Comisión Nacional de Acuacultura y Pesca Unidad de Administración Subdirección de Informática Manual Administrativo de Aplicación General en las Materias de TIC y de Seguridad de la Información ASI – Proceso de Administración de la Seguridad de la Información “DOCUMENTO DEL RESULTADO DEL ANÁLISIS DE RIESGOS” Noviembre de 2014 _________________________________________________________________________________ Pág. 1 Subdirección de Informática Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx Comisión Nacional de Acuacultura y Pesca Unidad de Administración Subdirección de Informática ÍNDICE 1. OBJETIVO DEL ANÁLISIS DE RIESGOS ................................................................................... 3 Lista de controles recomendados ................................................................................................. 3 Riesgos Aceptados ........................................................................................................................ 3 2. DIRECTRIZ DE ADMINISTRACIÓN DE RIESGOS ..................................................................... 4 Objetivo.......................................................................................................................................... 4 Alcance .......................................................................................................................................... 4 Justificación ................................................................................................................................... 4 Requerimientos regulatorios.......................................................................................................... 4 Roles y responsabilidades para la aplicación y cumplimiento de la Directriz ............................... 5 Elementos para la administración de riesgos ................................................................................ 5 Directrices de administración de riesgos ....................................................................................... 5 Mecanismos de difusión de la Directriz ......................................................................................... 6 Mecanismos de revisión del cumplimiento de la Directriz ............................................................. 6 Mecanismos de revisión del cumplimiento de la Directriz ............................................................. 6 Mecanismos de revisión periódica de la Directriz con respecto a las necesidades de la Comisión ................................................................................................................................... 6 3. FIRMAS DE AUTORIZACIÓN DEL DOCUMENTO ..................................................................... 6 _________________________________________________________________________________ Pág. 2 Subdirección de Informática Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx Comisión Nacional de Acuacultura y Pesca Unidad de Administración Subdirección de Informática 1. Objetivo del análisis de riesgos El objetivo general del análisis de riesgos es identificar los controles y establecer las estrategias a seguir para la mitigación de riesgos de conformidad con lo siguiente: Establecer mecanismos y procedimientos para proporcionar confidencialidad, integridad y disponibilidad de la información. Estimular la generación de una cultura de seguridad de la información en la Subdirección de Informática y en el personal de la dependencia, así como fomentar un comportamiento ético entre el personal de la Comisión. Definir los requerimientos de seguridad en cada área, dependiendo del tipo de información que se procese: confidencial, restringida, de uso interno, general o público, estableciendo los procedimientos para identificación y uso de cada categoría de información. Promover el establecimiento de procedimientos alternos para mantener o recuperar la operación en caso de contingencias. Lista de controles recomendados Prioridad Control recomendado Amenazas a mitigar Activos a proteger [Por cada control, indicar cuales son las amenazas que enfrentan, y que activos son los que se ven protegidos] Riesgos residuales [Por cada activo protegido, resumir cual es el riesgo residual que será asumido, explicando la justificación para ello] Requerimientos especiales Inversión requerida [Indicar los requerimientos especiales para cada control recomendado] [Indicar de acuerdo a los estudios costo beneficio, cual es la inversión requerida y cuál es la pérdida que se pretende evitar (l$)] Total: $ Riesgos Aceptados Este primer análisis de riesgos se propone emprender acciones de prevención de los riesgos identificados, por lo tanto para en este caso no se aceptaran ninguno de los riesgos que se analizaron en esta primera fase. Secuencia Amenazas Activos de información Riesgos Observaciones _________________________________________________________________________________ Pág. 3 Subdirección de Informática Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx Comisión Nacional de Acuacultura y Pesca Unidad de Administración Subdirección de Informática 2. Directriz de administración de riesgos Objetivo Definir la directriz rectora para la administración de riesgos, las acciones a tomar frente al impacto potencial que podrían ocurrir ante la presentación de un incidente en la CONAPESCA, por medio de la identificación de los mecanismos, elementos y herramientas que permitan reaccionar ante la amenaza o vulnerabilidad que se materializa y emprender acciones de mitigación tratando de tener el minino de daños y reducir los costos generados. Alcance Identificar los antecedentes y elementos necesarios que deberán justificar la necesidad de llevar acabo la implementación de la administración de riesgos dentro de la Comisión. Definir las metodologías y herramientas requeridas para la administración de los riesgos. Identificar y definir el marco normativo de la administración de riesgos. Establecer los métodos de evaluación y monitoreo de los mecanismos de administración de riesgos. Establecer métodos de monitoreo para la actualización periódica de la directriz. Justificación En base a los establecido en el MAAGTICSI (Manual Administrativo de Aplicación General en la materias de Tecnologías de la Información y Comunicaciones y Seguridad de la Información), en los proceso ASI y OPEC, establece la definición de la Directriz rectora para la Administración de Riesgos, y los responsables que darán atención y seguimiento en materia de Administración de Proyectos. Requerimientos regulatorios Manual Administrativo de Aplicación General en materia de Tecnologías de la Información y Comunicaciones y Seguridad de la Información (MAAGTICSI) – Establece las disposiciones administrativas en materia de tecnologías de información y comunicaciones, de observancia obligatoria para las dependencias y entidades de la Administración Pública Federal. ISO 31000:2009 – Lineamientos sobre los principios e implementación de la gestión de riesgos (se encuentra en desarrollo) www.iso.org. Guía de riesgos de sistemas de tecnologías de información de NIST – publicación especial 800-30 www.nist.org Norma de gestión de riesgos AS/NZS 4360:2004 – www.standards.com.au ISO 27005:2008 – Administración de riesgos de seguridad de la información www.iso.org. RISK IT Framework www.isaca.org/riskfw – Incluye una técnica de mapeo de riesgos, donde se puede identificar gráficamente el panorama general o específico (dependiendo de lo que se desee proyectar en la gráfica) del análisis de riesgos realizado. ISO/IEC 27001:2005 Sistema de Gestión de Seguridad de la Información- Requerimientos WLA-SCS: 2006 Estándar de Control de la Seguridad. _________________________________________________________________________________ Pág. 4 Subdirección de Informática Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx Comisión Nacional de Acuacultura y Pesca Unidad de Administración Subdirección de Informática BS 25999-2:2007 Gestión de Continuidad del Negocio- Especificación ISO 20000-1:2011 Sistema de Gestión de Servicios. Roles y responsabilidades para la aplicación y cumplimiento de la Directriz Rol Descripción Responsabilidad Elementos para la administración de riesgos Elemento Grupo de riesgos sobre los que incide Escenario [Indicar los riesgos sobre los que incide] [Definición de cada elemento] Umbrales de tolerancia al riesgo Mecanismos que se utilizarán para medir la correcta administración de riesgos Estrategias de mitigación Periodicidad con la que se informará a los involucrados en el proceso Directrices de administración de riesgos Impacto Necesidad [Indicar la necesidad que tiene la Institución] Tecnológica Directriz de Administración de riesgos [Indicar el requerimiento tecnológico o de procesos que se requiere para satisfacer la necesidad] Detección Incidente y Registro Escenario [Indicar la situación por la cual surge la necesidad] del [Indicar el análisis de impacto, incluyendo el mecanismo de evaluación y análisis] Alto Para cada necesidad: Actores Tiempo Recursos Tipo de incidentes Operativa Clasificación y Apoyo inicial Alto Administrativa Solicitud de Servicio Financiera Investigación y Diagnostico Humana Resolución y Recuperación Alto Política Cierre del Incidente Alto Alto Alto _________________________________________________________________________________ Pág. 5 Subdirección de Informática Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx Comisión Nacional de Acuacultura y Pesca Unidad de Administración Subdirección de Informática Mecanismos de difusión de la Directriz Talleres de concientización a todo el personal de la Subdirección de Informática Difusión de la directriz por medio de material de despliegue Publicación de presentaciones en el portal (intranet) de la secretaria Mecanismos de revisión del cumplimiento de la Directriz El titular de la Subdirección de Informática será responsable de revisar los reportes de gestión de procesos de administración de seguridad de la información de manera anual para asegurar el cumplimiento de la Directriz. Mecanismos de revisión del cumplimiento de la Directriz El titular de la Subdirección de Informática realizará una revisión anual del proceso de administración de riesgos de las tecnologías de la información como parte de las actividades del GIISI, así como la revisión de la dirección de los sistemas de gestión en la Comisión Nacional. Mecanismos de revisión periódica de la Directriz con respecto a las necesidades de la Comisión El titular de la Subdirección de Informática realizará una revisión anual del proceso de administración de riesgos de las tecnologías de la información como parte de las actividades del GIISI, así como la revisión de la dirección de los sistemas de gestión en la Comisión Nacional. 3. Firmas de autorización del Documento Lugar y Fecha: Mazatlán, Sinaloa a de de ELABORACIÓN ELABORACIÓN NOMBRE PUESTO NOMBRE PUESTO REVISIÓN AUTORIZACIÓN NOMBRE PUESTO NOMBRE PUESTO _________________________________________________________________________________ Pág. 6 Subdirección de Informática Av. Camarón Sábalo S/N esquina con Tiburón Fracc. Sábalo Country Club C.P. 82100 Mazatlán, Sinaloa Tel. +52 (669) 9-15-69-00, www.conapesca.gob.mx