Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos...

Reto: Plan de tratamiento de riesgos

Gobierno Digital

Ministerio de las Tecnologías de la Información y las Comunicaciones

Para tener en cuenta…

Gobierno de seguridad de la Información• Formulación de política

institucional

Identificación Y Gestión de Activos• Valoración de Activos• Priorización de Activos

Gestión de los Riesgos de Seguridad Digital• Identificación de amenazas y

vulnerabilidades• Análisis/Valoración del Riesgo• Tratamiento del Riesgo

PASO 1

PASO 2

PASO 3

GOBERNANZA+PLANEACIÓN+ASEGURAMIENTO

Fórmula 3

• Documento que evidencie que la alta dirección aprueba el plan de tratamiento de riesgos de seguridad digital, con plazos y responsables en 2019.

Fórmula 2


• Documento con el (los) Indicadores definidos para el tratamiento de riesgos incluidos en el plan de acción de la entidad.

Fórmula 1


•Documento con el (los) Indicadores definidos para el tratamiento de riesgos incluidos en el plan de acción de la entidad.

• Seguimiento al plan de tratamiento de riesgos de acuerdo a lo definido en el cronograma establecido.

DESCRIPCIÓN Y ALCANCE DEL RETO PROPUESTO

¿Por qué es importante el plan de tratamiento de riesgos?

Para que una Entidad sepa a qué riesgos se enfrenta en cuanto a Seguridad y Privacidad de la Información, debe

construir el plan de tratamiento de riesgos.

Que le permita tener la capacidades para detectar y responder de forma eficaz las brechas e intrusiones de seguridad de la información, ante los ataques mediante los cuales puedan

llegar a sustraer datos sensibles, tanto dentro como fuera de la Entidad.

¿Qué debemos de tener en cuenta para la construcción del plan?

• Política de riesgos de la Entidad• Controles de anexo A del MSPI• Metodología para la gestión de riesgos

(Guía para la administración del riesgo y el diseño de controles en entidades públicas - riesgos de gestión, corrupción y seguridad digital)

CONTEXTO DEL

PROCESO

DISEÑO DEL PROCESO: Claridad en la descripción del alcance y objetivo del proceso.

INTERACCIONES CON OTROS PROCESOS: Relación precisa con otros procesosen cuanto a insumos, proveedores, productos, usuarios o clientes.

TRANSVERSALIDAD: Procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad.

PROCEDIMIENTOS ASOCIADOS: Pertinencia en los procedimientos que desarrollan los procesos.

RESPONSABLES DEL PROCESO: Grado de autoridad y responsabilidad de los funcionarios frente al proceso.

COMUNICACIÓN ENTRE LOS PROCESOS: Efectividad en los flujos de información determinados en la interacción de los procesos.

ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO: Información, aplicaciones, hardware entre otros, que se deben proteger para garantizar el funcionamiento interno de cada proceso, como de cara al ciudadano.

Declaración de la Dirección y las intenciones generalesde una organización con respecto a la gestión delriesgo, (NTC ISO31000 Numeral 2.4). La gestión oAdministración del riesgo establece lineamientosprecisos acerca del tratamiento, manejo y seguimientoa los riesgos.

IDENTIFICACIÓN DEL CONTEXTO

Tabla ilustrativa 1 - Factores para cada categoría del contexto

Incorporar Anexo 4 Lineamientos para la gestión del riesgo de seguridad digital.

Frente a los Riesgos de Seguridad Digital

POLÍTICA INSTITUCIONAL DE RIESGOS

PASO 1

PASO 1.1

2.1.3 ESTABLECIMIENTO DEL CONTEXTO DEL PROCESO

Se determinan las características o aspectos

esenciales del proceso y sus interrelaciones.

Se pueden considerar factores como:

Objetivo del procesoAlcance del procesoInterrelación con otros procesos

Procedimientos asociados

Responsables del proceso

Activos de seguridad digital del proceso

GESTIÓN DEL RIESGO

NO Riesgo Activo Tipo Amenazas Vulnerabilidades

Pro

bab

ilidad

Impac

to

RiesgoInherente

Opci

ón

trat

amie

nto

Actividad de Control Soporte

Res

ponsa

ble

Tiempo

Pér

did

a de

la in

tegr

idad

Bas

e de

Dat

os

de

Nóm

ina

Seg

uridad

Dig

ital

Ausencia de políticas de control de

acceso.

Pro

bab

le

May

or

Ext

rem

a

ReducirA.9.1.1 Política de control

de acceso Política creada y comunicada

Oficina TI Tercer trimestre de

2018

1

Modificación no

autorizada

Contraseñas sin

protección Reducir

A.9.4.3 Sistema de gestión de contraseñas

Procedimientos para la gestión y protección de contraseñas

Oficina TITercer

trimestre de 2018

Ausencia de mecanismos de identificación y autenticación de usuarios

ReducirA 9.4.2 Procedimiento de

ingreso seguro

Procedimiento para ingreso

seguroOficina TI

Cuarto trimestre de

2018

Ausencia de bloqueo

de sesiónReducir

A.11.2.8 Equipos deusuario desatendidos

Configuracionespara bloqueo automático de

sesiónOficina TI

Cuarto Trimestre de

2018

Formato Mapa y Plan de Tratamiento de Riesgos

Reto: Gestión de Incidentes

Gobierno Digital

Ministerio de las Tecnologías de la Información y las Comunicaciones

Fórmula 3

•Adopción de la Gestión de la Entidad donde evidencie la gestión de incidentes de seguridad de la información

Fórmula 2


•Reporte de incidentes de seguridad de la información de la vigencia anterior (2018) y durante la vigencia del concurso.

Fórmula 1


•Reporte de incidentes de seguridad de la información de la vigencia anterior (2018) y durante la vigencia del concurso.

•Medición de la gestión de incidentes.

DESCRIPCIÓN Y ALCANCE DEL RETO PROPUESTO

¿Qué debemos de tener en cuenta para la construcción del plan?

• Política de Seguridad y Privacidad de la Información

• Guía para la Gestión y Clasificación• de Incidentes de Seguridad de la• Información.

Indicadores de seguimiento y evaluación de la política de Gobierno Digital

Reto - Máxima Velocidad

Reto

• Fórmula 1: medir el nivel de ahorro en tiempo y dinero para los usuarios de los tres (3) trámites o servicios digitales de mayor demanda.

• Fórmula 2: medir el nivel de ahorro en tiempo y dinero para los usuarios de los dos (2) trámites o servicios digitales de mayor demanda.

• Fórmula 3: medir el nivel de ahorro en tiempo y dinero para los usuarios del trámite o servicio digital de mayor demanda.

Descripción del reto

• Nombre del trámite o servicio

• Descripción del trámite o servicio

• Enlace del trámite o servicio

• Tiempo promedio para el usuario (en horas)

• Costo promedio para el usuario (en pesos)

• Tasa de uso digital vs presencial

• Fuentes de información

Pasos a seguir

• Identificar las actividades que un usuario debe llevar a cabo en cada paso (acceso, solicitud, resolución y resultado) para obtener los resultados esperados del trámite, presencialmente y en línea

• Cuantificar el costo de cada paso para el usuario a partir de las actividades requeridas, presencialmente y en línea

• Cuantificar el tiempo de cada paso para el usuario a partir de las actividades requeridas, presencialmente y en línea

• Diligenciar ficha de medición – ahorro por trámites y servicios digitales

Entregables

• Ficha de medición – ahorro por trámites y servicios digitales: http://maximavelocidad.gov.co/710/w3-article-100291.html

• Documento de máximo 10 páginas con metodología implementada para medir el tiempo y costo de los trámites o servicios para los usuarios

http://maximavelocidad.gov.co/710/w3-article-100291.html

Herramientas

• Manual de gobierno digital:http://www.gobiernodigital.gov.co/623/articles-81473_recurso_1.pdf

• Guía técnica de integración de trámites y servicios a GOV.CO: http://estrategia.gobiernoenlinea.gov.co/623/articles-100309_guia_integracion.pdf

http://www.gobiernodigital.gov.co/623/articles-81473_recurso_1.pdf

http://estrategia.gobiernoenlinea.gov.co/623/articles-100309_guia_integracion.pdf

Gobierno Digital

Arquitectura e Interoperabilidad Máxima velocidad 2019

Reto 11Utilización de herramientas e instrumentos para el seguimiento y control de iniciativas, proyectos y gestión de TI

ObjetivoLa entidad cuenta con lista de indicadores con ficha técnica documentada, evidenciando la utilización de los indicadores mediante una herramienta de tablero. La Entidad debe relacionar los indicadores contra las fichas de los proyectos de inversión de TI

Gran premio de transformación

12

3

4

5

6

7

89

10

11

12

13

14

15




Reto 4Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información

Objetivo

Facilitar el entendimiento de los involucrados en los procesos de intercambio de información.



12

3

4

5

6

7

89

10

11

12

13

14

15



Reto 4 - Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información

La entidad identifica la información que desea publicar ointercambiar y garantiza el uso del estándar de lenguajecomún en el nivel 1 del dominio semántico del Marco deinteroperabilidad del Estado.

La entidad usa el estándar de lenguaje común deintercambio de información en al menos dos de susservicios de intercambio de información.

Todos los servicios de intercambio de informacióndesarrollados por la entidad se encuentran activos en elcatálogo de servicios y cumplen con el estándar delenguaje común.

¿Qué es la Interoperabilidad?El ejercicio de colaboración entre organizaciones paraintercambiar información y conocimiento en el marco desus procesos de negocio, con el propósito de facilitar laentrega de servicios en línea a ciudadanos, empresas yotra entidades.

• Agiliza los trámites y servicios digitales• Facilita la participación de los ciudadanos con apoyo de

las TI• Consolida un Estado transparente y coordinado• Afianza la gobernabilidad y confianza en el Estado, con

base en la tecnología al servicio de los ciudadanos.• Reduce los costos y tiempos de respuesta al ciudadano.• Facilita a los ciudadanos la gestión de trámites y

servicios con el Estado.

¿Cómo beneficia los ciudadanos?


Lenguaje Común de

Intercambio de

Información

http://lenguaje.mintic.gov.co/

http://lenguaje.mintic.gov.co/

Dominios del Marco de InteroperabilidadNivel 3 todos los servicios de intercambio de información activos en el catálogo de servicios deben encontrarse utilizando el lenguaje común de intercambio de información.

Nivel 2 la entidad debe usar de forma correcta el lenguaje común de intercambio de información en al menos uno de los servicios activos en el catálogo de servicio.

Nivel 1 la entidad debe identificar el conjunto de elementos de dato particulares al negocio que requiere intercambiar, validar si existen en el lenguaje común de intercambio de información, Si no existen debe ejecutar el proceso de conceptualización


Entregable Condiciones FórmulaNotificaciones de cumplimiento en el nivel 1 del dominio semántico del marco de interoperabilidad.

Que por lo menos dos servicios web de la entidad cumplan con el primer nivel de madurez del marco de interoperabilidad, durante el periodo de los retos de máxima velocidad

Notificaciones de cumplimiento en los niveles 1 y 2 para cada uno de los servicios web de la entidad.

Que por lo menos dos servicios web de la entidad cumplan con el primer y segundo nivel de madurez del marco de interoperabilidad.

Notificaciones de cumplimiento en los niveles 1 2 y 3 para cada uno de los servicios web de la entidad.

Que los servicios web de la entidad cumplan con el tercer nivel de madurez del dominio semántico del marco de interoperabilidad y estos se encuentren publicados en el directorio de servicios de intercambio de información.


2019Ministerio de Tecnologías de la Información y las ComunicacionesTel:+57(1) 344 34 60Edif. Murillo Toro Cra. 8a entre calles 12 y 13, Bogotá, Colombia - Código Postal 111711www.mintic.gov.co

2019Ministerio de Tecnologías de la Información y las ComunicacionesTel:+57(1) 344 34 60Edif. Murillo Toro Cra. 8a entre calles 12 y 13, Bogotá, Colombia - Código Postal 111711www.mintic.gov.co

Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos...

Documents

Transcript of Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos...