Documente Academic
Documente Profesional
Documente Cultură
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
RESPONSABILIDAD Y AUTORIDAD
FECHA
REVISADO POR:
Claudia Paez
Coordinadora del
Integral
15/10/14
APROBADO POR:
Leida Ramirez
Subgerente General
VERSION No. 04
Sistema
de
Gestin
FIRMA
15/10/14
PGINA 1 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
1. TABLA DE MODIFICACIONES
En este documento se realizaron cambios. Por favor lalos y aplquelos.
Verifique que est utilizando la ltima Versin correspondiente a la ltima revisin.
N VERSIN
MODIFIC.
FECHA MODIFIC.
Marzo/2008
Junio/2008
Junio/2009
Junio/2009
VERSION No. 04
Julio/2011
Octubre / 2014
MODIFICACIONES
Ajuste de la metodologa de acuerdo a las
necesidades de la compaa.
Ajuste a la metodologa teniendo en cuenta los
criterios
de
confidencialidad,
integridad
y
disponibilidad de la informacin.
Eliminacin de la tabla de registros.
Detallar el alcance de la metodologa.
Se detallan cada una de las etapas para el anlisis
de riesgos que se realiza en la compaa.
Actualizar la figura 4. Matriz de Riesgos
Se mantiene la versin del documento.
Actualizar logo de grupo empresarial, se actualiza
el nombre, objeto y alcance del documento.
Actualizar las actividades de desarrollo de la
gestin de riesgos.
Incluir los criterios de valoracin para la gestin de
riesgos.
PGINA 2 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
TABLA DE CONTENIDO
1.
2.
3.
4.
5.
6.
7.
VERSION No. 04
PGINA 3 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
2. OBJETIVO
Esta metodologa tiene como finalidad gestionar los riesgos de seguridad de la
informacin asociados con la prdida de confidencialidad, integridad y disponibilidad de
la informacin del grupo empresarial y que puedan afectar la operacin de la empresa.
3. ALCANCE
Inicia con la identificacin de los activos de informacin de la compaa y sus propietarios,
contina con identificacin y valoracin de los riesgos de seguridad de la informacin, los
cuales permiten determinar los diferentes niveles de riesgos asociados a los activos de
informacin y finaliza con la definicin e implementacin de un plan de tratamiento de
riesgos. Aplicable a todos los procesos que intervengan en el manejo de la informacin de
la organizacin.
4. DOCUMENTOS PARA CONSULTA
Norma Tcnica NTC-ISO/IEC 27001-2013 tem 6.1.2,6.13,8.3
Norma Tcnica NTC-ISO/IEC 27001 Anexo A.
5. DEFINICIONES
Propietario del Control: Es el encargado o lder del equipo o miembro del equipo
que tiene la responsabilidad primaria, de asegurarse que el control del riesgo es y
sigue siendo eficaz. Un dueo del control es normalmente lder de un equipo o el
miembro del equipo con quien trabaja.
VERSION No. 04
PGINA 4 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
6. GENERALIDADES
La gestin de riesgos permite determinar como es, cuanto vale y como estn protegidos
los activos de informacin. En coordinacin con los objetivos, estrategias y polticas
corporativas de la organizacin, las actividades a realizar en la gestin de riesgos, permite
elaborar planes de mitigacin, que satisface los objetivos propuestos, con el nivel de
riesgo que se puede aceptar asumir por la Alta Direccin.
El Objetivo de un anlisis de riesgos es identificar y analizar los diferentes factores de
riesgo que potencialmente podrn afectar a las actividades que queremos proteger en la
compaa. La evaluacin de riesgos supone imaginarse lo que puede ir mal y a
continuacin estimar el impacto que supondra para la organizacin. Se ha de tener en
cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta
VERSION No. 04
PGINA 5 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
VERSION No. 04
PGINA 6 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se
necesitan para poder gestionar dichos datos.
Las aplicaciones informticas (software) que permiten manejar los datos.
Los equipos informticos (hardware) y que permiten hospedar datos, aplicaciones y
servicios.
Los soportes de informacin que son dispositivos de almacenamiento de datos.
El equipamiento auxiliar que complementa el material informtico.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informticos y de comunicaciones.
Las personas que explotan u operan todos los elementos anteriormente citados.
Identificacin de amenazas
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo.
Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que
puede pasarle a nuestros activos y causar un dao.
Hay accidentes naturales (terremotos, inundaciones,) y desastres industriales
(contaminacin, fallos elctricos) ante los cuales el sistema de informacin es vctima
pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay amenazas
causadas por las personas, bien errores, bien ataques intencionados. La siguiente
ilustracin clasifica las distintas amenazas a los sistemas.
VERSION No. 04
PGINA 7 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
7.3.2
Identificar Vulnerabilidades
Las vulnerabilidades son debilidades que pueden ser explotadas para convertir una
amenaza en un riesgo real que puede causar daos graves en la compaa. Las
vulnerabilidades en s mismas no causan dao alguno, sino que es una condicin o un
conjunto de condiciones que pueden permitir a una amenaza afectar a un activo.
Para identificar las vulnerabilidades que pueden afectar a una compaa debemos
responder a la pregunta: Cmo puede ocurrir una amenaza?
Para responder a esta pregunta ponemos como objetivo la amenaza y definimos las
distintas situaciones por las que puede ocurrir la misma, evaluando si dentro de la
compaa puede darse esa circunstancia; es decir, si el nivel de proteccin es suficiente
para evitar que se materialice la amenaza.
7.4 Anlisis y Evaluacin del riesgo
Riesgo es la posibilidad de que se produzca un impacto determinado en la organizacin.
El riesgo calculado es simplemente un indicador ligado al par de valores calculados de
vulnerabilidad y el impacto, ambos ligados a su vez de la relacin entre el activo y la
amenaza a la que el riesgo calculado se refiere. El riesgo suele expresarse en trminos
cualitativos (Alto, Medio, Bajo).
PROBABILIDAD = QUE TAN PROBABLE ES QUE UNA AMENAZA
APROVECHE UNA VULNERABILIDAD PARA CAUSAR UN DAO.
VERSION No. 04
PGINA 8 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
CONSIDERABLE
IMPORTANTE
VERSION No. 04
PGINA 9 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
inundaciones y terremotos, la compaa cuenta con una pliza multiriesgo que nos
cubre econmicamente frente a la probabilidad de materializacin de estos
riesgos.
Evaluar Contramedidas
Para reducir riesgos se utilizan los denominados controles o medidas de seguridad y sus
objetivos. Podemos clasificar los controles en:
Controles preventivos: Identifican potenciales problemas antes de que ocurran.
Previenen errores, omisiones o actos maliciosos.
Ejemplos:
-
Monitorizacin de eventos.
Auditoras internas.
Revisiones peridicas de procesos.
Sensores de humo.
Deteccin de virus (Antivirus).
Controles Correctivos
-
VERSION No. 04
PGINA 10 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
Ejemplos:
-
Parches de seguridad.
Correccin de daos por virus.
Recuperacin de datos perdidos.
Las medidas seleccionadas para mitigar riesgos deben mantener una proporcin entre el
esfuerzo y coste necesarios para su implantacin y el riesgo que mitigan (evaluacin del
coste-beneficio). Uno de los objetivos del anlisis de riesgos es evitar en la medida de lo
posible que se produzcan incidente. Por ello, es importante que la compaa conozca sus
riesgos y ponga las medidas adecuadas para corregir el mayor nmero de
vulnerabilidades que puedan provocar un incidente grave.
La gestin de riesgos debe ser peridica y en funcin de la evolucin del negocio
(crecimiento), de cambios importantes en la organizacin (procesos internos), nuevas
obligaciones legales, etc.
7.7
Tratamiento de Riesgos
Con base en los resultados del anlisis de riesgos la alta direccin debe escoger el
tratamiento del riesgo acorde a las necesidades de la orgnizacina, as como proveer los
recursos para la implementacin del plan de tratamiento de riesgos. A continuacin se
presentan algunas etapas del tratamiento de riesgos:
VERSION No. 04
PGINA 11 DE 16
TITULO
CODIGO
METODOLOGA DE GESTIN DE
RIESGOS
SGSI-M01
CRITERIOS DE VALORACIN
Tabla 1. Criterios Valoracin de Seguridad de los Activos
VALORACIN DE SEGURIDAD
CRITERIOS
MUY
BAJO
BAJO
MEDIO
ALTO
MUY
ALTO
CONFIDENCIALIDAD
El conocimiento a divulgacin no
autorizada de la informacin que
gestiona el activo no tiene ningn
impacto en los procesos o la
organizacin.
El conocimiento a divulgacin no
autorizada de la informacin que
gestiona el activo tiene un
impacto bajo en los procesos o la
organizacin.
El conocimiento a divulgacin no
autorizada de la informacin que
gestiona el activo tiene un
impacto moderado en los
procesos o la organizacin.
El conocimiento a divulgacin no
autorizada de la informacin que
gestiona el activo tiene un
impacto alto en los procesos o la
organizacin.
El conocimiento a divulgacin no
autorizada de la informacin que
gestiona el activo
tiene un
impacto alto y negativo en los
procesos o la organizacin.
INTEGRIDAD
La prdida de exactitud y
completitud del activo o la
informacin que gestiona
el activo no genera ningn
impacto en los procesos o
la organizacin.
La prdida de exactitud y
completitud del activo o la
informacin que gestiona
el activo genera un
impacto bajo en los
procesos o la
organizacin.
La prdida de exactitud y
completitud del activo o la
informacin que gestiona
el activo genera un
impacto moderado en los
procesos o la
organizacin.
La prdida de exactitud y
completitud del activo o la
informacin que gestiona
el activo genera un
impacto alto en los
procesos o la
organizacin.
La prdida de exactitud y
completitud del activo o la
informacin que gestiona
el activo
genera un
impacto negativo y muy
alto en los procesos o la
organizacin.
DISPONIBILIDAD
La falta o no disponibilidad del
activo o la informacin que
gestiona el activo no genera
ningn impacto en los
procesos o la organizacin.
La falta o no disponibilidad del
activo o la informacin que
gestiona el activo genera un
impacto bajo en los procesos o
la organizacin.
1-3
BAJO
4-6
MEDIO
7-9
ALTO
10-12
MUY ALTO
13-15
Tabla 3. Amenazas
VERSION No. 04
PGINA 12 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
1
2
3
4
5
CODIGO
SGSI-M01
AMENAZAS
Falla de software
Ingeniera social
Sucesos de origen fsico
Fallas de infraestructura
Dao, perdida , fuga, robo o modificacin de informacin
Tabla 4. Vulnerabilidades
1
2
3
10
Incendio
11
Inundacin
12
Sismo
13
Sobrecarga elctrica
14
15
16
17
Falta de mantenimiento
18
19
20
21
22
23
VERSION No. 04
VULNERABILIDADES
Mal manejo de sistemas y herramientas
PGINA 13 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
24
25
26
CODIGO
SGSI-M01
27
28
29
Sobrepasar autoridades
30
31
32
33
34
35
36
Ausencia de documentacin
37
ESCALA VALOR
DESCRIPCIN
MUY
BAJO
1-37
BAJO
38-74
MEDIO
75-111
ALTO
112-148
MUY
ALTO
149-185
VERSION No. 04
PGINA 14 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
MUY
BAJO
BAJO
MEDIO
ALTO
MUY
ALTO
MUY BAJO
BAJO
10
MEDIO
12
15
ALTO
12
16
20
MUY ALTO
10
15
20
25
VALO
R
1-2
3-6
INSIGNIFICANT
E
INSIGNIFICANT
E
7-9
1016
1725
IMPORTANTE
FACTOR DE EFECTIVIDAD DE
LOS CONTROLES
VERSION No. 04
BAJA
MEDIA
ALTA
PGINA 15 DE 16
TITULO
METODOLOGA DE GESTIN DE
RIESGOS
CODIGO
SGSI-M01
CONTROL DE REGISTROS
RESPONSABLE
ARCHIVO
IDENTIFICACION
SGSI-M01-F01
Matriz de Valoracin
de Activos
SGSI-M01-F02
Matriz de Valoracin
de Riesgos
SGSI-M01-F03 Plan
de tratamiento de
riesgos
Declaracin de
Aplicabilidad de
Seguridad de la
Informacin
SGI
SGI
SGI
SGI
VERSION No. 04
UBICACIN
\\EQUIPO05
\Sistemas
de
Gestion\SGI\
PROCESOS
\8. SGSI
\\EQUIPO05
\Sistemas
de
Gestion\SGI\
PROCESOS
\8. SGSI
\\EQUIPO05
\Sistemas
de
Gestion\SGI\
PROCESOS
\8. SGSI
\\EQUIPO05
\Sistemas
de
Gestion\SGI\
PROCESOS
\8. SGSI
ORDENACION
(numerico
Alfabetico
Cronologico)
TIEMPO
RETENCION
A-G
TIEMPO
RETENCIO
N
A-C
DISPONIBILIDAD
DE ACCESO
SOPORTE
Cronolgico
Gerentes de
Transversales
/Proyectos
Digital
2 aos
2 ao
Eliminacin
Cronolgico
Gerentes de
Transversales
/Proyectos
Digital
2 aos
2 ao
Eliminacin
Cronolgico
Gerentes de
Transversales
/Proyectos
Digital
2 aos
2 ao
Eliminacin
Cronolgico
Gerentes de
Transversales
/Proyectos
Digital
2 aos
2 ao
Eliminacin
PGINA 16 DE 16
DISPOSICION
FINAL