Escolar Documentos
Profissional Documentos
Cultura Documentos
BOGOTÁ D.C.
2018
1
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
TABLA DE CONTENIDO
1. OBJETIVO ............................................................................................................ 3
2. ALCANCE ............................................................................................................ 3
3. ÁMBITO DE APLICACIÓN .................................................................................. 3
4. REQUISITOS DE CALIDAD APLICABLE.......................................................... 3
5. DEFINICIONES .................................................................................................... 4
6. GENERALIDADES .............................................................................................. 8
7. ROLES Y RESPONSABILIDADES .................................................................... 8
8. DESARROLLO DE LA TEMÁTICA DE LA GUÍA .............................................. 9
8.1. Contexto de Seguridad y Privacidad de la Información ..................... 9
8.2. Definición de Riesgo ............................................................................. 10
8.3. Riesgos de Ciberseguridad .................................................................. 10
8.4. Riesgos de Seguridad y Privacidad de la Información .................... 11
9. METODOLOGÍA DE ANÁLISIS DE RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN PARA LA SUPERINTENDENCIA
NACIONAL DE SALUD ............................................................................................ 12
10. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN .......................... 16
2
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
1. OBJETIVO
2. ALCANCE
3. ÁMBITO DE APLICACIÓN
1
Tener en cuenta utilizar la última versión del documento
3
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
5. DEFINICIONES
Activo: Cualquier cosa que tiene valor para la organización. La norma ISO/IEC
27000, define los siguientes tipos de activos:
- información;
- software, como programas informáticos;
- físico, como computadores;
- servicios;
- personas, y sus calificaciones, habilidades y experiencia; e
- intangibles, como reputación e imagen
4
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
5
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
Impacto: El coste para la empresa de un incidente de la escala que sea, que puede
o no ser medido en términos estrictamente financieros, como pérdida de reputación
o implicaciones legales.
6
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
7
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una
o más amenazas.
6. GENERALIDADES
7. ROLES Y RESPONSABILIDADES
• Líder de Proceso
8
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
2
Ministerio de Tecnologías de la Información y de las Comunicaciones (MINTIC)
9
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
3
Guía para la Administración del Riesgo del Departamento Administrativo de la Función Pública (DAFP).
4
Modelo Estándar de Control Interno (MECI)
5
Procedimiento de Administración de Riesgos ASPD03 de la Superintendencia Nacional de Salud
6
Departamento Nacional de Planeación. CONPES 3854
10
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
relacionados con el entorno físico7. Estos riesgos tienen una relación directa con los
principios de la Seguridad de la Información y se clasifican teniendo en cuenta los
siguientes grupos:
Riesgos que afectan a las personas cuyos datos son tratados y que se concreta en
la posible violación de sus derechos, la pérdida de información necesaria o el daño
causado por una utilización ilícita o fraudulenta de los mismos.
7
Departamento Nacional de Planeación. CONPES 3854, pág 24.
11
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
Los líderes del proceso, con el acompañamiento y apoyo del funcionario designado
por el Grupo de Administración de Seguridad de la Información (GASI) de la Oficina
de Tecnologías de la Información (OTI) de la Entidad, realizan la identificación de
riesgos de Seguridad de la Información, los cuales quedan registrados en el formato
ASFT22: Matriz de Análisis de Riesgos de Seguridad y Privacidad de la Información,
cuyas indicaciones de diligenciamiento se presentan en el documento ASIN01:
Instructivo para el diligenciamiento de la matriz de riesgos de Seguridad y Privacidad
de la Información. El formato ASFT22 contiene las siguientes secciones:
12
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
Muy Alto 5
Alto 4
Moderado 3
Bajo 2
Muy Bajo 1
Tabla 1. Medición de impacto y probabilidad
Niveles de
Descripción
Probabilidad
13
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
9.1.2. Impacto
SEGURIDAD Y PRIVACIDAD DE LA
NIVEL CONCEPTO DESCRIPCIÓN
INFORMACIÓN
Si el hecho llegara a presentarse tendría consecuencias
1 Muy Bajo Afecta a una actividad del proceso.
o efectos mínimos sobre la organización
Afecta a un grupo de trabajo, a una
Si el hecho llegara a presentarse, tendría bajo impacto
2 Bajo persona, grupo de personas o algunas
o efecto sobre la organización.
actividades del proceso.
Si el hecho llegara a presentarse tendría medianas Afecta un conjunto de datos personales o
3 Moderado
consecuencias o efectos sobre la organización. el proceso.
Si el hecho llegara a presentarse tendría altas Afecta varios conjuntos de datos
4 Alto
consecuencias o efectos sobre la organización. personales o procesos de la organización.
Afecta toda la organización. Multas por
Si el hecho llegara a presentarse tendría desastrosas incumplimiento de la Legislación.
5 Muy Alto
consecuencias o efectos sobre la organización. Suspensión de las actividades misionales
de la organización.
Tabla 3. Valoración del Impacto
14
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
Muy Alta 5 5 10 15 20 25
Alta 4 4 8 12 16 20
Moderada 3 3 6 9 12 15
Baja 2 2 4 6 8 10
Muy Baja 1 1 2 3 4 5
Valor 1 2 3 4 5
Figura 1. Mapa de Calor para la Representación de los niveles de Riesgo por Zonas
Zona de Riesgo Asumir el Riesgo: Riesgos para los cuales se determina que el nivel de exposición es adecuado
Aceptable y por lo tanto se acepta.
Zona de Riesgo Mitigar o Evitar el Riesgo: Riesgos para los cuales se requiere fortalecer los controles existentes
Moderado y/o agregar nuevos controles.
Zona de Riesgo Mitigar o Evitar el Riesgo: Implementación de controles adicionales como parte del
Importante fortalecimiento de los actuales o como resultado de haberlo compartido o transferido.
Zona de Riesgo Evitar el Riesgo: Se requiere de acciones inmediatas que permitan reducir la probabilidad y el
Inaceptable impacto de materialización.
Tabla 5. Acciones según Zona de Riesgo
15
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
8
Procedimiento de Administración de Riesgos ASPD03 de la Superintendencia Nacional de Salud
16
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
CONTROLES DE CAMBIOS
ASPECTOS
RESPONSABL
QUE FECHA DEL
DETALLES DE LOS CAMBIOS E DE LA
CAMBIARON CAMBIO VERSIÓN
EFECTUADOS SOLICITUD
EN EL DD/MM/AAAA
DEL CAMBIO
DOCUMENTO
Se aprobó el presente documento, Jefe Oficina de
Adopción del
mediante memorando 3-2016- Tecnologías de 29/06/2016 1
documento
012489 la Información
Se agrega acciones que se
deberán realizar como parte del
tratamiento del riesgo mediante Jefe de la
Ajuste del requerimiento NURC:3-2016- Oficina de
21/10/2016 2
documento 019200 Tecnologías de
la Información
Se aprueba el cambio mediante
NURC: 3-2016-019444
Se ajusta la metodología de
análisis, agregando conceptos
que permiten tipificar los riesgos
de seguridad y privacidad, se
incluye la valoración de controles
Jefe de la
existentes para la reducción o
Ajuste del Oficina de
mitigación del riesgo inherente y 14/03/2017 3
documento Tecnologías de
se ajustan las acciones de
la Información
implementación de actividades de
tratamiento del riesgo.
17
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
18
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN
19