Plan de Tratamiento de Riesgos de Seguridad Y Privacidad de La InformacióN
Plan de Tratamiento de Riesgos de Seguridad Y Privacidad de La InformacióN
Plan de Tratamiento de Riesgos de Seguridad Y Privacidad de La InformacióN
INFORMACIÓN
ENERO 2021
2. OBJETIVO
Establecer el tratamiento de los riesgo Riesgos de Seguridad de Información como una guía
metodológica para la SDMUJER que permita a los lideres o liderezas del proceso gestionar
y administrar el riesgo para prevenir su materialización y asegurar la información y los
recursos tecnologicos, mediante la identificación, análisis, valoración de riesgos y el
establecimiento de acciones de tratamiento dirigidos a prevenir la ocurrencia o minimizar
el impacto de los riesgos de seguridad y privacidad de la información.
3. ALCANCE
El proceso para la gestión del riesgo debe estar adaptado a los procesos de la Entidad y
comprende las siguientes actividades que se presentan en la siguiete ilustración. Proceso
para la gestión del riesgo de la norma ISO 31000.
Análisis de los Riesgos “El análisis de riesgos implica la consideración de las causas
y las fuentes de riesgo, sus consecuencias (impacto) y la probabilidad en que estas
consecuencias puedan ocurrir”
Monitoreo y Revisión: Como parte del proceso de gestión del riesgo, los riesgos y
los controles deberían ser monitoreados y revisados regularmente para comprobar
que:
Es necesario que la entidad pública establezca una política de gestión de riesgo integral,
donde se incluya el compromiso en la gestión de los riesgos de seguridad digital en todos
sus niveles. Esta debe crearse como lo indica la Guía de administración del riesgo de
gestión del DAFP en el Paso 1, incluyendo la gestión de riesgos de seguridad digital. Esta
o La técnica de valoración del riesgo se aplica correctamente
actividad es responsabilidad de la Línea estratégica dispuesta por el MIPG.
o Los tratamientos del riesgo son efectivos
4.1.4 Definición de roles y responsabilidades
alineado con el Instructivo para la Gestión del Riesgo (E-IN-005) – Pasos 4 y 5, en donde es
necesario tener en cuenta que estos riesgos serán tratados en sus etapas iniciales y finales
10
de acuerdo al mencionado instructivo y para los activos de información que en el Registro
de Activos de Información de la SDP (RAI) (A-LE- 283) hayan sido clasificados como de
criticidad “Alta” por sus responsables, según la valoración dada a su confidencialidad,
integridad y disponibilidad, razón por la cual se consideraría que existe un riesgo de la
información en alguno de éstos tres pilares.
La línea estratégica o alta dirección debe asignar entre otros, recursos tales como:
Un activo es cualquier elemento que tenga valor para la organización, sin embargo, en el
contexto de seguridad digital son activos elementos tales como aplicaciones de la entidad
pública, servicios Web, redes, información física o digital, Tecnologías de la Información -
TI- o Tecnologías de la Operación -TO-) que utiliza la organización para su funcionamiento.
La identificación y activos debe ser realizada por la Primera Línea de Defensa – Líderes de
Proceso, en cada proceso donde aplique la gestión del riesgo de seguridad digital, siendo
debidamente orientados por el responsable de seguridad digital o de seguridad de la
información de la entidad pública.
La siguiente tabla presenta una propuesta de tipología de activos con el fin de hacer la
clasificación mencionada.
La siguiente tabla presenta una propuesta de tipología de activos con el fin de hacer la
clasificación mencionada.
Ejemplo:
ACTI VO TI PO DE ACTI VO
Ilustración II. ClasificaciónInformación
Base de datos de nómina
de Activos
Aplicativo de Nómina Software
14
Tras la valoración del activo de información por cada uno de los tres pilares en el Formato
Registro De Activos De Información (RAI) (A-FO-209) se clasifica el Activo en el nivel de
criticidad “ALTA”, “MEDIA” ó “BAJA”), de acuerdo a las condiciones de la Guía para la
Gestión y Clasificación de Activos de Información de MinTIC de la siguiente manera:
De acuerdo con lo lineamientos para la Gestión del Riesgo de seguridad digital en las
Entidades Públicas, se deberá especificar la amenaza de acuerdo a la siguiente tabla de
referencia:
Para cada tipo de activo o grupo de activos pueden existir una serie de riesgos, los cuales la
SDMUJER debe identificar, valorar y posteriormente tratar si el nivel de dicho riesgo lo
amerita.
Adicionalmente, se debe identificar el responsable del riesgo, es decir, “quien tiene que
rendir cuentas sobre el riesgo o quien tiene la autoridad para gestionar el riesgo” .
Lluvia de ideas: Mediante esta opción se busca animar a los participantes a que
indiquen qué situaciones adversas asociadas al manejo de la información digital y
los activos de información se pueden presentar o casos ocurridos que los
participantes conozcan que se hayan dado en la SDMUJER o en el sector. Deben
existir un orden de la sesión, un líder y personas que ayuden con la captura de las
memorias.
Posterior a la identificación de los riesgos de seguridad digital con sus respectivas amenazas
y vulnerabilidades enunciadas en este documento, se deberá continuar con el Paso 3.
Valoración del Riesgo, de la “Guía para la Administración del Riesgo en la Gestión,
Corrupción y Seguridad Digital. Diseño de Controles en Entidades Públicas” del DAFP.
Como lo indica la Guía de DAFP, arriba mencionada, una vez establecidos y valorados los
riesgos inherentes se procede a la identificación y evaluación de los controles existentes
para evitar trabajo o costos innecesarios.
Nota: Para determinar si existen uno o varios controles asociados a los riesgos inherentes
identificados se puede consultar el Anexo A de la Norma ISO/IEC 27001:2013 como un
insumo base y determinar si ya posee alguno de los controles orientados a seguridad digital
que están enunciados en dicho anexo.
Una vez se han identificado los riesgos, la SDMUJER debe definir el tratamiento para cada
uno de los riesgos analizados y evaluados. Este es un proceso cíclico, el cual involucra una
selección de opciones para modificarlos, por lo tanto, puede tener en cuenta las opciones
Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9
Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
planteadas en la “Guía para la Administración del Riesgo en la Gestión, Corrupción y
Seguridad Digital. Diseño de Controles en Entidades Públicas” del DAFP:
o Evitar
o Aceptar
o Compartir
o Mitigar el riesgo
Nota: una vez que el plan de tratamiento se haya ejecutado en las fechas y con las
disposiciones de recursos previstas, la SDMUJER debe valorar nuevamente el riesgo y
verificar si el nivel disminuyó o no (es decir, si se desplazó de una zona mayor a una menor
en el mapa de calor) y luego, compararlo con el último nivel de riesgo residual.
En esta fase se deben evaluar periódicamente los riesgos residuales para determinar la
efectividad de los planes de tratamiento y de los controles propuestos, de acuerdo con lo
definido en la Política de Administración de Riesgos de la entidad pública. Así mismo,
también deberán tenerse en cuenta los incidentes de seguridad digital que hayan afectado
a la entidad y también las métricas o indicadores definidos para hacer seguimiento a las
Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9
Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
medidas de seguridad implementadas. Todo lo anterior contribuye a la toma de decisiones
en el proceso de revisión de riesgo por parte de la línea estratégica (Alta dirección y Comité
Institucional de Coordinación de Control Interno) y las partes interesadas.
6. SEGUIMIENTO Y CONTROL