• No se han encontrado resultados

Valoración y Plan de Tratamiento de Riesgos de Seguridad de la Información para los Procesos Incluidos en el Alcance del SGSI del Cliente TGE de la Empresa ASSURANCE CONTROLTECH

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Valoración y Plan de Tratamiento de Riesgos de Seguridad de la Información para los Procesos Incluidos en el Alcance del SGSI del Cliente TGE de la Empresa ASSURANCE CONTROLTECH"

Copied!
58
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 58 página )

Texto completo

(1)VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS PROCESOS INCLUIDOS EN EL ALCANCE DEL SGSI DEL CLIENTE TGE DE LA EMPRESA ASSURANCE CONTROLTECH. DIANA FERNANDA JARA PÉREZ. UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD DE INGENIERÍA INGENIERÍA DE SISTEMAS BOGOTÁ D.C. 2017 1.

(2) VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS PROCESOS INCLUIDOS EN EL ALCANCE DEL SGSI DEL CLIENTE TGE DE LA EMPRESA ASSURANCE CONTROLTECH. DIANA FERNANDA JARA PÉREZ. Proyecto de pasantía para optar al título de Ingeniera de Sistemas. Director Interno OCTAVIO JOSÉ SALCEDO PARRA Doctor en Telecomunicaciones. Director Externo CARLOS ALBERTO ENRÍQUEZ ARCOS Magíster en Arquitecturas de Tecnologías de la Información. UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD DE INGENIERÍA INGENIERÍA DE SISTEMAS BOGOTÁ D.C. 2017 2.

(3) CONTENIDO pág. INTRODUCCIÓN .......................................................................................................................... 8 1.. PLANTEAMENTO DEL PROBLEMA ................................................................................. 9. 2.. OBJETIVOS ......................................................................................................................... 10. 2.1.. OBJETIVO GENERAL .................................................................................................... 10. 2.2.. OBJETIVOS ESPECÍFICOS ............................................................................................ 10. 3.. ENTREGABLES DEL PROYECTO.................................................................................... 11. 4.. MARCO REFERENCIAL .................................................................................................... 12. 4.1.. MARCO HISTÓRICO ...................................................................................................... 12. 4.1.1.. Visión ............................................................................................................................ 12. 4.1.2.. Misión ........................................................................................................................... 12. 4.2.. MARCO TEÓRICO .......................................................................................................... 13. 4.2.1.. Términos y definiciones ................................................................................................ 13. 4.2.2.. La Seguridad de la Información .................................................................................... 15. 4.2.2.1.. Confidencialidad: ...................................................................................................... 16. 4.2.2.2.. Integridad: ................................................................................................................. 16. 4.2.2.3.. Disponibilidad: .......................................................................................................... 16. 4.2.3. NORMA ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la Información – Requisitos ...................................................................................................................................... 16 4.2.4. NORMA ISO/IEC 27002:2013 Código para la práctica de la gestión de la seguridad de la información. .............................................................................................................................. 17 4.2.5.. NORMA ISO 31000:2009 Gestión de Riesgos ............................................................. 18. 4.2.5.1.. Comunicación y consulta .......................................................................................... 19. 4.2.5.2.. Establecer el Contexto ............................................................................................... 19. 4.2.5.3.. Valoración del Riesgo ............................................................................................... 20. 4.2.5.4.. Identificación de los Riesgos ..................................................................................... 20. 4.2.5.5.. Análisis de los Riesgos .............................................................................................. 20. 4.2.5.6.. Evaluación de los Riesgos ......................................................................................... 20. 4.2.5.7.. Tratamiento de los Riesgos ....................................................................................... 21. 3.

(4) 4.2.5.8. 4.2.6.. Monitoreo y Revisión ................................................................................................ 22 Metodología de Gestión de Riesgos de Seguridad de la Información ........................... 22. 5. VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN........................................................................................................................... 24 5.1.. PROCESO CALL CENTER ............................................................................................. 24. 5.2.. PROCESO ENTREGA PERSONALIZADA ................................................................... 25. 5.3.. METODOLOGÍA DE GESTIÓN DE RIESGOS – DESARROLLO DE LAS FASES ... 26. 5.3.1.. Fase 1 - Establecimiento del Contexto de la organización ............................................ 26. 5.3.2.. Fase 2 – Identificar el Riesgo ........................................................................................ 27. 5.3.2.1.. Identificación y Clasificación de Activos de Información ........................................ 27. 5.3.2.2.. Identificación y Clasificación de Activos de Información Call Center ..................... 31. 5.3.2.3.. Identificación y Clasificación de Activos de Información Entrega Personalizada ... 35. 5.3.2.4.. Identificación de Riesgos de Seguridad de la Información ....................................... 40. 5.3.2.5.. Identificación de Riesgos de Seguridad de la Información Call Center .................... 43. 5.3.2.6.. Identificación de Riesgos de Seguridad de la Información Entrega Personalizada... 44. 5.3.3.. Fase 3 – Análisis de Riesgo........................................................................................... 45. 5.3.3.1.. Análisis de Riesgos de Seguridad de la Información Call Center ............................. 46. 5.3.3.2.. Análisis de Riesgos de Seguridad de la Información Entrega Personalizada............ 47. 5.3.4.. Fase 4 – Evaluación del Riesgo ..................................................................................... 48. 5.3.4.1.. Evaluación del Riesgo de Seguridad de la Información Call Center ........................ 49. 5.3.4.2.. Evaluación del Riesgo de Seguridad de la Información Entrega Personalizada ....... 50. 5.3.4.3.. Mapa de Calor Riesgo Inherente y Riesgo Residual ................................................. 51. 5.3.5.. Fase 5 – Tratamiento del Riesgo ................................................................................... 53. 5.3.5.1.. Definición de Planes de Tratamiento de Riesgos de SI Call Center ......................... 54. 5.3.5.2.. Definición de Planes de Tratamiento de Riesgos de SI Entrega Personalizada ........ 55. 5.3.6. 6.. Fase 7 – Comunicación y Consulta ............................................................................... 56. CONCLUSIONES ................................................................................................................ 57. LISTA DE REFERENCIA............................................................................................................ 58. 4.

(5) LISTA DE FIGURAS pág. Figura 1. Dominios de la norma ISO 27002:2013. Elaboración Propia .............................. 17 Figura 2. Dominios, objetivos de control y controles de la ISO/IEC 27002:2013. (iso27000.es, 2013) .............................................................................................................. 18 Figura 3. Proceso para la gestión del riesgo NTC-ISO 31000:2009. (ICONTEC, 2011) ... 19 Figura 4. Las opciones de tratamiento del riesgo. (PECB, 2008) ....................................... 21 Figura 5. Fases de la metodología de gestión de riesgos. Elaboración propia. ................... 23 Figura 6. Muestra de establecimiento del contexto a partir de la matriz DOFA. Elaboración propia ................................................................................................................................... 26. 5.

(6) LISTA DE TABLAS pág. Tabla 1. Parámetros para la identificación y clasificación de activos de información ......... 28 Tabla 2. Ejemplo de Tipo de Contenedor y Contenedor de activos de información ............ 28 Tabla 3. Criterios de clasificación de activos de Información activo de Información ......... 29 Tabla 4. Matriz de identificación de activos de información para los procesos ................... 30 Tabla 5. Identificación y clasificación activo de Información "Solicitudes de Apertura de Campañas" ............................................................................................................................ 31 Tabla 6. Identificación y clasificación activo de Información "” "Manuales de Call Center proyecto” .............................................................................................................................. 32 Tabla 7. Identificación y clasificación activo de Información “Reporte de la Ultima Gestión del Call Center” .................................................................................................................... 33 Tabla 8. Identificación y clasificación activo de Información “Reporte Mensual Multilinea” .............................................................................................................................................. 34 Tabla 9. Identificación y clasificación activo de Información "Llamadas Grabadas" ......... 35 Tabla 10. Identificación y clasificación activo de Información "Informes Clientes" .......... 36 Tabla 11. Identificación y clasificación activo de Información " Papelería Bancaria " ....... 37 Tabla 12. Identificación y clasificación activo de Información " Tarjetas (crédito, débito, claves), token y Chequeras - Productos en custodia" ........................................................... 38 Tabla 13. Identificación y clasificación activo de Información "Manifiestos de Entrega" .. 39 Tabla 14. Identificación y clasificación activo de Información "Acuses de Recibo" .......... 40 Tabla 15. Parámetros para el diligenciamiento matriz de riesgos - Fase 2 Identificación ... 41 Tabla 16. Matriz para el análisis y evaluación de riesgos de SI - Fase 2 Identificación ...... 42. 6.

(7) Tabla 17. Muestra de la identificación de riesgos - Proceso Call Center ............................. 43 Tabla 18. Muestra de la identificación de riesgos - Proceso Entrega Personalizada............ 44 Tabla 19. Análisis de riesgos de SI de la muestra - Proceso Call Center ............................. 46 Tabla 20. Análisis de riesgos de SI de la muestra - Proceso Entrega Personalizada............ 47 Tabla 21. Evaluación del riesgo de SI de la muestra - Proceso Call Center ........................ 49 Tabla 22. Evaluación del riesgo de SI de la muestra - Proceso Entrega Personalizada ....... 50 Tabla 23. Zona de Riesgo .................................................................................................... 51 Tabla 24. Riesgo Inherente – Proceso Call Center ............................................................... 51 Tabla 25. Riesgo Residual – Proceso Call Center ................................................................ 52 Tabla 26. Riesgo Inherente – Proceso Entrega Personalizada.............................................. 52 Tabla 27. Riesgo Residual – Proceso Entrega Personalizada ............................................... 53 Tabla 28. Opciones de tratamiento de riesgos de seguridad de la información ................... 53 Tabla 29. Definición de planes de tratamiento de riesgos de SI Call Center ...................... 54 Tabla 30. Definición de planes de tratamiento de riesgos de SI Personalizada .................. 55. 7.

(8) INTRODUCCIÓN Hoy día, las empresas reconocen la importancia de tener adecuadamente identificada y protegida la información propia, como también la proporcionada por sus clientes, enmarcada bajo las relaciones comerciales y contractuales como los son acuerdos de confidencialidad y acuerdos de niveles de servicio, que obligan a dar un tratamiento, manejo y clasificación a la información bajo una correcta administración y custodia. La información es uno de los activos de mayor valor que poseen las empresas y puede encontrarse en diferentes medios y formas: almacenada en archivos digitales o físicos u otro medio de almacenamiento o intercambio de información, transmitida por correos físicos o electrónicos, impresa o en papel, entre otros. Por lo anterior, la Seguridad de la Información en la empresa tiene como objetivo la protección de los activos de información en cualquiera de sus estados ante una serie de riesgos o brechas que atenten contra sus principios fundamentales de confidencialidad, integridad y disponibilidad de la información, a través de la implementación de controles de seguridad, que permitan gestionar y reducir los riesgos a que está expuesta y maximizar el retorno de las inversiones en las oportunidades de negocio. Alineado a las necesidades del cliente y los requisitos para la implementación de un Sistema de Gestión de Seguridad de la Información bajo la norma NTC/ISO/IEC 27001:2013, se realizará la valoración y el plan de tratamiento de riesgos de seguridad de la información tomando como marco de referencia la norma NTC/ISO 31000:2009 de Gestión de Riesgos y la guía de controles de seguridad establecido en el estándar para la seguridad de la información ISO/IEC 27002:2013 que da las recomendaciones para la gestión de la seguridad de la información. En este documento se presenta inicialmente, la necesidad del cliente para que se lleve a cabo la valoración y el plan de tratamiento de riesgos de seguridad de la información a los procesos definidos en el alcance del Sistema de Gestión de Seguridad de la Información – SGSI., teniendo en cuenta la situación de la empresa, la normativa existente y la subjetividad de las personas a entrevistar, luego, se definen los objetivos generales, específicos y se relacionan los documentos entregables que se presentaron a Gerencia General del cliente TGE. Continuando con el marco de referencia se presentará la empresa contratista y los temas que se deben tener en cuenta para la valoración (es el proceso total de identificar, analizar y evaluar los riesgos) y el plan de tratamiento de riesgos de seguridad de la información con base en la metodología de riesgos desarrollada por el área de Seguridad de la Información. Finalmente se presenta una explicación del desarrollo de las fases definidas en la metodología implementada para realizar la valoración y definición del plan de tratamiento de riesgos de seguridad de la información presentando una muestra de la información identificada en los procesos de Call Center y Entrega Personalizada. 8.

(9) 1. PLANTEAMENTO DEL PROBLEMA Como se menciona en el portafolio de soluciones de la compañía Assurance ControlTech: Empresa colombiana que cuenta con sedes en las ciudades de Bogotá y Medellín y más de 9 años de experiencia en el mercado, lo que le ha permitido adquirir buen reconocimiento tanto en el sector privado como público, mediante la implementación de soluciones y servicios basados en tecnologías de la información, comunicaciones e infraestructura, software y hardware, seguridad de la información, consultoría, interventorías y servicios especializados de outsourcing realizados por un equipo de profesionales certificados con la experiencia necesaria para acompañar y gestionar cada proyecto de los clientes nuevos y los existentes (Assurance ControlTech, 2016). Assurance ControlTech dentro de su portafolio de servicios de Seguridad de la Información, ha sido contratada por la empresa TGE, para realizar la implementación de un Sistema de Gestión de Seguridad de la Información con base la norma NTC/ISO 27001:2013 y como requisito obligatorio de la misma surge la necesidad de realizar la valoración de los riesgos de seguridad de la información, el cual comprende la identificación, análisis y evaluación de riesgos, y continuar con la definición del plan de tratamiento de los mismos, para los procesos misionales incluidos dentro del alcance del SGSI siguiendo los principios y directrices de la norma ISO 31000:2009 y alineado a los objetivos estratégicos de la empresa. La empresa TGE definió dentro del alcance del Sistema de Gestión de Seguridad de la Información dos de los procesos misionales encargados de procesar, gestionar y custodiar información sensible correspondiente a productos financieros. El primer proceso es Call Center, responsable de realizar el agendamiento y venta de productos financieros y el segundo proceso de Entrega Personalizada, responsable de alistamiento, custodia, distribución y entrega de los productos que han sido agendados. Es por esto que surge la necesidad de realizar una valoración de riesgos desde el punto de vista de seguridad de la información y la definición del plan de tratamiento de los riesgos en apoyo conjunto con los responsables de los procesos teniendo la normativa de la empresa y la legislación aplicable. Todas las actividades que se desarrollen en una empresa, implican riesgos y en esta compañía no es la excepción, la norma ISO 31000:2009 de gestión del riesgo define “Riesgo: Efecto de la incertidumbre sobre los objetivos” (Instituto Colombiano de Normas Tecnicas y Certificación [Icontec], 2011, pág. 4). El efecto que genera la materialización de los riegos en la compañía puede ser positivo o negativo, hace necesario realizar una gestión eficaz del riesgo que permita prever su materialización y responder ante los que puedan generar efectos negativos en los objetivos la compañía, aplicando los controles necesarios para que los responsables del proceso tomen una correcta opción para el tratamiento de los mismos, evitando que estos se materialicen y/o reducir el impacto si ya se está presentando. Consiente del valor de la información como activo y la sensibilidad de la información financiera que maneja el cliente TGE en los procesos misionales del alcance, se planteó la siguiente pregunta: ¿Cómo reducir los riesgos de seguridad de la información que se presentan en los procesos de Call Center y Entrega Personalizada durante la operación?, y 9.

(10) que permitan preservar los pilares de seguridad de la información (confidencialidad, integridad y disponibilidad) en los procesos de Call Center y Entrega Personalizada de la empresa. 2. OBJETIVOS 2.1. OBJETIVO GENERAL Realizar la valoración de los riesgos de seguridad de la información para los procesos de Call Center y Entrega Personalizada del cliente TGE de Assurance ControlTech, con el fin de definir el plan de tratamiento de los riesgos de seguridad de la información de acuerdo a las necesidades de la empresa. 2.2. OBJETIVOS ESPECÍFICOS ▪. Identificar y conocer la operación y los subprocesos que conforman los proceso de Call Center y Entrega Personalizada de TGE con los responsables de los mismos y presentar la metodología de riesgos a las personas involucradas en la valoración de los riesgos y la definición de los planes de tratamiento.. ▪. Desarrollar las 6 fases que se especifican en el alcance del proyecto y se definen en la metodología de riesgos de la empresa, para realizar la valoración del riesgo acorde con los principios y directrices de la norma ISO 31000:2009 de Gestión de Riesgos para los procesos de Call Center y Entrega Personalizada.. ▪. Reducir la probabilidad de que una brecha o evento produzca un determinado impacto en los activos de información, y la empresa pueda maximizar el retorno de la inversión en las oportunidades de negocio, mediante la gestión adecuada de los riesgos de Seguridad de la Información.. ▪. Validar el resultado de la reducción del impacto de los riesgos, finalizada la fase de valoración de los riesgos de seguridad de la información en los procesos del Call Center y de Entrega Personalizada.. 10.

(11) 3. ENTREGABLES DEL PROYECTO La metodología de gestión de riesgos de seguridad de la información para ser aplicada en TGE, tomando como referencia las recomendaciones de la Norma ISO 31000:2009, está compuesta por 7 fases, y de acuerdo a lo definido en el alcance y limitaciones para el desarrollo del proyecto de pasantía se ejecutaron 6 fases como producto de la valoración de riesgos (proceso global de identificación, análisis y evaluación del riesgo) y la definición del plan de tratamiento de los riesgos de seguridad de la información. Como resultado de esta actividad, se entregó a la Gerencia General los documentos que se relacionan a continuación los cuales fueron creados en el desarrollo de cada fase de la metodología para los procesos de Call Center y Entrega Personalizada, estos son de carácter confidencial de conformidad a lo definido en el acuerdo de confidencialidad firmado entre TGE y Assurance ControlTech. •. Documento con la definición del contexto en función de las características de la empresa, utilizando el modelo de análisis DOFA.. •. Matrices de identificación y clasificación de activos de Información Resultado de la identificación y clasificación de los activos de información realizada con los responsables de los procesos de Call Center y Entrega Personalizada.. •. Matriz de identificación, análisis y evaluación de riesgos de seguridad de la información. Esta matriz contiene los riesgos de seguridad de la información identificados, analizados y evaluados a partir de los controles existente y definidos por los propietarios del riesgo de cada proceso dando como resultado el nivel de riesgo residual.. •. Mapa de calor de los riesgos identificados Representación en el mapa de calor de riesgos sin controles (inherente) y de riesgo residual identificados por el propietario del riesgo de cada proceso donde es posible identificar el nivel del riesgo el cual está asociado a la relación de las consecuencias (impacto) y el factor de ocurrencia (probabilidad).. •. Plan de tratamiento de riesgos de seguridad de la información de los procesos Los responsables de los riesgos deben formular los planes de acción o mejora de controles necesarios para el tratamiento de los riesgos residuales según su zona de criticidad, para el caso de la compañía se gestionarán los riesgos de clasificación crítica y alta, es la gerencia general quien define la opción de tratamiento a implementar (transferir, evitar, reducir o asumir).. 11.

(12) 4. MARCO REFERENCIAL 4.1. MARCO HISTÓRICO Según el portafolio de soluciones de la empresa Assurance ControlTech: Es una compañía colombiana que nació en el año 2007 prestando servicios de interventoría técnica, administrativa y financiera asegurando no sólo la calidad de los productos y/o servicios, sino también la gestión en general de los procesos involucrados en cada proyecto, en el año 2014 la empresa amplió su portafolio de servicios permitiendo crecer mediante el ofrecimiento de estos nuevos servicios a nuevos clientes y a los ya existentes, permitiendo satisfacer las necesidades mediante los servicios de consultoría, soluciones tecnológicas, de infraestructura, software y Hardware, seguridad de la información, consultoría, interventorías y servicios especializados de outsourcing realizados por un equipo de profesionales certificados con la experiencia necesaria para acompañar y gestionar cada proyecto de los clientes. Actualmente la compañía cuenta con sedes en Bogotá y Medellín y con más de 9 años de experiencia en el mercado permitido adquirir buen reconocimiento tanto en el sector privado como público, implementando soluciones y servicios basados en Tecnologías de la Información y Comunicaciones. (Assurance ControlTech, 2016). 4.1.1. Visión Lograr el reconocimiento del mercado y de la industria en soluciones de Tecnología Informática – TI con los más altos estándares de calidad y satisfacción logrando ser líderes en Áreas de Negocio, como: Gestión e Implementación de Infraestructura de TI. Big Data y Business Intelligence – BI, software de middleware. Interventoría Técnica, Administrativa y Financiera. Outsourcing de talento humano especializado (Assurance ControlTech, 2016). 4.1.2. Misión Proporcionar soluciones basadas en altos estándares de calidad en soluciones de infraestructura, Software y Hardware, seguridad, consultoría, interventorías y servicios especializados, generando valor a nuestros clientes que les permita posicionarse y desarrollarse como líderes en su mercado. (Assurance ControlTech, 2016).. 12.

(13) 4.2. MARCO TEÓRICO 4.2.1. Términos y definiciones A continuación, se listan algunos términos y definiciones de términos que se utilizarán durante el desarrollo del presente proyecto, relacionado con la gestión del riesgo y la seguridad de la información, con el objetivo de poder unificar criterios dentro de la empresa. Se toman como referencia los términos y definiciones contenidas en la Guía Técnica Colombiana GTC 137 (Gestión del Riesgo. Vocabulario), el estándar Internacional ISO/IEC 27000, la metodología de riesgos de la compañía y los términos identificados en el portal de la ISO 27000 en español, y se relacionan a continuación: “Aceptación del riesgo: Decisión informada de tomar un riesgo particular” (Icontec Internacional, 2011). “Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas...) que tenga valor para la organización” (iso27000.es, 2012). “Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el nivel del mismo” (Icontec Internacional, 2011). “Causa: Origen, comienzo de una situación determinada que genera un efecto o consecuencia” (Seguridad de la Información TGE, 2016). “Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados” (Organización Internacional de Normalización [ISO], 2014). “Consecuencia: Resultado de un evento que afecta los objetivos” (Icontec Internacional, 2011). “Criterios del riesgo: Términos de referencia frente a los cuales la importancia de un riesgo se evaluada” (Icontec Internacional, 2011). “Control: Medida que modifica el riesgo” (Icontec Internacional, 2011). “Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada” (Organización Internacional de Normalización [ISO], 2014). “Evaluación de riesgos: Proceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables” (Icontec Internacional, 2011). 13.

(14) “Evento: Presencia o cambio de un conjunto particular de circunstancias” (Icontec Internacional, 2011). “Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de originar un riesgo” (Icontec Internacional, 2011). “Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo” (Icontec Internacional, 2011). Se compone de la evaluación y el tratamiento de riesgos “Identificación de riesgos: Proceso de encontrar, reconocer y describir riesgos” (Icontec Internacional, 2011). “Integridad: Propiedad de la información relativa a su exactitud y completitud” (Organización Internacional de Normalización [ISO], 2014). “Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de la combinación de las consecuencias y su posibilidad” (Icontec Internacional, 2011). “Política para la gestión del riesgo: Declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo” (Icontec Internacional, 2011). “Propietario del riesgo: Persona o entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo” (Icontec Internacional, 2011). “Proceso: Conjunto de actividades interrelacionadas o que interactúan para transformar una entrada en salida” (iso27000.es, 2012). “Riesgo Inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles” (Seguridad de la Información TGE, 2016). “Riesgo Residual: El riesgo que permanece tras el tratamiento del riesgo o nivel resultante del riesgo después de aplicar los controles” (Icontec Internacional, 2011). “Riesgo: Efecto de la incertidumbre sobre los objetivos” (Icontec Internacional, 2011). “Riesgo de Seguridad de la Información: Probabilidad de ocurrencia de un evento que genere un impacto sobre la Confidencialidad, Integridad y Disponibilidad de la Información” (Seguridad de la Información TGE, 2016). “Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y evaluación de los riesgos” (Icontec Internacional, 2011). “SGSI: Sistema de Gestión de Seguridad de la Información” (iso27000.es, 2012). 14.

(15) “Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información” (iso27000.es, 2012). “Tratamiento del Riesgo: Proceso para modificar el riesgo” (Icontec Internacional, 2011). Incidente de seguridad de la información: Evento único o serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información (Confidencialidad, Integridad y Disponibilidad). (iso27000.es, 2012). 4.2.2. La Seguridad de la Información Según (Instituto Nacional de Ciberseguridad de España, S.A. [INCIBE], 2014) desde tiempos inmemorables las empresas han creado los medios necesarios para evitar el robo y manipulación de sus datos confidenciales. Hoy en día esto se mantiene por lo que las empresas siempre buscan mantener la seguridad de su información. La seguridad de la información busca la creación de una cultura de seguridad en todos los empleados de las empresas y la implementación de controles de seguridad que permitan reducir los riesgos a los que está expuesta y pone en peligro la integridad, confidencialidad y disponibilidad de la información o simplemente ponen a prueba los controles existentes en la empresa y la viabilidad de nuestros negocios. Es importante reconocer que los riesgos no sólo provienen desde el exterior de la empresa, sino que también pueden estar dentro de la misma, por lo que, para poder trabajar en un entorno de manera segura, se deben tener identificados los activos de información y la fuente de procedencia ya que pueden ser generados por la misma empresa o ser entregados por los clientes y estar en diferentes medios, como físicos y digital. Por lo anterior la empresa se puede apoyar en la implementación un sistema de Gestión de seguridad de la información – SGSI que permita asegurar la información y disponer de controles que permita disminuir el impacto de los riesgos. Cabe resaltar la diferenciar entre seguridad informática y seguridad de la información: La primera, se refiere a la protección de la infraestructura de las tecnologías de la información y comunicación que soportan la empresa, mientras que la seguridad de la información, se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización que soportan la organización (INCIBE, 2014). En el ítem 5.2.1 Términos y definiciones, se dio el concepto de los tres pilares o principios de la Seguridad de la Información, a continuación, se presentan las definiciones para la empresa desde los puntos de vista de seguridad de la información y de riesgos, la cual está alineada a la definición de la norma.. 15.

(16) 4.2.2.1. Confidencialidad: “Es garantizar el acceso a la información sólo a los usuarios autorizados” (Seguridad de la Información de TGE, 2016). A nivel de riesgos: “la información es accesible solamente a quienes están autorizados para ello. Información cuya divulgación puede generar desventajas competitivas, pérdidas económicas, afecta la reputación y/o imagen y de la compañía” (Seguridad de la Información TGE, 2016). 4.2.2.2. Integridad: “Evitar que la información sea modificada de manera no autorizada” (Seguridad de la Información de TGE, 2016). A nivel de riesgos: “Protección de la exactitud y estado completo de la información y métodos de procesamiento. Información sin errores ni fraude, la ocurrencia de alguna de estas ocasionará pérdidas significativas” (Seguridad de la Información TGE, 2016). 4.2.2.3. Disponibilidad: “Garantizar que la información esté disponible cuando se necesite” (Seguridad de la Información de TGE, 2016). “A nivel de riesgos: Seguridad que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando lo requieren. La información debe ser accesible y recuperable fácilmente en caso de suspensión del procesamiento” (Seguridad de la Información TGE, 2016). 4.2.3. NORMA ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la Información – Requisitos El objetivo y campo de aplicación definido en la en la presente norma, especifica: Esta Norma especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información dentro del contexto de la organización. La Norma constituye también los requisitos para la valoración y el tratamiento de los riesgos de seguridad de la información, adaptados a las necesidades de la organización. Los requisitos establecidos en esta Norma son genéricos y están previstos para ser aplicados a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza. (ICONTEC Internacional, 2013). Podemos definir un Sistema de Gestión de Seguridad de la Información como una herramienta de gestión que nos va a permitir conocer, gestionar y minimizar los posibles. 16.

(17) riesgos que atenten contra la seguridad de la información (confidencialidad, integridad y disponibilidad) de la organización (INCIBE, 2014) La implementación de la Norma permite establecer políticas, procedimientos y controles con el objeto de disminuir los riesgos de su organización, para lograrlo la dirección la compañía se ha comprometido a implementar y mantener el SGSI, involucrando: • • • • •. “Definición de políticas, estándares, procedimientos y formatos. Gestión de riesgos de seguridad de la información sobre los procesos de negocio del SGSI que involucran los activos de información. La cual se basa en el análisis, evaluación y tratamiento de los mismos de acuerdo con el estándar ISO/IEC 31000. Cumplimiento de obligaciones legales, regulatorias y contractuales relacionadas con Seguridad de la Información. Gestión de incidentes de Seguridad de la Información. Entrenamiento y sensibilización en seguridad de la información” (Seguridad de la Información de TGE, 2016). 4.2.4. NORMA ISO/IEC 27002:2013 Código para la práctica de la gestión de la seguridad de la información.. Esta norma es una guía de las buenas prácticas que recoge las recomendaciones sobre las medidas a tomar para asegurar los sistemas de gestión de una organización (INCIBE, 2014). Junto a los controles a implementar de acuerdo a la empresa al momento de hacer la valoración y definición del plan de tratamiento de riesgos de seguridad de la información. A continuación, se presenta a modo de guía la imagen con los 14 dominios de la norma ISO 27002:2013.. Figura 1. Dominios de la norma ISO 27002:2013. Elaboración Propia. 17.

(18) Está norma compuesta por 14 dominios, es decir áreas de actuación, 35 objetivos de control o aspectos a asegurar dentro de cada área y 114 controles o mecanismos para asegurar los distintos objetivos de control, como se relaciona en la siguiente figura (iso27000.es, 2013;INCIBE, 2014).. Figura 2. Dominios, objetivos de control y controles de la ISO/IEC 27002:2013. (iso27000.es, 2013). 4.2.5. NORMA ISO 31000:2009 Gestión de Riesgos La Norma ISO 3100 es un estándar para la gestión de riesgos, que al igual que la ISO 27001 para el sistema de gestión de seguridad de la información, puede ser implementado en: Organizaciones de todo tipo y tamaños, sin importar el objeto de negocio, los procesos y sus niveles, debido a que cualquiera puede enfrentar factores internas y externas, que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una organización es el “riesgo” (Icontec, 2011). La ISO 31000 no es una norma certificable para una empresa, está nos proporciona una serie de recomendaciones que van a estar planteadas como principios o directrices para la gestión de cualquier tipo de riesgo (Icontec, 2011).. 18.

(19) Para el presente proyecto se utilizará esta Norma como guía, siguiendo sus recomendaciones y directrices para realizar una eficaz y eficiente gestión de riesgos de seguridad de la información en los procesos misionales Call Center y Entrega Personalizada incluidos en el alcance del SGSI la empresa TGE. A continuación, se presenta el proceso para la gestión del riesgo de la norma ISO 31000:2009:. Figura 3. Proceso para la gestión del riesgo NTC-ISO 31000:2009 (Icontec, 2011). El proceso para la gestión del riesgo debe estar adaptado a los procesos de negocio de la organización y comprende las siguientes actividades: 4.2.5.1. Comunicación y consulta Las partes involucradas tanto a nivel interno de la compañía como externo deben comunicación eficaz durante todas las etapas del proceso de gestión del riesgo y tener definidos los medios de comunicación, con el fin de garantizar que los responsables del proceso y las partes involucradas entiendan las bases sobre las cuales se toman decisiones (Icontec, 2011). 4.2.5.2. Establecer el Contexto En la organización, se procederá a identificar las características de los factores internos y externo que influyan sobre la gestión del riesgo como por ejemplo la misión, visión, actividades que desarrolla la empresa, los interesados, legislación aplicable y demás factores. 19.

(20) (Icontec, 2011), esto se analizará a partir del uso del método DOFA – Fortalezas, Oportunidades, debilidades y Amenazas. El punto de partida de la identificación de riesgos es realizar una identificación y clasificación de activos de información de los procesos de Call Center y Entrega Personalizada de la compañía que manejen información sensible. 4.2.5.3. Valoración del Riesgo La definición de este término de acuerdo a la Norma ISO 31000, “valoración del riesgo es el proceso total de la identificación del riesgo, análisis del riesgo y evaluación del riesgo” (Icontec, 2011). 4.2.5.4. Identificación de los Riesgos “El propósito de la identificación del riesgo es la identificación de lo que puede ocurrir o las situaciones que puedan presentarse que afecten el logro de los objetivos del sistema o de la empresa” (PECB, 2008). El proceso de la identificación del riesgo comprende la identificación de las causas, consecuencias, fuentes generadoras de riesgo que puedan afectar el cumplimiento de los objetivos planteados para los procesos (PECB, 2008). 4.2.5.5. Análisis de los Riesgos “El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo, sus consecuencias (impacto) y la probabilidad de que estas consecuencias puedan ocurrir” (Icontec, 2011). 4.2.5.6. Evaluación de los Riesgos La Norma ISO 31000 estable que la evaluación de la gestión del riesgo debe realizarse: Con base en los resultados del análisis de riesgos, la finalidad de la evaluación del riesgo es ayudar a la toma de decisiones, determinando los riesgos a tratar y la prioridad de implementar el tratamiento de los mismos. La evaluación del riesgo es la comparación de los niveles de riesgo estimados con los criterios de evaluación y los criterios de aceptación del riesgo y los priorizados que se deben establecer cuando se consideró el contexto.. 20.

(21) La organización debe establecer las prioridades para la aplicación del tratamiento de Riesgos (Icontec, 2011). 4.2.5.7. Tratamiento de los Riesgos “El tratamiento del riesgo involucra la selección de una o más opciones para modificar los riesgos y la implementación de tales opciones. Una vez implementado, el tratamiento suministra controles o los modifica” (Icontec, 2011). De las opciones de tratamiento sugeridas por la norma ISO 31000 y que se detallan en la Figura 5., la compañía ha incluido en su metodología de gestión de riesgos las opciones de evitar, reducir, asumir y compartir o transferir para el tratamiento de los riesgos de seguridad de la información, estos se representan en la Figura 6.. Figura 4. Las opciones de tratamiento del riesgo. (PECB, 2008). Una vez que han sido tomadas las decisiones sobre la opción de tratamiento del riesgo, deben ser identificadas y planificadas las actividades para la aplicación de esas decisiones o planes de acción. Las acciones prioritarias se determinarán para los riesgos de seguridad de la información que el resultado de su evaluación sea Crítico y Alta, la empresa debe destinar los recursos necesarios para cerrar estas acciones el plan de tratamiento.. 21.

(22) 4.2.5.8. Monitoreo y Revisión Como parte del proceso de gestión del riesgo, los riesgos y los controles deberían ser monitoreados y revisados regularmente para comprobar que: ▪. La hipótesis acerca de los riesgos sigue siendo válidas;. ▪. La hipótesis en la que está basada la valoración del riesgo, incluyendo el contexto interior y exterior, siguen siendo válidas;. ▪. Se van cumpliendo los resultados esperados;. ▪. La técnica de valoración del riesgo se aplica correctamente;. ▪. Los tratamientos del riesgo son efectivos.. 4.2.6. Metodología de Gestión de Riesgos de Seguridad de la Información Si bien es cierto que la norma ISO 31000:2009 es un documento de referencia que proporciona las directrices o especificaciones para la gestión de riesgos; no es una metodología. Por lo que el de equipo de seguridad de la información contratado para la implementación del sistema de gestión de seguridad de la información –SGSI., en la empresa TGE, se reunió para desarrollar una metodología de gestión de riesgos de seguridad de la información para ser aplicada a la empresa TGE., tomando como referencia las recomendaciones de la Norma ISO 31000:2009. Las disposiciones de la metodología que se desarrolló promueve el cumplimiento de los siguientes objetivos: ▪. Identificar y reportar de manera oportuna los eventos generadores de riesgos de Seguridad de la Información;. ▪. Identificar la(s) causa(s) raíz de los riesgos reportados;. ▪. Definir los planes de acción tendientes a tomar medidas de tratamiento de los riesgos identificados (Evitar, Reducir, Transferir o Asumir);. ▪. Implementar acciones correctivas y preventivas orientadas a reducir el riesgo a niveles aceptables de acuerdo a lo definido por el comité de Seguridad de la Información;. 22.

(23) ▪. Cumplir de forma oportuna y eficiente las acciones tomadas por parte del responsable del riesgo.. ▪. Promover la mejora continua en los procesos, haciendo más oportuno y reiterativo el seguimiento sobre los procesos de mayor importancia.. ▪. Comunicar a las instancias superiores de la gestión y tratamiento de los Riesgos identificados en los procesos.. ▪. Establecer los roles y responsabilidades de todos los funcionarios que participan directa o indirectamente en la Administración del Riesgo.. ▪. Brindar a todo el personal de la Compañía una Metodología común para identificar, analizar, evaluar y dar tratamiento a los riesgos de seguridad de la información que pueden afectar el logro de sus objetivos (Seguridad de la Información TGE, 2016).. La metodología de gestión de riesgos está compuesta por 7 fases, para este proyecto de pasantía se realizarán de manera secuencial las fases 1, 2, 3, 4, 5, junto con la fase número 7 que corresponde a la fase de Comunicación y Consulta entre las áreas involucradas, siendo esta transversal a todas las fases durante el desarrollo de la metodología. Se excluye la fase 6 del alcance del proyecto, lo cual se detalla en numeral 4.2 Limitaciones.. Figura 5. Fases de la metodología de gestión de riesgos. Elaboración propia. 23.

(24) 5. VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN 5.1. PROCESO CALL CENTER De acuerdo a la información identificada en la documentación del proceso y con el responsable del mismo a través de las reuniones de trabajo. (TGE, 2016) se puede concluir que la actividad realizada en este proceso misional de la compañía cumple con el objetivo de prestar el servicio de generación y atención de llamadas para venta (retención, fidelización de productos y/o servicios) y el agendamiento de citas para entrega de productos financieros de los diferentes clientes, siendo estos últimos quienes definen los requerimientos necesarios para la ejecución de las diferentes campañas que se manejan en el Call Center. •. •. Subproceso de Agendamiento: Contacto telefónico con el usuario mediante la información suministrada por una empresa para la programación de visitas para entrega de productos y/o recolección de documentos (TGE, 2016). Subproceso de Ventas: Campañas de venta de productos y servicios que le permitirán ampliar el alcance comercial de los clientes, de igual forma se realiza llamadas de retención, fidelización de productos y/o servicios, dependiendo de las campañas vigentes (TGE, 2016).. Este proceso se maneja a través de actividades que permiten cumplir con las necesidades de los clientes. • • • • • •. Generación del guión para realizar la gestión telefónica para el agendamiento de citas o venta por parte de los agentes de gestión. Asignación de la base de datos para el agendamiento de citas o venta a gestionar por parte de los agentes de gestión. Gestión telefónica ejecutando la venta y agendamiento del producto/servicio y registro en los aplicativos utilizados en el proceso de la tipificación de la gestión realizada. Seguimiento en tiempo y calidad de las llamadas para evaluar los criterios de calidad definidos por el proceso. Grabación de las llamadas y reportes de las misma a los clientes según lo definido en los Acuerdos de Nivel de Servicio – ANS. Generación de informe de gestión y cierre de las diferentes campañas de los clientes.. 24.

(25) 5.2. PROCESO ENTREGA PERSONALIZADA De igual forma como se recolecto información y se conoció el proceso anterior, se hizo para el proceso de Entrega Personalizada. Este proceso tiene el objetivo de prestar el servicio de entrega personalizada y certificada de productos financieros mediante entrega a titulares o terceros autorizados y recolección de documentos bajo estrictas medidas de seguridad, previa gestión de agendamiento citas realizadas desde el Call Center de la Compañía u otro proveedor de la entidad financiera (TGE, 2016). El proceso cuenta con cuatro subprocesos y las actividades que se desarrollan en cada uno están definidas en los procedimientos internos de la compañía y se encuentran alienadas a los requerimientos de los ANS con los clientes. •. •. •. •. Subproceso de Alistamiento: Preparación de los productos financieros enviados por el cliente o el realzador a la compañía, para iniciar el alistamiento de productos en cabina ante audio y video realizando verificación de papelería, del producto físico contra la información del sistema reportada por el cliente, ensobrado, pega de sticker y cierre de la bolsa de seguridad (TGE, 2017). Subproceso de Custodia: Finalizado el alistamiento de los productos, se procede a custodiar las bolsas de seguridad con los productos, clasificados por ciudad de destino mientras son asignan al estado de distribución (TGE, 2017). Subproceso de Distribución: Producto que debe ser entregado de acuerdo a los tiempos definidos en los ANS porque ya tienen agendada cita de entrega con el destinatario, estos son entregados de acuerdo a un manifiesto de entrega a los mensajeros para que realicen la gestión, el tránsito de los productos en los diferentes procesos queda registrado en el aplicativo de gestión (TGE, 2017). Subproceso de Entrega: Gestión realizada por el mensajero para realizar la entrega de los productos asignados en el manifiesto de entrega, toda entrega exitosa debe ser legalizada mediante la entrega de la prueba de entrega a Distribución para su posterior digitalización, puede presentarse que no finalice satisfactoriamente la entrega del producto al destinatario por direcciones erradas, ausencia del destinatario, falta de documentos solicitados, etc., que generaría que el producto vuelva a custodia y se ejecute lo definido en el ANS (TGE, 2017).. 25.

(26) 5.3. METODOLOGÍA DE GESTIÓN DE RIESGOS – DESARROLLO DE LAS FASES El equipo de seguridad de la información contratado para la implementación del sistema de gestión de seguridad de la información –SGSI., en la empresa TGE desarrolló la metodología de gestión de riesgos de seguridad de la información para ser aplicada a la empresa TGE., tomando como referencia las recomendaciones de la Norma ISO 31000:2009. Debido a que existe un acuerdo de confidencialidad firmado por ControlTech con el cliente TGE y el equipo de Seguridad de la Información, la metodología de gestión de riesgos, se mantendrá en estricta confidencialidad, en especial lo que comprende a las escalas de impacto y probabilidad y el apetito del riesgo definidos por la empresa. A continuación, se describen las fases se desarrollaron para realizar la valoración de los riesgos de los procesos de Call Center y Entrega Personalizada, siguiendo las recomendaciones dadas por la norma ISO 31000:2009. La información relacionada con la valoración de los riesgos se documentó en la Matriz Análisis y Evaluación de Riesgos en Seguridad de la Información, durante el desarrollo de cada fase se presentará su avance, junto con una con una muestra de ejemplo de tres (3) riesgos por cada proceso. 5.3.1. Fase 1 - Establecimiento del Contexto de la organización A continuación, se presenta una muestra la definición del contexto en función de las características de la empresa, utilizando el modelo de análisis DOFA. ESTABLECIMIENTO DEL CONTEXTO - MATRIZ DOFA FACTORES INTERNOS DE LA EMPRESA. DEBILIDADES Alta rotación del personal Falta de cobertura y seguimiento a las operaciones en ruta, mensajería. Falta de inspección a los procesos operativ os. Fallas operativ as I nfidencia I nterna.. FORTALEZAS Seguimiento continuo a indicadores de gestión Seguimiento continuo a acciones de mejora Reestructuración del proceso Experiencia y conocimiento de los procesos Disponibilidad de recursos informáticos Experiencia y conocimiento de los procesos. FACTORES EXTERNOS A LA EMPRESA. AMENAZAS Promesa de entrega a clientes ( incumplimientos) Demoras en la realización de activ idades por presupuesto Falta de capacitación Falta de documentación de procesos criticos Caídas constantes del sistema. OPORTUNIDADES Cambio de estrategia con la implementación de la operación de los procesos misionales Cambio en la estructura de los procesos Cambio de normativ idad y legislazición aplicable. Figura 6. Muestra de establecimiento del contexto a partir de la matriz DOFA. Elaboración propia. 26.

(27) 5.3.2. Fase 2 – Identificar el Riesgo Previo al inicio del proceso de valoración (identificar, analizar y evaluar) de riesgos de seguridad de la información de está y las siguientes fases, se realizó la identificación de activos de información de los procesos de Call Center y Logística Personalizada, teniendo en cuenta las siguientes consideraciones. 5.3.2.1. Identificación y Clasificación de Activos de Información Como se mencionó en la introducción del proyecto, la información es uno de los activos de mayor valor que poseen las empresas y puede encontrarse en diferentes medios y formas: almacenada en archivos digitales o físicos u otro medio de almacenamiento o intercambio de información, transmitida por correos físicos o electrónicos, impresa o en papel, entre otros. A través de entrevistas con los responsables del proceso y subprocesos, se realizó el inventario de los activos de información por proceso de Call Center y Entrega Personalizada y se documentó en la matriz de activos, la cual fue entregada a cada responsable por correo electrónico y certificado mediante un acta, quien es el responsable de mantener actualizar dicha matriz. Para realizar la identificación y clasificación de activos de información, se diligencio los campos que se define en la Tabla 1, donde se recolectan los datos necesarios para identificar los activos de información, a manera de ejemplo se presenta en la Tabla 2, el Tipos de Contenedor y Contenedor donde se puede almacenar activos de información físicos o digitales y finamente se presenta la Tabla 3, con la explicación de las cuatro opciones definidas por la compañía (Secreta, Confidencial, Uso Interno y Publica) para realizar la clasificación y etiquetado de los activos de información... 27.

(28) Tabla 1. Parámetros para la identificación y clasificación de activos de información NOMBRE CAMPO ID ACTIVO. DESCRIPCIÓN IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN Consecutivo que identifica que el activo de información asociado al proceso (Nomenclatura: ACT[abreviatura del nombre del proceso]-[Numero Consecutivo de 2 dígitos]). ÁREA - PROCESO. Nombre del proceso o área al que pertenece el activo de información. PRODUCTO. Relacione el nombre de los productos que se tienen contratados o sobre el que se identifica el activo de información. ACTIVO DE INFORMACIÓN. Nombre del activo de información que identifico el responsable del proceso. DESCRIPCIÓN. Descripción del activo de información y su funcionalidad, dentro del proceso.. TIPO (Digital o Física). Descripción del activo de información si es Digital o Físico. TIPO DE CONTENEDOR. Registrar el tipo de contenedor de acuerdo a la hoja "Tipo de Contenedores" de este formato. CONTENEDOR. Lugar(es), dispositivo(s) o medio(s), donde se encuentra la información. RESPONSABLE CUSTODIO USUARIOS. Persona, encargada de controlar la creación, desarrollo, mantenimiento y uso de los activos, además de rendir cuentas. Persona responsable de mantener los controles sobre los contenedores y por ende sobre los activos de información. Área, persona, entidad o proceso que hace uso de los activos de información. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN. Lista desplegable que permite seleccionar la clasificación de la información (Secreta, Confidencial, CLASIFICACIÓN DE USO INTERNO, PÚBLICA) a la que corresponde el activo identificado y definido por el responsable ACTIVOS DE INFORMACIÓN del proceso.. Fuente: (Seguridad de la Información de TGE, 2017) Tabla 2. Ejemplo de Tipo de Contenedor y Contenedor de activos de información TIPO DE CONTENEDOR. Servidores. CONTENEDOR App BD Web Correo Archivos Dominio. Firewall Comunicaciones Equipos de Computo Medios de Almacenamiento Extraíble (Físicos). Espacio Físico. Transporte Documentación. Estación de trabajo Portátil / Dispositivos Moviles USB Discos Duros Cd's y/o DVD's Oficinas Bodegas o Bóvedas Centros de computo Áreas de Archivo. Tulas Cajas Maletas / Maletines. Fuente: Elaboración Propia. 28.

(29) Tabla 3. Criterios de clasificación de activos de Información.. Fuente: (Seguridad de la Información de TGE, 2017). A continuación, se presenta la matriz de identificación y clasificación de activos de información que se diligencio para cada uno de los procesos de Call Center y Entrega Personalizada partiendo de la información suministrada por entrevistados de cada proceso, Tabla 4.. 29.

(30) Tabla 4. Matriz de identificación de activos de información para los procesos. Fuente: (Seguridad de la Información de TGE, 2017). 30.

(31) 5.3.2.2. Identificación y Clasificación de Activos de Información Call Center Como evidencia del desarrollo de la actividad de identificación y clasificación de activos de información del proceso de Call Center, se tomó de la matriz de activos consolidados, una muestra de cinco (5) activos correspondientes a los subprocesos de Venta y Agendamiento que hacen parte de todo el proceso de Call Center. A continuación, se presenta en las siguientes tablas los activos de información de la muestra: Tabla 5 Identificación y clasificación activo de Información "Solicitudes de Apertura de Campañas" IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN ID Activo. ACT-CALL-001. Activo de información. Proceso /Subproceso. Call Center / Ventas Agendamiento. Solicitudes de Apertura de Campañas Descripción. Documento donde se detalla las condiciones de servicio para la apertura de una campaña, contiene información: Nombre del cliente, tipo de campaña (Ventas, Agendamiento), especificaciones técnicas de la campaña, cantidad de registros a gestionar, las fecha de inicio y cierre de la campaña descripción del procedimiento de gestión, guía y manual de la campaña. Producto. Entrega de plásticos, venta de seguros. Tipo (Digital o Física). . Servidores Tipo de Contenedor. Contenedor. Digital. . Correo Electrónico del Director y Supervisores, Monitoreo y Capacitación de Call Center. . Equipo de Computo . Estación de Trabajo de Director y Supervisores de Call Center. Responsable . Director del Call Center. Custodio. . Director del Call Center . Supervisores del Call Center Usuarios . Monitoreo y Capacitación de Call Center. . Agentes del Gestión del Call Center. . Supervisores del Call Center. . Monitoreo y Capacitación de Call Center. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Confidencial Secreta. X. Uso Interno Publica. Fuente: Elaboración propia.. 31.

(32) Tabla 6. Identificación y clasificación activo de Información "Manuales de Call Center" IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN ID Activo. ACT-CAL-022. Proceso /Subproceso. Activo de información. Call Center / Ventas Agendamiento. Manuales de Call Center Descripción. Archivo en Excel que Monitorio y capacitación sube en la carpeta compartida de proceso de archivos biblioteca , contiene todo las campañas vigentes que se manejan el Call Center. Contiene las especificaciones las condiciones de agendamiento para cada proceso que se realiza en el Call Center de acuerdo al ANS firmado por con el cliente. Todos los agentes de agendamiento deben conocer muy bien la información contenida en este archivo para poder iniciar la programación de las entregas de los productos y servicios contratados con el cliente Producto. Tipo de Contenedor. Entrega de plásticos, venta Tipo (Digital o Física) de seguros. . Servidor. Contenedor. Digital. . Carpeta compartida del área ruta archivo biblioteca. Responsable . Director del Call Center. Custodio. . Director del Call Center . Supervisores del Call Center . Monitoreo y Capacitación de Usuarios Call Center . Agentes de gestión del Call Center. . Director del Call Center . Supervisores del Call Center . Monitoreo y Capacitación de Call Center . Agentes de gestión del Call Center. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Confidencial. Uso Interno. Secreta. Publica. Fuente: Elaboración propia. 32. X.

(33) Tabla 7. Identificación y clasificación activo de Información "Reporte de la Ultima Gestión del Call Center” IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN ID Activo. ACT-CAL-025. Proceso /Subproceso. Activo de información. Call Center / Agendamiento. Reportes de la Ultima Gestion Call Center Descripción. Archivo en Excel que se genera automaticamente cada 30 minutos el en aplicativos, se descarga para realizar seguimiento de la gestión realizada por los agentes y garantizar la gestion de la operacion al 100% de todo el Call Center. El corte de la gestion diaria se debe descarga al dia siguiente antes de las 6:30 am y por el superviso y lleva el historico en su equipos.. Producto. Tipo de Contenedor. Entrega de plásticos. . Equipo de computo. Tipo (Digital o Física). Contenedor. Digital. . Estación de trabajo del Supervisora del Call Center - Agendamiento. Responsable . Director del Call Center. Custodio. . Supervisora del Call Center Usuarios Agendamiento. . Supervisora del Call Center Agendamiento. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Confidencial. Uso Interno. Secreta. Publica. Fuente: Elaboración propia. 33. X.

(34) Tabla 8. Identificación y clasificación activo de Información "Reporte Mensual Multilinea” IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN ID Activo. ACT-CAL-027. Proceso /Subproceso. Activo de información. Call Center / Agendamiento Venta. Reporte Mensuales Multilinea Descripción. Archivo en Excel generado por el supervisor que contiene información de los incumplimientos de las citas que se agenda, encuestas que se le realizan a los cliente para saber si el proceso de entrega se realizó a satisfacción y los ilocalizados que son los clientes que nunca se pudieron contactaron para la entrega de un producto. Lo envía a través de correo electrónico a los directores, coordinadores y supervisores de cada una de las áreas de la empresa se archiva en su equipo en una carpeta de mis documentos.. Producto. Entrega de plásticos, venta Tipo (Digital o Física) de productos. Digital . Estacion de Trabajo del Supervisor de Inbound Multilinea. . Equipo de Computo Tipo de Contenedor. Contenedor . Servidores. . Correo Electronico Supervisor Agendamiento y Venta,, Gerente de Call Center, Director de Entrega Personalizada. Responsable . Director del Call Center. Custodio. . Director del Call Center . Director de Entrega Personalizada . Supervisores de Call Center . Supervisores Entrega Personalizada. Usuarios. . Director del Call Center . Director de Entrega Personalizada . Supervisores de Call Center . . Supervisores Entrega Personalizada. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Confidencial. Uso Interno. Secreta. Publica. Fuente: Elaboración propia. 34. X.

(35) Tabla 9. Identificación y clasificación activo de Información " Llamadas Grabadas” IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN ID Activo. ACT-CAL-030. Proceso /Subproceso. Activo de información. Call Center / Agendamiento Venta. Llamadas Grabadas. Descripción Todas las llamadas generadas en los diferentes procesos se graban a través de la planta telefónica y se almacenan para garantizar la efectividad, el cumplimiento de todos los parámetro y el guion definido por el cliente. El tiempo de custodia de las grabaciones esta definido de acuerdo a los ANS y contratos con cada cliente y dando cumplimiento a lo exigido por ley. adicionalmente se envían a los clientes dando cumplimiento a la frecuencia y el medio de intercambio de información definido (CD/DVD con información cifrada, VPN, etc.) Las grabaciones son el único soporte de la gestión realizada y de aceptación del cliente de la venta o entrega de un producto, estas son escuchadas por monitoreo para y valida que cumplen los criterios de calidad. Entrega de plásticos, venta Tipo (Digital o Física) de productos. Producto. . Servidor Tipo de Contenedor. Digital. . VPN. . Servidor. Contenedor. . Medios de Almacenamiento Extraíble (Físicos). . Servidor de Grabaciones . CD/DVD. Responsable . Director del Call Center. Custodio. . Agente de Monitorero del Call Center . Tecnologia . Cliente. Usuarios. . Agente de Monitorero del Call Center . Supervisores de Call Center . Director del Call Center . Tecnologia . Cliente. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Confidencial. X. Secreta. Uso Interno Publica. Fuente: Elaboración propia. 5.3.2.3. Identificación y Clasificación de Activos de Información Entrega Personalizada Al igual que el proceso anterior para evidenciar el del desarrollo de la actividad de identificación y clasificación de activos de información del proceso de Entrega Personalizada, se tomó de la matriz de activos consolidados, una muestra de cinco (5) activos correspondientes a los subprocesos de Alistamiento, Custodia, Distribución y Entrega de productos financieros. A continuación, se presenta en las siguientes tablas los activos de información de la muestra:. 35.

(36) Tabla 10. Identificación y clasificación activo de Información " Informes Clientes” IDENTIFICACIÓN DE ACT+A3:D9IVOS DE INFORMACIÓN ID Activo. ACT-PDZA-002. Proceso /Subproceso. Activo de información. Entrega Personalizada/ Alistamiento. Informes Clientes Descripción. Informes generado por personal de Alistamiento a los analistas de entrega personalizada para que realicen el envío del reporte de la operación (consolidado de recibido y novedades presentadas, estadísticas del avance del proceso, cifras de gestión) al Banco, estos reportes pueden generarse de manera diaria, semanal o mensual y enviarse a través de los canales y medios de comunicación definidos (Cargue en la VPN, por correo electrónico con adjunto cifrado) con los Bancos en los ANS. Nota: En la matriz de activos de información este activo contiene mayor información en su descripción, tipo de contenedor y contenedor, por confidencialidad no se presenta de manera completa.. Producto. Tarjetas (crédito, débito, Tipo (Digital o Física) claves), token y Chequeras. Digital. . Servidor. . Correo Corporativo Analista Entrega Personalizada. . Equipo de Computo. . Estación de trabajo Analista Personalizada. Tipo de Contenedor. Contenedor . Servidor. . Aplicaciones (Sistemas de Información) Propios. . Servidor. . VPN Cliente Responsable . Director de Entrega Personalizada. Custodio. . Coordinador Entrega Personalizada . Director Entrega Personalizada . Analista de Entrega Personalizada. Usuarios. . Coordinador Entrega Personalizada . Director Entrega Personalizada . Analista de Entrega Personalizada. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Confidencial Secreta. X. Uso Interno Publica. Fuente: Elaboración propia. 36.

(37) Tabla 11. Identificación y clasificación activo de Información " Papelería Bancaria” IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN ID Activo. ACT-PDZA-011. Proceso /Subproceso. Activo de información. Entrega Personalizada/ Alistamiento. Papelería Bancaria Descripción. Solicitudes de papelería bancaria requerida por el área de alistamiento, esta papelería hace referencia a formatos o insertos, publicidad, pagares en blanco dicho información se envía en el sobre al cliente cuando se envían las entregas de los diferentes productos.. Producto. Tarjetas (crédito, débito, Tipo (Digital o Física) claves), token y Chequeras. . Estación de trabajo Analista Personalizada. . Equipos de Computo Tipo de Contenedor. . Servidores Aplicaciones. Física. Contenedor. . Espacios Físicos. . Correo Corporativo . Área Segura. Responsable . Director de Entrega Personalizada. Custodio. . Supervisor de Alistamiento. Usuarios. . Analista de Entrega Personalizada. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Confidencial Secreta. X. Uso Interno Publica. Fuente: Elaboración propia. 37.

(38) Tabla 12. Identificación y clasificación activo de Información " Tarjetas (crédito, débito, claves), token y Chequeras Productos en custodia” ID Activo Activo de información. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN Entrega Personalizada/ Alistamiento Proceso /Subproceso ACT-PDZA-020 Custodia Tarjetas (crédito, débito, claves), token y Chequeras - Productos en custodia Descripción. Luego del proceso de alistamiento de los diferentes productos en las bolsas de seguridad, se envían a custodia mientras salen a ruta para ser entregados por los mensajeros. Cuando un producto que llegan del realzador o directamente del cliente en una unidad de carga, se validad mediante audio y video el numero de guía que se encuentre cargado en el sistema interno para inicial el proceso de revisión del contenido y el alistamiento, en caso de aun no estar cargado los productos de la unidad de carga, esos se envían de alistamiento a custodia al área segura mientras el cliente reporta los productos y poder así iniciar el proceso de alistamiento. Producto. Tarjetas (crédito, débito, Tipo (Digital o Física) claves), token y Chequeras. . Espacios Físicos Tipo de Contenedor. Física. . Estantes del área segura Contenedor. . Espacios Físicos. . Cabinas de Alistamiento. Responsable . Director de Entrega Personalizada. Custodio. . Supervisor de Alistamiento . Supervisor del área Segura Usuarios . Operarios de Alistamiento . Operarios de área Segura. . Operación de alistamiento . Operarios del área Segura. CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Confidencial Secreta. X. Uso Interno Publica. Fuente: Elaboración propia. 38.

Figure

Figura 1. Dominios de la norma ISO 27002:2013. Elaboración Propia
Figura 2. Dominios, objetivos de control y controles de la ISO/IEC 27002:2013. (iso27000.es, 2013)
Figura 3. Proceso para la gestión del riesgo NTC-ISO 31000:2009 (Icontec, 2011)
Figura 4. Las opciones de tratamiento del riesgo. (PECB, 2008)
+4

Referencias

Descargar ahora ( PDF - 58 página - 1.78 MB )

Outline

Identificación y Clasificación de Activos de Información Call Center Identificación y Clasificación de Activos de Información Entrega Personalizada

Documento similar

Estaciones de la Red pública de control y vigilancia de la contaminación atmosférica de Castilla-La Mancha

Fuente de emisión secundaria que afecta a la estación: Combustión en sector residencial y comercial Distancia a la primera vía de tráfico: 3 metros (15 m de ancho)..

Informe de la campaña de control del mercado de termómetros digitales de uso clínico

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

segunda nota de aviso

Proporcione esta nota de seguridad y las copias de la versión para pacientes junto con el documento Preguntas frecuentes sobre contraindicaciones y

TIC’S – TECNOLOGÍAS DE LA

¿Tenemos a nuestro alcance en Prevención herramientas basadas en este tipo de tecnologías?... TIC’S EN

ODAS, || FERNANDO VIL f§

que hasta que llegue el tiempo en que su regia planta ; | pise el hispano suelo... que hasta que el

Y DE LA LINDA CLAMONDA, HIJA DEL REY DE TOSCAM

E Clamades andaua sienpre sobre el caua- 11o de madera, y en poco tienpo fue tan lexos, que el no sabia en donde estaña; pero el tomo muy gran esfuergo en si, y pensó yendo assi

La iguaLdad en La apLicación de La Ley: anáLisis de aLgunas objeciones iusfiLosóficas*

d) que haya «identidad de órgano» (con identidad de Sala y Sección); e) que haya alteridad, es decir, que las sentencias aportadas sean de persona distinta a la recurrente, e) que

LA CAPILLA DE MÚSICA DE LA COLEGIAL DE SAN NICOLÁS DE ALICANTE DURANTE EL SIGLO XVIII

Las manifestaciones musicales y su organización institucional a lo largo de los siglos XVI al XVIII son aspectos poco conocidos de la cultura alicantina. Analizar el alcance y