reto: plan de tratamiento de riesgos - maxima velocidad · 2019-12-30 · tratamiento de riesgos...
TRANSCRIPT
![Page 1: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/1.jpg)
![Page 2: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/2.jpg)
Reto: Plan de tratamiento de riesgos
Gobierno Digital
Ministerio de las Tecnologías de la Información y las Comunicaciones
![Page 3: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/3.jpg)
Para tener en cuenta…
Gobierno de seguridad de la Información• Formulación de política
institucional
Identificación Y Gestión de Activos• Valoración de Activos• Priorización de Activos
Gestión de los Riesgos de Seguridad Digital• Identificación de amenazas y
vulnerabilidades• Análisis/Valoración del Riesgo• Tratamiento del Riesgo
PASO 1
PASO 2
PASO 3
GOBERNANZA+PLANEACIÓN+ASEGURAMIENTO
![Page 4: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/4.jpg)
Fórmula 3
• Documento que evidencie que la alta dirección aprueba el plan de tratamiento de riesgos de seguridad digital, con plazos y responsables en 2019.
Fórmula 2
• Documento que evidencie que la alta dirección aprueba el plan de tratamiento de riesgos de seguridad digital, con plazos y responsables en 2019.
• Documento con el (los) Indicadores definidos para el tratamiento de riesgos incluidos en el plan de acción de la entidad.
Fórmula 1
• Documento que evidencie que la alta dirección aprueba el plan de tratamiento de riesgos de seguridad digital, con plazos y responsables en 2019.
•Documento con el (los) Indicadores definidos para el tratamiento de riesgos incluidos en el plan de acción de la entidad.
• Seguimiento al plan de tratamiento de riesgos de acuerdo a lo definido en el cronograma establecido.
DESCRIPCIÓN Y ALCANCE DEL RETO PROPUESTO
![Page 5: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/5.jpg)
¿Por qué es importante el plan de tratamiento de riesgos?
Para que una Entidad sepa a qué riesgos se enfrenta en cuanto a Seguridad y Privacidad de la Información, debe
construir el plan de tratamiento de riesgos.
Que le permita tener la capacidades para detectar y responder de forma eficaz las brechas e intrusiones de seguridad de la información, ante los ataques mediante los cuales puedan
llegar a sustraer datos sensibles, tanto dentro como fuera de la Entidad.
![Page 6: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/6.jpg)
¿Qué debemos de tener en cuenta para la construcción del plan?
• Política de riesgos de la Entidad• Controles de anexo A del MSPI• Metodología para la gestión de riesgos
(Guía para la administración del riesgo y el diseño de controles en entidades públicas - riesgos de gestión, corrupción y seguridad digital)
![Page 7: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/7.jpg)
CONTEXTO DEL
PROCESO
DISEÑO DEL PROCESO: Claridad en la descripción del alcance y objetivo del proceso.
INTERACCIONES CON OTROS PROCESOS: Relación precisa con otros procesosen cuanto a insumos, proveedores, productos, usuarios o clientes.
TRANSVERSALIDAD: Procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad.
PROCEDIMIENTOS ASOCIADOS: Pertinencia en los procedimientos que desarrollan los procesos.
RESPONSABLES DEL PROCESO: Grado de autoridad y responsabilidad de los funcionarios frente al proceso.
COMUNICACIÓN ENTRE LOS PROCESOS: Efectividad en los flujos de información determinados en la interacción de los procesos.
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO: Información, aplicaciones, hardware entre otros, que se deben proteger para garantizar el funcionamiento interno de cada proceso, como de cara al ciudadano.
Declaración de la Dirección y las intenciones generalesde una organización con respecto a la gestión delriesgo, (NTC ISO31000 Numeral 2.4). La gestión oAdministración del riesgo establece lineamientosprecisos acerca del tratamiento, manejo y seguimientoa los riesgos.
IDENTIFICACIÓN DEL CONTEXTO
Tabla ilustrativa 1 - Factores para cada categoría del contexto
Incorporar Anexo 4 Lineamientos para la gestión del riesgo de seguridad digital.
Frente a los Riesgos de Seguridad Digital
POLÍTICA INSTITUCIONAL DE RIESGOS
PASO 1
PASO 1.1
2.1.3 ESTABLECIMIENTO DEL CONTEXTO DEL PROCESO
Se determinan las características o aspectos
esenciales del proceso y sus interrelaciones.
Se pueden considerar factores como:
Objetivo del procesoAlcance del procesoInterrelación con otros procesos
Procedimientos asociados
Responsables del proceso
Activos de seguridad digital del proceso
![Page 8: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/8.jpg)
GESTIÓN DEL RIESGO
NO Riesgo Activo Tipo Amenazas Vulnerabilidades
Pro
bab
ilidad
Impac
to
RiesgoInherente
Opci
ón
trat
amie
nto
Actividad de Control Soporte
Res
ponsa
ble
Tiempo
Pér
did
a de
la in
tegr
idad
Bas
e de
Dat
os
de
Nóm
ina
Seg
uridad
Dig
ital
Ausencia de políticas de control de
acceso.
Pro
bab
le
May
or
Ext
rem
a
ReducirA.9.1.1 Política de control
de acceso Política creada y comunicada
Oficina TI Tercer trimestre de
2018
1
Modificación no
autorizada
Contraseñas sin
protección Reducir
A.9.4.3 Sistema de gestión de contraseñas
Procedimientos para la gestión y protección de contraseñas
Oficina TITercer
trimestre de 2018
Ausencia de mecanismos de identificación y autenticación de usuarios
ReducirA 9.4.2 Procedimiento de
ingreso seguro
Procedimiento para ingreso
seguroOficina TI
Cuarto trimestre de
2018
Ausencia de bloqueo
de sesiónReducir
A.11.2.8 Equipos deusuario desatendidos
Configuracionespara bloqueo automático de
sesiónOficina TI
Cuarto Trimestre de
2018
Formato Mapa y Plan de Tratamiento de Riesgos
![Page 9: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/9.jpg)
Reto: Gestión de Incidentes
Gobierno Digital
Ministerio de las Tecnologías de la Información y las Comunicaciones
![Page 10: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/10.jpg)
Fórmula 3
•Adopción de la Gestión de la Entidad donde evidencie la gestión de incidentes de seguridad de la información
Fórmula 2
•Adopción de la Gestión de la Entidad donde evidencie la gestión de incidentes de seguridad de la información
•Reporte de incidentes de seguridad de la información de la vigencia anterior (2018) y durante la vigencia del concurso.
Fórmula 1
•Adopción de la Gestión de la Entidad donde evidencie la gestión de incidentes de seguridad de la información
•Reporte de incidentes de seguridad de la información de la vigencia anterior (2018) y durante la vigencia del concurso.
•Medición de la gestión de incidentes.
DESCRIPCIÓN Y ALCANCE DEL RETO PROPUESTO
![Page 11: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/11.jpg)
¿Qué debemos de tener en cuenta para la construcción del plan?
• Política de Seguridad y Privacidad de la Información
• Guía para la Gestión y Clasificación• de Incidentes de Seguridad de la• Información.
![Page 12: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/12.jpg)
Indicadores de seguimiento y evaluación de la política de Gobierno Digital
Reto - Máxima Velocidad
![Page 13: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/13.jpg)
Reto
• Fórmula 1: medir el nivel de ahorro en tiempo y dinero para los usuarios de los tres (3) trámites o servicios digitales de mayor demanda.
• Fórmula 2: medir el nivel de ahorro en tiempo y dinero para los usuarios de los dos (2) trámites o servicios digitales de mayor demanda.
• Fórmula 3: medir el nivel de ahorro en tiempo y dinero para los usuarios del trámite o servicio digital de mayor demanda.
![Page 14: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/14.jpg)
Descripción del reto
• Nombre del trámite o servicio
• Descripción del trámite o servicio
• Enlace del trámite o servicio
• Tiempo promedio para el usuario (en horas)
• Costo promedio para el usuario (en pesos)
• Tasa de uso digital vs presencial
• Fuentes de información
![Page 15: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/15.jpg)
Pasos a seguir
• Identificar las actividades que un usuario debe llevar a cabo en cada paso (acceso, solicitud, resolución y resultado) para obtener los resultados esperados del trámite, presencialmente y en línea
• Cuantificar el costo de cada paso para el usuario a partir de las actividades requeridas, presencialmente y en línea
• Cuantificar el tiempo de cada paso para el usuario a partir de las actividades requeridas, presencialmente y en línea
• Diligenciar ficha de medición – ahorro por trámites y servicios digitales
![Page 16: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/16.jpg)
Entregables
• Ficha de medición – ahorro por trámites y servicios digitales: http://maximavelocidad.gov.co/710/w3-article-100291.html
• Documento de máximo 10 páginas con metodología implementada para medir el tiempo y costo de los trámites o servicios para los usuarios
![Page 17: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/17.jpg)
Herramientas
• Manual de gobierno digital:http://www.gobiernodigital.gov.co/623/articles-81473_recurso_1.pdf
• Guía técnica de integración de trámites y servicios a GOV.CO: http://estrategia.gobiernoenlinea.gov.co/623/articles-100309_guia_integracion.pdf
![Page 18: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/18.jpg)
Gobierno Digital
Arquitectura e Interoperabilidad Máxima velocidad 2019
![Page 19: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/19.jpg)
Reto 11Utilización de herramientas e instrumentos para el seguimiento y control de iniciativas, proyectos y gestión de TI
ObjetivoLa entidad cuenta con lista de indicadores con ficha técnica documentada, evidenciando la utilización de los indicadores mediante una herramienta de tablero. La Entidad debe relacionar los indicadores contra las fichas de los proyectos de inversión de TI
Gran premio de transformación
12
3
4
5
6
7
89
10
11
12
13
14
15
Gran premio de transformación
http://maximavelocidad.gov.co/710/w3-article-100278.html
![Page 20: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/20.jpg)
Reto 4Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información
Objetivo
Facilitar el entendimiento de los involucrados en los procesos de intercambio de información.
Gran premio de transformación
Gran premio de transformación
12
3
4
5
6
7
89
10
11
12
13
14
15
http://maximavelocidad.gov.co/710/w3-article-100282.html
![Page 21: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/21.jpg)
Reto 4 - Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información
La entidad identifica la información que desea publicar ointercambiar y garantiza el uso del estándar de lenguajecomún en el nivel 1 del dominio semántico del Marco deinteroperabilidad del Estado.
La entidad usa el estándar de lenguaje común deintercambio de información en al menos dos de susservicios de intercambio de información.
Todos los servicios de intercambio de informacióndesarrollados por la entidad se encuentran activos en elcatálogo de servicios y cumplen con el estándar delenguaje común.
![Page 22: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/22.jpg)
¿Qué es la Interoperabilidad?El ejercicio de colaboración entre organizaciones paraintercambiar información y conocimiento en el marco desus procesos de negocio, con el propósito de facilitar laentrega de servicios en línea a ciudadanos, empresas yotra entidades.
• Agiliza los trámites y servicios digitales• Facilita la participación de los ciudadanos con apoyo de
las TI• Consolida un Estado transparente y coordinado• Afianza la gobernabilidad y confianza en el Estado, con
base en la tecnología al servicio de los ciudadanos.• Reduce los costos y tiempos de respuesta al ciudadano.• Facilita a los ciudadanos la gestión de trámites y
servicios con el Estado.
¿Cómo beneficia los ciudadanos?
![Page 23: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/23.jpg)
Reto 4 - Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información
Lenguaje Común de
Intercambio de
Información
http://lenguaje.mintic.gov.co/
![Page 24: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/24.jpg)
Dominios del Marco de InteroperabilidadNivel 3 todos los servicios de intercambio de información activos en el catálogo de servicios deben encontrarse utilizando el lenguaje común de intercambio de información.
Nivel 2 la entidad debe usar de forma correcta el lenguaje común de intercambio de información en al menos uno de los servicios activos en el catálogo de servicio.
Nivel 1 la entidad debe identificar el conjunto de elementos de dato particulares al negocio que requiere intercambiar, validar si existen en el lenguaje común de intercambio de información, Si no existen debe ejecutar el proceso de conceptualización
Reto 4 - Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información
![Page 25: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/25.jpg)
Entregable Condiciones FórmulaNotificaciones de cumplimiento en el nivel 1 del dominio semántico del marco de interoperabilidad.
Que por lo menos dos servicios web de la entidad cumplan con el primer nivel de madurez del marco de interoperabilidad, durante el periodo de los retos de máxima velocidad
Notificaciones de cumplimiento en los niveles 1 y 2 para cada uno de los servicios web de la entidad.
Que por lo menos dos servicios web de la entidad cumplan con el primer y segundo nivel de madurez del marco de interoperabilidad.
Notificaciones de cumplimiento en los niveles 1 2 y 3 para cada uno de los servicios web de la entidad.
Que los servicios web de la entidad cumplan con el tercer nivel de madurez del dominio semántico del marco de interoperabilidad y estos se encuentren publicados en el directorio de servicios de intercambio de información.
Reto 4 - Desarrollo de servicios web que cumplen con el estándar de lenguaje común de intercambio de información
![Page 26: Reto: Plan de tratamiento de riesgos - Maxima Velocidad · 2019-12-30 · tratamiento de riesgos incluidos en el plan de acción de la entidad. Fórmula 1 •Documento que evidencie](https://reader034.vdocuments.pub/reader034/viewer/2022050715/5f242783f15f30780213bc5f/html5/thumbnails/26.jpg)
2019Ministerio de Tecnologías de la Información y las ComunicacionesTel:+57(1) 344 34 60Edif. Murillo Toro Cra. 8a entre calles 12 y 13, Bogotá, Colombia - Código Postal 111711www.mintic.gov.co
2019Ministerio de Tecnologías de la Información y las ComunicacionesTel:+57(1) 344 34 60Edif. Murillo Toro Cra. 8a entre calles 12 y 13, Bogotá, Colombia - Código Postal 111711www.mintic.gov.co