La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

METODOLOGÍA ADMINISTRACIÓN DE RIESGOS ICBF. INTRODUCCIÓN La metodología aplicara la gestión de riesgos de seguridad de la información para el ICBF y tiene.

Publicada porMaría Rosa Salas Palma Modificado hace 8 años

Presentaciones similares

Presentación del tema: "METODOLOGÍA ADMINISTRACIÓN DE RIESGOS ICBF. INTRODUCCIÓN La metodología aplicara la gestión de riesgos de seguridad de la información para el ICBF y tiene."— Transcripción de la presentación:

1 METODOLOGÍA ADMINISTRACIÓN DE RIESGOS ICBF

2 INTRODUCCIÓN La metodología aplicara la gestión de riesgos de seguridad de la información para el ICBF y tiene como fin establecer las actividades que deberán seguir para llevar a cabo el análisis y administración de riesgos que se identifiquen. Objetivo: Identificar Riesgos de Seguridad de la Información del ICBF siguiendo los Lineamientos de la ISO 27001:2013 e ISO 31000: 2009

3 GLOSARIO TERMINOS CAUSA: Aquello que origina el evento. CONSECUENCIAS: Resultado de un evento que afecta a los objetivos del negocio. DUEÑO DEL RIESGO: Es el responsable del riesgo y de planificar las respuestas a los riesgos, teniendo en cuenta que son riegos operacionales alineados con los objetivos del proceso, será el mismo dueño del proceso. EVENTO: Posible ocurrencia de Incidente de Seguridad de la Información. FUENTE: Elemento que por sí solo o en combinación tiene el potencial intrínseco para dar lugar a riesgo, la fuente del riesgo puede ser tangible o intangible.. OPORTUNIDAD: Base para dar cumplimiento al objetivo de mejora continúa. RIESGO: Efecto de la incertidumbre sobre los objetivos. RIESGO RESIDUAL: El nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.

4 IDENTIFICACIÓN RIESGO Evento: Posible ocurrencia de Incidente de Seguridad de la Información. Tiene que estar en términos cuantitativos o cualitativos. Incluir que atributo de la triada de seguridad de la información se afecta (Confidencialidad, Integridad y Disponibilidad). Incluir la Causa. Método para su Redacción AFECTACIÓN ORGANIZACIÓN CUALITATIVAMENTE O CUANTITATIVAMENTE + AFECTACIÓN TRIADA (C-D-I) + CAUSA -Ingreso de 5 datos erróneos a la aplicación por personal mal capacitado. - Afectación Organiza

5 IDENTIFICACIÓN CAUSAS Causa: Aquello que origina el evento. -TALENTO HUMANO -DIRECCIONAMIENTO ESTRATÉGICO -RECURSOS -INFORMACIÓN -PROVEEDORES Y CONTRATISTAS -CONTROL, MEDICIÓN Y SEGUIMIENTO -NORMATIVIDAD -TECNOLOGÍA -EVENTOS NATURALES -INFRAESTRUCTURA APOYO

6 IDENTIFICACIÓN CAUSAS TALENTO HUMANO Carencia de perfiles para el cargo Inadecuados perfiles para el cargo Carencia de las competencias requeridas para desarrollar la actividad Desconocimiento del proceso. actividad o procedimiento Falta de actividades de capacitación Inadecuadas actividades de capacitación Falta de actividades de sensibilización Inadecuadas actividades de sensibilización Falta de inducción y/o entrenamiento Inadecuada inducción y/o entrenamiento -

7 IDENTIFICACIÓN CAUSAS DIRECCIONAMIENTO ESTRATÉGICO Carencia de lineamientos de acción general (políticas y directrices institucionales) Falta claridad en los lineamientos directivos Inadecuados lineamientos (políticas y directrices institucionales) Desconocimiento del nivel directivo del negocio y los requerimientos del mismo Desconocimiento del nivel directivo del contexto externo de la organización Resistencia al cambio o baja tolerancia a tomar riesgos RECURSOS Carencia de recursos humanos Carencia de recursos tecnológicos Carencia de recursos económicos Carencia de recursos logísticos Carencia de materiales Inadecuada asignación de recursos humanos Inadecuada asignación de recursos tecnológicos

8 IDENTIFICACIÓN CAUSAS INFORMACIÓN Falta de confiabilidad en la información Falta de claridad en la información Falta de precisión en la información Falta de oportunidad en la entrega de la información Desconocimiento de las responsabilidades en el manejo de información Desactualización de la información Fallas en el canal de distribución de la información PROVEEDORES Y CONTRATISTAS Falta de confiabilidad en la información Falta de claridad en la información Falta de precisión en la información Falta de oportunidad en la entrega de la información Desconocimiento de las responsabilidades en el manejo de información Desactualización de la información Fallas en el canal de distribución de la información

9 IDENTIFICACIÓN CAUSAS CONTROL, MEDICIÓN Y SEGUIMIENTO Carencia de parámetros de medición Falta de claridad y efectividad en los parámetros de medición Falta de análisis de los resultados de las mediciones Carencia de actividades de revisión y verificación por parte de una persona independiente Manipulación de pruebas y/o resultados NORMATIVIDAD Inadecuada interpretación de la normatividad legal vigente Desactualización de la normatividad legal vigente Incumplimiento de la normatividad legal vigente Incumplimiento de los derechos de propiedad intelectual y licenciamiento.

10 IDENTIFICACIÓN CAUSAS TECNOLOGÍA Obsolescencia tecnológica Desactualización tecnológica Dificultad para responder a los avances tecnológicos acelerados EVENTOS NATURALES Inundaciones naturales Incendio forestales Terremotos INFRAESTRUCTURA APOYO Daño Tuberías Daño Infraestructura física Goteras Humedad no controlada Carencia de mantenimiento preventivo

11 EJEMPLO EVENTOS AFECTACIÓN ORGANIZACIÓN CUALITATIVAMENTE O CUANTITATIVAMENTE + AFECTACIÓN TRIADA + CAUSA Perdida de 5 carpetas de historias de atención no conciliables, afectando la confidencialidad y disponibilidad de esta información, debido a procesos no definidos. Ingreso de 10.000 datos erróneos a la aplicación SIM, afectando la integridad de la información, por personal mal capacitado. Infección de un virus informático a 100 computadores de la sede nacional, afectando la disponibilidad de los mismo para trabajar en ellos, por una vulnerabilidad informática. Accesos no autorizados a computadores del ICBF, afectando la confidencialidad e integridad de la información, por Fallas en la plataforma tecnológica. Uso Inadecuado de la Información de adopciones de niños y niñas del ICBF, afectando la confidencialidad de la información, por falta o inadecuada asesoría jurídica.

12 IDENTIFICACIÓN FUENTE FUENTE: Elemento que por sí solo o en combinación tiene el potencial intrínseco para dar lugar a riesgo, la fuente del riesgo puede ser tangible o intangible. (La fuente esta relacionada con la causa del evento). FUENTEDESCRIPCIÓN TALENTO HUMANO  Cuando existen procedimientos y se asumen actividades sin lineamientos.  Cuando se desconoce el procedimiento y se comenten errores.

13 IDENTIFICACIÓN FUENTE FUENTEDESCRIPCIÓN RECURSOS -Carencia de recursos humanos -Carencia de recursos tecnológicos -Carencia de recursos económicos -Carencia de recursos logísticos DIRECCIONAMIENTO ESTRATÉGICO No este documentado políticas, manuales, procedimientos, tutoriales, guías, etc, que indiquen lineamientos estandarizados.

14 IDENTIFICACIÓN FUENTE FUENTEDESCRIPCIÓN TECNOLÓGICA Daño a los objetos como Hardware, Software y Servicios de TI. INFRAESTRUCTURA APOYO Daño de los elementos de apoyo a la infraestructura tecnológica como aire acondicionado, ups, planta eléctrica, tuberías, etc.

15 IDENTIFICACIÓN FUENTE FUENTEDESCRIPCIÓN EVENTOS NATURALES Catástrofes de tipo natural como Inundaciones naturales, Incendio forestales, terremotos, tornados, avalanchas, granizo, sequia, huracanes, ventisca, tormenta eléctrica, ola de calor, enfermedades (Pandemias y Epidemias), Erupción volcánica, tsunami, etc NORMATIVIDAD  Cambios en los requisitos estatutarios, reglamentarios y contractuales.  Incumplimiento de los derechos de propiedad intelectual y licenciamiento.

16 IDENTIFICACIÓN FUENTE FUENTEDESCRIPCIÓN PROVEEDORES Y CONTRATISTAS Cuando se dan incumplimientos por parte de proveedores y contratistas. INFORMACIÓN -Falta de confiabilidad en la información -Falta de claridad en la información -Falta de precisión en la información CONTROL, MEDICIÓN Y SEGUIMIENTO Seguimiento inadecuado a los planes de acción, lineamientos de seguridad de la información, planes de contingencia, continuidad, incidentes, etc.

17 IDENTIFICACIÓN CONSECUENCIA CONSECUENCIAS Pérdidas económicas Pérdida de Imagen Incumplimientos legales Daños a la integridad Física Llamados de Atención Sanciones Reprocesos Interrupción de la operación o del servicio. Lesiones o Fallecimientos.

18 ANÁLISIS DEL RIESGO - CONTROLES

19 ANÁLISIS DE RIESGOS - PROBABILIDAD

20 ANÁLISIS DE RIESGOS - IMPACTO VALORDESCRIPCIÓNIMPACTO 5 Extremadamente Dañino: Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad a nivel de : -Perdidas Económicas superiores. -Afectación Imagen a Nivel Nacional e Internacional. -Incumplimiento Legales a nivel de -intervenciones regulatorias- -Sanciones de Contraloría, Procuraduría y Fiscalía. -Daños totales de la infraestructura de la entidad. Catastrófico

21 ANÁLISIS DE RIESGOS - IMPACTO VALORDESCRIPCIÓNIMPACTO 4 DAÑINO (MAYOR) Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad -Perdidas Económicas superiores. -Afectación Imagen a Nivel Nacional. -Incumplimiento Legales a nivel de intervenciones regulatorias -Sanciones de Contraloría, Procuraduría y Fiscalía. -Daños totales de la infraestructura de la entidad. Mayor

22 ANÁLISIS DE RIESGOS - IMPACTO VALORDESCRIPCIÓNIMPACTO 3 MODERADO Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad. -Perdidas Económicas medianas. -Afectación Imagen del proceso o área a Nivel de la Entidad. -Incumplimiento Legales a nivel de intervenciones. Oficina Jurídica o Control Interno. -Sanciones a nivel de Entidad. -Daños parciales de la infraestructura de la entidad. -Llamados de atención a nivel Organizacional. Moderado

23 ANÁLISIS DE RIESGOS - IMPACTO VALORDESCRIPCIÓNIMPACTO 2 MENOR Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad: -Perdidas Económicas menores. -Afectación Imagen grupo o área a nivel del Macro proceso Sanciones a nivel Macro-procesos. -Daños pequeños de la infraestructura de la entidad- -Llamados de atención a nivel Macro-proceso. Menor

24 ANÁLISIS DE RIESGOS - IMPACTO VALORDESCRIPCIÓNIMPACTO 1 LIGERAMENTE DAÑINO Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad. -Perdidas Económicas insignificantes. -Afectación Imagen grupo a nivel área o proceso- -Sanciones a nivel grupo. -Daños pequeños de la infraestructura de la entidad. -Llamados de atención a nivel grupo. Insignificante

25 NIVEL DEL RIESGO

26 OPCIONES DE TRATAMIENTO: -Aplicar controles Apropiados. -Aceptar los riesgos siempre que satisfagan. -Evitar los Riesgos. -Transferir a otras partes CONTROLES APLICAR Anexo A (ISO 27001:2013) ACCIONES Aplicación Ciclo PHVA TRATAMIENTO DEL RIESGO

27 Base para dar cumplimiento al objetivo de mejora continúa ACCIONES Aplicación Ciclo PHVA OPORTUNIDAD

28 Ver Archivo: EJEMPLO

29 ¡Gracias!

Descargar ppt "METODOLOGÍA ADMINISTRACIÓN DE RIESGOS ICBF. INTRODUCCIÓN La metodología aplicara la gestión de riesgos de seguridad de la información para el ICBF y tiene."

Presentaciones similares

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
COSO I y COSO II.

COSO I y COSO II.
ANALISIS DE RIESGOS.

ANALISIS DE RIESGOS.
ANALISIS DE RIESGOS.

ANALISIS DE RIESGOS.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.

Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
GESTION DEL RIESGO.

GESTION DEL RIESGO.
Conceptos generales metodología levantamiento de procesos

Conceptos generales metodología levantamiento de procesos
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
SISTEMA ADMINISTRACIÓN

SISTEMA ADMINISTRACIÓN
SISTEMA ADMINISTRACIÓN

SISTEMA ADMINISTRACIÓN
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
ESCUELA POLITECNICA DEL EJERCITO

ESCUELA POLITECNICA DEL EJERCITO
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Estructura Sistema de Control Interno

Estructura Sistema de Control Interno

Presentaciones similares

Anuncios Google