Embed Size (px)
Citation preview
Gestión de Riesgos de la Información
Documento MetodológicoÁmbito 4
Alcalde de BogotáEnrique Peñalosa Londoño
Secretario General Raúl Buitrago Arias
Alto Consejero Distrital del TICSergio Martínez Medina
Profesional Especializado en Seguridad de la InformaciónMaría del Pilar Niño Campos
Estrategia de Seguridad y Privacidad de la Información de la Alcaldía de Bogotá
Diciembre 2018
4 5
7
Tabla 1. Referentes normativos
Tabla 2. Referentes técnicos
Tabla 3. Roles, responsabilidades y responsables
Tabla 4. Relación tipo de riesgos con tipo de Impactos
Tabla 5. Valor del impacto
Tabla 6. Nivel de probabilidad del riesgo
Tabla 7. Nivel de riesgo
Tabla 8. Nivel de tratamiento de riesgo
Tabla 9. Nivel de aceptación de riesgo
Tabla 10. Mapa de calor
Figura 1. Modelo de gestión de riesgo
Figura 2. Diagrama de fases del modelo de gestión de riesgo
Figura 3. Contexto para la gestión de riesgo
Figura 4. Fase de establecimiento del contexto
Figura 5. Fase valoración de riesgos
Figura 6. Análisis de riesgos
Figura 7. Evaluación de riesgos
Figura 8. Fase tratamiento de riesgos
Figura 9. Fase aceptación de riesgos
Figura 10. Fase monitoreo y control
13
14
15
16
17
20
24
26
27
29
8
9
12
19
21
23
25
25
28
28
ÍNDICE DE TABLAS
ÍNDICE DE FIGURAS
PÁG. 1El proceso de gestión de riesgos es importante para el éxito de la protección de los activos de información de la entidad. Con ello, se identifica la criticidad de un activo para la entidad, las potenciales o reales amenazas y vulnerabilidades sobre dichos activos, y por tanto los riesgos con mayor posibilidad e impacto que afectan los procesos estratégicos, misionales y de apoyo de la entidad.
La gestión de riesgos permite tener un panorama actualizado de las posibles pérdidas en confidencialidad, integridad y disponibilidad de los activos de información, por lo que requiere un plan de tratamiento de riesgos que permita llevarlos a niveles aceptables definidos y acordados por la alta dirección de la entidad. Finalmente, realizar el monitoreo continuo es lo que conlleva a un nivel de madurez óptimo y lograr la mejora continua.
INTRODUCCIÓN
8 9
2La gestión de riesgos es el conjunto de actividades coordinadas para dirigir y controlar la organización con relación al riesgo (Icontec-ISO, 2018, p. 2).
La gestión del riesgo es una actividad compleja y multifacética que requiere la participación de las partes interesadas 2 de una organización, desde la alta dirección -que proporcionan la visión estratégica, las metas y los objetivos de alto nivel para la organización-; pasando por los gerentes de nivel medio -que planifiquen ejecuten y administren proyectos-; hasta los gerentes de primera línea y sus equipos -que operan los sistemas de información que apoyan las funciones misionales de la organización.
La gestión del riesgo es un proceso integral que requiere que las organizaciones: (i) enmarquen el riesgo (es decir, establezcan el contexto para las decisiones basadas en el riesgo); (ii) evalúen el riesgo; (iii) respondan al riesgo una vez determinado; y (iv) monitoreen el riesgo de forma continua, utilizando comunicaciones organizacionales efectivas y un circuito de retroalimentación para la mejora continua en las actividades relacionadas
DEFINICIÓN
2 “Persona u organización que puede afectar, verse afectada, o percibirse como afectada por una decisión o una actividad.” ISO 31000 (Icontec-ISO,
2018, p. 2)3
Traducción al español de la sección “2.1 Components of risk management”. NIST Special Publication 800-39 - Managing Information Security Risk
(Locke & Gallagher, 2011).
con los riesgos de las organizaciones. La gestión del riesgo se lleva a cabo como una actividad holística que abarca toda la organización y que aborda el riesgo desde el nivel estratégico hasta el táctico, asegurando que la toma de decisiones basada en el riesgo se integre en todos los aspectos de la organización 3.
34
5
Estructurar un proceso de gestión de riesgos de seguridad digital -SD-, de acuerdo con el Modelo de Gestión de Riesgos de Seguridad Digital - MGRSD.
Identificar y documentar los roles, responsabilidades y responsables en seguridad que apliquen en el proceso de gestión de riesgos.
Aplicar la gestión de riesgos de seguridad digital en la entidad.
Evaluar la eficacia de la gestión de riesgos de seguridad digital y de los sus respectivos planes de tratamiento.
El presente documento metodológico describe las principales acciones a realizar frente a la gestión de riesgos de los activos de información identificados en la entidad.
OBJETIVOGENERAL
OBJETIVOSESPECÍFICOS
ALCANCE
Esto se aplica al proceso misional crítico que determine la entidad, garantizando que dicho proceso utilice elementos (aplicativos, recursos, infraestructura y plataforma tecnológica) de las TIC.
Adicionalmente se realiza la evaluación correspondiente a la distribución de roles y responsabilidades de los diferentes ambientes que están involucrados con el área de las TIC en la organización para garantizar su alineación de acuerdo con lo definido en las guías del Ministerio de Tecnologías de la Información y las Comunicaciones -MinTIC- (2015).Lo descrito anteriormente se realiza para cada entidad distrital -de acuerdo con lo definido por la Alta Consejería Distrital de las TIC- identificando en ellas la matriz de roles y responsabilidades, y garantizando su correspondiente alineamiento a lo establecido en el anexo técnico.
10 11
666
Durante el proceso de gestión de riesgos de seguridad digital, es importante conocer y entender los siguientes instrumentos normativos que soportan la presente guía: Ley 1581 de 2012, Decreto 1499 de 2017, CONPES 3701 y 3854, Guía No. 7 Gestión de riesgos de (MinTIC, 2016), Guía para la administración del riesgo y el diseño de controles en entidades públicas (DAFP, 2018) y el Modelo de Gestión de Riesgos de Seguridad Digital (MinTIC, 2017).
De igual manera la guía se apoya en los siguientes estándares: ISO-IEC 27001:2013 (Icontec, 2013), ISO-IEC 27002:2013 (Icontec, 2015), ISO-IEC 27000:2018, ISO-IEC 27005:2018, ISO 31000:2018 (Icontec, 2018), Magerit V3 (Ministerio de Hacienda y Administraciones Públicas de España, 2012), NIST-800-30 (Stoneburner, Goguen, & Feringa, 2002) y NIST-800-39 (Locke & Gallagher, 2011).
Para mayor información consultar el anexo técnico de “Buenas prácticas y marco normativo de la seguridad digital.”
MARCO TEÓRICOY JURÍDICO 7DESARROLLO DE LA
METODOLOGÍA
!
!
ADALID CORP propone la metodología para ser implementada en la Alta Consejería Distrital con el fin de una adecuada gestión de los riesgos de seguridad digital.
Corresponde a un proceso estructurado y alineado con la gestión de riesgos de los referentes señalados en el marco teórico y jurídico.
Para lograr el éxito de la gestión de riesgos eficaz en seguridad digital, la entidad debe garantizar la definición e implementación de los siguientes prerrequisitos:
El liderazgo y compromiso de la alta dirección se establece como actividad previa a la gestión de riesgos de seguridad digital, de esta forma la entidad garantiza que la gestión del riesgo sea pertinente, implementada y mantenida en el tiempo, logrando una mejora continua.
La alta dirección debe comprometerse para apoyar y brindar los recursos de modo que se facilite el cumplimiento de los objetivos alineados a la gestión del riesgo, a través del establecimiento de políticas, guías, proceso, roles y responsabilidades, que aporten los recursos (financieros, de personal, herramientas) necesarios para que el proceso sea exitoso y adecuado para la entidad.
El proceso de identificación de roles, responsabilidades y responsables debe estar liderado y comunicado por la alta dirección de la entidad, esto para el entendimiento eficaz de la gestión de riesgos en la misma.
a. Compromiso de la alta dirección
b. Identificación de roles y responsabilidades en la gestión de riesgos en seguridad digital
12 13
A continuación, se describe las actividades claves para el proceso de identificación, documentación y comunicación de los roles, responsabilidades y responsables, en adelante 3R, en gestión de seguridad digital:
Identificar si existe información previa donde se describa los 3R de la gestión de riesgos de seguridad digital.
La información se puede identificar en: Manuales de seguridad de la información o seguridad digital. Documentación de perfiles y funciones de los cargos de los servidores públicos. Políticas definidas en la entidad sobre la gestión de riesgos. Metodologías de gestión de riesgos que tenga actualmente la entidad.
Definir en el comité institucional de gestión y desempeño, de acuerdo con el decreto 1499 de 2017, o quien haga sus veces, los 3R en la gestión de riesgos de seguridad digital. Durante esta definición se debe tener en cuenta -al menos- los siguientes roles, responsabilidades y responsables:
Dueño o propietario del riesgo. Líder del proceso de gestión de riesgos en seguridad digital.
Realizar análisis y valoración de los riesgos identificados y de los cuales es propietario. Real izar la evaluación de r iesgos identificados. Aprobación de los niveles de aceptación y de tratamiento de los riesgos en seguridad digital. Definir un plan de tratamiento de riesgos para aquellos que no están en los niveles aceptables o simplemente requieren ser controlados y monitoreados. Realizar medición de la eficacia de los controles aplicados por la entidad. Definir la periodicidad de la medición de los riesgos de seguridad digital. Definir los niveles de riesgo, probabilidad e impacto, alineados con el tamaño y cultura de la entidad, así como del apetito al riesgo.
Líder de proceso Líder seguridad de la información o seguridad digital Alta Dirección Servidores públicos
Tabla 3. roles, responsabilidades y responsables
Roles Responsabilidades Responsables
777A continuación, se describe el detalle del proceso que permite tener una exitosa gestión de riesgos en seguridad digital.
La gestión de riesgos corresponde al conjunto de actividades coordinadas para dirigir y controlar una organización con relación al riesgo (ISO/IEC 27000:2018).
Figura 1. Modelo de gestión de riesgo
7.1 Proceso de gestión de riesgos de seguridad digital
Fuente: ISO 31000
14 15
Fuente: ADALID CORP
En la figura 1 se describe las etapas o fases de la gestión de riesgos que deben ser aplicadas en la entidad, en búsqueda de una mejora continua de seguridad digital, en concordancia con lo establecido por los referentes citados en el marco teórico y jurídico.
El siguiente gráfico contiene el desglose de las diferentes fases y sub-fases para la ubicación del lector durante la gestión de riesgos de seguridad digital.
Establecimiento del contexto: La entidad debe identificar las partes internas y externas que pueden afectar la seguridad digital a nivel de riesgos de seguridad, al igual que proteger los activos de información (Hardware, software, Información digital, física, servicios, etc.) identificados por la entidad.
Figura 2. Diagrama de fases del modelo de gestión de riesgo
777Fuente: ADALID CORP
Para el establecimiento del contexto, la entidad debe identificar, documentar y revisar las condiciones: Internas del entorno: Estructura organizacional, procesos, tecnología, infraestructura, personal capacitado, etc.
Externas del entorno: Entes de control, cambios regulatorios, tendencias mundiales en seguridad, proveedores, clientes o usuarios, accionistas, etc.
Figura 3. Contexto para la gestión de riesgo
16 17
Como fuentes de información se emplea la documentación de la entidad, ejemplo sistema de gestión de calidad, tecnología y gestión documental; así mismo se utilizan entrevistas con los líderes o responsables de los procesos involucrados, encuestas con el personal, visitas a instalaciones y demás herramientas que se consideren necesarias.
Esta fase corresponde a la primera, como se ilustra en la figura 4.
Valoración de riesgos: Durante la valoración se describe de forma cualitativa y/o cuantitativa el riesgo, se determina el nivel de exposición de los activos de información, se identifican los causales de riesgo que existen (o que podrían existir), se identifica el impacto que podría generar la materialización de cada riesgo, luego se determinan las consecuencias potenciales, y finalmente se priorizan para determinar o proponer el tratamiento de riesgos y su clasificación según los criterios de evaluación determinados por la entidad.
Figura 4. Fase de establecimiento del contexto
Fuente: ADALID CORP
La siguiente figura contiene el esquema del proceso de valoración de riesgos.
Figura 5. Fase valoración de riesgos
Fuente: ADALID CORP777
18 19
A continuación, se describe el detalle de las fases que comprende realizar una adecuada valoración de riesgos:
Identificación del riesgo: La identificación de riesgos tiene como propósito “encontrar, reconocer y describir los riesgos…” (ISO/IEC 27000:2018; Icontec, 2018). Esto requiere encontrar, numerar y caracterizar los elementos del riesgo.
El objetivo de identificar el riesgo es determinar qué podría suceder que cause una pérdida potencial y llegar a comprender el cómo, dónde y por qué podría ocurrir esta pérdida.
Para llevar a cabo esta actividad es importante contar con la información que se relaciona a continuación:
Descripción del riesgo: Consiste en la identificación y descripción del riesgo a raíz de la combinación entre una o varias amenazas y vulnerabilidades. Se realiza una descripción puntual del riesgo asociado a los activos de información.
Identificación de las causas de riesgo y fuentes (Amenazas, vulnerabilidades): La entidad debe identificar las fuentes y causas de los riesgos que conllevan a la posible afectación de la confidencialidad, integridad y disponibilidad de los activos de información de la misma, afectando el logro de los objetivos de seguridad y por tanto los estratégicos. A continuación, se detalla una descripción g e n e r a l d e l o s c o n c e p t o s y l a s responsabilidades:• Las amenazas prov ienen de origen natural o humano y podrían ser accidentales o deliberadas. Algunas amenazas pueden afectar a más de un activo de información. En tales casos
puede causar diferentes impactos dependiendo del número de activos o de la criticidad de este.• Así mismo, se requiere identificar las vulnerabilidades que pueden ser explotadas por las amenazas previamente identificadas, y que causen daño a los activos de la entidad. Es importante anotar que un control implementado de manera incorrecta o que funcione mal, o que se utiliza de modo incorrecto podría por si solo generar una vulnerabilidad.
Se especifica una base a manera de ejemplo de amenazas y vulnerabilidades, ver “Herramienta - Matriz de Riesgos, tabla Variables”.
Activos de información asociados al riesgo: Identificar los activos de información conlleva al establecimiento de lo que debe ser protegido bajo los términos de la seguridad de la información (confidencialidad, integridad y disponibilidad).
Este proceso se detalla en el documento: “Gestión de activos de información”, cual establece toda una metodología apropiada para ser implementada por la entidad, acorde con los requisitos normativos y de buenas prácticas internacionales.
Para más información sobre los activos de información ver Archivo Excel “Herramienta – Activos de información”.
Los tipos de impactos están relacionados directamente con los tipos de riesgo identificados propuestos. Esto permite que basado en el tipo de riesgo identificado se realice una asociación al tipo de impacto que este riesgo genera y se pueda realizar su calificación. Esta relación se evidencia en la siguiente tabla:
Identificación del tipo riesgo: Se realiza la tipificación del riesgo identificado según los siguientes criterios: Lógico: corresponde a los riesgos que se relacionan con afectación a infraestructura tecnológica. Físico: corresponde a los riesgos relacionados con control de acceso físico y pérdida de activos de información a nivel físico, entre otros. Locat ivo: corresponde a los riesgos relacionados con afectación en infraestructura física y no disponibilidad de sitio de trabajo. Legal: corresponde a los riesgos relacionados con incumpl imiento normativos o regulatorias. De imagen: corresponde a los riesgos que puedan generar afectación al bueno nombre de la entidad. Financiero: corresponde al riesgo relacionado con pérdidas económicas, sanciones de tipo financiero o costos asociados a pérdidas de confidencialidad, integridad o disponibilidad de activos de información.
Identificación del dueño del riesgo: Se realiza la identificación del proceso y el propietario que es responsable por la gestión del riesgo. Así se tendrá un grado de compromiso sobre la valoración de los niveles de probabilidad, impacto, y el compromiso de definir planes de tratamiento, en caso de ser requerido, así como el monitoreo continuo.
Identificación de propiedades de la información asociadas al riesgo: Se realiza la identificación de las propiedades de la información que son afectadas por el riesgo. Estas propiedades son confidencialidad, integridad y disponibilidad. Esta etapa debe ser
realizada para el entendimiento del impacto potencial del riesgo.
Identificación tipo de Impacto: A continuación, se presentan los tipos de impactos de acuerdo con los requerimientos de la entidad: Financiero: corresponde a un efecto positivo o negativo que genera un gasto adicional o retribución no esperada. Continuidad operativa: corresponde a la afectación de la continuidad en los procesos operativos de la entidad. Imagen: corresponde a la afectación positiva o negativa que puede tener ante las partes interesadas el bueno nombre de la entidad. Legal: corresponde a las posibles afectaciones en términos jurídicos que puede tener la entidad.
Tabla 4. Relación tipo de riesgos con tipo de Impactos
Fuente: ADALID CORP
20 21
i. Análisis de riesgos
El análisis de riesgos es el proceso de comprender la naturaleza del riesgo y determina el nivel de riesgo. (ISO/IEC 27000:2018).Esta etapa busca obtener el valor de probabilidad de ocurrencia del riesgo y el impacto de sus consecuencias, calificándolos y evaluándolos para establecer el nivel de riesgo y las acciones a implementar.
La siguiente gráfica permite ubicar al lector en la gestión de riesgos de seguridad digital:
Al determinar los valores cuantitativos y/o cualitativos del impacto y la probabilidad de ocurrencia del riesgo se determina el nivel de riesgo sobre el o los activos de información analizados. Los rangos y los valores cualitativos son establecidos por la entidad de acuerdo con las necesidades del negocio.
Figura 6. Análisis de riesgos
Fuente: ADALID CORP 777
Se realizan las siguientes estimaciones para el riesgo:
Estimación de riesgo actual: Se evalúa el valor del impacto y la probabilidad de ocurrencia del riesgo actual, es decir, durante el momento de realizar el análisis con la presencia o no de los controles establecidas por la entidad.
Identificación de controles: Se realiza la identificación de los controles implementados en la entidad para tratar los riesgos. Puede que no existan controles para el tratamiento del riesgo.
Valoración del nivel de impacto: La siguiente tabla, corresponde a la propuesta de los niveles de impacto, alineados con el MSPI y el MGRSD de MinTIC:
Tabla 5. Valor del impacto
22 23
Es importante que al momento de realizar la valoración del impacto se tenga en cuenta los siguientes criterios:
Incumplimiento de los requisitos legales, reglamentarios o contractuales. Pérdida del negocio y del valor económico. Nivel de clasificación de los activos de información impactados. Brechas de seguridad digital (por ejemplo, pérdida de confidencialidad, integridad y disponibilidad). Alteración de planes y fechas límite. Daños en la imagen de la entidad. 777
Valoración del nivel de probabilidad del riesgo: Los niveles de probabilidad corresponden al valor que mayor se aproxima en cuanto a la posibilidad de ocurrencia de la materialización de un riesgo respecto al causal de riesgo. Se sugiere tener en cuenta los siguientes aspectos esenciales para calificar la probabilidad de ocurrencia: Evaluación de riesgos de seguridad digital. Cambios en la tecnología, por ejemplo, cambios de sistema operativo, tipos de bases de datos, lenguajes de programación, etc. Vulnerabilidades de día cero. Vulnerabilidad o amenaza por personas. Definición e implementación de controles. No conformidades identificadas por auditorías internas o por servidores públicos de la entidad. Criticidad de los activos de información identificados.
A continuación, se propone los siguientes niveles cuantitativos y cualitativos, junto con una breve descripción que dependerá de la entidad.
Finalmente, el análisis de riesgos concluye cuando se realiza el cálculo del valor de riesgo, de acuerdo con las diferentes valoraciones en términos de probabilidad e impacto.
VALOR DE RIESGO = Valor Impacto * Probabilidad
Tabla 6. Nivel de probabilidad del riesgo
24 25
ii. Evaluación de riesgos
La figura 7 permite ubicar al lector en la fase del proceso de gestión de riesgos de seguridad digital.
La evaluación de riesgos corresponde al proceso de comparar los resultados del análisis de riesgo con criterios de riesgo para determinar si el nivel de riesgo y/o magnitud es aceptable o tolerable. (ISO/IEC 27000:2018).
Figura 7. Evaluación de riesgos
Fuente: ADALID CORP
777A continuación, se describe los diferentes niveles de riesgo:
Tabla 7. Nivel de riesgo
Tabla 8. Nivel de tratamiento de riesgo
b) Tratamiento de riesgos
Corresponde al proceso de modificar el riesgo. (ISO/IEC 27000:2018). Durante esta etapa se define que acciones se deben tomar para afectar el nivel de riesgo, bien sea atacando la probabilidad, el impacto o en su defecto las dos variables.
Lo primero es determinar cuáles son los niveles de riesgo en que la entidad aplicará el tratamiento. Para ello, en el presente documento se definen los dos niveles de mayor probabilidad, impacto y valor de riesgo.
26 27
Durante el tratamiento se identifican los controles aplicables para llevarlos a los niveles aceptables definidos por la entidad.
Las opciones para el tratamiento de los riesgos después de su evaluación son:
• Reducir el riesgo aplicando controles eficaces de manera que el riesgo residual pueda ser reevaluado como aceptable.
• Asumir el riesgo (Retención) por parte de la alta dirección quien debe conocer y entender la responsabilidad. Se aplica siempre que cumplan con la política de seguridad previamente establecida por la entidad.
• Evitar el riesgo con la acción que da origen al riesgo.
• Compartir o transferir el riesgo a organizaciones (aseguradoras, proveedores, etc.) que gestionan eficazmente el nivel de riesgo, siempre que no resulte un costo superior al del riesgo mismo.
A continuación, se presenta una figura para ubicar al lector en la fase del proceso de gestión de riesgos de seguridad digital.
Figura 8. Fase tratamiento de riesgos
Fuente: ADALID CORP 777c) Aceptación de riesgos
Corresponde a decisión informada de asumir un riesgo en particular. (ISO/IEC 27000:2018).
En esta etapa se evalúa si el tratamiento a los riesgos fue eficaz o necesita ser nuevamente tratado.
Se establece los siguientes criterios de aceptación de riesgo para la entidad:
Figura 9. Fase aceptación de riesgos
Fuente: ADALID CORP
28 29
Tabla 9. Nivel de aceptación de riesgo
Tabla 10. Mapa de calor
Finalmente, se obtiene el mapa de calor como resultado del proceso de gestión de riesgos.
A continuación, se presenta el gráfico para ubicar al lector en la fase del proceso de gestión de riesgos de seguridad digital:
d) Monitoreo y revisiónEn la gestión de riesgos es importante realizar monitoreo de los cambios que se puedan producir en los diferentes riesgos y los factores (activos, vulnerabilidades, amenazas, etc.), para así lograr realizar a tiempo modificaciones o adiciones al enfoque en la metodología dependiendo de cambios identificados.
Este monitoreo y seguimiento se realiza de acuerdo con los siguientes aspectos:
• Identificación de nuevos activos de información.• Cambios en la valoración de los activos de información.• Nuevas causales o fuentes de riesgos (amenazas y vulnerabilidades).• Incidentes de seguridad digital presentados.
Figura 10. Fase monitoreo y control
Así mismo, es importante determinar la valoración de los riesgos como mínimo, una vez al año o cuando se presenten cambios en:
• La entidad, por ejemplo, cambios o ajustes en los objetivos institucionales o estratégicos de la entidad.• La tecnología, cambios de sistema operativo, cambios en los sistemas de información, tipo de base de datos, etc.• Procesos de negocio, por ejemplo, reestructuración de los procesos de la entidad, cambios organizacionales.
Las actividades definidas para la realización del monitoreo son:• Auditorías internas y externas a la seguridad digital de acuerdo con el plan de auditorías de la entidad y alineado con el MSPI.• Auditorías internas en los sistemas de información de acuerdo los planes de pruebas técnicos.• Anualmente en reunión de revisión por la Alta Dirección.• Resultado de análisis de vulnerabilidades técnicas o pruebas de ethical hacking realizados por terceros a la entidad.• Resultado de la medición de la eficacia de los controles definidos e implementados en el periodo evaluado.
Fuente: ADALID CORP
30 31
! !
Finalmente, se llega a la última fase de gestión de riesgos de seguridad digital. En la figura 10 se evidencia el cubrimiento de la totalidad de las fases planteadas.
El tratamiento de riesgos debe ser un proceso activo en la gestión de riesgos de seguridad digital, por ello ADALID CORP invita a los líderes o responsables de seguridad de la entidad a:
a) Evaluar el costo beneficio de la definición e implementación de uno o varios controles.b) Realizar pruebas de controles sobre entornos controlados, es decir, pruebas antes de implementar un control en entornos de producción que puedan afectar a las actividades, proceso o la entidad completamente.c) Si no es posible implementar un control cuando se tiene un riesgo alto o extremo, evaluar posibles controles compensatorios que ayuden a reducir la probabilidad, el impacto o las dos variables.d) Los controles deben ser evaluados al menos en término de su eficacia para conocer e informar a la Alta Dirección sobre el avance y mitigación de riesgos latentes en la entidad relacionados con la seguridad.e) La definición e implantación de controles no debe ir en contra de la operación o flujo normal de las actividades y procesos, es decir, no debo implementar controles que al final terminen afectando alguna característica de la seguridad de la información.f) Realizar monitoreo constante de los controles definidos e implementados en la entidad.g) Determinar en el tiempo, la reducción de pérdidas derivadas de materialización de riesgos respecto a la inversión realizada en controles.
7.2 Buenas prácticas para la mitigación de riesgos
Consulte la Herramienta Sistematizada para Gestión de Activos
Las plantillas propuestas en el presente documento apoyan directamente la aplicación del modelo de gestión de riesgos de seguridad digital propuesto por ADALID CORP.
A continuación, se presenta las plantillas modelos para el uso y aplicación en la entidad.
8.1 Matriz de roles y responsabilidades en la gestión de riesgos de SD
8.2 Declaración de aplicabilidad
8PLANTILLAS DOCUMENTALES
DE APOYO
La matriz de roles y responsabilidades contiene la propuesta de los potenciales roles a nivel de seguridad digital en la entidad, así como el propietario, custodio y las responsabilidades.
El detalle de la plantilla puede ver en el archivo:
Matriz_para_identificación_de_roles_y_responsabilidades.xslx
La plantilla para la declaración de aplicabilidad contiene los dominios, objetivos de control y los 114 controles del anexo A de la norma ISO/IEC 27001:2013, asimismo, la justificación de la implementación del control o en su defecto la exclusión y finalmente, un campo para diligenciar donde se puede evidenciar el control diseñado e implementado en la entidad.
El detalle de la plantilla puede ver en el archivo:
Documento de definición de la declaración de aplicabilidad.xlsx
32 33
9GLOSARIOA continuación, algunos de los términos más importantes sobre el Documento Metodológico del Ámbito 4 Gestión de Riesgos de la Información por orden alfabético.
Activo: Cualquier cosa que tenga valor para la organización. (ISO/IEC 13335-1:2004)
Activo de información: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de esta (sistemas, hardware, software, sistemas de información, edificios, personas, imagen, etc.) que tenga valor para la Organización.
Aceptación del riesgo: Decisión informada de asumir un riesgo en particular. (ISO/IEC 27000:2018).
Amenaza: Causa potencial de un incidente no deseado, que puede resultar en daño a un sistema u organización. (ISO/IEC 27000:2018).
Análisis del riesgo: Proceso de comprender la naturaleza del riesgo y determina el nivel de riesgo. (ISO/IEC 27000:2018).
Confidencialidad: Propiedad de que la información no esté disponible o revelada a personas no autorizadas, entidades o procesos. (ISO/IEC 27000:2018).
Control: Es una medida que modifica el riesgo. (ISO/IEC 27000:2018).
Disponibilidad: Propiedad de ser accesible y utilizable a la demanda por una entidad autorizada. (ISO/IEC 27000:2018).
Establecimiento del contexto: Al establecer el contexto, la Organización articula sus objetivos estratégicos y de calidad, define los parámetros externos e internos que se van a considerar en la gestión de riesgos y establece el alcance y los criterios de riesgo.
Evaluación del riesgo: Proceso de comparar los resultados del análisis de riesgo con criterios de riesgo para determinar si el nivel de riesgo y/o magnitud es aceptable o tolerable. (ISO/IEC 27000:2018).
Nivel de Riesgo: Magnitud del riesgo expresada en términos de la combinación del impacto y la probabilidad. (ISO/IEC 27000:2018).
Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con relación al riesgo. (ISO/IEC 27000:2018).
Identificación del riesgo: Proceso para encontrar, reconocer y describir los riesgos. (ISO/IEC 27000:2018).
Impacto: Cambio adverso en el nivel de los objetivos del negocio logrado. (ISO/IEC 27000:2018).
Integridad: Propiedad de exactitud y completitud. (ISO/IEC 27000:2018).
Plan de tratamiento de riesgos: Documento que define las acciones para gestionar los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma.
Política: intenciones y direcciones de una organización como se expresan formalmente por la Alta Dirección. (ISO/IEC 27000:2018).
34 35
Probabilidad: Frecuencia o Factibilidad de ocurrencia del Riesgo. (ISO/IEC 27000:2018).
Propietario del riesgo: Persona o entidad con la responsabilidad y autoridad para gestionar un riesgo. (ISO/IEC 27000:2018).
Valor del Activo: Está determinado por el valor de la confidencialidad, integridad y disponibilidad del activo de información.
Valoración del riesgo: Proceso general de identificación, análisis y evaluación de riesgos. (ISO/IEC 27000:2018).
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas. (ISO/IEC 27000:2018).
Riesgo: Efecto en la incertidumbre de los objetivos (ISO/IEC 27000:2018).
Riesgo residual: Riesgo restante después del tratamiento del riesgo. (ISO/IEC 27000:2018).
Transferencia del riesgo: compartir con otra de las partes la ganancia o pérdida de un riesgo.
Tratamiento del riesgo: Proceso de modificar el riesgo. (ISO/IEC 27000:2018).
10BIBLIOGRAFÍA
DAFP. (2018). Guía para la Administración de los Riesgos de Gestión , Corrupción y Seguridad Digital y el Diseño de Controles en Entidades Públicas. Bogotá D.C. Recuperado a partir de http://www.funcionpublica.gov.co/documents/418548/34150781/Guía+para+la+Administración+de+los+Riesgos+de+Gestión%2C+Corrupción+y+Seguridad+Digital+y+el+Diseño+de+Controles+en+Entidades+Públicas+-+Agosto+de+2018.pdf/68d324dd-55c5-11e0-9f37-2e5516b48a87?dow
Icontec. (2013). NTC-ISO-IEC 27001:2013 – TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. REQUISITOS. Bogotá D.C. Recuperado a partir de https://tienda.icontec.org/producto/impreso-ntc-iso-iec27001-tecnologia-de-la-informacion-tecnicas-de-seguridad-sistemas-de-gestion-de-la-seguridad-de-la-informacion-requisitos/?v=42983b05e2f2
Icontec. (2015). NTC-ISO-IEC 27002:2015 – TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. CÓDIGO DE PRÁCTICA PARA CONTROLES DE SEGURIDAD DE LA INFORMACIÓN – Tienda ICONTEC. Bogotá. Recuperado a partir de https://tienda.icontec.org/producto/e-book-gtc-iso-iec27002-tecnologia-de-la-informacion-tecnicas-de-seguridad-codigo-de-practica-para-controles-de-seguridad-de-la-informacion/?v=42983b05e2f2
Icontec. (2018). NTC-ISO 31000 - Gestión de riesgos: Principios y directrices. Recuperado a partir de https://tienda.icontec. org/producto/impreso-ntc-iso31000-gestion-del-riesgo-principios-y-directrices/?v=42983b05e2f2
Locke, G., & Gallagher, P. D. (2011). Managing Information Security Risk Organization, Mission, and Information System View JOINT TASK FORCE TRANSFORMATION INITIATIVE. https://doi.org/10.6028/NIST.SP.800-39
Ministerio de Hacienda y Administraciones Públicas de España. (2012). MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid. Recuperado a pa rtir de https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.XAOD02j0mUk
Ministerio de Tecnologías de la Información y las Comunicaciones. (2015). Modelo de Seguridad. Recuperado 16 de agosto de 2018, a partir de https://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
Ministerio de Tecnologías de la Información y las Comunicaciones. (2016). Guía de gestión de riesgos - Guía No. 7. Bogotá D.C. Recuperado a partir de https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf
Ministerio de Tecnologías de la Información y las Comunicaciones. (2017). Modelo de Gestión de Riesgos de Seguridad Digital –MGRSD-. Bogotá D.C. Recuperado a partir de https://www.mintic.gov.co/portal/604/articles-61854_documento.docx
Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk Management Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology. Recuperado a partir de https://www.archives.gov/files/era/recompete/sp800-30.pdf
38
Documento MetodológicoÁmbito 4
Elaborado por:
