MANUAL DE SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19

2 Contenido 1. INTRODUCCIÓN OBJETIVO ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN NORMATIVIDAD POLÍTICA DEL SGSI TERMINOS Y DEFINICIONES COMITÉ DE SEGURIDAD DE LA INFORMACIÓN Funciones del comité Cargos del comité: METODOLOGÍA DE GESTIÓN DE RIESGOS Objetivo Documentos de referencia Metodología de evaluación y tratamiento de riesgos Identificación y valoración de los activos de información Identificación de activos de información Identificación de Propietario, responsable y ubicación Clasificación de los activos de información Valoración de los activos de Información Análisis y Evaluación de Riesgos de Seguridad de la Información Identificación de las amenazas Identificación de las vulnerabilidades Identificación de los Riesgos Selección de la Probabilidad de Ocurrencia Determinar el impacto en los Activos de Información Valoración del Riesgo Inherente Identificación de controles existentes Definición de los niveles de aceptación de Riesgos Tratamiento de Riesgo Identificación de opciones de tratamiento del Riesgo Preparación de planes de tratamiento Página 2 de 19

3 Monitoreo Revisiones periódicas de la evaluación y el tratamiento de riesgos Página 3 de 19

4 1. INTRODUCCIÓN Con el aumento en el número de incidentes de seguridad de la información en las entidades los cuales generan pérdidas financieras y reputacionales, se crea la necesidad de implementar un Sistema de Gestión de Seguridad de la Información donde se diseñen, documenten, implementen y monitoreen controles basados en una gestión de riesgos que minimice el impacto y/o la probabilidad, a fin de mantenerlos en niveles aceptables para la entidad. El Ministerio de Ambiente y Desarrollo Sostenible decide establecer, implementar, mantener y mejorar un SGSI; es por ello necesario construir un manual de seguridad de la información donde se encuentre la normatividad, alcance, política, comité de seguridad y la metodología de gestión de riesgo del SGSI. 1. OBJETIVO Proporcionar un panorama general del Sistema de Gestión de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible. 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Protección de los activos de información requeridos para la Formulación, seguimiento y evaluación de políticas públicas ambientales, en la sede de Bogotá, Calle 37 No. 8 40, de acuerdo a la declaración de aplicabilidad. 3. NORMATIVIDAD El diseño e implementación del Sistema de Gestión de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible se basa normatividad exigida por el Ministerio de las Tecnologías de la Información y Comunicaciones en el Manual 3.1 para la Implementación de la Estrategia de Gobierno en línea para entidades del Orden Nacional. Ley 1273 de 2009 denominada Protección de la información y los datos, normas ISO 2700 Sistema de Gestión de Seguridad de la Información, ISO Guía de buenas prácticas de seguridad de la información, ISO 27005, Guía para la Gestión de los riesgos de la seguridad de la información. Página 4 de 19

5 4. POLÍTICA DEL SGSI El Ministerio de Ambiente y Desarrollo Sostenible, busca que la información de la entidad preserve su confidencialidad, disponibilidad e integridad, protegiéndola contra amenazas internas y externas, mediante una identificación, valoración, implementación de controles, monitoreo y seguimiento de los niveles de riesgo de acuerdo a la metodología de gestión de riesgos en seguridad de la información a niveles aceptables. El Ministerio de Ambiente y Desarrollo sostenible se compromete a cumplir con las disposiciones constitucionales y legales aplicables a la Entidad relacionadas con la seguridad de la información, además, a que se establezca, implemente, opere y mantenga la seguridad de la información como parte de la mejora continua de la Entidad, apoyando el logro de sus objetivos y el cumplimiento de los compromisos institucionales con: la lucha anticorrupción, lucha antipiratería, con la confidencialidad de la información, la circulación y divulgación adecuada de la información, y con el gobierno en línea. Como objetivo de la Política se tienen: Asegurar los activos de información del Ministerio de Ambiente y Desarrollo Sostenible en su confidencialidad, integridad y disponibilidad contra amenazas internas o externas, deliberadas o accidentales. Capacitar al personal de la entidad en seguridad de la información para la prevención de incidentes que afecten continuidad de las operaciones. Cumplir con legislación que aplica al Ministerio de Ambiente y Desarrollo Sostenible para prevenir sanciones por entes reguladores de acuerdo a la normatividad Colombiana vigente. La Política de Seguridad de la Información del Ministerio de Ambiente y Desarrollo sostenible será revisada al menos 1 vez al año o cuando se presenten cambios significativos en la Entidad como: Objetivos y procesos. La tecnología. Condiciones contractuales, regulatorias y legales. Página 5 de 19

6 5. TERMINOS Y DEFINICIONES Establecer las normas que se deben cumplir en cuanto a la clasificación, manejo y etiquetado de la información, con el fin de asegurar que reciba el nivel de protección adecuado de la información del MADS. Activo: recursos del sistema de información o relacionados con este, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección. Amenazas: eventos que pueden desencadenar un incidentes en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Control: Medida preventiva o correctiva ante la presencia de diferentes riesgos. Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo. Impacto de un activo: consecuencia sobre éste de la materialización de una amenaza Riesgo: Toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el desarrollo normal de las funciones de la empresa e impidan el logro de sus objetivos. Riesgo Residual: Valor de riesgo tras la aplicación de uno o varios controles. 6. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN El comité de seguridad se encarga de definir el alcance, planificar, controlar y verificar los procesos del SGSI. El comité es primordial en la implementación del SGSI ya que es el ente que regula cualquier cambio dentro del sistema de gestión, siempre apuntando a una mejora constante. 6.1 Funciones del comité Las funciones del comité son las siguientes: Revisar periódicamente el estado general de la seguridad de la información, mínimo cada año. Revisar y monitorear los incidentes de seguridad de la información. Revisar y aprobar los proyectos de seguridad de la información. Página 6 de 19

7 Revisión y aprobación de las modificaciones o nuevas políticas de seguridad de la información del SGSI. Realizar otras actividades de alto nivel relacionadas con la seguridad de la información. Establecer proyectos espaciales para la identificación de amenazas potenciales. Evaluar la efectividad de las medidas tomadas. Elaborar un plan de formación y sensibilización. Presupuestar los recursos necesarios. Planificar auditorías internas periódicas del SGSI. Sancionar las medidas de seguridad en el procesamiento de la información. Validación jurídica de las medidas a implantar. Reportar a la alta gerencia sobre eventos e incidentes de seguridad 6.2 Cargos del comité: El comité debe estar conformado por miembros de alto nivel de los despachos, oficinas y áreas del MADS. Los cargos que hacen parte del comité se describen en la siguiente tabla: CARGOS FUNCIONES RESPONSABILIDADES Coordinador de Seguridad de la información Jefe de Control Interno Disciplinario Coordinar las acciones del Comité de Seguridad e impulsar la implementación y cumplimiento de la presente Política. Brindar Seguridad de los sistemas de información del MADS. Clasificar la información de acuerdo con el grado de sensibilidad y criticidad para la correspondiente área. Documentar y mantener actualizada la información, y definir qué usuarios deberán tener permisos de acceso a la información de acuerdo a sus funciones, perfiles y competencias. Notificar a todo el personal de sus obligaciones respecto a la verificación, desarrollo, planes y programas de auditoría en los tiempos establecidos tomando como insumo principal los diagnósticos y matrices de riesgo. Informar trimestralmente del estado de la seguridad de la información al nivel directivo del MADS. Realizar auditorías periódicas que permitan verificar el cumplimiento del SGSI. Página 7 de 19

8 Coordinador de Infraestructura Jefe Jurídico Coordinador Talento Humano Coordinador Financiero Profesional especializado (TIC) Cumplir con los requerimientos de seguridad informática establecidos para la operación, administración y comunicación de los sistemas y recursos de tecnología del MADS. Verificar el cumplimiento de la presente Política en la gestión de todos los contratos, acuerdos u otra documentación del MADS con sus empleados y con terceros. Notificar a todo el personal de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ella surjan. Presupuestar y aprobar los recursos necesarios para implantar y soportar las políticas de seguridad Conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad y procedimientos de la Información vigente del MADS. Implementación de controles técnicos en seguridad informática. Realización de asesorías en materia legal al MADS, en cuanto se refiere a la seguridad de la información. Promover la formación y concientización en materia de seguridad de la información dentro de su ámbito de responsabilidad. Realizar informes trimestrales de los recursos financieros mantener y mejorar las políticas de seguridad. Supervisión del cumplimiento según lo establecido en la política de seguridad de la Información del MADS por parte de su personal a cargo. Nota: El Jefe de Control Interno Disciplinario, Jefe Jurídico, el coordinador de Talento Humano y/o el coordinador financiero solo serán llamados a reunión de comité si es justificado tratar temas de sus correspondientes áreas. 7. METODOLOGÍA DE GESTIÓN DE RIESGOS 7.1 Objetivo El objetivo de la metodología es identificar, evaluar y tratar y monitorear los riesgos de la información en el Ministerio de Ambiente y Desarrollo Sostenible y definir los niveles aceptables de riesgo según la norma ISO/IEC Página 8 de 19

9 Establecer el marco conceptual para la gestión de activos de información y para la gestión de riesgos de seguridad de la información; contemplando la definición de las amenazas a las que están expuestos dichos activos y las vulnerabilidades que pueden ser explotadas por éstas amenazas, al igual que los impactos, probabilidades, evaluación de riesgos y verificación de los controles existentes a ser tenidos en cuenta en el análisis y evaluación de riesgos. Facilitar la implantación de una herramienta metodología para realizar un inventario de los riesgos de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible de una manera sistemática y ordenada. 7.2 Documentos de referencia Norma ISO/IEC Política del Sistema de Gestión de Seguridad de la Información. Plan de tratamiento de Riesgos. Matriz de Riesgos. 7.3 Metodología de evaluación y tratamiento de riesgos La Metodología empleada tiene un enfoque para la gestión de riesgos de cara a los activos de información identificados y valorados en el Ministerio del Ambiente y Desarrollo Sostenible y poder diseñar, implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI) de la entidad Identificación y valoración de los activos de información Identificación de activos de información Según la norma ISO/IEC un activo de información es cualquier elemento que tenga valor para la organización y, en consecuencia, deba ser protegido. El primer paso es la identificación de los activos de información y debe realizarse teniendo en cuenta el alcance definido y aprobado por la alta dirección para el Sistema de Gestión de Seguridad de la información, las fuentes de identificación de los activos de información se remite a los procesos y responsables que interactúan con el alcance del SGSI, y son registrados en la Matriz de Riesgos. Actividades claves para la identificación Definir personal y agenda de entrevistas Página 9 de 19

10 Establecer la forma de recopilar y tabular la información capturada Identificación de Propietario, responsable y ubicación Los activos de información previamente identificados en el paso anterior, deben tener su respectivo Propietario, área o proceso donde se crea o custodia dicho activo; Responsable, es un funcionario perteneciente al área o proceso propietario de uno o un grupo de activos de información quien debe velar por que los controles de seguridad sean implementados; Ubicación, es el área física donde se mantiene el activo de información Clasificación de los activos de información Los activos de información serán clasificados de acuerdo a un tipo y clase en el Ministerio de Ambiente y Desarrollo Sostenible: Tipo de activo Activos de Información Puros Activos de Tecnologías de Información Clase de activo Información Digital Información Física Activos de Información intangibles Servicios de información Software Hardware de TI Activos de Información Recurso Humano Controles ambientales Empleados No Empleado Tabla 1. Clasificación de Activos de información Valoración de los activos de Información Posteriormente, cada activo de información debe ser valorado de acuerdo a su impacto en términos de la pérdida de los tres (3) principios básicos de la seguridad de la información como son la: Confidencialidad, Integridad y Disponibilidad. Página 10 de 19

11 Confidencialidad: Es la propiedad de que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. Integridad: Es la propiedad de que la información sea accesible y utilizable por solicitud de un individuo o entidad autorizada cuando se requiera. Disponibilidad: Es la propiedad de salvaguardar la exactitud y estado completo de los activos de información. Partiendo de las tres (3) características de la seguridad de la información se establece la escala de calificación que contempla cinco (5) niveles de impacto: Valoración Cuantitativa Valoración Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto 5 Muy Alto Tabla 2. Confidencialidad, Integridad y Disponibilidad Confidencialidad (C): Integridad (I): Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Se puede acceder por cualquier usuario Se puede acceder solo por funcionarios o contratistas de la entidad. Se puede acceder por Líderes de Proceso. Solo es posible el acceso por el comité de Gerencia. Solo es posible el acceso por la 5 Muy Alto Alta Dirección. Tabla 3. Confidencialidad Página 11 de 19

12 Escala Cuantitativa Disponibilidad (D): Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Puede ser modificado en cualquier momento y cualquier usuario Es posible la modificación por cualquier funcionario o contratista de la entidad. Es posible la modificación por Líderes de Proceso. Solo se modifica bajo autorización del comité de Gerencia. Solo se modifica con autorización 5 Muy Alto de la Alta Dirección. Tabla 4. Valoración integridad Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción El activo No está disponible por 1 semana y no afecta a la Entidad El activo No está disponible hasta por 3 días y no afecta a la Entidad El activo no puede estar no disponible por más de 1 día. El activo no puede estar no disponible por más de 4 horas. El activo debe estar disponible 5 Muy Alto siempre. Tabla 5. Valoración disponibilidad Cada activo de información será valorado en términos de Confidencialidad, Integridad y Disponibilidad. El valor del activo de información está dado por: Valor Activo = C + I + D (1) La valoración de los activos de información estará clasificada según la siguiente escala: VALOR DEL ACTIVO Clasificación Valor Muy Alto Alto Página 12 de 19

13 Medio 8-10 Bajo 5-7 Muy bajo 3-4 Tabla 7. Clasificación del Valor del Activo Análisis y Evaluación de Riesgos de Seguridad de la Información Identificación de las amenazas Las amenazas son de origen natural o humano y pueden ser accidentales o deliberadas, algunas amenazas pueden afectar a más de un activo generando diferentes impactos. La siguiente tabla presenta las amenazas identificadas en el Ministerio de Ambiente y Desarrollo Sostenible: Acceso no autorizado Avería de origen físico Entidades reguladoras Corte de suministro eléctrico Daños por agua Degradación de los soportes principales de almacenamiento de información Derrame de líquidos o sólidos Amenazas Virus informático y software malicioso Errores de monitorización (log s) Errores de usuarios Fallas eléctricas Fallo de comunicaciones Fenómeno natural Fuego Tabla 8. Amenazas Identificación de las vulnerabilidades Las vulnerabilidades de los activos de información son debilidades que son aprovechadas por amenazas y generan un riesgo, una vulnerabilidad que no tiene una amenaza, puede no requerir de la implementación de un control, para lo cual es necesario identificarla y monitorear. Pero es necesario dejar claro que un control mal diseñado e implementado puede constituir una vulnerabilidad. La identificación de las vulnerabilidades se basa en la realización de encuestas a los responsables de los activos de información y serán registradas en el Matriz de Riesgos Identificación de los Riesgos Página 13 de 19

14 Los riesgos identificados en el Ministerio de Ambiente y Desarrollo Sostenible, relacionados a las vulnerabilidades y amenazas de los activos de información están listados en la matriz de riesgos donde se definen y se cruzan según el activo de información que se ve afectado. Los riesgos están clasificados por: Tipo Riesgo Lógico Físico Locativo Legal Tabla 9. Tipos de Riesgo Selección de la Probabilidad de Ocurrencia La probabilidad de ocurrencia de que una amenaza explote una vulnerabilidad en un activo de información, generando un impacto en la empresa está determinada por la ponderación de dos (2) variables: Probabilidad Total = [0.30*(Probabilidad A) *(Probabilidad B)] (3) La probabilidad A esta determinada según los resultados de la encuesta realizada a los directores de área. La encuesta está separada en 3 partes: Seguridad Lógica. Seguridad Física. Seguridad Locativa. Seguridad Legal. Se realiza una encuesta con 122 preguntas en una entrevista realizada a los líderes de procesos principales de la compañía (Directores de Área) y personal de apoyo. Aspectos de seguridad evaluados en la encuesta: Seguridad Lógica: a. Control de acceso b. Manejo de la información c. Manejo del software d. Salida de información Página 14 de 19

15 e. Entrada de datos Seguridad Física f. Utilización de equipos g. Cuidado del equipo Seguridad Locativa h. Ubicación de los equipos con respecto a las instalaciones i. Ubicación de los equipos (control ambiental) Seguridad Legal j. Cumplimiento Legal Los resultados de la encuesta se determinó el nivel de seguridad en porcentaje y aplicando la fórmula: 100%-Nivel de seguridad = Probabilidad (4) Para cada encuestado se identificó las probabilidades para los cuatro (4) tipos de riesgo: Lógico, Físico, Locativo y Legal. La probabilidad B estará determinado por el responsable del proceso en base a su experiencia, de acuerdo a la estimación del riesgo asociado con la amenaza y vulnerabilidad de los activos de información, en casos que donde los riesgos identificados se hayan presentado al menos una vez en la compañía. Para los riesgos que no se han materializado, el valor de probabilidad estará sujeto a datos de referencias externas. Con los valores de probabilidad de riesgo arrojado por la encuesta y por criterio de auditor, se definen las siguientes escalas: Encuesta Criterio de Auditor 0-20% % % % % % % % % 5 >= 11 % 5 Tabla 10. Escalas de Probabilidad Con los valores de probabilidad de riesgo identificado por los responsables se define la siguiente escala: Página 15 de 19

16 Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Se ha presentado una vez en la entidad en los últimos 10 años. Se ha presentado alguna vez en la entidad en los últimos 5 años. Se presenta al menos una vez al año. Se presenta con alguna frecuencia (1 vez cada trimestre) Ocurre con cierta periodicidad. (Una vez cada mes) Tabla 1. Escalas de Probabilidad 5 Muy Alto Teniendo los dos (2) valores necesarios para el cálculo de la probabilidad, se procede a aplicar la ecuación N 3, obteniendo finalmente el valor total de la probabilidad Determinar el impacto en los Activos de Información El impacto está determinado por el máximo valor de la calificación registrada en términos de la seguridad de la información (Confidencialidad, Integridad y Disponibilidad) de los activos de información Valoración del Riesgo Inherente El marco de referencia utilizado en la evaluación del riesgo para los activos es la norma ISO Para la valoración y evaluación de los riesgos se tendrán en cuenta las siguientes variables definidas anteriormente: Valor del activo (VA). Probabilidad P(a,v). Valor Impacto (IMP). Valor Riesgo = P(a,v) * Valor Impacto * Valor Activo (5) Página 16 de 19

17 Con la anterior formula se obtiene el valor del riesgo asociado a cada activo de información en términos de su confidencialidad, integridad, disponibilidad, valor económico, la probabilidad de ocurrencia y el impacto asociado al SGSI. Los rangos calculados del valor del riesgo son: Clasificación Riesgo Rango Muy Alto Alto Descripción El valor de riesgo se considera Muy Alto por tener valor de impacto, probabilidad y valor de activo considerables, por lo que es necesario implementar controles. El valor de riesgo se considera Alto, es necesario implementar controles, de acuerdo a los niveles de tratamiento aprobados por la alta dirección Medio Bajo Muy Bajo 3 76 El valor de riesgo está en un nivel aceptable Medio, de acuerdo a los niveles de aceptación de la entidad. Se debe tener monitoreado para identificar cambios en su valoración. El valor de riesgo se encuentra controlado, se recomienda revisiones periódicas. El valor de riesgo no necesita ser tratado, solo realizar revisiones periódicas. Tabla 11. Clasificación del Valor de Riesgo Identificación de controles existentes Se realiza identificación de controles documentados, implementados y monitoreados por la entidad para la gestión del riesgo. Después es necesario verificar el valor del riesgo residual y determinar si es posible aplicar un plan de tratamiento Definición de los niveles de aceptación de Riesgos Se propone como un valor de riesgo aceptable por el Ministerio de Ambiente y Desarrollo Sostenible en los siguientes rangos: Muy Bajo (3-76) Bajo (77-151) Medio ( ) Los rangos seleccionados se consideran como valores de riesgo aceptables debido a que su probabilidad de ocurrencia o su impacto son Medio o Bajo en caso de materializar una o varias amenazas. Página 17 de 19

18 7.3.3 Tratamiento de Riesgo Identificación de opciones de tratamiento del Riesgo Los niveles de riesgo propuestos a tratar, establecidos como rangos críticos en Ministerio de Ambiente y Desarrollo Sostenible son Alto y Muy Alto, que corresponden a las siguientes valoraciones en la matriz: Alto ( ) Muy Alto ( ) Los rangos seleccionados se eligen por que involucran la posible materialización de amenazas sobre vulnerabilidades generando riesgos en los activos de información con graves consecuencias en la entidad. Las acciones definidas para el tratamiento de los riesgos después de su evaluación son: Evitar la acción que da origen al riesgo particular. Se evalúa y determina la viabilidad de si se puede o no evitar el riesgo en la compañía mediante el impacto que esto generaría. Transferir a entidades como aseguradoras o proveedores que puedan gestionar de manera eficaz el riesgo particular, siempre que no resulte un costo superior al del riesgo mismo. Para seleccionar una tercerización de un riesgo se evalúa el costo beneficio es decir sea la opción adecuada y económica en su implementación, adicionalmente se debe verificar que el riesgo residual este en los niveles de aceptación de la compañía tras su implementación. Mitigar mediante la aplicación de controles apropiados de manera que el riesgo residual se pueda revaluar como aceptable. Aceptar con el conocimiento y objetividad, siempre que cumplan con la política de seguridad previamente establecida por la organización. Es la última decisión que se toma en el tratamiento de riesgos y aplica cuando no existe opción alternativa bien sea por costo económicos o por tiempos de implementación. Los riesgos a los cuales se decide realizar tratamiento a través de controles deben garantizar su reducción hasta un nivel aceptable se encuentra en el Plan de tratamiento de riesgos del SGSI de la entidad Preparación de planes de tratamiento Los planes de tratamiento de riesgos de seguridad de la información toman como punto de partida una breve descripción del riesgo, asociado a la vulnerabilidad identificada, se selecciona la opción de tratamiento, descripción del control a ejecutar, estableciendo los recursos (Personal y económico) necesarios para la implementación. Es necesario Página 18 de 19

19 identificar, de manera única que los controles se crucen con los descritos en el anexo A de la norma ISO/IEC 27001, finalmente establecer una fecha límite de implementación Monitoreo Se considera la última fase de la gestión de riesgos de seguridad de la información por ser aquí donde se verifica la eficacia de los controles implementados para calificar nuevamente los riesgos identificados en la matriz y obtener el riesgo residual. En general, el monitoreo de los controles debe ser continuo y periódico de acuerdo a la forma de medición establecida por el Ministerio de Ambiente y Desarrollo Sostenible. 7.4 Revisiones periódicas de la evaluación y el tratamiento de riesgos La valoración de los riesgos será revisada al menos una vez al año y teniendo en cuenta cambios en: La organización La tecnología Procesos de negocio Todo control aplicado con el fin de reducir el valor de riesgo calculado debe ser medible a través de su eficacia. La aplicación de un control no necesariamente implica la reducción total del valor de riesgo esperado sino la reducción a los niveles de riesgo aceptables establecidos por la organización. La funcionalidad de los controles debe ser constantemente evaluada; en caso de no obtener los resultados esperados se les deben aplicar las mejoras a través de una nueva aplicación de la metodología PHVA. Página 19 de 19