Plan de tratamiento de riesgos de seguridad y … · Web viewAuthor Carolina Acosta Gutierrez...

Sede Administrativa: Carrera 68A N.º 24B – 10 Edificio Plaza Claro, Torre 3(571) 744 2000 • Bogotáwww.supersalud.gov.co

PLAN DE TRATAMIENTO DE

RIESGOS DE SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN

Versión 1Superintendencia Nacional de Salud

Área Responsable: Oficina de Tecnologías de la Información

Fabio Aristizábal Ángel Superintendente Nacional de Salud

Ginna Fernanda Rojas Puertas Secretaria General

Andres Evelio Mora CalvacheSuperintendente Delegado de Procesos Administrativos

Ivhon Adriana Flórez Pedraza Superintendente Delegada para la Función Jurisdiccional y Conciliación

Marianella Sierra Saa Superintendente Delegada para la Protección al Usuario

Rodrigo Marquez MarquezSuperintendente Delegada para la Supervisión de Riesgos

Jose Oswaldo Bonilla Rincón Superintendente Delegado para la Supervisión Institucional

German Augusto GuerreroSuperintendente Delegada para las Medidas Especiales

Superintendencia Nacional de SaludCarrera 68A N.º 24B – 10 Edificio Plaza Claro, Torre 3(571) 744 2000 • Bogotá

Sandra Camargo BendeckJefe Oficina Asesora de Planeación Ilba Janneth Cárdenas FonsecaJefe Oficina Asesora de Comunicaciones Estratégicas e Imagen Institucional

Mario Camilo Leon Martines Jefe Oficina Asesora Jurídica

Jorge Bernardo Gómez RodriguezOficina de Tecnologías de la Información

Daniel Andrés Pinzón FonsecaJefe Oficina de Metodologías de Supervisión y Análisis del Riesgo

Rosemary Chávez Rodriguez Oficina de Control Interno

Ángela Cecilia Molina Sánchez Oficina de Control Interno Disciplinario


Tabla de contenido

Introducción........................................................................................................................................ 5

Definiciones........................................................................................................................................ 6

Marco Estratégico............................................................................................................................ 10

Modelo Integrado de Planeación y Gestión – MIPG.....................................................................10

Alcance......................................................................................................................................... 11

Objetivos....................................................................................................................................... 11

Objetivo General....................................................................................................................... 11

Objetivos Específicos................................................................................................................11

Normatividad Relacionada...............................................................................................................12

Requisitos Técnicos......................................................................................................................... 13

Planes, Proyectos y programas asociados.......................................................................................14

Metas e indicadores asociados........................................................................................................14

Riesgos Asociados........................................................................................................................... 14

Fuentes de financiación................................................................................................................... 15

Establecimiento del Contexto...........................................................................................................15

Información sobre la Evaluación de Riesgos de Seguridad.............................................................16

Tratamiento de Riesgos Seguridad de la Información......................................................................18

Comunicación de riesgos de seguridad de información...................................................................19

Información de seguridad Seguimiento de Riesgos y Revisión........................................................20

Cronograma de actividades..............................................................................................................20

Anexos............................................................................................................................................. 21

Control de cambios documento........................................................................................................21


PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG

OPIFL0

2

FORMATO Formulación de Planes y Programas Institucionales VERSIÓ

N01

Tabla de Ilustraciones

Ilustración 1 Tercera Dimensión: Gestión con Valores para el Resultado........................................10Ilustración 2 Elementos de la Política de Gobierno Digital..............................................................11Ilustración 3 Tomada de la NTC-ISO/IEC 27005..............................................................................17

COFL02 Página 4 de 24


OPIFL0

2


N01

Introducción

El presente Plan de Tratamiento de Riesgos ha sido elaborado con la finalidad de dar a conocer las actividades a realizar en la implementación y socialización del componente de Gobierno digital en el habilitador transversal de Seguridad y Privacidad, el cual busca preservar la confidencialidad, integridad y disponibilidad de los activos de información de las entidades del Estado, garantizando su buen uso y la privacidad de los datos, a través del Modelo de Seguridad y Privacidad de la Información1 (MSPI). Uno de los pilares del MSPI es la identificación y el tratamiento de los riesgos de seguridad y privacidad de la información por lo que en este documento se establece el plan que permitirá identificar los riesgos de seguridad y privacidad de la información de la Superintendencia Nacional de Salud, su clasificación, su tratamiento y su respectiva aceptación por parte de los líderes de cada proceso.

En la medida que se tenga una visión específica de los riesgos que pueden afectar la seguridad y privacidad de la información, la Entidad puede establecer controles y medidas efectivas, viables y transversales con el propósito de gestionar y reducir los riesgos a que está expuesta, logrando minimizar el impacto en caso de presentarse la materialización de una amenaza, minimizar pérdidas y maximizar oportunidades.

1 http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html Elementos de la política


http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html


OPIFL0

2


N01

Definiciones

A

Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización. (NTC-ISO/IEC 27000:2016).

Activo de Información: Conocimiento o información que tiene valor para la organización.

Amenaza: Causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema u organización. (ISO/IEC 2700:2016).

Análisis del riesgo: Proceso sistemático para comprender la naturaleza del riesgo y determinar el nivel de riesgo. (NTC ISO 31000:2011).

Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona o entidad pública o privada, en el transcurso de su gestión, conservados respetando aquel orden para servir como testimonio e información a la persona o institución que los produce y a los ciudadanos, o como fuentes de la historia. También se puede entender como la institución que está al servicio de la gestión administrativa, la información, la investigación y la cultura. (Ley 594 de 2000, art 3)

C

Compartir el riesgo: Compartir con otra de las partes el peso de la pérdida o el beneficio de la ganancia proveniente de un riesgo particular. (NTC ISO 31000:2011).

Consecuencia: Resultado o impacto de un evento que afecta a los objetivos. (NTC ISO 31000:2011).

Control: Medida que modifica al riesgo. (NTC ISO 31000:2011.

Criterios del riesgo: Términos de referencia frente a los cuales se evalúa la importancia de un riesgo. (NTC ISO 31000:2011).

E



OPIFL0

2


N01

Evaluación del control: Revisión sistemática de los procesos para garantizar que

los controles son adecuados y eficaces. (NTC ISO 31000:2011).

Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo, con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables. (NTC ISO 31000:2011).

Evento: Presencia o cambio de un conjunto particular de circunstancias. (NTC ISO 31000:2011).

Evento de seguridad de la información: Ocurrencia que indica una posible brecha de seguridad de la información o falla de los controles. (ISO/IEC 27035:2016).

Evitar el riesgo: Decisión de no involucrarse o de retirarse de una situación de riesgo. (NTC ISO 31000:2011).

F

Frecuencia: Medición del número de ocurrencias por unidad de tiempo. (NTC ISO 31000:2011).

Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de originar un riesgo. (NTC ISO 31000:2011).

G

Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. (NTC ISO 31000:2011).

I

Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo. (NTC ISO 31000:2011).

Información: Es un conjunto organizado de datos, que constituyen un mensaje sobre un determinado ente o fenómeno. Indicación o evento llevado al conocimiento de una persona o de un grupo. Es posible crearla, mantenerla, conservarla y transmitirla.

Integridad: propiedad de exactitud y completitud

Impacto: El coste para la empresa de un incidente de la escala que sea, que puede o no ser medido en términos estrictamente financieros, como pérdida de reputación o implicaciones legales.



OPIFL0

2


N01

Incidente de seguridad de la información: Uno o múltiples eventos de seguridad

de la información relacionados e identificados que pueden dañar los activos de información de la organización o comprometer sus operaciones. (ISO/IEC 27035:2016).

Inventario de activos: Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del SGSI, que tengan valor para la organización y necesiten, por tanto, ser protegidos de potenciales riesgos (NTC-ISO/IEC 27000:2016).

ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de organizaciones nacionales de normalización, cuyo objetivo es establecer, promocionar y gestionar estándares. (http://www.iso.org).

M

Marco de referencia para la gestión del riesgo: Conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar, implementar, monitorear, revisar y mejorar continuamente la gestión del riesgo, a través de toda la organización. (NTC ISO 31000:2011).

Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del Estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado. (NTC ISO 31000:2011).

N

Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos expresada en términos de la combinación de las consecuencias y su probabilidad. (NTC ISO 31000:2011).

P

Peligro: Una fuente de daño potencial. (NTC ISO 31000:2011).

Pérdida: Cualquier consecuencia negativa o efecto adverso, financiero u otro. (NTC ISO 31000:2011).

Plan para la gestión del riesgo: Esquema dentro del marco de referencia para la gestión del riesgo que especifica el enfoque, los componentes y los recursos de la gestión que se van a aplicar a la gestión del riesgo. (NTC ISO 31000:2011).


http://www.iso.org/


OPIFL0

2


N01

Política para la gestión del riesgo: Declaración de la dirección y las intenciones

generales de una organización con respecto a la gestión del riesgo. (NTC ISO 31000:2011).

Probabilidad: Oportunidad de que algo suceda. (NTC ISO 31000:2011).

R

Reducción del riesgo: Acciones que se toman para disminuir la posibilidad, las consecuencias negativas o ambas, asociadas con un riesgo. (NTC ISO 31000:2011).

Responsabilidad: Las múltiples partes interesadas deben asumir la responsabilidad de la gestión del riesgo de seguridad digital. Deben rendir cuentas sobre la base de sus funciones y su capacidad para actuar, teniendo en cuenta el posible impacto de sus decisiones sobre los demás. Deben también reconocer que un cierto nivel de riesgo de seguridad digital tiene que ser aceptado para lograr los objetivos económicos y sociales. (CONPES 3854, pág. 25).

Retención del riesgo: Aceptación del peso de la pérdida o del beneficio de la ganancia proveniente de un riesgo particular. (NTC ISO 31000:2011).

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (NTC-ISO/IEC 27000:2016).

Riesgo inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto. (NTC ISO 31000:2011).

Riesgo residual: Remanente después del tratamiento del riesgo. (NTC ISO 31000:2011).

S

Seguridad de la información: Preservación de la confidencialidad, integridad, y disponibilidad de la información. (NTC-ISO/IEC 27000:2016).

Sistema para la gestión del riesgo: Conjunto de elementos del sistema de gestión de una organización involucrados en la gestión del riesgo. (NTC ISO 31000:2011).

T



OPIFL0

2


N01

Tratamiento del riesgo: Proceso para modificar el riesgo. (ISO/IEC Guía

73:2009).

V

Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y evaluación del riesgo. (ISO/IEC GUÍA 73:2009).

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas. (NTC-ISO/IEC 27000:2016).



OPIFL0

2


N01

Marco Estratégico

Modelo Integrado de Planeación y Gestión – MIPG

El Modelo Integrado de Planeación y Gestión MIPG opera a través de la puesta en marcha de siete dimensiones, el Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información está enmarcado en la Dimensión 3. “Gestión con Valores para Resultados”:

Ilustración 1 Tercera Dimensión: Gestión con Valores para el Resultado2

La Política Gobierno Digital, busca promover el uso y aprovechamiento de las TIC y se implementa a través de dos líneas de acción que orientan su desarrollo: TIC para el Estado y TIC para la Sociedad; así como de tres habilitadores transversales dentro de los cuales tenemos la Seguridad de la Información, la cual “busca que las entidades públicas implementen los lineamientos de seguridad de la información en todos sus procesos, trámites, servicios, sistemas de información, infraestructura y en general, en todos los activos de información con el fin de preservar la confidencialidad, integridad y disponibilidad y privacidad de los datos. Este habilitador se soporta en el Modelo de Seguridad y Privacidad de la Información -MSPI, que contempla 6 niveles de madurez3”.

2 https://www.funcionpublica.gov.co/documents/28587410/34112007/Manual+Operativo+MIPG.pdf/ce5461b4-97b7-be3b-b243-781bbd1575f33 https://estrategia.gobiernoenlinea.gov.co/623/articles-81473_recurso_1.pdf Manual de Gobierno Digital


https://estrategia.gobiernoenlinea.gov.co/623/articles-81473_recurso_1.pdf

https://www.funcionpublica.gov.co/documents/28587410/34112007/Manual+Operativo+MIPG.pdf/ce5461b4-97b7-be3b-b243-781bbd1575f3

https://www.funcionpublica.gov.co/documents/28587410/34112007/Manual+Operativo+MIPG.pdf/ce5461b4-97b7-be3b-b243-781bbd1575f3


OPIFL0

2


N01

Ilustración 2 Elementos de la Política de Gobierno Digital

Alcance

Este plan de tratamiento de riesgos establece la metodología para la administración y gestión de riesgos adoptada por la entidad en cumplimiento a las directrices dadas por MinTIC y tiene como alcance los procesos de la Superintendencia Nacional de Salud, en concordancia con el alcance del Subsistema de Gestión de Seguridad de la Información4

Objetivos

Objetivo General

Establecer las actividades a desarrollar en el Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información, estableciendo los conceptos básicos y la estructura metodológica para una adecuada administración de riesgos a partir de su identificación, manejo y seguimiento, el cual será una guía para el control y minimización de los de los riesgos de Seguridad y Privacidad de la Información, en aras de mantener la integridad, confidencialidad y disponibilidad de la información a través de la gestión del riesgo asociado a la información de la Superintendencia Nacional de Salud.

Objetivos Específicos

Aplicar las mejores prácticas y metodología señalada por el DAFP y MINTIC para la Gestión y administración de Riesgos de Seguridad y Privacidad de la Información.

4https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema- de-seguridad-en-la-informacion Alcance del Subsistema de Seguridad de la Información.


https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-de-seguridad-en-la-informacion

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-de-seguridad-en-la-informacion


OPIFL0

2


N01

Establecer las actividades y el plan de trabajo para efectuar la identificación de activos de información y administración y gestión de riesgos de la información.

Identificar durante el 2020 los riesgos en los procesos de la entidad, que puedan afectar la integridad, confidencialidad y disponibilidad de la información.

Hacer seguimiento en el 2020 a los riesgos identificados en los procesos de la entidad.

Normatividad Relacionada

Decreto 1008 de 2018: Por el cual se establecen los lineamientos generales de la política de Gobierno Digital y se subroga el capítulo 1 del título 9 de la parte 2 del libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones

Decreto 1078 de 2015 modificado por el Decreto 1008 de 2018 - Política de Gobierno Digital que contiene el Modelo de Seguridad y Privacidad - MSPI de MINTIC.

Guía para la administración del riesgo y el diseño de controles en entidades públicas. RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL año 2018.

Decreto 612 de 2018: Por el cual se fijan las directrices para la integración de los planes institucionales y estratégicos al plan de acción por parte de las entidades del estado.

Decreto 1499 de 2017, el cual modificó el Decreto 1083 de 2015 – Modelo Integrado de Planeación y Gestión.

CONPES 3854 de 2016 – Política de Seguridad Digital del Estado Colombiano.

Resolución 3564 de 2015 - Por la cual se reglamentan aspectos relacionados con la Ley de Transparencia y Acceso a la Información Pública.

Ley 1712 de 2014: Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones.

Ley Estatutaria 1581 de 2012 y Reglamentada Parcialmente por el Decreto Nacional 1377 De 2013: Por la cual se dictan disposiciones generales para la protección de datos personales

Decreto 2693 de 2012: Lineamientos generales de la Estrategia de Gobierno en línea de la República de Colombia que lidera el Ministerio de las Tecnologías de Información y las



OPIFL0

2


N01

Comunicaciones, se reglamentan parcialmente las Leyes 1341 de 2009 y 1450 de 2011, y se dictan otras disposiciones.

Decreto 2609 de 2012: Por medio del cual se reglamenta el Título V de la Ley General de Archivo del año 2000. Incluye aspectos que se deben considerar para la adecuada gestión de los documentos electrónicos.

Ley 1437 de 2011: Por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

Ley 1273 DE 2009: Por medio de la cual se modifica el Código Penal, se crea un nuevo bien tutelado denominado “de la protección de la información y los datos” y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

Ley 1341 DE 2009: Por medio de la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la información y comunicaciones - TIC, se crea la Agencia Nacional de Espectro y se dictan otras disposiciones.

Ley 1266 de 2008 - Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información.

Ley 1150 DE 2007: Por medio de la cual se introducen medidas para la eficiencia y la transparencia en la Ley 80 de 1993 y se dictan otras disposiciones generales sobre la contratación con Recursos Públicos contenidos de la norma.

Ley 527 de 1999 “por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”.

Ley 44 de 1993 “por la cual se modifica y adiciona la Ley 23 de 1982 y se modifica la Ley 29 de 1944.” (Derechos de autor).

Requisitos Técnicos

Norma Técnica Colombiana NTC/ISO 27001:2013 Sistemas de gestión de la seguridad de la información.

Modelo de Seguridad y Privacidad de la Información, Ministerio de Tecnologías y Sistemas de Información.

Norma Técnica Colombiana ISO31000:2013.



OPIFL0

2


N01

Modelo de Gestión de Riesgos de Seguridad Digital (MGRSD).

Documentos Asociados5

ASPD03 Procedimiento para la Administración de Riesgos

ASPO07 Política de Administración del Riesgo de la Superintendencia Nacional de Salud

ASFT30 Declaración de Aplicabilidad

ASFT14 Matriz de Roles y Responsabilidades

GGFT01 Instrumento de Gestión de la Información

GGGU02 Guía para la Gestión de Activos de Información

ASFT22 Matriz de Análisis de Riesgos de Seguridad y Privacidad de la Información

ASGU05 Guía Metodológica de Análisis de Riesgos de Seguridad y Privacidad de la Información Superintendencia Nacional De Salud

Nota: los documentos aquí relacionados están siendo validados con el propósito de aprobarlos o en sus defectos actualizarlos para ser entregados en la versión final de este documento

Planes, Proyectos y programas asociados

Plan Estratégico Plan Anual de Gestión de la Oficina de Tecnologías de la Información El proyecto de inversión asociado es el de “Optimización de la prestación de servicios y

provisión de soluciones de tecnologías de la información y las comunicaciones TIC de la Superintendencia Nacional de Salud”

Contrato 487 de 2019 cuyo objeto contractual es: “Diseñar e implementar una solución de seguridad de la información para la Superintendencia Nacional de Salud”.

5 Estos documentos están disponibles en la web

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-gestion-de-la-calidad





OPIFL0

2


N01

Metas e indicadores asociados

Nombre: Porcentaje de actividades implementadas en el Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información

Fórmula: Número de actividades implementadas en el Plan de Seguridad y Privacidad de la Información / Número actividades programadas en el periodo

Riesgos Asociados.

TIPO DE RIESGO

DESCRIPCIÓN DEL RIESGO

CAUSAS ACTIVIDADES ASOCIADAS PARA SU MITIGACIÓN

GESTIÓN No disponibilidad de recursos claves

La no disponibilidad de los responsables de los procesos por las labores

del día a día, con prioridad sobre las tareas del proyecto impacta el tiempo y

cronograma del plan.

Solicitud escrita de la designación del o los

funcionarios asignados por cada líder de los procesos

Establecer agendas concertadas con los

funcionarios designados para desarrollo de las labores a

ejecutar en el plan

Lo demás ítems de estos riesgos se relacionarán en la matriz del mapa de riesgos Institucional.

Fuentes de financiación

FUENTE AÑO 2020FUNCIONAMIENTO 0

INVERSIÓN 257.374.559TOTAL 257.374.559

Establecimiento del Contexto



OPIFL0

2


N01

Contexto Estratégico

La Superintendencia Nacional de Salud establece su contexto de acuerdo con los usuarios que atiende y a la normatividad que la regula, de igual manera se establecen las necesidades y expectativas de las partes interesadas en cuanto al Subsistema de Seguridad de la Información de la Entidad6.

El Contexto de la Organización está establecido en la Guía Metodológica de Análisis de Riesgos de Seguridad y Privacidad de la Información - ASGU05

6 www.supersalud/Superintendencia/Sistema Integrado de Gestión/Subsistema de Seguridad en la Información/Documentación/ABC de Seguridad de la Información en la Supersalud



OPIFL0

2


N01

Información sobre la Evaluación de Riesgos de Seguridad

Identificación de activos de Información

La etapa de identificación y valoración de activos de información será ejecutada mediante sesiones de trabajo con los gestores definidos por cada líder de proceso y siguiendo el cronograma de entrevistas.

La información recabada en este proceso deberá quedar registrada en el Instrumento de Gestión de la Información GGFT01, cuyas indicaciones de diligenciamiento se encuentran consignadas en el documento GGGU02 Guía para la Gestión de Activos de Información.

Roles y Responsabilidades frente a la Administración del Riesgo

El éxito de la administración del riesgo depende de múltiples factores; sin embargo, la participación de la alta dirección, los servidores públicos y contratistas permite que dicho proceso se desarrolle con mayor fluidez y efectividad; por tal motivo, se precisa identificar los actores que intervienen y sus responsabilidades:

Alta Dirección: encargada de aprobar las directrices para la administración del riesgo en la Entidad. Adicionalmente es la responsable del fortalecimiento de la política de administración del riesgo.

Responsables de los procesos: Identifican, evalúan y valoran los riesgos de la entidad (por procesos e institucionales) al menos una vez al año. Los funcionarios que trabajan en cada uno de los procesos son los que mejor conocen los riesgos existentes en el desarrollo de sus actividades, es por ello por lo que deben garantizar que en el proceso a su cargo se definan los riesgos y se establezcan las estrategias y responsabilidades para tratarlos.

Profesional de la Oficina de Tecnologías de la Información - Grupo de Administración y Seguridad de la Información (GASI): funcionario o contratista encargado de acompañar al líder de proceso o su designado en la identificación de riesgos de seguridad de la información sobre los procesos que tiene a cargo.

Servidores públicos y contratistas: ejecutan los controles y acciones definidas para la administración de los riesgos identificados. Adicionalmente, aportar en la identificación de posibles riesgos que puedan afectar la gestión de los procesos y/o de la entidad.

Oficina de Control Interno: Encargada de realizar la evaluación y seguimiento a la política, los procedimientos y los controles propios de la administración de riesgos



OPIFL0

2


N01

Política de Administración del Riesgo

La Superintendencia Nacional de Salud detalla el compromiso de la entidad en materia de administración de los riesgos institucionales en el documento ASPO07 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO7

Visión General para la Administración del Riesgo de Seguridad de La Información

La siguiente imagen ilustra el Esquema General del proceso para la administración del riesgo en seguridad de la información. Como se evidencia en la imagen las actividades de valoración del riego y el tratamiento del mismo puede ser iterativo en el proceso:

Ilustración 3 Tomada de la NTC-ISO/IEC 27005

7 https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-gestion-de-la-calidad ASPO07





OPIFL0

2


N01

Tratamiento de Riesgos Seguridad de la Información

Identificación, Análisis y Evaluación de los Riesgos

La metodología para la identificación, análisis y valoración de los riesgos de Seguridad de la Información está definida en la guía ASGU05 Guía Metodológica de Análisis de Riesgos de Seguridad y Privacidad de la Información Superintendencia Nacional de Salud. Para la elaboración de dicha guía se tomó como base las definiciones del Departamento Administrativo de la Función Pública (DAFP).

En desarrollo del Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información en su etapa de identificación, análisis y evaluación de riesgos, se llevarán a cabo las siguientes actividades las cuales serán abordadas en sesiones de trabajo con los gestores definidos por cada líder de proceso y siguiendo el plan de entrevistas propuesto.

Actividad Responsable

Identificar riesgos de seguridad y privacidad de la información

Profesional de la Oficina de tecnologías de la Información y Gestor del área

Identificar controles existentes para mitigar los riesgos identificados

Profesional de la Oficina de Tecnologías de la Información y Gestor del área

Valorar del riesgo y del riesgo residual Profesional de la Oficina de Tecnologías de la Información

Realizar matriz de riesgos de seguridad y privacidad de la información

Profesional de la Oficina de Tecnologías de la Información

La información de identificación, análisis y valoración de los riesgos de Seguridad de la Información, deberán quedar registrados en el formato ASFT22 Matriz de Análisis de Riesgos de Seguridad y Privacidad de la Información, cuyas indicaciones de diligenciamiento se encuentran consignadas en el documento ASIN01 Instructivo para el diligenciamiento de la matriz de riesgos de Seguridad y Privacidad de la Información.



OPIFL0

2


N01

Tratamiento del Riesgo

En primera instancia se tratarán los riesgos extremos y altos; para el caso de los riesgos clasificados como moderados y bajos se les realizará seguimiento. Esta información quedará registrada en el formato ASFT22 Matriz de Análisis de Riesgos de Seguridad y Privacidad de la Información.

La medida de mitigación se establecerá de acuerdo con los controles del ANEXO A de la Norma ISO 27001:2013, determinando las opciones de tratamiento del riesgo así:

Zona de riesgo baja: asumir el riesgo y por lo tanto se acepta

Zona de riesgo moderada: Evitar o mitigar el riesgo para llevarlo a la zona de riesgo menor o compartir el riesgo.

Zona de riesgo alta: Evitar o mitigar el riesgo para llevarlo a la zona de riesgo moderado o compartir y/o transferir el riesgo.

Zona de riesgo extrema: Evitar, reducir el riesgo y/o transferirlo mediante la ejecución de pólizas.

La acción de mitigación deberá ser clasificada como:

Correctiva: permiten el restablecimiento de la actividad después de ser identificado un evento no deseable

Preventivo: Previene la ocurrencia o materialización ya que actúan para eliminar las causas del mismo

Detectivo: Impide la materialización del riego debido a que detectan un evento no deseable cuando se están ejecutando

Se deberá definir el responsable de la implementación de las acciones de tratamiento y del seguimiento a los controles.

Elaborar el plan de tratamiento para aquellos riesgos que quedaron en zona importante o inaceptable posterior a los controles.

Aprobar el plan de tratamiento de riesgo y la aceptación de riesgo residual por los líderes de Proceso.

Comunicación de riesgos de seguridad de información

El Plan de comunicaciones para el Tratamiento de Riesgos de Seguridad y Privacidad de la Información de la Superintendencia Nacional de Salud, está contemplado en el documento del Plan



OPIFL0

2


N01

de Seguridad y Privacidad de la Información para la vigencia 2020, de conformidad con la Estrategia de Uso y apropiación que se defina por parte del Grupo de Administración y Seguridad de la Información, una vez aprobado por el Jefe de la Oficina de Tecnologías de la Información



OPIFL0

2


N01

Información de seguridad Seguimiento de Riesgos y Revisión

La periodicidad de seguimiento de acuerdo con los niveles de riesgo residual, serán realizados de la siguiente manera:

A los riesgos determinados como extremos y altos se les realizará monitoreo y seguimiento cada 6 meses sobre los controles operacionales y de seguridad de la información de los procesos. Se recomienda un monitoreo a controles del proceso de tecnología de tipo diario a mensual dependiendo de la importancia del control o del activo de información, con seguimiento específico mensual dejando evidencia de dicha verificación.

A los riesgos determinados como moderados y bajos se les deberá realizar monitoreo una vez cada año con enfoque principal de seguimiento a los controles

El responsable de la implementación de las acciones de tratamiento y/o el líder del proceso debe hacer seguimiento al Plan de mejora de tratamiento a riesgos de ser necesario

Verificar e informar aquellos riesgos que se materialicen. Los incidentes o eventos se registrarán en el aplicativo de mesa de servicio de la entidad.

Cronograma de actividades

Actividad Fecha de inicio

Fecha final

Responsable Producto o resultado esperado

1 Actualización metodología de Riesgos de Seguridad y Privacidad.

Enero Febrero Grupo de Administración y Seguridad de la Información

Matriz de riesgos

2 Información sobre la evaluación de riesgos de seguridad.

Marzo Mayo Grupo de Administración y Seguridad de la Información

Comunicaciones internas / Correo electrónico

3 Identificación y Análisis de Riesgos Seguridad de la información

Febrero Diciembre Todas las áreas y acompañamiento de Grupo de Administración y Seguridad de la Información

Matriz de riesgos

4 Publicación de riesgos de seguridad de información

Abril Diciembre Grupo de Administración y Seguridad de la Información

Link de transparencia

5 Tratamiento de Febrero Diciembre Todas las áreas y Actas de reunión /



OPIFL0

2


N01

Actividad Fecha de

inicio Fecha final

Responsable Producto o resultado esperado

Riesgos Seguridad de la Información

acompañamiento de Grupo de Administración y Seguridad de la Información

correos electrónicos

6 Información de seguridad Seguimiento de Riesgos y Revisión- Informe

Junio Diciembre Grupo de Administración y Seguridad de la Información – Oficina de Control Interno

Informe de riesgos

Anexos

No Aplica

Control de cambios documento

CONTROLES DE CAMBIOSASPECTOS

QUE CAMBIARON

EN EL DOCUMENTO

DETALLES DE LOS CAMBIOS

EFECTUADOS

RESPONSABLE DE LA

SOLICITUD DEL CAMBIO

FECHA DEL CAMBIO

DD/MM/AAAAVERSIÓN

Adopción del documento

Se aprobó el presente documento, mediante NURC 8-2020-1016

Jefe Oficina de Tecnologías de la Información

21/01/2020 1


Plan de tratamiento de riesgos de seguridad y … · Web viewAuthor Carolina Acosta Gutierrez...

Documents

Transcript of Plan de tratamiento de riesgos de seguridad y … · Web viewAuthor Carolina Acosta Gutierrez...