Reto: Plan de tratamiento de riesgos...Reto 4 - Desarrollo de servicios web que cumplen con el...
Transcript of Reto: Plan de tratamiento de riesgos...Reto 4 - Desarrollo de servicios web que cumplen con el...
Reto: Plan de tratamiento de riesgos
Gobierno Digital
Ministerio de las Tecnologías de la Información y las Comunicaciones
Para tener en cuenta…
Gobierno de seguridad de la Información• Formulación de política
institucional
Identificación Y Gestión de Activos• Valoración de Activos• Priorización de Activos
Gestión de los Riesgos de Seguridad Digital• Identificación de amenazas y
vulnerabilidades• Análisis/Valoración del Riesgo• Tratamiento del Riesgo
PASO 1
PASO 2
PASO 3
GOBERNANZA+PLANEACIÓN+ASEGURAMIENTO
Fórmula 3
• Documento que evidencie que la alta dirección aprueba el plan de tratamiento de riesgos de seguridad digital, con plazos y responsables en 2019.
Fórmula 2
• Documento que evidencie que la alta dirección aprueba el plan de tratamiento de riesgos de seguridad digital, con plazos y responsables en 2019.
• Documento con el (los) Indicadores definidos para el tratamiento de riesgos incluidos en el plan de acción de la entidad.
Fórmula 1
• Documento que evidencie que la alta dirección aprueba el plan de tratamiento de riesgos de seguridad digital, con plazos y responsables en 2019.
•Documento con el (los) Indicadores definidos para el tratamiento de riesgos incluidos en el plan de acción de la entidad.
• Seguimiento al plan de tratamiento de riesgos de acuerdo a lo definido en el cronograma establecido.
DESCRIPCIÓN Y ALCANCE DEL RETO PROPUESTO
¿Por qué es importante el plan de tratamiento de riesgos?
Para que una Entidad sepa a qué riesgos se enfrenta en cuanto a Seguridad y Privacidad de la Información, debe
construir el plan de tratamiento de riesgos.
Que le permita tener la capacidades para detectar y responder de forma eficaz las brechas e intrusiones de seguridad de la información, ante los ataques mediante los cuales puedan
llegar a sustraer datos sensibles, tanto dentro como fuera de la Entidad.
¿Qué debemos de tener en cuenta para la construcción del plan?
• Política de riesgos de la Entidad• Controles de anexo A del MSPI• Metodología para la gestión de riesgos
(Guía para la administración del riesgo y el diseño de controles en entidades públicas - riesgos de gestión, corrupción y seguridad digital)
CONTEXTO DEL
PROCESO
DISEÑO DEL PROCESO: Claridad en la descripción del alcance y objetivo del proceso.
INTERACCIONES CON OTROS PROCESOS: Relación precisa con otros procesosen cuanto a insumos, proveedores, productos, usuarios o clientes.
TRANSVERSALIDAD: Procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad.
PROCEDIMIENTOS ASOCIADOS: Pertinencia en los procedimientos que desarrollan los procesos.
RESPONSABLES DEL PROCESO: Grado de autoridad y responsabilidad de los funcionarios frente al proceso.
COMUNICACIÓN ENTRE LOS PROCESOS: Efectividad en los flujos de información determinados en la interacción de los procesos.
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO: Información, aplicaciones, hardware entre otros, que se deben proteger para garantizar el funcionamiento interno de cada proceso, como de cara al ciudadano.
Declaración de la Dirección y las intenciones generalesde una organización con respecto a la gestión delriesgo, (NTC ISO31000 Numeral 2.4). La gestión oAdministración del riesgo establece lineamientosprecisos acerca del tratamiento, manejo y seguimientoa los riesgos.
IDENTIFICACIÓN DEL CONTEXTO
Tabla ilustrativa 1 - Factores para cada categoría del contexto
Incorporar Anexo 4 Lineamientos para la gestión del riesgo de seguridad digital.
Frente a los Riesgos de Seguridad Digital
POLÍTICA INSTITUCIONAL DE RIESGOS
PASO 1
PASO 1.1
2.1.3 ESTABLECIMIENTO DEL CONTEXTO DEL PROCESO
Se determinan las características o aspectos
esenciales del proceso y sus interrelaciones.
Se pueden considerar factores como:
Objetivo del procesoAlcance del procesoInterrelación con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
GESTIÓN DEL RIESGO
NO Riesgo Activo Tipo Amenazas Vulnerabilidades
Pro
bab
ilidad
Impac
to
RiesgoInherente
Opci
ón
trat
amie
nto
Actividad de Control Soporte
Res
ponsa
ble
Tiempo
Pér
did
a de
la in
tegr
idad
Bas
e de
Dat
os
de
Nóm
ina
Seg
uridad
Dig
ital
Ausencia de políticas de control de
acceso.
Pro
bab
le
May
or
Ext
rem
a
ReducirA.9.1.1 Política de control
de acceso Política creada y comunicada
Oficina TI Tercer trimestre de
2018
1
Modificación no
autorizada
Contraseñas sin
protección Reducir
A.9.4.3 Sistema de gestión de contraseñas
Procedimientos para la gestión y protección de contraseñas
Oficina TITercer
trimestre de 2018
Ausencia de mecanismos de identificación y autenticación de usuarios
ReducirA 9.4.2 Procedimiento de
ingreso seguro
Procedimiento para ingreso
seguroOficina TI
Cuarto trimestre de
2018
Ausencia de bloqueo
de sesiónReducir
A.11.2.8 Equipos deusuario desatendidos
Configuracionespara bloqueo automático de
sesiónOficina TI
Cuarto Trimestre de
2018
Formato Mapa y Plan de Tratamiento de Riesgos
Reto: Gestión de Incidentes
Gobierno Digital
Ministerio de las Tecnologías de la Información y las Comunicaciones
Fórmula 3
•Adopción de la Gestión de la Entidad donde evidencie la gestión de incidentes de seguridad de la información
Fórmula 2
•Adopción de la Gestión de la Entidad donde evidencie la gestión de incidentes de seguridad de la información
•Reporte de incidentes de seguridad de la información de la vigencia anterior (2018) y durante la vigencia del concurso.
Fórmula 1
•Adopción de la Gestión de la Entidad donde evidencie la gestión de incidentes de seguridad de la información
•Reporte de incidentes de seguridad de la información de la vigencia anterior (2018) y durante la vigencia del concurso.
•Medición de la gestión de incidentes.
DESCRIPCIÓN Y ALCANCE DEL RETO PROPUESTO
¿Qué debemos de tener en cuenta para la construcción del plan?
• Política de Seguridad y Privacidad de la Información
• Guía para la Gestión y Clasificación• de Incidentes de Seguridad de la• Información.
Indicadores de seguimiento y evaluación de la política de Gobierno Digital
Reto - Máxima Velocidad
Reto
• Fórmula 1: medir el nivel de ahorro en tiempo y dinero para los usuarios de los tres (3) trámites o servicios digitales de mayor demanda.
• Fórmula 2: medir el nivel de ahorro en tiempo y dinero para los usuarios de los dos (2) trámites o servicios digitales de mayor demanda.
• Fórmula 3: medir el nivel de ahorro en tiempo y dinero para los usuarios del trámite o servicio digital de mayor demanda.
Descripción del reto
• Nombre del trámite o servicio
• Descripción del trámite o servicio
• Enlace del trámite o servicio
• Tiempo promedio para el usuario (en horas)
• Costo promedio para el usuario (en pesos)
• Tasa de uso digital vs presencial
• Fuentes de información
Pasos a seguir
• Identificar las actividades que un usuario debe llevar a cabo en cada paso (acceso, solicitud, resolución y resultado) para obtener los resultados esperados del trámite, presencialmente y en línea
• Cuantificar el costo de cada paso para el usuario a partir de las actividades requeridas, presencialmente y en línea
• Cuantificar el tiempo de cada paso para el usuario a partir de las actividades requeridas, presencialmente y en línea
• Diligenciar ficha de medición – ahorro por trámites y servicios digitales
Entregables
• Ficha de medición – ahorro por trámites y servicios digitales: http://maximavelocidad.gov.co/710/w3-article-100291.html
• Documento de máximo 10 páginas con metodología implementada para medir el tiempo y costo de los trámites o servicios para los usuarios
Herramientas
• Manual de gobierno digital:http://www.gobiernodigital.gov.co/623/articles-81473_recurso_1.pdf
• Guía técnica de integración de trámites y servicios a GOV.CO: http://estrategia.gobiernoenlinea.gov.co/623/articles-100309_guia_integracion.pdf
Gobierno Digital
Arquitectura e Interoperabilidad Máxima velocidad 2019
Reto 11Utilización de herramientas e instrumentos para el seguimiento y control de iniciativas, proyectos y gestión de TI
ObjetivoLa entidad cuenta con lista de indicadores con ficha técnica documentada, evidenciando la utilización de los indicadores mediante una herramienta de tablero. La Entidad debe relacionar los indicadores contra las fichas de los proyectos de inversión de TI
Gran premio de transformación
12
3
4
5
6
7
89
10
11
12
13
14
15
Gran premio de transformación
http://maximavelocidad.gov.co/710/w3-article-100278.html
Reto 4Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información
Objetivo
Facilitar el entendimiento de los involucrados en los procesos de intercambio de información.
Gran premio de transformación
Gran premio de transformación
12
3
4
5
6
7
89
10
11
12
13
14
15
http://maximavelocidad.gov.co/710/w3-article-100282.html
Reto 4 - Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información
La entidad identifica la información que desea publicar ointercambiar y garantiza el uso del estándar de lenguajecomún en el nivel 1 del dominio semántico del Marco deinteroperabilidad del Estado.
La entidad usa el estándar de lenguaje común deintercambio de información en al menos dos de susservicios de intercambio de información.
Todos los servicios de intercambio de informacióndesarrollados por la entidad se encuentran activos en elcatálogo de servicios y cumplen con el estándar delenguaje común.
¿Qué es la Interoperabilidad?El ejercicio de colaboración entre organizaciones paraintercambiar información y conocimiento en el marco desus procesos de negocio, con el propósito de facilitar laentrega de servicios en línea a ciudadanos, empresas yotra entidades.
• Agiliza los trámites y servicios digitales• Facilita la participación de los ciudadanos con apoyo de
las TI• Consolida un Estado transparente y coordinado• Afianza la gobernabilidad y confianza en el Estado, con
base en la tecnología al servicio de los ciudadanos.• Reduce los costos y tiempos de respuesta al ciudadano.• Facilita a los ciudadanos la gestión de trámites y
servicios con el Estado.
¿Cómo beneficia los ciudadanos?
Reto 4 - Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información
Lenguaje Común de
Intercambio de
Información
http://lenguaje.mintic.gov.co/
Dominios del Marco de InteroperabilidadNivel 3 todos los servicios de intercambio de información activos en el catálogo de servicios deben encontrarse utilizando el lenguaje común de intercambio de información.
Nivel 2 la entidad debe usar de forma correcta el lenguaje común de intercambio de información en al menos uno de los servicios activos en el catálogo de servicio.
Nivel 1 la entidad debe identificar el conjunto de elementos de dato particulares al negocio que requiere intercambiar, validar si existen en el lenguaje común de intercambio de información, Si no existen debe ejecutar el proceso de conceptualización
Reto 4 - Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información
Entregable Condiciones FórmulaNotificaciones de cumplimiento en el nivel 1 del dominio semántico del marco de interoperabilidad.
Que por lo menos dos servicios web de la entidad cumplan con el primer nivel de madurez del marco de interoperabilidad, durante el periodo de los retos de máxima velocidad
Notificaciones de cumplimiento en los niveles 1 y 2 para cada uno de los servicios web de la entidad.
Que por lo menos dos servicios web de la entidad cumplan con el primer y segundo nivel de madurez del marco de interoperabilidad.
Notificaciones de cumplimiento en los niveles 1 2 y 3 para cada uno de los servicios web de la entidad.
Que los servicios web de la entidad cumplan con el tercer nivel de madurez del dominio semántico del marco de interoperabilidad y estos se encuentren publicados en el directorio de servicios de intercambio de información.
Reto 4 - Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información
2019Ministerio de Tecnologías de la Información y las ComunicacionesTel:+57(1) 344 34 60Edif. Murillo Toro Cra. 8a entre calles 12 y 13, Bogotá, Colombia - Código Postal 111711www.mintic.gov.co
2019Ministerio de Tecnologías de la Información y las ComunicacionesTel:+57(1) 344 34 60Edif. Murillo Toro Cra. 8a entre calles 12 y 13, Bogotá, Colombia - Código Postal 111711www.mintic.gov.co