PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y … · 8. ANALISIS DEL RIESGO..... 16 9. SEGUIMIENTO,...

Calle 11 Carrera 9ª Esquina – Edificio Municipal – Telefax (2) 7271201

Página web: www.tumaco-narino.gov.co Correo electrónico: [email protected] Tumaco Nariño

PLAN DE TRATAMIENTO DE

RIESGOS DE SEGURIDAD Y

PRIVACIDAD DE LA

INFORMACIÓN

ALCALDÍA DISTRITAL DE

TUMACO

2019

http://www.tumaco-narino.gov.co/

mailto:[email protected]



Contenido

1. INTRODUCCION .......................................................................................................................... 5

2. OBJETIVOS ................................................................................................................................... 6

3. METODOLOGIA ........................................................................................................................... 7

4. DEFINICIONES ............................................................................................................................. 8

5. ROLES Y RESPONSABILIDADES ................................................................................................. 13

6. POLITICA DE ADMINISTRACION DEL RIESGO ........................................................................... 14

7. EVALUACION DEL RIESGO......................................................................................................... 15

8. ANALISIS DEL RIESGO ............................................................................................................... 16

9. SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION ............................................................. 18

Menú Tablas.

Tabla 1Matriz de calificación, evaluación y respuesta a riesgos .................................................... 15

Tabla 2- Análisis de riesgo ................................................................................................................ 16

Tabla 3- Criterios de evaluación ....................................................................................................... 17





1. INTRODUCCION

Mediante el siguiente documento se dará a conocer la manera en que se

implementara y socializara la Estrategia de seguridad y privacidad de la información

misma que hace parte de la estrategia de Gobierno Digital y que busca salvaguardar

los datos de la ciudadanía en forma física y digital garantizando su seguridad.

Teniendo en cuenta el gran impacto que han tenido las Tecnologías de la

Información y la Comunicación en especial en el desarrollo de las entidades públicas

se han integrado con los diversos sistemas de gestión tanto de procesos internos

como externos en aras del cumplimiento de los diferentes objetivos de la Alcaldía

Distrital de Tumaco 2017-2019.

Todos los servidores públicos, están sometidos a riesgos que pueden hacer fracasar

su gestión; por lo tanto, es necesario tomar las medidas para identificar las causas

y consecuencias de la materialización de dichos riesgos, es así que con la

integración de las TIC en todas la dependencias y áreas de la Alcaldía Distrital de

Tumaco damos cumplimiento a cada uno de nuestros objetivos mediante la

integración y el apoyo misional-transversal de los procesos y sus actores,

manteniendo una lucha continua contra la corrupción, aumentando el nivel de

protección y acceso a las herramientas informáticas al tiempo que se optimizan los

recursos tecnológicos para tal fin.





2. OBJETIVOS

1.1 Objetivo general

Controlar y minimizar los riesgos asociados a los procesos tecnológicos

existentes, en la Alcaldía Distrital de Tumaco, con el fin de mantener a salvo los

activos de información, el manejo de medios, el control de acceso y la gestión

de usuarios.

1.2 Objetivos específicos

Establecer políticas de seguridad y privacidad de la información de la Alcaldía

Distrital de Tumaco.

Identificar los niveles de cumplimiento y alcance de las políticas de seguridad

y privacidad de la información.

Asignar roles y responsabilidades para garantizar la seguridad y privacidad

de la información.





3. METODOLOGIA

Para poder llevar a cabo la implementación del modelo de seguridad y privacidad

de la información, la alcaldía distrital de Tumaco tomara como metodología planear,

Hacer, Verificar y Actuar (PHVA) y los Lineamientos emitidos por el Ministerio de

Tecnologías de la Información y las Comunicaciones – MinTIC, a través de los

decretos emitidos en la estrategia de Gobierno Digital.





4. DEFINICIONES

Los siguientes términos y definiciones se tendrán en cuenta para la administración

del riesgo.

Acceso a la Información Pública.

Es el derecho fundamental consistente en la facultad que tienen todas las

personas de conocer sobre la existencia y acceder a la información pública en

posesión o bajo control de sujetos obligados. (Ver art. 4, Ley 1712 de 2017).

Activo.

Se refiere a cualquier información o elemento relacionado con el tratamiento de

la misma (sistemas, soportes, edificios, personas,..) que tenga valor para la

organización. (Norma Icontec ISO/IEC 27001).

Activo de Información.

Se refiere al activo que contiene información pública que el sujeto obligado

genere, adquiera, transforme o controle.

Archivo.

Es el conjunto de documentos que sin importar su fecha, forma y soporte

material, están acumulados en un proceso natural por una persona o entidad

pública o privada, en el transcurso de su gestión, conservados respetando el

orden para servir como testimonio e información a la persona o institución que

los produce y a los ciudadanos, así mismo puede servir como fuente histórica.

Es la institución encargada del servicio de la gestión administrativa, la

información y la cultura. (Véase art. 3, Ley 594 de 2000).

Amenazas.

Causa potencial de una situación no deseada, puede provocar daños o un

sistema y/o la organización. (ISO/IEC 27001).

Análisis de Riesgo.

Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.

(ISO/IEC 27001).

Auditoria.

Proceso sistemático, independiente y documentado para obtener evidencias de

auditoria y obviamente para determinar el grado en el que se cumplen los

criterios de auditoria. (ISO/IEC 27001).





Bases de Datos Personales.

Información con los datos personales organizada para ser objeto de tratamiento.

(Art. 3, Ley 1581 de 2012).

Ciberseguridad.

Capacidad para minimizar el nivel de riesgo al que están expuestos los

ciudadanos, ante amenazas o incidentes de naturaleza cibernética.

Ciberespacio.

Ambiente físico y virtual que se compone de computadores, sistemas

computacionales, software, redes de telecomunicación, datos e información,

usado para la interacción entre usuarios.

Control.

Estructuras organizativas concebidas para mantener los riesgos de seguridad

de la información por debajo del nivel de riesgo asumido.

Datos Abiertos.

Datos primario o sin procesar que se encuentran en formatos estándar e

inoperables que facilitan su acceso y reutilización, y que están bajo la custodia

de entidades públicas o privadas y que son puestos a disposición de cualquier

ciudadano de forma libre y sin restricciones, con el fin de que terceros puedan

reutilizarlos y crear servicios derivados de los mismos. (Art. 6, Ley 1712 de

2014).

Datos Personales.

Cualquier información vinculada o que pueda asociarse a una o varias personas

naturales. (Art. 3, Ley 1581 de 2012).

Datos Personales Públicos.

Son todos aquellos datos relativos al estado civil de las personas, a su profesión

u oficio y a su calidad de comerciante o servidor público. Debido a su naturaleza,

estos datos pueden estar contenidos en registros públicos, documentos

públicos, gacetas y boletines oficiales y sentencias judiciales debidamente

ejecutoriadas y que no estén sometidas a reserva.

Datos Personales Privados.

Debido a su naturaleza íntima solo es relevante para el titular. (Art. 3 literal h,

Ley 1581 de 2012).

Datos Personales Mixtos.





Información que contiene datos personales públicos y privados o sensibles

juntos.

Datos Personales Sensibles.

Son aquellos que afectan la intimidad del titular y cuyo uso indebido puede

generar su discriminación, algunos de estos datos pueden ser el origen racial, la

orientación política, las convicciones religiosas o filosóficas, la pertenencia a

sindicatos, organizaciones sociales, de derechos humanos o que promueva

intereses de cualquier partido político o que garanticen los derechos y garantías

de partidos políticos de oposición, así como los datos relativos a la salud, a la

vida sexual, y los datos biométricos. (art.3, Decreto 1377 de 2013).

Declaración de Aplicabilidad.

Documento que enumera los controles aplicados por el sistema de gestión de

seguridad de la información – SGSI, de la entidad, tras el resultado de los

procesos de evaluación y tratamiento de riesgos y su justificación, así como la

justificación de las exclusiones de controles del anexo A de ISO 27001. (ISO/IEC

27001).

Derecho a la Intimidad.

Derecho fundamental que se constituye de la existencia y goce de una órbita

reservada en cada persona, exenta de la intervención del poder del estado o de

las intromisiones arbitrarias de la sociedad, permitiéndole al individuo pleno

desarrollo de su vida personal, espiritual y cultural (Jurisprudencia Corte

Constitucional).

Encargado del Tratamiento de Datos.

Persona natural o jurídica, pública o privada, que realice el tratamiento de datos

personales por cuenta del responsable del tratamiento. (Art. 3, Ley 1581 de

2012).

Gestión de Incidentes de Seguridad de la Información.

Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los

incidentes de seguridad de la información, (ISO/IEC 27001).

Información Pública Clasificada.

Información que estando en poder o custodia de un sujeto obligado en su calidad

de tal, pertenece al ámbito propio, particular y privado o semiprivado de una

persona natural o jurídica por lo que su acceso será negado o exceptuado,

siempre que se trate de las circunstancias legítimas y necesarias y los derechos

particulares o privados consagrados en el art. 18 de la Ley 1712 de 2014.





Información Pública Reservada.

Información que estando en poder o custodia es exceptuada de acceso a la

ciudadanía por daños a intereses públicos y bajo cumplimiento de la totalidad de

los requisitos consagrados en el artículo 19 de la Ley 1712 de 2014. (Art. 6, Ley

1712 de 2014).

Plan de Continuidad del Negocio.

Orientado a permitir la continuación de las principales funciones misionales o del

negocio en el caso de un evento imprevisto que las ponga en peligro. (ISO/IEC

27001).

Plan de Tratamiento de Riesgos.

Define las acciones para gestionar los riesgos de seguridad de la información

inaceptables e implantar los controles necesarios para proteger la misma.

(ISO/IEC 27001).

Privacidad.

Es el derecho que tienen todos los titulares de la información en relación con la

información que involucre datos personales y la información clasificada que

estos hayan entregado o este en poder de la entidad en el marco de las

funciones que a ella le compete realizar y que generan las entidades

destinatarias del Manual de Gobierno Digital la correlativa obligación de proteger

dicha información en observancia del marco legal vigente.

Responsabilidad Demostrada.

Conducta desplegada por los responsables o encargados del tratamiento de

datos personales bajo la cual a petición de la superintendencia de Industria y

Comercio deben estar en capacidad de demostrarle a dicho organismo de

control que han implementado medidas apropiadas y efectivas para cumplir lo

establecido en la Ley 1581 de 2012 y sus normas reglamentarias.

Responsable del Tratamiento de Datos.

Persona natural o jurídica, pública o privada, que por sí misma o en asocio con

otros, decida sobre la base de datos y/o el tratamiento de los datos. (Art. 3, Ley

1581 de 2012).

Riesgo.

Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad

para causar una pérdida o daño en un activo de información. Suele considerarse

como una combinación de la probabilidad de un evento y sus consecuencias.

(ISO/IEC 27001).





Seguridad de la Información.

Preservación de la confidencialidad, integridad y disponibilidad de la

información. (ISO/IEC 27001).

Sistema de Gestión de Seguridad de la Información SGSI.

Conjunto de elementos interrelacionados o interactuantes que utiliza una

organización para establecer una política y unos objetivos de seguridad de la

información y alcanzar dichos objetivos, basándose en un enfoque de gestión y

de mejora continua. (ISO/IEC 27001).

Titulares de la Información.

Personas naturales cuyos datos personales sean objeto de Tratamiento. (Art. 3,

Ley 1581 de 2012).

Trazabilidad.

Permite que todas las acciones realizadas sobre la información o un sistema de

tratamiento de la información sean asociadas de modo inequívoco a un individuo

o entidad. (ISO/IEC 27001).





5. ROLES Y RESPONSABILIDADES

Es responsabilidad del comité de seguridad de la información de la Alcaldía Distrital

de Tumaco, la implementación, aplicación, seguimiento y autorización de la política

del Comité de Seguridad y Privacidad de la Información en las diferentes áreas y

procesos de la entidad, además garantiza el apoyo y el uso de la política de

Seguridad de la Información como parte de su herramienta de gestión, la cual debe

ser aplicada de forma obligatoria por todos los funcionarios para el cumplimiento de

los objetivos.

El comité de seguridad de la información cuya composición y funciones serán

reglamentadas por una mesa de trabajo compuesta por:

a) Secretario General y de Gobierno.

b) El Ingeniero de sistemas o quien haga sus veces.

c) El jefe de control interno.

d) El almacenista.

e) La secretaria de Hacienda.

Este comité deberá revisar y actualizar esta política anualmente presentando las

propuestas a la Alta Dirección y al Comité de Gobierno Digital para su análisis y

respectiva aprobación.





6. POLITICA DE ADMINISTRACION DEL RIESGO

La Alcaldía Distrital de Tumaco adelantara las acciones pertinentes para la

implementación y mantenimiento del proceso de Administración del Riesgo, y para

ello todos los servidores de la entidad se comprometen a:

a. Conocer y cumplir las normas internas y externas relacionadas con la

administración de los riesgos.

b. Fortalecer la cultura de administración de los riesgos para crear conciencia

colectiva sobre los beneficios de su aplicación y los efectos nocivos de su

desconocimiento.

c. Someter los procesos y procedimientos permanentemente al análisis de

riesgos con base en la aplicación de las metodologías adoptadas para el

efecto.

d. Mantener un control permanente sobre los cambios en la calificación de los

riesgos para realizar oportunamente los ajustes pertinentes.

e. Reportar los eventos de riesgo que se materialicen, utilizando los

procedimientos e instrumentos establecidos para el efecto.

f. Desarrollar e implementar planes de contingencia para asegurar la

continuidad de los procesos, en los eventos de materialización de los riesgos

que afecten a los objetivos institucionales previstos y los intereses de los

usuarios y partes interesadas.

g. Presentar propuestas de mejora continua que permitan optimizar la forma de

realizar y gestionar las actividades de la entidad para así aumentar nuestra

eficacia y efectividad.

Con la finalidad de lograr lo anteriormente enunciado la Alta Dirección de la

Administración Distrital asignara los recursos tanto humanos, presupuestales y

tecnológicos necesarios que permitan realizar el seguimiento y evaluación a la

implementación y efectividad de esta política.

De igual manera el presente plan forma parte de la política de administración del

riego, por cuanto detalla las directrices que deben tenerse en cuenta para la gestión

del riesgo en la entidad y que tienen como propósito evitar la materialización del

riesgo.





7. EVALUACION DEL RIESGO

El análisis de riesgos informáticos es un proceso que comprende la identificación

de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran

expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin

de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la

ocurrencia del riesgo. Dentro de estos parámetros, como lo propone la Guía de

Gestión de Riesgos, Seguridad y privacidad de la Información de MinTIC “Esta se

hace de manera cualitativa generando una comparación en la cual se presenta el

análisis de la probabilidad de ocurrencia del riesgo Vs el impacto del mismo,

obteniendo al final la matriz denominada “Matriz de Calificación, Evaluación y

Respuesta a los Riesgos”, con la cual la guía presenta la forma de calificar los

riesgos con los niveles de impacto y probabilidad establecidos anteriormente, así

como las zonas de riesgo presentando las posibles formas de tratamiento que se

le puede dar a ese riesgo”.

MATRIZ DE CALIFICACION, EVALUACION Y RESPUESTA A RIESGOS

PROBABILIDAD IMPACTO

INSIGNIFICANTE (1)

MENOR (2) MODERADO

(3) MAYOR (4)

CATASTROFICO (5)

CASI SEGURO (5) A A E E E

PROBABLE (4) M A A E E

POSIBLE (3) B M A E E

IMPROBABLE (2) B B M A E

RARO (1) B B M A A

MEDIDAS DE RESPUESTA U OPCIONES DE MANEJO

B: Zona de riesgo Baja Asumir el Riesgo

M: Zona de riesgo Moderada Asumir o Reducir el Riesgo

A: Zona de riesgo Alta Reducir, Evitar, Compartir o Transferir el Riesgo

E: Zona de riesgo Extrema Reducir, Evitar, Compartir o Transferir el Riesgo

Tabla 1Matriz de calificación, evaluación y respuesta a riesgos





8. ANALISIS DEL RIESGO

Para realizar un análisis de riesgo contamos con las calificaciones indicadas en la

tabla anterior y las aplicamos como se muestra a continuación:

NOMBRE DEL

PROCESO Gestión de Infraestructura

RESPONSABLE DEL PROCESO

Planeación (Infraestructura Física),

oficina Tics

OBJETIVO DEL

PROCESO

Desarrollar, mantener y mejorar la infraestructura física y tecnológica, requeridos para la adecuada prestación del servicio en sus funciones administrativas.

RIESGO ASOCIADO AL

PROCESO

TIPO DE RIESGO

PROBABILIDAD DE

OCURRENCIA IMPACTO

CALIFICACION DEL RIESGO EVALUACION

PROBABILIDAD DE

OCURRENCIA IMPACTO

ZONA DE

RIESGO

MEDIDAS DE RESPUESTA

Falta de mantenimiento

y daños eventuales

sobre la infraestructura

física y tecnológica

Estratégico

Casi Seguro: se espera que

el evento ocurra en la

mayoría de las circunstancias, más de 1 vez

al año.

Menor. Todos los

funcionarios 5 2 Alta

Reducir, Evitar,

Compartir o transferir el

Riesgo.

Infraestructura física,

tecnológica. Estratégico

Probable: Es viable que

el evento probablemente

ocurra en la mayoría de las circunstancias. Al menos 1 vez

al año.

Mayor. Institucional

4 4 Extrema

Reducir, Evitar,


Riesgo.

Desastre natural

Estratégico

Posible: El evento

podrá ocurrir en algún

momento.

Moderado. Usuarios de

la ciudad 3 3 Alta

Reducir, Evitar,


Riesgo.

Prevaricato Corrupción

Raro. El evento

puede ocurrir solo en

circunstancias excepcionales (poco comunes o anormales).

Menor. Todos los

funcionarios 1 2 Baja Baja

Vulnerabilidad de los

sistemas de información

Operativo (misional)


el evento probablemente

ocurra en la mayoría de las circunstancias.


4 4 Extrema

Reducir, Evitar,


Riesgo.

Vandalismo Corrupción

Casi Seguro: Se espera que

el evento ocurra en la

mayoría de las circunstancias.


5 4 Extrema

Reducir, Evitar,


Riesgo.

Tabla 2- Análisis de riesgo





CRITERIOS DE EVALUACION

SEGÚN PROBABILIDA

D DE OCURRENCIA

CALIFICACION DEL

RIESGO

CRITERIOS DE EVALUACION SEGÚN IMPACTO

GENERAL CONFIDENCIALIDA

D DE LA INFORMACION

CREDIBILIDAD O IMAGEN

LEGAL OPERATIVO

Raro: El evento

puede ocurrir solo en

circunstancias excepcionales

(poco comunes o

anormales) no se ha

presentado en 5 años.

1

Insignificante: De

presentarse el hecho, tendría consecuencia

s o efectos mínimos sobre la entidad.

Personal Grupo de

funcionarios Multas

Ajustes a una actividad concreta

Improbable: El evento

puede ocurrir en algún

momento. Al menos 1 vez en los últimos

5 años

2

Menor: De

presentarse el hecho tendría bajo impacto

o efecto sobre la entidad.

Grupo de trabajo Todos los

funcionarios Demandas

Cambios de procedimiento

s

Posible: El evento

podrá ocurrir en algún

momento. Al menos 1 vez en los últimos

2 años

3

Moderado: De

presentarse el hecho tendría

medianas consecuencia

s o efectos sobre la entidad.

Relativa al proceso

Usuarios de la ciudad

Investigación

disciplinaria

Cambios en la interacción de los procesos


el evento probablemente ocurra en la mayoría de

las circunstancias. Al menos 1 vez en el año

4

Mayor: De

presentarse el hecho tendría

altas consecuencia

s o efectos sobre la entidad.

Mayor:

Institucional Usuarios de

la región Investigación

fiscal

Casi Seguro: Se espera

que el evento ocurra en la mayoría de

las circunstancias

. Más de 1 vez al año

5

Catastrófico: De

presentarse el hecho tendría desastrosas

consecuencias o efectos

sobre la entidad

Estratégica Usuarios del

país Intervención

sanción Paro total del

proceso.

Tabla 3- Criterios de evaluación





9. SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION

La Alcaldía Distrital de Tumaco evaluara el ejercicio de tratamiento de riesgos y

privacidad de la información, por medio de seguimientos para revisar que las

acciones se están llevando a cabo y evaluar la eficiencia en su implementación

adelantando verificaciones al menos una vez al año o cuando sea necesario. De

esta forma conlleva, dado el caso, a evidenciar todas aquellas situaciones que

pueden estar influyendo en la aplicación de las acciones de tratamiento.



PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y … · 8. ANALISIS DEL RIESGO..... 16 9. SEGUIMIENTO,...

Documents

Transcript of PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y … · 8. ANALISIS DEL RIESGO..... 16 9. SEGUIMIENTO,...