Академический Документы
Профессиональный Документы
Культура Документы
BOGOT D.C.
2017
1
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
TABLA DE CONTENIDO
1. OBJETIVO ............................................................................................................ 4
2. ALCANCE ............................................................................................................ 4
3. MBITO DE APLICACIN .................................................................................. 4
4. REQUISITOS DE CALIDAD APLICABLE.......................................................... 4
5. DEFINICIONES .................................................................................................... 5
6. VALORACIN DE RIESGOS EN EL CONTEXTO DE LA
SUPERINTENDENCIA NACIONAL DE SALUD ASOCIADOS A LOS ACTIVOS
DE INFORMACIN..................................................................................................... 8
6.1. Contexto de la Superintendencia Nacional de Salud................................. 8
6.2. Contexto Interno ............................................................................................. 8
6.3. Contexto con los Grupos de Inters .......................................................... 10
6.4. Comunicacin................................................................................................ 13
6.5. Contexto de Seguridad y Privacidad de la Informacin .......................... 13
7. RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN ........... 14
7.1. Definicin del Riesgo ................................................................................... 14
7.2. Riesgos de Seguridad Digital ...................................................................... 15
7.3. Riesgos de Privacidad.................................................................................. 16
7.4. Incidente de Seguridad de la Informacin ................................................. 16
7.5. Identificacin de los Riesgos ...................................................................... 16
7.6. Factores de Riesgo ....................................................................................... 16
8. METODOLOGA DE ANLISIS DE RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIN PARA LA SUPERINTENDENCIA
NACIONAL DE SALUD ............................................................................................ 17
8.1. Metodologa de Valoracin del Activo y Anlisis de Riesgos de
Seguridad de la Informacin ................................................................................. 17
2
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
3
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
1. OBJETIVO
2. ALCANCE
3. MBITO DE APLICACIN
1
Debe tenerse en cuenta el ltimo versionamiento para trabajar
4
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
5. DEFINICIONES
5
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
6
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
7
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
8
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
9
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
10
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
Proveedores:
Requisitos en Subsistema de Seguridad de la Informacin: Cumplir con los
acuerdos contractuales.
Expectativas en Subsistema de Seguridad de la Informacin: Garantizar la
disponibilidad de los sistemas de informacin para poder cumplir con el objeto
contractual estipulado.
Vigilados:
Requisitos en Subsistema de Seguridad de la Informacin: Se haga un
Inspeccin, Vigilancia y Control conforme lo establecido por las normas.
11
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
12
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
6.4. Comunicacin
13
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
2
Ministerio de Tecnologas de la Informacin y de las Comunicaciones (MINTIC).
3
Gua para la Administracin del Riesgo del Departamento Administrativo de la Funcin Pblica (DAFP).
4
Modelo Estndar de Control Interno (MECI)
5
Procedimiento de Administracin de Riesgos ASPD03 de la Superintendencia Nacional de Salud
6
Departamento Nacional de Planeacin. CONPES 3854
14
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
7
Departamento Nacional de Planeacin. CONPES 3854, pg 24.
15
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
Riesgos que afectan a las personas cuyos datos son tratados y que se concreta en
la posible violacin de sus derechos, la prdida de informacin necesaria o el dao
causado por una utilizacin ilcita o fraudulenta de los mismos. Como riesgo
tipificado se cuenta con lo siguiente:
Los riesgos sern identificados de acuerdo a las tres iniciales del nombre del
proceso, seguido de la letra R y el nmero consecutivo.
16
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
17
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
Medios fsicos, destinados a soportar directa o indirectamente los servicios que presta la
entidad, siendo depositarios temporales o permanentes de los datos, soporte de
ejecucin de las aplicaciones informticas o responsables del procesado o la transmisin
de datos.
Hardware /
Infraestructura Ejemplo: Servidores (host), Equipos de Escritorio (Pc), Equipos Porttiles (Laptop), Dispositivos
Mviles, Equipos de Respaldo, Perifricos, Dispositivos Criptogrficos, Dispositivos Biomtricos,
Servidores de Impresin, Impresoras, Escneres, Equipos Virtuales (vhost), Soporte de la Red
(Network), Mdems, Concentradores, Conmutadores (switch), Encaminadores (router),
Pasarelas (bridge), Firewall, Central Telefnica, Telefona IP, Access Point.
Que gestionan, analizan y transforman los datos permitiendo la explotacin de la
informacin para la prestacin de los servicios.
Software /
Ejemplo: Desarrollo Inhouse, Desarrollo Subcontratado, Estndar, Navegador, Servidor de
Aplicaciones
Presentacin (www), Servidor de Aplicaciones (app), Cliente de Correo Electrnico, Servidor de
Informticas
Correo Electrnico, Servidor de Ficheros (file), Sistemas de Gestin de Bases de Datos (dbms),
Monitor Transaccional, Ofimtica, Antivirus, Sistema Operativo (OS), Servidor de Terminales,
Sistema de Backup o Respaldo, Gestor de Mquinas Virtuales.
Funciones que permiten suplir una necesidad de los usuarios (del servicio).
18
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
19
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
20
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
21
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
SEGURIDAD Y PRIVACIDAD DE
NIVEL CONCEPTO DESCRIPCIN
LA INFORMACIN
Si el hecho llegara a presentarse tendra consecuencias o
1 Insignificante Afecta a una actividad del proceso.
efectos mnimos sobre la organizacin
Afecta a un grupo de trabajo, a una
Si el hecho llegara a presentarse, tendra bajo impacto o
2 Menor persona, grupo de personas o
efecto sobre la organizacin.
algunas actividades del proceso.
22
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
SEGURIDAD Y PRIVACIDAD DE
NIVEL CONCEPTO DESCRIPCIN
LA INFORMACIN
Si el hecho llegara a presentarse tendra medianas Afecta un conjunto de datos
3 Moderado
consecuencias o efectos sobre la organizacin. personales o el proceso.
Afecta varios conjuntos de datos
Si el hecho llegara a presentarse tendra altas
4 Mayor personales o procesos de la
consecuencias o efectos sobre la organizacin.
organizacin.
Afecta toda la organizacin. Multas
Si el hecho llegara a presentarse tendra desastrosas por incumplimiento de la Legislacin.
5 Catastrfico
consecuencias o efectos sobre la organizacin. Suspensin de las actividades
misionales de la organizacin.
Tabla # 4 Valoracin del Impacto
23
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
Figura # 2 Mapa de Calor para la Representacin de los niveles de Riesgo por Zonas
Zona de Riesgo Asumir el Riesgo: Riesgos para los cuales se determina que el nivel de exposicin es adecuado
Aceptable y por lo tanto se acepta.
Zona de Riesgo Mitigar el Riesgo: Riesgos que se puede permitir gestionar, que en caso de materializacin la
Tolerable entidad se encuentra en la capacidad de asumirlo.
Zona de Riesgo Mitigar o Evitar el Riesgo: Riesgos para los cuales se requiere fortalecer los controles existentes
Moderado y/o agregar nuevos controles.
Zona de Riesgo Mitigar o Evitar el Riesgo: Implementacin de controles adicionales como parte del
Importante fortalecimiento de los actuales o como resultado de haberlo compartido o transferido.
Zona de Riesgo Evitar el Riesgo: Se requiere de acciones inmediatas que permitan reducir la probabilidad y el
Inaceptable impacto de materializacin.
Tabla # 6 Zona de Riesgo
24
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
25
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
26
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
27
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
28
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
8
Procedimiento de Administracin de Riesgos ASPD03 de la Superintendencia Nacional de Salud,
29
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
CONTROL DE CAMBIOS
ASPECTOS
RESPONSABL
QUE FECHA DEL
DETALLES DE LOS CAMBIOS E DE LA
CAMBIARON CAMBIO VERSIN
EFECTUADOS SOLICITUD
EN EL DD/MM/AAAA
DEL CAMBIO
DOCUMENTO
Se aprob el presente documento, Jefe Oficina de
Adopcin del
mediante memorando 3-2016- Tecnologas de 29/06/2016 1
documento
012489 la Informacin
Se agrega acciones que se
debern realizar como parte del
tratamiento del riesgo mediante Jefe de la
Ajuste del requerimiento NURC:3-2016- Oficina de
21/10/2016 2
documento 019200 Tecnologas de
la Informacin
Se aprueba el cambio mediante
NURC: 3-2016-019444
Se ajusta la metodologa de
anlisis, agregando conceptos
que permiten tipificar los riesgos
de seguridad y privacidad, se
incluye la valoracin de controles
Jefe de la
existentes para la reduccin o
Ajuste del Oficina de
mitigacin del riesgo inherente y 14/03/2017 3
documento Tecnologas de
se ajustan las acciones de
la Informacin
implementacin de actividades de
tratamiento del riesgo.
30
ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05
INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
acciones de implementacin de
actividades de tratamiento del
riesgo.
31