METODOLOGÍA ADMINISTRACIÓN DE RIESGOS ICBF. INTRODUCCIÓN La metodología aplicara la gestión de riesgos de seguridad de la información para el ICBF y tiene.

Slides:



Advertisements
Presentaciones similares
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Advertisements

COSO I y COSO II.
ANALISIS DE RIESGOS.
ANALISIS DE RIESGOS.
Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
GESTION DEL RIESGO.
Conceptos generales metodología levantamiento de procesos
Análisis y gestión de riesgos en un Sistema Informático
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
SISTEMA ADMINISTRACIÓN
SISTEMA ADMINISTRACIÓN
Universidad de Buenos Aires Facultad de Ciencias Económicas
Introducción a la Seguridad de la información
ESCUELA POLITECNICA DEL EJERCITO
ESCUELA POLITÉCNICA DEL EJÉRCITO
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Estructura Sistema de Control Interno
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
GESTION DEL RIESGO – CLASIFICACION POR PROCESOS
Situaciones Detectadas en la Entidad…
CGR (Contraloría general de la república) Steven Oviedo Rodríguez
Presentación de la Norma Técnica de Seguridad de la Información
“Sistemas de Gestión de Seguridad y Salud Ocupacional”
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
AREA DE SEGURIDAD DE LA INFORMACION
Evaluación del Control Interno Municipal
“Adopción de SGSI en el Sector Gobierno del PERÚ”
GESTIÓN DEL RIESGO Reunión de calidad
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD EN EL TRABAJO (SG-SST)
Ing. Alexandra García Ing. Patricia Nogales. OBJETIVOS: General Específicos.
MAPA DE RIESGOS INSTITUCIONAL
Análisis y Gestión de Riesgos
METODOLOGÍA ADMINISTRACIÓN DE RIESGOS
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
Gestión de la Continuidad del negocio BS BCI
CONTROL INTERNO - COMPONENTES Valoración de Riesgos Profesora: Guillermina López M. Noviembre, 2010.
Gestión del riesgo operacional Israel Fainboim (FMI)
EMPRESA SOCIAL DEL ESTADO HOSPITAL EL CARMEN DEL MUNICIPIO DE AMALFI POLÍTICA DE ADMINISTRACIÓN DEL RIESGO (Resolución 182 de 2008) EMPRESA SOCIAL DEL.
¡BIENVENIDOS! MODELO ESTANDAR DE CONTROL INTERNO MECI 1000:2005
SGSI y MAS Implantación en el M.H..
Ing. Ana Elena Murgas Vargas
AUDITORIAS EN SISTEMA DE GESTION INTEGRADA
SGSI: Sistemas de Gestión de la Seguridad de la Información
Sistema Integral de Gestión de Calidad
Proveedores de servicios externos
Análisis y Gestión de Riesgos en un Sistema Informático
Programa de Administración de Riesgos.
Procesos itil Equipo 8.
ADMINISTRACIÓN DEL RIESGO
RIESGO LEGAL 22 de agosto del 2014
Sistema de Gestión de Calidad
ADMINISTRACION DE RIESGOS
ROL DE FORTALECIMIENTO DE LA CULTURA DEL CONTROL.
Jefe del Sistema de Gestión de la Calidad y Ecoeficiencia
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
Riesgo de Lavado de Activos
I dentificar y entender plenamente cómo funcionan los distintos Modelos de Operación por Procesos del FONCEP: En el Fondo de Prestaciones Económicas,
Riesgos de Corrupción Dirección Nacional de Planeación y Estadística Apoyo-Vicerrectoría General-Sistema Integrado de Gestión Bogotá, abril de 2015.
GESTIÓN DEL RIESGO Ingeniero Fabian O. Rodriguez García
Este documento es propiedad de Servicios Profesionales en Recursos Humanos y Tecnologías S.A. de C.V., queda prohibida su reproducción.
Seguridad de la información en las aplicaciones de facturación electrónica.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
Administración de Riesgos
Transición del Sistema de Gestión Integrado de los Requisitos de la Norma NTC ISO 9001:2008 a los Requisitos de la Norma NTC ISO 9001:2015 Febrero de 2016.
OFICINA DE CONTROL INTERNO Segunda Jornada de Inducción y Reinducción (Bogotá, Octubre 21 de 2015 )
Presentación de la Norma Técnica de Seguridad de la Información.
Procesos de apoyo Recursos Procesos de la misión Procesos de la estrategia Comercializar Fabricar muebles 4. Vender 4. Reponer Comprar 3. Producir 2. Comprar.
Transcripción de la presentación:

METODOLOGÍA ADMINISTRACIÓN DE RIESGOS ICBF

INTRODUCCIÓN La metodología aplicara la gestión de riesgos de seguridad de la información para el ICBF y tiene como fin establecer las actividades que deberán seguir para llevar a cabo el análisis y administración de riesgos que se identifiquen. Objetivo: Identificar Riesgos de Seguridad de la Información del ICBF siguiendo los Lineamientos de la ISO 27001:2013 e ISO 31000: 2009

GLOSARIO TERMINOS CAUSA: Aquello que origina el evento. CONSECUENCIAS: Resultado de un evento que afecta a los objetivos del negocio. DUEÑO DEL RIESGO: Es el responsable del riesgo y de planificar las respuestas a los riesgos, teniendo en cuenta que son riegos operacionales alineados con los objetivos del proceso, será el mismo dueño del proceso. EVENTO: Posible ocurrencia de Incidente de Seguridad de la Información. FUENTE: Elemento que por sí solo o en combinación tiene el potencial intrínseco para dar lugar a riesgo, la fuente del riesgo puede ser tangible o intangible.. OPORTUNIDAD: Base para dar cumplimiento al objetivo de mejora continúa. RIESGO: Efecto de la incertidumbre sobre los objetivos. RIESGO RESIDUAL: El nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.

IDENTIFICACIÓN RIESGO Evento: Posible ocurrencia de Incidente de Seguridad de la Información. Tiene que estar en términos cuantitativos o cualitativos. Incluir que atributo de la triada de seguridad de la información se afecta (Confidencialidad, Integridad y Disponibilidad). Incluir la Causa. Método para su Redacción AFECTACIÓN ORGANIZACIÓN CUALITATIVAMENTE O CUANTITATIVAMENTE + AFECTACIÓN TRIADA (C-D-I) + CAUSA -Ingreso de 5 datos erróneos a la aplicación por personal mal capacitado. - Afectación Organiza

IDENTIFICACIÓN CAUSAS Causa: Aquello que origina el evento. -TALENTO HUMANO -DIRECCIONAMIENTO ESTRATÉGICO -RECURSOS -INFORMACIÓN -PROVEEDORES Y CONTRATISTAS -CONTROL, MEDICIÓN Y SEGUIMIENTO -NORMATIVIDAD -TECNOLOGÍA -EVENTOS NATURALES -INFRAESTRUCTURA APOYO

IDENTIFICACIÓN CAUSAS TALENTO HUMANO Carencia de perfiles para el cargo Inadecuados perfiles para el cargo Carencia de las competencias requeridas para desarrollar la actividad Desconocimiento del proceso. actividad o procedimiento Falta de actividades de capacitación Inadecuadas actividades de capacitación Falta de actividades de sensibilización Inadecuadas actividades de sensibilización Falta de inducción y/o entrenamiento Inadecuada inducción y/o entrenamiento -

IDENTIFICACIÓN CAUSAS DIRECCIONAMIENTO ESTRATÉGICO Carencia de lineamientos de acción general (políticas y directrices institucionales) Falta claridad en los lineamientos directivos Inadecuados lineamientos (políticas y directrices institucionales) Desconocimiento del nivel directivo del negocio y los requerimientos del mismo Desconocimiento del nivel directivo del contexto externo de la organización Resistencia al cambio o baja tolerancia a tomar riesgos RECURSOS Carencia de recursos humanos Carencia de recursos tecnológicos Carencia de recursos económicos Carencia de recursos logísticos Carencia de materiales Inadecuada asignación de recursos humanos Inadecuada asignación de recursos tecnológicos

IDENTIFICACIÓN CAUSAS INFORMACIÓN Falta de confiabilidad en la información Falta de claridad en la información Falta de precisión en la información Falta de oportunidad en la entrega de la información Desconocimiento de las responsabilidades en el manejo de información Desactualización de la información Fallas en el canal de distribución de la información PROVEEDORES Y CONTRATISTAS Falta de confiabilidad en la información Falta de claridad en la información Falta de precisión en la información Falta de oportunidad en la entrega de la información Desconocimiento de las responsabilidades en el manejo de información Desactualización de la información Fallas en el canal de distribución de la información

IDENTIFICACIÓN CAUSAS CONTROL, MEDICIÓN Y SEGUIMIENTO Carencia de parámetros de medición Falta de claridad y efectividad en los parámetros de medición Falta de análisis de los resultados de las mediciones Carencia de actividades de revisión y verificación por parte de una persona independiente Manipulación de pruebas y/o resultados NORMATIVIDAD Inadecuada interpretación de la normatividad legal vigente Desactualización de la normatividad legal vigente Incumplimiento de la normatividad legal vigente Incumplimiento de los derechos de propiedad intelectual y licenciamiento.

IDENTIFICACIÓN CAUSAS TECNOLOGÍA Obsolescencia tecnológica Desactualización tecnológica Dificultad para responder a los avances tecnológicos acelerados EVENTOS NATURALES Inundaciones naturales Incendio forestales Terremotos INFRAESTRUCTURA APOYO Daño Tuberías Daño Infraestructura física Goteras Humedad no controlada Carencia de mantenimiento preventivo

EJEMPLO EVENTOS AFECTACIÓN ORGANIZACIÓN CUALITATIVAMENTE O CUANTITATIVAMENTE + AFECTACIÓN TRIADA + CAUSA Perdida de 5 carpetas de historias de atención no conciliables, afectando la confidencialidad y disponibilidad de esta información, debido a procesos no definidos. Ingreso de datos erróneos a la aplicación SIM, afectando la integridad de la información, por personal mal capacitado. Infección de un virus informático a 100 computadores de la sede nacional, afectando la disponibilidad de los mismo para trabajar en ellos, por una vulnerabilidad informática. Accesos no autorizados a computadores del ICBF, afectando la confidencialidad e integridad de la información, por Fallas en la plataforma tecnológica. Uso Inadecuado de la Información de adopciones de niños y niñas del ICBF, afectando la confidencialidad de la información, por falta o inadecuada asesoría jurídica.

IDENTIFICACIÓN FUENTE FUENTE: Elemento que por sí solo o en combinación tiene el potencial intrínseco para dar lugar a riesgo, la fuente del riesgo puede ser tangible o intangible. (La fuente esta relacionada con la causa del evento). FUENTEDESCRIPCIÓN TALENTO HUMANO  Cuando existen procedimientos y se asumen actividades sin lineamientos.  Cuando se desconoce el procedimiento y se comenten errores.

IDENTIFICACIÓN FUENTE FUENTEDESCRIPCIÓN RECURSOS -Carencia de recursos humanos -Carencia de recursos tecnológicos -Carencia de recursos económicos -Carencia de recursos logísticos DIRECCIONAMIENTO ESTRATÉGICO No este documentado políticas, manuales, procedimientos, tutoriales, guías, etc, que indiquen lineamientos estandarizados.

IDENTIFICACIÓN FUENTE FUENTEDESCRIPCIÓN TECNOLÓGICA Daño a los objetos como Hardware, Software y Servicios de TI. INFRAESTRUCTURA APOYO Daño de los elementos de apoyo a la infraestructura tecnológica como aire acondicionado, ups, planta eléctrica, tuberías, etc.

IDENTIFICACIÓN FUENTE FUENTEDESCRIPCIÓN EVENTOS NATURALES Catástrofes de tipo natural como Inundaciones naturales, Incendio forestales, terremotos, tornados, avalanchas, granizo, sequia, huracanes, ventisca, tormenta eléctrica, ola de calor, enfermedades (Pandemias y Epidemias), Erupción volcánica, tsunami, etc NORMATIVIDAD  Cambios en los requisitos estatutarios, reglamentarios y contractuales.  Incumplimiento de los derechos de propiedad intelectual y licenciamiento.

IDENTIFICACIÓN FUENTE FUENTEDESCRIPCIÓN PROVEEDORES Y CONTRATISTAS Cuando se dan incumplimientos por parte de proveedores y contratistas. INFORMACIÓN -Falta de confiabilidad en la información -Falta de claridad en la información -Falta de precisión en la información CONTROL, MEDICIÓN Y SEGUIMIENTO Seguimiento inadecuado a los planes de acción, lineamientos de seguridad de la información, planes de contingencia, continuidad, incidentes, etc.

IDENTIFICACIÓN CONSECUENCIA CONSECUENCIAS Pérdidas económicas Pérdida de Imagen Incumplimientos legales Daños a la integridad Física Llamados de Atención Sanciones Reprocesos Interrupción de la operación o del servicio. Lesiones o Fallecimientos.

ANÁLISIS DEL RIESGO - CONTROLES

ANÁLISIS DE RIESGOS - PROBABILIDAD

ANÁLISIS DE RIESGOS - IMPACTO VALORDESCRIPCIÓNIMPACTO 5 Extremadamente Dañino: Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad a nivel de : -Perdidas Económicas superiores. -Afectación Imagen a Nivel Nacional e Internacional. -Incumplimiento Legales a nivel de -intervenciones regulatorias- -Sanciones de Contraloría, Procuraduría y Fiscalía. -Daños totales de la infraestructura de la entidad. Catastrófico

ANÁLISIS DE RIESGOS - IMPACTO VALORDESCRIPCIÓNIMPACTO 4 DAÑINO (MAYOR) Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad -Perdidas Económicas superiores. -Afectación Imagen a Nivel Nacional. -Incumplimiento Legales a nivel de intervenciones regulatorias -Sanciones de Contraloría, Procuraduría y Fiscalía. -Daños totales de la infraestructura de la entidad. Mayor

ANÁLISIS DE RIESGOS - IMPACTO VALORDESCRIPCIÓNIMPACTO 3 MODERADO Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad. -Perdidas Económicas medianas. -Afectación Imagen del proceso o área a Nivel de la Entidad. -Incumplimiento Legales a nivel de intervenciones. Oficina Jurídica o Control Interno. -Sanciones a nivel de Entidad. -Daños parciales de la infraestructura de la entidad. -Llamados de atención a nivel Organizacional. Moderado

ANÁLISIS DE RIESGOS - IMPACTO VALORDESCRIPCIÓNIMPACTO 2 MENOR Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad: -Perdidas Económicas menores. -Afectación Imagen grupo o área a nivel del Macro proceso Sanciones a nivel Macro-procesos. -Daños pequeños de la infraestructura de la entidad- -Llamados de atención a nivel Macro-proceso. Menor

ANÁLISIS DE RIESGOS - IMPACTO VALORDESCRIPCIÓNIMPACTO 1 LIGERAMENTE DAÑINO Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad. -Perdidas Económicas insignificantes. -Afectación Imagen grupo a nivel área o proceso- -Sanciones a nivel grupo. -Daños pequeños de la infraestructura de la entidad. -Llamados de atención a nivel grupo. Insignificante

NIVEL DEL RIESGO

OPCIONES DE TRATAMIENTO: -Aplicar controles Apropiados. -Aceptar los riesgos siempre que satisfagan. -Evitar los Riesgos. -Transferir a otras partes CONTROLES APLICAR Anexo A (ISO 27001:2013) ACCIONES Aplicación Ciclo PHVA TRATAMIENTO DEL RIESGO

Base para dar cumplimiento al objetivo de mejora continúa ACCIONES Aplicación Ciclo PHVA OPORTUNIDAD

Ver Archivo: EJEMPLO

¡Gracias!

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.