Metodología de gestión de activos de información

Metodología de gestión de activos de información

21 Documento maestro

Metodológica de pruebas de efectividad

Política general MSPIv1

Procedimientos de Seguridad y

Privacidad de la Información.

Roles y responsabilidades de

seguridad y privacidad de la

información

Gestión De Activos Gestión Documental

Gestión del riesgo

Controles de Seguridad

Indicadores de Gestión SI

Continuidad de TI Análisis de Impacto de Negocios (BIA)

Seguridad en la nube

Evidencia digital

Plan de comunicación,

sensibilización y capacitación

Auditoría Evaluación desempeño

Mejora continúa

Lineamientos: Terminales de áreas

financieras entidades públicas

Aseguramiento del protocolo IPv6

Transición de IPV4 a IPv6 para Colombia Gestión de incidentes

Modelo de Seguridad y Privacidad de la Información - MSPI

Objetivos

Entregar los lineamientos básicos que deben s e r u t i l i z ado s po r l o s responsables de la seguridad de la información, para poner en marcha gestión de activos de información que son manejados por la entidad.

Protege activos

Software

Físicos

Servicios

Personas

Información

Procesos

Activos de información ¿Cualesson?

Metodología a seguir

Inventario de activos

Propiedad de los activos

Clasificación de la información

Gestionar los Activos

Campos del Inventario

Proceso de

NegocioServicio ID_Activo Nombre Activo de Información Descripción Ubicación Tipo de

Activo

Gestión de incidentes

Hosting /Colocation A01

Gst.N3_Rsp_Active directory y Base de Datos_STABARB Active directory y Base de Datos AD01 ACTIVE DIRECTORY HP PROLIANT DL360

Active Directory N1 HDC alojado en el servidor AD01 HP PROLIANT DL360 y su base de datos. Este activo es crítico porque es un servicio de active directory compartido por varios clientes

ZONA 1 RACK 9 Rack R1-09-Z1 FILA 1 - ZONA1 UR 40 Hardware

Gestión de incidentes Transversal A02 Gst.Rsp_Adm_SRV_TSV_Actas de

Reuniones Físicas Actas de "Acuerdos formales con los clientes" XXX Centro Edif 19 00 Piso 6Información

Gestión de incidentes Transversal A03

Gst.Nvl3_BD_Administrador de BD_Tsv DC Administrador de BD

Administrador de BD compuesta por un tercero SETI y a través de José Miguel Hernández por parte de XXX

CUNI - Aseguramiento - P02 CENTRO - Aseguramiento - P06

Persona

Gestión de incidentes Transversal A04

Gst.N3_NOC_Switch de Distribución CUNI BOCUCI4948 DCN01 , DCN02 Backbone Datos - SWITCH

CISCO Systems Catalys 4948, Equipos de comunicaciónes administrados por el grupo Backbone, Sistema redundante que concentra las comunicaciónes de BOCUCI (192.168.174.1 y 192.168.174.121)

SALON DATACENTER FILA F RACK 3 Posición 20; SALON DATACENTER FILA G RACK 3 Posición 20

Redes

Proceso de negocio al cual p e r t e n e c e e l a c t i v o d e información

Servicio: Corresponde a los diferentes servicios que ofrece la entidad a sus clientes

Ro tu l o c on que s e identifica el activo. Es el serial del activo de información dado por el fabricante

C o r r e s p o n d e a l a ubicación exacta del activo de información d e n t r o d e l a s ins ta lac iones de la entidad

Hardware|Software|Información|Persona|Redes|procesos del negocio|Lugar|Servicio

Clasificación de activos de información

Conf. (1) Integ. (2) Disp. RELEVANCIA

Información Publica Critica De 0 a 1

Horas Baja

Pública Reservada Baja De 4 a 8

Horas Baja

Publica Clasificada Critica De 8 a 24

Horas Alta

No Clasificada

Alta De 0 a 1 Horas Baja

Reservada Normal De 2 a 4 Horas Baja

CONFIDENCIALIDAD (1)

Clasificación Explicación

Pública Reservada

Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica.

Publica Clasificada

Información disponible para todos los procesos de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma. Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros sin autorización del propietario.

Información Publica

Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la entidad.

No Clasificada

IActivos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados.

INTEGRIDAD (2)Clasificación Explicación Peso

BajaSe puede reemplazar fácilmente y ofrecer la misma calidad / datos de carácter no personal.

1

NormalSi tras el daño se puede reemplazar y ofrecer una calidad semejante con una molestia razonable.

2

AltaSi la calidad necesaria se puede reconstruir de forma difícil y costosa.

3

CriticaSi no puede volver a obtenerse una calidad semejante a la original.

4

Ley 1712 del 2014


Conf. (1) Integ. (2) Disp.(3) RELEVANCIA

Información Publica Critica De 0 a 1

Horas Baja

Pública Reservada Alta De 4 a 8

Horas Baja

Publica Clasificada Normal De 8 a 24

Horas Baja

No Clasificada Alta De 0 a 1

Horas Baja

Pública Reservada Normal De 2 a 4

Horas Baja

DISPONIBILIDAD (3)Clasificación Explicación Peso

De 0 a 1 Horas

Se puede estar sin el activo en funcionamiento máximo 1 horas al cabo de las cuales se comienzan a materializar riesgos financieros y operativos.

5

De 1 a 2 Horas

Se puede estar sin el activo en funcionamiento máximo 2 horas 4

De 2 a 4 Horas


De 4 a 8 Horas


De 8 a 24 Horas

Se puede estar sin el activo en funcionamiento máximo 1 día 1

Mayor 24 H

Se puede estar sin el activo en funcionamiento más de un día al cabo de la cual se comienzan a materializar riesgos financieros y operativos.

0

Relevancia del Activo de Información Relevancia Rango Descripción

Baja Entre 1 y 4

El activo puede afectar una tarea aislada del proceso u operación. Las pérdidas o afectación serían menores.

Media Entre 5 y 9

El activo puede afectar parcialmente un proceso u operación. Las pérdidas o afectación pueden ser moderadas.

Alta Entre 10 y 13

Uno o varios procesos pueden ser seriamente afectados. Las pérdidas o afectación pueden ser importantes.


Propietario Persona Propietario Cargo Cliente Custodio Observaciones Estado Fecha Validación

Propietario

Ricardo Otálora PROFESIONAL II Varios Clientes entre ellos POSITIVA

Ricardo Otálora

Active Directory compartido por varios clientes

Lider de Grupo Postventa Gerente de Servicios CLIENTE Serv DC Gerente de

Servicio\Sa01\DCO\AISC\Networking Actualizado26/06/2012Aprobado

José Miguel Martinez AUXILIAR XIV XXX José Miguel

Martinez Sin observaciones

Luis Hernán Castro PROFESIONAL V XXX Luis Hernán

Castro Sin observaciones

Seguridad Física - Edgar Zapata AUXILIAR XIV XXX - Servicios de

DC Cliente Ext.Edgar Zapata Sin observaciones

Corresponde al cliente al cual la entidad le presta servicios

Corresponde al responsable de Infraestructura que respalda a ese activo de información

D e t e r m i n a e l t i p o d e m o d i f i c a c i ó n r e a l i z a d a (Actualizado o Eliminado)

Fecha de modif icación o eliminación

Aprobación o rechazo frente a la información consignada en la matriz

Gestión de riesgos de seguridad de la información

Agenda

•  Objetivos

•  Metodología Gestión de Riesgos SI

•  Propuesta formato Matriz Riesgos SI

•  Plan de tratamiento de riesgos SI

•  Monitoreo y seguimiento

Objetivo Orientar a las entidades del distrito en:

1.  Metodología de gestión de riesgos de seguridad de la

información

2.  Modelo de matriz

Metodología gestión riesgos SI

Fuente: ISO/IEC 27005

Metodología gestión riesgos SI 1. Establecimiento del contexto

Proveedores

Socios / Inversionistas Órganos de control Departamentos administrativos Órganos rectores de los sectores

Sistemas de gestión

Usuarios

Ciudadanos

¿En dónde está ubicada?

¿Alguna actividad importante a resaltar?

¿Tiene otros sistemas de

gestión implementados?

¿Están certificados?

¿Qué aliados estratégicos tiene? (convenios)

¿Qué se tiene de infraestructura tecnológica crítica?

¿Cuáles servicios tecnológicos ofrece?

¿Inmuebles? ¿Recursos físicos?

Misión Visión

Objetivos estratégicos Procesos

Procedimientos Talento Humano

Roles y responsabilidades …


2. Valoración del riesgo

Nivel exposición activos de información Identificar causales de riesgo

Identificar el impacto de los riesgos

Determinar la probabilidad de ocurrencia del riesgo

Evaluación de riesgos de Seguridad de la Información


2.1 Análisis de riesgo


2.1 Análisis de riesgo


2.1.1 Identificación de riesgos en seguridad de la información

Identificación activos de información

Valoración activos de información

Identificación causas de riesgos (Amenazas Vulnerabilidades)

Identificación riesgos en Seguridad de la Información

Identificación de dueño o propietario del riesgo


2.1.2 Estimación del riesgo


Impacto Cambio adverso en el nivel de los objetivos del negocio logrado. [ISO/IEC 27000:2016].

Metodología gestión riesgos SI Propuesta niveles y descripción impacto

Descriptor NIVEL

FINANCIERO CONTINUIDAD OPERATIVA

La pérdida de ingresos directa y los costos u otros gastos financieros indirectos que se generarían para la Organización.

Tiempo en que se ve afectada la operación de los procesos de la Organización.

Insignificante 1 En caso de presentarse, la Organización no tendría c o n s e c u e n c i a s e c o n ó m i c a s q u e i m p a c t e n e l funcionamiento, por tanto se asumirán las perdidas.

En caso de presentarse, el proceso de la Organización no se vería afectado en su continuidad.

Menor 2 En caso de presentarse, la Organización tendría bajas consecuencias económicas.

En caso de presentarse, el proceso de la Organización se vería afectado en su continuidad de manera mínima.

Moderado 3 En caso de presentarse, la Organización tendría medianas consecuencias económicas.

En caso de presentarse, el proceso de la Organización se vería afectado en su continuidad de manera moderada.

Mayor 4 En caso de presentarse, la Organización tendría altas consecuencias económicas.

Si el hecho llegara a presentarse, el proceso de la Organización se vería afectado en su continuidad de manera considerable interrumpiendo periódicamente el proceso y otros.

Catastrófico 5 En caso de presentarse, la Organización tendría nefastas consecuencias económicas.

En caso de presentarse, el proceso de la Organización se vería afectado en su continuidad de manera total.


2.1.2 Estimación del riesgo


Probabilidad Frecuencia o Factibilidad de ocurrencia del Riesgo. [ISO/IEC 27000:2016].


Propuesta niveles y descripción de probabilidad

NIVEL DE PROBABILIDAD DESCRIPCIÓN

1 Raro El r iesgo ocurre rara vez en la Organización.

2 Improbable El riesgo ocurre en ocasiones especificas en la Organización.

3 Posible El riesgo ocurre con cierta periodicidad en la Organización.

4 Probable El riesgo ocurre frecuentemente en la Organización.

5 Casi Seguro El riesgo ocurre inminentemente en la Organización.


Impacto Probabilidad Riesgo


PROBABILIDAD IMPACTO

INSIGNIFCANTE (1) MENOR (2) MODERADO (3) MAYOR (4) CATASTRÓFICO (5)

RARO (1) B B M A A

IMPROBABLE (2) B B M A E

POSIBLE (3) B M A E E

PROBABLE (4) M A A E E

CASI SEGURO (5) A A E E E

B: Zona de riesgo Baja: Asumir el riesgo M: Zona de riesgo Medio: Asumir, Reducir el riesgo A: Zona de riesgo Alta: Reducir, Evitar, Compartir el riesgo E: Zona de riesgo Extremo: Reducir, Evitar, Compartir el riesgo

2.2 Evaluación del riesgo

Metodología gestión riesgos SI Niveles de riesgo:

NIVELES DE RIESGO RESPUESTA A LOS RIESGOS DESCRIPCIÓN

BAJO Asumirelriesgo El nivel de riesgo es Admisible y se encuentra controlado en la Organización. Los riesgos en este nivel se deben revisar periódicamente.

MEDIO Asumirelriesgo

El nivel de riesgo es Tolerable de acuerdo a los criterios de aceptación de la Organización. Los riesgos en este nivel deben ser monitoreados para identificar oportunamente los cambios en su valoración que pueden afectar los procesos de la Organización.

ALTO Mitigar el riesgo, Evitar, Compartir El nivel del riesgo es Inaceptable, por lo que es necesario implementar controles en la Organización para mitigar, evitar o compartir el riesgo y llevar a niveles aceptables. Puede afectar un proceso crítico de la Organizaión

EXTREMO Mitigarelriesgo,Evitar,Compartir

El nivel del riesgo es Inadmisible, por lo que es necesario implementar controles en la Organización para mitigar, evitar o compartir el riesgo y llevar a niveles aceptables. Este tipo de riesgos puede afectar a varios procesos críticos o toda la Organización.

Plan de tratamiento de riesgos Niveles de tratamiento sugeridos

NIVELES DE RIESGO RESPUESTA A LOS RIESGOS

ALTO Mitigar el riesgo, Evitar, Compartir

EXTREMO Mitigar el riesgo, Evitar, Compartir


1 Insignificante 1 Raro 15 Bajo



VALOR RIESGO

NIVEL DE RIESGO

NIVEL PROBABILIDAD

DELRIESGO

NIVEL IMPACTO

RIESGO ASOCIADO A

C-I-D

VALOR IMPACTO

RIESGO IDENTIFICADO

CAUSAL DE RIESGO (COMBINACIÓN DE LA AMENAZA

Y LA VULNERABILIDAD)

DUEÑO DEL RIESGO

VALOR PROBABILIDAD

RIESGO

CONTROLES ACTUALES

Taller

Date post:	25-Dec-2021
Category:	Documents
Upload:	others
View:	24 times
Download:	0 times

Metodología de gestión de activos de información

Documents