Informe de Capacidad Operativa

LOGO Nombre de la empresa Documento de uso confidencial
Informe de análisis de capacidad operativa de la Gestión de SD
Contenido
1. INTRODUCCIÓN...............................................................................................2
2. OBJETIVO.........................................................................................................2
3. ALCANCE..........................................................................................................2
4. RESPONSABLES..............................................................................................2
5. PROCESO ASOCIADO.....................................................................................2
6. SITUACIÓN ACTUAL........................................................................................2
7. ESPECIFICACIONES DE REQUERIMIENTOS DE LA GSI..............................3
8. ESCENARIOS DE CAPACIDADES...................................................................5
9. EVALUACIÓN DE ESCENARIOS.....................................................................5
10. PROYECCIÓN DE CAPACIDADES...............................................................5
11. ACCIONES PARA MEJORAR LA CAPACIDAD............................................6
12. SEGUIMIENTO PARA REVISIONES DE LA CAPACIDAD...........................6
Página | 1 de 16
1. INTRODUCCIÓN
La Cooperativa Policía Nacional (CPN) entrega productos y servicios financieros para beneficio de
sus socios y clientes, lo que hace necesario que sus objetivos estratégicos sean apoyados por
personal capacitado, procesos y recursos tecnológicos que les permitan garantizar una gestión
adecuada e innovación digital que sea segura y permita la automatización de sus procesos.
Dada la necesidad de utilizar recursos tecnológicos en los procesos Core del negocio, al eminente
crecimiento las tecnologías de la información y los objetivos estratégicos de la CPN, la Gestión de
Seguridad de la Información debe fortalecer continuamente su estructura organizativa, controles
de seguridad, políticas y procedimientos para asegurar que éstos estén de acuerdo con las
demandas actuales del negocio.
2. OBJETIVO
Identificar la demanda del recurso humano y tecnológico para la Gestión de Seguridad de la

Información de acuerdo con sus necesidades actuales y demandas futuras, de tal forma que se
pueda cumplir con los requerimientos de desempeño operativo del área.
3. ALCANCE
El Análisis de la capacidad operativa tiene como alcance a la Gestión de seguridad de la

información.
4. RESPONSABLES
Responsable: Oficial de Seguridad de la Información.
Actividades Asociadas:
 Diseñar el plan de contingencia de seguridad de la información de la CPN.

 Coordinar planes de acción de incidentes de seguridad de la información
 Evaluar la tecnología de seguridades de la información
Página | 2 de 16
 Participar en la ejecución y desarrollo de proyectos de seguridad de la información para

mitigar riesgos.
 Participar en la ejecución de herramientas tecnológicas de seguridad de la información.
 Proponer políticas y estándares de seguridad de la información y buenas prácticas
empresariales.
 Planificar la ejecución de las normativas vigentes de entes de control.
 Colaborar con el plan estratégico y operativo de seguridad de la información y el plan
institucional.
 Dirigir el plan de evaluación de la gestión de la seguridad de la información.
 Controla la documentación de políticas de seguridad de la información.
 Evaluar las actividades del área de seguridad de la información.
 Evaluar políticas, procesos y procedimientos de seguridad de la información de proyectos
institucionales.
 Participar en auditorias de cumplimientos de políticas.
Responsable: Arquitecto de Seguridad de la Información
 Revisar y supervisar los desarrollos e infraestructura de los servicios y productos a través

del diseño y desarrollo de las soluciones.
 Evaluar la tecnología y desarrollar (HW, SW) de seguridad de la información, comprensión
completa de la tecnología y sistemas de información de la organización.
 Planificación, investigación y diseño de arquitectura de seguridad para cada proyecto
institucional.
 Participar en la planificación y desarrollo de proyectos de seguridad de la información para
mitigar riesgos.
 Desarrollar requisitos de seguridad general para la organización, infraestructura,
desarrollos relacionados con el negocio.
 Realizar estándares de seguridad, sistemas de seguridad y protocolos de autenticación.
 Generar revisión de las distintas herramientas para la obtención de eventos de seguridad y
su atención.
 Generar instrucciones éticas a la infraestructura o desarrollos desarrolladas para
productos y servicios, probar las ultimas estructuras de seguridad para garantizar su
funcionamiento.
Página | 3 de 16

institucionales.
 Definición y mantenimiento de las políticas de seguridad de la información,
procedimientos y el manual del sistema de gestión de seguridad de la información.
 Vigilancia al cumplimiento legal y normativo aplicable según la legislación ecuatoriana.
 Definición e implementación de medidas para capacitación y concientización referente a
temas relacionados con la seguridad de la información y al sistema de gestión de
seguridad de la información.
Responsable: Analista de Riesgos de Seguridad de la Información
 Preparación y planeación de incidentes de seguridad.

 Monitoreo, detección y análisis de eventos de seguridad.
 Respuesta a incidentes de seguridad.
 Implementación de medidas de contención frente a incidentes de seguridad.
 Monitorización de eventos de seguridad y correlación de eventos.
institucionales.
 Gestión de apoyo para la identificación y valoración de activos de información.
 Gestión de apoyo para la identificación de riesgos de seguridad de la información.
 Gestión de apoyo para la valoración de riesgos de seguridad de la información.
 Evaluación de Riesgos de seguridad de la información.
 Elaboración de Planes de Tratamiento de riesgos de seguridad de la información.
institucionales.
Página | 4 de 16

Responsable: Especialista de Ciberseguridad
 Gestión de apoyo para la identificación y valoración de activos de información.

 Gestión de apoyo para la identificación de riesgos de seguridad de la información.
 Gestión de apoyo para la valoración de riesgos de seguridad de la información.
 Evaluación de Riesgos de seguridad de la información.
 Elaboración de Planes de Tratamiento de riesgos de seguridad de la información.
 Monitoreo, Revisión, evaluación, seguimiento y generación de informes sobre la
ciberseguridad de los aplicativos de la CPN.
 Generación de planes de tratamiento para los riesgos asociados a las aplicativos
empresariales o en la nube a los cuales aplique o canales digitales.
 Revisión y seguimiento de Riesgos de Ciberseguridad de los ambientes aplicación y
móviles
institucionales.
 Definición de Parámetros de Seguridad en aplicativos, comunicaciones e infraestructura
 Análisis de Calidad de los productos o servicios tecnológicos a través de la seguridad
implementada.
Responsable: Analista de Seguridad de la Información
Página | 5 de 16

institucionales.
institucionales.
Responsable: Gestión de Calidad
 Aprobación de documentos como procedimientos, manuales, instructivos, planes

estratégicos etc.
 Definir y promover procesos que lleven a mejorar el desempeño de la organización
 Adquirir y utilizar información del proceso en forma continua
 Dirigir el progreso de la organización hacia la mejora continua
 Utilizar métodos adecuados para evaluar la mejora del proceso
 Comunicar la orientación de la organización y los valores relativos a la calidad y al sistema
de gestión de la calidad.
 Participar en proyectos de mejora en la búsqueda de nuevos métodos, soluciones y
productos.
Página | 6 de 16
 Obtener directamente retroalimentación sobre la eficacia y eficiencia del sistema de

gestión de la calidad.
 Identificar los procesos de realización del producto o servicio que aportan valor a la
organización.
 Identificar los procesos de apoyo que influencian a la eficacia y eficiencia de los procesos
de realización.
5. PROCESO ASOCIADO
Gestión de Seguridad de la Información
6. SITUACIÓN ACTUAL
La seguridad de la información tiene la responsabilidad de coordinar las iniciativas relacionadas

con la Gestión de seguridad de la información en la CPN con el fin de optimizar la inversión de
recursos y minimizar los riesgos relacionados con los datos, la información, la infraestructura
tecnológica y sistemas necesarios para la operación confiable de la CPN. Las actividades asociadas
a la Gestión de Seguridad de la Información son las siguientes:
 La Gestión de Seguridad de la Información actualmente maneja procesos de incidentes de

seguridad de la información, administración de usuarios (creación, eliminación,
asignación), Propuestas de Implementación de mejoras en Seguridad de la Información.
 Realizar el informe del monitoreo del Sistema de Gestión de Seguridad de la Información.
 Apoyar la divulgación de las políticas y procedimientos de seguridad de la información.
 Realizar y aprobar de las políticas, manuales y procedimientos de seguridad de la
información, así como de las solicitudes de excepción a las políticas de seguridad de la
información.
 Realizar el informe con respecto al estado del proceso de Gestión de riesgos de seguridad
de la información.
 Verificar el informe con respecto al desempeño de los indicadores de Gestión de
 Reportar estado de las seguridades establecidas, al consejo de administración del Sistema
de Gestión de Seguridad de la Información.
 Validar y aprobar las propuestas de implementación de estándares, requerimientos
regulatorios y normativos que deban ser atendidos por la CPN debido a la naturaleza de
sus operaciones. Definición e implementación de medidas para capacitación y
Página | 7 de 16
concientización referente a temas relacionados con la seguridad de la información y al

sistema de Gestión de seguridad de la información.
institucionales.
Todas las actividades asociadas a la Gestión de Seguridad de la Información están ejecutadas a

cabo por parte de los 6 cargos asociados a la misma Gestión, como lo son, un Oficial de Seguridad
de la Información, Asistente de Seguridad de la Información, Arquitecto de Seguridad de la
Información, 3 Analistas de Seguridad de la Información y Especialista de Seguridad.
Las mismas que como Gestión de Seguridad de la Información utilizan recursos tecnológicos de
apoyo como las herramientas GlobalSuit, Mesa de Servicio, McAfee con componentes asociados y
una comunicación directa con el SOC el cual se encarga de realizar un seguimiento y analizar la
actividad en redes, servidores, puntos finales, bases de datos, aplicaciones, sitios web y otros
sistemas, buscando actividades anómalas que puedan ser indicativas de un incidente o
compromiso de seguridad, adicional del garantizar que los posibles incidentes de seguridad se
identifiquen, analicen, defiendan, investiguen e informen correctamente, con la máxima finalidad
de prestar servicios horizontales en el ámbito de la ciberseguridad.
Adicional de lo mencionado es importante señalar que como Gestión de Seguridad de la

Información se llevan varios proyectos en ejecución para la mejora de la organización las mismas
que se encuentran detalladas en el Plan Estratégico de Seguridad de la Información PESI,
tomando en cuenta las buenas practicas de las ejecuciones de las normativas SEPS 103 (Seguridad
en Canales Electrónicos) , ISO 27001, NIST y PCI DSS.
7. ESPECIFICACIONES DE REQUERIMIENTOS DE LA GSI
1. Atención de incidentes de seguridad de usuarios internos
No Expectativas del GSI Objetivos del SGSI Valor/Métrica Indicador

.
Página | 8 de 16
1 Que el sistema de Atender los Cumplir al menos NGI = ((número de

Gestión de seguridad de incidentes de 95% de atención de incidentes
incidentes de gestionados +
la información asegure seguridad de la
seguridad de la número de
la confidencialidad, información que información incidentes
integridad y se identifiquen o identificados) / total
disponibilidad de toda sean reportados incidentes
la información crítico o por los registrados)) *100
alta del negocio. empleados.
No. Requerimiento Valor

1 Volumen de Usuarios [Co Total de usuarios estimados que se
atienden en la Gestión de incidentes.] =
250 usuarios
2 No. de incidentes de seguridad Total, de eventos o incidentes estimados

que se atienden.] 100 eventos= 100
incidentes mensuales
3 Tiempo de atención a usuarios Tiempo estimado que se utiliza para

atender los eventos e incidentes
reportados por usuarios=
48 horas depende del tipo de incidente
presentado
4 Periodos de Tiempo con Mayor Horario(s) del día que utilizaran con
Tráfico mayor demanda en atención a incidentes
9:00 – 12:00
5 No. de analistas Número de analistas que atiende los

incidentes=
5
6 Otras Métricas Métricas adicionales de atención de

incidentes que se consideren
importantes=
NO
7 Métrica de Disponibilidad Días de la semana que se debe tener

disponible al personal=
A demanda, semanalmente, mensual, a
Página | 9 de 16
Diario
2. Implementación de medidas de seguridad basadas en buenas prácticas internacionales.
No Expectativas del SGSI Objetivos del SGSI Valor/Métrica Indicador

.
2 Que el sistema de Implementar las Cumplir al menos (Número de controles de
Gestión de seguridad medidas con el 90% de la seguridad
de la información necesarias para aplicación de implementado/ número
asegure la mantener la controles se de controles de seguridad
confidencialidad, confidencialidad, seguridad basado aplicables en el SoA)
integridad y integridad y en ISO 27001 de la *100
disponibilidad de disponibilidad de Gestión de activos
toda la información la información de información
crítico o alta del de CPN
negocio.

1 Número de normativas Total, de normativas, leyes, decretos que
deben aplicarse a la GSI
 Normativa Principal: Seps 103

(Seguridades en Canales
Electrónicos)
 Norma: ISO 27001
 Normativa PCI-DSS
 Norma: NIS
2 No. controles de seguridad Total, de controles de seguridad que

deben ser implementados y monitoreados
actualmente.
14 controles – Detallados en la matriz
de declaración de aplicabilidad
3 Tiempo de desarrollo Tiempo estimado que se utiliza para

desarrollar políticas, procedimientos,
Página | 10 de 16
formatos.
Tiempo máximo estimado 1 mes
(Depende del factor de elaboración)
4 Periodos de Tiempo de seguimiento Tiempo estimado que se utiliza para dar

seguimiento a los controles de seguridad
implementados.]
Se lo realiza con una periodicidad de 3
veces al año
5 No. de analistas Número de analistas responsables de la

aplicación de normativas.]
1 analista de Seguridad de la
Información
6 Otras Métricas Otras métricas que se consideren

importantes.
Ninguna
7 Métrica de Disponibilidad Días de la semana que se debe tener

disponible al personal.]
Lunes – Domingo (sábado y Domingo
relacionado a soporte de diferido)
3. Administración de usuarios (creación, eliminación, asignación)

.
3 Que el sistema de Implementar las Cumplir al menos NGB = (cantidad de
usuarios dados de baja
Gestión de seguridad medidas con el 95% de la
por retiros / cantidad de
de la información necesarias para administración de personal retirado) *100
asegure la mantener la usuarios
confidencialidad, confidencialidad, establecida.
integridad y integridad y
disponibilidad de disponibilidad de
toda la información la información
crítico o alta del de CPN
negocio.
Página | 11 de 16

1 Volumen de Usuarios Creados
[Co Total de usuarios creados al mes=
Mensualmente
F 10 usuarios
2 Volumen de Usuarios dados de bajo Total, de usuarios dado de baja mensual

mensualmente 4 usuarios
3 Cantidad de personal retirado Usuarios estimado-retirados al mes

mensualmente 4 usuarios.
4. Cumplimiento de Proyectos SGI

.
4 Que el sistema de Implementar las Cumplir al (número de propuestas
implementadas / número de
Gestión de medidas menos con el
propuestas planificadas) *100
seguridad de la necesarias para 90% de las
información asegure mantener la Propuestas de
la confidencialidad, confidencialidad Implementación
integridad y , integridad y de mejoras en
disponibilidad de disponibilidad Seguridad de la
toda la información de la Información.
crítico o alta del información de
negocio. CPN

1 Número de propuestas Total, de propuestas implementadas en el
implementadas tr Transcurso del año.
6 implementaciones
2 Número de propuestas planificadas Total, de propuestas planificadas en el

año
Página | 12 de 16
10 planificadas
3 Número de personal para Número de personal para la ejecución de

implementación de propuestas implementación de propuestas.
6 personas
4 Periodos de Tiempo de seguimiento Tiempo estimado que se utiliza para dar

de proyectos seguimiento a proyectos a implementarse.
Se lo realiza con reuniones semanales.

importantes.
Ninguna
6 Métrica de Disponibilidad para Días de la semana que se debe tener

cumplimientos proyectos disponible al personal para ejecución de
los proyectos.
Lunes – Domingo (sábado y Domingo
según la necesidad del proyecto)
5. Incidentes de seguridad canales electrónicos (App y Web)

.
4 Que el sistema de Implementar las Cumplir al (número de conexiones app
móvil / número total de
Gestión de medidas menos con el
accesos exitosos) *100
seguridad de la necesarias para 95% de efectivad
información asegure mantener la de controles
la confidencialidad, confidencialidad implantados (número de conexiones coop
integridad y , integridad y virtual / número total de
accesos exitosos ) *100
disponibilidad de disponibilidad
toda la información de la
crítico o alta del información de
negocio. CPN
Página | 13 de 16

1 Número de conexiones estimadas Número de conexiones estimadas en el
mensuales App Móvil mes App Móvil
886146
2 Número de conexiones estimadas Número de conexiones estimadas en el

mensuales Coop Virtual. mes Coop Virtual
35136
3 Número de personal para registro de Número de personal para la ejecución del

indicador propuesto indicador propuesto
2 personas
4 Periodos de Tiempo de seguimiento Periodicidad de entrega del indicador

de indicador Mensual

importantes.
Ninguna
6 Métrica de Disponibilidad de Canal Porcentaje de efectividad del indicador

web y App Móvil esperada
95%
8. ESCENARIOS DE CAPACIDADES
Indicar detalladamente los escenarios de demanda para el análisis de la evaluación.
El programa o escenarios de capacidad puede considerar:
 Determinar el balance entre la demanda actual de actividades y la capacidad actual de

personal con el que se cuenta.
Personal para tratar Gestión de incidentes por que requiero ese personal ( tiempo )
Página | 14 de 16
 Em caso de recursos tecnológicos, Determinar el balance entre la demanda de los servicios

de TIC en la gestión de seguridad de la información y la capacidad de la infraestructura de
TIC, para conocer la suficiencia de cada uno de sus componentes.
Office Word (automatizar esas herramientas por que requiero
 Considerar, de ser el caso, opciones respecto de los niveles y metas de servicio acordados,
señalando invariablemente los riesgos que cada escenario conlleve.
Ejemplo : objetivos y métricas ( 90% tickets ) últimos 6 meses quejas por retraso atención al
usuario, indicadores ( riesgo es que podamos tener sanciones como gestión ). Fuga de inf ( cual es
la consecuencia )
 Determinar los equipos, componentes o aplicativos que son necesarios para cumplir con
los requerimientos de GSI
2 laptop, global suite ( todo lo que se tiene y todo lo que podría faltar )
 Identificar los activos que requieren actualizarse, mejorarse o inclusive sustituirse, así
como las fechas propuestas y los costos estimados en cada caso
( global suite actualizar o herramientas que se tenga ) y razones por que no se ah realizado.
9. EVALUACIÓN DE ESCENARIOS
Indicar los principales incidentes Indicar los principales incidentes, incluyendo recomendaciones y
costos para ser considerados en la gestión de capacidades operativa de GSI
Describir el pronóstico que se genera periódicamente al menos cada 3 meses sobre la capacidad y
demanda de las actividades de GSI
Incidentes – recomendaciones – contratación de personal – herramientas- costos lo que necesito
10.PROYECCIÓN DE CAPACIDADES
Definir las estimaciones de requerimientos futuros indicando con precisión que es lo que se
necesita
Página | 15 de 16
Cuando lo nocesito -2022 necesito contrar personal ( gestión de incidentes ) 2023 ……
11. ACCIONES PARA MEJORAR LA CAPACIDAD
Indicar, de acuerdo con la evaluación de escenario y la proyección de capacidades, las acciones

posibles en caso de sobrecargas de capacidad operativa, incluye personal y servicios utilizados
para evitar la degradación de los servicios por capacidades de los componentes.
Contratar a 1 recursos con experiencia en seguridad de la información o en aplicación o

participación de proyectos de SGSI.
Primera acción : presentar plan de capacidad y solicitar presupuesto.
Segundsa: gestionar con recursos humanos………
12.SEGUIMIENTO PARA REVISIONES DE LA CAPACIDAD
Las acciones para la mejora de la capacidad, fechas de ejecución y responsables se encontrarán

como proyectos en el Plan Estratégico de Seguridad de la información
La Gestión de capacidades operativa debe ser revisada anualmente.
Página | 16 de 16

Informe de Capacidad Operativa

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe de Capacidad Operativa

Cargado por

Copyright:

Formatos disponibles

LOGO Nombre de la empresa Documento de uso confidencial

Informe de análisis de capacidad operativa de la Gestión de SD

Informe de análisis de capacidad operativa de la Gestión de SD

Identificar la demanda del recurso humano y tecnológico para la Gestión de Seguridad de la

El Análisis de la capacidad operativa tiene como alcance a la Gestión de seguridad de la

Responsable: Oficial de Seguridad de la Información.

 Diseñar el plan de contingencia de seguridad de la información de la CPN.

Informe de análisis de capacidad operativa de la Gestión de SD

 Participar en la ejecución y desarrollo de proyectos de seguridad de la información para

Responsable: Arquitecto de Seguridad de la Información

 Revisar y supervisar los desarrollos e infraestructura de los servicios y productos a través

Informe de análisis de capacidad operativa de la Gestión de SD

 Evaluar políticas, procesos y procedimientos de seguridad de la información de proyectos

Responsable: Analista de Riesgos de Seguridad de la Información

 Preparación y planeación de incidentes de seguridad.

Informe de análisis de capacidad operativa de la Gestión de SD

 Vigilancia al cumplimiento legal y normativo aplicable según la legislación ecuatoriana.

Responsable: Especialista de Ciberseguridad

 Gestión de apoyo para la identificación y valoración de activos de información.

Responsable: Analista de Seguridad de la Información

Informe de análisis de capacidad operativa de la Gestión de SD

 Controla la documentación de políticas de seguridad de la información.

Responsable: Gestión de Calidad

 Aprobación de documentos como procedimientos, manuales, instructivos, planes

Informe de análisis de capacidad operativa de la Gestión de SD

 Obtener directamente retroalimentación sobre la eficacia y eficiencia del sistema de

Gestión de Seguridad de la Información

La seguridad de la información tiene la responsabilidad de coordinar las iniciativas relacionadas

 La Gestión de Seguridad de la Información actualmente maneja procesos de incidentes de

Informe de análisis de capacidad operativa de la Gestión de SD

concientización referente a temas relacionados con la seguridad de la información y al

Todas las actividades asociadas a la Gestión de Seguridad de la Información están ejecutadas a

Adicional de lo mencionado es importante señalar que como Gestión de Seguridad de la

7. ESPECIFICACIONES DE REQUERIMIENTOS DE LA GSI

1. Atención de incidentes de seguridad de usuarios internos

No Expectativas del GSI Objetivos del SGSI Valor/Métrica Indicador

Informe de análisis de capacidad operativa de la Gestión de SD

1 Que el sistema de Atender los Cumplir al menos NGI = ((número de

No. Requerimiento Valor

2 No. de incidentes de seguridad Total, de eventos o incidentes estimados

3 Tiempo de atención a usuarios Tiempo estimado que se utiliza para

5 No. de analistas Número de analistas que atiende los

6 Otras Métricas Métricas adicionales de atención de

7 Métrica de Disponibilidad Días de la semana que se debe tener

Informe de análisis de capacidad operativa de la Gestión de SD

2. Implementación de medidas de seguridad basadas en buenas prácticas internacionales.

No Expectativas del SGSI Objetivos del SGSI Valor/Métrica Indicador

No. Requerimiento Valor

 Normativa Principal: Seps 103

2 No. controles de seguridad Total, de controles de seguridad que

3 Tiempo de desarrollo Tiempo estimado que se utiliza para

Informe de análisis de capacidad operativa de la Gestión de SD

4 Periodos de Tiempo de seguimiento Tiempo estimado que se utiliza para dar

5 No. de analistas Número de analistas responsables de la

6 Otras Métricas Otras métricas que se consideren

7 Métrica de Disponibilidad Días de la semana que se debe tener

3. Administración de usuarios (creación, eliminación, asignación)

No Expectativas del SGSI Objetivos del SGSI Valor/Métrica Indicador

Informe de análisis de capacidad operativa de la Gestión de SD

No. Requerimiento Valor

2 Volumen de Usuarios dados de bajo Total, de usuarios dado de baja mensual

3 Cantidad de personal retirado Usuarios estimado-retirados al mes

4. Cumplimiento de Proyectos SGI