Post on 28-Aug-2020
Sede Administrativa: Carrera 68A N.º 24B – 10 Edificio Plaza Claro, Torre 3(571) 744 2000 • Bogotáwww.supersalud.gov.co
PLAN DE TRATAMIENTO DE
RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN
Versión 1Superintendencia Nacional de Salud
Área Responsable: Oficina de Tecnologías de la Información
Fabio Aristizábal Ángel Superintendente Nacional de Salud
Ginna Fernanda Rojas Puertas Secretaria General
Andres Evelio Mora CalvacheSuperintendente Delegado de Procesos Administrativos
Ivhon Adriana Flórez Pedraza Superintendente Delegada para la Función Jurisdiccional y Conciliación
Marianella Sierra Saa Superintendente Delegada para la Protección al Usuario
Rodrigo Marquez MarquezSuperintendente Delegada para la Supervisión de Riesgos
Jose Oswaldo Bonilla Rincón Superintendente Delegado para la Supervisión Institucional
German Augusto GuerreroSuperintendente Delegada para las Medidas Especiales
Superintendencia Nacional de SaludCarrera 68A N.º 24B – 10 Edificio Plaza Claro, Torre 3(571) 744 2000 • Bogotá
Sandra Camargo BendeckJefe Oficina Asesora de Planeación Ilba Janneth Cárdenas FonsecaJefe Oficina Asesora de Comunicaciones Estratégicas e Imagen Institucional
Mario Camilo Leon Martines Jefe Oficina Asesora Jurídica
Jorge Bernardo Gómez RodriguezOficina de Tecnologías de la Información
Daniel Andrés Pinzón FonsecaJefe Oficina de Metodologías de Supervisión y Análisis del Riesgo
Rosemary Chávez Rodriguez Oficina de Control Interno
Ángela Cecilia Molina Sánchez Oficina de Control Interno Disciplinario
Sede Administrativa: Carrera 68A N.º 24B – 10 Edificio Plaza Claro, Torre 3(571) 744 2000 • Bogotáwww.supersalud.gov.co
Tabla de contenido
Introducción........................................................................................................................................ 5
Definiciones........................................................................................................................................ 6
Marco Estratégico............................................................................................................................ 10
Modelo Integrado de Planeación y Gestión – MIPG.....................................................................10
Alcance......................................................................................................................................... 11
Objetivos....................................................................................................................................... 11
Objetivo General....................................................................................................................... 11
Objetivos Específicos................................................................................................................11
Normatividad Relacionada...............................................................................................................12
Requisitos Técnicos......................................................................................................................... 13
Planes, Proyectos y programas asociados.......................................................................................14
Metas e indicadores asociados........................................................................................................14
Riesgos Asociados........................................................................................................................... 14
Fuentes de financiación................................................................................................................... 15
Establecimiento del Contexto...........................................................................................................15
Información sobre la Evaluación de Riesgos de Seguridad.............................................................16
Tratamiento de Riesgos Seguridad de la Información......................................................................18
Comunicación de riesgos de seguridad de información...................................................................19
Información de seguridad Seguimiento de Riesgos y Revisión........................................................20
Cronograma de actividades..............................................................................................................20
Anexos............................................................................................................................................. 21
Control de cambios documento........................................................................................................21
Sede Administrativa: Carrera 68A N.º 24B – 10 Edificio Plaza Claro, Torre 3(571) 744 2000 • Bogotáwww.supersalud.gov.co
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Tabla de Ilustraciones
Ilustración 1 Tercera Dimensión: Gestión con Valores para el Resultado........................................10Ilustración 2 Elementos de la Política de Gobierno Digital..............................................................11Ilustración 3 Tomada de la NTC-ISO/IEC 27005..............................................................................17
COFL02 Página 4 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Introducción
El presente Plan de Tratamiento de Riesgos ha sido elaborado con la finalidad de dar a conocer las actividades a realizar en la implementación y socialización del componente de Gobierno digital en el habilitador transversal de Seguridad y Privacidad, el cual busca preservar la confidencialidad, integridad y disponibilidad de los activos de información de las entidades del Estado, garantizando su buen uso y la privacidad de los datos, a través del Modelo de Seguridad y Privacidad de la Información1 (MSPI). Uno de los pilares del MSPI es la identificación y el tratamiento de los riesgos de seguridad y privacidad de la información por lo que en este documento se establece el plan que permitirá identificar los riesgos de seguridad y privacidad de la información de la Superintendencia Nacional de Salud, su clasificación, su tratamiento y su respectiva aceptación por parte de los líderes de cada proceso.
En la medida que se tenga una visión específica de los riesgos que pueden afectar la seguridad y privacidad de la información, la Entidad puede establecer controles y medidas efectivas, viables y transversales con el propósito de gestionar y reducir los riesgos a que está expuesta, logrando minimizar el impacto en caso de presentarse la materialización de una amenaza, minimizar pérdidas y maximizar oportunidades.
1 http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html Elementos de la política
COFL02 Página 5 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Definiciones
A
Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización. (NTC-ISO/IEC 27000:2016).
Activo de Información: Conocimiento o información que tiene valor para la organización.
Amenaza: Causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema u organización. (ISO/IEC 2700:2016).
Análisis del riesgo: Proceso sistemático para comprender la naturaleza del riesgo y determinar el nivel de riesgo. (NTC ISO 31000:2011).
Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona o entidad pública o privada, en el transcurso de su gestión, conservados respetando aquel orden para servir como testimonio e información a la persona o institución que los produce y a los ciudadanos, o como fuentes de la historia. También se puede entender como la institución que está al servicio de la gestión administrativa, la información, la investigación y la cultura. (Ley 594 de 2000, art 3)
C
Compartir el riesgo: Compartir con otra de las partes el peso de la pérdida o el beneficio de la ganancia proveniente de un riesgo particular. (NTC ISO 31000:2011).
Consecuencia: Resultado o impacto de un evento que afecta a los objetivos. (NTC ISO 31000:2011).
Control: Medida que modifica al riesgo. (NTC ISO 31000:2011.
Criterios del riesgo: Términos de referencia frente a los cuales se evalúa la importancia de un riesgo. (NTC ISO 31000:2011).
E
COFL02 Página 6 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Evaluación del control: Revisión sistemática de los procesos para garantizar que
los controles son adecuados y eficaces. (NTC ISO 31000:2011).
Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo, con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables. (NTC ISO 31000:2011).
Evento: Presencia o cambio de un conjunto particular de circunstancias. (NTC ISO 31000:2011).
Evento de seguridad de la información: Ocurrencia que indica una posible brecha de seguridad de la información o falla de los controles. (ISO/IEC 27035:2016).
Evitar el riesgo: Decisión de no involucrarse o de retirarse de una situación de riesgo. (NTC ISO 31000:2011).
F
Frecuencia: Medición del número de ocurrencias por unidad de tiempo. (NTC ISO 31000:2011).
Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de originar un riesgo. (NTC ISO 31000:2011).
G
Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. (NTC ISO 31000:2011).
I
Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo. (NTC ISO 31000:2011).
Información: Es un conjunto organizado de datos, que constituyen un mensaje sobre un determinado ente o fenómeno. Indicación o evento llevado al conocimiento de una persona o de un grupo. Es posible crearla, mantenerla, conservarla y transmitirla.
Integridad: propiedad de exactitud y completitud
Impacto: El coste para la empresa de un incidente de la escala que sea, que puede o no ser medido en términos estrictamente financieros, como pérdida de reputación o implicaciones legales.
COFL02 Página 7 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Incidente de seguridad de la información: Uno o múltiples eventos de seguridad
de la información relacionados e identificados que pueden dañar los activos de información de la organización o comprometer sus operaciones. (ISO/IEC 27035:2016).
Inventario de activos: Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del SGSI, que tengan valor para la organización y necesiten, por tanto, ser protegidos de potenciales riesgos (NTC-ISO/IEC 27000:2016).
ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de organizaciones nacionales de normalización, cuyo objetivo es establecer, promocionar y gestionar estándares. (http://www.iso.org).
M
Marco de referencia para la gestión del riesgo: Conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar, implementar, monitorear, revisar y mejorar continuamente la gestión del riesgo, a través de toda la organización. (NTC ISO 31000:2011).
Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del Estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado. (NTC ISO 31000:2011).
N
Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos expresada en términos de la combinación de las consecuencias y su probabilidad. (NTC ISO 31000:2011).
P
Peligro: Una fuente de daño potencial. (NTC ISO 31000:2011).
Pérdida: Cualquier consecuencia negativa o efecto adverso, financiero u otro. (NTC ISO 31000:2011).
Plan para la gestión del riesgo: Esquema dentro del marco de referencia para la gestión del riesgo que especifica el enfoque, los componentes y los recursos de la gestión que se van a aplicar a la gestión del riesgo. (NTC ISO 31000:2011).
COFL02 Página 8 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Política para la gestión del riesgo: Declaración de la dirección y las intenciones
generales de una organización con respecto a la gestión del riesgo. (NTC ISO 31000:2011).
Probabilidad: Oportunidad de que algo suceda. (NTC ISO 31000:2011).
R
Reducción del riesgo: Acciones que se toman para disminuir la posibilidad, las consecuencias negativas o ambas, asociadas con un riesgo. (NTC ISO 31000:2011).
Responsabilidad: Las múltiples partes interesadas deben asumir la responsabilidad de la gestión del riesgo de seguridad digital. Deben rendir cuentas sobre la base de sus funciones y su capacidad para actuar, teniendo en cuenta el posible impacto de sus decisiones sobre los demás. Deben también reconocer que un cierto nivel de riesgo de seguridad digital tiene que ser aceptado para lograr los objetivos económicos y sociales. (CONPES 3854, pág. 25).
Retención del riesgo: Aceptación del peso de la pérdida o del beneficio de la ganancia proveniente de un riesgo particular. (NTC ISO 31000:2011).
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (NTC-ISO/IEC 27000:2016).
Riesgo inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto. (NTC ISO 31000:2011).
Riesgo residual: Remanente después del tratamiento del riesgo. (NTC ISO 31000:2011).
S
Seguridad de la información: Preservación de la confidencialidad, integridad, y disponibilidad de la información. (NTC-ISO/IEC 27000:2016).
Sistema para la gestión del riesgo: Conjunto de elementos del sistema de gestión de una organización involucrados en la gestión del riesgo. (NTC ISO 31000:2011).
T
COFL02 Página 9 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Tratamiento del riesgo: Proceso para modificar el riesgo. (ISO/IEC Guía
73:2009).
V
Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y evaluación del riesgo. (ISO/IEC GUÍA 73:2009).
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas. (NTC-ISO/IEC 27000:2016).
COFL02 Página 10 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Marco Estratégico
Modelo Integrado de Planeación y Gestión – MIPG
El Modelo Integrado de Planeación y Gestión MIPG opera a través de la puesta en marcha de siete dimensiones, el Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información está enmarcado en la Dimensión 3. “Gestión con Valores para Resultados”:
Ilustración 1 Tercera Dimensión: Gestión con Valores para el Resultado2
La Política Gobierno Digital, busca promover el uso y aprovechamiento de las TIC y se implementa a través de dos líneas de acción que orientan su desarrollo: TIC para el Estado y TIC para la Sociedad; así como de tres habilitadores transversales dentro de los cuales tenemos la Seguridad de la Información, la cual “busca que las entidades públicas implementen los lineamientos de seguridad de la información en todos sus procesos, trámites, servicios, sistemas de información, infraestructura y en general, en todos los activos de información con el fin de preservar la confidencialidad, integridad y disponibilidad y privacidad de los datos. Este habilitador se soporta en el Modelo de Seguridad y Privacidad de la Información -MSPI, que contempla 6 niveles de madurez3”.
2 https://www.funcionpublica.gov.co/documents/28587410/34112007/Manual+Operativo+MIPG.pdf/ce5461b4-97b7-be3b-b243-781bbd1575f33 https://estrategia.gobiernoenlinea.gov.co/623/articles-81473_recurso_1.pdf Manual de Gobierno Digital
COFL02 Página 11 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Ilustración 2 Elementos de la Política de Gobierno Digital
Alcance
Este plan de tratamiento de riesgos establece la metodología para la administración y gestión de riesgos adoptada por la entidad en cumplimiento a las directrices dadas por MinTIC y tiene como alcance los procesos de la Superintendencia Nacional de Salud, en concordancia con el alcance del Subsistema de Gestión de Seguridad de la Información4
Objetivos
Objetivo General
Establecer las actividades a desarrollar en el Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información, estableciendo los conceptos básicos y la estructura metodológica para una adecuada administración de riesgos a partir de su identificación, manejo y seguimiento, el cual será una guía para el control y minimización de los de los riesgos de Seguridad y Privacidad de la Información, en aras de mantener la integridad, confidencialidad y disponibilidad de la información a través de la gestión del riesgo asociado a la información de la Superintendencia Nacional de Salud.
Objetivos Específicos
Aplicar las mejores prácticas y metodología señalada por el DAFP y MINTIC para la Gestión y administración de Riesgos de Seguridad y Privacidad de la Información.
4https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema- de-seguridad-en-la-informacion Alcance del Subsistema de Seguridad de la Información.
COFL02 Página 12 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Establecer las actividades y el plan de trabajo para efectuar la identificación de activos de información y administración y gestión de riesgos de la información.
Identificar durante el 2020 los riesgos en los procesos de la entidad, que puedan afectar la integridad, confidencialidad y disponibilidad de la información.
Hacer seguimiento en el 2020 a los riesgos identificados en los procesos de la entidad.
Normatividad Relacionada
Decreto 1008 de 2018: Por el cual se establecen los lineamientos generales de la política de Gobierno Digital y se subroga el capítulo 1 del título 9 de la parte 2 del libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones
Decreto 1078 de 2015 modificado por el Decreto 1008 de 2018 - Política de Gobierno Digital que contiene el Modelo de Seguridad y Privacidad - MSPI de MINTIC.
Guía para la administración del riesgo y el diseño de controles en entidades públicas. RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL año 2018.
Decreto 612 de 2018: Por el cual se fijan las directrices para la integración de los planes institucionales y estratégicos al plan de acción por parte de las entidades del estado.
Decreto 1499 de 2017, el cual modificó el Decreto 1083 de 2015 – Modelo Integrado de Planeación y Gestión.
CONPES 3854 de 2016 – Política de Seguridad Digital del Estado Colombiano.
Resolución 3564 de 2015 - Por la cual se reglamentan aspectos relacionados con la Ley de Transparencia y Acceso a la Información Pública.
Ley 1712 de 2014: Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones.
Ley Estatutaria 1581 de 2012 y Reglamentada Parcialmente por el Decreto Nacional 1377 De 2013: Por la cual se dictan disposiciones generales para la protección de datos personales
Decreto 2693 de 2012: Lineamientos generales de la Estrategia de Gobierno en línea de la República de Colombia que lidera el Ministerio de las Tecnologías de Información y las
COFL02 Página 13 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Comunicaciones, se reglamentan parcialmente las Leyes 1341 de 2009 y 1450 de 2011, y se dictan otras disposiciones.
Decreto 2609 de 2012: Por medio del cual se reglamenta el Título V de la Ley General de Archivo del año 2000. Incluye aspectos que se deben considerar para la adecuada gestión de los documentos electrónicos.
Ley 1437 de 2011: Por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo.
Ley 1273 DE 2009: Por medio de la cual se modifica el Código Penal, se crea un nuevo bien tutelado denominado “de la protección de la información y los datos” y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.
Ley 1341 DE 2009: Por medio de la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la información y comunicaciones - TIC, se crea la Agencia Nacional de Espectro y se dictan otras disposiciones.
Ley 1266 de 2008 - Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información.
Ley 1150 DE 2007: Por medio de la cual se introducen medidas para la eficiencia y la transparencia en la Ley 80 de 1993 y se dictan otras disposiciones generales sobre la contratación con Recursos Públicos contenidos de la norma.
Ley 527 de 1999 “por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”.
Ley 44 de 1993 “por la cual se modifica y adiciona la Ley 23 de 1982 y se modifica la Ley 29 de 1944.” (Derechos de autor).
Requisitos Técnicos
Norma Técnica Colombiana NTC/ISO 27001:2013 Sistemas de gestión de la seguridad de la información.
Modelo de Seguridad y Privacidad de la Información, Ministerio de Tecnologías y Sistemas de Información.
Norma Técnica Colombiana ISO31000:2013.
COFL02 Página 14 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Modelo de Gestión de Riesgos de Seguridad Digital (MGRSD).
Documentos Asociados5
ASPD03 Procedimiento para la Administración de Riesgos
ASPO07 Política de Administración del Riesgo de la Superintendencia Nacional de Salud
ASFT30 Declaración de Aplicabilidad
ASFT14 Matriz de Roles y Responsabilidades
GGFT01 Instrumento de Gestión de la Información
GGGU02 Guía para la Gestión de Activos de Información
ASFT22 Matriz de Análisis de Riesgos de Seguridad y Privacidad de la Información
ASGU05 Guía Metodológica de Análisis de Riesgos de Seguridad y Privacidad de la Información Superintendencia Nacional De Salud
Nota: los documentos aquí relacionados están siendo validados con el propósito de aprobarlos o en sus defectos actualizarlos para ser entregados en la versión final de este documento
Planes, Proyectos y programas asociados
Plan Estratégico Plan Anual de Gestión de la Oficina de Tecnologías de la Información El proyecto de inversión asociado es el de “Optimización de la prestación de servicios y
provisión de soluciones de tecnologías de la información y las comunicaciones TIC de la Superintendencia Nacional de Salud”
Contrato 487 de 2019 cuyo objeto contractual es: “Diseñar e implementar una solución de seguridad de la información para la Superintendencia Nacional de Salud”.
5 Estos documentos están disponibles en la web
https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-gestion-de-la-calidad
COFL02 Página 15 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Metas e indicadores asociados
Nombre: Porcentaje de actividades implementadas en el Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información
Fórmula: Número de actividades implementadas en el Plan de Seguridad y Privacidad de la Información / Número actividades programadas en el periodo
Riesgos Asociados.
TIPO DE RIESGO
DESCRIPCIÓN DEL RIESGO
CAUSAS ACTIVIDADES ASOCIADAS PARA SU MITIGACIÓN
GESTIÓN No disponibilidad de recursos claves
La no disponibilidad de los responsables de los procesos por las labores
del día a día, con prioridad sobre las tareas del proyecto impacta el tiempo y
cronograma del plan.
Solicitud escrita de la designación del o los
funcionarios asignados por cada líder de los procesos
Establecer agendas concertadas con los
funcionarios designados para desarrollo de las labores a
ejecutar en el plan
Lo demás ítems de estos riesgos se relacionarán en la matriz del mapa de riesgos Institucional.
Fuentes de financiación
FUENTE AÑO 2020FUNCIONAMIENTO 0
INVERSIÓN 257.374.559TOTAL 257.374.559
Establecimiento del Contexto
COFL02 Página 16 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Contexto Estratégico
La Superintendencia Nacional de Salud establece su contexto de acuerdo con los usuarios que atiende y a la normatividad que la regula, de igual manera se establecen las necesidades y expectativas de las partes interesadas en cuanto al Subsistema de Seguridad de la Información de la Entidad6.
El Contexto de la Organización está establecido en la Guía Metodológica de Análisis de Riesgos de Seguridad y Privacidad de la Información - ASGU05
6 www.supersalud/Superintendencia/Sistema Integrado de Gestión/Subsistema de Seguridad en la Información/Documentación/ABC de Seguridad de la Información en la Supersalud
COFL02 Página 17 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Información sobre la Evaluación de Riesgos de Seguridad
Identificación de activos de Información
La etapa de identificación y valoración de activos de información será ejecutada mediante sesiones de trabajo con los gestores definidos por cada líder de proceso y siguiendo el cronograma de entrevistas.
La información recabada en este proceso deberá quedar registrada en el Instrumento de Gestión de la Información GGFT01, cuyas indicaciones de diligenciamiento se encuentran consignadas en el documento GGGU02 Guía para la Gestión de Activos de Información.
Roles y Responsabilidades frente a la Administración del Riesgo
El éxito de la administración del riesgo depende de múltiples factores; sin embargo, la participación de la alta dirección, los servidores públicos y contratistas permite que dicho proceso se desarrolle con mayor fluidez y efectividad; por tal motivo, se precisa identificar los actores que intervienen y sus responsabilidades:
Alta Dirección: encargada de aprobar las directrices para la administración del riesgo en la Entidad. Adicionalmente es la responsable del fortalecimiento de la política de administración del riesgo.
Responsables de los procesos: Identifican, evalúan y valoran los riesgos de la entidad (por procesos e institucionales) al menos una vez al año. Los funcionarios que trabajan en cada uno de los procesos son los que mejor conocen los riesgos existentes en el desarrollo de sus actividades, es por ello por lo que deben garantizar que en el proceso a su cargo se definan los riesgos y se establezcan las estrategias y responsabilidades para tratarlos.
Profesional de la Oficina de Tecnologías de la Información - Grupo de Administración y Seguridad de la Información (GASI): funcionario o contratista encargado de acompañar al líder de proceso o su designado en la identificación de riesgos de seguridad de la información sobre los procesos que tiene a cargo.
Servidores públicos y contratistas: ejecutan los controles y acciones definidas para la administración de los riesgos identificados. Adicionalmente, aportar en la identificación de posibles riesgos que puedan afectar la gestión de los procesos y/o de la entidad.
Oficina de Control Interno: Encargada de realizar la evaluación y seguimiento a la política, los procedimientos y los controles propios de la administración de riesgos
COFL02 Página 18 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Política de Administración del Riesgo
La Superintendencia Nacional de Salud detalla el compromiso de la entidad en materia de administración de los riesgos institucionales en el documento ASPO07 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO7
Visión General para la Administración del Riesgo de Seguridad de La Información
La siguiente imagen ilustra el Esquema General del proceso para la administración del riesgo en seguridad de la información. Como se evidencia en la imagen las actividades de valoración del riego y el tratamiento del mismo puede ser iterativo en el proceso:
Ilustración 3 Tomada de la NTC-ISO/IEC 27005
7 https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-gestion-de-la-calidad ASPO07
COFL02 Página 19 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Tratamiento de Riesgos Seguridad de la Información
Identificación, Análisis y Evaluación de los Riesgos
La metodología para la identificación, análisis y valoración de los riesgos de Seguridad de la Información está definida en la guía ASGU05 Guía Metodológica de Análisis de Riesgos de Seguridad y Privacidad de la Información Superintendencia Nacional de Salud. Para la elaboración de dicha guía se tomó como base las definiciones del Departamento Administrativo de la Función Pública (DAFP).
En desarrollo del Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información en su etapa de identificación, análisis y evaluación de riesgos, se llevarán a cabo las siguientes actividades las cuales serán abordadas en sesiones de trabajo con los gestores definidos por cada líder de proceso y siguiendo el plan de entrevistas propuesto.
Actividad Responsable
Identificar riesgos de seguridad y privacidad de la información
Profesional de la Oficina de tecnologías de la Información y Gestor del área
Identificar controles existentes para mitigar los riesgos identificados
Profesional de la Oficina de Tecnologías de la Información y Gestor del área
Valorar del riesgo y del riesgo residual Profesional de la Oficina de Tecnologías de la Información
Realizar matriz de riesgos de seguridad y privacidad de la información
Profesional de la Oficina de Tecnologías de la Información
La información de identificación, análisis y valoración de los riesgos de Seguridad de la Información, deberán quedar registrados en el formato ASFT22 Matriz de Análisis de Riesgos de Seguridad y Privacidad de la Información, cuyas indicaciones de diligenciamiento se encuentran consignadas en el documento ASIN01 Instructivo para el diligenciamiento de la matriz de riesgos de Seguridad y Privacidad de la Información.
COFL02 Página 20 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Tratamiento del Riesgo
En primera instancia se tratarán los riesgos extremos y altos; para el caso de los riesgos clasificados como moderados y bajos se les realizará seguimiento. Esta información quedará registrada en el formato ASFT22 Matriz de Análisis de Riesgos de Seguridad y Privacidad de la Información.
La medida de mitigación se establecerá de acuerdo con los controles del ANEXO A de la Norma ISO 27001:2013, determinando las opciones de tratamiento del riesgo así:
Zona de riesgo baja: asumir el riesgo y por lo tanto se acepta
Zona de riesgo moderada: Evitar o mitigar el riesgo para llevarlo a la zona de riesgo menor o compartir el riesgo.
Zona de riesgo alta: Evitar o mitigar el riesgo para llevarlo a la zona de riesgo moderado o compartir y/o transferir el riesgo.
Zona de riesgo extrema: Evitar, reducir el riesgo y/o transferirlo mediante la ejecución de pólizas.
La acción de mitigación deberá ser clasificada como:
Correctiva: permiten el restablecimiento de la actividad después de ser identificado un evento no deseable
Preventivo: Previene la ocurrencia o materialización ya que actúan para eliminar las causas del mismo
Detectivo: Impide la materialización del riego debido a que detectan un evento no deseable cuando se están ejecutando
Se deberá definir el responsable de la implementación de las acciones de tratamiento y del seguimiento a los controles.
Elaborar el plan de tratamiento para aquellos riesgos que quedaron en zona importante o inaceptable posterior a los controles.
Aprobar el plan de tratamiento de riesgo y la aceptación de riesgo residual por los líderes de Proceso.
Comunicación de riesgos de seguridad de información
El Plan de comunicaciones para el Tratamiento de Riesgos de Seguridad y Privacidad de la Información de la Superintendencia Nacional de Salud, está contemplado en el documento del Plan
COFL02 Página 21 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
de Seguridad y Privacidad de la Información para la vigencia 2020, de conformidad con la Estrategia de Uso y apropiación que se defina por parte del Grupo de Administración y Seguridad de la Información, una vez aprobado por el Jefe de la Oficina de Tecnologías de la Información
COFL02 Página 22 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Información de seguridad Seguimiento de Riesgos y Revisión
La periodicidad de seguimiento de acuerdo con los niveles de riesgo residual, serán realizados de la siguiente manera:
A los riesgos determinados como extremos y altos se les realizará monitoreo y seguimiento cada 6 meses sobre los controles operacionales y de seguridad de la información de los procesos. Se recomienda un monitoreo a controles del proceso de tecnología de tipo diario a mensual dependiendo de la importancia del control o del activo de información, con seguimiento específico mensual dejando evidencia de dicha verificación.
A los riesgos determinados como moderados y bajos se les deberá realizar monitoreo una vez cada año con enfoque principal de seguimiento a los controles
El responsable de la implementación de las acciones de tratamiento y/o el líder del proceso debe hacer seguimiento al Plan de mejora de tratamiento a riesgos de ser necesario
Verificar e informar aquellos riesgos que se materialicen. Los incidentes o eventos se registrarán en el aplicativo de mesa de servicio de la entidad.
Cronograma de actividades
Actividad Fecha de inicio
Fecha final
Responsable Producto o resultado esperado
1 Actualización metodología de Riesgos de Seguridad y Privacidad.
Enero Febrero Grupo de Administración y Seguridad de la Información
Matriz de riesgos
2 Información sobre la evaluación de riesgos de seguridad.
Marzo Mayo Grupo de Administración y Seguridad de la Información
Comunicaciones internas / Correo electrónico
3 Identificación y Análisis de Riesgos Seguridad de la información
Febrero Diciembre Todas las áreas y acompañamiento de Grupo de Administración y Seguridad de la Información
Matriz de riesgos
4 Publicación de riesgos de seguridad de información
Abril Diciembre Grupo de Administración y Seguridad de la Información
Link de transparencia
5 Tratamiento de Febrero Diciembre Todas las áreas y Actas de reunión /
COFL02 Página 23 de 24
PROCESO Formulación, Implementación Y Evaluación De Planes Y Programas CÓDIG
OPIFL0
2
FORMATO Formulación de Planes y Programas Institucionales VERSIÓ
N01
Actividad Fecha de
inicio Fecha final
Responsable Producto o resultado esperado
Riesgos Seguridad de la Información
acompañamiento de Grupo de Administración y Seguridad de la Información
correos electrónicos
6 Información de seguridad Seguimiento de Riesgos y Revisión- Informe
Junio Diciembre Grupo de Administración y Seguridad de la Información – Oficina de Control Interno
Informe de riesgos
Anexos
No Aplica
Control de cambios documento
CONTROLES DE CAMBIOSASPECTOS
QUE CAMBIARON
EN EL DOCUMENTO
DETALLES DE LOS CAMBIOS
EFECTUADOS
RESPONSABLE DE LA
SOLICITUD DEL CAMBIO
FECHA DEL CAMBIO
DD/MM/AAAAVERSIÓN
Adopción del documento
Se aprobó el presente documento, mediante NURC 8-2020-1016
Jefe Oficina de Tecnologías de la Información
21/01/2020 1
COFL02 Página 24 de 24