cortes de luz abril 2024 en la provincia de tungurahua
Vulneravilidades y riesgos de la información
1. VULNERAVILIDADES Y RIESGOS DE
LA INFORMACIÓN ALCALDÍA
MUNICIPAL DE SANTA ROSA DEL
SUR
LEYDY JOHANA VARGAS SOLER
Alcaldía Municipal de Santa Rosa del Sur-Bolívar.
Curso : Seguridad de a información- MinTIC 2014
2. METODOLOGÍA EMPLEADA PARA LA IDENTIFICACIÓN
DE VULNERABILIDADES Y RIESGOS DE LA
INFORMACIÓN
Metodología utilizada para la identificación, análisis y valoración de las
vulnerabilidades y riesgos de información de la Alcaldía Municipal de
Santa Rosa del Sur, ha sido la establecida por el Departamento
Administrativo de la Función Pública en la Guía Administración del riesgo.
3. Criterio para la aceptación de riesgos e
identificación de niveles de riesgos aceptables
Los criterios para la aceptación de riesgos e identificación de niveles de
riesgo aceptable están definidos en la Guía para Administración de
Riesgos de la entidad, Versión 2 de 17 de octubre del 2014 aprobada por
el Comité Sistema de Gestión Integrado de la entidad y son los siguientes:
1. Criterio de aceptación del riesgo: el riesgo se asume o acepta, si el
riesgo se ubica en la Zona de Riesgo baja, por lo cual permite a la
entidad asumirlo y se mantendrán las Medidas de Control que se
posee, ya que la materialización de este tipo de riesgos, no representa
un peligro elevado para la entidad, o partes interesadas.
4. Criterio para la aceptación de riesgos e
identificación de niveles de riesgos aceptables
2. Identificación de niveles de riesgo aceptable: Para la identificación de
nivele de riesgo aceptable se tiene en cuenta la tabla de calificación del
riesgo así:
FRECUENCIA VALOR ZONA DE RIESGO
Casi seguro 5 Zona de riesgo alta Zona de riesgo alta
Zona de Riesgo
extrema
Zona de Riesgo
extrema
Zona de Riesgo
extrema
Probable 4
Zona de riego
Moderada
Zona de riesgo alta Zona de riesgo alta
Zona de Riesgo
extrema
Zona de Riesgo
extrema
Posible 3
Zona de riesgo
baja
Zona de riego
Moderada
Zona de riesgo alta
Zona de Riesgo
extrema
Zona de Riesgo
extrema
Improbable 2
Zona de riesgo
baja
Zona de riesgo
baja
Zona de riego
Moderada
Zona de riesgo alta
Zona de Riesgo
extrema
Raro 1
Zona de riesgo
baja
Zona de riesgo
baja
Zona de riego
Moderada
Zona de riesgo alta Zona de riesgo alta
IMPACTO Insignificante Menor Moderado Mayor Catastrófico
VALOR 1 2 3 4 5
5. CONTEXTO ESTRATÉGICO.
Proceso Gestión de la Información y Recursos tecnológicos
Alcaldía Municipal Santa Ros del Sur-Bolívar
PROCESO Gestión de la Información y Recursos técnologicos
OBJETIVO DEL PROCESO
Planificar y Administrar las Tecnologías de información y la Gestión documental, asegurando la disponibilidad, continuidad y
seguridad de la plataforma tecnológica y garantizando la preservación y disponibilidad de la información de acuerdo a la
legislación vigente.
PROCEDIMIENTOS
ASOCIADOS
Soporte técnico, Desarrollo de software, Implementación de tecnologías, Administración de sistemas, Correspondencia enviada,
correspondencia recibida, Control de documentos, Control de registros.
CAUSA RIESGO CONSECUENCIAS
INTERNO EXTERNO
Puede suceder … Lo que podria ocacionar...
Factor de Riesgo Debilidad (Debido a…) Factor de Riesgo
Amenaza (Debido
a..)
Personal
Uso indebido de medios de
almacenamiento externos.
Los funcionarios de la
entidad no realizan la
devolución de los
documentos prestados.
No aplicación de las normas
de archivo.
No tener creados los
usuarios
ni definidos los perfiles
asignados a los mismos.
No aplicación de políticas de
seguridad informática.
Tecnológicos
Falta de controles en
el acceso a paginas
no autorizadas de
Internet.
Programa de
antivirus no
instalados o
actualizados en los
equipos.
Correos electrónicos
con archivos
maliciosos.
Pérdida de
información
documental
Daños en el software y /o
Hardware.
Inestabilidad y mal
funcionamiento de los equipos.
Interrupción en la prestación
del servicio.
Investigaciones disciplinarias
Personal
Presión, amenaza por parte
de los interesados a un
funcionario o servidor
público.
No aplicación de controles
de acceso al los sistemas de
información y archivo fisico.
Presión, amenaza por parte
de los interesados a un
funcionario o servidor
público.
Manipulación o
adulteración de la
información
Pérdida de información.
Investigaciones disciplinarias.
Imposición de sanciones
disciplinarias y fiscales.
Destitución del cargo.
Perdida de imagen
institucional.
6. IDENTIFICACIÓN DE RIESGOS
Proceso Gestión de la Información y Recursos tecnológicos
Alcaldía Municipal Santa Ros del Sur-Bolívar
RIESGO CLASIFICACIÓN CAUSA DESCRIPCIÓN
EFECTOS (Posibles
Consecuencias)
Pérdida de información documental Operativo
Uso indebido de medios de
almacenamiento externos.
Los funcionarios de la entidad no
realizan la devolución de los
documentos prestados.
No aplicación de las normas de
archivo.
No tener creados los usuarios
ni definidos los perfiles
asignados a los mismos.
No aplicación de políticas de
seguridad informática.
. Falta de controles en el acceso a
paginas no autorizadas de Internet.
Programa de antivirus no instalados o
actualizados en los equipos.
Correos electrónicos con archivos
maliciosos.
Perdida de registros
documentales Por daños o
ataques a los sistemas
informáticos ocasionado por
programas elaborados
intencionalmente por
terceros(SPAM,Hackers,
Pishing e Ingeniería Social),
o por no aplicación de
normas de archivo
Daños en el software y /o Hardware.
Inestabilidad y mal funcionamiento de
los equipos.
Interrupción en la prestación del
servicio.
No cumplimiento de las normas de
archivo.
Investigaciones disciplinarias
Manipulación o adulteración de la
información Cumplimiento
Presión, amenaza por parte de los
interesados a un funcionario o
servidor público.
No aplicación de controles de acceso
al los sistemas de información y
archivo fisico.
Presión, amenaza por parte de los
interesados a un funcionario o
servidor público..
Manipulación o adulteración
de información contenida en
los sistemas de información y
archivo de cada uno de los
procesos
Pérdida de información.
Investigaciones disciplinarias.
Imposición de sanciones disciplinarias
y fiscales.
Destitución del cargo.
Perdida de imagen institucional.
7. ANALISIS DE RIESGOS
Proceso Gestión de la Información y Recursos tecnológicos
Alcaldía Municipal Santa Ros del Sur-Bolívar
RIESGO DESCRIPCIÓN
CALIFICACION
EVALUACI
ON (Zona
de Riesgo)
MEDIDAS DE
RESPUESTA
IMPACTO
FRECUENCIA
PROBABILID
AD
PERFIL
DEL
RIESGO
TIPO DE
IMPACTO
SUB TIPO
CALIFICACIÓ
N
Perdida de registros
documentales Por
daños o ataques a
los sistemas
informáticos
ocasionado por
programas
elaborados
intencionalmente
por
terceros(SPAM,Hac
kers, Pishing e
Ingeniería Social), o
por no aplicación de
normas de archivo
Pérdida de información
documental
Operativo
Interrupción del
proceso de un
día
3
Al menos una
vez en el ultimo
año
4
48
ZONA
RIESGO
ALTA
Evitar el riesgo
Manipulación o
adulteración de
información
contenida en los
sistemas de
información y
archivo de cada uno
de los procesos
Manipulación o
adulteración de la
información
Legal
Intervensión_S
anción
5
No se ha
presentado en
los últimos
cinco años 1 20
ZONA
RIESGO
ALTA
Evitar el riesgo
8. VALORACIÓN DEL RIESGO
Proceso Gestión de la Información y Recursos tecnológicos
Alcaldía Municipal Santa Ros del Sur-Bolívar
RIESGO DESCRIPCIÓN
DESCRIPCION
DEL CONTROL
TIPO DE
CONTRO
L
CRITERI
O QUE
AFECTA
HERRAMIENTAS PARA EL
CONTROL
SEGUIMIENTO AL
CONTROL
CALIFICA
CIÓN DEL
CONTROL
CONTRO
L DEL
RIESGO
VALORACIÓN DEL
RIESGO
MEDIDAS
DE
RESPUE
STA
Existen
manuales,
instructivo
s o
procedimie
ntos para
el manejo
del control
El control
es
automátic
o o
manual
Está
definido el
responsab
le de la
ejecución
del
control
La
frecuencia
de
ejecución
y
seguimien
to del
control es
adecuada
Se cuenta
con
evidencia
s de la
ejecución
y
seguimien
to
El tiempo
que lleva
el control
ha
demostra
do ser
efectiva
NUEVA
PROBABILIDAD
NUEVO IMPACTO
NUEVO PERFIL
DEL RIESGO
NUEVA
EVALUACION
Pérdida de
información
documental
Perdida de registros
documentales Por
daños o ataques a los
sistemas informáticos
ocasionado por
programas elaborados
intencionalmente por
terceros(SPAM,Hacker
s, Pishing e Ingeniería
Social), o por no
aplicación de normas
de archivo
Utilizacion de
Sistemas de
detección de
intrusos y
cortafuegos.
Control
Preventiv
o
Probabili
dad NO
Automáti
co NO NO NO SI 50
55 3 3 36
Zona
de
riesgo
alta
Evitar el
riesgo
Aplicación de
Tablas de
Retención
documental
Control
Preventiv
o
Probabili
dad SI Manual SI SI SI NO 60
0
Manipulación o
adulteración de la
información
Manipulación o
adulteración de
información contenida
en los sistemas de
información y archivo
de cada uno de los
procesos
Asignación de
usuarios y claves
de acceso a los
sistemas de
Información.
Control
Preventiv
o
Probabili
dad NO Manual NO NO NO NO 10
45 1 5 20
Zona
de
riesgo
alta
Evitar el
riesgo
Aplicación de
Tablas de
Retención
documental
Control
Preventiv
o
Probabili
dad SI Manual SI SI NO SI 80
0
9. PLAN DE MANEJO
Proceso Gestión de la Información y Recursos tecnológicos
Alcaldía Municipal Santa Ros del Sur-Bolívar
RIESGOS DESCRIPCIÓN
CONTROLES
ACTUALES
ACCIONES A IMPLEMENTAR RESPONSABLE
FECHA
DE INICIO
FECHA DE
TERMINACIÓ
N
INDICADOR
NUMERADO
R
DENOMINAD
OR
Pérdida de
información
documental
Perdida de registros
documentales Por
daños o ataques a
los sistemas
informáticos
ocasionado por
programas
elaborados
intencionalmente por
terceros(SPAM,Hack
ers, Pishing e
Ingeniería Social), o
por no aplicación de
normas de archivo
Utilizacion de Sistemas
de detección de intrusos
y cortafuegos.
Elaboración, adopción, socialización y
aplicación del Manual de Politicas y
Seguridad Informática.
Secretario del
Interior y Asuntos
Administrativos
17-oct-14 31-dic-14
Número de
acciones
implementada
s
Número de
acciones a
implemntar
Aplicación de Tablas de
Retención documental Elaboración, adopción, socialización
y aplicación del Programa de Gestión
documental.
Líder del proceso
Gestión de
Información y
Recursos
Técnologicos
17-oct-14 31-dic-14
Número de
acciones
implementada
s
Número de
acciones a
implemntar
Actualización de los procedimientos
del Proceso Gestión de la
Información y Recursos Tecnológicos
Líder del proceso
Gestión de
Información y
Recursos
Tecnológicos
17-oct-14 31-dic-14
Número de
acciones
implementada
s
Número de
acciones a
implemntar
Manipulación o
adulteración de la
información
Manipulación o
adulteración de
información contenida
en los sistemas de
información y archivo
de cada uno de los
procesos
Asignación de usuarios
y claves de acceso a los
sistemas de
Información.
Elaboración, adopción, socialización y
aplicación del Manual de Politicas y
Seguridad Informática.
Secretario del
Interior y Asuntos
Administrativos
17-oct-14 31-dic-14
Número de
acciones
implementada
s
Número de
acciones a
implemntar
Aplicación de Tablas de
Retención documental
Líder del proceso
Gestión de
Información y
Recursos
Técnologicos
Elaboración, adopción, socialización
y aplicación del Programa de Gestión
documental.
17-oct-14 31-dic-14
Número de
acciones
implementada
s
Número de
acciones a
implemntar
Actualización de los procedimientos
del Proceso Gestión de la
Información y Recursos Técnologicos
Líder del proceso
Gestión de
Información y
Recursos
Técnologicos
17-oct-14 31-dic-14
Número de
acciones
implementada
s
Número de
acciones a
implementar