VULNERAVILIDADES Y RIESGOS DE 
LA INFORMACIÓN ALCALDÍA 
MUNICIPAL DE SANTA ROSA DEL 
SUR 
LEYDY JOHANA VARGAS SOLER 
Alcal...
METODOLOGÍA EMPLEADA PARA LA IDENTIFICACIÓN 
DE VULNERABILIDADES Y RIESGOS DE LA 
INFORMACIÓN 
Metodología utilizada para ...
Criterio para la aceptación de riesgos e 
identificación de niveles de riesgos aceptables 
Los criterios para la aceptació...
Criterio para la aceptación de riesgos e 
identificación de niveles de riesgos aceptables 
2. Identificación de niveles de...
CONTEXTO ESTRATÉGICO. 
Proceso Gestión de la Información y Recursos tecnológicos 
Alcaldía Municipal Santa Ros del Sur-Bol...
IDENTIFICACIÓN DE RIESGOS 
Proceso Gestión de la Información y Recursos tecnológicos 
Alcaldía Municipal Santa Ros del Sur...
ANALISIS DE RIESGOS 
Proceso Gestión de la Información y Recursos tecnológicos 
Alcaldía Municipal Santa Ros del Sur-Bolív...
VALORACIÓN DEL RIESGO 
Proceso Gestión de la Información y Recursos tecnológicos 
Alcaldía Municipal Santa Ros del Sur-Bol...
PLAN DE MANEJO 
Proceso Gestión de la Información y Recursos tecnológicos 
Alcaldía Municipal Santa Ros del Sur-Bolívar 
R...
Próxima SlideShare
Cargando en…5
×

Vulneravilidades y riesgos de la información

125 visualizaciones

Publicado el

Identificación de vulnerabilidades y riesgos

Publicado en: Educación
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
125
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
1
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Vulneravilidades y riesgos de la información

  1. 1. VULNERAVILIDADES Y RIESGOS DE LA INFORMACIÓN ALCALDÍA MUNICIPAL DE SANTA ROSA DEL SUR LEYDY JOHANA VARGAS SOLER Alcaldía Municipal de Santa Rosa del Sur-Bolívar. Curso : Seguridad de a información- MinTIC 2014
  2. 2. METODOLOGÍA EMPLEADA PARA LA IDENTIFICACIÓN DE VULNERABILIDADES Y RIESGOS DE LA INFORMACIÓN Metodología utilizada para la identificación, análisis y valoración de las vulnerabilidades y riesgos de información de la Alcaldía Municipal de Santa Rosa del Sur, ha sido la establecida por el Departamento Administrativo de la Función Pública en la Guía Administración del riesgo.
  3. 3. Criterio para la aceptación de riesgos e identificación de niveles de riesgos aceptables Los criterios para la aceptación de riesgos e identificación de niveles de riesgo aceptable están definidos en la Guía para Administración de Riesgos de la entidad, Versión 2 de 17 de octubre del 2014 aprobada por el Comité Sistema de Gestión Integrado de la entidad y son los siguientes: 1. Criterio de aceptación del riesgo: el riesgo se asume o acepta, si el riesgo se ubica en la Zona de Riesgo baja, por lo cual permite a la entidad asumirlo y se mantendrán las Medidas de Control que se posee, ya que la materialización de este tipo de riesgos, no representa un peligro elevado para la entidad, o partes interesadas.
  4. 4. Criterio para la aceptación de riesgos e identificación de niveles de riesgos aceptables 2. Identificación de niveles de riesgo aceptable: Para la identificación de nivele de riesgo aceptable se tiene en cuenta la tabla de calificación del riesgo así: FRECUENCIA VALOR ZONA DE RIESGO Casi seguro 5 Zona de riesgo alta Zona de riesgo alta Zona de Riesgo extrema Zona de Riesgo extrema Zona de Riesgo extrema Probable 4 Zona de riego Moderada Zona de riesgo alta Zona de riesgo alta Zona de Riesgo extrema Zona de Riesgo extrema Posible 3 Zona de riesgo baja Zona de riego Moderada Zona de riesgo alta Zona de Riesgo extrema Zona de Riesgo extrema Improbable 2 Zona de riesgo baja Zona de riesgo baja Zona de riego Moderada Zona de riesgo alta Zona de Riesgo extrema Raro 1 Zona de riesgo baja Zona de riesgo baja Zona de riego Moderada Zona de riesgo alta Zona de riesgo alta IMPACTO Insignificante Menor Moderado Mayor Catastrófico VALOR 1 2 3 4 5
  5. 5. CONTEXTO ESTRATÉGICO. Proceso Gestión de la Información y Recursos tecnológicos Alcaldía Municipal Santa Ros del Sur-Bolívar PROCESO Gestión de la Información y Recursos técnologicos OBJETIVO DEL PROCESO Planificar y Administrar las Tecnologías de información y la Gestión documental, asegurando la disponibilidad, continuidad y seguridad de la plataforma tecnológica y garantizando la preservación y disponibilidad de la información de acuerdo a la legislación vigente. PROCEDIMIENTOS ASOCIADOS Soporte técnico, Desarrollo de software, Implementación de tecnologías, Administración de sistemas, Correspondencia enviada, correspondencia recibida, Control de documentos, Control de registros. CAUSA RIESGO CONSECUENCIAS INTERNO EXTERNO Puede suceder … Lo que podria ocacionar... Factor de Riesgo Debilidad (Debido a…) Factor de Riesgo Amenaza (Debido a..) Personal Uso indebido de medios de almacenamiento externos. Los funcionarios de la entidad no realizan la devolución de los documentos prestados. No aplicación de las normas de archivo. No tener creados los usuarios ni definidos los perfiles asignados a los mismos. No aplicación de políticas de seguridad informática. Tecnológicos Falta de controles en el acceso a paginas no autorizadas de Internet. Programa de antivirus no instalados o actualizados en los equipos. Correos electrónicos con archivos maliciosos. Pérdida de información documental Daños en el software y /o Hardware. Inestabilidad y mal funcionamiento de los equipos. Interrupción en la prestación del servicio. Investigaciones disciplinarias Personal Presión, amenaza por parte de los interesados a un funcionario o servidor público. No aplicación de controles de acceso al los sistemas de información y archivo fisico. Presión, amenaza por parte de los interesados a un funcionario o servidor público. Manipulación o adulteración de la información Pérdida de información. Investigaciones disciplinarias. Imposición de sanciones disciplinarias y fiscales. Destitución del cargo. Perdida de imagen institucional.
  6. 6. IDENTIFICACIÓN DE RIESGOS Proceso Gestión de la Información y Recursos tecnológicos Alcaldía Municipal Santa Ros del Sur-Bolívar RIESGO CLASIFICACIÓN CAUSA DESCRIPCIÓN EFECTOS (Posibles Consecuencias) Pérdida de información documental Operativo Uso indebido de medios de almacenamiento externos. Los funcionarios de la entidad no realizan la devolución de los documentos prestados. No aplicación de las normas de archivo. No tener creados los usuarios ni definidos los perfiles asignados a los mismos. No aplicación de políticas de seguridad informática. . Falta de controles en el acceso a paginas no autorizadas de Internet. Programa de antivirus no instalados o actualizados en los equipos. Correos electrónicos con archivos maliciosos. Perdida de registros documentales Por daños o ataques a los sistemas informáticos ocasionado por programas elaborados intencionalmente por terceros(SPAM,Hackers, Pishing e Ingeniería Social), o por no aplicación de normas de archivo Daños en el software y /o Hardware. Inestabilidad y mal funcionamiento de los equipos. Interrupción en la prestación del servicio. No cumplimiento de las normas de archivo. Investigaciones disciplinarias Manipulación o adulteración de la información Cumplimiento Presión, amenaza por parte de los interesados a un funcionario o servidor público. No aplicación de controles de acceso al los sistemas de información y archivo fisico. Presión, amenaza por parte de los interesados a un funcionario o servidor público.. Manipulación o adulteración de información contenida en los sistemas de información y archivo de cada uno de los procesos Pérdida de información. Investigaciones disciplinarias. Imposición de sanciones disciplinarias y fiscales. Destitución del cargo. Perdida de imagen institucional.
  7. 7. ANALISIS DE RIESGOS Proceso Gestión de la Información y Recursos tecnológicos Alcaldía Municipal Santa Ros del Sur-Bolívar RIESGO DESCRIPCIÓN CALIFICACION EVALUACI ON (Zona de Riesgo) MEDIDAS DE RESPUESTA IMPACTO FRECUENCIA PROBABILID AD PERFIL DEL RIESGO TIPO DE IMPACTO SUB TIPO CALIFICACIÓ N Perdida de registros documentales Por daños o ataques a los sistemas informáticos ocasionado por programas elaborados intencionalmente por terceros(SPAM,Hac kers, Pishing e Ingeniería Social), o por no aplicación de normas de archivo Pérdida de información documental Operativo Interrupción del proceso de un día 3 Al menos una vez en el ultimo año 4 48 ZONA RIESGO ALTA Evitar el riesgo Manipulación o adulteración de información contenida en los sistemas de información y archivo de cada uno de los procesos Manipulación o adulteración de la información Legal Intervensión_S anción 5 No se ha presentado en los últimos cinco años 1 20 ZONA RIESGO ALTA Evitar el riesgo
  8. 8. VALORACIÓN DEL RIESGO Proceso Gestión de la Información y Recursos tecnológicos Alcaldía Municipal Santa Ros del Sur-Bolívar RIESGO DESCRIPCIÓN DESCRIPCION DEL CONTROL TIPO DE CONTRO L CRITERI O QUE AFECTA HERRAMIENTAS PARA EL CONTROL SEGUIMIENTO AL CONTROL CALIFICA CIÓN DEL CONTROL CONTRO L DEL RIESGO VALORACIÓN DEL RIESGO MEDIDAS DE RESPUE STA Existen manuales, instructivo s o procedimie ntos para el manejo del control El control es automátic o o manual Está definido el responsab le de la ejecución del control La frecuencia de ejecución y seguimien to del control es adecuada Se cuenta con evidencia s de la ejecución y seguimien to El tiempo que lleva el control ha demostra do ser efectiva NUEVA PROBABILIDAD NUEVO IMPACTO NUEVO PERFIL DEL RIESGO NUEVA EVALUACION Pérdida de información documental Perdida de registros documentales Por daños o ataques a los sistemas informáticos ocasionado por programas elaborados intencionalmente por terceros(SPAM,Hacker s, Pishing e Ingeniería Social), o por no aplicación de normas de archivo Utilizacion de Sistemas de detección de intrusos y cortafuegos. Control Preventiv o Probabili dad NO Automáti co NO NO NO SI 50 55 3 3 36 Zona de riesgo alta Evitar el riesgo Aplicación de Tablas de Retención documental Control Preventiv o Probabili dad SI Manual SI SI SI NO 60 0 Manipulación o adulteración de la información Manipulación o adulteración de información contenida en los sistemas de información y archivo de cada uno de los procesos Asignación de usuarios y claves de acceso a los sistemas de Información. Control Preventiv o Probabili dad NO Manual NO NO NO NO 10 45 1 5 20 Zona de riesgo alta Evitar el riesgo Aplicación de Tablas de Retención documental Control Preventiv o Probabili dad SI Manual SI SI NO SI 80 0
  9. 9. PLAN DE MANEJO Proceso Gestión de la Información y Recursos tecnológicos Alcaldía Municipal Santa Ros del Sur-Bolívar RIESGOS DESCRIPCIÓN CONTROLES ACTUALES ACCIONES A IMPLEMENTAR RESPONSABLE FECHA DE INICIO FECHA DE TERMINACIÓ N INDICADOR NUMERADO R DENOMINAD OR Pérdida de información documental Perdida de registros documentales Por daños o ataques a los sistemas informáticos ocasionado por programas elaborados intencionalmente por terceros(SPAM,Hack ers, Pishing e Ingeniería Social), o por no aplicación de normas de archivo Utilizacion de Sistemas de detección de intrusos y cortafuegos. Elaboración, adopción, socialización y aplicación del Manual de Politicas y Seguridad Informática. Secretario del Interior y Asuntos Administrativos 17-oct-14 31-dic-14 Número de acciones implementada s Número de acciones a implemntar Aplicación de Tablas de Retención documental Elaboración, adopción, socialización y aplicación del Programa de Gestión documental. Líder del proceso Gestión de Información y Recursos Técnologicos 17-oct-14 31-dic-14 Número de acciones implementada s Número de acciones a implemntar Actualización de los procedimientos del Proceso Gestión de la Información y Recursos Tecnológicos Líder del proceso Gestión de Información y Recursos Tecnológicos 17-oct-14 31-dic-14 Número de acciones implementada s Número de acciones a implemntar Manipulación o adulteración de la información Manipulación o adulteración de información contenida en los sistemas de información y archivo de cada uno de los procesos Asignación de usuarios y claves de acceso a los sistemas de Información. Elaboración, adopción, socialización y aplicación del Manual de Politicas y Seguridad Informática. Secretario del Interior y Asuntos Administrativos 17-oct-14 31-dic-14 Número de acciones implementada s Número de acciones a implemntar Aplicación de Tablas de Retención documental Líder del proceso Gestión de Información y Recursos Técnologicos Elaboración, adopción, socialización y aplicación del Programa de Gestión documental. 17-oct-14 31-dic-14 Número de acciones implementada s Número de acciones a implemntar Actualización de los procedimientos del Proceso Gestión de la Información y Recursos Técnologicos Líder del proceso Gestión de Información y Recursos Técnologicos 17-oct-14 31-dic-14 Número de acciones implementada s Número de acciones a implementar

×