Post on 21-Oct-2020
Metodología de gestión de activos de información
21 Documento maestro
Metodológica de pruebas de efectividad
Política general MSPIv1
Procedimientos de Seguridad y
Privacidad de la Información.
Roles y responsabilidades de
seguridad y privacidad de la
información
Gestión De Activos Gestión Documental
Gestión del riesgo
Controles de Seguridad
Indicadores de Gestión SI
Continuidad de TI Análisis de Impacto de Negocios (BIA)
Seguridad en la nube
Evidencia digital
Plan de comunicación,
sensibilización y capacitación
Auditoría Evaluación desempeño
Mejora continúa
Lineamientos: Terminales de áreas
financieras entidades públicas
Aseguramiento del protocolo IPv6
Transición de IPV4 a IPv6 para Colombia Gestión de incidentes
Modelo de Seguridad y Privacidad de la Información - MSPI
Objetivos
Entregar los lineamientos básicos que deben s e r u t i l i z ado s po r l o s responsables de la seguridad de la información, para poner en marcha gestión de activos de información que son manejados por la entidad.
Protege activos
Software
Físicos
Servicios
Personas
Información
Procesos
Activos de información ¿Cualesson?
Metodología a seguir
Inventario de activos
Propiedad de los activos
Clasificación de la información
Gestionar los Activos
Campos del Inventario
Proceso de
NegocioServicio ID_Activo Nombre Activo de Información Descripción Ubicación Tipo de Activo
Gestión de incidentes
Hosting /Colocation A01
Gst.N3_Rsp_Active directory y Base de Datos_STABARB Active directory y Base de Datos AD01 ACTIVE DIRECTORY HP PROLIANT DL360
Active Directory N1 HDC alojado en el servidor AD01 HP PROLIANT DL360 y su base de datos. Este activo es crítico porque es un servicio de active directory compartido por varios clientes
ZONA 1 RACK 9 Rack R1-09-Z1 FILA 1 - ZONA1 UR 40 Hardware
Gestión de incidentes Transversal A02
Gst.Rsp_Adm_SRV_TSV_Actas de Reuniones Físicas Actas de "Acuerdos formales con los clientes" XXX Centro Edif 19 00 Piso 6Información
Gestión de incidentes Transversal A03
Gst.Nvl3_BD_Administrador de BD_Tsv DC Administrador de BD
Administrador de BD compuesta por un tercero SETI y a través de José Miguel Hernández por parte de XXX
CUNI - Aseguramiento - P02 CENTRO - Aseguramiento - P06
Persona
Gestión de incidentes Transversal A04
Gst.N3_NOC_Switch de Distribución CUNI BOCUCI4948 DCN01 , DCN02 Backbone Datos - SWITCH
CISCO Systems Catalys 4948, Equipos de comunicaciónes administrados por el grupo Backbone, Sistema redundante que concentra las comunicaciónes de BOCUCI (192.168.174.1 y 192.168.174.121)
SALON DATACENTER FILA F RACK 3 Posición 20; SALON DATACENTER FILA G RACK 3 Posición 20
Redes
Proceso de negocio al cual p e r t e n e c e e l a c t i v o d e información
Servicio: Corresponde a los diferentes servicios que ofrece la entidad a sus clientes
Ro tu l o c on que s e identifica el activo. Es el serial del activo de información dado por el fabricante
C o r r e s p o n d e a l a ubicación exacta del activo de información d e n t r o d e l a s ins ta lac iones de la entidad
Hardware|Software|Información|Persona|Redes|procesos del negocio|Lugar|Servicio
Clasificación de activos de información
Conf. (1) Integ. (2) Disp. RELEVANCIA
Información Publica Critica
De 0 a 1 Horas Baja
Pública Reservada Baja
De 4 a 8 Horas Baja
Publica Clasificada Critica
De 8 a 24 Horas Alta
No Clasificada
Alta De 0 a 1 Horas Baja
Reservada Normal De 2 a 4 Horas Baja
CONFIDENCIALIDAD (1)
Clasificación Explicación
Pública Reservada
Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica.
Publica Clasificada
Información disponible para todos los procesos de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma. Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros sin autorización del propietario.
Información Publica
Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la entidad.
No Clasificada
IActivos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados.
INTEGRIDAD (2)Clasificación Explicación Peso
BajaSe puede reemplazar fácilmente y ofrecer la misma calidad / datos de carácter no personal.
1
NormalSi tras el daño se puede reemplazar y ofrecer una calidad semejante con una molestia razonable.
2
AltaSi la calidad necesaria se puede reconstruir de forma difícil y costosa.
3
CriticaSi no puede volver a obtenerse una calidad semejante a la original.
4
Ley 1712 del 2014
Campos del Inventario
Conf. (1) Integ. (2) Disp.(3) RELEVANCIA
Información Publica Critica
De 0 a 1 Horas Baja
Pública Reservada Alta
De 4 a 8 Horas Baja
Publica Clasificada Normal
De 8 a 24 Horas Baja
No Clasificada Alta
De 0 a 1 Horas Baja
Pública Reservada Normal
De 2 a 4 Horas Baja
DISPONIBILIDAD (3)Clasificación Explicación Peso
De 0 a 1 Horas
Se puede estar sin el activo en funcionamiento máximo 1 horas al cabo de las cuales se comienzan a materializar riesgos financieros y operativos.
5
De 1 a 2 Horas
Se puede estar sin el activo en funcionamiento máximo 2 horas 4
De 2 a 4 Horas
Se puede estar sin el activo en funcionamiento máximo 4 horas 3
De 4 a 8 Horas
Se puede estar sin el activo en funcionamiento máximo 8 horas 2
De 8 a 24 Horas
Se puede estar sin el activo en funcionamiento máximo 1 día 1
Mayor 24 H
Se puede estar sin el activo en funcionamiento más de un día al cabo de la cual se comienzan a materializar riesgos financieros y operativos.
0
Relevancia del Activo de Información Relevancia Rango Descripción
Baja Entre 1 y 4
El activo puede afectar una tarea aislada del proceso u operación. Las pérdidas o afectación serían menores.
Media Entre 5 y 9
El activo puede afectar parcialmente un proceso u operación. Las pérdidas o afectación pueden ser moderadas.
Alta Entre 10 y 13
Uno o varios procesos pueden ser seriamente afectados. Las pérdidas o afectación pueden ser importantes.
Campos del Inventario
Propietario Persona Propietario Cargo Cliente Custodio Observaciones Estado Fecha
Validación Propietario
Ricardo Otálora PROFESIONAL II Varios Clientes entre ellos POSITIVARicardo Otálora
Active Directory compartido por varios clientes
Lider de Grupo Postventa Gerente de Servicios CLIENTE Serv DC
Gerente de Servicio
\Sa01\DCO\AISC\Networking Actualizado26/06/2012Aprobado
José Miguel Martinez AUXILIAR XIV XXX
José Miguel Martinez Sin observaciones
Luis Hernán Castro PROFESIONAL V XXX
Luis Hernán Castro Sin observaciones
Seguridad Física - Edgar Zapata AUXILIAR XIV
XXX - Servicios de DC Cliente Ext.
Edgar Zapata Sin observaciones
Corresponde al cliente al cual la entidad le presta servicios
Corresponde al responsable de Infraestructura que respalda a ese activo de información
D e t e r m i n a e l t i p o d e m o d i f i c a c i ó n r e a l i z a d a (Actualizado o Eliminado)
Fecha de modif icación o eliminación
Aprobación o rechazo frente a la información consignada en la matriz
Gestión de riesgos de seguridad de la información
Agenda
• Objetivos • Metodología Gestión de Riesgos SI • Propuesta formato Matriz Riesgos SI • Plan de tratamiento de riesgos SI • Monitoreo y seguimiento
Objetivo Orientar a las entidades del distrito en:
1. Metodología de gestión de riesgos de seguridad de la
información
2. Modelo de matriz
Metodología gestión riesgos SI
Fuente: ISO/IEC 27005
Metodología gestión riesgos SI 1. Establecimiento del contexto
Proveedores
Socios / Inversionistas Órganos de control Departamentos administrativos Órganos rectores de los sectores
Sistemas de gestión
Usuarios
Ciudadanos
¿En dónde está ubicada?
¿Alguna actividad importante a resaltar?
¿Tiene otr
os sistem
as de
gestión im
plementa
dos?
¿Están ce
rtificados
?
¿Qué aliados estratégicos tiene? (convenios)
¿Qué se tiene de infraestructura tecnológica crítica?
¿Cuáles servicios tecnológicos ofrece?
¿Inmuebles? ¿Recursos físicos?
Misión Visión
Objetivos estratégicos Procesos
Procedimientos Talento Humano
Roles y responsabilidades …
Metodología gestión riesgos SI
2. Valoración del riesgo
Nivel exposición activos de información Identificar causales de riesgo
Identificar el impacto de los riesgos
Determinar la probabilidad de ocurrencia del riesgo
Evaluación de riesgos de Seguridad de la Información
Metodología gestión riesgos SI
2.1 Análisis de riesgo
Metodología gestión riesgos SI
2.1 Análisis de riesgo
Metodología gestión riesgos SI
2.1.1 Identificación de riesgos en seguridad de la información
Identificación activos de información
Valoración activos de información
Identificación causas de riesgos (Amenazas Vulnerabilidades)
Identificación riesgos en Seguridad de la Información
Identificación de dueño o propietario del riesgo
Metodología gestión riesgos SI
2.1.2 Estimación del riesgo
Metodología gestión riesgos SI
Impacto Cambio adverso en el nivel de los objetivos del negocio logrado. [ISO/IEC 27000:2016].
Metodología gestión riesgos SI Propuesta niveles y descripción impacto
Descriptor NIVEL FINANCIERO CONTINUIDAD OPERATIVA
La pérdida de ingresos directa y los costos u otros gastos financieros indirectos que se generarían para la Organización.
Tiempo en que se ve afectada la operación de los procesos de la Organización.
Insignificante 1 En caso de presentarse, la Organización no tendría c o n s e c u e n c i a s e c o n ó m i c a s q u e i m p a c t e n e l funcionamiento, por tanto se asumirán las perdidas.
En caso de presentarse, el proceso de la Organización no se vería afectado en su continuidad.
Menor 2 En caso de presentarse, la Organización tendría bajas consecuencias económicas. En caso de presentarse, el proceso de la Organización se vería afectado en su continuidad de manera mínima.
Moderado 3 En caso de presentarse, la Organización tendría medianas consecuencias económicas. En caso de presentarse, el proceso de la Organización se vería afectado en su continuidad de manera moderada.
Mayor 4 En caso de presentarse, la Organización tendría altas consecuencias económicas.
Si el hecho llegara a presentarse, el proceso de la Organización se vería afectado en su continuidad de manera considerable interrumpiendo periódicamente el proceso y otros.
Catastrófico 5 En caso de presentarse, la Organización tendría nefastas consecuencias económicas. En caso de presentarse, el proceso de la Organización se vería afectado en su continuidad de manera total.
Metodología gestión riesgos SI
2.1.2 Estimación del riesgo
Metodología gestión riesgos SI
Probabilidad Frecuencia o Factibilidad de ocurrencia del Riesgo. [ISO/IEC 27000:2016].
Metodología gestión riesgos SI
Propuesta niveles y descripción de probabilidad
NIVEL DE PROBABILIDAD DESCRIPCIÓN
1 Raro El r iesgo ocurre rara vez en la Organización.
2 Improbable El riesgo ocurre en ocasiones especificas en la Organización.
3 Posible El riesgo ocurre con cierta periodicidad en la Organización.
4 Probable El riesgo ocurre frecuentemente en la Organización.
5 Casi Seguro El riesgo ocurre inminentemente en la Organización.
Metodología gestión riesgos SI
Impacto Probabilidad Riesgo
Metodología gestión riesgos SI
PROBABILIDAD IMPACTO
INSIGNIFCANTE (1) MENOR (2) MODERADO (3) MAYOR (4) CATASTRÓFICO (5)
RARO (1) B B M A A
IMPROBABLE (2) B B M A E
POSIBLE (3) B M A E E
PROBABLE (4) M A A E E
CASI SEGURO (5) A A E E E
B: Zona de riesgo Baja: Asumir el riesgo M: Zona de riesgo Medio: Asumir, Reducir el riesgo A: Zona de riesgo Alta: Reducir, Evitar, Compartir el riesgo E: Zona de riesgo Extremo: Reducir, Evitar, Compartir el riesgo
2.2 Evaluación del riesgo
Metodología gestión riesgos SI Niveles de riesgo:
NIVELES DE RIESGO RESPUESTA A LOS RIESGOS DESCRIPCIÓN
BAJO Asumirelriesgo El nivel de riesgo es Admisible y se encuentra controlado en la Organización. Los riesgos en este nivel se deben revisar periódicamente.
MEDIO Asumirelriesgo
El nivel de riesgo es Tolerable de acuerdo a los criterios de aceptación de la Organización. Los riesgos en este nivel deben ser monitoreados para identificar oportunamente los cambios en su valoración que pueden afectar los procesos de la Organización.
ALTO Mitigar el riesgo, Evitar, Compartir El nivel del riesgo es Inaceptable, por lo que es necesario implementar controles en la Organización para mitigar, evitar o compartir el riesgo y llevar a niveles aceptables. Puede afectar un proceso crítico de la Organizaión
EXTREMO Mitigarelriesgo,Evitar,Compartir
El nivel del riesgo es Inadmisible, por lo que es necesario implementar controles en la Organización para mitigar, evitar o compartir el riesgo y llevar a niveles aceptables. Este tipo de riesgos puede afectar a varios procesos críticos o toda la Organización.
Plan de tratamiento de riesgos Niveles de tratamiento sugeridos
NIVELES DE RIESGO RESPUESTA A LOS RIESGOS
ALTO Mitigar el riesgo, Evitar, Compartir
EXTREMO Mitigar el riesgo, Evitar, Compartir
Metodología gestión riesgos SI
1 Insignificante 1 Raro 15 Bajo
1 Insignificante 1 Raro 15 Bajo
1 Insignificante 1 Raro 3 Bajo
VALOR RIESGO
NIVEL DE RIESGO
NIVEL PROBABILIDAD
DELRIESGO
NIVEL IMPACTO
RIESGO ASOCIADO A
C-I-D
VALOR IMPACTO
RIESGO IDENTIFICADO
CAUSAL DE RIESGO (COMBINACIÓN DE LA AMENAZA
Y LA VULNERABILIDAD)
DUEÑO DEL RIESGO
VALOR PROBABILIDAD
RIESGO
CONTROLES ACTUALES
Taller