Código: A3-02-F-05 Versión: 01 MATRIZ DE RIESGO SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI Pagina: Ver (Pie de pagina) Gestión de Servicios tecnológicos en Metrología RIESGO INHERENTE EVALUACIÓN DEL RIESGO RESIDUAL VALOR (PXI) ( INFORMACIÓN ANTES DE CONTROLES) CRITERIOS ERCA (Evitar, Reducir, Compartir, Asumir) HERRAMIENTAS PARA EJERCER CONTROL ( 10 Puntos) MANUALES, INSTRUCTIVOS O PROCEDIMIENTOS ( 15 Puntos) EFECTIVIDAD DEL CONTROL ( 30 Puntos) RESPONSABLES DEL CONTROL Y SEGUIMIENTO ( 5 Puntos) EL CONTROL ES AUTOMATICO (15 Puntos) El CONTROL ES MANUAL (15 Puntos) Preventivo 10 15 30 5 0 15 0 75 Acceso a la información y a las funciones de los sistemas de las aplicaciones, se debe restringir su acceso. Preventivo 10 15 0 5 0 15 0 45 Procedimientos establecidos y documentados para detectar o corregir las fallas en el proceso rápidamente Correctivo 10 15 0 5 0 15 0 45 Pérdida de la información durante la recolección de datos en el proceso de Calibración de Equipos Desarrollo de campañas de concienciación en temas de seguridad de la información en el proceso de Calibración de Equipos Preventivo 10 0 0 0 0 0 0 10 El encargado del proceso no se encuentra disponible. Concientización del personal respecto a la seguridad de la información Preventivo y Correctivo en procedimientos concernientes a la calibración de los equipos. 10 0 0 0 0 0 0 10 Establecer con la subdirección un mecanismo de suplencia de personal a los laboratorios Preventivo 10 15 30 5 0 15 0 60 Preventivo 10 15 30 5 0 15 0 60 Preventivo 10 15 30 5 0 15 0 60 Preventivo 0 0 0 0 0 0 0 0 RIESGO CAUSA EFECTO - CONSECUENCIA PROBABILIDA D IMPACTO Alteración o eliminación de la información del proceso de Calibración de Equipos Indisponibilidad del Servicio de Calibración de Equipos. Recurso Humano R1 R2 Falta de personal debidamente autorizado para la realización de las actividades del proceso. Robo de información sensible del proceso de calibración de equipos Demora en el envió de la Información al usuario Ausencia de transferencia de conocimiento y falta de capacitación en los laboratorios Inadecuada manipulación de los instrumentos calibrados por parte de personal ajeno al área encargada Perdida de la continuidad del negocio, servicios afectados para los usuarios internos y externos. Afectación a toda la Entidad Fallas en procesos de seguridad de la información, perdida o robo de información de la entidad, Daños a los bienes o propiedad del cliente. 4 4 5 4 20 16 EVITAR EL RIESGO por medio de acciones de control preventivo que permita reducir la probabilidad de la ocurrencia del riesgo detectado. EVITAR EL RIESGO por medio de acciones de control preventivo que permita reducir la probabilidad de la ocurrencia del riesgo detectado. No seguir el protocolo adecuado para el manejo y manipulación de equipos. Servicios R3 R4 Interrupción completa en la continuidad del negocio ( Daño en Eventos catastróficos: inundaciones, incendios, terremotos. Data Center, Servicios Tecnológicos y pérdida de la Diseño inadecuado y/o Ofertar servicios que no cuentan con un inexistente para la soporte y diseño previo. prestación de nuevos servicios en laboratorios Interrupción completa de los servicios ofrecidos por el INM Perdida de imagen ante los Usuarios del país, incumplimiento en las condiciones del servicio 3 4 5 3 Pérdida o corrupción de los datos sistematizados del proceso de calibración de equipos. Datos/Información Perdida de la información y posibles Ataques a la integridad de los datos. 4 4 Capacitaciones, procedimientos establecido para la manipulación de instrumentos calibrados y acompañamiento por parte del responsable del proceso. Capacitaciones, procedimientos establecido para la manipulación de equipos. 190 Preventivo 10 15 0 0 0 15 0 40 Aseguramiento o hardening y respaldo de los archivos de control de acceso a los usuarios Preventivo 10 0 0 5 0 0 0 15 Preventivo 10 15 30 5 15 0 15 75 Preventivo 10 15 0 0 0 0 0 25 Preventivo 10 0 0 0 0 0 0 10 Correctivo 10 0 0 5 0 0 0 15 Correctivo 10 0 0 0 0 0 0 10 Monitoreo preventivo diario para determinar anormalidades en los diferentes servicios de la aplicación y los servidores. Preventivo 10 15 30 5 15 0 15 75 Realizar monitoreo diario del espacio en disco para evitar que el tamaño de los logs desborde el espacio Preventivo 10 15 30 5 15 0 15 75 Preventivo 10 0 0 5 0 0 0 15 16 Niveles de seguridad de la información inadecuada Fortalecimiento de la seguridad en perfiles, y acceso a aplicaciones PROBABILIDAD (SEGÚN PONDERACIÓN DE CONTROLES) IMPACTO (SEGÚN PONDERACIÓN DE CONTROLES) VALORACIÓN DESPUÉS DE CONTROL ( NIVEL DE RIESGO) 0 40 125 4 4 3 4 4 3 2 5 3 2 12 8 15 12 8 4 Mal funcionamiento del software, retraso en los procesos asociados a la aplicación 4 4 16 Bloqueo a nivel de servicios de la aplicación Bloqueos a nivel de logs de aplicaciones ( congelamiento o intrusión) 3 12 R8 R9 R10 Indisponibilidad del servidor o equipos de computo Funcionamiento inadecuado del almacenamiento Falta de espacio por alto consumo de recursos Puertos abiertos y servicios asociados que pueden causar la caída o falla de servidores Perdida de la continuidad del negocio, servicios afectados para los usuarios internos y externos. Afectación a toda la Entidad 4 4 16 Saturación de capacidad de almacenamiento. Perdida de información 3 4 12 Reporte de alarmas en los arreglos de discos Ausencia de integridad de la información en Ataques informáticos frente a la seguridad de las la información. comunicaciones para el desarrollo de los procesos Perdida, robo o mala utilización de la información. 4 5 20 EVITAR EL RIESGO por medio Realización del Mantenimiento adecuado de acciones de control preventivo que permita reducir Restauración de pruebas de información / Transporte, custodia y la probabilidad de la ocurrencia almacenamiento técnico para salvaguardar la información contenida del riesgo detectado. en las cintas. REDUCIR EL RIESGO por medio de acciones de control correctivas y preventivas que permita evitar la ocurrencia del riesgo Se debe contar con el correspondiente plan de cambio y actualización de equipos para evitar rezagos tecnológicos no programados REDUCIR EL RIESGO por medio de acciones de control Monitoreo diario con la herramienta disponible para tal fin. correctivas y preventivas que permita evitar la ocurrencia del riesgo Monitoreo diario con la herramienta disponible para tal fin. EVITAR EL RIESGO por medio de acciones de control preventivo que permita reducir la probabilidad de la ocurrencia del riesgo detectado. Realizar los correspondientes Backus para liberar espacio. Tareas programadas y monitoreadas Preventivo 10 15 30 5 15 0 15 75 Preventivo 10 15 0 5 15 0 15 45 Preventivo 10 15 30 5 15 0 15 75 25 4 4 16 RIESGO EXTREMO R7 Funcionamiento inadecuado del aplicaciones de software que afectan el proceso de Afectación a la disponibilidad de acceso al servicio o recurso del proceso de calibración de equipos. 150 4 1 4 RIESGO BAJO Preventivo y Detective Afectación de la Falla en el software del repositorio Backus disponibilidad del respaldo de la información en Corrupción de las cintas en el momento de las copias y las restauración del Backus los procesos 135 150 Contactar al proveedor para que atienda el servicio en discos de servidores REDUCIR EL RIESGO por medio de acciones de control Monitoreo preventivo para determinar anormalidades, fortaleciendo la correctivas y preventivas que seguridad activa de la red. permita evitar la ocurrencia del riesgo Preventivo 10 15 30 5 15 0 15 75 Preventivo 10 0 0 0 0 0 0 10 OPCIÓN DE MANEJO (ACCIONES) REGISTROS RESPONSABLE FECHA DE TERMINACION. Responsable del proceso 2016-12-20 Subdirector de Metrología de Física y Subdirector de Metrología Química y Biomedicina. 2016-12-20 Responsable de la seguridad de la Información 2016-12-20 Reporte a Control Actas de Reunión Interno 175 12 Copias de seguridad, para tener respaldos y evitar daños, redundancia EVITAR EL RIESGO por medio cíclica. Inclusión en el plan de Backus de todo el servidor para hacer rollback de acciones de control preventivo que permita reducir la probabilidad de la ocurrencia Crear procesos de mantenimiento mensual de las BD y depuración de del riesgo detectado. índices. Monitoreo de posibles intrusiones indebidas a las BD TOTAL DE LA PONDERACIÓN DEL RIESGO 17 4 3 4 2 2 5 8 6 20 RIESGO ALTO Equipos Informáticos (Hardware) Irregularidades encontradas en el proceso de Calibración de Equipos deben ser reportadas a control interno disciplinario o a quien corresponda antes de generar una sanción o amonestación. PONDERACIÓN DE CONTROLES EVITAR EL RIESGO por medio de acciones de control Procedimiento "E1-02-P-07, Diseño y desarrollo productos y servicios preventivo que permita reducir nuevos". la probabilidad de la ocurrencia del riesgo detectado. Obsolescencia Tecnológica Redes de Comunicaciones TIPO DE CONTROL REDUCIR EL RIESGO por medio de acciones de control Centro de datos alterno en donde se espera reconstituir y reanudar a correctivas y preventivas que la operación normal de los procesos vitales de la entidad permita evitar la ocurrencia del riesgo de datos R6 Software y/o Aplicaciones Afectación de la integridad de los datos Insuficiencia en el aseguramiento de la base CONTROLES - INM 15 Incumplimiento en las condiciones del servicio para el cliente R5 RIESGO RESIDUAL FRECUENCIA DE EJECUCIÓN DEL CONTROL Y SEGUIMIENTO ( 15 Puntos) RIESGO EXTREMO RIESGO MODERADO ACTIVO IDENTIFICADOR DE RIESGO RIESGO ALTO Macroproceso RIESGO ALTO Misional RIESGO EXTREMO Tipo de Proceso RIESGO ALTO Prestación de Servicios de Calibración y Ensayos RIESGO ALTO Proceso Elaboración de reportes de acceso a los Verificar Roles y Responsabilidade s Reporte de fallas Documento Reuniones, campañas, Talleres y foros Reuniones, campañas, Talleres y foros Capacitaciones Reuniones, campañas, Talleres y foros Reuniones, campañas, Talleres y foros Actas de Reunión Actas de Reunión Actas, listado de asistencias, Informes Actas de Reunión Actas, listado de asistencias, Informes Elaborar el plan de continuidad de Documentos Negocio. Diseño y/o prototipo de servicios nuevos, de acuerdo con el procedimiento E102-P-07 Diseño y Realizar un monitoreo al Aseguramiento Copias de seguridad en servidores de alta Monitoreo de Bases de Datos Documentar la seguridad en perfiles de Realizar el contrato de mantenimiento Realizar el contrato de transporte y custodia de cintas de servidores Formatos establecidos en elResponsable del proceso 2016-12-20 procedimiento. Análisis de los Datos y Reportes Registro de Copias de Seguridad Registro de Monitoreo de Bases de Datos Acta del procedimiento de salida de las cintas monitoreo de Logs Reporte de Actividad Reporte Diario del Trafico de la Red. Responsable del proceso 2016-12-20 Responsable del proceso 2016-12-20 Responsable del proceso 2016-12-20 Responsable del proceso 2016-12-20 Responsable del proceso 2016-12-20 Actas y Documentos Reporte de Actividad Reporte Semanal de Backus de servidores. Reporte Semanal de la ocupación de Discos de Servidores. 2016-12-20 Documento Monitoreo de Logs Elaboración del plan de cambio y Reporte Mensual de análisis del monitoreo Reporte Mensual de análisis del monitoreo destinado para la Responsable del proceso Documento Reporte de Actividad Reporte de Actividad Reporte de Actividad Reporte de Actividad Logs, y Reporte de la Actividad