PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y … de Tratamie… · actividades por desarrollar...

SISTEMA INTEGRADO DE GESTION MECI -

CALIDAD Código: GR-R-02-23

PLAN DE TRATAMIENTO DE RIESGO DE

SEGURIDAD Y PRIVACIDAD DE LA INFORMACION

Fecha Aprobación:

Enero 2020

Versión: 03

Página: 1 de 48

PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

MSPI - SGSI

GERMAN DARIO RODRIGUEZ PARRA. Gerente





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 2 de 48

TABLA DE CONTENIDO

Contenido 1. INTRODUCCIÓN. ........................................................................................................................................................ 3

2. OBJETIVO. .................................................................................................................................................................. 4

3. ALCANCE. ................................................................................................................................................................... 4

4. MARCO LEGAL / TÉCNICO......................................................................................................................................... 4

5. TERMINOS Y DEFINICIONES. .................................................................................................................................... 6

6. PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN. ......................... 7

6.1. PLANES DESARROLLADOS DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN. ........... 7

6.2. RIESGOS INHERENTES DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN (RSI). ............................... 8

6.3. ACTIVIDADES POR DESARROLLAR SOBRE LOS RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN (RSI) Y CONSTRUCCIÓN DEL “MSPI” Y EL “SGSI”. ............................................................................. 9

6.4. PROGRAMACIÓN DE MONITOREO DE CONTROLES DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ...............................................................................................................................................................11

7. PROCEDIMIENTOS PARA LA IDENTIFICACIÓN Y LEVANTAMIENTO DE LOS ACTIVOS DE INFORMACIÓN EN CADA PROCESO. ................................................................................................................................................................12

8. CRITERIOS PARA LA ADMINISTRACIÓN Y TRATAMIENTO DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN (RSI). 12

8.1. IDENTIFICACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN (RSI): ............................................13

9. REPORTE DE LA GESTIÓN DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN (RSI): .....................................16

10. DISEÑO DE CONTROLES PARA LA GESTIÓN DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN (RSI): ...16

11. CRONOGRAMA DE TRABAJO DESARROLLO E IMPLEMENTACIÓN DEL SGSI: ...............................................17

12. ELABORÓ, REVISÓ Y APROBÓ. ..........................................................................................................................48





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 3 de 48

1. INTRODUCCIÓN.

La rápida evolución del Sistema Financiero y las Tecnologías de la Información que soportan las operaciones comerciales y de crédito e intercambio de datos entre personas, sumado a la importancia de enfocar la supervisión y administración de las Entidades Financieras a temas tales como la Identificación, Medición, Evaluación, Valoración y Control Integral de los Riesgos Inherentes (RI) a los cuales se puede encontrar expuesta éstas en el desarrollo de su objeto social, evidenció la necesidad de tener que diseñar, desarrollar e implementar esquemas de identificación, evaluación, valoración, monitoreo y supervisión lógicos y dinámicos que se cimienten, para alcanzar el resultado e impacto esperado frente a los Objetivos Estratégicos definidos dentro de su planeación estratégica, sobre i. la realidad del mercado Nacional e Internacional -y las tendencias / requerimientos TICS dentro del sector financiero- como ii. en los procesos definidos institucionalmente y en los procedimientos, actividades y demás elementos inherentes a estos. Razón por la cual las Organizaciones han iniciado ha Diseñar, Desarrollar e Institucionalizar Sistemas de Gestión específicos que les permitan de forma eficiente Administrar y Gestionar (Prevenir / Mitigar), dentro de los Riesgos Operativos (RO), los Riesgos de Seguridad de la Información (RSI) a los que se encuentran expuestas inherentemente éstas dentro del desarrollo de sus actividades comerciales; es por lo anterior que EL INFIHUILA, atendiendo a su naturaleza jurídica y consciente de la creciente preocupación de la Alta Dirección frente a la exposición a éste tipo de Riesgos -y con el fin de dar cumplimiento a los requerimientos de Seguridad de la Información dictados por la Superintendencia Financiera de Colombia como por el Departamento Administrativo de la Función Pública y las normas Técnicas ISO 9001:2015, ISO 31000:2018, ISO 27001 - 27005 y NTC GP 5254:2006-, establece a través de éste documento técnico las Políticas, Procedimientos, Actividades, Metodologías, Valores y Criterios por los que se regirá la actividad del instituto con respecto a la administración de los Riesgo de Seguridad de la Información (RSI). Así, en aplicación de la metodología dictada por el Estándar Australiano para la Administración de Riesgo AS / NZS 4360:2004, explicada detalladamente en el Manual Institucional para la Administración de Riesgos Operativos (RO) de EL INFIHUILA, Cód. GR-M-SARO-01, establece los criterios, valores y parámetros mínimos que se deben atender para el diseño, implementación y funcionamiento del mencionado sistema. En consonancia con lo alzado, el SGSI de EL INFIHUILA se compondrá de Cuatro (04) fases; la primera corresponderá a la Investigación e Identificación del Riesgo de Seguridad de la Información (RSI); la segunda, hará referencia a la Medición y Valoración inicial del Riesgo de Seguridad de la Información (RSI) para determinar la Zona de Riesgo Inherente (Inicial); la Tercera, a la Evaluación de los Controles existentes y Revaloración de los Riesgos de Seguridad de la Información (SGSI) y sus Controles asociados para determinar la Zona de Riesgo Residual (Final); y, la Cuarta, se relaciona con el Control y Monitoreo de los Riesgos Residuales de Seguridad de la Información (RSI); y el propósito de ésta, será





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 4 de 48

hacer seguimiento continuo al comportamiento de los Riesgos Tratados y la eficacia de las acciones – controles existentes / ejecutadas.

2. OBJETIVO. Complementar el Manual Institucional para la Administración de Riesgos Operativos (RO) de EL INFIHUILA, Cód. GR-M-SARO-01, y definir el plan de tratamiento de riesgos que hará parte integral del Sistema de Gestión de Seguridad de la Información – SGSI del INFIHUILA; se definirán los controles que se aplicarán para mitigar la materialización de los riesgos de seguridad de la información en el Instituto Financiero para el Desarrollo del Huila - INFIHUILA. De esta forma se buscará que, mediante el tratamiento de los riesgos y la mejora continua de la Seguridad y Privacidad de la Información, las partes interesadas tengan mayor confianza en el tratamiento de la información que se almacena y maneja en la Institución.

3. ALCANCE. El presente Plan de Tratamiento de Riesgo de Seguridad y Privacidad de la Información se aplica a los procesos misionales, estratégicos y de apoyo de EL INFIHUILA; y deberá ser adoptado por todos sus funcionarios de acuerdo al nivel de responsabilidades definidas para cada uno, garantizando un alto nivel de protección y seguridad de la información.

4. MARCO LEGAL / TÉCNICO. El Modelo de Seguridad y Privacidad de la Información “MSPI” de EL INFIHUILA como el Sistema de Gestión de Seguridad de la Información “SGSI”, se construyen tomando como referencia la siguiente normativa legal y técnica:

a. Artículos (15), (20) y (74) de la Constitución Política de Colombia.

b. Ley N° 1266 de 2008 “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.”

c. Ley N° 1273 de 2009 “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.

d. Ley N° 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”.





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 5 de 48

e. Ley N° 1712 de 2014 “Por medio de la cual se crea la Ley de Transparencia y del

Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones.”.

f. Decreto N° 1727 de 2009.

g. Decreto N° 1377 de 2013 “Reglamente parcialmente la Ley N° 1581 de 2012”.

h. Decreto N° 886 de 2014 “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos”.

i. Decreto N° 103 de 2015 “Por el cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones”.

j. Decreto N° 612 de 2018 “Por el cual se fijan directrices para la integración de los planes institucionales y estratégicos al Plan de Acción por parte de las Entidades del Estado”.

k. Decreto N° 1008 de 2018 “Por el cual se establecen los lineamientos generales de

la política de Gobierno Digital”.

l. Decreto N° 1499 de 2017 “Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015”

m. Sentencias de la Corte Constitucional C - 1011 de 2008 mediante la cual se estudia la exequibilidad de la Ley Estatutaria N° 1266 de 2008 y C - 748 de 2011 mediante la cual se estudia la exequibilidad de la Ley Estatutaria N° 1581 de 2012.

n. Guía DAFP para la Administración de Riesgos Operativos (Versión Octubre 2018) -Anexo 4 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas”-.

o. Norma Técnica ISO 31001:2018.

p. Norma Técnica ISO 27001:2013.

q. Norma Técnica ISO 27005.

r. Norma Técnica ISO 9001:2015.

s. Norma Técnica NTC GP 5254:2006.





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 6 de 48

t. Modelo Estándar Australiano para la Administración de Riesgos AS / NZS

4360:2004.

5. TERMINOS Y DEFINICIONES. La siguiente terminología se expone -en complemento de la contenida en el numeral (2) del Manual Institucional para la Administración de Riesgos Operativos (RO), V.3., Cód. GR-M-SARO-01-, tomando como referencia y cita lo enunciado por el Modelo Estándar Australiano de Administración del Riesgo AS / NZS 4360:2004 como por las Normas Técnicas ISO 9001:2015, ISO 31000:2018, ISO 27001:2013, ISO 27005, NTC GP 5254:2006 y la Guía DAFP para la Administración de Riesgos Operativos (Versión Octubre 2018) -Anexo 4 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas”- para el tratamiento de los Riesgos Institucionales de Seguridad de la Información (RSI):

a. Activo de Información: En el contexto de seguridad digital son elementos tales como aplicaciones de la organización, servicios web, redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la organización para funcionar en el entorno digital.

b. Amenazas: Situación potencial de un incidente no deseado, el cual puede ocasionar

daño a un sistema o a una organización.

c. Confidencialidad: Propiedad de la información que la hace no disponible, es decir, divulgada a individuos, entidades o procesos no autorizados.

d. Integridad: Propiedad de exactitud y completitud

e. Riesgo de Seguridad de la Información: Posibilidad de que una amenaza

concreta que pueda aprovechar una vulnerabilidad para causar una pérdida o daño en un activo de información; estos daños consisten en la afectación de la confidencialidad, integridad o disponibilidad de la información. Cuando la amenaza se convierta en una oportunidad se debe tener en cuenta en el beneficio que se genera También se puede generar riesgo positivo en la seguridad de la información por el aprovechamiento de oportunidades y fortalezas que se presenten.

f. Riesgo de Seguridad Digital (RSD): Combinación de amenazas y vulnerabilidades

en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.

g. Seguridad de la Información: Este principio busca crear condiciones de uso

confiable en el entorno digital, mediante un enfoque basado en la gestión de riesgos,





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 7 de 48

preservando la confidencialidad, integridad y disponibilidad de la información de las entidades del Estado, y de los servicios que prestan al ciudadano.

h. IAS SOLUTION: Es el sistema integrado de Gestión de EL INFIHUILA que permite

armonizar los procesos en búsqueda de una gestión eficiente, eficaz y trasparente, con el fin de aumentar la satisfacción y el cumplimiento de los intereses del Clientes (Internos / Externos), Grupos de Valor / Interés y Partes Interesadas.

i. Vulnerabilidad: Es una debilidad, atributo, causa o falta de control que permitiría la

explotación por parte de una o más amenazas contra los activos.

6. PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN.

En el marco del Modelo de Seguridad y Privacidad de la Información “MSPI” y el Sistema de Gestión de Seguridad de la Información “SGSI” de EL INFIHUILA, se buscará prevenir los efectos no deseados que se puedan presentar en cuanto a Seguridad de la Información (SI); por lo cual es importante, identificar, establecer, evaluar, valorar, controlar y monitorear los Riesgos de Seguridad de la Información (RSI). De ésta forma, la Entidad propenderá por garantizar el adecuado tratamiento de los Riesgos de Seguridad de la Información (RSI) y la gestión del riesgo positivo u oportunidad; acorde con lo establecido en el Manual Institucional de Seguridad de la Información, Manual Institucional para la Administración de Riesgos Operativos (RO) y en las normas técnicas ISO 27001:2013, ISO 27005, ISO 9001:2015, ISO 31001, NTC GP 5254 como en el Modelo Estándar Australiano para la Administración del Riesgo AS / NZS 4360 y en la Guía la Guía DAFP para la Administración de Riesgos Operativos (Versión Octubre 2018) -Anexo 4 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas”-. 6.1. PLANES DESARROLLADOS DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE

LA INFORMACIÓN. Durante la vigencia 2020, se esperan definir y desarrollar oportunidades de mejora que consistan en la identificación, diseño y formulación de los procedimientos y acciones requeridos para la implementación y maduración en debida manera del Modelo se Seguridad y Privacidad de la Información “MSPI” y el Sistema de Gestión de Seguridad de la Información “SGSI” de acuerdo con los paramentos técnicos dictados por las Normas Técnicas ISO 27001:2013, ISO 27005, ISO 9001:2015, ISO 31001, NTC GP 5254 como en el Modelo Estándar Australiano para la Administración del Riesgo AS / NZS 4360 y en la Guía la Guía DAFP para la Administración de Riesgos Operativos (Versión Octubre 2018) -Anexo 4 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas”-.





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 8 de 48

Para cumplimiento de lo planeado, se ha diseñado por la Alta Dirección un Plan y Cronograma de Trabajo en el cual se definen las actividades, el termino de tiempo y el(os) responsable(s) de llevar a cabo la ejecución de estas durante las vigencias 2020 - 2021 A través de la ejecución de éstas, se buscará la construcción e institucionalización de una metodología que permita la Identificación, Evaluación, Medición, Valoración, Tratamiento, Control y Monitoreo de los Riesgos Inherentes de Seguridad de la Información a los que se encuentra expuesta la institución -y sus Controles asociados-; lo anterior, con el objetivo de prevenir la probabilidad de ocurrencia y/o mitigar la lesividad del impacto (consecuencia) de un evento adverso relacionado con Seguridad de la Información (SI). 6.2. RIESGOS INHERENTES DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

(RSI). Se exponen los Riesgos de Seguridad de la Información (RSI) que fueron identificados por el Grupo de Trabajo de Administración del Riesgo, la Oficina de Gestión Tecnológica y cada Líder de Proceso en cumplimiento de los parámetros dictados por las Normas Técnicas ISO 27001:2013, ISO 27005, ISO 9001:2015, ISO 31001, NTC GP 5254 como en el Modelo Estándar Australiano para la Administración del Riesgo AS / NZS 4360 y en la Guía la Guía DAFP para la Administración de Riesgos Operativos (Versión Octubre 2018) -Anexo 4 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas”-.

SISTEMA INTEGRADO MECI- CALIDAD Fecha Aprobación: Enero 2020


Versión: 01

Página: 1 de 1

N°. NOMBRE ESTADO DEL RIESGO RESPONSABLE Proceso Realiza

Monitoreo

Materializados en el último monitoreo

1 Perdida De

Disponibilidad Por gestionar

Jefe Área de Tecnologías y Sistemas de Información.

Gestión de la Tecnología e Informática

Gestión del

Riesgo

NO

2 Perdida de

Confidencialidad Por gestionar

Jefe Área de Tecnologías y Sistemas de Información.


Gestión del

Riesgo

NO

3 Perdida de Integridad

Por gestionar Jefe Área de Tecnologías y Sistemas de Información.


NO





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 9 de 48

Gestión del

Riesgo

6.3. ACTIVIDADES POR DESARROLLAR SOBRE LOS RIESGOS DE SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN (RSI) Y CONSTRUCCIÓN DEL “MSPI” Y EL “SGSI”.

A continuación se listarán las Actividades que planeó la Alta Dirección de EL INFIHUILA para llevar a cabo en debida manera el diagnóstico, diseño, desarrollo, implementación, maduración, control y monitoreo del Modelo de Seguridad y Privacidad de la Información “MSPI” como del Sistema Integrado de Gestión de Seguridad de la Información “SGSI”, en cumplimiento de lo dispuesto en las Normas Técnicas ISO 27001:2013, ISO 27005, ISO 9001:2015, ISO 31001, NTC GP 5254 como en el Modelo Estándar Australiano para la Administración del Riesgo AS / NZS 4360 y en la Guía la Guía DAFP para la Administración de Riesgos Operativos (Versión Octubre 2018) -Anexo 4 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas”- y tomando como referencia los Riesgos Inherentes (RI) de Seguridad de la Información (SI) identificados:



Versión: 01

Página: 1 de 1

ACTIVIDAD DESCRIPCION RESPONSABLE FECHA INICIAL PLANIFICADA

FECHA FINAL PLANIFICADA

Definir y Diseñar el marco del Modelo de Seguridad y Privacidad de la Información “MSPI” y el Sistema Integrado de Gestión de Seguridad de la Información “SGSI” que institucionalizará la Entidad Financiera.

Se definirán las acciones, los procedimientos, los términos, responsables de ejecución, los roles y funciones, los criterios, los parámetros, los lineamientos, y controles necesarios a nivel de seguridad y privacidad y de mitigación del riesgo de Seguridad de la Información, en el marco de cumplimiento de la norma técnica ISO 27001. dad.

Consejo Directivo.

Gerencia.


Gestión del Riesgo.

Planeación y

Direccionamiento Estratégico

3/01/2020 30/06/2020





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 10 de 48

Ejecutar el Plan y Cronograma de Trabajo diseñado por la Alta Dirección para llevar a cabo el diseño, desarrollo, institucionalización y maduración del Modelo de Seguridad y Privacidad de la Información “MSPI” como del Sistema de Seguridad de la Información “SGSI” en pro del Mejoramiento Institucional y robustecimiento de su Sistema Integrado de Gestión “SIG”. --- Ver documento institucional “PLAN DE TRABAJO VIGENCIA - SISTEMA DE GESTIÓN DE SEGURIDAD DIGITAL Y DE LA INFORMACIÓN”, Cód. GR-R-02-22

Se ejecutarán las actividades descritas en el cronograma de trabajo diseñado para llevar a cabo el diseño, aplicación, maduración y mejoramiento del Modelo de Seguridad y Privacidad de la Información “MSPI” como del Sistema de Gestión de Seguridad de la Información “SGSI”; tareas que deberán ser desarrolladas durante las vigencias 2020 y 2021, y estrictamente verificadas por parte de la Alta Dirección frente al cumplimiento de los objetivos e indicadores definidos para el sistema.

Consejo Directivo.

Gerencia.



Planeación y

Direccionamiento Estratégico.

Control, Evaluación

y Seguimiento.

Líderes de Proceso.

3/01/2020 30/12/2020

Identificar, Medir, Evaluar, Valorar, Tratar, Controlar y Monitorear los Riesgos de Seguridad de la Información (RSI) identificados como de sus Controles asociados.

Se llevarán a cabo los procedimientos definidos por la Alta Dirección y el Grupo de Trabajo de Administración del Riesgo para la Identificación, Medición, Evaluación, Valoración, Tratamiento, Control y Monitoreo de los Riesgos Inherentes de Seguridad de la Información (RSI) identificados como de sus respectivos Controles asociados.



Líderes de Proceso

3/01/2020 30/12/2021

Elaborar Plan Institucional de Tratamiento de Riesgos de Seguridad de la Información

Se diseñarán y elaborarán los Planes de Tratamiento y Acción que contengan los Criterios, Ritos y Formalidades que se deben cumplir para llevar a cabo un seguimiento y mejoramiento continuo que permitan la maduración, medición, análisis y evaluación del desempeño de la seguridad y privacidad de la información, con el fin de generar los ajustes o cambios pertinentes y oportunos



Líderes de Proceso

15/01/2020 01/01/2021

Aplicar y mejorar la seguridad y privacidad de la información en el marco de SGSI de la Entidad.

Se desarrollarán los Planes de Tratamiento y Acción definidos para llevar a cabo el seguimiento que permitan la maduración, medición, análisis y evaluación del desempeño de la seguridad y privacidad de la información, con el fin de generar los ajustes o cambios pertinentes y oportunos.

Alta Dirección


Gestión del Riesgo

Líderes de Proceso

01/01/2020 30/12/2020





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 11 de 48

6.4. PROGRAMACIÓN DE MONITOREO DE CONTROLES DE RIESGOS DE

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN Se programa la Evaluación, Valoración y Monitoreo de los Controles que se definan y asocien a cada uno de los Riesgos Inherentes de Seguridad y Privacidad de la Información (RSI) identificados, siguiendo los Lineamientos para la Administración del Riesgo definidos en el Manual Institucional para la Administración de Riesgos Operativos (RO) de EL INFIHUILA a partir de los dispuesto en las normas técnicas ISO 27001:2013, ISO 27005, ISO 9001:2015, ISO 31001, NTC GP 5254 como en el Modelo Estándar Australiano para la Administración del Riesgo AS / NZS 4360 y en la Guía la Guía DAFP para la Administración de Riesgos Operativos (Versión Octubre 2018) -Anexo 4 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas”-; en armonía con lo señalado, la periodicidad que se fija para el seguimiento será “cuatrimestral”; conforme a la siguiente programación de actividades para las vigencias 2020 - 2021:



Versión: 01

Página: 1 de 1

N°. Documentación de

Monitoreo de riesgos de SGSI

Responsable Fecha Inicial Planificada

Fecha Final Planificada

1 Primer Cuatrimestre Gestión de la Tecnología e Informática

Gestión del Riesgo

1/04/2020 30/04/2020

2 Segundo Cuatrimestre Gestión de la Tecnología e Informática

Gestión del Riesgo

1/08/2020 30/08/2020

3 Tercer Cuatrimestre Gestión de la Tecnología e Informática

Gestión del Riesgo

1/12/2020 30/12/2020



Versión: 01

Página: 1 de 1

N°. Documentación de

Monitoreo de riesgos de SGSI

Responsable Fecha Inicial Planificada

Fecha Final Planificada

1 Primer Cuatrimestre Gestión de la Tecnología e Informática

Gestión del Riesgo

1/04/2020 30/04/2020





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 12 de 48

2 Segundo Cuatrimestre Gestión de la Tecnología e Informática

Gestión del Riesgo

1/08/2020 30/08/2020

3 Tercer Cuatrimestre Gestión de la Tecnología e Informática

Gestión del Riesgo

1/12/2020 30/12/2020

7. PROCEDIMIENTOS PARA LA IDENTIFICACIÓN Y LEVANTAMIENTO DE LOS

ACTIVOS DE INFORMACIÓN EN CADA PROCESO. Tomando como referencia los establecido en las normas técnicas normas técnicas ISO 27001:2013, ISO 27005, ISO 9001:2015, ISO 31001, NTC GP 5254 como en el Modelo Estándar Australiano para la Administración del Riesgo AS / NZS 4360 y en la Guía la Guía DAFP para la Administración de Riesgos Operativos (Versión Octubre 2018) -Anexo 4 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas”-, la identificación y levantamiento de los Activos de Información que posee cada proceso institucional se realizará en atención al siguiente procedimiento:

8. CRITERIOS PARA LA ADMINISTRACIÓN Y TRATAMIENTO DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN (RSI).

Para la Administración (Identificación / Medición / Evaluación / Valoración, Control / Monitoreo) y Tratamiento Integral (Prevención / Mitigación) de los Riesgos de Seguridad de la Información (RSI) a los que se encuentra expuesto EL INFIHUILA, se ejecutarán los ritos y se acatarán en todo momento los parámetros contenidos en el Manual Institucional para la Administración de Riesgos Operativos (RO) -Cód. (GR-M-SARO-01)-; complementados por los criterios y metodologías técnicas expuestas en los estándares ISO 27001:2013, ISO 27005, ISO 9001:2015, ISO 31001, NTC GP 5254 como en el Modelo Estándar Australiano para la Administración del Riesgo AS / NZS 4360 y en la Guía la Guía DAFP para la





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 13 de 48

Administración de Riesgos Operativos (Versión Octubre 2018) -Anexo 4 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas. 8.1. IDENTIFICACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN (RSI): A partir de lo manifestado, para llevar a cabo la Identificación de los Riesgos Inherentes de Seguridad de la Información (RSI) a los que se encuentra expuesta la Entidad financiera, se tomarán en cuenta -aparte de los parámetros contenidos en el Manual Institucional para la Administración de Riesgos Operativos (RO) Cód. (GR-M-SARO-01)- los siguientes vectores y valores:

a. Amenazas:





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 14 de 48

b. Vulnerabilidades:





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 15 de 48





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 16 de 48

9. REPORTE DE LA GESTIÓN DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN (RSI):

El Reporte de la Gestión del Riesgo de Seguridad de la Información (RSI) al interior de EL INFIHUILA se llevará a cabo atendiendo a los criterios definidos por las normas técnicas normas técnicas ISO 27001:2013, ISO 27005, ISO 9001:2015, ISO 31001, NTC GP 5254 como en el Modelo Estándar Australiano para la Administración del Riesgo AS / NZS 4360 y en la Guía la Guía DAFP para la Administración de Riesgos Operativos (Versión Octubre 2018) -Anexo 4 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas”:

10. DISEÑO DE CONTROLES PARA LA GESTIÓN DEL RIESGO DE SEGURIDAD DE

LA INFORMACIÓN (RSI): EL INFIHUILA tratará (prevenir / mitigar) los Riesgos de Seguridad de la Información (RSI) empleando los Controles establecidos en el Anexo (A) de la Norma Técnica (estándar) ISO/IEC 27001:2013 y los dominios a los que pertenecen; contenidos en la DAFP para la Administración de Riesgos Operativos (Versión Octubre 2018) -Anexo 4 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas”.





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 17 de 48

11. CRONOGRAMA DE TRABAJO DESARROLLO E IMPLEMENTACIÓN DEL SGSI: La Alta Dirección Institucional ha diseñado y definido el siguiente cronograma de trabajo para llevar en debida forma -durante las vigencias 2020 y 2021- el diseño, desarrollo, institucionalización, maduración, evaluación, medición, valoración, monitoreo, control y mejoramiento del Modelo de Seguridad y Privacidad de la Información “MSPI” como del Sistema de Gestión de Seguridad de la Información “SGSI”:

SISTEMA INTEGRADO MECI - CALIDAD

Código: GR-R-02-22

Fecha de Aprobación: 05 enero 2020

PLAN DE TRABAJO VIGENCIA - SISTEMA DE GESTIÓN DE SEGURIDAD DIGITAL Y DE LA INFORMACIÓN Versión: 01

Página: 1 de 1

PROCESO: OBJETIVO DEL INSTRUCTIVO:

TIPO DE PROCESO: Estratégico: Misional: Apoyo: Seguimiento y Evaluación

Gestión

Información y Comunicación

Definir y Organizar las Actividades (Acciones) requeridas por la norma técnica ISO 27001 para estructurar el Sistema de Gestión de Seguridad de la Información; como los Plazos (Cronograma) y Responsables de llevar a cabo la ejecución y maduración de éstas para las Vigencias 2020 - 2021.

RESPONSABLE

FECHA DE ELABORACIÓN:

Id Tarea

Nombre Tarea

2020 2021 RESPONSABLE DE LA TAREA

(Actividad) Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 18 de 48

0

DIAGNOSTICO INICIAL DEL ESTADO DE IMPLEMENTACION DE ISO 27001 (27005)

*Oficina de Tecnología de la Información y Comunicación - TIC *Grupo de Trabajo de Planeación, Calidad y Desarrollo Institucional *Grupo de Trabajo de Administración del Riesgo *Alta Dirección

1 CONTEXTO DE LA ORGANIZACIÓN

1.1

Convocatorias (Internas / Externas) para identificación de Necesidades y Expectativas de las Partes Interesadas y Grupos de Interés

*Oficina de Tecnología de la Información y Comunicación - TIC *Grupo de Trabajo de Planeación, Calidad y Desarrollo Institucional

1.2

Levantamiento del Inventario y Comprensión de las Necesidades y Expectativas de las Partes Interesadas y Grupos de Interés

*Oficina de Tecnología de la Información y Comunicación - TIC *Grupo de Trabajo de Planeación, Calidad y Desarrollo Institucional *Grupo de Trabajo de Administración del Riesgo





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 19 de 48

1.3

Determinación del alcance del Sistema de Gestión de la Seguridad de la Información institucional con base en las necesidades y expectativas institucionales identificadas como las de sus Partes Interesadas y Grupos de Interés

*Oficina de Tecnología de la Información y Comunicación - TIC *Grupo de Trabajo de Planeación, Calidad y Desarrollo Institucional *Grupo de Trabajo de Administración del Riesgo

1.4

Socialización del Sistema de Gestión de Seguridad de la Información Institucional, sus elementos y el alcance de éste frente a los Grupos de Interés y Partes Interesadas.

*Oficina de Tecnología de la Información y Comunicación - TIC

2 LIDERAZGO

2.1

Diseñar las Políticas Institucionales de Seguridad de la Información - Seguridad Digital (todas conforme a la ISO 27001)


2.2

Definir los Roles, Responsabilidades y Autoridades de Seguridad de la Información


2.3 Diseñar la Política de Segregación de Funciones






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 20 de 48

2.4

Identificar contenido de seguridad y protección de la información en Acuerdo de Confidencialidad y Transparencia - Diseñar y Elaborar Acuerdo de Privacidad y Confidencialidad - Hacerlo firmar por todas las Contrapartes del Instituto

*Oficina de Tecnología de la Información y Comunicación - TIC *Grupo de Trabajo de Administración del Riesgo

2.5

Elaborar la Política de Tratamiento de Datos Personales y Transparencia de la Información.


2.6

Diseñar Controles (Preventivos / Correctivos) para los Riesgos de seguridad de la información identificaos en la Entidad

*Oficina de Tecnología de la Información y Comunicación - TIC *Líder del Proceso *Grupo de Trabajo de Administración del Riesgo

2.7 Diseñar los Lineamientos de uso aceptable de los Activos de Información


2.8 Diseñar la Política de control de acceso lógico (usuarios - contraseñas)


2.9 Diseñar la Política para Uso de Dispositivos de Almacenamiento Móvil






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 21 de 48

2.10

Diseñar los Formatos para ejercicio de Derechos inherentes al Tratamiento de la Información (Supresión, Actualización, Corrección de la Información y Revocatoria de la Autorización para el Tratamiento de Datos Personales).


2.11

Diseñar, Institucionalizar y Socializar la Política de Tratamiento de Datos Personales.


2.12 Diseñar el Procedimiento de custodia de contraseñas de usuarios privilegiados


2.13

Diseñar el Plan de Seguridad de la Información y Socializarlo con el RRHH vinculado a la Entidad


2.14 Diseñar / Actualizar el Plan Estratégico de Tecnología de la Información "PETI"


2.15

Diseñar / Actualizar el Plan Operativo del Proceso de Gestión Tecnológica y de Gestión de la Información y la Comunicación incluyendo los criterios, ritos y parámetros establecidos para el Tratamiento de Riesgos de la Seguridad de la Información






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 22 de 48

2.16

Diseñar / Actualizar los criterios que adoptará la Entidad para hacer el tratamiento integral de los Riesgos de Seguridad de la Información --- Plan de Tratamiento Integral de Riesgos de Seguridad de la Información


2.17

Compilar las Políticas y Elementos de los numerales anteriores a través de la elaboración del Manual Institucional de Seguridad de la Información "MSGSI".


3 PLANIFICACION

3.1

Identificación de los Riesgos de la seguridad de la información (Construcción Modelo de Gestión de Riesgos)


3.2

Evaluación y Valoración de Riesgos de la Seguridad de la Información (Modelo de Gestión de Riesgos)






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 23 de 48

3.3 Tratamiento de los Riesgos de Seguridad de la Información


3.4 Definir los Objetivos de Seguridad de la Información y planes para su logro


3.5 Diligenciamiento de la declaración de aplicabilidad


4 SOPORTE

4.1 Jornada de Sensibilización y Toma de conciencia del Personal


4.2

Elaboración / Actualización de la Documentación del Sistema de Gestión de Seguridad de la Información (manuales, políticas, procedimientos, instructivos, formatos, etc


5 OPERACIÓN





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 24 de 48

5.1 Identificación de Riesgos de Seguridad de la Información / Digital


5.1.1 Planeación y Direccionamiento Estratégico


5.1.2 Gestión Tecnológica e Informática


5.1.3 Gestión del Riesgo






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 25 de 48

5.1.4 Gestión de Mercadeo


5.1.5 Administración de Fondos Especiales


5.1.6 Tesorería e Inversiones


5.1.7 Cartera






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 26 de 48

5.1.8 Captación


5.1.9 Colocación


5.1.10 Gestión de Contabilidad y Presupuesto


5.1.11 Gestión Jurídica






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 27 de 48

5.1.12 Gestión Documental


5.1.13 Gestión del Talento Humano - Adquisición de Bienes y Servicios


5.1.14 Evaluación y Seguimiento


5.1.15 Gestión de la Información y la Comunicación






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 28 de 48

5.2 Evaluación y Valoración de Riesgos de Seguridad de la Información / Digital












Fecha Aprobación:

Enero 2020

Versión: 03

Página: 29 de 48







5.2.7 Cartera






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 30 de 48

5.2.8 Captación


5.2.9 Colocación










Fecha Aprobación:

Enero 2020

Versión: 03

Página: 31 de 48













Fecha Aprobación:

Enero 2020

Versión: 03

Página: 32 de 48

5.3 Tratamiento y Control de los riesgos de seguridad de la información












Fecha Aprobación:

Enero 2020

Versión: 03

Página: 33 de 48







5.3.7 Cartera






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 34 de 48

5.3.8 Captación


5.3.9 Colocación










Fecha Aprobación:

Enero 2020

Versión: 03

Página: 35 de 48









6 EVALUACION DE DESEMPEÑO





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 36 de 48

6.1

Seguimiento, Medición, Evaluación y Valoración de los elementos, políticas, herramientas, controles y metodología adoptada para la seguridad de la información


6.2

Auditoría Interna a los elementos, políticas, herramientas, controles y metodología adoptada para la seguridad de la información

*Oficina de Control, Evaluación y Seguimiento *Oficina de Tecnología de la Información y Comunicación - TIC

6.3

Elaboración de Informe Técnico de las actividades ejecutadas --- Listadas en los numerales 6.1 y 6.2


6.4

Revisión por la Dirección del Informe Técnico que contiene las conclusiones de los (2) elementos anteriores


7 CONTROLES DE SEGURIDAD DE LA INFORMACION





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 37 de 48

7.1 Contacto con Autoridades, Partes Interesadas y Grupos de Interés de la Entidad

*Oficina de Tecnología de la Información y Comunicación - TIC *Grupo de Trabajo de Planeación, Calidad y Desarrollo Institucional

7.2

Diseñar e Institucionalizar los Procedimientos, Metodologías, Controles y Herramientas de Seguridad de la Información que adoptará la Entidad


7.3 Levantamiento de Inventario de Activos de Información (Todos los Procesos Institucionales)








Fecha Aprobación:

Enero 2020

Versión: 03

Página: 38 de 48













Fecha Aprobación:

Enero 2020

Versión: 03

Página: 39 de 48



7.3.7 Cartera


7.3.8 Captación


7.3.9 Colocación






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 40 de 48













Fecha Aprobación:

Enero 2020

Versión: 03

Página: 41 de 48





7.4

Valoración de los Controles existentes e inherentes a los Riesgos de seguridad de la información (ver numeral 5.2)


7.5 Valoración de los Lineamientos de uso aceptable de Activos de Información


7.6 Valoración de la Política de control de acceso lógico (usuarios - contraseñas)


7.7 Valoración Procedimiento de custodia de contraseñas de usuarios privilegiados






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 42 de 48

7.8

Valoración de las Políticas Institucionales de la Seguridad de la Información / Seguridad Digital


8 SEGURIDAD FISICA

8.1

Valoración de la seguridad física y de entorno de las áreas seguras (Centro de datos INFIHUILA y de cableados en pisos)


8.2

Definición, Desarrollo e Institucionalización del Protocolo de Seguridad Institucional


8.3 Socialización Protocolo de Seguridad Institucional


8.4 Auditoría y Valoración del Protocolo de Seguridad Institucional

*Oficina de Tecnología de la Información y Comunicación - TIC *Oficina de Control, Evaluación y Seguimiento

8.5

Elaboración y Socialización Informe Técnico Anual Protocolo de Seguridad Institucional


9 SEGURIDAD DE LAS OPERACIONES





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 43 de 48

9.1

Documentar las actividades de operación tecnológica (toma de respaldo y restauración de información de servidores y de información de aplicaciones, gestión de cambios TI, gestión de capacidad)


9.2 Elaboración, Institucionalización y Socialización del Catálogo de Servicios Tecnológicos


10 SEGURIDAD DE LAS COMUNICACIONES

10.1

Definición, Elaboración e Institucionalización de las Políticas de Acceso seguro y uso adecuado del servicio de internet


10.2

Definición, Elaboración e Institucionalización de la Política de configuración y aseguramiento de conexión inalámbrica


10.3 Elaboración de la Solicitud de conexión clientes VPN


10.4 Socialización de las Políticas y Solicitud diseñada e institucionalizada


11 INCIDENTES DE SEGURIDAD DE LA INFORMACION





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 44 de 48

11.1

Diseño, Desarrollo e Institucionalización del modelo de gestión de incidentes de seguridad de la información

*Oficina de Tecnología de la Información y Comunicación - TIC *Grupo de Trabajo de Administración del Riesgo.

11.2 Auditoría al Modelo de Gestión de Incidentes de seguridad de la información


11.3 Evaluación y Valoración de Incidentes de Seguridad de la Información reportados


11.4

Elaboración del Plan de Acción y Tratamiento de los Incidentes de Seguridad de la Información reportados


11.5

Elaboración Informe Técnico Anual de Evaluación y valoración del Modelo de Gestión de Incidentes de Seguridad de la Información; y evaluación / valoración de los Incidentes reportados y su tratamiento.






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 45 de 48

11.6 Socialización y Revisión de Resultados del Informe Técnico por parte de la Alta Dirección


12 CONTINUIDAD DE NEGOCIO

12.1

Ejecución de actividades para el establecimiento del BIA (Business Impact Analysis de EL INFIHUILA)


12.2

Elaboración / Actualización del Plan Institucional de Contingencia y Continuidad del Negocio "PCCN"


12.2 Ejecución Prueba de Estrés en Sitio Alterno Local - Neiva (Huila)


12.3 Ejecución Prueba de Estrés en Sitio Alterno Remoto - Bogotá D.C.






Fecha Aprobación:

Enero 2020

Versión: 03

Página: 46 de 48

12.4 Levantamiento información y elaboración del Informe Técnico de las Pruebas de Estrés.


12.5.

Socialización y Revisión de Resultados BIA, PCCN, Pruebas de Estrés e Informe Técnico por parte de la Alta Dirección

Gerencia Consejo Directivo

13 CUMPLIMIENTO

13.1

Identificar y Actualizar legislación aplicable a seguridad y protección de la información --- Elaborar / Actualizar normograma institucional

*Oficina de Tecnología de la Información y Comunicación - TIC *Grupo de Trabajo de Administración del Riesgo. *Oficina Jurídica

13.2 Auditoría al Control de instalación de software no autorizado

*Oficina de Control, Evaluación y seguimiento. *Oficina de Tecnología de la Información y la Comunicación TICS





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 47 de 48

13.3 Socialización Auditoría al Control de instalación de software no autorizado

*Oficina de Control, Evaluación y seguimiento. *Oficina de Tecnología de la Información y la Comunicación TICS

14 CERTIFICACIÓN - ACREDITACIÓN ISO 27001

14.1

Radicación Solicitud / Visita posterior Auditoría al Sistema de Gestión de Seguridad de la Información - SGSI

Alta Dirección Institucional

14.2 Elaboración Plan de Mejoramiento Anual y Plan de Tratamiento de Riesgos de SI

*Oficina de Tecnología de la Información y Comunicación - TIC *Grupo de Trabajo de Administración del Riesgo. *Grupo de Planeación, Calidad y Desarrollo Institucional

14.3 Socialización del Plan de Mejoramiento Anual y Plan de Tratamiento de Riesgos de SI


ELABORÓ: DIANI LORENA BORRERO SANCHEZ Profesional de apoyo en gestión Tic - INFIHUILA

REVISÓ: DAMARIS FIGUEROA Profesional Gestión de Riesgos - INFIHUILA

APROBÓ: GERMAN DARIO RODRIGUEZ PARRA. Gerente - INFIHUILA

Fecha: 29/01/2020 Fecha: 30/01/2020 Fecha: 31/01/2020





Fecha Aprobación:

Enero 2020

Versión: 03

Página: 48 de 48

12. ELABORÓ, REVISÓ Y APROBÓ.

ELABORÓ REVISÓ APROBÓ

NOMBRE: Gestión Tics

NOMBRE: Gestión del Riesgo.

NOMBRE. Gerente

CARGO: Profesionales de apoyo

CARGO: Profesional Universitario

CARGO:

FECHA: 28/01/2020 FECHA: 29/01/2020 FECHA: 30/01/2020

PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y … de Tratamie… · actividades por desarrollar...

Documents

Transcript of PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y … de Tratamie… · actividades por desarrollar...