Post on 27-Apr-2020
1
VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE
LA INFORMACIÓN PARA LOS PROCESOS INCLUIDOS EN EL ALCANCE DEL
SGSI DEL CLIENTE TGE DE LA EMPRESA ASSURANCE CONTROLTECH
DIANA FERNANDA JARA PÉREZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD DE INGENIERÍA
INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
2017
2
VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE
LA INFORMACIÓN PARA LOS PROCESOS INCLUIDOS EN EL ALCANCE DEL
SGSI DEL CLIENTE TGE DE LA EMPRESA ASSURANCE CONTROLTECH
DIANA FERNANDA JARA PÉREZ
Proyecto de pasantía para optar al
título de Ingeniera de Sistemas
Director Interno
OCTAVIO JOSÉ SALCEDO PARRA
Doctor en Telecomunicaciones
Director Externo
CARLOS ALBERTO ENRÍQUEZ ARCOS
Magíster en Arquitecturas de Tecnologías de la Información
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD DE INGENIERÍA
INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
2017
3
CONTENIDO
pág.
INTRODUCCIÓN .......................................................................................................................... 8
1. PLANTEAMENTO DEL PROBLEMA ................................................................................. 9
2. OBJETIVOS ......................................................................................................................... 10
2.1. OBJETIVO GENERAL .................................................................................................... 10
2.2. OBJETIVOS ESPECÍFICOS ............................................................................................ 10
3. ENTREGABLES DEL PROYECTO .................................................................................... 11
4. MARCO REFERENCIAL .................................................................................................... 12
4.1. MARCO HISTÓRICO ...................................................................................................... 12
4.1.1. Visión ............................................................................................................................ 12
4.1.2. Misión ........................................................................................................................... 12
4.2. MARCO TEÓRICO .......................................................................................................... 13
4.2.1. Términos y definiciones ................................................................................................ 13
4.2.2. La Seguridad de la Información .................................................................................... 15
4.2.2.1. Confidencialidad: ...................................................................................................... 16
4.2.2.2. Integridad: ................................................................................................................. 16
4.2.2.3. Disponibilidad: .......................................................................................................... 16
4.2.3. NORMA ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la Información –
Requisitos ...................................................................................................................................... 16
4.2.4. NORMA ISO/IEC 27002:2013 Código para la práctica de la gestión de la seguridad de
la información. .............................................................................................................................. 17
4.2.5. NORMA ISO 31000:2009 Gestión de Riesgos ............................................................. 18
4.2.5.1. Comunicación y consulta .......................................................................................... 19
4.2.5.2. Establecer el Contexto ............................................................................................... 19
4.2.5.3. Valoración del Riesgo ............................................................................................... 20
4.2.5.4. Identificación de los Riesgos ..................................................................................... 20
4.2.5.5. Análisis de los Riesgos .............................................................................................. 20
4.2.5.6. Evaluación de los Riesgos ......................................................................................... 20
4.2.5.7. Tratamiento de los Riesgos ....................................................................................... 21
4
4.2.5.8. Monitoreo y Revisión ................................................................................................ 22
4.2.6. Metodología de Gestión de Riesgos de Seguridad de la Información ........................... 22
5. VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN ........................................................................................................................... 24
5.1. PROCESO CALL CENTER ............................................................................................. 24
5.2. PROCESO ENTREGA PERSONALIZADA ................................................................... 25
5.3. METODOLOGÍA DE GESTIÓN DE RIESGOS – DESARROLLO DE LAS FASES ... 26
5.3.1. Fase 1 - Establecimiento del Contexto de la organización ............................................ 26
5.3.2. Fase 2 – Identificar el Riesgo ........................................................................................ 27
5.3.2.1. Identificación y Clasificación de Activos de Información ........................................ 27
5.3.2.2. Identificación y Clasificación de Activos de Información Call Center ..................... 31
5.3.2.3. Identificación y Clasificación de Activos de Información Entrega Personalizada ... 35
5.3.2.4. Identificación de Riesgos de Seguridad de la Información ....................................... 40
5.3.2.5. Identificación de Riesgos de Seguridad de la Información Call Center .................... 43
5.3.2.6. Identificación de Riesgos de Seguridad de la Información Entrega Personalizada... 44
5.3.3. Fase 3 – Análisis de Riesgo ........................................................................................... 45
5.3.3.1. Análisis de Riesgos de Seguridad de la Información Call Center ............................. 46
5.3.3.2. Análisis de Riesgos de Seguridad de la Información Entrega Personalizada ............ 47
5.3.4. Fase 4 – Evaluación del Riesgo ..................................................................................... 48
5.3.4.1. Evaluación del Riesgo de Seguridad de la Información Call Center ........................ 49
5.3.4.2. Evaluación del Riesgo de Seguridad de la Información Entrega Personalizada ....... 50
5.3.4.3. Mapa de Calor Riesgo Inherente y Riesgo Residual ................................................. 51
5.3.5. Fase 5 – Tratamiento del Riesgo ................................................................................... 53
5.3.5.1. Definición de Planes de Tratamiento de Riesgos de SI Call Center ......................... 54
5.3.5.2. Definición de Planes de Tratamiento de Riesgos de SI Entrega Personalizada ........ 55
5.3.6. Fase 7 – Comunicación y Consulta ............................................................................... 56
6. CONCLUSIONES ................................................................................................................ 57
LISTA DE REFERENCIA............................................................................................................ 58
5
LISTA DE FIGURAS
pág.
Figura 1. Dominios de la norma ISO 27002:2013. Elaboración Propia .............................. 17
Figura 2. Dominios, objetivos de control y controles de la ISO/IEC 27002:2013.
(iso27000.es, 2013) .............................................................................................................. 18
Figura 3. Proceso para la gestión del riesgo NTC-ISO 31000:2009. (ICONTEC, 2011) ... 19
Figura 4. Las opciones de tratamiento del riesgo. (PECB, 2008) ....................................... 21
Figura 5. Fases de la metodología de gestión de riesgos. Elaboración propia. ................... 23
Figura 6. Muestra de establecimiento del contexto a partir de la matriz DOFA. Elaboración
propia ................................................................................................................................... 26
6
LISTA DE TABLAS
pág.
Tabla 1. Parámetros para la identificación y clasificación de activos de información ......... 28
Tabla 2. Ejemplo de Tipo de Contenedor y Contenedor de activos de información ............ 28
Tabla 3. Criterios de clasificación de activos de Información activo de Información ......... 29
Tabla 4. Matriz de identificación de activos de información para los procesos ................... 30
Tabla 5. Identificación y clasificación activo de Información "Solicitudes de Apertura de
Campañas" ............................................................................................................................ 31
Tabla 6. Identificación y clasificación activo de Información "” "Manuales de Call Center
proyecto” .............................................................................................................................. 32
Tabla 7. Identificación y clasificación activo de Información “Reporte de la Ultima Gestión
del Call Center” .................................................................................................................... 33
Tabla 8. Identificación y clasificación activo de Información “Reporte Mensual Multilinea”
.............................................................................................................................................. 34
Tabla 9. Identificación y clasificación activo de Información "Llamadas Grabadas" ......... 35
Tabla 10. Identificación y clasificación activo de Información "Informes Clientes" .......... 36
Tabla 11. Identificación y clasificación activo de Información " Papelería Bancaria " ....... 37
Tabla 12. Identificación y clasificación activo de Información " Tarjetas (crédito, débito,
claves), token y Chequeras - Productos en custodia" ........................................................... 38
Tabla 13. Identificación y clasificación activo de Información "Manifiestos de Entrega" .. 39
Tabla 14. Identificación y clasificación activo de Información "Acuses de Recibo" .......... 40
Tabla 15. Parámetros para el diligenciamiento matriz de riesgos - Fase 2 Identificación ... 41
Tabla 16. Matriz para el análisis y evaluación de riesgos de SI - Fase 2 Identificación ...... 42
7
Tabla 17. Muestra de la identificación de riesgos - Proceso Call Center ............................. 43
Tabla 18. Muestra de la identificación de riesgos - Proceso Entrega Personalizada............ 44
Tabla 19. Análisis de riesgos de SI de la muestra - Proceso Call Center ............................. 46
Tabla 20. Análisis de riesgos de SI de la muestra - Proceso Entrega Personalizada............ 47
Tabla 21. Evaluación del riesgo de SI de la muestra - Proceso Call Center ........................ 49
Tabla 22. Evaluación del riesgo de SI de la muestra - Proceso Entrega Personalizada ....... 50
Tabla 23. Zona de Riesgo .................................................................................................... 51
Tabla 24. Riesgo Inherente – Proceso Call Center ............................................................... 51
Tabla 25. Riesgo Residual – Proceso Call Center ................................................................ 52
Tabla 26. Riesgo Inherente – Proceso Entrega Personalizada.............................................. 52
Tabla 27. Riesgo Residual – Proceso Entrega Personalizada ............................................... 53
Tabla 28. Opciones de tratamiento de riesgos de seguridad de la información ................... 53
Tabla 29. Definición de planes de tratamiento de riesgos de SI Call Center ...................... 54
Tabla 30. Definición de planes de tratamiento de riesgos de SI Personalizada .................. 55
8
INTRODUCCIÓN
Hoy día, las empresas reconocen la importancia de tener adecuadamente identificada y
protegida la información propia, como también la proporcionada por sus clientes, enmarcada
bajo las relaciones comerciales y contractuales como los son acuerdos de confidencialidad y
acuerdos de niveles de servicio, que obligan a dar un tratamiento, manejo y clasificación a la
información bajo una correcta administración y custodia.
La información es uno de los activos de mayor valor que poseen las empresas y puede
encontrarse en diferentes medios y formas: almacenada en archivos digitales o físicos u otro
medio de almacenamiento o intercambio de información, transmitida por correos físicos o
electrónicos, impresa o en papel, entre otros.
Por lo anterior, la Seguridad de la Información en la empresa tiene como objetivo la
protección de los activos de información en cualquiera de sus estados ante una serie de
riesgos o brechas que atenten contra sus principios fundamentales de confidencialidad,
integridad y disponibilidad de la información, a través de la implementación de controles de
seguridad, que permitan gestionar y reducir los riesgos a que está expuesta y maximizar el
retorno de las inversiones en las oportunidades de negocio.
Alineado a las necesidades del cliente y los requisitos para la implementación de un Sistema
de Gestión de Seguridad de la Información bajo la norma NTC/ISO/IEC 27001:2013, se
realizará la valoración y el plan de tratamiento de riesgos de seguridad de la información
tomando como marco de referencia la norma NTC/ISO 31000:2009 de Gestión de Riesgos y
la guía de controles de seguridad establecido en el estándar para la seguridad de la
información ISO/IEC 27002:2013 que da las recomendaciones para la gestión de la seguridad
de la información.
En este documento se presenta inicialmente, la necesidad del cliente para que se lleve a cabo
la valoración y el plan de tratamiento de riesgos de seguridad de la información a los procesos
definidos en el alcance del Sistema de Gestión de Seguridad de la Información – SGSI.,
teniendo en cuenta la situación de la empresa, la normativa existente y la subjetividad de las
personas a entrevistar, luego, se definen los objetivos generales, específicos y se relacionan
los documentos entregables que se presentaron a Gerencia General del cliente TGE.
Continuando con el marco de referencia se presentará la empresa contratista y los temas que
se deben tener en cuenta para la valoración (es el proceso total de identificar, analizar y
evaluar los riesgos) y el plan de tratamiento de riesgos de seguridad de la información con
base en la metodología de riesgos desarrollada por el área de Seguridad de la Información.
Finalmente se presenta una explicación del desarrollo de las fases definidas en la
metodología implementada para realizar la valoración y definición del plan de tratamiento
de riesgos de seguridad de la información presentando una muestra de la información
identificada en los procesos de Call Center y Entrega Personalizada.
9
1. PLANTEAMENTO DEL PROBLEMA
Como se menciona en el portafolio de soluciones de la compañía Assurance ControlTech:
Empresa colombiana que cuenta con sedes en las ciudades de Bogotá y Medellín y
más de 9 años de experiencia en el mercado, lo que le ha permitido adquirir buen
reconocimiento tanto en el sector privado como público, mediante la implementación
de soluciones y servicios basados en tecnologías de la información, comunicaciones
e infraestructura, software y hardware, seguridad de la información, consultoría,
interventorías y servicios especializados de outsourcing realizados por un equipo de
profesionales certificados con la experiencia necesaria para acompañar y gestionar
cada proyecto de los clientes nuevos y los existentes (Assurance ControlTech, 2016).
Assurance ControlTech dentro de su portafolio de servicios de Seguridad de la Información,
ha sido contratada por la empresa TGE, para realizar la implementación de un Sistema de
Gestión de Seguridad de la Información con base la norma NTC/ISO 27001:2013 y como
requisito obligatorio de la misma surge la necesidad de realizar la valoración de los riesgos
de seguridad de la información, el cual comprende la identificación, análisis y evaluación de
riesgos, y continuar con la definición del plan de tratamiento de los mismos, para los procesos
misionales incluidos dentro del alcance del SGSI siguiendo los principios y directrices de la
norma ISO 31000:2009 y alineado a los objetivos estratégicos de la empresa.
La empresa TGE definió dentro del alcance del Sistema de Gestión de Seguridad de la
Información dos de los procesos misionales encargados de procesar, gestionar y custodiar
información sensible correspondiente a productos financieros. El primer proceso es Call
Center, responsable de realizar el agendamiento y venta de productos financieros y el
segundo proceso de Entrega Personalizada, responsable de alistamiento, custodia,
distribución y entrega de los productos que han sido agendados. Es por esto que surge la
necesidad de realizar una valoración de riesgos desde el punto de vista de seguridad de la
información y la definición del plan de tratamiento de los riesgos en apoyo conjunto con los
responsables de los procesos teniendo la normativa de la empresa y la legislación aplicable.
Todas las actividades que se desarrollen en una empresa, implican riesgos y en esta compañía
no es la excepción, la norma ISO 31000:2009 de gestión del riesgo define “Riesgo: Efecto
de la incertidumbre sobre los objetivos” (Instituto Colombiano de Normas Tecnicas y
Certificación [Icontec], 2011, pág. 4). El efecto que genera la materialización de los riegos
en la compañía puede ser positivo o negativo, hace necesario realizar una gestión eficaz del
riesgo que permita prever su materialización y responder ante los que puedan generar efectos
negativos en los objetivos la compañía, aplicando los controles necesarios para que los
responsables del proceso tomen una correcta opción para el tratamiento de los mismos,
evitando que estos se materialicen y/o reducir el impacto si ya se está presentando.
Consiente del valor de la información como activo y la sensibilidad de la información
financiera que maneja el cliente TGE en los procesos misionales del alcance, se planteó la
siguiente pregunta: ¿Cómo reducir los riesgos de seguridad de la información que se
presentan en los procesos de Call Center y Entrega Personalizada durante la operación?, y
10
que permitan preservar los pilares de seguridad de la información (confidencialidad,
integridad y disponibilidad) en los procesos de Call Center y Entrega Personalizada de la
empresa.
2. OBJETIVOS
2.1. OBJETIVO GENERAL
Realizar la valoración de los riesgos de seguridad de la información para los procesos de Call
Center y Entrega Personalizada del cliente TGE de Assurance ControlTech, con el fin de
definir el plan de tratamiento de los riesgos de seguridad de la información de acuerdo a las
necesidades de la empresa.
2.2. OBJETIVOS ESPECÍFICOS
▪ Identificar y conocer la operación y los subprocesos que conforman los proceso de
Call Center y Entrega Personalizada de TGE con los responsables de los mismos y
presentar la metodología de riesgos a las personas involucradas en la valoración de
los riesgos y la definición de los planes de tratamiento.
▪ Desarrollar las 6 fases que se especifican en el alcance del proyecto y se definen en
la metodología de riesgos de la empresa, para realizar la valoración del riesgo acorde
con los principios y directrices de la norma ISO 31000:2009 de Gestión de Riesgos
para los procesos de Call Center y Entrega Personalizada.
▪ Reducir la probabilidad de que una brecha o evento produzca un determinado impacto
en los activos de información, y la empresa pueda maximizar el retorno de la
inversión en las oportunidades de negocio, mediante la gestión adecuada de los
riesgos de Seguridad de la Información.
▪ Validar el resultado de la reducción del impacto de los riesgos, finalizada la fase de
valoración de los riesgos de seguridad de la información en los procesos del Call
Center y de Entrega Personalizada.
11
3. ENTREGABLES DEL PROYECTO
La metodología de gestión de riesgos de seguridad de la información para ser aplicada en
TGE, tomando como referencia las recomendaciones de la Norma ISO 31000:2009, está
compuesta por 7 fases, y de acuerdo a lo definido en el alcance y limitaciones para el
desarrollo del proyecto de pasantía se ejecutaron 6 fases como producto de la valoración de
riesgos (proceso global de identificación, análisis y evaluación del riesgo) y la definición del
plan de tratamiento de los riesgos de seguridad de la información.
Como resultado de esta actividad, se entregó a la Gerencia General los documentos que se
relacionan a continuación los cuales fueron creados en el desarrollo de cada fase de la
metodología para los procesos de Call Center y Entrega Personalizada, estos son de carácter
confidencial de conformidad a lo definido en el acuerdo de confidencialidad firmado entre
TGE y Assurance ControlTech.
• Documento con la definición del contexto en función de las características de la
empresa, utilizando el modelo de análisis DOFA.
• Matrices de identificación y clasificación de activos de Información
Resultado de la identificación y clasificación de los activos de información realizada con
los responsables de los procesos de Call Center y Entrega Personalizada.
• Matriz de identificación, análisis y evaluación de riesgos de seguridad de la
información.
Esta matriz contiene los riesgos de seguridad de la información identificados, analizados
y evaluados a partir de los controles existente y definidos por los propietarios del riesgo
de cada proceso dando como resultado el nivel de riesgo residual.
• Mapa de calor de los riesgos identificados
Representación en el mapa de calor de riesgos sin controles (inherente) y de riesgo
residual identificados por el propietario del riesgo de cada proceso donde es posible
identificar el nivel del riesgo el cual está asociado a la relación de las consecuencias
(impacto) y el factor de ocurrencia (probabilidad).
• Plan de tratamiento de riesgos de seguridad de la información de los procesos
Los responsables de los riesgos deben formular los planes de acción o mejora de controles
necesarios para el tratamiento de los riesgos residuales según su zona de criticidad, para
el caso de la compañía se gestionarán los riesgos de clasificación crítica y alta, es la
gerencia general quien define la opción de tratamiento a implementar (transferir, evitar,
reducir o asumir).
12
4. MARCO REFERENCIAL
4.1. MARCO HISTÓRICO
Según el portafolio de soluciones de la empresa Assurance ControlTech:
Es una compañía colombiana que nació en el año 2007 prestando servicios de
interventoría técnica, administrativa y financiera asegurando no sólo la calidad de los
productos y/o servicios, sino también la gestión en general de los procesos
involucrados en cada proyecto, en el año 2014 la empresa amplió su portafolio de
servicios permitiendo crecer mediante el ofrecimiento de estos nuevos servicios a
nuevos clientes y a los ya existentes, permitiendo satisfacer las necesidades mediante
los servicios de consultoría, soluciones tecnológicas, de infraestructura, software y
Hardware, seguridad de la información, consultoría, interventorías y servicios
especializados de outsourcing realizados por un equipo de profesionales certificados
con la experiencia necesaria para acompañar y gestionar cada proyecto de los clientes.
Actualmente la compañía cuenta con sedes en Bogotá y Medellín y con más de 9 años
de experiencia en el mercado permitido adquirir buen reconocimiento tanto en el
sector privado como público, implementando soluciones y servicios basados en
Tecnologías de la Información y Comunicaciones. (Assurance ControlTech, 2016).
4.1.1. Visión
Lograr el reconocimiento del mercado y de la industria en soluciones de Tecnología
Informática – TI con los más altos estándares de calidad y satisfacción logrando ser
líderes en Áreas de Negocio, como: Gestión e Implementación de Infraestructura de
TI. Big Data y Business Intelligence – BI, software de middleware. Interventoría
Técnica, Administrativa y Financiera. Outsourcing de talento humano especializado
(Assurance ControlTech, 2016).
4.1.2. Misión
Proporcionar soluciones basadas en altos estándares de calidad en soluciones de
infraestructura, Software y Hardware, seguridad, consultoría, interventorías y
servicios especializados, generando valor a nuestros clientes que les permita
posicionarse y desarrollarse como líderes en su mercado. (Assurance ControlTech,
2016).
13
4.2. MARCO TEÓRICO
4.2.1. Términos y definiciones
A continuación, se listan algunos términos y definiciones de términos que se utilizarán
durante el desarrollo del presente proyecto, relacionado con la gestión del riesgo y la
seguridad de la información, con el objetivo de poder unificar criterios dentro de la empresa.
Se toman como referencia los términos y definiciones contenidas en la Guía Técnica
Colombiana GTC 137 (Gestión del Riesgo. Vocabulario), el estándar Internacional ISO/IEC
27000, la metodología de riesgos de la compañía y los términos identificados en el portal de
la ISO 27000 en español, y se relacionan a continuación:
“Aceptación del riesgo: Decisión informada de tomar un riesgo particular” (Icontec
Internacional, 2011).
“Activo: En relación con la seguridad de la información, se refiere a cualquier información
o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios,
personas...) que tenga valor para la organización” (iso27000.es, 2012).
“Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el nivel
del mismo” (Icontec Internacional, 2011).
“Causa: Origen, comienzo de una situación determinada que genera un efecto o
consecuencia” (Seguridad de la Información TGE, 2016).
“Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada
a individuos, entidades o procesos no autorizados” (Organización Internacional de
Normalización [ISO], 2014).
“Consecuencia: Resultado de un evento que afecta los objetivos” (Icontec Internacional,
2011).
“Criterios del riesgo: Términos de referencia frente a los cuales la importancia de un riesgo
se evaluada” (Icontec Internacional, 2011).
“Control: Medida que modifica el riesgo” (Icontec Internacional, 2011).
“Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo
requiera una entidad autorizada” (Organización Internacional de Normalización [ISO],
2014).
“Evaluación de riesgos: Proceso de comparación de los resultados del análisis del riesgo
con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables
o tolerables” (Icontec Internacional, 2011).
14
“Evento: Presencia o cambio de un conjunto particular de circunstancias” (Icontec
Internacional, 2011).
“Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de
originar un riesgo” (Icontec Internacional, 2011).
“Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con
respecto al riesgo” (Icontec Internacional, 2011). Se compone de la evaluación y el
tratamiento de riesgos
“Identificación de riesgos: Proceso de encontrar, reconocer y describir riesgos” (Icontec
Internacional, 2011).
“Integridad: Propiedad de la información relativa a su exactitud y completitud”
(Organización Internacional de Normalización [ISO], 2014).
“Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en
términos de la combinación de las consecuencias y su posibilidad” (Icontec Internacional,
2011).
“Política para la gestión del riesgo: Declaración de la dirección y las intenciones generales
de una organización con respecto a la gestión del riesgo” (Icontec Internacional, 2011).
“Propietario del riesgo: Persona o entidad con la responsabilidad de rendir cuentas y la
autoridad para gestionar un riesgo” (Icontec Internacional, 2011).
“Proceso: Conjunto de actividades interrelacionadas o que interactúan para transformar una
entrada en salida” (iso27000.es, 2012).
“Riesgo Inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto
de los controles” (Seguridad de la Información TGE, 2016).
“Riesgo Residual: El riesgo que permanece tras el tratamiento del riesgo o nivel resultante
del riesgo después de aplicar los controles” (Icontec Internacional, 2011).
“Riesgo: Efecto de la incertidumbre sobre los objetivos” (Icontec Internacional, 2011).
“Riesgo de Seguridad de la Información: Probabilidad de ocurrencia de un evento que
genere un impacto sobre la Confidencialidad, Integridad y Disponibilidad de la Información”
(Seguridad de la Información TGE, 2016).
“Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y
evaluación de los riesgos” (Icontec Internacional, 2011).
“SGSI: Sistema de Gestión de Seguridad de la Información” (iso27000.es, 2012).
15
“Seguridad de la información: Preservación de la confidencialidad, integridad y
disponibilidad de la información” (iso27000.es, 2012).
“Tratamiento del Riesgo: Proceso para modificar el riesgo” (Icontec Internacional, 2011).
Incidente de seguridad de la información: Evento único o serie de eventos de
seguridad de la información inesperados o no deseados que poseen una probabilidad
significativa de comprometer las operaciones del negocio y amenazar la seguridad de
la información (Confidencialidad, Integridad y Disponibilidad). (iso27000.es, 2012).
4.2.2. La Seguridad de la Información
Según (Instituto Nacional de Ciberseguridad de España, S.A. [INCIBE], 2014) desde tiempos
inmemorables las empresas han creado los medios necesarios para evitar el robo y
manipulación de sus datos confidenciales. Hoy en día esto se mantiene por lo que las
empresas siempre buscan mantener la seguridad de su información.
La seguridad de la información busca la creación de una cultura de seguridad en todos los
empleados de las empresas y la implementación de controles de seguridad que permitan
reducir los riesgos a los que está expuesta y pone en peligro la integridad, confidencialidad
y disponibilidad de la información o simplemente ponen a prueba los controles existentes en
la empresa y la viabilidad de nuestros negocios.
Es importante reconocer que los riesgos no sólo provienen desde el exterior de la empresa,
sino que también pueden estar dentro de la misma, por lo que, para poder trabajar en un
entorno de manera segura, se deben tener identificados los activos de información y la fuente
de procedencia ya que pueden ser generados por la misma empresa o ser entregados por los
clientes y estar en diferentes medios, como físicos y digital. Por lo anterior la empresa se
puede apoyar en la implementación un sistema de Gestión de seguridad de la información –
SGSI que permita asegurar la información y disponer de controles que permita disminuir el
impacto de los riesgos.
Cabe resaltar la diferenciar entre seguridad informática y seguridad de la información:
La primera, se refiere a la protección de la infraestructura de las tecnologías de la información
y comunicación que soportan la empresa, mientras que la seguridad de la información, se
refiere a la protección de los activos de información fundamentales para el éxito de cualquier
organización que soportan la organización (INCIBE, 2014).
En el ítem 5.2.1 Términos y definiciones, se dio el concepto de los tres pilares o principios
de la Seguridad de la Información, a continuación, se presentan las definiciones para la
empresa desde los puntos de vista de seguridad de la información y de riesgos, la cual está
alineada a la definición de la norma.
16
4.2.2.1. Confidencialidad:
“Es garantizar el acceso a la información sólo a los usuarios autorizados” (Seguridad de la
Información de TGE, 2016).
A nivel de riesgos: “la información es accesible solamente a quienes están autorizados para
ello. Información cuya divulgación puede generar desventajas competitivas, pérdidas
económicas, afecta la reputación y/o imagen y de la compañía” (Seguridad de la Información
TGE, 2016).
4.2.2.2. Integridad:
“Evitar que la información sea modificada de manera no autorizada” (Seguridad de la
Información de TGE, 2016).
A nivel de riesgos: “Protección de la exactitud y estado completo de la información y
métodos de procesamiento. Información sin errores ni fraude, la ocurrencia de alguna de estas
ocasionará pérdidas significativas” (Seguridad de la Información TGE, 2016).
4.2.2.3. Disponibilidad:
“Garantizar que la información esté disponible cuando se necesite” (Seguridad de la
Información de TGE, 2016).
“A nivel de riesgos: Seguridad que los usuarios autorizados tienen acceso a la información y
a los activos asociados cuando lo requieren. La información debe ser accesible y recuperable
fácilmente en caso de suspensión del procesamiento” (Seguridad de la Información TGE,
2016).
4.2.3. NORMA ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la
Información – Requisitos
El objetivo y campo de aplicación definido en la en la presente norma, especifica:
Esta Norma especifica los requisitos para establecer, implementar, mantener y
mejorar continuamente un sistema de gestión de seguridad de la información dentro
del contexto de la organización. La Norma constituye también los requisitos para la
valoración y el tratamiento de los riesgos de seguridad de la información, adaptados
a las necesidades de la organización. Los requisitos establecidos en esta Norma son
genéricos y están previstos para ser aplicados a todas las organizaciones,
independientemente de su tipo, tamaño o naturaleza. (ICONTEC Internacional,
2013).
Podemos definir un Sistema de Gestión de Seguridad de la Información como una
herramienta de gestión que nos va a permitir conocer, gestionar y minimizar los posibles
17
riesgos que atenten contra la seguridad de la información (confidencialidad, integridad y
disponibilidad) de la organización (INCIBE, 2014)
La implementación de la Norma permite establecer políticas, procedimientos y controles con
el objeto de disminuir los riesgos de su organización, para lograrlo la dirección la compañía
se ha comprometido a implementar y mantener el SGSI, involucrando:
• “Definición de políticas, estándares, procedimientos y formatos.
• Gestión de riesgos de seguridad de la información sobre los procesos de negocio del
SGSI que involucran los activos de información. La cual se basa en el análisis,
evaluación y tratamiento de los mismos de acuerdo con el estándar ISO/IEC 31000.
• Cumplimiento de obligaciones legales, regulatorias y contractuales relacionadas con
Seguridad de la Información.
• Gestión de incidentes de Seguridad de la Información.
• Entrenamiento y sensibilización en seguridad de la información” (Seguridad de la
Información de TGE, 2016).
4.2.4. NORMA ISO/IEC 27002:2013 Código para la práctica de la gestión de la
seguridad de la información.
Esta norma es una guía de las buenas prácticas que recoge las recomendaciones sobre las
medidas a tomar para asegurar los sistemas de gestión de una organización (INCIBE, 2014).
Junto a los controles a implementar de acuerdo a la empresa al momento de hacer la
valoración y definición del plan de tratamiento de riesgos de seguridad de la información.
A continuación, se presenta a modo de guía la imagen con los 14 dominios de la norma ISO
27002:2013.
Figura 1. Dominios de la norma ISO 27002:2013. Elaboración Propia
18
Está norma compuesta por 14 dominios, es decir áreas de actuación, 35 objetivos de control
o aspectos a asegurar dentro de cada área y 114 controles o mecanismos para asegurar los
distintos objetivos de control, como se relaciona en la siguiente figura (iso27000.es,
2013;INCIBE, 2014).
Figura 2. Dominios, objetivos de control y controles de la ISO/IEC 27002:2013. (iso27000.es, 2013)
4.2.5. NORMA ISO 31000:2009 Gestión de Riesgos
La Norma ISO 3100 es un estándar para la gestión de riesgos, que al igual que la ISO 27001
para el sistema de gestión de seguridad de la información, puede ser implementado en:
Organizaciones de todo tipo y tamaños, sin importar el objeto de negocio, los procesos
y sus niveles, debido a que cualquiera puede enfrentar factores internas y externas,
que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta
incertidumbre tiene en los objetivos de una organización es el “riesgo” (Icontec,
2011).
La ISO 31000 no es una norma certificable para una empresa, está nos proporciona una serie
de recomendaciones que van a estar planteadas como principios o directrices para la gestión
de cualquier tipo de riesgo (Icontec, 2011).
19
Para el presente proyecto se utilizará esta Norma como guía, siguiendo sus recomendaciones
y directrices para realizar una eficaz y eficiente gestión de riesgos de seguridad de la
información en los procesos misionales Call Center y Entrega Personalizada incluidos en el
alcance del SGSI la empresa TGE.
A continuación, se presenta el proceso para la gestión del riesgo de la norma ISO
31000:2009:
Figura 3. Proceso para la gestión del riesgo NTC-ISO 31000:2009 (Icontec, 2011)
El proceso para la gestión del riesgo debe estar adaptado a los procesos de negocio de la
organización y comprende las siguientes actividades:
4.2.5.1. Comunicación y consulta
Las partes involucradas tanto a nivel interno de la compañía como externo deben
comunicación eficaz durante todas las etapas del proceso de gestión del riesgo y tener
definidos los medios de comunicación, con el fin de garantizar que los responsables
del proceso y las partes involucradas entiendan las bases sobre las cuales se toman
decisiones (Icontec, 2011).
4.2.5.2. Establecer el Contexto
En la organización, se procederá a identificar las características de los factores internos y
externo que influyan sobre la gestión del riesgo como por ejemplo la misión, visión,
actividades que desarrolla la empresa, los interesados, legislación aplicable y demás factores
20
(Icontec, 2011), esto se analizará a partir del uso del método DOFA – Fortalezas,
Oportunidades, debilidades y Amenazas.
El punto de partida de la identificación de riesgos es realizar una identificación y clasificación
de activos de información de los procesos de Call Center y Entrega Personalizada de la
compañía que manejen información sensible.
4.2.5.3. Valoración del Riesgo
La definición de este término de acuerdo a la Norma ISO 31000, “valoración del riesgo es el
proceso total de la identificación del riesgo, análisis del riesgo y evaluación del riesgo”
(Icontec, 2011).
4.2.5.4. Identificación de los Riesgos
“El propósito de la identificación del riesgo es la identificación de lo que puede ocurrir o las
situaciones que puedan presentarse que afecten el logro de los objetivos del sistema o de la
empresa” (PECB, 2008).
El proceso de la identificación del riesgo comprende la identificación de las causas,
consecuencias, fuentes generadoras de riesgo que puedan afectar el cumplimiento de los
objetivos planteados para los procesos (PECB, 2008).
4.2.5.5. Análisis de los Riesgos
“El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo, sus
consecuencias (impacto) y la probabilidad de que estas consecuencias puedan ocurrir”
(Icontec, 2011).
4.2.5.6. Evaluación de los Riesgos
La Norma ISO 31000 estable que la evaluación de la gestión del riesgo debe realizarse:
Con base en los resultados del análisis de riesgos, la finalidad de la evaluación del
riesgo es ayudar a la toma de decisiones, determinando los riesgos a tratar y la
prioridad de implementar el tratamiento de los mismos.
La evaluación del riesgo es la comparación de los niveles de riesgo estimados con los
criterios de evaluación y los criterios de aceptación del riesgo y los priorizados que
se deben establecer cuando se consideró el contexto.
21
La organización debe establecer las prioridades para la aplicación del tratamiento de
Riesgos (Icontec, 2011).
4.2.5.7. Tratamiento de los Riesgos
“El tratamiento del riesgo involucra la selección de una o más opciones para modificar los
riesgos y la implementación de tales opciones. Una vez implementado, el tratamiento
suministra controles o los modifica” (Icontec, 2011). De las opciones de tratamiento
sugeridas por la norma ISO 31000 y que se detallan en la Figura 5., la compañía ha incluido
en su metodología de gestión de riesgos las opciones de evitar, reducir, asumir y compartir o
transferir para el tratamiento de los riesgos de seguridad de la información, estos se
representan en la Figura 6.
Figura 4. Las opciones de tratamiento del riesgo. (PECB, 2008)
Una vez que han sido tomadas las decisiones sobre la opción de tratamiento del riesgo, deben
ser identificadas y planificadas las actividades para la aplicación de esas decisiones o planes
de acción.
Las acciones prioritarias se determinarán para los riesgos de seguridad de la información que
el resultado de su evaluación sea Crítico y Alta, la empresa debe destinar los recursos
necesarios para cerrar estas acciones el plan de tratamiento.
22
4.2.5.8. Monitoreo y Revisión
Como parte del proceso de gestión del riesgo, los riesgos y los controles deberían ser
monitoreados y revisados regularmente para comprobar que:
▪ La hipótesis acerca de los riesgos sigue siendo válidas;
▪ La hipótesis en la que está basada la valoración del riesgo, incluyendo el contexto
interior y exterior, siguen siendo válidas;
▪ Se van cumpliendo los resultados esperados;
▪ La técnica de valoración del riesgo se aplica correctamente;
▪ Los tratamientos del riesgo son efectivos.
4.2.6. Metodología de Gestión de Riesgos de Seguridad de la Información
Si bien es cierto que la norma ISO 31000:2009 es un documento de referencia que
proporciona las directrices o especificaciones para la gestión de riesgos; no es una
metodología.
Por lo que el de equipo de seguridad de la información contratado para la implementación
del sistema de gestión de seguridad de la información –SGSI., en la empresa TGE, se reunió
para desarrollar una metodología de gestión de riesgos de seguridad de la información para
ser aplicada a la empresa TGE., tomando como referencia las recomendaciones de la Norma
ISO 31000:2009.
Las disposiciones de la metodología que se desarrolló promueve el cumplimiento de los
siguientes objetivos:
▪ Identificar y reportar de manera oportuna los eventos generadores de riesgos de
Seguridad de la Información;
▪ Identificar la(s) causa(s) raíz de los riesgos reportados;
▪ Definir los planes de acción tendientes a tomar medidas de tratamiento de los
riesgos identificados (Evitar, Reducir, Transferir o Asumir);
▪ Implementar acciones correctivas y preventivas orientadas a reducir el riesgo a
niveles aceptables de acuerdo a lo definido por el comité de Seguridad de la
Información;
23
▪ Cumplir de forma oportuna y eficiente las acciones tomadas por parte del
responsable del riesgo.
▪ Promover la mejora continua en los procesos, haciendo más oportuno y reiterativo
el seguimiento sobre los procesos de mayor importancia.
▪ Comunicar a las instancias superiores de la gestión y tratamiento de los Riesgos
identificados en los procesos.
▪ Establecer los roles y responsabilidades de todos los funcionarios que participan
directa o indirectamente en la Administración del Riesgo.
▪ Brindar a todo el personal de la Compañía una Metodología común para
identificar, analizar, evaluar y dar tratamiento a los riesgos de seguridad de la
información que pueden afectar el logro de sus objetivos (Seguridad de la
Información TGE, 2016).
La metodología de gestión de riesgos está compuesta por 7 fases, para este proyecto de
pasantía se realizarán de manera secuencial las fases 1, 2, 3, 4, 5, junto con la fase número 7
que corresponde a la fase de Comunicación y Consulta entre las áreas involucradas, siendo
esta transversal a todas las fases durante el desarrollo de la metodología. Se excluye la fase
6 del alcance del proyecto, lo cual se detalla en numeral 4.2 Limitaciones.
Figura 5. Fases de la metodología de gestión de riesgos. Elaboración propia
24
5. VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD
DE LA INFORMACIÓN
5.1. PROCESO CALL CENTER
De acuerdo a la información identificada en la documentación del proceso y con el
responsable del mismo a través de las reuniones de trabajo. (TGE, 2016) se puede concluir
que la actividad realizada en este proceso misional de la compañía cumple con el objetivo de
prestar el servicio de generación y atención de llamadas para venta (retención, fidelización
de productos y/o servicios) y el agendamiento de citas para entrega de productos financieros
de los diferentes clientes, siendo estos últimos quienes definen los requerimientos necesarios
para la ejecución de las diferentes campañas que se manejan en el Call Center.
• Subproceso de Agendamiento: Contacto telefónico con el usuario mediante la
información suministrada por una empresa para la programación de visitas para entrega
de productos y/o recolección de documentos (TGE, 2016).
• Subproceso de Ventas: Campañas de venta de productos y servicios que le permitirán
ampliar el alcance comercial de los clientes, de igual forma se realiza llamadas de
retención, fidelización de productos y/o servicios, dependiendo de las campañas vigentes
(TGE, 2016).
Este proceso se maneja a través de actividades que permiten cumplir con las necesidades de
los clientes.
• Generación del guión para realizar la gestión telefónica para el agendamiento de citas o
venta por parte de los agentes de gestión.
• Asignación de la base de datos para el agendamiento de citas o venta a gestionar por parte
de los agentes de gestión.
• Gestión telefónica ejecutando la venta y agendamiento del producto/servicio y registro
en los aplicativos utilizados en el proceso de la tipificación de la gestión realizada.
• Seguimiento en tiempo y calidad de las llamadas para evaluar los criterios de calidad
definidos por el proceso.
• Grabación de las llamadas y reportes de las misma a los clientes según lo definido en los
Acuerdos de Nivel de Servicio – ANS.
• Generación de informe de gestión y cierre de las diferentes campañas de los clientes.
25
5.2. PROCESO ENTREGA PERSONALIZADA
De igual forma como se recolecto información y se conoció el proceso anterior, se hizo para
el proceso de Entrega Personalizada.
Este proceso tiene el objetivo de prestar el servicio de entrega personalizada y
certificada de productos financieros mediante entrega a titulares o terceros
autorizados y recolección de documentos bajo estrictas medidas de seguridad, previa
gestión de agendamiento citas realizadas desde el Call Center de la Compañía u otro
proveedor de la entidad financiera (TGE, 2016).
El proceso cuenta con cuatro subprocesos y las actividades que se desarrollan en cada uno
están definidas en los procedimientos internos de la compañía y se encuentran alienadas a los
requerimientos de los ANS con los clientes.
• Subproceso de Alistamiento: Preparación de los productos financieros enviados por el
cliente o el realzador a la compañía, para iniciar el alistamiento de productos en cabina
ante audio y video realizando verificación de papelería, del producto físico contra la
información del sistema reportada por el cliente, ensobrado, pega de sticker y cierre de la
bolsa de seguridad (TGE, 2017).
• Subproceso de Custodia: Finalizado el alistamiento de los productos, se procede a
custodiar las bolsas de seguridad con los productos, clasificados por ciudad de destino
mientras son asignan al estado de distribución (TGE, 2017).
• Subproceso de Distribución: Producto que debe ser entregado de acuerdo a los tiempos
definidos en los ANS porque ya tienen agendada cita de entrega con el destinatario, estos
son entregados de acuerdo a un manifiesto de entrega a los mensajeros para que realicen
la gestión, el tránsito de los productos en los diferentes procesos queda registrado en el
aplicativo de gestión (TGE, 2017).
• Subproceso de Entrega: Gestión realizada por el mensajero para realizar la entrega de
los productos asignados en el manifiesto de entrega, toda entrega exitosa debe ser
legalizada mediante la entrega de la prueba de entrega a Distribución para su posterior
digitalización, puede presentarse que no finalice satisfactoriamente la entrega del
producto al destinatario por direcciones erradas, ausencia del destinatario, falta de
documentos solicitados, etc., que generaría que el producto vuelva a custodia y se ejecute
lo definido en el ANS (TGE, 2017).
26
5.3. METODOLOGÍA DE GESTIÓN DE RIESGOS – DESARROLLO DE LAS
FASES
El equipo de seguridad de la información contratado para la implementación del sistema de
gestión de seguridad de la información –SGSI., en la empresa TGE desarrolló la metodología
de gestión de riesgos de seguridad de la información para ser aplicada a la empresa TGE.,
tomando como referencia las recomendaciones de la Norma ISO 31000:2009. Debido a que
existe un acuerdo de confidencialidad firmado por ControlTech con el cliente TGE y el
equipo de Seguridad de la Información, la metodología de gestión de riesgos, se mantendrá
en estricta confidencialidad, en especial lo que comprende a las escalas de impacto y
probabilidad y el apetito del riesgo definidos por la empresa.
A continuación, se describen las fases se desarrollaron para realizar la valoración de los
riesgos de los procesos de Call Center y Entrega Personalizada, siguiendo las
recomendaciones dadas por la norma ISO 31000:2009.
La información relacionada con la valoración de los riesgos se documentó en la Matriz
Análisis y Evaluación de Riesgos en Seguridad de la Información, durante el desarrollo de
cada fase se presentará su avance, junto con una con una muestra de ejemplo de tres (3)
riesgos por cada proceso.
5.3.1. Fase 1 - Establecimiento del Contexto de la organización
A continuación, se presenta una muestra la definición del contexto en función de las
características de la empresa, utilizando el modelo de análisis DOFA.
Figura 6. Muestra de establecimiento del contexto a partir de la matriz DOFA. Elaboración propia
FACTORES INTERNOS DE LA EMPRESA FACTORES EXTERNOS A LA EMPRESA
DEBILIDADES AMENAZAS
Alta rotación del personal Promesa de entrega a clientes ( incumplimientos)
Falta de cobertura y seguimiento a las
operaciones en ruta, mensajería.
Demoras en la realización de activ idades por
presupuesto
Falta de inspección a los procesos operativos. Falta de capacitación
Fallas operativas Falta de documentación de procesos criticos
Infidencia Interna. Caídas constantes del sistema
FORTALEZAS OPORTUNIDADES
Seguimiento continuo a indicadores de gestiónCambio de estrategia con la implementación de la
operación de los procesos misionales
Seguimiento continuo a acciones de mejora Cambio en la estructura de los procesos
Reestructuración del proceso Cambio de normativ idad y legislazición aplicable
Experiencia y conocimiento de los procesos
Disponibilidad de recursos informáticos
Experiencia y conocimiento de los procesos
ESTABLECIMIENTO DEL CONTEXTO - MATRIZ DOFA
27
5.3.2. Fase 2 – Identificar el Riesgo
Previo al inicio del proceso de valoración (identificar, analizar y evaluar) de riesgos de
seguridad de la información de está y las siguientes fases, se realizó la identificación de
activos de información de los procesos de Call Center y Logística Personalizada, teniendo en
cuenta las siguientes consideraciones.
5.3.2.1. Identificación y Clasificación de Activos de Información
Como se mencionó en la introducción del proyecto, la información es uno de los activos de
mayor valor que poseen las empresas y puede encontrarse en diferentes medios y formas:
almacenada en archivos digitales o físicos u otro medio de almacenamiento o intercambio de
información, transmitida por correos físicos o electrónicos, impresa o en papel, entre otros.
A través de entrevistas con los responsables del proceso y subprocesos, se realizó el
inventario de los activos de información por proceso de Call Center y Entrega Personalizada
y se documentó en la matriz de activos, la cual fue entregada a cada responsable por correo
electrónico y certificado mediante un acta, quien es el responsable de mantener actualizar
dicha matriz.
Para realizar la identificación y clasificación de activos de información, se diligencio los
campos que se define en la Tabla 1, donde se recolectan los datos necesarios para identificar
los activos de información, a manera de ejemplo se presenta en la Tabla 2, el Tipos de
Contenedor y Contenedor donde se puede almacenar activos de información físicos o
digitales y finamente se presenta la Tabla 3, con la explicación de las cuatro opciones
definidas por la compañía (Secreta, Confidencial, Uso Interno y Publica) para realizar la
clasificación y etiquetado de los activos de información..
28
Tabla 1.
Parámetros para la identificación y clasificación de activos de información
Fuente: (Seguridad de la Información de TGE, 2017)
Tabla 2.
Ejemplo de Tipo de Contenedor y Contenedor de activos de información
Fuente: Elaboración Propia
NOMBRE CAMPO
ID ACTIVO
ÁREA - PROCESO
PRODUCTO
ACTIVO DE INFORMACIÓN
DESCRIPCIÓN
TIPO (Digital o Física)
TIPO DE CONTENEDOR
CONTENEDOR
RESPONSABLE
CUSTODIO
USUARIOS
CLASIFICACIÓN DE
ACTIVOS DE INFORMACIÓN
Consecutivo que identifica que el activo de información asociado al proceso (Nomenclatura: ACT-
[abreviatura del nombre del proceso]-[Numero Consecutivo de 2 dígitos])
Descripción del activo de información si es Digital o Físico
DESCRIPCIÓN
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Relacione el nombre de los productos que se tienen contratados o sobre el que se identifica el activo
de información
Nombre del proceso o área al que pertenece el activo de información
Nombre del activo de información que identifico el responsable del proceso
Descripción del activo de información y su funcionalidad, dentro del proceso.
Lista desplegable que permite seleccionar la clasificación de la información (Secreta, Confidencial,
USO INTERNO, PÚBLICA) a la que corresponde el activo identificado y definido por el responsable
del proceso.
Registrar el tipo de contenedor de acuerdo a la hoja "Tipo de Contenedores" de este formato
Persona, encargada de controlar la creación, desarrollo, mantenimiento y uso de los activos, además
de rendir cuentas.Persona responsable de mantener los controles sobre los contenedores y por ende sobre los activos
de información.
Área, persona, entidad o proceso que hace uso de los activos de información.
Lugar(es), dispositivo(s) o medio(s), donde se encuentra la información
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
TIPO DE CONTENEDOR CONTENEDOR
App
BD
Web
Correo
Archivos
Dominio
Firewall
Estación de trabajo
Portátil / Dispositivos Moviles
USB
Discos Duros
Cd's y/o DVD's
Oficinas
Bodegas o Bóvedas
Centros de computo
Áreas de Archivo
Tulas
Cajas
Maletas / Maletines
Espacio Físico
Transporte
Documentación
Servidores
Comunicaciones
Equipos de Computo
Medios de
Almacenamiento
Extraíble (Físicos)
29
Tabla 3.
Criterios de clasificación de activos de Información.
Fuente: (Seguridad de la Información de TGE, 2017)
A continuación, se presenta la matriz de identificación y clasificación de activos de
información que se diligencio para cada uno de los procesos de Call Center y Entrega
Personalizada partiendo de la información suministrada por entrevistados de cada proceso,
Tabla 4.
30
Tabla 4.
Matriz de identificación de activos de información para los procesos
Fuente: (Seguridad de la Información de TGE, 2017)
31
5.3.2.2. Identificación y Clasificación de Activos de Información Call
Center
Como evidencia del desarrollo de la actividad de identificación y clasificación de activos de
información del proceso de Call Center, se tomó de la matriz de activos consolidados, una
muestra de cinco (5) activos correspondientes a los subprocesos de Venta y Agendamiento
que hacen parte de todo el proceso de Call Center.
A continuación, se presenta en las siguientes tablas los activos de información de la muestra:
Tabla 5
Identificación y clasificación activo de Información "Solicitudes de Apertura de Campañas"
Fuente: Elaboración propia.
ID Activo ACT-CALL-001 Proceso /Subproceso Call Center / Ventas Agendamiento
Activo de información
ProductoEntrega de plásticos,
venta de segurosTipo (Digital o Física) Digital
Tipo de Contenedor
. Servidores
. Equipo de Computo
Contenedor
. Correo Electrónico del Director y
Supervisores, Monitoreo y
Capacitación de Call Center
. Estación de Trabajo de Director y
Supervisores de Call Center.
Custodio
. Director del Call Center
. Supervisores del Call
Center
. Monitoreo y
Capacitación de Call
Center
Usuarios
. Agentes del Gestión del Call Center.
. Supervisores del Call Center.
. Monitoreo y Capacitación de Call
Center
Confidencial X Uso Interno
Secreta Publica
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Responsable
. Director del Call Center
Descripción
Documento donde se detalla las condiciones de servicio para la apertura de una campaña, contiene información:
Nombre del cliente, tipo de campaña (Ventas, Agendamiento), especificaciones técnicas de la campaña, cantidad de
registros a gestionar, las fecha de inicio y cierre de la campaña descripción del procedimiento de gestión, guía y manual
de la campaña.
Solicitudes de Apertura de Campañas
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
32
Tabla 6.
Identificación y clasificación activo de Información "Manuales de Call Center"
Fuente: Elaboración propia
ID Activo ACT-CAL-022 Proceso /Subproceso Call Center / Ventas Agendamiento
Activo de información
ProductoEntrega de plásticos, venta
de segurosTipo (Digital o Física) Digital
Tipo de Contenedor . Servidor Contenedor. Carpeta compartida del área ruta
archivo biblioteca
Custodio
. Director del Call Center
. Supervisores del Call
Center
. Monitoreo y Capacitación de
Call Center
. Agentes de gestión del Call
Center
Usuarios
. Director del Call Center
. Supervisores del Call Center
. Monitoreo y Capacitación de Call
Center
. Agentes de gestión del Call Center
Confidencial Uso Interno X
Secreta Publica
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Responsable
. Director del Call Center
Descripción
Archivo en Excel que Monitorio y capacitación sube en la carpeta compartida de proceso de archivos biblioteca , contiene todo
las campañas vigentes que se manejan el Call Center.
Contiene las especificaciones las condiciones de agendamiento para cada proceso que se realiza en el Call Center de acuerdo
al ANS firmado por con el cliente.
Todos los agentes de agendamiento deben conocer muy bien la información contenida en este archivo para poder iniciar la
programación de las entregas de los productos y servicios contratados con el cliente
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Manuales de Call Center
33
Tabla 7.
Identificación y clasificación activo de Información "Reporte de la Ultima Gestión del Call Center”
Fuente: Elaboración propia
ID Activo ACT-CAL-025 Proceso /Subproceso Call Center / Agendamiento
Activo de información
Producto Entrega de plásticos Tipo (Digital o Física) Digital
Tipo de Contenedor . Equipo de computo Contenedor. Estación de trabajo del Supervisora del
Call Center - Agendamiento
Custodio. Supervisora del Call Center -
AgendamientoUsuarios
. Supervisora del Call Center -
Agendamiento
Confidencial Uso Interno X
Secreta Publica
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Responsable
. Director del Call Center
Descripción
Archivo en Excel que se genera automaticamente cada 30 minutos el en aplicativos, se descarga para realizar seguimiento de la
gestión realizada por los agentes y garantizar la gestion de la operacion al 100% de todo el Call Center.
El corte de la gestion diaria se debe descarga al dia siguiente antes de las 6:30 am y por el superviso y lleva el historico en su
equipos.
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Reportes de la Ultima Gestion Call Center
34
Tabla 8.
Identificación y clasificación activo de Información "Reporte Mensual Multilinea”
Fuente: Elaboración propia
ID Activo ACT-CAL-027 Proceso /Subproceso Call Center / Agendamiento Venta
Activo de información
ProductoEntrega de plásticos, venta
de productosTipo (Digital o Física) Digital
Tipo de Contenedor
. Equipo de Computo
. Servidores
Contenedor
. Estacion de Trabajo del
Supervisor de Inbound Multilinea
. Correo Electronico Supervisor
Agendamiento y Venta,, Gerente de Call
Center, Director de Entrega
Personalizada
Custodio
. Director del Call Center
. Director de Entrega
Personalizada
. Supervisores de Call
Center . Supervisores
Entrega Personalizada
Usuarios
. Director del Call Center
. Director de Entrega Personalizada
. Supervisores de Call Center . .
Supervisores Entrega Personalizada
Confidencial Uso Interno X
Secreta Publica
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Archivo en Excel generado por el supervisor que contiene información de los incumplimientos de las citas que se agenda,
encuestas que se le realizan a los cliente para saber si el proceso de entrega se realizó a satisfacción y los ilocalizados que son
los clientes que nunca se pudieron contactaron para la entrega de un producto.
Lo envía a través de correo electrónico a los directores, coordinadores y supervisores de cada una de las áreas de la empresa
se archiva en su equipo en una carpeta de mis documentos.
Responsable
. Director del Call Center
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Reporte Mensuales Multilinea
Descripción
35
Tabla 9.
Identificación y clasificación activo de Información " Llamadas Grabadas”
Fuente: Elaboración propia
5.3.2.3. Identificación y Clasificación de Activos de Información Entrega
Personalizada
Al igual que el proceso anterior para evidenciar el del desarrollo de la actividad de
identificación y clasificación de activos de información del proceso de Entrega
Personalizada, se tomó de la matriz de activos consolidados, una muestra de cinco (5) activos
correspondientes a los subprocesos de Alistamiento, Custodia, Distribución y Entrega de
productos financieros.
A continuación, se presenta en las siguientes tablas los activos de información de la muestra:
ID Activo ACT-CAL-030 Proceso /Subproceso Call Center / Agendamiento Venta
Activo de información
ProductoEntrega de plásticos, venta
de productosTipo (Digital o Física) Digital
Tipo de Contenedor
. Servidor
. Servidor
. Medios de Almacenamiento
Extraíble (Físicos)
Contenedor
. VPN
. Servidor de Grabaciones
. CD/DVD
Custodio
. Agente de Monitorero del
Call Center
. Tecnologia
. Cliente
Usuarios
. Agente de Monitorero del Call Center
. Supervisores de Call Center
. Director del Call Center
. Tecnologia
. Cliente
Confidencial X Uso Interno
Secreta Publica
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Todas las llamadas generadas en los diferentes procesos se graban a través de la planta telefónica y se almacenan para
garantizar la efectividad, el cumplimiento de todos los parámetro y el guion definido por el cliente.
El tiempo de custodia de las grabaciones esta definido de acuerdo a los ANS y contratos con cada cliente y dando
cumplimiento a lo exigido por ley. adicionalmente se envían a los clientes dando cumplimiento a la frecuencia y el medio de
intercambio de información definido (CD/DVD con información cifrada, VPN, etc.)
Las grabaciones son el único soporte de la gestión realizada y de aceptación del cliente de la venta o entrega de un producto,
estas son escuchadas por monitoreo para y valida que cumplen los criterios de calidad.
Responsable
. Director del Call Center
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Llamadas Grabadas
Descripción
36
Tabla 10.
Identificación y clasificación activo de Información " Informes Clientes”
Fuente: Elaboración propia
ID Activo ACT-PDZA-002 Proceso /Subproceso Entrega Personalizada/ Alistamiento
Activo de información
ProductoTarjetas (crédito, débito,
claves), token y ChequerasTipo (Digital o Física) Digital
Tipo de Contenedor
. Servidor
. Equipo de Computo
. Servidor
. Servidor
Contenedor
. Correo Corporativo Analista Entrega
Personalizada
. Estación de trabajo Analista
Personalizada
. Aplicaciones (Sistemas de Información)
Propios
. VPN Cliente
Custodio
. Coordinador Entrega
Personalizada
. Director Entrega
Personalizada
. Analista de Entrega
Personalizada
Usuarios
. Coordinador Entrega Personalizada
. Director Entrega Personalizada
. Analista de Entrega Personalizada
Confidencial X Uso Interno
Secreta Publica
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Informes generado por personal de Alistamiento a los analistas de entrega personalizada para que realicen el envío del reporte
de la operación (consolidado de recibido y novedades presentadas, estadísticas del avance del proceso, cifras de gestión) al
Banco, estos reportes pueden generarse de manera diaria, semanal o mensual y enviarse a través de los canales y medios de
comunicación definidos (Cargue en la VPN, por correo electrónico con adjunto cifrado) con los Bancos en los ANS.
Nota: En la matriz de activos de información este activo contiene mayor información en su descripción, tipo de contenedor y
contenedor, por confidencialidad no se presenta de manera completa.
Responsable
. Director de Entrega Personalizada
IDENTIFICACIÓN DE ACT+A3:D9IVOS DE INFORMACIÓN
Informes Clientes
Descripción
37
Tabla 11.
Identificación y clasificación activo de Información " Papelería Bancaria”
Fuente: Elaboración propia
ID Activo ACT-PDZA-011 Proceso /Subproceso Entrega Personalizada/ Alistamiento
Activo de información
ProductoTarjetas (crédito, débito,
claves), token y ChequerasTipo (Digital o Física) Física
Tipo de Contenedor
. Equipos de Computo
. Servidores Aplicaciones
. Espacios Físicos
Contenedor
. Estación de trabajo Analista
Personalizada
. Correo Corporativo
. Área Segura
Custodio . Supervisor de Alistamiento Usuarios . Analista de Entrega Personalizada
Confidencial X Uso Interno
Secreta Publica
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Solicitudes de papelería bancaria requerida por el área de alistamiento, esta papelería hace referencia a formatos o insertos,
publicidad, pagares en blanco dicho información se envía en el sobre al cliente cuando se envían las entregas de los diferentes
productos.
Responsable
. Director de Entrega Personalizada
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Papelería Bancaria
Descripción
38
Tabla 12.
Identificación y clasificación activo de Información " Tarjetas (crédito, débito, claves), token y Chequeras -
Productos en custodia”
Fuente: Elaboración propia
ID Activo ACT-PDZA-020 Proceso /SubprocesoEntrega Personalizada/ Alistamiento
Custodia
Activo de información
ProductoTarjetas (crédito, débito,
claves), token y ChequerasTipo (Digital o Física) Física
Tipo de Contenedor
. Espacios Físicos
. Espacios Físicos
Contenedor
. Estantes del área segura
. Cabinas de Alistamiento
Custodio
. Supervisor de Alistamiento
. Supervisor del área Segura
. Operarios de Alistamiento
. Operarios de área Segura
Usuarios. Operación de alistamiento
. Operarios del área Segura
Confidencial X Uso Interno
Secreta Publica
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Luego del proceso de alistamiento de los diferentes productos en las bolsas de seguridad, se envían a custodia mientras salen a
ruta para ser entregados por los mensajeros.
Cuando un producto que llegan del realzador o directamente del cliente en una unidad de carga, se validad mediante audio y
video el numero de guía que se encuentre cargado en el sistema interno para inicial el proceso de revisión del contenido y el
alistamiento, en caso de aun no estar cargado los productos de la unidad de carga, esos se envían de alistamiento a custodia al
área segura mientras el cliente reporta los productos y poder así iniciar el proceso de alistamiento.
Responsable
. Director de Entrega Personalizada
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Tarjetas (crédito, débito, claves), token y Chequeras - Productos en custodia
Descripción
39
Tabla 13.
Identificación y clasificación activo de Información " Manifiestos de Entrega”
Fuente: Elaboración propia
ID Activo ACT-PDZA-024 Proceso /SubprocesoEntrega Personalizada/ Distribución
Entrega
Activo de información
ProductoTarjetas (crédito, débito,
claves), token y ChequerasTipo (Digital o Física) Física y Digital
Tipo de Contenedor
. Espacios Físicos
. Servidor
Contenedor
. Estantes o colmena del área de
distribución.
. Aplicaciones (Sistemas de Información)
Propios
Custodio
. Supervisor de Distribución y
Entrega
. Operarios de Entrega
. Mensajero de la operación
Usuarios
. Supervisor de Distribución y Entrega
. Operarios de Entrega
. Mensajero de la operación
Confidencial Uso Interno X
Secreta Publica
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Documento generado diariamente a todos los mensajeros, donde se relaciona los productos registrados en el documento
contra los sobres a entregas en el recorrido del día.
El documento contiene todos los datos del cliente (usuario) y del mensajero que debe hacer la entrega de los productos
relacionados. (GP, nombre, CC y dirección) y es generado por la aplicación de la operación.
Responsable
. Director de Entrega Personalizada
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Manifiesto de entrega
Descripción
40
Tabla 14.
Identificación y clasificación activo de Información " Acuses de Recibo”
Fuente: Elaboración propia
5.3.2.4. Identificación de Riesgos de Seguridad de la Información
Finalizadas las entrevistas de identificación de activos de información y la entrega formal a
los responsables del proceso de la matriz de activos, se inició el proceso de valoración de
riesgos, comenzando con: “la identificación de los riesgos asociados al proceso y
determinando las fuentes, causas y consecuencias potenciales que puedan afectar el
cumplimiento de los objetivos planteados en la compañía” (Seguridad de la Información
TGE, 2016).
ID Activo ACT-PDZA-026 Proceso /SubprocesoEntrega Personalizada/ Distribución
Entrega
Activo de información
ProductoTarjetas (crédito, débito,
claves), token y ChequerasTipo (Digital o Física) Física y Digital
Tipo de Contenedor
. Espacios Físicos
. Servidor
Contenedor
. Estantes o colmena del área de
distribución.
. De archivos
Custodio
. Supervisor de Distribución y
Entrega
. Operarios de Entrega
. Mensajero de la operación
Usuarios
. Supervisor de Distribución y Entrega
. Operarios de Entrega
. Mensajero de la operación
. Director de Entrega Personaliza
. Coordinador de Entrega Personalizada
Confidencial Uso Interno X
Secreta Publica
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Documento impreso donde certifica la entrega del productos al destinatario, finalizado la ruta del mensajero, este retorna los
acuses de recibo diligenciado por los destinatarios que recibieron los diferentes productos y se entrega al subproceso de
entrega para que posteriormente digitalicen.
Responsable
. Director de Entrega Personalizada
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Acuses de Recibo
Descripción
41
Para realizar la identificación de los riesgos de seguridad de la información de consideraron
los siguientes parámetros, los cuales se diligenciaron en la matriz de Análisis y Evaluación
de Riesgos en Seguridad de la Información en todos los dos procesos.
Tabla 15.
Parámetros para el diligenciamiento matriz de riesgos - Fase 2 Identificación
Fuente: (Seguridad de la Información TGE, 2017)
Paralelo a las entrevistas de valoración de riesgos de seguridad de la información con los
responsables del proceso y demás involucrados, se crearon diferentes listados con la relación
de Riesgos, Causas y Controles, estos últimos hacen parte de la fase 4 – evaluación del riesgo
y no se presentarán en este documento, debido a que fueron establecidos durante el desarrollo
del proyecto para la empresa TGE y mantienen su carácter confidencial.
A continuación, se presenta la estructura de la matriz de riesgos correspondiente a la fase 2
– identificación de riesgos utilizada para los procesos de Call Center y Entrega Personalizada
42
Tabla 16.
Matriz para el análisis y evaluación de riesgos de SI - Fase 2 Identificación
Fuente: (Seguridad de la Información TGE, 2017)
43
5.3.2.5. Identificación de Riesgos de Seguridad de la Información Call Center
Tabla 17.
Muestra de la identificación de riesgos - Proceso Call Center
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI (Seguridad
de la Información TGE, 2017)
44
5.3.2.6. Identificación de Riesgos de Seguridad de la Información Entrega Personalizada
Tabla 18.
Muestra de la identificación de riesgos - Proceso Entrega Personalizada
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017)
45
5.3.3. Fase 3 – Análisis de Riesgo
Esta actividad hace parte del proceso de valoración de riesgo, “(…) implica el desarrollo y la
comprensión del riesgo, brindando una entrada para su evaluación, así como criterios para
determinar si es necesario no tratar los riesgos, al igual que las estrategias adecuadas para su
tratamiento” (Seguridad de la Información TGE, 2016).
El análisis de riesgos implica el desarrollo y la comprensión de los riesgos identificados,
primero se determinó cuál o cuáles pilares de la seguridad de la información
(Confidencialidad, Integridad y Disponibilidad) afecta directamente el riesgo identificado,
luego, los riesgos son analizados para determinar su probabilidad de ocurrencia, esto se
califica en una escala de 1 a 5 donde 1 es muy baja y 5 muy alta, y finalmente se estima el
riesgo con respecto a las consecuencias (impacto), mediante la calificación de su nivel en una
escala de 1 a 5 donde 1 es Inferior y 5 superior y el impacto financiero, Reputacional o legal
que afecte a la compañía en un caso de materializarse el riesgo
46
5.3.3.1. Análisis de Riesgos de Seguridad de la Información Call Center
Tabla 19.
Análisis de riesgos de SI de la muestra - Proceso Call Center
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017)
Para el responsable del proceso del Call Center, al realizar el análisis de los riesgos sin ningún tipo de control en caso de
materializarse, generaría a la compañía un impacto a nivel legal, lo cual podría implicar sanciones de entes regulatorios o la
aplicación de cláusulas contractuales o demandas en contra o Aplicación de sanciones que impactan negocios futuros.
47
5.3.3.2. Análisis de Riesgos de Seguridad de la Información Entrega Personalizada
Tabla 20.
Análisis de riesgos de SI de la muestra - Proceso entrega Personalizada
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).
Para el responsable del proceso del Entrega Personalizada, al realizar el análisis de los riesgos sin ningún tipo de control en caso
de materializarse, generaría a la compañía un impacto a nivel legal, lo cual podría implicar sanciones de entes regulatorios o la
aplicación de cláusulas contractuales o demandas en contra o Aplicación de sanciones que impactan negocios futuros y financiero,
lo cual la materialización del riesgo conlleva a una pérdida o sobre costo mayor que 30 y 50 SMMLV (valores tomados de la tabla
con la escala del impacto financiero definido por la Gerencia General).
48
5.3.4. Fase 4 – Evaluación del Riesgo
La evaluación del riesgo hace parte de la última actividad del proceso de valoración de riesgo,
esta fase está compuesta de dos partes:
La primera parte, comprende la primera evaluación de la probabilidad y el impacto
de la fase del análisis del riesgo para determinar el riesgo inherente que corresponde
al nivel de riesgo propio del desarrollo de la actividad sin ningún tipo de control. La
segunda, parte establece que para tratar o gestionar los riesgos identificados, se
deberán implementar los controles suficientes para disminuir su probabilidad o
impacto con base la evaluación de los controles existente que permitan mitigar los
riesgos identificados. (Seguridad de la Información TGE, 2016).
La actividad de evaluación de controles existentes consistió en validar que los controles
implementados por los responsables de los procesos de Call Center y Entrega Personalizada
fuera afectivo, mitigaran realmente el riesgos, estuviera documentado y se aplicaran, se
hiciera un seguimiento sobre esto y estuviera definida una frecuencia para su revisión,
además permitió identificar si eran de tipo correctivo o preventivo (control correctivo permite
corregir y tomar acciones necesarias una vez se ha materializado el riesgo o control
preventivo creados para reducir la probabilidad de ocurrencia del riesgo).
Como resultado de esta actividad, se encontró en los dos procesos que hay riesgos que:
• No tienen implementado ningún tipo de control por lo cual se requiere de algún tipo de
inversión o definir procedimientos internos para ejecutar los planes de acción que
reduciría la probabilidad e impacto del riesgo,
• Existen controles implementados que no están siendo efectivos y que luego de la
evaluación el riesgo residual continua con el mismo nivel criticidad de riesgo inherente
(sin controles) o simplemente que los controles no se realizan.
• Existen controles que son efectivos y pero que no están documentados ni formalizados.
Entre otras tipificaciones que se encontraron con los controles existente de cada procesos que
se presentó en el informe a la Gerencia General de TGE, solicito que se realizara un trabajo
conjunto con el área de Sistemas de Gestión y Calidad, los Directores de los procesos y
Seguridad de la información la validación de todos los controles existentes para que fueran
efectivos junto y las acciones correctivas definidas en los planes de tratamiento y lograr
reducir los niveles de los riesgos identificados.
49
5.3.4.1. Evaluación del Riesgo de Seguridad de la Información Call Center
Tabla 21.
Evaluación del riesgo de SI de la muestra - Proceso Call Center
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).
50
5.3.4.2. Evaluación del Riesgo de Seguridad de la Información Entrega Personalizada
Tabla 22.
Evaluación del riesgo de SI de la muestra - Proceso Entrega Personalizada
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).
51
5.3.4.3. Mapa de Calor Riesgo Inherente y Riesgo Residual
A continuación, se relaciona característica que tienen los riesgos de acuerdo a la zona, luego
de la evaluación de la probabilidad y el impacto y la ubicación en el mapa de calor de los
riesgos que se tomaron de muestra en los procesos de Call Center y Entrega Personalizada.
Tabla 23.
Zona de Riesgo
Fuente: (Seguridad de la Información TGE, 2016)
• Mapa de Calor - Proceso de Call Center
Tabla 24.
Riesgo Inherente – Proceso Call Center
Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)
52
Tabla 25.
Riesgo Residual – Proceso Call Center
Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)
• Mapa de Calor - Proceso de Call Center
Tabla 26.
Riesgo Inherente – Proceso Entrega Personalizada
Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)
53
Tabla 27.
Riesgo Residual – Proceso Entrega Personalizada
Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)
5.3.5. Fase 5 – Tratamiento del Riesgo
La metodología de riesgos de seguridad de la información. (Seguridad de la Información
TGE, 2016) definió:
Una vez calificados los controles y evaluado su nivel de incidencia en la mitigación
de los riesgos, si el riesgo residual se ubica en una zona de riesgo que requiera
tratamiento, éste se deberá realizar en función de las cuatro opciones de tratamiento
de riesgos que se describen a continuación:
Tabla 28.
Opciones de tratamiento de riesgos de seguridad de la información
Fuente: (Seguridad de la Información TGE, 2016)
54
5.3.5.1. Definición de Planes de Tratamiento de Riesgos de SI Call Center
Tabla 29.
Definición de planes de tratamiento de riesgos de SI Call Center
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).
55
5.3.5.2. Definición de Planes de Tratamiento de Riesgos de SI Entrega Personalizada
Tabla 30.
Definición de planes de tratamiento de riesgos de SI Entrega Personalizada
Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).
56
5.3.6. Fase 7 – Comunicación y Consulta
La fase de comunicación y consulta se ejecutó transversalmente durante el desarrollo del
proyecto de pasantía, donde se ejecutaron reuniones de conocimiento de los procesos,
explicación de la metodología de riesgos que se utilizó para la valoración del riesgo y la
definición de los planes de acción, adicionalmente se formalizo la entrega de los activos de
información de los proceso, dando como resultado el cumplimiento a las actividades
programas y toma de conciencia por parte de los empleados de la compañía en temas de
seguridad de la información, como también se definió los medios de comunicación para
reportar cualquier situación de riesgo que se presente en la compañía.
A la Gerencia General, se hizo entrega de un informe de gerencia con el detalle de los riesgos
de nivel crítico y alto mediante la implementación y cierre de las acciones correctivas para
los planes de tratamiento de los riesgos de seguridad de la información identificados por parte
del área de Sistemas de Gestión y Calidad de TGE, junto con los responsables de los
procesos de Call Center y Entrega Personalizada y demás áreas involucradas, esta actividad
corresponde a la FASE 6: Monitoreo y Seguimiento de los Riesgos, definida en la
metodología de riesgos.
57
6. CONCLUSIONES
Finalizada la actividad de valoración y definición de los riegos de seguridad de la
información para los procesos de Call Center y Entrega Personalizada, fuimos responsables
de entregar al cliente un sistema de gestión de riesgos actualizado para que se mantenga
vigente a través de la detección de los cambios que presenten en el entorno interno y externo,
evaluando y ajustando lo necesario del sistema para que responda a los cambios que se
presenten.
El reconocimiento por parte de TGE de la responsabilidad que hay en todas las personas que
participan en la compañía para gestionar los riesgos identificados y poder evitar que se
materialice algún riesgo y que pueda afectar la imagen, la reputación o incluso a nivel
financiero o legal a la compañía.
Como resultado de la actividad de identificación y clasificación de activos de información,
se logró identificar un total de 32 activos para el proceso de Call Center y 54 activos para el
proceso de Entrega Personalizada, los cuales deben ser revisados y actualizados por lo menos
una vez al año o antes si se genera algún cambio dentro del proceso.
Como resultado de la actividad de Valoración de riesgos de seguridad de la información, se
identificó en el proceso de Call Center, un total de 22 riesgos de seguridad de la información,
de los cuales 14 riesgos tiene una evaluación del riesgos residual entre crítica y alta y en el
proceso de Entrega Personalizada un total de 56 riesgos, de los cuales un total de 33 tienen
un evaluación del riesgos residual entre crítica y alta, estos requieren ser mitigados de manera
inmediata ya que pueden comprometer confidencialidad, integridad o disponibilidad de la
información propia o de los clientes e incurrir en multas entre otros.
Se debe realizar un nuevo análisis de riesgos en un periodo no superior a un año para verificar
el estado de los mismos y verificar la efectividad de los controles existentes, adicionalmente
se concluyó que los incidentes de seguridad de la información que afecten la
confidencialidad, integridad y disponibilidad de la información de los procesos debe ser
evaluado en la matriz de riesgos para implementar controles correctivos y reducir su impacto
y ocurrencia.
58
LISTA DE REFERENCIA
Assurance ControlTech. (2016). Portafolio de Soluciones Assurance ControlTech. Bogotá.
Icontec Internacional. (2011). Guía Técnica Colombiana GTC 137 - Gestión del Riesgo. Vocabulario.
Bogotá.
ICONTEC Internacional. (2013). NTC-ISO-IEC 27001, Tecnología de la Información. Técnicas de
Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. Bogotá:
ICONTEC.
Instituto Colombiano de Normas Tecnicas y Certificación [Icontec]. (2011). NTC-ISO 31000 Gestión
del riesgo principios y directrices. En I. Internacional. Bogotá.
Instituto Nacional de Ciberseguridad de España, S.A. [INCIBE]. (2014). INSTITUTO NACIONAL DE
CIBERSEGURIDAD incibe. Recuperado el Noviembre de 2016, de
https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf
iso27000.es. (2012). El portal de ISO 27001 en Español. Recuperado el 2016, de
http://www.iso27000.es/glosario.html
iso27000.es. (Octubre de 2013). El portal de ISO 27000 en Español. Recuperado el Marzo de 2017,
de http://www.iso27000.es/download/ControlesISO27002-2013.pdf
iso27000.es. (2013). El portal de ISO 27001 en Español. Recuperado el 2016, de
http://www.iso27000.es/iso27000.html#seccion1
Organización Internacional de Normalización [ISO]. (2014). Estándar Internacional ISO/IEC 27000 -
Tecnología de la Información – Técnicas de Seguridad – Sistema de Gestión de Seguridad
de la Información – Información General y Vocabulario. Suiza.
PECB. (2008). Certificación Internacional ISO 31000 RISK MANAGER. En E. Lachapelle, Certificación
Internacional ISO 31000 RISK MANAGER (4.3 ed., pág. 51).
Seguridad de la Información de TGE. (2016). Política de Seguridad de la Información. Bogotá.
Seguridad de la Información de TGE. (2017). Matriz de Identificación de Activos de Información.
Bogotá.
Seguridad de la Información TGE. (2016). Metodología de Gestión de Riesgos de Seguridad de la
Información. Bogotá.
Seguridad de la Información TGE. (2017). Matriz para el análisis y evaluación de riesgos en
seguridad de la información. Bogotá.
TGE. (2016). Caracterización del proceso - Call Center.
TGE. (2016). Caracterización del proceso - Entrega Personalizada.
TGE. (2017). Procedimiento de Gestión - Operación Entrega Personalizada.