Академический Документы
Профессиональный Документы
Культура Документы
BOGOT D.C.
2017
1
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
TABLA DE CONTENIDO
1. OBJETIVO ........................................................................................................ 4
2. ALCANCE ......................................................................................................... 4
3. MBITO DE APLICACIN .............................................................................. 4
4. REQUISITOS DE CALIDAD APLICABLE ...................................................... 4
5. DEFINICIONES ................................................................................................. 4
6. VALORACIN DE RIESGOS EN EL CONTEXTO DE LA
SUPERINTENDENCIA NACIONAL DE SALUD ASOCIADOS A LOS ACTIVOS
DE INFORMACIN..................................................................................................... 8
6.1. Contexto de la Superintendencia Nacional de Salud................................. 8
6.2. Contexto Interno ............................................................................................. 9
6.3. Contexto con los Grupos de Inters .......................................................... 11
6.4. Comunicacin................................................................................................ 14
6.5. Contexto de Seguridad y Privacidad de la Informacin .......................... 15
7. RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN ....... 16
7.1. Definicin del Riesgo ................................................................................... 16
7.2. Riesgos de Seguridad Digital ...................................................................... 17
7.3. Riesgos de Privacidad.................................................................................. 18
7.4. Incidente de Seguridad de la Informacin ................................................. 18
7.5. Factores de Riesgo ....................................................................................... 19
8. METODOLOGA DE ANLISIS DE RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIN PARA LA SUPERINTENDENCIA
NACIONAL DE SALUD ............................................................................................ 19
8.1. Metodologa de Valoracin del Activo y Anlisis de Riesgos de
Seguridad de la Informacin ................................................................................. 19
2
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
3
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
1. OBJETIVO
2. ALCANCE
3. MBITO DE APLICACIN
5. DEFINICIONES
6.
4
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
Para una mejor comprensin de la presente Gua Metodolgica, se toman como referencia
los trminos y definiciones establecidos en la Norma ISO 27000, Norma ISO 27005, Norma
ISO 31000 y la Gua Prctica para la consolidacin del componente de administracin de
riesgos ASGU03 del Proceso de Administracin del Sistema Integrado de Gestin de la
Superintendencia Nacional de Salud:
La informacin debe ser accedida slo por aquellas personas que lo requieran como una
necesidad legtima para la realizacin de sus funciones. La revelacin no autorizada de la
5
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel
de riesgo asumido. Control es tambin utilizado como sinnimo de salvaguarda o
contramedida. En una definicin ms simple, es una medida que modifica el riesgo.
Declaracin de aplicabilidad: Documento que enumera los controles aplicados por el
SGSI de la organizacin tras el resultado de los procesos de evaluacin y tratamiento de
riesgos y su justificacin, as como la justificacin de las exclusiones de controles del anexo
A de la norma tcnica ISO 27001:2013.
Disponibilidad: Propiedad de la informacin de estar accesible y utilizable cuando lo
requiera una entidad autorizada.
6
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
Impacto: El coste para la empresa de un incidente de la escala que sea, que puede o no
ser medido en trminos estrictamente financieros: prdida de reputacin, implicaciones
legales, etc.
Inventario de Activos: Lista de todos aquellos recursos (fsicos, de informacin, software,
documentos, servicios, personas, intangibles, etc.) dentro del alcance del SGSI, que tengan
valor para la organizacin y necesiten por tanto ser protegidos de potenciales riesgos.
Incidente de seguridad de la informacin: Un evento o serie de eventos de seguridad de
la informacin no deseados o inesperados, que tienen una probabilidad significativa de
comprometer las operaciones del negocio y amenazar la seguridad de la informacin.
Integridad: Propiedad de la informacin relativa a su exactitud y completitud.
Plan de tratamiento de riesgos: Documento que define las acciones para gestionar los
riesgos de seguridad de la informacin inaceptables e implantar los controles necesarios
para proteger la misma.
Probabilidad: Medida para estimar la ocurrencia del riesgo.
Propietario del riesgo: Persona o entidad con responsabilidad y autoridad para gestionar
un riesgo.
Recursos de tratamiento de la informacin: Cualquier sistema, servicio o infraestructura
de tratamiento de informacin o ubicaciones fsicas utilizadas para su alojamiento.
Responsable de Seguridad Informtica: En la Superintendencia Nacional de Salud el
comit de seguridad de la informacin ser el grupo encargado de realizar el seguimiento
y monitoreo al Subsistema de Gestin de la Seguridad de la informacin (SGSI).
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una prdida o dao en un activo de informacin. Suele considerarse como una
combinacin de la probabilidad de un evento y sus consecuencias.
7
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
8
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
Servicios:
Proteccin al usuario y participacin ciudadana.
Administracin de Justicia y Resolucin de conflictos dentro del Sistema
General de Seguridad Social en Salud SGSSS.
Vigilancia a sujetos vigilados del Sistema General de Seguridad Social en
Salud SGSSS.
Inspeccin a sujetos vigilados del Sistema General de Seguridad Social en
Salud SGSSS.
Control a sujetos vigilados del Sistema General de Seguridad Social en Salud
SGSSS.
9
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
10
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
11
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
12
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
Vigilados:
Requisitos en Subsistema de Seguridad de la Informacin: Se haga un
Inspeccin, Vigilancia y Control conforme lo establecido por las normas.
Expectativas en Subsistema de Seguridad de la Informacin: Se realicen
auditoras, seguimientos, solicitud de informacin por medio de Circular nica.
13
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
6.4. Comunicacin
A medida que se desarrollan las acciones del proceso de Anlisis de Riesgos de Seguridad
y Privacidad de la Informacin, la comunicacin se realiza para mantener informada a la
direccin, la o las dependencias involucradas con la gestin del riesgo y el equipo o grupo
14
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
15
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
2 Gua para la Administracin del Riesgo del Departamento Administrativo de la Funcin Pblica
(DAFP).
3 Modelo Estndar de Control Interno (MECI)
4 Procedimiento de Administracin de Riesgos ASPD03 de la Superintendencia Nacional de Salud,
16
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
17
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
Riesgos que afectan a las personas cuyos datos son tratados y que se concreta en la
posible violacin de sus derechos, la prdida de informacin necesaria o el dao causado
por una utilizacin ilcita o fraudulenta de los mismos. Como riesgo tipificado se cuenta con
el siguiente:
18
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
La Superintendencia Nacional de Salud utiliza una metodologa para valorar los riesgos de
la Seguridad de la Informacin, basado en el Sistema de Gestin de Riesgos ya establecido
en la entidad. La presente Gua Metodolgica y la Matriz de Valoracin de Activos y Anlisis
de Riesgos de Seguridad de la Informacin, contribuyen al Sistema Integrado de Gestin
abarcando los siguientes aspectos:
19
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
TIPO DE
DESCRIPCIN
ACTIVOS
Datos importantes o vitales para la Administracin de la Entidad: Aquellos
que son esenciales, imprescindibles para la continuidad de la entidad; es decir
que su carencia o dao afectara directamente a la entidad, permitira
reconstruir las misiones crticas o que sustancian la naturaleza legal de la
organizacin o de sus usuarios.
20
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
21
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
Criterio Valor
Crtico =5
Alto =3y<5
Medio =1y<3
Bajo =0y<1
Tabla # 2 Criterios
22
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
23
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
24
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
25
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
Figura # 2 Mapa de Calor para la Representacin de los niveles de Riesgo por Zonas
Zona de
Asumir el Riesgo: Riesgos para los cuales se determina que el nivel
Riesgo
de exposicin es adecuado y por lo tanto se acepta.
Aceptable
Zona de Mitigar el Riesgo: Riesgos que se puede permitir gestionar, que en
Riesgo caso de materializacin la entidad se encuentra en la capacidad de
Tolerable asumirlo.
Zona de
Mitigar o Evitar el Riesgo: Riesgos para los cuales se requiere
Riesgo
fortalecer los controles existentes y/o agregar nuevos controles.
Moderado
26
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
27
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
29
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
ACTIVIDADES DE
Acciones encaminadas a lograr el tratamiento propuesto.
TRATAMIENTO
Quien debe liderar la ejecucin y seguimiento de las actividades de
RESPONSABLE
TRATAMIENTO DE tratamiento.
RIESGOS DE Quien acompaa la ejecucin y seguimiento de las actividades de
RESPONSABLES ADICIONALES
SEGURIDAD Y tratamiento.
PRIVACIDAD DE LA Recursos necesarios o propuestos para la implementacin de las
INFORMACIN RECURSOS TCNICOS Actividades de Tratamiento y que estn integrados a la adecuacin
de los Controles de Seguridad de la Informacin.
Recursos procedimentales y guas requeridas, que apoyan y
RECURSOS DOCUMENTALES documentan las acciones y actividades de tratamiento de los
riesgos de seguridad.
A5 Poltica de seguridad
A6 Organizacin de la seguridad de la informacin
A7 Seguridad ligada a los recursos humanos
A8 Gestin de activos
A9 Control de acceso
A10 Criptografa
Anexo A A11 Seguridad fsica y del entorno
Controles de Referencia A12 Seguridad de las operaciones
ISO 27002:2013 A13 Seguridad de las comunicaciones
A14 Adquisicin, desarrollo y mantenimiento de sistemas
A15 Relaciones con los proveedores
A16 Gestin de incidentes de seguridad de la informacin
Aspectos de seguridad de la informacin de la gestin de
A17
continuidad de negocio
A18 Cumplimiento
30
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
para revisar que las acciones se estn llevando a cabo y evaluar la eficiencia en su
implementacin adelantando verificaciones al menos una vez al ao o cuando sea
necesario, evidenciando todas aquellas situaciones o factores que pueden estar influyendo
en la aplicacin de las acciones de tratamiento.
31
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
CONTROL DE CAMBIOS
ASPECTOS
RESPONSABL
QUE FECHA DEL
DETALLES DE LOS CAMBIOS E DE LA
CAMBIARON CAMBIO VERSIN
EFECTUADOS SOLICITUD
EN EL DD/MM/AAAA
DEL CAMBIO
DOCUMENTO
Se aprob el presente documento, Jefe Oficina de
Adopcin del
mediante memorando 3-2016- Tecnologas de 29/06/2016 1
documento
012489 la Informacin
Se agrega acciones que se
debern realizar como parte del
tratamiento del riesgo mediante Jefe de la
Ajuste del requerimiento NURC:3-2016- Oficina de
21/10/2016 2
documento 019200 Tecnologas de
la Informacin
Se aprueba el cambio mediante
NURC: 3-2016-019444
Se ajusta la metodologa de
anlisis, agregando conceptos
que permiten tipificar los riesgos
de seguridad y privacidad, se
incluye la valoracin de controles
Jefe de la
existentes para la reduccin o
Ajuste del Oficina de
mitigacin del riesgo inherente y 14/03/2017 3
documento Tecnologas de
se ajustan las acciones de
la Informacin
implementacin de actividades de
tratamiento del riesgo.
32
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
33