17

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
gina 1 de 17
PLAN TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
G.I.T DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS TELECOMUNICACIONES
BOGOTA D.C
2.020
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff

Vista previa parcial del texto

¡Descarga PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACION y más Diapositivas en PDF de Informática solo en Docsity!

PLAN TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

G.I.T DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS TELECOMUNICACIONES

BOGOTA D.C

Tabla de contenido

    1. OBJETIVOS GENERAL
    1. CONTEXTO.............................................................................................................................................
    1. ALCANCE
    1. LINEAMIENTOS DE EJECUCIÓN
    1. DOCUMENTOS RELACIONADOS
    1. METODOLOGÍA DE EVALUACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
    • 6.1 IDENTIFICACIÓN DE RIESGOS
    • 6.2 VALORACIÓN DE LOS RIESGOS
    • 6.2.1 Identificación de amenazas..............................................................................................................
    • 6.2.2 Identificación de las Vulnerabilidades.
    • 6.3 ANÁLISIS DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN
    • 6.4 EVALUACIÓN DE LOS CONTROLES ESTABLECIDOS PARA LA MITIGACIÓN DE LOS RIESGOS
    • 6.5 TRATAMIENTO
    • INFORMACIÓN 6.6 SEGUIMIENTO Y REVISIÓN DEL PROCESO DE GESTIÓN DE RIESGOS DE SEGURIDAD DE LA
    1. terminos y definiciones.

Son requisitos indispensables para la implementación del presente plan:

  • Lograr el compromiso de la alta gerencia de la ANI para emprender la implementación

del plan de gestión del riesgo en la seguridad de la información.

  • Designar funciones de liderazgo para apoyar y asesorar el proceso de diseño e

implementación del plan de gestión.

  • Capacitar al personal de la entidad en el proceso de plan de gestión del riesgo de la

seguridad de la información.

3. ALCANCE

La identificación y tratamiento de los riesgos de seguridad de la información como lineamiento de la alta gerencia de la ANI, será de estricta aplicabilidad y cumplimiento por parte de todos los funcionarios, contratistas y terceros que presten sus servicios o tengan algún tipo de relación con la Entidad; dicho tratamiento de riesgo debe involucrar a todos los procesos y actividades desarrolladas por la Entidad, en especial aquellos que impactan directamente la consecución de los objetivos misionales.

4. LINEAMIENTOS DE EJECUCIÓN

  • Los líderes de procesos con el apoyo del G.I.T de Tecnologías de la Información las

Telecomunicaciones, son responsables de la aplicación adecuada y oportuna de la

presente guía

  • En el proceso de valoración de riesgos deben estar involucrados todos los líderes de

proceso, dueños de la información y por ende dueños del riesgo.

  • El plan de tratamiento de riesgos definido en este documento debe estar aprobado

por los líderes de procesos.

  • Se ejecutará un análisis de riesgos anual o cuando necesario realizar actualizaciones

por cambios significativos en la operación de la Agencia, en cabeza de los líderes de

los procesos y el Grupo de Planeación de la ANI

5. DOCUMENTOS RELACIONADOS

  • Política General de Seguridad y Privacidad de la Información (GTEC-P-XXX)
  • Manual de Políticas Específicas de Seguridad y Privacidad de la Información (GTEC-P-

XXX)

  • Norma ISO 31000:
  • Inventario de activos de información

6. METODOLOGÍA DE EVALUACIÓN DE RIESGOS DE SEGURIDAD DE

LA INFORMACIÓN

La Agencia Nacional de Infraestructura – ANI, utiliza una metodología de Gestión de Riesgos de Seguridad de la Información alineada con la norma ISO 31000:2009. Las actividades que hacen parte de la metodología son las siguientes: ETAPAS DE LA GESTIÓN DE RIESGOS La ANI, ha definido que su gestión de riesgos consiste en la identificación, evaluación, análisis, monitoreo y comunicación de riesgos críticos para cada uno de los procesos y/o áreas de mayor criticidad dentro de la organización, es decir, aquellas que se encuentren directamente ligadas con la protección y creación de valor de la Agencia. Igualmente se ha determinado que el presente plan se dará por cumplido cuando se realicen todas las fases del ciclo de la metodología y el tiempo se determinará una vez iniciado cada ciclo. A continuación, se detallan las distintas etapas de la metodología de gestión de riesgos: 6.1 IDENTIFICACIÓN DE RIESGOS El objetivo de esta etapa es identificar los principales riesgos críticos a los cuales se encuentran expuestos los procesos de la Agencia. Los encargados de Riesgos identificarán, para los procesos de su responsabilidad, los riesgos críticos que pudieran afectar los objetivos y/o estrategias definidas para el área. Dicha identificación puede ser realizada a través de los siguientes métodos:

  • Reuniones o workshop con el equipo de trabajo.
  • Encuestas a los distintos participantes del equipo de trabajo.
  • Bases de datos o matices de riesgo de ejercicios previos. Una vez Identificados los riesgos críticos, estos se deben documentar en una matriz de riesgos, clasificándolos por tipo de riesgo de acuerdo con lo siguiente:
  • Estratégico: Riesgo relacionado con los objetivos estratégicos, alineados con la misión

de la Agencia.

  • Pérdida de la disponibilidad Para cada riesgo, se deben asociar el grupo de activos o activos específicos del proceso, y conjuntamente analizar las posibles amenazas y vulnerabilidades que podrían causar su materialización. A continuación, se mencionan un listado de amenazas y vulnerabilidades que podrían materializar los tres (3) riesgos previamente mencionados: 6.2.1 Identificación de amenazas Se plantean los siguientes listados de amenazas, que representan situaciones o fuentes que pueden hacer daño a los activos y materializar los riesgos. A manera de ejemplo se citan las siguientes amenazas: Deliberadas (D), fortuito (F) o ambientales (A). Tipo Amenaza Origen Daño físico Fuego F, D, A Agua F, D, A Eventos naturales Fenómenos climáticos F Fenómenos sísmicos F Pérdidas de los servicios esenciales Fallas en el sistema de suministro de agua

F,D,A

Pérdidas de los servicios esenciales Fallas en el suministro de aire acondicionado

F, D, A

Perturbación debida a la radiación Radiación electromagnética F, D, A Radiación térmica F, D, A Compromiso de la información Interceptación de servicios de señales de interferencia comprometida

D

Espionaje remoto D Fallas del equipo D, F Mal funcionamiento del equipo D, F Fallas técnicas Saturación del sistema de información

D, F

Mal funcionamiento del software D, F

Tipo Amenaza Origen Incumplimiento en el mantenimiento del sistema de información

D, F

Acciones no autorizadas Uso no autorizado del equipo D, F Copia fraudulenta del software D, F Compromiso de las funciones Error en el uso o abuso de derechos D, F Falsificación de derechos D Piratería D Ingeniería social D Crimen por computador D Acto fraudulento D Dirigidas por el hombre Ataques contra el sistema D DDoS D Penetración en el sistema D Ventaja de defensa D Hurto de información D Asalto a un empleado D Chantaje D 6.2.2 Identificación de las Vulnerabilidades. Se deben identificar vulnerabilidades (debilidades) de acuerdo con los siguientes tipos: Tipo Vulnerabilidad Hardware Mantenimiento insuficiente Ausencia de esquemas de reemplazo periódico Sensibilidad a la radiación electromagnética Susceptibilidad a las variaciones de temperatura (o al polvo y suciedad) Almacenamiento sin protección Falta de cuidado en la disposición final Copia no controlada Software Ausencia o insuficiencia de pruebas de software Ausencia de terminación de sesión

El objetivo del Análisis de Riesgos es identificar y valorar los riesgos a los cuales están expuestos los procesos y los flujos de información, para identificar y seleccionar los controles apropiados de seguridad. El análisis está basado en los flujos de información de cada uno de los procesos y los requerimientos de seguridad, tomando en cuenta los controles existentes. En esta etapa se definen los criterios que se deben utilizar para evaluar la importancia del riesgo. Los criterios reflejarán los valores de la Agencia, los objetivos y los recursos existentes. Estos criterios de riesgo estarán revisándose de forma permanente, dado los cambios que pueden ocurrir en la organización. Al definir los criterios de riesgo, se tendrán en cuenta:

  • La naturaleza, los tipos de causas y consecuencias que pueden ocurrir y como se van

a medir.

  • La manera de definir la probabilidad de ocurrencia de un evento.
  • La forma de determinar el nivel de riesgo.
  • Niveles de riesgo aceptable para la organización. Las actividades realizadas para ejecutar el análisis de riesgos se realizan de acuerdo con el siguiente esquema:
  • Definición de las áreas de la ANI que se incluirán dentro del alcance del proceso de

gestión de riesgos de seguridad digital y ciberseguridad.

  • Levantamiento de información relacionada con el proceso seleccionado.
  • Entrevistas con personas claves dentro del proceso para conocer su percepción del

riesgo al cual se encuentra expuesta la información.

  • Ejecución de la evaluación de riesgos a los que se encuentra expuesto el proceso, por

medio de valoración de hallazgos y evaluación de probabilidad de ocurrencia de

amenazas y vulnerabilidades.

  • Análisis y diagnóstico del nivel de riesgo para el proceso definido. Se llevará a cabo la

elaboración de informe de resultados.

Para la identificación de Amenazas, vulnerabilidades y riesgos, se tienen en cuenta los resultados de las entrevistas con los dueños y/o responsables de los procesos del negocio y los análisis de riesgos existentes. Con el fin de establecer los niveles de riesgos a los cuales se encuentran expuestos los procesos, se mide la probabilidad de ocurrencia de las amenazas y el impacto que tendría las consecuencias de su materialización. Se determina la probabilidad de ocurrencia para cada riesgo de acuerdo con la siguiente escala:

Valoración asignada Valor Asignado Frecuencia Insignificante 1 Ha ocurrido una vez en los últimos tres a cinco años Bajo 2 Ha ocurrido una vez en los últimos >= tres y < cinco años Moderado 3 Ha ocurrido >= una vez en el período >= un año y < tres años Mayor 4 Ha ocurrido entre una y tres veces en el último año Catastrófico 5 Ha ocurrido más de tres veces en el último año Se determina el impacto de cada riesgo de acuerdo con la siguiente escala: Valoración asignada Valor Asignado

I M PA C T O I M PA C T O

C U A N T I TAT I V O C U A L I TAT I V O

Insignificante 1 Afectación <= 1% de la población. Sin afectación de la integridad. No hay afectación medioambiental Sin afectación de la disponibilidad. No hay afectación a la divulgación / no hay fuga de información Sin afectación de la confidencialidad. Bajo 2 Afectación <= 2% de la población. Afectación leve de la integridad. Afectación <=1% del presupuesto anual de la entidad. Afectación leve de la disponibilidad. Afectación leve del medio ambiente requiere de 1 semanas de recuperación. Afectación leve de la confidencialidad. Moderado 3 Afectación <=5% de la población. Afectación moderada de la integridad de la información debido al interés particular de los empleados y terceros. Afectación <=3% del presupuesto anual de la entidad. Afectación moderada de la disponibilidad de la información debido al interés particular de los empleados y terceros.

VARIABLES:

CARACTERISTICA DESCRIPCION Naturaleza del Control Determina si el control es manual, mixto o automático Documentación Establece si el control está documentado (si) / no está documentado (no) Evidencia Si el control está Divulgado o no divulgado Tipo de control Control: detectivo, preventivo o correctivo Para cada tipo de control se tienen los siguientes pesos para determinar su eficacia: TIPO DE CONTROL PESO Manual, mixto o automático 25% Documentado (si) / no está documentado (no) 25% Detectivo, preventivo o correctivo 25% Divulgado o no divulgado 25% COBERTURA EFECTIVA : Con este análisis se identifica que en porcentaje se está mitigando el control teniendo en cuenta los siguientes determinadores: NIVEL DE COBERTURA PESO Más del 90% 10 Entre 80 y 90% 9 Entre 70 y 80% 8 Entre 60 y 70% 7 Entre 50 y 60% 6 Entre 40 y 50% 5 Entre 30 y 40% 4

NIVEL DE COBERTURA PESO Entre 20 y 30% 3 Entre 10 y 20% 2 Menos del 10% 1 6.5 TRATAMIENTO Con base en el resultado del análisis de riesgo y con el fin de tratar el riesgo residual se debe establecer los niveles de riesgo y adelantar acciones de mejora que propenden por conservar las características de confidencialidad, integridad y disponibilidad de la información. NIVELES DE RIESGOS Tipo de riesgo Valor Asignado Acción requerida Gestión requerida Requiere acciones inmediatas para evitar la pérdida de la confidencialidad, integridad y disponibilidad de la información Riesgo Catastrófico Mayor a 12 Mitigar Requiere de acciones rápidas por parte de la Alta Dirección para disminuir el riesgo. Mitigar Riesgo Alto >8 y <= 10 Se requiere seguir ejecutando los controles definidos para el riesgo y revisar eficacia de estos. Mitigar Riesgo Moderado >5 y <= 8 El riesgo se mitiga con actividades propias y por medio de acciones detectivas y preventivas. Aceptar Riesgo Bajo >= 2 y <= Riesgo insignificante 1 El riesgo no representa impacto significativo para la Entidad Aceptar Las opciones de tratamiento de riesgos según ISO 31000:2018 no son excluyentes entre sí. Tampoco resultan eficaces en todas las circunstancias. Éstas pueden incluir una o varias de las siguientes acciones:

  • Eliminar el riesgo prescindiendo del proceso, la actividad o las circunstancias que lo

generan.

Activo: En el contexto de seguridad digital son elementos tales como aplicaciones de la organización, servicios web, redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la organización para funcionar en el entorno digital. Aceptación de riesgo: Decisión de asumir un riesgo Amenazas: situación potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización. Análisis de Riesgo: Uso sistemático de la información para identificar fuentes y estimar el riesgo (Guía ISO/IEC 73:2002). Apetito al riesgo: magnitud y tipo de riesgo que una organización está dispuesta a buscar o retener. Causa: todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo. Confidencialidad: propiedad de la información que la hace no disponible, es decir, divulgada a individuos, entidades o procesos no autorizados. Consecuencia: los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas. Control: medida que modifica el riesgo (procesos, políticas, dispositivos, prácticas u otras acciones). Disponibilidad: propiedad de ser accesible y utilizable a demanda por una entidad. Dueño del riesgo sobre el activo: Persona o entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo. Evaluación del riesgo: Proceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la importancia del riesgo. Factor de riesgo: Agente ya sea humano o tecnológico que genera el riesgo Gestión del riesgo: proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos. Impacto: Se entiende como las consecuencias que puede ocasionar a la organización la materialización del riesgo. Integridad: propiedad de exactitud y completitud. Mapa de riesgos: documento con la información resultante de la gestión del riesgo.

Nivel de riesgo: Da el resultado en donde se ubica el riesgo por cada activo de información. Probabilidad: se entiende como la posibilidad de ocurrencia del riesgo. Esta puede ser medida con criterios de frecuencia o factibilidad. Riesgo: Efecto de la incertidumbre sobre el cumplimiento de los objetivos. Riesgo de seguridad digital: combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas. Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la ejecución de ningún control. Riesgo residual: Nivel restante de riesgo después del tratamiento del riesgo. Tratamiento del riesgo: Proceso de selección e implementación de acciones de mejorar que permitan mitigar el riesgo. Tolerancia al riesgo: son los niveles aceptables de desviación relativa a la consecución de objetivos. Pueden medirse y a menudo resulta mejor, con las mismas unidades que los objetivos correspondientes. Para el riesgo de corrupción la tolerancia es inaceptable. Valoración del riesgo: Proceso de análisis y evaluación del riesgo. Vulnerabilidad: La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.