· Web viewMatriz de riesgos, la cual contiene el listado de activos de información de la UAESP...

Plan de Seguridad y Privacidad de la Información

UNIDAD ADMINISTRATIVA ESPECIAL DE SERVICIOS PUBLICOS

Avenida Caracas No. 53-80Código Postal 110231PBX 3580400www.uaesp.gov.coLínea 195

Bogotá D.C. Julio de 2018


Tabla de contenido

1. INTRODUCCION..............................................................................................................................3

2. OBJETIVO DEL DOCUMENTO......................................................................................................4

3. DOCUMENTO DE REFERENCIA..................................................................................................4

4. RESPONSABLES DE LA IMPLEMENTACION............................................................................5

5. EL MODELO PHVA..........................................................................................................................5

5.1. PLANIFICACION...............................................................................................................................6

5.1.1. Alcance del SGSI......................................................................................................................7

5.1.2. Objetivos del SGSI....................................................................................................................7

5.1.3. Documentación de Políticas de Seguridad de la Información.............................................7

5.1.4. Análisis de Brecha....................................................................................................................8

5.1.5. Documentación de Procedimientos......................................................................................10

5.1.6. Identificación y Clasificación de Activos de Información...................................................11

5.1.7. Metodología para la Gestión de Riesgos.............................................................................11

5.1.8. Identificación Riesgos.............................................................................................................11

5.1.9. Analizar y Evaluar los Riesgos..............................................................................................12

5.2. IMPLEMENTACION.......................................................................................................................12

5.2.1 Plan de Tratamiento del Riesgo............................................................................................12

5.2.2 Implementación del Plan de Tratamiento del Riesgo y Controles de Seguridad...........12


5.2.3 Métricas de Eficacia de los Controles..................................................................................13

5.2.4 Programas de Concientización y Capacitación de Empleados........................................13

5.2.5 Gestión de Funcionamiento normal del SGSI.....................................................................13

5.2.6 Gestión de los Recursos del SGSI.......................................................................................13

5.2.7 Gestión de Incidentes de Seguridad....................................................................................13

5.3. EVALUACION DE DESEMPEÑO.................................................................................................14

5.4. MEJORA CONTINUA.....................................................................................................................14


1. INTRODUCCION

Mediante la adopción del Modelo de Seguridad y Privacidad por parte de las Entidades del Estado se busca contribuir al incremento de la transparencia en la Gestión Pública, promoviendo el uso de las mejores prácticas de Seguridad de la Información como base de la aplicación del concepto de Seguridad Digital.

La implementación del plan de Seguridad y Privacidad de la Información en la Entidad está determinada por las necesidades objetivas, los requisitos de seguridad, procesos, el tamaño y la estructura de esta, todo con el objetivo de preservar la confidencialidad, integridad, disponibilidad de los activos de información, garantizando su buen uso y la privacidad de los datos.

Además de detallar las líneas de acción para implementar el Modelo de Seguridad y Privacidad de la Información basados en el ciclo PHVA. Así mismo, este documento fue presentado y aprobado el 8 de agosto en el Comité de Seguridad de la Información y Gobierno Digital.

2. OBJETIVO DEL DOCUMENTO

Éste documento busca extraer y presentar al lector de una manera resumida como se plasma el modelo PHVA (Planear-Hacer- Verificar-Actuar) en la norma ISO 27001 e identificar en cada fase las actividades a realizar dentro de la mejora continua del sistema de gestión de la seguridad de la información (SGSI).

3. DOCUMENTO DE REFERENCIA

Norma ISO 27001


4. RESPONSABLES DE LA IMPLEMENTACION

De acuerdo con la Resolución Nº.696 de 2017 de la UAESP se crea el Comité de Seguridad de la Información y Gobierno Digital para la implementación de la dimensión de arquitectura organizacional en lo que respecta los sistemas de información y la infraestructura tecnológica, el cual tiene las siguientes funciones:

1. Aprobar los lineamientos, metodología relacionadas con la seguridad de información y gobierno digital.

2. Coordinar la implementación de los modelos de gobierno digital y de seguridad de la información.

3. Revisar el avance en la implementación de los modelos de gobierno digital y de seguridad de información.

4. Aprobar lineamientos, metodologías y practicas al interior de la unidad para la implementación de las estrategias demarcadas en los modelos descritos.

5. Diseñar las estrategias para la apropiación de los modelos de gobierno digital y de seguridad de la información.

Conformación del comité de seguridad y gobierno Digital. El comité está integrado por:a. Jefe de la Oficina de Tecnologías de la Información y las Comunicaciones, líder del

comité.b. Jefe de la Oficina Asesora de Planeación.c. Líder del programa de gestión documentald. Responsable de la Seguridad de la Información de la Unidade. Designados por el Representante Legal de la Unidad

5. EL MODELO PHVA

El Sistema de Gestión de la Seguridad de la Información (SGSI) se basa en la necesidad que la Seguridad de la Información esté en continua evolución y que además, dicha evolución esté documentada y justificada. El modelo en el que se basa el SGSI es


denominado PHVA (Planear-Hacer-Verificar- Actuar), La Ilustración 1 representa la relación entre las fases del modelo y los numerales de la norma ISO 27001

5.1.PLANIFICACION

En esta primera fase se realiza un estudio de la situación actual de la UAESP desde el punto de vista de la seguridad de la información, es necesario estimar las medidas que se van a implantar en función de las necesidades detectadas, determinando así el alcance del SGSI y la política de seguridad.

Se debe tener en cuenta que no toda la información de la UAESP tiene el mismo valor, e igualmente, no toda la información está sometida a los mismos riesgos. Por ello, una de las actividades importantes dentro de esta fase es la realización de un Análisis de Riesgos que ofrezca una valoración de los activos de información y las vulnerabilidades a las que están expuestos. Así mismo se hace necesario el análisis de dichos riesgos a fin de evaluar los posibles impactos para la Entidad y con base en


ello, establecer planes de acción con miras a minimizar dichos riesgos.

En general, esta fase consiste en entender el contexto de la UAESP como entidad de servicios públicos apoyándose en su misión y visión e Identificar los requisitos y expectativas de la seguridad de la información, para ello es importante comprender los procesos en los soporta para cumplir sus objetivos. Dando como resultado la definición del alcance, los objetivos del SGSI y la Política general de seguridad de la información en la Unidad Administrativa de Servicios Públicos- UAESP.

5.1.1. Alcance del SGSI

Procurar para los activos de información requeridos de los 5 procesos misionales: Recolección, Barrido y limpieza, Alumbrado público, Servicios funerarios, Disposición final y Aprovechamiento, así como para el subproceso de gestión de TIC, la confidencialidad, integridad y disponibilidad de la información.

5.1.2. Objetivos del SGSI

1) Proteger la Información propia de la UAESP y de terceros bajo su custodia. 2) Conseguir y mantener nivel de compromiso con la seguridad por parte de funcionarios y terceros vinculados con la UAESP. 3) Cumplir con la legislación y acuerdos contractuales que en materia de seguridad apliquen para la UAESP.

5.1.3. Documentación de Políticas de Seguridad de la Información

Durante esta fase es necesario identificar la documentación existente en UAESP dentro del sistema integrado de gestión identificando principalmente el sistema de gestión de calidad con el fin de unificar los procedimientos existentes que apliquen al SGSI.

se adopta el Manual de las políticas de Seguridad de la Información de cumplimiento por parte de directivos, funcionarios, usuarios y terceros que accedan a la información de la Unidad, usen equipos informáticos y de comunicaciones, interactúen con herramientas tecnológicas y/o servicios informáticos y/o ingresen de manera física o


lógica a las instalaciones de la Unidad.La ruta en la página web es la siguiente:http://www.uaesp.gov.co/images/Manual_politicas_seguridad_Informatica.pdf

Se documentará la Política Seguridad de la Información e igualmente políticas específicas para dar cumplimiento con ciertos controles del anexo A de la norma ISO 27001 de acuerdo con los lineamientos ahí definidos.

5.1.4. Análisis de Brecha

Diagnóstico de seguridad de la información se basa en la identificación de diferencias entre el estado actual y el estado ideal la Unidad Administrativa Especial de Servicios Públicos de acuerdo con los requerimientos exigidos en la norma ISO 27001.

Para poder establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI la norma ISO 27001 adopta un modelo enfocado a procesos en cuatro etapas PHVA “Planificar, Hacer, Verificar, Actuar”.

En la fase de Planificar se realiza el diagnóstico que permite conocer el estado actual en Seguridad de la información.

Las fases para realizar una metodología de diagnóstico de seguridad de la información son:

Revisión del cumplimiento de la Unidad Administrativa Especial de Servicios Públicos respecto a la Seguridad de la Información según la norma ISO 27001.

Revisión los controles existentes que apliquen a la seguridad de la información en UAESP según el anexo A de la Norma ISO 27001.

Identificar requisitos faltantes (Políticas, procedimientos, controles), los cuales son exigidos por la norma ISO 27001.

Para realizar el diagnóstico de seguridad de la información y conocer el estado en que se encuentra respecto a la identificación de riesgos requerida dentro del Sistema de Gestión de Seguridad de la Información se usa la herramienta de diagnóstico de seguridad y privacidad de la información, elaborada por el MINTIC lo cual arroja un resultado preciso, permite a cada entidad generar un plan de seguridad de la


http://www.uaesp.gov.co/images/Manual_politicas_seguridad_Informatica.pdf

información para ser desarrollado al interior de esta, y dar cumplimiento con lo estipulado en el manual de gobierno digital en sus componentes, lo cual arrojo el siguiente resultado:

Tabla II Diagnostico MSPI

Fuente: Autodiagnóstico MSPI con corte a marzo de 2018


5.1.5. Documentación de Procedimientos

Durante esta fase se identificarán y documentarán procedimientos necesarios para dar cumplimiento a la norma ISO 27001 y garantizar un adecuado funcionamiento del Sistema de Gestión de Seguridad de la Información lo cual en el sistema Integrado de Gestión se encuentran los siguientes:

Tabla III Mapa de Procesos

La ruta en la página web para poder visualizar estos procedimientos es la siguiente:http://archivo.uaesp.gov.co/index.php/sig-01


http://archivo.uaesp.gov.co/index.php/sig-01

5.1.6. Identificación y Clasificación de Activos de Información

Para la identificación de los activos de información es necesario conocer los procesos y subprocesos que están dentro del alcance del SGSI, ya que estos procesos y subprocesos serán los responsables de dichos activos y por lo tanto quienes suministren la información, valoración, ubicación y clasificación de estos. Es necesario:

Disponibilidad por parte de los funcionarios para la identificación, ubicación y clasificación de los activos de información.

Disponibilidad para la calificación de los activos de información en términos de la seguridad de la información.

El archivo de activos de información ya se encuentra actualizado en la página web de la entidad lo cual se puede visualizar en el siguiente link: http://www.uaesp.gov.co/content/transparencia-y-acceso-la-informacion-publica numeral 10-2 Registro Activos de Información.

5.1.7. Metodología para la Gestión de Riesgos

La metodología de gestión de riesgos ofrece para la UAESP un método sistemático para analizar los riesgos derivados de los procesos misionales y del uso de las tecnologías de la información y comunicaciones, con el objetivo de descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control y así preparar a la entidad para un proceso de evaluación, auditoría, certificación o acreditación, según corresponda.

La información referente a dicha metodología es presentada en el documento Metodología de gestión del riesgo.


http://www.uaesp.gov.co/content/transparencia-y-acceso-la-informacion-publica

5.1.8. Identificación Riesgos

La identificación de activos de información, vulnerabilidades, y amenazas al igual que la evaluación de la magnitud de los riesgos es presentada en la Matriz de riesgos, la cual contiene el listado de activos de información de la UAESP identificando el responsable, ubicación, modo de almacenamiento, estado y los procesos y subprocesos propietarios o custodios de dicho activo. La matriz contiene además la valoración de los activos de información en términos de confidencialidad, integridad y disponibilidad.

5.1.9. Analizar y Evaluar los Riesgos

Se determina el impacto de la materialización del riesgo y la probabilidad de ocurrencia, para así definir el nivel del riesgo, lo anterior es presentado en la Matriz de valoración del riesgo.

1.2.3.4.5.

5.1.5.2. IMPLEMENTACION

En esta fase se lleva a cabo el establecimiento de los controles de seguridad escogidos en la fase anterior. Dentro de esta fase se destaca la concienciación y formación del personal de la UAESP de cara a que conozcan los controles implantados.

5.2.1 Plan de Tratamiento del Riesgo

El plan de tratamiento del riesgo describe quién, cómo y cuándo se deberían implementar los controles correspondientes; es decir que se identifican las responsabilidades,


recursos, acciones y prioridades en la gestión de los riesgos encontrados en la UAESP. Dicho plan se encuentra en el documento llamado con el mismo nombre Plan de tratamiento de riesgos.

5.2.2 Implementación del Plan de Tratamiento del Riesgo y Controles de Seguridad

En esta etapa la UAESP debe implementar el plan de tratamiento de riesgos y controles de seguridad de la información.

5.2.3 Métricas de Eficacia de los Controles

Se define un sistema de métricas e indicadores que permite obtener resultados reproducibles y comparables para medir la eficacia de los controles implementados. Dicho sistema se presenta en el documento Métricas e indicadores del SGSI.

5.2.4 Programas de Concientización y Capacitación de Empleados

El documento plan de sensibilización presenta las recomendaciones para realizar el programa de concientización, el cual tiene como objetivos principales, lograr que todos los miembros que integran la organización entiendan y se comprometan con todos los aspectos relacionados con el Sistema de Gestión de Seguridad de la Información, crear una cultura relacionada con la integridad, confidencialidad y disponibilidad de la información en donde todos los miembros de la entidad comprendan la importancia de dar un tratamiento adecuado a la información y finalmente concientizar a las personas de los riesgos que se pueden presentar tanto para ellas como parte integral de UAESP y su misión social, como para la imagen pública de la entidad.

5.2.5 Gestión de Funcionamiento normal del SGSI

La UAESP debe gestionar las operaciones del SGSI, mediante auditorías internas y revisión de las métricas e indicadores.


5.2.6 Gestión de los Recursos del SGSI

Es compromiso de la Dirección de la UAESP garantizar los recursos tanto presupuestales como de personal para la implementación exitosa del SGSI.

5.2.7 Gestión de Incidentes de Seguridad

La UAESP debe implementar y atender las recomendaciones dadas en el plan de gestión de incidentes, creado para detectar y gestionar un incidente, definido como toda aquella actividad ejecutada como resultado de eventos adversos e inesperados que ocurran como resultado de controles fallidos o inexistentes.

5.3.EVALUACION DE DESEMPEÑO

La UAESP debe disponer de mecanismos que le permitan evaluar la eficacia y éxito de los controles implantados. Por este motivo toman especial importancia los registros (evidencias) que dejan los diferentes controles, así como los indicadores que permiten verificar el correcto funcionamiento del SGSI. En esta fase la UAESP deberá: 1) Implementar procedimientos y demás controles de supervisión y control para determinar cualquier violación, procesamiento incorrecto de datos, y determinar si las actividades de seguridad se desarrollan de acuerdo con lo previsto. 2) Revisar periódicamente de la eficacia del SGSI mediante la evaluación y análisis de las métricas. 3) Medir la eficacia de los controles por medio de las métricas definidas. 4) Revisar periódicamente el estado de los activos de información, actualizando periódicamente la matriz de riesgos 5) Actualizar el informe de evaluación de riesgos. 6) Revisar periódicamente la evaluación de riesgos, actualizando el Plan de tratamiento de riesgos. 7) Realizar Auditorías internas planificadas. 8) Revisar por parte de la dirección para asegurar el funcionamiento del SGSI para identificar oportunidades de mejoras. 9) Actualizar los planes de seguridad para tener en cuenta otras actividades de supervisión y revisión.


10) Mantener registros de actividades e incidentes que puedan afectar la eficacia del SGSI.

5.4.MEJORA CONTINUA

En esta fase se llevarán a cabo las labores de mantenimiento y mejora del sistema de gestión de seguridad informática, así como las labores de mejora y de corrección si, tras la verificación, se ha detectado algún punto débil. Esta fase se suele llevar en paralelo con la verificación y se actúa al detectarse la deficiencia, no se suele esperar a tener la fase de verificación completada para comenzar con las tareas de mejora y corrección. Esta fase la UAESP deberá: 1) Implementar en el SGSI las mejoras identificadas. 2) Tomar medidas correctivas y preventivas y aplicación de experiencias de seguridad propias y de terceros. 3) Comunicar las actividades y mejoras a todos los grupos de interés. 4) Asegurar que las mejoras cumplan los objetivos previstos


· Web viewMatriz de riesgos, la cual contiene el listado de activos de información de la UAESP...

Documents

Transcript of · Web viewMatriz de riesgos, la cual contiene el listado de activos de información de la UAESP...