Documentos de Académico
Documentos de Profesional
Documentos de Cultura
JaraPerezDianaFernanda2017 PDF
JaraPerezDianaFernanda2017 PDF
1
VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE
LA INFORMACIÓN PARA LOS PROCESOS INCLUIDOS EN EL ALCANCE DEL
SGSI DEL CLIENTE TGE DE LA EMPRESA ASSURANCE CONTROLTECH
Director Interno
OCTAVIO JOSÉ SALCEDO PARRA
Doctor en Telecomunicaciones
Director Externo
CARLOS ALBERTO ENRÍQUEZ ARCOS
Magíster en Arquitecturas de Tecnologías de la Información
2
CONTENIDO
pág.
INTRODUCCIÓN .......................................................................................................................... 8
1. PLANTEAMENTO DEL PROBLEMA ................................................................................. 9
2. OBJETIVOS ......................................................................................................................... 10
2.1. OBJETIVO GENERAL .................................................................................................... 10
2.2. OBJETIVOS ESPECÍFICOS ............................................................................................ 10
3. ENTREGABLES DEL PROYECTO.................................................................................... 11
4. MARCO REFERENCIAL .................................................................................................... 12
4.1. MARCO HISTÓRICO ...................................................................................................... 12
4.1.1. Visión ............................................................................................................................ 12
4.1.2. Misión ........................................................................................................................... 12
4.2. MARCO TEÓRICO .......................................................................................................... 13
4.2.1. Términos y definiciones ................................................................................................ 13
4.2.2. La Seguridad de la Información .................................................................................... 15
4.2.2.1. Confidencialidad: ...................................................................................................... 16
4.2.2.2. Integridad: ................................................................................................................. 16
4.2.2.3. Disponibilidad: .......................................................................................................... 16
4.2.3. NORMA ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la Información –
Requisitos ...................................................................................................................................... 16
4.2.4. NORMA ISO/IEC 27002:2013 Código para la práctica de la gestión de la seguridad de
la información. .............................................................................................................................. 17
4.2.5. NORMA ISO 31000:2009 Gestión de Riesgos ............................................................. 18
4.2.5.1. Comunicación y consulta .......................................................................................... 19
4.2.5.2. Establecer el Contexto ............................................................................................... 19
4.2.5.3. Valoración del Riesgo ............................................................................................... 20
4.2.5.4. Identificación de los Riesgos ..................................................................................... 20
4.2.5.5. Análisis de los Riesgos .............................................................................................. 20
4.2.5.6. Evaluación de los Riesgos ......................................................................................... 20
4.2.5.7. Tratamiento de los Riesgos ....................................................................................... 21
3
4.2.5.8. Monitoreo y Revisión ................................................................................................ 22
4.2.6. Metodología de Gestión de Riesgos de Seguridad de la Información ........................... 22
5. VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN........................................................................................................................... 24
5.1. PROCESO CALL CENTER ............................................................................................. 24
5.2. PROCESO ENTREGA PERSONALIZADA ................................................................... 25
5.3. METODOLOGÍA DE GESTIÓN DE RIESGOS – DESARROLLO DE LAS FASES ... 26
5.3.1. Fase 1 - Establecimiento del Contexto de la organización ............................................ 26
5.3.2. Fase 2 – Identificar el Riesgo ........................................................................................ 27
5.3.2.1. Identificación y Clasificación de Activos de Información ........................................ 27
5.3.2.2. Identificación y Clasificación de Activos de Información Call Center ..................... 31
5.3.2.3. Identificación y Clasificación de Activos de Información Entrega Personalizada ... 35
5.3.2.4. Identificación de Riesgos de Seguridad de la Información ....................................... 40
5.3.2.5. Identificación de Riesgos de Seguridad de la Información Call Center .................... 43
5.3.2.6. Identificación de Riesgos de Seguridad de la Información Entrega Personalizada... 44
5.3.3. Fase 3 – Análisis de Riesgo........................................................................................... 45
5.3.3.1. Análisis de Riesgos de Seguridad de la Información Call Center ............................. 46
5.3.3.2. Análisis de Riesgos de Seguridad de la Información Entrega Personalizada............ 47
5.3.4. Fase 4 – Evaluación del Riesgo ..................................................................................... 48
5.3.4.1. Evaluación del Riesgo de Seguridad de la Información Call Center ........................ 49
5.3.4.2. Evaluación del Riesgo de Seguridad de la Información Entrega Personalizada ....... 50
5.3.4.3. Mapa de Calor Riesgo Inherente y Riesgo Residual ................................................. 51
5.3.5. Fase 5 – Tratamiento del Riesgo ................................................................................... 53
5.3.5.1. Definición de Planes de Tratamiento de Riesgos de SI Call Center ......................... 54
5.3.5.2. Definición de Planes de Tratamiento de Riesgos de SI Entrega Personalizada ........ 55
5.3.6. Fase 7 – Comunicación y Consulta ............................................................................... 56
6. CONCLUSIONES ................................................................................................................ 57
LISTA DE REFERENCIA............................................................................................................ 58
4
LISTA DE FIGURAS
pág.
Figura 3. Proceso para la gestión del riesgo NTC-ISO 31000:2009. (ICONTEC, 2011) ... 19
5
LISTA DE TABLAS
pág.
Tabla 11. Identificación y clasificación activo de Información " Papelería Bancaria " ....... 37
Tabla 12. Identificación y clasificación activo de Información " Tarjetas (crédito, débito,
claves), token y Chequeras - Productos en custodia" ........................................................... 38
Tabla 15. Parámetros para el diligenciamiento matriz de riesgos - Fase 2 Identificación ... 41
Tabla 16. Matriz para el análisis y evaluación de riesgos de SI - Fase 2 Identificación ...... 42
6
Tabla 17. Muestra de la identificación de riesgos - Proceso Call Center ............................. 43
Tabla 21. Evaluación del riesgo de SI de la muestra - Proceso Call Center ........................ 49
Tabla 22. Evaluación del riesgo de SI de la muestra - Proceso Entrega Personalizada ....... 50
7
INTRODUCCIÓN
La información es uno de los activos de mayor valor que poseen las empresas y puede
encontrarse en diferentes medios y formas: almacenada en archivos digitales o físicos u otro
medio de almacenamiento o intercambio de información, transmitida por correos físicos o
electrónicos, impresa o en papel, entre otros.
Alineado a las necesidades del cliente y los requisitos para la implementación de un Sistema
de Gestión de Seguridad de la Información bajo la norma NTC/ISO/IEC 27001:2013, se
realizará la valoración y el plan de tratamiento de riesgos de seguridad de la información
tomando como marco de referencia la norma NTC/ISO 31000:2009 de Gestión de Riesgos y
la guía de controles de seguridad establecido en el estándar para la seguridad de la
información ISO/IEC 27002:2013 que da las recomendaciones para la gestión de la seguridad
de la información.
En este documento se presenta inicialmente, la necesidad del cliente para que se lleve a cabo
la valoración y el plan de tratamiento de riesgos de seguridad de la información a los procesos
definidos en el alcance del Sistema de Gestión de Seguridad de la Información – SGSI.,
teniendo en cuenta la situación de la empresa, la normativa existente y la subjetividad de las
personas a entrevistar, luego, se definen los objetivos generales, específicos y se relacionan
los documentos entregables que se presentaron a Gerencia General del cliente TGE.
Continuando con el marco de referencia se presentará la empresa contratista y los temas que
se deben tener en cuenta para la valoración (es el proceso total de identificar, analizar y
evaluar los riesgos) y el plan de tratamiento de riesgos de seguridad de la información con
base en la metodología de riesgos desarrollada por el área de Seguridad de la Información.
8
1. PLANTEAMENTO DEL PROBLEMA
La empresa TGE definió dentro del alcance del Sistema de Gestión de Seguridad de la
Información dos de los procesos misionales encargados de procesar, gestionar y custodiar
información sensible correspondiente a productos financieros. El primer proceso es Call
Center, responsable de realizar el agendamiento y venta de productos financieros y el
segundo proceso de Entrega Personalizada, responsable de alistamiento, custodia,
distribución y entrega de los productos que han sido agendados. Es por esto que surge la
necesidad de realizar una valoración de riesgos desde el punto de vista de seguridad de la
información y la definición del plan de tratamiento de los riesgos en apoyo conjunto con los
responsables de los procesos teniendo la normativa de la empresa y la legislación aplicable.
Todas las actividades que se desarrollen en una empresa, implican riesgos y en esta compañía
no es la excepción, la norma ISO 31000:2009 de gestión del riesgo define “Riesgo: Efecto
de la incertidumbre sobre los objetivos” (Instituto Colombiano de Normas Tecnicas y
Certificación [Icontec], 2011, pág. 4). El efecto que genera la materialización de los riegos
en la compañía puede ser positivo o negativo, hace necesario realizar una gestión eficaz del
riesgo que permita prever su materialización y responder ante los que puedan generar efectos
negativos en los objetivos la compañía, aplicando los controles necesarios para que los
responsables del proceso tomen una correcta opción para el tratamiento de los mismos,
evitando que estos se materialicen y/o reducir el impacto si ya se está presentando.
9
que permitan preservar los pilares de seguridad de la información (confidencialidad,
integridad y disponibilidad) en los procesos de Call Center y Entrega Personalizada de la
empresa.
2. OBJETIVOS
Realizar la valoración de los riesgos de seguridad de la información para los procesos de Call
Center y Entrega Personalizada del cliente TGE de Assurance ControlTech, con el fin de
definir el plan de tratamiento de los riesgos de seguridad de la información de acuerdo a las
necesidades de la empresa.
10
3. ENTREGABLES DEL PROYECTO
Como resultado de esta actividad, se entregó a la Gerencia General los documentos que se
relacionan a continuación los cuales fueron creados en el desarrollo de cada fase de la
metodología para los procesos de Call Center y Entrega Personalizada, estos son de carácter
confidencial de conformidad a lo definido en el acuerdo de confidencialidad firmado entre
TGE y Assurance ControlTech.
Los responsables de los riesgos deben formular los planes de acción o mejora de controles
necesarios para el tratamiento de los riesgos residuales según su zona de criticidad, para
el caso de la compañía se gestionarán los riesgos de clasificación crítica y alta, es la
gerencia general quien define la opción de tratamiento a implementar (transferir, evitar,
reducir o asumir).
11
4. MARCO REFERENCIAL
Actualmente la compañía cuenta con sedes en Bogotá y Medellín y con más de 9 años
de experiencia en el mercado permitido adquirir buen reconocimiento tanto en el
sector privado como público, implementando soluciones y servicios basados en
Tecnologías de la Información y Comunicaciones. (Assurance ControlTech, 2016).
4.1.1. Visión
4.1.2. Misión
12
4.2. MARCO TEÓRICO
“Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el nivel
del mismo” (Icontec Internacional, 2011).
“Criterios del riesgo: Términos de referencia frente a los cuales la importancia de un riesgo
se evaluada” (Icontec Internacional, 2011).
“Evaluación de riesgos: Proceso de comparación de los resultados del análisis del riesgo
con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables
o tolerables” (Icontec Internacional, 2011).
13
“Evento: Presencia o cambio de un conjunto particular de circunstancias” (Icontec
Internacional, 2011).
“Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con
respecto al riesgo” (Icontec Internacional, 2011). Se compone de la evaluación y el
tratamiento de riesgos
“Política para la gestión del riesgo: Declaración de la dirección y las intenciones generales
de una organización con respecto a la gestión del riesgo” (Icontec Internacional, 2011).
“Riesgo Inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto
de los controles” (Seguridad de la Información TGE, 2016).
“Riesgo Residual: El riesgo que permanece tras el tratamiento del riesgo o nivel resultante
del riesgo después de aplicar los controles” (Icontec Internacional, 2011).
“Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y
evaluación de los riesgos” (Icontec Internacional, 2011).
14
“Seguridad de la información: Preservación de la confidencialidad, integridad y
disponibilidad de la información” (iso27000.es, 2012).
“Tratamiento del Riesgo: Proceso para modificar el riesgo” (Icontec Internacional, 2011).
Según (Instituto Nacional de Ciberseguridad de España, S.A. [INCIBE], 2014) desde tiempos
inmemorables las empresas han creado los medios necesarios para evitar el robo y
manipulación de sus datos confidenciales. Hoy en día esto se mantiene por lo que las
empresas siempre buscan mantener la seguridad de su información.
Es importante reconocer que los riesgos no sólo provienen desde el exterior de la empresa,
sino que también pueden estar dentro de la misma, por lo que, para poder trabajar en un
entorno de manera segura, se deben tener identificados los activos de información y la fuente
de procedencia ya que pueden ser generados por la misma empresa o ser entregados por los
clientes y estar en diferentes medios, como físicos y digital. Por lo anterior la empresa se
puede apoyar en la implementación un sistema de Gestión de seguridad de la información –
SGSI que permita asegurar la información y disponer de controles que permita disminuir el
impacto de los riesgos.
En el ítem 5.2.1 Términos y definiciones, se dio el concepto de los tres pilares o principios
de la Seguridad de la Información, a continuación, se presentan las definiciones para la
empresa desde los puntos de vista de seguridad de la información y de riesgos, la cual está
alineada a la definición de la norma.
15
4.2.2.1. Confidencialidad:
A nivel de riesgos: “la información es accesible solamente a quienes están autorizados para
ello. Información cuya divulgación puede generar desventajas competitivas, pérdidas
económicas, afecta la reputación y/o imagen y de la compañía” (Seguridad de la Información
TGE, 2016).
4.2.2.2. Integridad:
4.2.2.3. Disponibilidad:
“A nivel de riesgos: Seguridad que los usuarios autorizados tienen acceso a la información y
a los activos asociados cuando lo requieren. La información debe ser accesible y recuperable
fácilmente en caso de suspensión del procesamiento” (Seguridad de la Información TGE,
2016).
16
riesgos que atenten contra la seguridad de la información (confidencialidad, integridad y
disponibilidad) de la organización (INCIBE, 2014)
Esta norma es una guía de las buenas prácticas que recoge las recomendaciones sobre las
medidas a tomar para asegurar los sistemas de gestión de una organización (INCIBE, 2014).
Junto a los controles a implementar de acuerdo a la empresa al momento de hacer la
valoración y definición del plan de tratamiento de riesgos de seguridad de la información.
A continuación, se presenta a modo de guía la imagen con los 14 dominios de la norma ISO
27002:2013.
17
Está norma compuesta por 14 dominios, es decir áreas de actuación, 35 objetivos de control
o aspectos a asegurar dentro de cada área y 114 controles o mecanismos para asegurar los
distintos objetivos de control, como se relaciona en la siguiente figura (iso27000.es,
2013;INCIBE, 2014).
La Norma ISO 3100 es un estándar para la gestión de riesgos, que al igual que la ISO 27001
para el sistema de gestión de seguridad de la información, puede ser implementado en:
Organizaciones de todo tipo y tamaños, sin importar el objeto de negocio, los procesos
y sus niveles, debido a que cualquiera puede enfrentar factores internas y externas,
que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta
incertidumbre tiene en los objetivos de una organización es el “riesgo” (Icontec,
2011).
La ISO 31000 no es una norma certificable para una empresa, está nos proporciona una serie
de recomendaciones que van a estar planteadas como principios o directrices para la gestión
de cualquier tipo de riesgo (Icontec, 2011).
18
Para el presente proyecto se utilizará esta Norma como guía, siguiendo sus recomendaciones
y directrices para realizar una eficaz y eficiente gestión de riesgos de seguridad de la
información en los procesos misionales Call Center y Entrega Personalizada incluidos en el
alcance del SGSI la empresa TGE.
Figura 3. Proceso para la gestión del riesgo NTC-ISO 31000:2009 (Icontec, 2011)
El proceso para la gestión del riesgo debe estar adaptado a los procesos de negocio de la
organización y comprende las siguientes actividades:
Las partes involucradas tanto a nivel interno de la compañía como externo deben
comunicación eficaz durante todas las etapas del proceso de gestión del riesgo y tener
definidos los medios de comunicación, con el fin de garantizar que los responsables
del proceso y las partes involucradas entiendan las bases sobre las cuales se toman
decisiones (Icontec, 2011).
19
(Icontec, 2011), esto se analizará a partir del uso del método DOFA – Fortalezas,
Oportunidades, debilidades y Amenazas.
La definición de este término de acuerdo a la Norma ISO 31000, “valoración del riesgo es el
proceso total de la identificación del riesgo, análisis del riesgo y evaluación del riesgo”
(Icontec, 2011).
“El propósito de la identificación del riesgo es la identificación de lo que puede ocurrir o las
situaciones que puedan presentarse que afecten el logro de los objetivos del sistema o de la
empresa” (PECB, 2008).
“El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo, sus
consecuencias (impacto) y la probabilidad de que estas consecuencias puedan ocurrir”
(Icontec, 2011).
La Norma ISO 31000 estable que la evaluación de la gestión del riesgo debe realizarse:
Con base en los resultados del análisis de riesgos, la finalidad de la evaluación del
riesgo es ayudar a la toma de decisiones, determinando los riesgos a tratar y la
prioridad de implementar el tratamiento de los mismos.
La evaluación del riesgo es la comparación de los niveles de riesgo estimados con los
criterios de evaluación y los criterios de aceptación del riesgo y los priorizados que
se deben establecer cuando se consideró el contexto.
20
La organización debe establecer las prioridades para la aplicación del tratamiento de
Riesgos (Icontec, 2011).
“El tratamiento del riesgo involucra la selección de una o más opciones para modificar los
riesgos y la implementación de tales opciones. Una vez implementado, el tratamiento
suministra controles o los modifica” (Icontec, 2011). De las opciones de tratamiento
sugeridas por la norma ISO 31000 y que se detallan en la Figura 5., la compañía ha incluido
en su metodología de gestión de riesgos las opciones de evitar, reducir, asumir y compartir o
transferir para el tratamiento de los riesgos de seguridad de la información, estos se
representan en la Figura 6.
Una vez que han sido tomadas las decisiones sobre la opción de tratamiento del riesgo, deben
ser identificadas y planificadas las actividades para la aplicación de esas decisiones o planes
de acción.
Las acciones prioritarias se determinarán para los riesgos de seguridad de la información que
el resultado de su evaluación sea Crítico y Alta, la empresa debe destinar los recursos
necesarios para cerrar estas acciones el plan de tratamiento.
21
4.2.5.8. Monitoreo y Revisión
Como parte del proceso de gestión del riesgo, los riesgos y los controles deberían ser
monitoreados y revisados regularmente para comprobar que:
22
▪ Cumplir de forma oportuna y eficiente las acciones tomadas por parte del
responsable del riesgo.
La metodología de gestión de riesgos está compuesta por 7 fases, para este proyecto de
pasantía se realizarán de manera secuencial las fases 1, 2, 3, 4, 5, junto con la fase número 7
que corresponde a la fase de Comunicación y Consulta entre las áreas involucradas, siendo
esta transversal a todas las fases durante el desarrollo de la metodología. Se excluye la fase
6 del alcance del proyecto, lo cual se detalla en numeral 4.2 Limitaciones.
23
5. VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD
DE LA INFORMACIÓN
24
5.2. PROCESO ENTREGA PERSONALIZADA
De igual forma como se recolecto información y se conoció el proceso anterior, se hizo para
el proceso de Entrega Personalizada.
Este proceso tiene el objetivo de prestar el servicio de entrega personalizada y
certificada de productos financieros mediante entrega a titulares o terceros
autorizados y recolección de documentos bajo estrictas medidas de seguridad, previa
gestión de agendamiento citas realizadas desde el Call Center de la Compañía u otro
proveedor de la entidad financiera (TGE, 2016).
El proceso cuenta con cuatro subprocesos y las actividades que se desarrollan en cada uno
están definidas en los procedimientos internos de la compañía y se encuentran alienadas a los
requerimientos de los ANS con los clientes.
• Subproceso de Alistamiento: Preparación de los productos financieros enviados por el
cliente o el realzador a la compañía, para iniciar el alistamiento de productos en cabina
ante audio y video realizando verificación de papelería, del producto físico contra la
información del sistema reportada por el cliente, ensobrado, pega de sticker y cierre de la
bolsa de seguridad (TGE, 2017).
• Subproceso de Custodia: Finalizado el alistamiento de los productos, se procede a
custodiar las bolsas de seguridad con los productos, clasificados por ciudad de destino
mientras son asignan al estado de distribución (TGE, 2017).
• Subproceso de Distribución: Producto que debe ser entregado de acuerdo a los tiempos
definidos en los ANS porque ya tienen agendada cita de entrega con el destinatario, estos
son entregados de acuerdo a un manifiesto de entrega a los mensajeros para que realicen
la gestión, el tránsito de los productos en los diferentes procesos queda registrado en el
aplicativo de gestión (TGE, 2017).
• Subproceso de Entrega: Gestión realizada por el mensajero para realizar la entrega de
los productos asignados en el manifiesto de entrega, toda entrega exitosa debe ser
legalizada mediante la entrega de la prueba de entrega a Distribución para su posterior
digitalización, puede presentarse que no finalice satisfactoriamente la entrega del
producto al destinatario por direcciones erradas, ausencia del destinatario, falta de
documentos solicitados, etc., que generaría que el producto vuelva a custodia y se ejecute
lo definido en el ANS (TGE, 2017).
25
5.3. METODOLOGÍA DE GESTIÓN DE RIESGOS – DESARROLLO DE LAS
FASES
DEBILIDADES AMENAZAS
Alta rotación del personal Promesa de entrega a clientes ( incumplimientos)
Falta de cobertura y seguimiento a las Demoras en la realización de activ idades por
operaciones en ruta, mensajería. presupuesto
Falta de inspección a los procesos operativ os. Falta de capacitación
Fallas operativ as Falta de documentación de procesos criticos
I nfidencia I nterna. Caídas constantes del sistema
FORTALEZAS OPORTUNIDADES
Cambio de estrategia con la implementación de la
Seguimiento continuo a indicadores de gestión
operación de los procesos misionales
Seguimiento continuo a acciones de mejora Cambio en la estructura de los procesos
Reestructuración del proceso Cambio de normativ idad y legislazición aplicable
Experiencia y conocimiento de los procesos
Disponibilidad de recursos informáticos
Experiencia y conocimiento de los procesos
Figura 6. Muestra de establecimiento del contexto a partir de la matriz DOFA. Elaboración propia
26
5.3.2. Fase 2 – Identificar el Riesgo
27
Tabla 1.
Parámetros para la identificación y clasificación de activos de información
NOMBRE CAMPO DESCRIPCIÓN
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Consecutivo que identifica que el activo de información asociado al proceso (Nomenclatura: ACT-
ID ACTIVO
[abreviatura del nombre del proceso]-[Numero Consecutivo de 2 dígitos])
ÁREA - PROCESO Nombre del proceso o área al que pertenece el activo de información
Relacione el nombre de los productos que se tienen contratados o sobre el que se identifica el activo
PRODUCTO
de información
ACTIVO DE INFORMACIÓN Nombre del activo de información que identifico el responsable del proceso
TIPO DE CONTENEDOR Registrar el tipo de contenedor de acuerdo a la hoja "Tipo de Contenedores" de este formato
Tabla 2.
Ejemplo de Tipo de Contenedor y Contenedor de activos de información
TIPO DE CONTENEDOR CONTENEDOR
App
BD
Web
Correo
Servidores
Archivos
Dominio
Firewall
Comunicaciones
Estación de trabajo
Equipos de Computo
Portátil / Dispositivos Moviles
Medios de USB
Almacenamiento Discos Duros
Extraíble (Físicos) Cd's y/o DVD's
Oficinas
Bodegas o Bóvedas
Centros de computo
Espacio Físico
Áreas de Archivo
Tulas
Transporte
Cajas
Documentación
Maletas / Maletines
28
Tabla 3.
Criterios de clasificación de activos de Información.
29
Tabla 4.
Matriz de identificación de activos de información para los procesos
30
5.3.2.2. Identificación y Clasificación de Activos de Información Call
Center
Tabla 5
Identificación y clasificación activo de Información "Solicitudes de Apertura de Campañas"
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-CALL-001 Proceso /Subproceso Call Center / Ventas Agendamiento
Activo de información Solicitudes de Apertura de Campañas
Descripción
Documento donde se detalla las condiciones de servicio para la apertura de una campaña, contiene información:
Nombre del cliente, tipo de campaña (Ventas, Agendamiento), especificaciones técnicas de la campaña, cantidad de
registros a gestionar, las fecha de inicio y cierre de la campaña descripción del procedimiento de gestión, guía y manual
de la campaña.
Entrega de plásticos,
Producto Tipo (Digital o Física) Digital
venta de seguros
Responsable
. Director del Call Center
. Director del Call Center
. Agentes del Gestión del Call Center.
. Supervisores del Call
. Supervisores del Call Center.
Center
Custodio Usuarios . Monitoreo y Capacitación de Call
. Monitoreo y
Center
Capacitación de Call
Center
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Confidencial X Uso Interno
Secreta Publica
Fuente: Elaboración propia.
31
Tabla 6.
Identificación y clasificación activo de Información "Manuales de Call Center"
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-CAL-022 Proceso /Subproceso Call Center / Ventas Agendamiento
Activo de información Manuales de Call Center
Descripción
Archivo en Excel que Monitorio y capacitación sube en la carpeta compartida de proceso de archivos biblioteca , contiene todo
las campañas vigentes que se manejan el Call Center.
Contiene las especificaciones las condiciones de agendamiento para cada proceso que se realiza en el Call Center de acuerdo
al ANS firmado por con el cliente.
Todos los agentes de agendamiento deben conocer muy bien la información contenida en este archivo para poder iniciar la
programación de las entregas de los productos y servicios contratados con el cliente
Responsable
. Director del Call Center
. Director del Call Center
. Supervisores del Call . Director del Call Center
Center . Supervisores del Call Center
Custodio . Monitoreo y Capacitación de Usuarios . Monitoreo y Capacitación de Call
Call Center Center
. Agentes de gestión del Call . Agentes de gestión del Call Center
Center
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Confidencial Uso Interno X
Secreta Publica
Fuente: Elaboración propia
32
Tabla 7.
Identificación y clasificación activo de Información "Reporte de la Ultima Gestión del Call Center”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-CAL-025 Proceso /Subproceso Call Center / Agendamiento
Activo de información Reportes de la Ultima Gestion Call Center
Descripción
Archivo en Excel que se genera automaticamente cada 30 minutos el en aplicativos, se descarga para realizar seguimiento de la
gestión realizada por los agentes y garantizar la gestion de la operacion al 100% de todo el Call Center.
El corte de la gestion diaria se debe descarga al dia siguiente antes de las 6:30 am y por el superviso y lleva el historico en su
equipos.
Responsable
. Director del Call Center
33
Tabla 8.
Identificación y clasificación activo de Información "Reporte Mensual Multilinea”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-CAL-027 Proceso /Subproceso Call Center / Agendamiento Venta
Activo de información Reporte Mensuales Multilinea
Descripción
Archivo en Excel generado por el supervisor que contiene información de los incumplimientos de las citas que se agenda,
encuestas que se le realizan a los cliente para saber si el proceso de entrega se realizó a satisfacción y los ilocalizados que son
los clientes que nunca se pudieron contactaron para la entrega de un producto.
Lo envía a través de correo electrónico a los directores, coordinadores y supervisores de cada una de las áreas de la empresa
se archiva en su equipo en una carpeta de mis documentos.
Responsable
. Director del Call Center
34
Tabla 9.
Identificación y clasificación activo de Información " Llamadas Grabadas”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-CAL-030 Proceso /Subproceso Call Center / Agendamiento Venta
Activo de información Llamadas Grabadas
Descripción
Todas las llamadas generadas en los diferentes procesos se graban a través de la planta telefónica y se almacenan para
garantizar la efectividad, el cumplimiento de todos los parámetro y el guion definido por el cliente.
El tiempo de custodia de las grabaciones esta definido de acuerdo a los ANS y contratos con cada cliente y dando
cumplimiento a lo exigido por ley. adicionalmente se envían a los clientes dando cumplimiento a la frecuencia y el medio de
intercambio de información definido (CD/DVD con información cifrada, VPN, etc.)
Las grabaciones son el único soporte de la gestión realizada y de aceptación del cliente de la venta o entrega de un producto,
estas son escuchadas por monitoreo para y valida que cumplen los criterios de calidad.
Entrega de plásticos, venta
Producto Tipo (Digital o Física) Digital
de productos
. Servidor . VPN
Responsable
. Director del Call Center
35
Tabla 10.
Identificación y clasificación activo de Información " Informes Clientes”
IDENTIFICACIÓN DE ACT+A3:D9IVOS DE INFORMACIÓN
ID Activo ACT-PDZA-002 Proceso /Subproceso Entrega Personalizada/ Alistamiento
Activo de información Informes Clientes
Descripción
Informes generado por personal de Alistamiento a los analistas de entrega personalizada para que realicen el envío del reporte
de la operación (consolidado de recibido y novedades presentadas, estadísticas del avance del proceso, cifras de gestión) al
Banco, estos reportes pueden generarse de manera diaria, semanal o mensual y enviarse a través de los canales y medios de
comunicación definidos (Cargue en la VPN, por correo electrónico con adjunto cifrado) con los Bancos en los ANS.
Nota: En la matriz de activos de información este activo contiene mayor información en su descripción, tipo de contenedor y
contenedor, por confidencialidad no se presenta de manera completa.
Responsable
. Director de Entrega Personalizada
. Coordinador Entrega
Personalizada
. Coordinador Entrega Personalizada
. Director Entrega
Custodio Usuarios . Director Entrega Personalizada
Personalizada
. Analista de Entrega Personalizada
. Analista de Entrega
Personalizada
36
Tabla 11.
Identificación y clasificación activo de Información " Papelería Bancaria”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-PDZA-011 Proceso /Subproceso Entrega Personalizada/ Alistamiento
Activo de información Papelería Bancaria
Descripción
Solicitudes de papelería bancaria requerida por el área de alistamiento, esta papelería hace referencia a formatos o insertos,
publicidad, pagares en blanco dicho información se envía en el sobre al cliente cuando se envían las entregas de los diferentes
productos.
Responsable
. Director de Entrega Personalizada
37
Tabla 12.
Identificación y clasificación activo de Información " Tarjetas (crédito, débito, claves), token y Chequeras -
Productos en custodia”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Entrega Personalizada/ Alistamiento
ID Activo ACT-PDZA-020 Proceso /Subproceso
Custodia
Activo de información Tarjetas (crédito, débito, claves), token y Chequeras - Productos en custodia
Descripción
Luego del proceso de alistamiento de los diferentes productos en las bolsas de seguridad, se envían a custodia mientras salen a
ruta para ser entregados por los mensajeros.
Cuando un producto que llegan del realzador o directamente del cliente en una unidad de carga, se validad mediante audio y
video el numero de guía que se encuentre cargado en el sistema interno para inicial el proceso de revisión del contenido y el
alistamiento, en caso de aun no estar cargado los productos de la unidad de carga, esos se envían de alistamiento a custodia al
área segura mientras el cliente reporta los productos y poder así iniciar el proceso de alistamiento.
Responsable
. Director de Entrega Personalizada
. Supervisor de Alistamiento
. Supervisor del área Segura . Operación de alistamiento
Custodio Usuarios
. Operarios de Alistamiento . Operarios del área Segura
. Operarios de área Segura
38
Tabla 13.
Identificación y clasificación activo de Información " Manifiestos de Entrega”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Entrega Personalizada/ Distribución
ID Activo ACT-PDZA-024 Proceso /Subproceso
Entrega
Activo de información Manifiesto de entrega
Descripción
Documento generado diariamente a todos los mensajeros, donde se relaciona los productos registrados en el documento
contra los sobres a entregas en el recorrido del día.
El documento contiene todos los datos del cliente (usuario) y del mensajero que debe hacer la entrega de los productos
relacionados. (GP, nombre, CC y dirección) y es generado por la aplicación de la operación.
Responsable
. Director de Entrega Personalizada
. Supervisor de Distribución y
. Supervisor de Distribución y Entrega
Entrega
Custodio Usuarios . Operarios de Entrega
. Operarios de Entrega
. Mensajero de la operación
. Mensajero de la operación
39
Tabla 14.
Identificación y clasificación activo de Información " Acuses de Recibo”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Entrega Personalizada/ Distribución
ID Activo ACT-PDZA-026 Proceso /Subproceso
Entrega
Activo de información Acuses de Recibo
Descripción
Documento impreso donde certifica la entrega del productos al destinatario, finalizado la ruta del mensajero, este retorna los
acuses de recibo diligenciado por los destinatarios que recibieron los diferentes productos y se entrega al subproceso de
entrega para que posteriormente digitalicen.
Responsable
. Director de Entrega Personalizada
40
Para realizar la identificación de los riesgos de seguridad de la información de consideraron
los siguientes parámetros, los cuales se diligenciaron en la matriz de Análisis y Evaluación
de Riesgos en Seguridad de la Información en todos los dos procesos.
Tabla 15.
Parámetros para el diligenciamiento matriz de riesgos - Fase 2 Identificación
41
Tabla 16.
Matriz para el análisis y evaluación de riesgos de SI - Fase 2 Identificación
42
5.3.2.5. Identificación de Riesgos de Seguridad de la Información Call Center
Tabla 17.
Muestra de la identificación de riesgos - Proceso Call Center
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI (Seguridad
de la Información TGE, 2017)
43
5.3.2.6. Identificación de Riesgos de Seguridad de la Información Entrega Personalizada
Tabla 18.
Muestra de la identificación de riesgos - Proceso Entrega Personalizada
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017)
44
5.3.3. Fase 3 – Análisis de Riesgo
Esta actividad hace parte del proceso de valoración de riesgo, “(…) implica el desarrollo y la
comprensión del riesgo, brindando una entrada para su evaluación, así como criterios para
determinar si es necesario no tratar los riesgos, al igual que las estrategias adecuadas para su
tratamiento” (Seguridad de la Información TGE, 2016).
45
5.3.3.1. Análisis de Riesgos de Seguridad de la Información Call Center
Tabla 19.
Análisis de riesgos de SI de la muestra - Proceso Call Center
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017)
Para el responsable del proceso del Call Center, al realizar el análisis de los riesgos sin ningún tipo de control en caso de
materializarse, generaría a la compañía un impacto a nivel legal, lo cual podría implicar sanciones de entes regulatorios o la
aplicación de cláusulas contractuales o demandas en contra o Aplicación de sanciones que impactan negocios futuros.
46
5.3.3.2. Análisis de Riesgos de Seguridad de la Información Entrega Personalizada
Tabla 20.
Análisis de riesgos de SI de la muestra - Proceso entrega Personalizada
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).
Para el responsable del proceso del Entrega Personalizada, al realizar el análisis de los riesgos sin ningún tipo de control en caso
de materializarse, generaría a la compañía un impacto a nivel legal, lo cual podría implicar sanciones de entes regulatorios o la
aplicación de cláusulas contractuales o demandas en contra o Aplicación de sanciones que impactan negocios futuros y financiero,
lo cual la materialización del riesgo conlleva a una pérdida o sobre costo mayor que 30 y 50 SMMLV (valores tomados de la tabla
con la escala del impacto financiero definido por la Gerencia General).
47
5.3.4. Fase 4 – Evaluación del Riesgo
La evaluación del riesgo hace parte de la última actividad del proceso de valoración de riesgo,
esta fase está compuesta de dos partes:
48
5.3.4.1. Evaluación del Riesgo de Seguridad de la Información Call Center
Tabla 21.
Evaluación del riesgo de SI de la muestra - Proceso Call Center
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).
49
5.3.4.2. Evaluación del Riesgo de Seguridad de la Información Entrega Personalizada
Tabla 22.
Evaluación del riesgo de SI de la muestra - Proceso Entrega Personalizada
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).
50
5.3.4.3. Mapa de Calor Riesgo Inherente y Riesgo Residual
A continuación, se relaciona característica que tienen los riesgos de acuerdo a la zona, luego
de la evaluación de la probabilidad y el impacto y la ubicación en el mapa de calor de los
riesgos que se tomaron de muestra en los procesos de Call Center y Entrega Personalizada.
Tabla 23.
Zona de Riesgo
Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)
51
Tabla 25.
Riesgo Residual – Proceso Call Center
Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)
Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)
52
Tabla 27.
Riesgo Residual – Proceso Entrega Personalizada
Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)
Tabla 28.
Opciones de tratamiento de riesgos de seguridad de la información
53
5.3.5.1. Definición de Planes de Tratamiento de Riesgos de SI Call Center
Tabla 29.
Definición de planes de tratamiento de riesgos de SI Call Center
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).
54
5.3.5.2. Definición de Planes de Tratamiento de Riesgos de SI Entrega Personalizada
Tabla 30.
Definición de planes de tratamiento de riesgos de SI Entrega Personalizada
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).
55
5.3.6. Fase 7 – Comunicación y Consulta
A la Gerencia General, se hizo entrega de un informe de gerencia con el detalle de los riesgos
de nivel crítico y alto mediante la implementación y cierre de las acciones correctivas para
los planes de tratamiento de los riesgos de seguridad de la información identificados por parte
del área de Sistemas de Gestión y Calidad de TGE, junto con los responsables de los
procesos de Call Center y Entrega Personalizada y demás áreas involucradas, esta actividad
corresponde a la FASE 6: Monitoreo y Seguimiento de los Riesgos, definida en la
metodología de riesgos.
56
6. CONCLUSIONES
El reconocimiento por parte de TGE de la responsabilidad que hay en todas las personas que
participan en la compañía para gestionar los riesgos identificados y poder evitar que se
materialice algún riesgo y que pueda afectar la imagen, la reputación o incluso a nivel
financiero o legal a la compañía.
Se debe realizar un nuevo análisis de riesgos en un periodo no superior a un año para verificar
el estado de los mismos y verificar la efectividad de los controles existentes, adicionalmente
se concluyó que los incidentes de seguridad de la información que afecten la
confidencialidad, integridad y disponibilidad de la información de los procesos debe ser
evaluado en la matriz de riesgos para implementar controles correctivos y reducir su impacto
y ocurrencia.
57
LISTA DE REFERENCIA
Icontec Internacional. (2011). Guía Técnica Colombiana GTC 137 - Gestión del Riesgo. Vocabulario.
Bogotá.
Instituto Colombiano de Normas Tecnicas y Certificación [Icontec]. (2011). NTC-ISO 31000 Gestión
del riesgo principios y directrices. En I. Internacional. Bogotá.
iso27000.es. (Octubre de 2013). El portal de ISO 27000 en Español. Recuperado el Marzo de 2017,
de http://www.iso27000.es/download/ControlesISO27002-2013.pdf
PECB. (2008). Certificación Internacional ISO 31000 RISK MANAGER. En E. Lachapelle, Certificación
Internacional ISO 31000 RISK MANAGER (4.3 ed., pág. 51).
58