PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y … · 8. ANALISIS DEL RIESGO..... 16 9. SEGUIMIENTO,...
Transcript of PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y … · 8. ANALISIS DEL RIESGO..... 16 9. SEGUIMIENTO,...
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
PLAN DE TRATAMIENTO DE
RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA
INFORMACIÓN
ALCALDÍA DISTRITAL DE
TUMACO
2019
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
Contenido
1. INTRODUCCION .......................................................................................................................... 5
2. OBJETIVOS ................................................................................................................................... 6
3. METODOLOGIA ........................................................................................................................... 7
4. DEFINICIONES ............................................................................................................................. 8
5. ROLES Y RESPONSABILIDADES ................................................................................................. 13
6. POLITICA DE ADMINISTRACION DEL RIESGO ........................................................................... 14
7. EVALUACION DEL RIESGO......................................................................................................... 15
8. ANALISIS DEL RIESGO ............................................................................................................... 16
9. SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION ............................................................. 18
Menú Tablas.
Tabla 1Matriz de calificación, evaluación y respuesta a riesgos .................................................... 15
Tabla 2- Análisis de riesgo ................................................................................................................ 16
Tabla 3- Criterios de evaluación ....................................................................................................... 17
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
1. INTRODUCCION
Mediante el siguiente documento se dará a conocer la manera en que se
implementara y socializara la Estrategia de seguridad y privacidad de la información
misma que hace parte de la estrategia de Gobierno Digital y que busca salvaguardar
los datos de la ciudadanía en forma física y digital garantizando su seguridad.
Teniendo en cuenta el gran impacto que han tenido las Tecnologías de la
Información y la Comunicación en especial en el desarrollo de las entidades públicas
se han integrado con los diversos sistemas de gestión tanto de procesos internos
como externos en aras del cumplimiento de los diferentes objetivos de la Alcaldía
Distrital de Tumaco 2017-2019.
Todos los servidores públicos, están sometidos a riesgos que pueden hacer fracasar
su gestión; por lo tanto, es necesario tomar las medidas para identificar las causas
y consecuencias de la materialización de dichos riesgos, es así que con la
integración de las TIC en todas la dependencias y áreas de la Alcaldía Distrital de
Tumaco damos cumplimiento a cada uno de nuestros objetivos mediante la
integración y el apoyo misional-transversal de los procesos y sus actores,
manteniendo una lucha continua contra la corrupción, aumentando el nivel de
protección y acceso a las herramientas informáticas al tiempo que se optimizan los
recursos tecnológicos para tal fin.
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
2. OBJETIVOS
1.1 Objetivo general
Controlar y minimizar los riesgos asociados a los procesos tecnológicos
existentes, en la Alcaldía Distrital de Tumaco, con el fin de mantener a salvo los
activos de información, el manejo de medios, el control de acceso y la gestión
de usuarios.
1.2 Objetivos específicos
Establecer políticas de seguridad y privacidad de la información de la Alcaldía
Distrital de Tumaco.
Identificar los niveles de cumplimiento y alcance de las políticas de seguridad
y privacidad de la información.
Asignar roles y responsabilidades para garantizar la seguridad y privacidad
de la información.
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
3. METODOLOGIA
Para poder llevar a cabo la implementación del modelo de seguridad y privacidad
de la información, la alcaldía distrital de Tumaco tomara como metodología planear,
Hacer, Verificar y Actuar (PHVA) y los Lineamientos emitidos por el Ministerio de
Tecnologías de la Información y las Comunicaciones – MinTIC, a través de los
decretos emitidos en la estrategia de Gobierno Digital.
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
4. DEFINICIONES
Los siguientes términos y definiciones se tendrán en cuenta para la administración
del riesgo.
Acceso a la Información Pública.
Es el derecho fundamental consistente en la facultad que tienen todas las
personas de conocer sobre la existencia y acceder a la información pública en
posesión o bajo control de sujetos obligados. (Ver art. 4, Ley 1712 de 2017).
Activo.
Se refiere a cualquier información o elemento relacionado con el tratamiento de
la misma (sistemas, soportes, edificios, personas,..) que tenga valor para la
organización. (Norma Icontec ISO/IEC 27001).
Activo de Información.
Se refiere al activo que contiene información pública que el sujeto obligado
genere, adquiera, transforme o controle.
Archivo.
Es el conjunto de documentos que sin importar su fecha, forma y soporte
material, están acumulados en un proceso natural por una persona o entidad
pública o privada, en el transcurso de su gestión, conservados respetando el
orden para servir como testimonio e información a la persona o institución que
los produce y a los ciudadanos, así mismo puede servir como fuente histórica.
Es la institución encargada del servicio de la gestión administrativa, la
información y la cultura. (Véase art. 3, Ley 594 de 2000).
Amenazas.
Causa potencial de una situación no deseada, puede provocar daños o un
sistema y/o la organización. (ISO/IEC 27001).
Análisis de Riesgo.
Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
(ISO/IEC 27001).
Auditoria.
Proceso sistemático, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los
criterios de auditoria. (ISO/IEC 27001).
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
Bases de Datos Personales.
Información con los datos personales organizada para ser objeto de tratamiento.
(Art. 3, Ley 1581 de 2012).
Ciberseguridad.
Capacidad para minimizar el nivel de riesgo al que están expuestos los
ciudadanos, ante amenazas o incidentes de naturaleza cibernética.
Ciberespacio.
Ambiente físico y virtual que se compone de computadores, sistemas
computacionales, software, redes de telecomunicación, datos e información,
usado para la interacción entre usuarios.
Control.
Estructuras organizativas concebidas para mantener los riesgos de seguridad
de la información por debajo del nivel de riesgo asumido.
Datos Abiertos.
Datos primario o sin procesar que se encuentran en formatos estándar e
inoperables que facilitan su acceso y reutilización, y que están bajo la custodia
de entidades públicas o privadas y que son puestos a disposición de cualquier
ciudadano de forma libre y sin restricciones, con el fin de que terceros puedan
reutilizarlos y crear servicios derivados de los mismos. (Art. 6, Ley 1712 de
2014).
Datos Personales.
Cualquier información vinculada o que pueda asociarse a una o varias personas
naturales. (Art. 3, Ley 1581 de 2012).
Datos Personales Públicos.
Son todos aquellos datos relativos al estado civil de las personas, a su profesión
u oficio y a su calidad de comerciante o servidor público. Debido a su naturaleza,
estos datos pueden estar contenidos en registros públicos, documentos
públicos, gacetas y boletines oficiales y sentencias judiciales debidamente
ejecutoriadas y que no estén sometidas a reserva.
Datos Personales Privados.
Debido a su naturaleza íntima solo es relevante para el titular. (Art. 3 literal h,
Ley 1581 de 2012).
Datos Personales Mixtos.
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
Información que contiene datos personales públicos y privados o sensibles
juntos.
Datos Personales Sensibles.
Son aquellos que afectan la intimidad del titular y cuyo uso indebido puede
generar su discriminación, algunos de estos datos pueden ser el origen racial, la
orientación política, las convicciones religiosas o filosóficas, la pertenencia a
sindicatos, organizaciones sociales, de derechos humanos o que promueva
intereses de cualquier partido político o que garanticen los derechos y garantías
de partidos políticos de oposición, así como los datos relativos a la salud, a la
vida sexual, y los datos biométricos. (art.3, Decreto 1377 de 2013).
Declaración de Aplicabilidad.
Documento que enumera los controles aplicados por el sistema de gestión de
seguridad de la información – SGSI, de la entidad, tras el resultado de los
procesos de evaluación y tratamiento de riesgos y su justificación, así como la
justificación de las exclusiones de controles del anexo A de ISO 27001. (ISO/IEC
27001).
Derecho a la Intimidad.
Derecho fundamental que se constituye de la existencia y goce de una órbita
reservada en cada persona, exenta de la intervención del poder del estado o de
las intromisiones arbitrarias de la sociedad, permitiéndole al individuo pleno
desarrollo de su vida personal, espiritual y cultural (Jurisprudencia Corte
Constitucional).
Encargado del Tratamiento de Datos.
Persona natural o jurídica, pública o privada, que realice el tratamiento de datos
personales por cuenta del responsable del tratamiento. (Art. 3, Ley 1581 de
2012).
Gestión de Incidentes de Seguridad de la Información.
Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los
incidentes de seguridad de la información, (ISO/IEC 27001).
Información Pública Clasificada.
Información que estando en poder o custodia de un sujeto obligado en su calidad
de tal, pertenece al ámbito propio, particular y privado o semiprivado de una
persona natural o jurídica por lo que su acceso será negado o exceptuado,
siempre que se trate de las circunstancias legítimas y necesarias y los derechos
particulares o privados consagrados en el art. 18 de la Ley 1712 de 2014.
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
Información Pública Reservada.
Información que estando en poder o custodia es exceptuada de acceso a la
ciudadanía por daños a intereses públicos y bajo cumplimiento de la totalidad de
los requisitos consagrados en el artículo 19 de la Ley 1712 de 2014. (Art. 6, Ley
1712 de 2014).
Plan de Continuidad del Negocio.
Orientado a permitir la continuación de las principales funciones misionales o del
negocio en el caso de un evento imprevisto que las ponga en peligro. (ISO/IEC
27001).
Plan de Tratamiento de Riesgos.
Define las acciones para gestionar los riesgos de seguridad de la información
inaceptables e implantar los controles necesarios para proteger la misma.
(ISO/IEC 27001).
Privacidad.
Es el derecho que tienen todos los titulares de la información en relación con la
información que involucre datos personales y la información clasificada que
estos hayan entregado o este en poder de la entidad en el marco de las
funciones que a ella le compete realizar y que generan las entidades
destinatarias del Manual de Gobierno Digital la correlativa obligación de proteger
dicha información en observancia del marco legal vigente.
Responsabilidad Demostrada.
Conducta desplegada por los responsables o encargados del tratamiento de
datos personales bajo la cual a petición de la superintendencia de Industria y
Comercio deben estar en capacidad de demostrarle a dicho organismo de
control que han implementado medidas apropiadas y efectivas para cumplir lo
establecido en la Ley 1581 de 2012 y sus normas reglamentarias.
Responsable del Tratamiento de Datos.
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con
otros, decida sobre la base de datos y/o el tratamiento de los datos. (Art. 3, Ley
1581 de 2012).
Riesgo.
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una pérdida o daño en un activo de información. Suele considerarse
como una combinación de la probabilidad de un evento y sus consecuencias.
(ISO/IEC 27001).
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
Seguridad de la Información.
Preservación de la confidencialidad, integridad y disponibilidad de la
información. (ISO/IEC 27001).
Sistema de Gestión de Seguridad de la Información SGSI.
Conjunto de elementos interrelacionados o interactuantes que utiliza una
organización para establecer una política y unos objetivos de seguridad de la
información y alcanzar dichos objetivos, basándose en un enfoque de gestión y
de mejora continua. (ISO/IEC 27001).
Titulares de la Información.
Personas naturales cuyos datos personales sean objeto de Tratamiento. (Art. 3,
Ley 1581 de 2012).
Trazabilidad.
Permite que todas las acciones realizadas sobre la información o un sistema de
tratamiento de la información sean asociadas de modo inequívoco a un individuo
o entidad. (ISO/IEC 27001).
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
5. ROLES Y RESPONSABILIDADES
Es responsabilidad del comité de seguridad de la información de la Alcaldía Distrital
de Tumaco, la implementación, aplicación, seguimiento y autorización de la política
del Comité de Seguridad y Privacidad de la Información en las diferentes áreas y
procesos de la entidad, además garantiza el apoyo y el uso de la política de
Seguridad de la Información como parte de su herramienta de gestión, la cual debe
ser aplicada de forma obligatoria por todos los funcionarios para el cumplimiento de
los objetivos.
El comité de seguridad de la información cuya composición y funciones serán
reglamentadas por una mesa de trabajo compuesta por:
a) Secretario General y de Gobierno.
b) El Ingeniero de sistemas o quien haga sus veces.
c) El jefe de control interno.
d) El almacenista.
e) La secretaria de Hacienda.
Este comité deberá revisar y actualizar esta política anualmente presentando las
propuestas a la Alta Dirección y al Comité de Gobierno Digital para su análisis y
respectiva aprobación.
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
6. POLITICA DE ADMINISTRACION DEL RIESGO
La Alcaldía Distrital de Tumaco adelantara las acciones pertinentes para la
implementación y mantenimiento del proceso de Administración del Riesgo, y para
ello todos los servidores de la entidad se comprometen a:
a. Conocer y cumplir las normas internas y externas relacionadas con la
administración de los riesgos.
b. Fortalecer la cultura de administración de los riesgos para crear conciencia
colectiva sobre los beneficios de su aplicación y los efectos nocivos de su
desconocimiento.
c. Someter los procesos y procedimientos permanentemente al análisis de
riesgos con base en la aplicación de las metodologías adoptadas para el
efecto.
d. Mantener un control permanente sobre los cambios en la calificación de los
riesgos para realizar oportunamente los ajustes pertinentes.
e. Reportar los eventos de riesgo que se materialicen, utilizando los
procedimientos e instrumentos establecidos para el efecto.
f. Desarrollar e implementar planes de contingencia para asegurar la
continuidad de los procesos, en los eventos de materialización de los riesgos
que afecten a los objetivos institucionales previstos y los intereses de los
usuarios y partes interesadas.
g. Presentar propuestas de mejora continua que permitan optimizar la forma de
realizar y gestionar las actividades de la entidad para así aumentar nuestra
eficacia y efectividad.
Con la finalidad de lograr lo anteriormente enunciado la Alta Dirección de la
Administración Distrital asignara los recursos tanto humanos, presupuestales y
tecnológicos necesarios que permitan realizar el seguimiento y evaluación a la
implementación y efectividad de esta política.
De igual manera el presente plan forma parte de la política de administración del
riego, por cuanto detalla las directrices que deben tenerse en cuenta para la gestión
del riesgo en la entidad y que tienen como propósito evitar la materialización del
riesgo.
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
7. EVALUACION DEL RIESGO
El análisis de riesgos informáticos es un proceso que comprende la identificación
de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran
expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin
de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo. Dentro de estos parámetros, como lo propone la Guía de
Gestión de Riesgos, Seguridad y privacidad de la Información de MinTIC “Esta se
hace de manera cualitativa generando una comparación en la cual se presenta el
análisis de la probabilidad de ocurrencia del riesgo Vs el impacto del mismo,
obteniendo al final la matriz denominada “Matriz de Calificación, Evaluación y
Respuesta a los Riesgos”, con la cual la guía presenta la forma de calificar los
riesgos con los niveles de impacto y probabilidad establecidos anteriormente, así
como las zonas de riesgo presentando las posibles formas de tratamiento que se
le puede dar a ese riesgo”.
MATRIZ DE CALIFICACION, EVALUACION Y RESPUESTA A RIESGOS
PROBABILIDAD IMPACTO
INSIGNIFICANTE (1)
MENOR (2) MODERADO
(3) MAYOR (4)
CATASTROFICO (5)
CASI SEGURO (5) A A E E E
PROBABLE (4) M A A E E
POSIBLE (3) B M A E E
IMPROBABLE (2) B B M A E
RARO (1) B B M A A
MEDIDAS DE RESPUESTA U OPCIONES DE MANEJO
B: Zona de riesgo Baja Asumir el Riesgo
M: Zona de riesgo Moderada Asumir o Reducir el Riesgo
A: Zona de riesgo Alta Reducir, Evitar, Compartir o Transferir el Riesgo
E: Zona de riesgo Extrema Reducir, Evitar, Compartir o Transferir el Riesgo
Tabla 1Matriz de calificación, evaluación y respuesta a riesgos
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
8. ANALISIS DEL RIESGO
Para realizar un análisis de riesgo contamos con las calificaciones indicadas en la
tabla anterior y las aplicamos como se muestra a continuación:
NOMBRE DEL
PROCESO Gestión de Infraestructura
RESPONSABLE DEL PROCESO
Planeación (Infraestructura Física),
oficina Tics
OBJETIVO DEL
PROCESO
Desarrollar, mantener y mejorar la infraestructura física y tecnológica, requeridos para la adecuada prestación del servicio en sus funciones administrativas.
RIESGO ASOCIADO AL
PROCESO
TIPO DE RIESGO
PROBABILIDAD DE
OCURRENCIA IMPACTO
CALIFICACION DEL RIESGO EVALUACION
PROBABILIDAD DE
OCURRENCIA IMPACTO
ZONA DE
RIESGO
MEDIDAS DE RESPUESTA
Falta de mantenimiento
y daños eventuales
sobre la infraestructura
física y tecnológica
Estratégico
Casi Seguro: se espera que
el evento ocurra en la
mayoría de las circunstancias, más de 1 vez
al año.
Menor. Todos los
funcionarios 5 2 Alta
Reducir, Evitar,
Compartir o transferir el
Riesgo.
Infraestructura física,
tecnológica. Estratégico
Probable: Es viable que
el evento probablemente
ocurra en la mayoría de las circunstancias. Al menos 1 vez
al año.
Mayor. Institucional
4 4 Extrema
Reducir, Evitar,
Compartir o transferir el
Riesgo.
Desastre natural
Estratégico
Posible: El evento
podrá ocurrir en algún
momento.
Moderado. Usuarios de
la ciudad 3 3 Alta
Reducir, Evitar,
Compartir o transferir el
Riesgo.
Prevaricato Corrupción
Raro. El evento
puede ocurrir solo en
circunstancias excepcionales (poco comunes o anormales).
Menor. Todos los
funcionarios 1 2 Baja Baja
Vulnerabilidad de los
sistemas de información
Operativo (misional)
Probable: Es viable que
el evento probablemente
ocurra en la mayoría de las circunstancias.
Mayor. Institucional
4 4 Extrema
Reducir, Evitar,
Compartir o transferir el
Riesgo.
Vandalismo Corrupción
Casi Seguro: Se espera que
el evento ocurra en la
mayoría de las circunstancias.
Mayor. Institucional
5 4 Extrema
Reducir, Evitar,
Compartir o transferir el
Riesgo.
Tabla 2- Análisis de riesgo
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
CRITERIOS DE EVALUACION
SEGÚN PROBABILIDA
D DE OCURRENCIA
CALIFICACION DEL
RIESGO
CRITERIOS DE EVALUACION SEGÚN IMPACTO
GENERAL CONFIDENCIALIDA
D DE LA INFORMACION
CREDIBILIDAD O IMAGEN
LEGAL OPERATIVO
Raro: El evento
puede ocurrir solo en
circunstancias excepcionales
(poco comunes o
anormales) no se ha
presentado en 5 años.
1
Insignificante: De
presentarse el hecho, tendría consecuencia
s o efectos mínimos sobre la entidad.
Personal Grupo de
funcionarios Multas
Ajustes a una actividad concreta
Improbable: El evento
puede ocurrir en algún
momento. Al menos 1 vez en los últimos
5 años
2
Menor: De
presentarse el hecho tendría bajo impacto
o efecto sobre la entidad.
Grupo de trabajo Todos los
funcionarios Demandas
Cambios de procedimiento
s
Posible: El evento
podrá ocurrir en algún
momento. Al menos 1 vez en los últimos
2 años
3
Moderado: De
presentarse el hecho tendría
medianas consecuencia
s o efectos sobre la entidad.
Relativa al proceso
Usuarios de la ciudad
Investigación
disciplinaria
Cambios en la interacción de los procesos
Probable: Es viable que
el evento probablemente ocurra en la mayoría de
las circunstancias. Al menos 1 vez en el año
4
Mayor: De
presentarse el hecho tendría
altas consecuencia
s o efectos sobre la entidad.
Mayor:
Institucional Usuarios de
la región Investigación
fiscal
Casi Seguro: Se espera
que el evento ocurra en la mayoría de
las circunstancias
. Más de 1 vez al año
5
Catastrófico: De
presentarse el hecho tendría desastrosas
consecuencias o efectos
sobre la entidad
Estratégica Usuarios del
país Intervención
sanción Paro total del
proceso.
Tabla 3- Criterios de evaluación
Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201
Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño
9. SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION
La Alcaldía Distrital de Tumaco evaluara el ejercicio de tratamiento de riesgos y
privacidad de la información, por medio de seguimientos para revisar que las
acciones se están llevando a cabo y evaluar la eficiencia en su implementación
adelantando verificaciones al menos una vez al año o cuando sea necesario. De
esta forma conlleva, dado el caso, a evidenciar todas aquellas situaciones que
pueden estar influyendo en la aplicación de las acciones de tratamiento.