Secretara de la Funcin Pblica

Anlisis de Riesgos

Unidad de Gobierno Digital

Marzo de 2012

Contenido
Antecedentes Anlisis de Riesgos en el MAAGTICSI Establecer la Directriz rectora para la administracin de riesgos

Elaborar el Anlisis de Riesgos

Implantar los controles de mitigacin de riesgos y los controles del SGSI

Antecedentes
Fortalecer la seguridad de la informacin contra amenazas y vulnerabilidades
Publicaciones de julio de 2010 y septiembre de 2011: Administracin de Riesgos Administracin de la seguridad de los sistemas informticos (SGSI)

Publicacin de noviembre de 2011: Administracin de la seguridad de la informacin (instrumentacin): Infraestructuras Crticas Anlisis de Riesgos Diseo del SGSI y del ERISC Mejora continua Operacin de los controles de la Seguridad de la Informacin y del ERISC

Antecedentes
Respuesta Coordinada: Establecer procesos uniformes para usar de manera segura los equipos y sistemas, y responder oportunamente a situaciones de emergencia.

Anlisis de Riesgos en el MAAGTICSI

identificar las fuentes de vulnerabilidades y amenazas a los Activos de TIC, a la Infraestructura crtica o a los Activos de informacin; efectuar la evaluacin de su magnitud o impacto y estimar los recursos necesarios para eliminarlas o mitigarlas.

SGSI

Controles Seguridad Nacional

IIC

ERISC

AR

Marco Rector de Procesos

GOBIERNO
Direccin y control de TIC Establecimiento del modelo de gobierno de TIC Planeacin estratgica de TIC Determinacin de la direccin tecnolgica Administracin de la evaluacin de TIC

Direccin y control de la seguridad de la informacin Administracin de la seguridad de la informacin Operacin de los controles de seguridad de la informacin y del ERISC
Administracin de servicios Administracin del portafolio de servicios de TIC Diseo de servicios de TIC

ORGANIZACIN Y ESTRATEGIA

Administracin de proyectos Administracin del portafolio de proyectos de TIC Administracin de proyectos de TIC

Administracin de procesos Operacin del sistema de gestin y mejora de los procesos de la UTIC

Administracin de recursos Administracin del presupuesto de TIC Administracin para las contrataciones de TIC Administracin de proveedores de bienes y servicios de TIC

EJECUCIN Y ENTREGA

Administracin para el desarrollo de soluciones tecnolgicas Apoyo tcnico para la contratacin de soluciones tecnolgicas de TIC Desarrollo de soluciones tecnolgicas de TIC Calidad de las soluciones tecnolgicas de TIC

Transicin y entrega Administracin de cambios Liberacin y entrega Transicin y habilitacin de la operac. Administracin de la configuracin

Operacin de servicios Operacin de la mesa de servicios Administracin de niveles de servicio

SOPORTE

Administracin de activos Administracin de dominios tecnolgicos Administracin del conocimiento Apoyo a la capacitacin del personal de la UTIC

Operaciones Administracin de la operacin Administracin de ambiente fsico Mantenimiento de infraestructura

Actividad ASI - 5: Establecer la Directriz rectora para la administracin de riesgos

Factores crticos
1. Elaborar la directriz rectora: a. Integrar antecedentes y justificacin. b. Definir herramientas. c. Establecer reglas para medir su efectividad. d. Establecer informes. e. Establecer consideraciones para la toma de decisiones. 2. Verificar que sta se mantenga actualizada. 3. Difundirla.

Actividad ASI- 6: Elaborar el Anlisis de Riesgos

Factores crticos
1. 2. Conformar el grupo de trabajo. Identificar los procesos crticos, activos y gente. 3. Identificar las vulnerabilidades. 4. Identificar las amenazas. 5. Definir los escenarios de riesgo. 6. Evaluar mediante la relacin ProbabilidadImpacto. 7. Desarrollar el anlisis costo-beneficio de los controles necesarios y recomendados para: Evitar, mitigar, asumir y/o transferir. Procesos

Activos Gente

Actividad ASI- 6: Elaborar el Anlisis de Riesgos

Integracin del anlisis al SGSI y a las acciones del ERISC
9. Integrar con los controles y planes del SGSI.

Formatos homologados
Permiten seguir el estndar paso a paso. No son sugeridos. De ser necesario pueden modificarse mediante Reglas de adaptacin.

Actividad OPEC - 4: Implantar los controles de mitigacin de riesgos y los controles del SGSI
Factores crticos
1. Ejecutar el Programa de implantacin para el manejo de riesgos. Dar seguimiento a la ejecucin del programa. Asegurar que los controles se hayan implantado de acuerdo con el programa.
Planear

2.

3.

Actuar

Hacer

OPEC-6: Revisar la operacin del SGSI. OPEC-7: Aplicar al SGSI las mejoras definidas.

Verificar

Gracias
Ing. Horacio Miranda Miranda
hmiranda@funcionpublica.gob.mx

Director General Adjunto de Proyectos de Gobierno Digital Unidad de Gobierno Digital Secretara de la Funcin Pblica