VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD...

1

VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE

LA INFORMACIÓN PARA LOS PROCESOS INCLUIDOS EN EL ALCANCE DEL

SGSI DEL CLIENTE TGE DE LA EMPRESA ASSURANCE CONTROLTECH

DIANA FERNANDA JARA PÉREZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD DE INGENIERÍA

INGENIERÍA DE SISTEMAS

BOGOTÁ D.C.

2017

2

VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE

LA INFORMACIÓN PARA LOS PROCESOS INCLUIDOS EN EL ALCANCE DEL

SGSI DEL CLIENTE TGE DE LA EMPRESA ASSURANCE CONTROLTECH

DIANA FERNANDA JARA PÉREZ

Proyecto de pasantía para optar al

título de Ingeniera de Sistemas

Director Interno

OCTAVIO JOSÉ SALCEDO PARRA

Doctor en Telecomunicaciones

Director Externo

CARLOS ALBERTO ENRÍQUEZ ARCOS

Magíster en Arquitecturas de Tecnologías de la Información

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD DE INGENIERÍA

INGENIERÍA DE SISTEMAS

BOGOTÁ D.C.

2017

3

CONTENIDO

pág.

INTRODUCCIÓN .......................................................................................................................... 8

1. PLANTEAMENTO DEL PROBLEMA ................................................................................. 9

2. OBJETIVOS ......................................................................................................................... 10

2.1. OBJETIVO GENERAL .................................................................................................... 10

2.2. OBJETIVOS ESPECÍFICOS ............................................................................................ 10

3. ENTREGABLES DEL PROYECTO .................................................................................... 11

4. MARCO REFERENCIAL .................................................................................................... 12

4.1. MARCO HISTÓRICO ...................................................................................................... 12

4.1.1. Visión ............................................................................................................................ 12

4.1.2. Misión ........................................................................................................................... 12

4.2. MARCO TEÓRICO .......................................................................................................... 13

4.2.1. Términos y definiciones ................................................................................................ 13

4.2.2. La Seguridad de la Información .................................................................................... 15

4.2.2.1. Confidencialidad: ...................................................................................................... 16

4.2.2.2. Integridad: ................................................................................................................. 16

4.2.2.3. Disponibilidad: .......................................................................................................... 16

4.2.3. NORMA ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la Información –

Requisitos ...................................................................................................................................... 16

4.2.4. NORMA ISO/IEC 27002:2013 Código para la práctica de la gestión de la seguridad de

la información. .............................................................................................................................. 17

4.2.5. NORMA ISO 31000:2009 Gestión de Riesgos ............................................................. 18

4.2.5.1. Comunicación y consulta .......................................................................................... 19

4.2.5.2. Establecer el Contexto ............................................................................................... 19

4.2.5.3. Valoración del Riesgo ............................................................................................... 20

4.2.5.4. Identificación de los Riesgos ..................................................................................... 20

4.2.5.5. Análisis de los Riesgos .............................................................................................. 20

4.2.5.6. Evaluación de los Riesgos ......................................................................................... 20

4.2.5.7. Tratamiento de los Riesgos ....................................................................................... 21

4

4.2.5.8. Monitoreo y Revisión ................................................................................................ 22

4.2.6. Metodología de Gestión de Riesgos de Seguridad de la Información ........................... 22

5. VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA

INFORMACIÓN ........................................................................................................................... 24

5.1. PROCESO CALL CENTER ............................................................................................. 24

5.2. PROCESO ENTREGA PERSONALIZADA ................................................................... 25

5.3. METODOLOGÍA DE GESTIÓN DE RIESGOS – DESARROLLO DE LAS FASES ... 26

5.3.1. Fase 1 - Establecimiento del Contexto de la organización ............................................ 26

5.3.2. Fase 2 – Identificar el Riesgo ........................................................................................ 27

5.3.2.1. Identificación y Clasificación de Activos de Información ........................................ 27

5.3.2.2. Identificación y Clasificación de Activos de Información Call Center ..................... 31

5.3.2.3. Identificación y Clasificación de Activos de Información Entrega Personalizada ... 35

5.3.2.4. Identificación de Riesgos de Seguridad de la Información ....................................... 40

5.3.2.5. Identificación de Riesgos de Seguridad de la Información Call Center .................... 43

5.3.2.6. Identificación de Riesgos de Seguridad de la Información Entrega Personalizada... 44

5.3.3. Fase 3 – Análisis de Riesgo ........................................................................................... 45

5.3.3.1. Análisis de Riesgos de Seguridad de la Información Call Center ............................. 46

5.3.3.2. Análisis de Riesgos de Seguridad de la Información Entrega Personalizada ............ 47

5.3.4. Fase 4 – Evaluación del Riesgo ..................................................................................... 48

5.3.4.1. Evaluación del Riesgo de Seguridad de la Información Call Center ........................ 49

5.3.4.2. Evaluación del Riesgo de Seguridad de la Información Entrega Personalizada ....... 50

5.3.4.3. Mapa de Calor Riesgo Inherente y Riesgo Residual ................................................. 51

5.3.5. Fase 5 – Tratamiento del Riesgo ................................................................................... 53

5.3.5.1. Definición de Planes de Tratamiento de Riesgos de SI Call Center ......................... 54

5.3.5.2. Definición de Planes de Tratamiento de Riesgos de SI Entrega Personalizada ........ 55

5.3.6. Fase 7 – Comunicación y Consulta ............................................................................... 56

6. CONCLUSIONES ................................................................................................................ 57

LISTA DE REFERENCIA............................................................................................................ 58

5

LISTA DE FIGURAS

pág.

Figura 1. Dominios de la norma ISO 27002:2013. Elaboración Propia .............................. 17

Figura 2. Dominios, objetivos de control y controles de la ISO/IEC 27002:2013.

(iso27000.es, 2013) .............................................................................................................. 18

Figura 3. Proceso para la gestión del riesgo NTC-ISO 31000:2009. (ICONTEC, 2011) ... 19

Figura 4. Las opciones de tratamiento del riesgo. (PECB, 2008) ....................................... 21

Figura 5. Fases de la metodología de gestión de riesgos. Elaboración propia. ................... 23

Figura 6. Muestra de establecimiento del contexto a partir de la matriz DOFA. Elaboración

propia ................................................................................................................................... 26

6

LISTA DE TABLAS

pág.

Tabla 1. Parámetros para la identificación y clasificación de activos de información ......... 28

Tabla 2. Ejemplo de Tipo de Contenedor y Contenedor de activos de información ............ 28

Tabla 3. Criterios de clasificación de activos de Información activo de Información ......... 29

Tabla 4. Matriz de identificación de activos de información para los procesos ................... 30

Tabla 5. Identificación y clasificación activo de Información "Solicitudes de Apertura de

Campañas" ............................................................................................................................ 31

Tabla 6. Identificación y clasificación activo de Información "” "Manuales de Call Center

proyecto” .............................................................................................................................. 32

Tabla 7. Identificación y clasificación activo de Información “Reporte de la Ultima Gestión

del Call Center” .................................................................................................................... 33

Tabla 8. Identificación y clasificación activo de Información “Reporte Mensual Multilinea”

.............................................................................................................................................. 34

Tabla 9. Identificación y clasificación activo de Información "Llamadas Grabadas" ......... 35

Tabla 10. Identificación y clasificación activo de Información "Informes Clientes" .......... 36

Tabla 11. Identificación y clasificación activo de Información " Papelería Bancaria " ....... 37

Tabla 12. Identificación y clasificación activo de Información " Tarjetas (crédito, débito,

claves), token y Chequeras - Productos en custodia" ........................................................... 38

Tabla 13. Identificación y clasificación activo de Información "Manifiestos de Entrega" .. 39

Tabla 14. Identificación y clasificación activo de Información "Acuses de Recibo" .......... 40

Tabla 15. Parámetros para el diligenciamiento matriz de riesgos - Fase 2 Identificación ... 41

Tabla 16. Matriz para el análisis y evaluación de riesgos de SI - Fase 2 Identificación ...... 42

7

Tabla 17. Muestra de la identificación de riesgos - Proceso Call Center ............................. 43

Tabla 18. Muestra de la identificación de riesgos - Proceso Entrega Personalizada............ 44

Tabla 19. Análisis de riesgos de SI de la muestra - Proceso Call Center ............................. 46

Tabla 20. Análisis de riesgos de SI de la muestra - Proceso Entrega Personalizada............ 47

Tabla 21. Evaluación del riesgo de SI de la muestra - Proceso Call Center ........................ 49

Tabla 22. Evaluación del riesgo de SI de la muestra - Proceso Entrega Personalizada ....... 50

Tabla 23. Zona de Riesgo .................................................................................................... 51

Tabla 24. Riesgo Inherente – Proceso Call Center ............................................................... 51

Tabla 25. Riesgo Residual – Proceso Call Center ................................................................ 52

Tabla 26. Riesgo Inherente – Proceso Entrega Personalizada.............................................. 52

Tabla 27. Riesgo Residual – Proceso Entrega Personalizada ............................................... 53

Tabla 28. Opciones de tratamiento de riesgos de seguridad de la información ................... 53

Tabla 29. Definición de planes de tratamiento de riesgos de SI Call Center ...................... 54

Tabla 30. Definición de planes de tratamiento de riesgos de SI Personalizada .................. 55

8

INTRODUCCIÓN

Hoy día, las empresas reconocen la importancia de tener adecuadamente identificada y

protegida la información propia, como también la proporcionada por sus clientes, enmarcada

bajo las relaciones comerciales y contractuales como los son acuerdos de confidencialidad y

acuerdos de niveles de servicio, que obligan a dar un tratamiento, manejo y clasificación a la

información bajo una correcta administración y custodia.

La información es uno de los activos de mayor valor que poseen las empresas y puede

encontrarse en diferentes medios y formas: almacenada en archivos digitales o físicos u otro

medio de almacenamiento o intercambio de información, transmitida por correos físicos o

electrónicos, impresa o en papel, entre otros.

Por lo anterior, la Seguridad de la Información en la empresa tiene como objetivo la

protección de los activos de información en cualquiera de sus estados ante una serie de

riesgos o brechas que atenten contra sus principios fundamentales de confidencialidad,

integridad y disponibilidad de la información, a través de la implementación de controles de

seguridad, que permitan gestionar y reducir los riesgos a que está expuesta y maximizar el

retorno de las inversiones en las oportunidades de negocio.

Alineado a las necesidades del cliente y los requisitos para la implementación de un Sistema

de Gestión de Seguridad de la Información bajo la norma NTC/ISO/IEC 27001:2013, se

realizará la valoración y el plan de tratamiento de riesgos de seguridad de la información

tomando como marco de referencia la norma NTC/ISO 31000:2009 de Gestión de Riesgos y

la guía de controles de seguridad establecido en el estándar para la seguridad de la

información ISO/IEC 27002:2013 que da las recomendaciones para la gestión de la seguridad

de la información.

En este documento se presenta inicialmente, la necesidad del cliente para que se lleve a cabo

la valoración y el plan de tratamiento de riesgos de seguridad de la información a los procesos

definidos en el alcance del Sistema de Gestión de Seguridad de la Información – SGSI.,

teniendo en cuenta la situación de la empresa, la normativa existente y la subjetividad de las

personas a entrevistar, luego, se definen los objetivos generales, específicos y se relacionan

los documentos entregables que se presentaron a Gerencia General del cliente TGE.

Continuando con el marco de referencia se presentará la empresa contratista y los temas que

se deben tener en cuenta para la valoración (es el proceso total de identificar, analizar y

evaluar los riesgos) y el plan de tratamiento de riesgos de seguridad de la información con

base en la metodología de riesgos desarrollada por el área de Seguridad de la Información.

Finalmente se presenta una explicación del desarrollo de las fases definidas en la

metodología implementada para realizar la valoración y definición del plan de tratamiento

de riesgos de seguridad de la información presentando una muestra de la información

identificada en los procesos de Call Center y Entrega Personalizada.

9

1. PLANTEAMENTO DEL PROBLEMA

Como se menciona en el portafolio de soluciones de la compañía Assurance ControlTech:

Empresa colombiana que cuenta con sedes en las ciudades de Bogotá y Medellín y

más de 9 años de experiencia en el mercado, lo que le ha permitido adquirir buen

reconocimiento tanto en el sector privado como público, mediante la implementación

de soluciones y servicios basados en tecnologías de la información, comunicaciones

e infraestructura, software y hardware, seguridad de la información, consultoría,

interventorías y servicios especializados de outsourcing realizados por un equipo de

profesionales certificados con la experiencia necesaria para acompañar y gestionar

cada proyecto de los clientes nuevos y los existentes (Assurance ControlTech, 2016).

Assurance ControlTech dentro de su portafolio de servicios de Seguridad de la Información,

ha sido contratada por la empresa TGE, para realizar la implementación de un Sistema de

Gestión de Seguridad de la Información con base la norma NTC/ISO 27001:2013 y como

requisito obligatorio de la misma surge la necesidad de realizar la valoración de los riesgos

de seguridad de la información, el cual comprende la identificación, análisis y evaluación de

riesgos, y continuar con la definición del plan de tratamiento de los mismos, para los procesos

misionales incluidos dentro del alcance del SGSI siguiendo los principios y directrices de la

norma ISO 31000:2009 y alineado a los objetivos estratégicos de la empresa.

La empresa TGE definió dentro del alcance del Sistema de Gestión de Seguridad de la

Información dos de los procesos misionales encargados de procesar, gestionar y custodiar

información sensible correspondiente a productos financieros. El primer proceso es Call

Center, responsable de realizar el agendamiento y venta de productos financieros y el

segundo proceso de Entrega Personalizada, responsable de alistamiento, custodia,

distribución y entrega de los productos que han sido agendados. Es por esto que surge la

necesidad de realizar una valoración de riesgos desde el punto de vista de seguridad de la

información y la definición del plan de tratamiento de los riesgos en apoyo conjunto con los

responsables de los procesos teniendo la normativa de la empresa y la legislación aplicable.

Todas las actividades que se desarrollen en una empresa, implican riesgos y en esta compañía

no es la excepción, la norma ISO 31000:2009 de gestión del riesgo define “Riesgo: Efecto

de la incertidumbre sobre los objetivos” (Instituto Colombiano de Normas Tecnicas y

Certificación [Icontec], 2011, pág. 4). El efecto que genera la materialización de los riegos

en la compañía puede ser positivo o negativo, hace necesario realizar una gestión eficaz del

riesgo que permita prever su materialización y responder ante los que puedan generar efectos

negativos en los objetivos la compañía, aplicando los controles necesarios para que los

responsables del proceso tomen una correcta opción para el tratamiento de los mismos,

evitando que estos se materialicen y/o reducir el impacto si ya se está presentando.

Consiente del valor de la información como activo y la sensibilidad de la información

financiera que maneja el cliente TGE en los procesos misionales del alcance, se planteó la

siguiente pregunta: ¿Cómo reducir los riesgos de seguridad de la información que se

presentan en los procesos de Call Center y Entrega Personalizada durante la operación?, y

10

que permitan preservar los pilares de seguridad de la información (confidencialidad,

integridad y disponibilidad) en los procesos de Call Center y Entrega Personalizada de la

empresa.

2. OBJETIVOS

2.1. OBJETIVO GENERAL

Realizar la valoración de los riesgos de seguridad de la información para los procesos de Call

Center y Entrega Personalizada del cliente TGE de Assurance ControlTech, con el fin de

definir el plan de tratamiento de los riesgos de seguridad de la información de acuerdo a las

necesidades de la empresa.

2.2. OBJETIVOS ESPECÍFICOS

▪ Identificar y conocer la operación y los subprocesos que conforman los proceso de

Call Center y Entrega Personalizada de TGE con los responsables de los mismos y

presentar la metodología de riesgos a las personas involucradas en la valoración de

los riesgos y la definición de los planes de tratamiento.

▪ Desarrollar las 6 fases que se especifican en el alcance del proyecto y se definen en

la metodología de riesgos de la empresa, para realizar la valoración del riesgo acorde

con los principios y directrices de la norma ISO 31000:2009 de Gestión de Riesgos

para los procesos de Call Center y Entrega Personalizada.

▪ Reducir la probabilidad de que una brecha o evento produzca un determinado impacto

en los activos de información, y la empresa pueda maximizar el retorno de la

inversión en las oportunidades de negocio, mediante la gestión adecuada de los

riesgos de Seguridad de la Información.

▪ Validar el resultado de la reducción del impacto de los riesgos, finalizada la fase de

valoración de los riesgos de seguridad de la información en los procesos del Call

Center y de Entrega Personalizada.

11

3. ENTREGABLES DEL PROYECTO

La metodología de gestión de riesgos de seguridad de la información para ser aplicada en

TGE, tomando como referencia las recomendaciones de la Norma ISO 31000:2009, está

compuesta por 7 fases, y de acuerdo a lo definido en el alcance y limitaciones para el

desarrollo del proyecto de pasantía se ejecutaron 6 fases como producto de la valoración de

riesgos (proceso global de identificación, análisis y evaluación del riesgo) y la definición del

plan de tratamiento de los riesgos de seguridad de la información.

Como resultado de esta actividad, se entregó a la Gerencia General los documentos que se

relacionan a continuación los cuales fueron creados en el desarrollo de cada fase de la

metodología para los procesos de Call Center y Entrega Personalizada, estos son de carácter

confidencial de conformidad a lo definido en el acuerdo de confidencialidad firmado entre

TGE y Assurance ControlTech.

• Documento con la definición del contexto en función de las características de la

empresa, utilizando el modelo de análisis DOFA.

• Matrices de identificación y clasificación de activos de Información

Resultado de la identificación y clasificación de los activos de información realizada con

los responsables de los procesos de Call Center y Entrega Personalizada.

• Matriz de identificación, análisis y evaluación de riesgos de seguridad de la

información.

Esta matriz contiene los riesgos de seguridad de la información identificados, analizados

y evaluados a partir de los controles existente y definidos por los propietarios del riesgo

de cada proceso dando como resultado el nivel de riesgo residual.

• Mapa de calor de los riesgos identificados

Representación en el mapa de calor de riesgos sin controles (inherente) y de riesgo

residual identificados por el propietario del riesgo de cada proceso donde es posible

identificar el nivel del riesgo el cual está asociado a la relación de las consecuencias

(impacto) y el factor de ocurrencia (probabilidad).

• Plan de tratamiento de riesgos de seguridad de la información de los procesos

Los responsables de los riesgos deben formular los planes de acción o mejora de controles

necesarios para el tratamiento de los riesgos residuales según su zona de criticidad, para

el caso de la compañía se gestionarán los riesgos de clasificación crítica y alta, es la

gerencia general quien define la opción de tratamiento a implementar (transferir, evitar,

reducir o asumir).

12

4. MARCO REFERENCIAL

4.1. MARCO HISTÓRICO

Según el portafolio de soluciones de la empresa Assurance ControlTech:

Es una compañía colombiana que nació en el año 2007 prestando servicios de

interventoría técnica, administrativa y financiera asegurando no sólo la calidad de los

productos y/o servicios, sino también la gestión en general de los procesos

involucrados en cada proyecto, en el año 2014 la empresa amplió su portafolio de

servicios permitiendo crecer mediante el ofrecimiento de estos nuevos servicios a

nuevos clientes y a los ya existentes, permitiendo satisfacer las necesidades mediante

los servicios de consultoría, soluciones tecnológicas, de infraestructura, software y

Hardware, seguridad de la información, consultoría, interventorías y servicios

especializados de outsourcing realizados por un equipo de profesionales certificados

con la experiencia necesaria para acompañar y gestionar cada proyecto de los clientes.

Actualmente la compañía cuenta con sedes en Bogotá y Medellín y con más de 9 años

de experiencia en el mercado permitido adquirir buen reconocimiento tanto en el

sector privado como público, implementando soluciones y servicios basados en

Tecnologías de la Información y Comunicaciones. (Assurance ControlTech, 2016).

4.1.1. Visión

Lograr el reconocimiento del mercado y de la industria en soluciones de Tecnología

Informática – TI con los más altos estándares de calidad y satisfacción logrando ser

líderes en Áreas de Negocio, como: Gestión e Implementación de Infraestructura de

TI. Big Data y Business Intelligence – BI, software de middleware. Interventoría

Técnica, Administrativa y Financiera. Outsourcing de talento humano especializado

(Assurance ControlTech, 2016).

4.1.2. Misión

Proporcionar soluciones basadas en altos estándares de calidad en soluciones de

infraestructura, Software y Hardware, seguridad, consultoría, interventorías y

servicios especializados, generando valor a nuestros clientes que les permita

posicionarse y desarrollarse como líderes en su mercado. (Assurance ControlTech,

2016).

13

4.2. MARCO TEÓRICO

4.2.1. Términos y definiciones

A continuación, se listan algunos términos y definiciones de términos que se utilizarán

durante el desarrollo del presente proyecto, relacionado con la gestión del riesgo y la

seguridad de la información, con el objetivo de poder unificar criterios dentro de la empresa.

Se toman como referencia los términos y definiciones contenidas en la Guía Técnica

Colombiana GTC 137 (Gestión del Riesgo. Vocabulario), el estándar Internacional ISO/IEC

27000, la metodología de riesgos de la compañía y los términos identificados en el portal de

la ISO 27000 en español, y se relacionan a continuación:

“Aceptación del riesgo: Decisión informada de tomar un riesgo particular” (Icontec

Internacional, 2011).

“Activo: En relación con la seguridad de la información, se refiere a cualquier información

o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios,

personas...) que tenga valor para la organización” (iso27000.es, 2012).

“Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el nivel

del mismo” (Icontec Internacional, 2011).

“Causa: Origen, comienzo de una situación determinada que genera un efecto o

consecuencia” (Seguridad de la Información TGE, 2016).

“Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada

a individuos, entidades o procesos no autorizados” (Organización Internacional de

Normalización [ISO], 2014).

“Consecuencia: Resultado de un evento que afecta los objetivos” (Icontec Internacional,

2011).

“Criterios del riesgo: Términos de referencia frente a los cuales la importancia de un riesgo

se evaluada” (Icontec Internacional, 2011).

“Control: Medida que modifica el riesgo” (Icontec Internacional, 2011).

“Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo

requiera una entidad autorizada” (Organización Internacional de Normalización [ISO],

2014).

“Evaluación de riesgos: Proceso de comparación de los resultados del análisis del riesgo

con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables

o tolerables” (Icontec Internacional, 2011).

14

“Evento: Presencia o cambio de un conjunto particular de circunstancias” (Icontec


“Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de

originar un riesgo” (Icontec Internacional, 2011).

“Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con

respecto al riesgo” (Icontec Internacional, 2011). Se compone de la evaluación y el

tratamiento de riesgos

“Identificación de riesgos: Proceso de encontrar, reconocer y describir riesgos” (Icontec


“Integridad: Propiedad de la información relativa a su exactitud y completitud”

(Organización Internacional de Normalización [ISO], 2014).

“Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en

términos de la combinación de las consecuencias y su posibilidad” (Icontec Internacional,

2011).

“Política para la gestión del riesgo: Declaración de la dirección y las intenciones generales

de una organización con respecto a la gestión del riesgo” (Icontec Internacional, 2011).

“Propietario del riesgo: Persona o entidad con la responsabilidad de rendir cuentas y la

autoridad para gestionar un riesgo” (Icontec Internacional, 2011).

“Proceso: Conjunto de actividades interrelacionadas o que interactúan para transformar una

entrada en salida” (iso27000.es, 2012).

“Riesgo Inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto

de los controles” (Seguridad de la Información TGE, 2016).

“Riesgo Residual: El riesgo que permanece tras el tratamiento del riesgo o nivel resultante

del riesgo después de aplicar los controles” (Icontec Internacional, 2011).

“Riesgo: Efecto de la incertidumbre sobre los objetivos” (Icontec Internacional, 2011).

“Riesgo de Seguridad de la Información: Probabilidad de ocurrencia de un evento que

genere un impacto sobre la Confidencialidad, Integridad y Disponibilidad de la Información”

(Seguridad de la Información TGE, 2016).

“Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y

evaluación de los riesgos” (Icontec Internacional, 2011).

“SGSI: Sistema de Gestión de Seguridad de la Información” (iso27000.es, 2012).

15

“Seguridad de la información: Preservación de la confidencialidad, integridad y

disponibilidad de la información” (iso27000.es, 2012).

“Tratamiento del Riesgo: Proceso para modificar el riesgo” (Icontec Internacional, 2011).

Incidente de seguridad de la información: Evento único o serie de eventos de

seguridad de la información inesperados o no deseados que poseen una probabilidad

significativa de comprometer las operaciones del negocio y amenazar la seguridad de

la información (Confidencialidad, Integridad y Disponibilidad). (iso27000.es, 2012).

4.2.2. La Seguridad de la Información

Según (Instituto Nacional de Ciberseguridad de España, S.A. [INCIBE], 2014) desde tiempos

inmemorables las empresas han creado los medios necesarios para evitar el robo y

manipulación de sus datos confidenciales. Hoy en día esto se mantiene por lo que las

empresas siempre buscan mantener la seguridad de su información.

La seguridad de la información busca la creación de una cultura de seguridad en todos los

empleados de las empresas y la implementación de controles de seguridad que permitan

reducir los riesgos a los que está expuesta y pone en peligro la integridad, confidencialidad

y disponibilidad de la información o simplemente ponen a prueba los controles existentes en

la empresa y la viabilidad de nuestros negocios.

Es importante reconocer que los riesgos no sólo provienen desde el exterior de la empresa,

sino que también pueden estar dentro de la misma, por lo que, para poder trabajar en un

entorno de manera segura, se deben tener identificados los activos de información y la fuente

de procedencia ya que pueden ser generados por la misma empresa o ser entregados por los

clientes y estar en diferentes medios, como físicos y digital. Por lo anterior la empresa se

puede apoyar en la implementación un sistema de Gestión de seguridad de la información –

SGSI que permita asegurar la información y disponer de controles que permita disminuir el

impacto de los riesgos.

Cabe resaltar la diferenciar entre seguridad informática y seguridad de la información:

La primera, se refiere a la protección de la infraestructura de las tecnologías de la información

y comunicación que soportan la empresa, mientras que la seguridad de la información, se

refiere a la protección de los activos de información fundamentales para el éxito de cualquier

organización que soportan la organización (INCIBE, 2014).

En el ítem 5.2.1 Términos y definiciones, se dio el concepto de los tres pilares o principios

de la Seguridad de la Información, a continuación, se presentan las definiciones para la

empresa desde los puntos de vista de seguridad de la información y de riesgos, la cual está

alineada a la definición de la norma.

16

4.2.2.1. Confidencialidad:

“Es garantizar el acceso a la información sólo a los usuarios autorizados” (Seguridad de la

Información de TGE, 2016).

A nivel de riesgos: “la información es accesible solamente a quienes están autorizados para

ello. Información cuya divulgación puede generar desventajas competitivas, pérdidas

económicas, afecta la reputación y/o imagen y de la compañía” (Seguridad de la Información

TGE, 2016).

4.2.2.2. Integridad:

“Evitar que la información sea modificada de manera no autorizada” (Seguridad de la


A nivel de riesgos: “Protección de la exactitud y estado completo de la información y

métodos de procesamiento. Información sin errores ni fraude, la ocurrencia de alguna de estas

ocasionará pérdidas significativas” (Seguridad de la Información TGE, 2016).

4.2.2.3. Disponibilidad:

“Garantizar que la información esté disponible cuando se necesite” (Seguridad de la


“A nivel de riesgos: Seguridad que los usuarios autorizados tienen acceso a la información y

a los activos asociados cuando lo requieren. La información debe ser accesible y recuperable

fácilmente en caso de suspensión del procesamiento” (Seguridad de la Información TGE,

2016).

4.2.3. NORMA ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la

Información – Requisitos

El objetivo y campo de aplicación definido en la en la presente norma, especifica:

Esta Norma especifica los requisitos para establecer, implementar, mantener y

mejorar continuamente un sistema de gestión de seguridad de la información dentro

del contexto de la organización. La Norma constituye también los requisitos para la

valoración y el tratamiento de los riesgos de seguridad de la información, adaptados

a las necesidades de la organización. Los requisitos establecidos en esta Norma son

genéricos y están previstos para ser aplicados a todas las organizaciones,

independientemente de su tipo, tamaño o naturaleza. (ICONTEC Internacional,

2013).

Podemos definir un Sistema de Gestión de Seguridad de la Información como una

herramienta de gestión que nos va a permitir conocer, gestionar y minimizar los posibles

17

riesgos que atenten contra la seguridad de la información (confidencialidad, integridad y

disponibilidad) de la organización (INCIBE, 2014)

La implementación de la Norma permite establecer políticas, procedimientos y controles con

el objeto de disminuir los riesgos de su organización, para lograrlo la dirección la compañía

se ha comprometido a implementar y mantener el SGSI, involucrando:

• “Definición de políticas, estándares, procedimientos y formatos.

• Gestión de riesgos de seguridad de la información sobre los procesos de negocio del

SGSI que involucran los activos de información. La cual se basa en el análisis,

evaluación y tratamiento de los mismos de acuerdo con el estándar ISO/IEC 31000.

• Cumplimiento de obligaciones legales, regulatorias y contractuales relacionadas con

Seguridad de la Información.

• Gestión de incidentes de Seguridad de la Información.

• Entrenamiento y sensibilización en seguridad de la información” (Seguridad de la


4.2.4. NORMA ISO/IEC 27002:2013 Código para la práctica de la gestión de la

seguridad de la información.

Esta norma es una guía de las buenas prácticas que recoge las recomendaciones sobre las

medidas a tomar para asegurar los sistemas de gestión de una organización (INCIBE, 2014).

Junto a los controles a implementar de acuerdo a la empresa al momento de hacer la

valoración y definición del plan de tratamiento de riesgos de seguridad de la información.

A continuación, se presenta a modo de guía la imagen con los 14 dominios de la norma ISO

27002:2013.

Figura 1. Dominios de la norma ISO 27002:2013. Elaboración Propia

18

Está norma compuesta por 14 dominios, es decir áreas de actuación, 35 objetivos de control

o aspectos a asegurar dentro de cada área y 114 controles o mecanismos para asegurar los

distintos objetivos de control, como se relaciona en la siguiente figura (iso27000.es,

2013;INCIBE, 2014).

Figura 2. Dominios, objetivos de control y controles de la ISO/IEC 27002:2013. (iso27000.es, 2013)

4.2.5. NORMA ISO 31000:2009 Gestión de Riesgos

La Norma ISO 3100 es un estándar para la gestión de riesgos, que al igual que la ISO 27001

para el sistema de gestión de seguridad de la información, puede ser implementado en:

Organizaciones de todo tipo y tamaños, sin importar el objeto de negocio, los procesos

y sus niveles, debido a que cualquiera puede enfrentar factores internas y externas,

que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta

incertidumbre tiene en los objetivos de una organización es el “riesgo” (Icontec,

2011).

La ISO 31000 no es una norma certificable para una empresa, está nos proporciona una serie

de recomendaciones que van a estar planteadas como principios o directrices para la gestión

de cualquier tipo de riesgo (Icontec, 2011).

19

Para el presente proyecto se utilizará esta Norma como guía, siguiendo sus recomendaciones

y directrices para realizar una eficaz y eficiente gestión de riesgos de seguridad de la

información en los procesos misionales Call Center y Entrega Personalizada incluidos en el

alcance del SGSI la empresa TGE.

A continuación, se presenta el proceso para la gestión del riesgo de la norma ISO

31000:2009:

Figura 3. Proceso para la gestión del riesgo NTC-ISO 31000:2009 (Icontec, 2011)

El proceso para la gestión del riesgo debe estar adaptado a los procesos de negocio de la

organización y comprende las siguientes actividades:

4.2.5.1. Comunicación y consulta

Las partes involucradas tanto a nivel interno de la compañía como externo deben

comunicación eficaz durante todas las etapas del proceso de gestión del riesgo y tener

definidos los medios de comunicación, con el fin de garantizar que los responsables

del proceso y las partes involucradas entiendan las bases sobre las cuales se toman

decisiones (Icontec, 2011).

4.2.5.2. Establecer el Contexto

En la organización, se procederá a identificar las características de los factores internos y

externo que influyan sobre la gestión del riesgo como por ejemplo la misión, visión,

actividades que desarrolla la empresa, los interesados, legislación aplicable y demás factores

20

(Icontec, 2011), esto se analizará a partir del uso del método DOFA – Fortalezas,

Oportunidades, debilidades y Amenazas.

El punto de partida de la identificación de riesgos es realizar una identificación y clasificación

de activos de información de los procesos de Call Center y Entrega Personalizada de la

compañía que manejen información sensible.

4.2.5.3. Valoración del Riesgo

La definición de este término de acuerdo a la Norma ISO 31000, “valoración del riesgo es el

proceso total de la identificación del riesgo, análisis del riesgo y evaluación del riesgo”

(Icontec, 2011).

4.2.5.4. Identificación de los Riesgos

“El propósito de la identificación del riesgo es la identificación de lo que puede ocurrir o las

situaciones que puedan presentarse que afecten el logro de los objetivos del sistema o de la

empresa” (PECB, 2008).

El proceso de la identificación del riesgo comprende la identificación de las causas,

consecuencias, fuentes generadoras de riesgo que puedan afectar el cumplimiento de los

objetivos planteados para los procesos (PECB, 2008).

4.2.5.5. Análisis de los Riesgos

“El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo, sus

consecuencias (impacto) y la probabilidad de que estas consecuencias puedan ocurrir”

(Icontec, 2011).

4.2.5.6. Evaluación de los Riesgos

La Norma ISO 31000 estable que la evaluación de la gestión del riesgo debe realizarse:

Con base en los resultados del análisis de riesgos, la finalidad de la evaluación del

riesgo es ayudar a la toma de decisiones, determinando los riesgos a tratar y la

prioridad de implementar el tratamiento de los mismos.

La evaluación del riesgo es la comparación de los niveles de riesgo estimados con los

criterios de evaluación y los criterios de aceptación del riesgo y los priorizados que

se deben establecer cuando se consideró el contexto.

21

La organización debe establecer las prioridades para la aplicación del tratamiento de

Riesgos (Icontec, 2011).

4.2.5.7. Tratamiento de los Riesgos

“El tratamiento del riesgo involucra la selección de una o más opciones para modificar los

riesgos y la implementación de tales opciones. Una vez implementado, el tratamiento

suministra controles o los modifica” (Icontec, 2011). De las opciones de tratamiento

sugeridas por la norma ISO 31000 y que se detallan en la Figura 5., la compañía ha incluido

en su metodología de gestión de riesgos las opciones de evitar, reducir, asumir y compartir o

transferir para el tratamiento de los riesgos de seguridad de la información, estos se

representan en la Figura 6.

Figura 4. Las opciones de tratamiento del riesgo. (PECB, 2008)

Una vez que han sido tomadas las decisiones sobre la opción de tratamiento del riesgo, deben

ser identificadas y planificadas las actividades para la aplicación de esas decisiones o planes

de acción.

Las acciones prioritarias se determinarán para los riesgos de seguridad de la información que

el resultado de su evaluación sea Crítico y Alta, la empresa debe destinar los recursos

necesarios para cerrar estas acciones el plan de tratamiento.

22

4.2.5.8. Monitoreo y Revisión

Como parte del proceso de gestión del riesgo, los riesgos y los controles deberían ser

monitoreados y revisados regularmente para comprobar que:

▪ La hipótesis acerca de los riesgos sigue siendo válidas;

▪ La hipótesis en la que está basada la valoración del riesgo, incluyendo el contexto

interior y exterior, siguen siendo válidas;

▪ Se van cumpliendo los resultados esperados;

▪ La técnica de valoración del riesgo se aplica correctamente;

▪ Los tratamientos del riesgo son efectivos.

4.2.6. Metodología de Gestión de Riesgos de Seguridad de la Información

Si bien es cierto que la norma ISO 31000:2009 es un documento de referencia que

proporciona las directrices o especificaciones para la gestión de riesgos; no es una

metodología.

Por lo que el de equipo de seguridad de la información contratado para la implementación

del sistema de gestión de seguridad de la información –SGSI., en la empresa TGE, se reunió

para desarrollar una metodología de gestión de riesgos de seguridad de la información para

ser aplicada a la empresa TGE., tomando como referencia las recomendaciones de la Norma

ISO 31000:2009.

Las disposiciones de la metodología que se desarrolló promueve el cumplimiento de los

siguientes objetivos:

▪ Identificar y reportar de manera oportuna los eventos generadores de riesgos de

Seguridad de la Información;

▪ Identificar la(s) causa(s) raíz de los riesgos reportados;

▪ Definir los planes de acción tendientes a tomar medidas de tratamiento de los

riesgos identificados (Evitar, Reducir, Transferir o Asumir);

▪ Implementar acciones correctivas y preventivas orientadas a reducir el riesgo a

niveles aceptables de acuerdo a lo definido por el comité de Seguridad de la

Información;

23

▪ Cumplir de forma oportuna y eficiente las acciones tomadas por parte del

responsable del riesgo.

▪ Promover la mejora continua en los procesos, haciendo más oportuno y reiterativo

el seguimiento sobre los procesos de mayor importancia.

▪ Comunicar a las instancias superiores de la gestión y tratamiento de los Riesgos

identificados en los procesos.

▪ Establecer los roles y responsabilidades de todos los funcionarios que participan

directa o indirectamente en la Administración del Riesgo.

▪ Brindar a todo el personal de la Compañía una Metodología común para

identificar, analizar, evaluar y dar tratamiento a los riesgos de seguridad de la

información que pueden afectar el logro de sus objetivos (Seguridad de la

Información TGE, 2016).

La metodología de gestión de riesgos está compuesta por 7 fases, para este proyecto de

pasantía se realizarán de manera secuencial las fases 1, 2, 3, 4, 5, junto con la fase número 7

que corresponde a la fase de Comunicación y Consulta entre las áreas involucradas, siendo

esta transversal a todas las fases durante el desarrollo de la metodología. Se excluye la fase

6 del alcance del proyecto, lo cual se detalla en numeral 4.2 Limitaciones.

Figura 5. Fases de la metodología de gestión de riesgos. Elaboración propia

24

5. VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD

DE LA INFORMACIÓN

5.1. PROCESO CALL CENTER

De acuerdo a la información identificada en la documentación del proceso y con el

responsable del mismo a través de las reuniones de trabajo. (TGE, 2016) se puede concluir

que la actividad realizada en este proceso misional de la compañía cumple con el objetivo de

prestar el servicio de generación y atención de llamadas para venta (retención, fidelización

de productos y/o servicios) y el agendamiento de citas para entrega de productos financieros

de los diferentes clientes, siendo estos últimos quienes definen los requerimientos necesarios

para la ejecución de las diferentes campañas que se manejan en el Call Center.

• Subproceso de Agendamiento: Contacto telefónico con el usuario mediante la

información suministrada por una empresa para la programación de visitas para entrega

de productos y/o recolección de documentos (TGE, 2016).

• Subproceso de Ventas: Campañas de venta de productos y servicios que le permitirán

ampliar el alcance comercial de los clientes, de igual forma se realiza llamadas de

retención, fidelización de productos y/o servicios, dependiendo de las campañas vigentes

(TGE, 2016).

Este proceso se maneja a través de actividades que permiten cumplir con las necesidades de

los clientes.

• Generación del guión para realizar la gestión telefónica para el agendamiento de citas o

venta por parte de los agentes de gestión.

• Asignación de la base de datos para el agendamiento de citas o venta a gestionar por parte

de los agentes de gestión.

• Gestión telefónica ejecutando la venta y agendamiento del producto/servicio y registro

en los aplicativos utilizados en el proceso de la tipificación de la gestión realizada.

• Seguimiento en tiempo y calidad de las llamadas para evaluar los criterios de calidad

definidos por el proceso.

• Grabación de las llamadas y reportes de las misma a los clientes según lo definido en los

Acuerdos de Nivel de Servicio – ANS.

• Generación de informe de gestión y cierre de las diferentes campañas de los clientes.

25

5.2. PROCESO ENTREGA PERSONALIZADA

De igual forma como se recolecto información y se conoció el proceso anterior, se hizo para

el proceso de Entrega Personalizada.

Este proceso tiene el objetivo de prestar el servicio de entrega personalizada y

certificada de productos financieros mediante entrega a titulares o terceros

autorizados y recolección de documentos bajo estrictas medidas de seguridad, previa

gestión de agendamiento citas realizadas desde el Call Center de la Compañía u otro

proveedor de la entidad financiera (TGE, 2016).

El proceso cuenta con cuatro subprocesos y las actividades que se desarrollan en cada uno

están definidas en los procedimientos internos de la compañía y se encuentran alienadas a los

requerimientos de los ANS con los clientes.

• Subproceso de Alistamiento: Preparación de los productos financieros enviados por el

cliente o el realzador a la compañía, para iniciar el alistamiento de productos en cabina

ante audio y video realizando verificación de papelería, del producto físico contra la

información del sistema reportada por el cliente, ensobrado, pega de sticker y cierre de la

bolsa de seguridad (TGE, 2017).

• Subproceso de Custodia: Finalizado el alistamiento de los productos, se procede a

custodiar las bolsas de seguridad con los productos, clasificados por ciudad de destino

mientras son asignan al estado de distribución (TGE, 2017).

• Subproceso de Distribución: Producto que debe ser entregado de acuerdo a los tiempos

definidos en los ANS porque ya tienen agendada cita de entrega con el destinatario, estos

son entregados de acuerdo a un manifiesto de entrega a los mensajeros para que realicen

la gestión, el tránsito de los productos en los diferentes procesos queda registrado en el

aplicativo de gestión (TGE, 2017).

• Subproceso de Entrega: Gestión realizada por el mensajero para realizar la entrega de

los productos asignados en el manifiesto de entrega, toda entrega exitosa debe ser

legalizada mediante la entrega de la prueba de entrega a Distribución para su posterior

digitalización, puede presentarse que no finalice satisfactoriamente la entrega del

producto al destinatario por direcciones erradas, ausencia del destinatario, falta de

documentos solicitados, etc., que generaría que el producto vuelva a custodia y se ejecute

lo definido en el ANS (TGE, 2017).

26

5.3. METODOLOGÍA DE GESTIÓN DE RIESGOS – DESARROLLO DE LAS

FASES

El equipo de seguridad de la información contratado para la implementación del sistema de

gestión de seguridad de la información –SGSI., en la empresa TGE desarrolló la metodología

de gestión de riesgos de seguridad de la información para ser aplicada a la empresa TGE.,

tomando como referencia las recomendaciones de la Norma ISO 31000:2009. Debido a que

existe un acuerdo de confidencialidad firmado por ControlTech con el cliente TGE y el

equipo de Seguridad de la Información, la metodología de gestión de riesgos, se mantendrá

en estricta confidencialidad, en especial lo que comprende a las escalas de impacto y

probabilidad y el apetito del riesgo definidos por la empresa.

A continuación, se describen las fases se desarrollaron para realizar la valoración de los

riesgos de los procesos de Call Center y Entrega Personalizada, siguiendo las

recomendaciones dadas por la norma ISO 31000:2009.

La información relacionada con la valoración de los riesgos se documentó en la Matriz

Análisis y Evaluación de Riesgos en Seguridad de la Información, durante el desarrollo de

cada fase se presentará su avance, junto con una con una muestra de ejemplo de tres (3)

riesgos por cada proceso.

5.3.1. Fase 1 - Establecimiento del Contexto de la organización

A continuación, se presenta una muestra la definición del contexto en función de las

características de la empresa, utilizando el modelo de análisis DOFA.

Figura 6. Muestra de establecimiento del contexto a partir de la matriz DOFA. Elaboración propia

FACTORES INTERNOS DE LA EMPRESA FACTORES EXTERNOS A LA EMPRESA

DEBILIDADES AMENAZAS

Alta rotación del personal Promesa de entrega a clientes ( incumplimientos)

Falta de cobertura y seguimiento a las

operaciones en ruta, mensajería.

Demoras en la realización de activ idades por

presupuesto

Falta de inspección a los procesos operativos. Falta de capacitación

Fallas operativas Falta de documentación de procesos criticos

Infidencia Interna. Caídas constantes del sistema

FORTALEZAS OPORTUNIDADES

Seguimiento continuo a indicadores de gestiónCambio de estrategia con la implementación de la

operación de los procesos misionales

Seguimiento continuo a acciones de mejora Cambio en la estructura de los procesos

Reestructuración del proceso Cambio de normativ idad y legislazición aplicable

Experiencia y conocimiento de los procesos

Disponibilidad de recursos informáticos

Experiencia y conocimiento de los procesos

ESTABLECIMIENTO DEL CONTEXTO - MATRIZ DOFA

27

5.3.2. Fase 2 – Identificar el Riesgo

Previo al inicio del proceso de valoración (identificar, analizar y evaluar) de riesgos de

seguridad de la información de está y las siguientes fases, se realizó la identificación de

activos de información de los procesos de Call Center y Logística Personalizada, teniendo en

cuenta las siguientes consideraciones.

5.3.2.1. Identificación y Clasificación de Activos de Información

Como se mencionó en la introducción del proyecto, la información es uno de los activos de

mayor valor que poseen las empresas y puede encontrarse en diferentes medios y formas:

almacenada en archivos digitales o físicos u otro medio de almacenamiento o intercambio de

información, transmitida por correos físicos o electrónicos, impresa o en papel, entre otros.

A través de entrevistas con los responsables del proceso y subprocesos, se realizó el

inventario de los activos de información por proceso de Call Center y Entrega Personalizada

y se documentó en la matriz de activos, la cual fue entregada a cada responsable por correo

electrónico y certificado mediante un acta, quien es el responsable de mantener actualizar

dicha matriz.

Para realizar la identificación y clasificación de activos de información, se diligencio los

campos que se define en la Tabla 1, donde se recolectan los datos necesarios para identificar

los activos de información, a manera de ejemplo se presenta en la Tabla 2, el Tipos de

Contenedor y Contenedor donde se puede almacenar activos de información físicos o

digitales y finamente se presenta la Tabla 3, con la explicación de las cuatro opciones

definidas por la compañía (Secreta, Confidencial, Uso Interno y Publica) para realizar la

clasificación y etiquetado de los activos de información..

28

Tabla 1.

Parámetros para la identificación y clasificación de activos de información

Fuente: (Seguridad de la Información de TGE, 2017)

Tabla 2.

Ejemplo de Tipo de Contenedor y Contenedor de activos de información

Fuente: Elaboración Propia

NOMBRE CAMPO

ID ACTIVO

ÁREA - PROCESO

PRODUCTO

ACTIVO DE INFORMACIÓN

DESCRIPCIÓN

TIPO (Digital o Física)

TIPO DE CONTENEDOR

CONTENEDOR

RESPONSABLE

CUSTODIO

USUARIOS

CLASIFICACIÓN DE

ACTIVOS DE INFORMACIÓN

Consecutivo que identifica que el activo de información asociado al proceso (Nomenclatura: ACT-

[abreviatura del nombre del proceso]-[Numero Consecutivo de 2 dígitos])

Descripción del activo de información si es Digital o Físico

DESCRIPCIÓN

IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN

Relacione el nombre de los productos que se tienen contratados o sobre el que se identifica el activo

de información

Nombre del proceso o área al que pertenece el activo de información

Nombre del activo de información que identifico el responsable del proceso

Descripción del activo de información y su funcionalidad, dentro del proceso.

Lista desplegable que permite seleccionar la clasificación de la información (Secreta, Confidencial,

USO INTERNO, PÚBLICA) a la que corresponde el activo identificado y definido por el responsable

del proceso.

Registrar el tipo de contenedor de acuerdo a la hoja "Tipo de Contenedores" de este formato

Persona, encargada de controlar la creación, desarrollo, mantenimiento y uso de los activos, además

de rendir cuentas.Persona responsable de mantener los controles sobre los contenedores y por ende sobre los activos

de información.

Área, persona, entidad o proceso que hace uso de los activos de información.

Lugar(es), dispositivo(s) o medio(s), donde se encuentra la información

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN

TIPO DE CONTENEDOR CONTENEDOR

App

BD

Web

Correo

Archivos

Dominio

Firewall

Estación de trabajo

Portátil / Dispositivos Moviles

USB

Discos Duros

Cd's y/o DVD's

Oficinas

Bodegas o Bóvedas

Centros de computo

Áreas de Archivo

Tulas

Cajas

Maletas / Maletines

Espacio Físico

Transporte

Documentación

Servidores

Comunicaciones

Equipos de Computo

Medios de

Almacenamiento

Extraíble (Físicos)

29

Tabla 3.

Criterios de clasificación de activos de Información.


A continuación, se presenta la matriz de identificación y clasificación de activos de

información que se diligencio para cada uno de los procesos de Call Center y Entrega

Personalizada partiendo de la información suministrada por entrevistados de cada proceso,

Tabla 4.

30

Tabla 4.

Matriz de identificación de activos de información para los procesos


31

5.3.2.2. Identificación y Clasificación de Activos de Información Call

Center

Como evidencia del desarrollo de la actividad de identificación y clasificación de activos de

información del proceso de Call Center, se tomó de la matriz de activos consolidados, una

muestra de cinco (5) activos correspondientes a los subprocesos de Venta y Agendamiento

que hacen parte de todo el proceso de Call Center.

A continuación, se presenta en las siguientes tablas los activos de información de la muestra:

Tabla 5

Identificación y clasificación activo de Información "Solicitudes de Apertura de Campañas"

Fuente: Elaboración propia.

ID Activo ACT-CALL-001 Proceso /Subproceso Call Center / Ventas Agendamiento

Activo de información

ProductoEntrega de plásticos,

venta de segurosTipo (Digital o Física) Digital

Tipo de Contenedor

. Servidores

. Equipo de Computo

Contenedor

. Correo Electrónico del Director y

Supervisores, Monitoreo y

Capacitación de Call Center

. Estación de Trabajo de Director y

Supervisores de Call Center.

Custodio

. Director del Call Center

. Supervisores del Call

Center

. Monitoreo y

Capacitación de Call

Center

Usuarios

. Agentes del Gestión del Call Center.

. Supervisores del Call Center.

. Monitoreo y Capacitación de Call

Center

Confidencial X Uso Interno

Secreta Publica


Responsable


Descripción

Documento donde se detalla las condiciones de servicio para la apertura de una campaña, contiene información:

Nombre del cliente, tipo de campaña (Ventas, Agendamiento), especificaciones técnicas de la campaña, cantidad de

registros a gestionar, las fecha de inicio y cierre de la campaña descripción del procedimiento de gestión, guía y manual

de la campaña.

Solicitudes de Apertura de Campañas


32

Tabla 6.

Identificación y clasificación activo de Información "Manuales de Call Center"

Fuente: Elaboración propia

ID Activo ACT-CAL-022 Proceso /Subproceso Call Center / Ventas Agendamiento


ProductoEntrega de plásticos, venta

de segurosTipo (Digital o Física) Digital

Tipo de Contenedor . Servidor Contenedor. Carpeta compartida del área ruta

archivo biblioteca

Custodio


. Supervisores del Call

Center

. Monitoreo y Capacitación de

Call Center

. Agentes de gestión del Call

Center

Usuarios


. Supervisores del Call Center

. Monitoreo y Capacitación de Call

Center

. Agentes de gestión del Call Center

Confidencial Uso Interno X

Secreta Publica


Responsable


Descripción

Archivo en Excel que Monitorio y capacitación sube en la carpeta compartida de proceso de archivos biblioteca , contiene todo

las campañas vigentes que se manejan el Call Center.

Contiene las especificaciones las condiciones de agendamiento para cada proceso que se realiza en el Call Center de acuerdo

al ANS firmado por con el cliente.

Todos los agentes de agendamiento deben conocer muy bien la información contenida en este archivo para poder iniciar la

programación de las entregas de los productos y servicios contratados con el cliente


Manuales de Call Center

33

Tabla 7.

Identificación y clasificación activo de Información "Reporte de la Ultima Gestión del Call Center”


ID Activo ACT-CAL-025 Proceso /Subproceso Call Center / Agendamiento


Producto Entrega de plásticos Tipo (Digital o Física) Digital

Tipo de Contenedor . Equipo de computo Contenedor. Estación de trabajo del Supervisora del

Call Center - Agendamiento

Custodio. Supervisora del Call Center -

AgendamientoUsuarios

. Supervisora del Call Center -

Agendamiento


Secreta Publica


Responsable


Descripción

Archivo en Excel que se genera automaticamente cada 30 minutos el en aplicativos, se descarga para realizar seguimiento de la

gestión realizada por los agentes y garantizar la gestion de la operacion al 100% de todo el Call Center.

El corte de la gestion diaria se debe descarga al dia siguiente antes de las 6:30 am y por el superviso y lleva el historico en su

equipos.


Reportes de la Ultima Gestion Call Center

34

Tabla 8.

Identificación y clasificación activo de Información "Reporte Mensual Multilinea”


ID Activo ACT-CAL-027 Proceso /Subproceso Call Center / Agendamiento Venta



de productosTipo (Digital o Física) Digital

Tipo de Contenedor

. Equipo de Computo

. Servidores

Contenedor

. Estacion de Trabajo del

Supervisor de Inbound Multilinea

. Correo Electronico Supervisor

Agendamiento y Venta,, Gerente de Call

Center, Director de Entrega

Personalizada

Custodio


. Director de Entrega

Personalizada

. Supervisores de Call

Center . Supervisores

Entrega Personalizada

Usuarios


. Director de Entrega Personalizada

. Supervisores de Call Center . .

Supervisores Entrega Personalizada


Secreta Publica


Archivo en Excel generado por el supervisor que contiene información de los incumplimientos de las citas que se agenda,

encuestas que se le realizan a los cliente para saber si el proceso de entrega se realizó a satisfacción y los ilocalizados que son

los clientes que nunca se pudieron contactaron para la entrega de un producto.

Lo envía a través de correo electrónico a los directores, coordinadores y supervisores de cada una de las áreas de la empresa

se archiva en su equipo en una carpeta de mis documentos.

Responsable



Reporte Mensuales Multilinea

Descripción

35

Tabla 9.

Identificación y clasificación activo de Información " Llamadas Grabadas”


5.3.2.3. Identificación y Clasificación de Activos de Información Entrega

Personalizada

Al igual que el proceso anterior para evidenciar el del desarrollo de la actividad de

identificación y clasificación de activos de información del proceso de Entrega

Personalizada, se tomó de la matriz de activos consolidados, una muestra de cinco (5) activos

correspondientes a los subprocesos de Alistamiento, Custodia, Distribución y Entrega de

productos financieros.

A continuación, se presenta en las siguientes tablas los activos de información de la muestra:

ID Activo ACT-CAL-030 Proceso /Subproceso Call Center / Agendamiento Venta



de productosTipo (Digital o Física) Digital

Tipo de Contenedor

. Servidor

. Servidor

. Medios de Almacenamiento

Extraíble (Físicos)

Contenedor

. VPN

. Servidor de Grabaciones

. CD/DVD

Custodio

. Agente de Monitorero del

Call Center

. Tecnologia

. Cliente

Usuarios

. Agente de Monitorero del Call Center

. Supervisores de Call Center


. Tecnologia

. Cliente


Secreta Publica


Todas las llamadas generadas en los diferentes procesos se graban a través de la planta telefónica y se almacenan para

garantizar la efectividad, el cumplimiento de todos los parámetro y el guion definido por el cliente.

El tiempo de custodia de las grabaciones esta definido de acuerdo a los ANS y contratos con cada cliente y dando

cumplimiento a lo exigido por ley. adicionalmente se envían a los clientes dando cumplimiento a la frecuencia y el medio de

intercambio de información definido (CD/DVD con información cifrada, VPN, etc.)

Las grabaciones son el único soporte de la gestión realizada y de aceptación del cliente de la venta o entrega de un producto,

estas son escuchadas por monitoreo para y valida que cumplen los criterios de calidad.

Responsable



Llamadas Grabadas

Descripción

36

Tabla 10.

Identificación y clasificación activo de Información " Informes Clientes”


ID Activo ACT-PDZA-002 Proceso /Subproceso Entrega Personalizada/ Alistamiento


ProductoTarjetas (crédito, débito,

claves), token y ChequerasTipo (Digital o Física) Digital

Tipo de Contenedor

. Servidor

. Equipo de Computo

. Servidor

. Servidor

Contenedor

. Correo Corporativo Analista Entrega

Personalizada

. Estación de trabajo Analista

Personalizada

. Aplicaciones (Sistemas de Información)

Propios

. VPN Cliente

Custodio

. Coordinador Entrega

Personalizada

. Director Entrega

Personalizada

. Analista de Entrega

Personalizada

Usuarios

. Coordinador Entrega Personalizada

. Director Entrega Personalizada

. Analista de Entrega Personalizada


Secreta Publica


Informes generado por personal de Alistamiento a los analistas de entrega personalizada para que realicen el envío del reporte

de la operación (consolidado de recibido y novedades presentadas, estadísticas del avance del proceso, cifras de gestión) al

Banco, estos reportes pueden generarse de manera diaria, semanal o mensual y enviarse a través de los canales y medios de

comunicación definidos (Cargue en la VPN, por correo electrónico con adjunto cifrado) con los Bancos en los ANS.

Nota: En la matriz de activos de información este activo contiene mayor información en su descripción, tipo de contenedor y

contenedor, por confidencialidad no se presenta de manera completa.

Responsable


IDENTIFICACIÓN DE ACT+A3:D9IVOS DE INFORMACIÓN

Informes Clientes

Descripción

37

Tabla 11.

Identificación y clasificación activo de Información " Papelería Bancaria”


ID Activo ACT-PDZA-011 Proceso /Subproceso Entrega Personalizada/ Alistamiento



claves), token y ChequerasTipo (Digital o Física) Física

Tipo de Contenedor

. Equipos de Computo

. Servidores Aplicaciones

. Espacios Físicos

Contenedor

. Estación de trabajo Analista

Personalizada

. Correo Corporativo

. Área Segura

Custodio . Supervisor de Alistamiento Usuarios . Analista de Entrega Personalizada


Secreta Publica


Solicitudes de papelería bancaria requerida por el área de alistamiento, esta papelería hace referencia a formatos o insertos,

publicidad, pagares en blanco dicho información se envía en el sobre al cliente cuando se envían las entregas de los diferentes

productos.

Responsable



Papelería Bancaria

Descripción

38

Tabla 12.

Identificación y clasificación activo de Información " Tarjetas (crédito, débito, claves), token y Chequeras -

Productos en custodia”


ID Activo ACT-PDZA-020 Proceso /SubprocesoEntrega Personalizada/ Alistamiento

Custodia



claves), token y ChequerasTipo (Digital o Física) Física

Tipo de Contenedor

. Espacios Físicos

. Espacios Físicos

Contenedor

. Estantes del área segura

. Cabinas de Alistamiento

Custodio

. Supervisor de Alistamiento

. Supervisor del área Segura

. Operarios de Alistamiento

. Operarios de área Segura

Usuarios. Operación de alistamiento

. Operarios del área Segura


Secreta Publica


Luego del proceso de alistamiento de los diferentes productos en las bolsas de seguridad, se envían a custodia mientras salen a

ruta para ser entregados por los mensajeros.

Cuando un producto que llegan del realzador o directamente del cliente en una unidad de carga, se validad mediante audio y

video el numero de guía que se encuentre cargado en el sistema interno para inicial el proceso de revisión del contenido y el

alistamiento, en caso de aun no estar cargado los productos de la unidad de carga, esos se envían de alistamiento a custodia al

área segura mientras el cliente reporta los productos y poder así iniciar el proceso de alistamiento.

Responsable



Tarjetas (crédito, débito, claves), token y Chequeras - Productos en custodia

Descripción

39

Tabla 13.

Identificación y clasificación activo de Información " Manifiestos de Entrega”


ID Activo ACT-PDZA-024 Proceso /SubprocesoEntrega Personalizada/ Distribución

Entrega



claves), token y ChequerasTipo (Digital o Física) Física y Digital

Tipo de Contenedor

. Espacios Físicos

. Servidor

Contenedor

. Estantes o colmena del área de

distribución.

. Aplicaciones (Sistemas de Información)

Propios

Custodio

. Supervisor de Distribución y

Entrega

. Operarios de Entrega

. Mensajero de la operación

Usuarios

. Supervisor de Distribución y Entrega




Secreta Publica


Documento generado diariamente a todos los mensajeros, donde se relaciona los productos registrados en el documento

contra los sobres a entregas en el recorrido del día.

El documento contiene todos los datos del cliente (usuario) y del mensajero que debe hacer la entrega de los productos

relacionados. (GP, nombre, CC y dirección) y es generado por la aplicación de la operación.

Responsable



Manifiesto de entrega

Descripción

40

Tabla 14.

Identificación y clasificación activo de Información " Acuses de Recibo”


5.3.2.4. Identificación de Riesgos de Seguridad de la Información

Finalizadas las entrevistas de identificación de activos de información y la entrega formal a

los responsables del proceso de la matriz de activos, se inició el proceso de valoración de

riesgos, comenzando con: “la identificación de los riesgos asociados al proceso y

determinando las fuentes, causas y consecuencias potenciales que puedan afectar el

cumplimiento de los objetivos planteados en la compañía” (Seguridad de la Información

TGE, 2016).

ID Activo ACT-PDZA-026 Proceso /SubprocesoEntrega Personalizada/ Distribución

Entrega



claves), token y ChequerasTipo (Digital o Física) Física y Digital

Tipo de Contenedor

. Espacios Físicos

. Servidor

Contenedor

. Estantes o colmena del área de

distribución.

. De archivos

Custodio

. Supervisor de Distribución y

Entrega



Usuarios

. Supervisor de Distribución y Entrega



. Director de Entrega Personaliza

. Coordinador de Entrega Personalizada


Secreta Publica


Documento impreso donde certifica la entrega del productos al destinatario, finalizado la ruta del mensajero, este retorna los

acuses de recibo diligenciado por los destinatarios que recibieron los diferentes productos y se entrega al subproceso de

entrega para que posteriormente digitalicen.

Responsable



Acuses de Recibo

Descripción

41

Para realizar la identificación de los riesgos de seguridad de la información de consideraron

los siguientes parámetros, los cuales se diligenciaron en la matriz de Análisis y Evaluación

de Riesgos en Seguridad de la Información en todos los dos procesos.

Tabla 15.

Parámetros para el diligenciamiento matriz de riesgos - Fase 2 Identificación

Fuente: (Seguridad de la Información TGE, 2017)

Paralelo a las entrevistas de valoración de riesgos de seguridad de la información con los

responsables del proceso y demás involucrados, se crearon diferentes listados con la relación

de Riesgos, Causas y Controles, estos últimos hacen parte de la fase 4 – evaluación del riesgo

y no se presentarán en este documento, debido a que fueron establecidos durante el desarrollo

del proyecto para la empresa TGE y mantienen su carácter confidencial.

A continuación, se presenta la estructura de la matriz de riesgos correspondiente a la fase 2

– identificación de riesgos utilizada para los procesos de Call Center y Entrega Personalizada

42

Tabla 16.

Matriz para el análisis y evaluación de riesgos de SI - Fase 2 Identificación


43

5.3.2.5. Identificación de Riesgos de Seguridad de la Información Call Center

Tabla 17.

Muestra de la identificación de riesgos - Proceso Call Center

Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI (Seguridad

de la Información TGE, 2017)

44

5.3.2.6. Identificación de Riesgos de Seguridad de la Información Entrega Personalizada

Tabla 18.

Muestra de la identificación de riesgos - Proceso Entrega Personalizada

Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI

(Seguridad de la Información TGE, 2017)

45

5.3.3. Fase 3 – Análisis de Riesgo

Esta actividad hace parte del proceso de valoración de riesgo, “(…) implica el desarrollo y la

comprensión del riesgo, brindando una entrada para su evaluación, así como criterios para

determinar si es necesario no tratar los riesgos, al igual que las estrategias adecuadas para su

tratamiento” (Seguridad de la Información TGE, 2016).

El análisis de riesgos implica el desarrollo y la comprensión de los riesgos identificados,

primero se determinó cuál o cuáles pilares de la seguridad de la información

(Confidencialidad, Integridad y Disponibilidad) afecta directamente el riesgo identificado,

luego, los riesgos son analizados para determinar su probabilidad de ocurrencia, esto se

califica en una escala de 1 a 5 donde 1 es muy baja y 5 muy alta, y finalmente se estima el

riesgo con respecto a las consecuencias (impacto), mediante la calificación de su nivel en una

escala de 1 a 5 donde 1 es Inferior y 5 superior y el impacto financiero, Reputacional o legal

que afecte a la compañía en un caso de materializarse el riesgo

46

5.3.3.1. Análisis de Riesgos de Seguridad de la Información Call Center

Tabla 19.

Análisis de riesgos de SI de la muestra - Proceso Call Center


(Seguridad de la Información TGE, 2017)

Para el responsable del proceso del Call Center, al realizar el análisis de los riesgos sin ningún tipo de control en caso de

materializarse, generaría a la compañía un impacto a nivel legal, lo cual podría implicar sanciones de entes regulatorios o la

aplicación de cláusulas contractuales o demandas en contra o Aplicación de sanciones que impactan negocios futuros.

47

5.3.3.2. Análisis de Riesgos de Seguridad de la Información Entrega Personalizada

Tabla 20.

Análisis de riesgos de SI de la muestra - Proceso entrega Personalizada



Para el responsable del proceso del Entrega Personalizada, al realizar el análisis de los riesgos sin ningún tipo de control en caso

de materializarse, generaría a la compañía un impacto a nivel legal, lo cual podría implicar sanciones de entes regulatorios o la

aplicación de cláusulas contractuales o demandas en contra o Aplicación de sanciones que impactan negocios futuros y financiero,

lo cual la materialización del riesgo conlleva a una pérdida o sobre costo mayor que 30 y 50 SMMLV (valores tomados de la tabla

con la escala del impacto financiero definido por la Gerencia General).

48

5.3.4. Fase 4 – Evaluación del Riesgo

La evaluación del riesgo hace parte de la última actividad del proceso de valoración de riesgo,

esta fase está compuesta de dos partes:

La primera parte, comprende la primera evaluación de la probabilidad y el impacto

de la fase del análisis del riesgo para determinar el riesgo inherente que corresponde

al nivel de riesgo propio del desarrollo de la actividad sin ningún tipo de control. La

segunda, parte establece que para tratar o gestionar los riesgos identificados, se

deberán implementar los controles suficientes para disminuir su probabilidad o

impacto con base la evaluación de los controles existente que permitan mitigar los

riesgos identificados. (Seguridad de la Información TGE, 2016).

La actividad de evaluación de controles existentes consistió en validar que los controles

implementados por los responsables de los procesos de Call Center y Entrega Personalizada

fuera afectivo, mitigaran realmente el riesgos, estuviera documentado y se aplicaran, se

hiciera un seguimiento sobre esto y estuviera definida una frecuencia para su revisión,

además permitió identificar si eran de tipo correctivo o preventivo (control correctivo permite

corregir y tomar acciones necesarias una vez se ha materializado el riesgo o control

preventivo creados para reducir la probabilidad de ocurrencia del riesgo).

Como resultado de esta actividad, se encontró en los dos procesos que hay riesgos que:

• No tienen implementado ningún tipo de control por lo cual se requiere de algún tipo de

inversión o definir procedimientos internos para ejecutar los planes de acción que

reduciría la probabilidad e impacto del riesgo,

• Existen controles implementados que no están siendo efectivos y que luego de la

evaluación el riesgo residual continua con el mismo nivel criticidad de riesgo inherente

(sin controles) o simplemente que los controles no se realizan.

• Existen controles que son efectivos y pero que no están documentados ni formalizados.

Entre otras tipificaciones que se encontraron con los controles existente de cada procesos que

se presentó en el informe a la Gerencia General de TGE, solicito que se realizara un trabajo

conjunto con el área de Sistemas de Gestión y Calidad, los Directores de los procesos y

Seguridad de la información la validación de todos los controles existentes para que fueran

efectivos junto y las acciones correctivas definidas en los planes de tratamiento y lograr

reducir los niveles de los riesgos identificados.

49

5.3.4.1. Evaluación del Riesgo de Seguridad de la Información Call Center

Tabla 21.

Evaluación del riesgo de SI de la muestra - Proceso Call Center



50

5.3.4.2. Evaluación del Riesgo de Seguridad de la Información Entrega Personalizada

Tabla 22.

Evaluación del riesgo de SI de la muestra - Proceso Entrega Personalizada



51

5.3.4.3. Mapa de Calor Riesgo Inherente y Riesgo Residual

A continuación, se relaciona característica que tienen los riesgos de acuerdo a la zona, luego

de la evaluación de la probabilidad y el impacto y la ubicación en el mapa de calor de los

riesgos que se tomaron de muestra en los procesos de Call Center y Entrega Personalizada.

Tabla 23.

Zona de Riesgo


• Mapa de Calor - Proceso de Call Center

Tabla 24.

Riesgo Inherente – Proceso Call Center

Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de

gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)

52

Tabla 25.

Riesgo Residual – Proceso Call Center



• Mapa de Calor - Proceso de Call Center

Tabla 26.

Riesgo Inherente – Proceso Entrega Personalizada



53

Tabla 27.

Riesgo Residual – Proceso Entrega Personalizada



5.3.5. Fase 5 – Tratamiento del Riesgo

La metodología de riesgos de seguridad de la información. (Seguridad de la Información

TGE, 2016) definió:

Una vez calificados los controles y evaluado su nivel de incidencia en la mitigación

de los riesgos, si el riesgo residual se ubica en una zona de riesgo que requiera

tratamiento, éste se deberá realizar en función de las cuatro opciones de tratamiento

de riesgos que se describen a continuación:

Tabla 28.

Opciones de tratamiento de riesgos de seguridad de la información


54

5.3.5.1. Definición de Planes de Tratamiento de Riesgos de SI Call Center

Tabla 29.

Definición de planes de tratamiento de riesgos de SI Call Center



55

5.3.5.2. Definición de Planes de Tratamiento de Riesgos de SI Entrega Personalizada

Tabla 30.

Definición de planes de tratamiento de riesgos de SI Entrega Personalizada



56

5.3.6. Fase 7 – Comunicación y Consulta

La fase de comunicación y consulta se ejecutó transversalmente durante el desarrollo del

proyecto de pasantía, donde se ejecutaron reuniones de conocimiento de los procesos,

explicación de la metodología de riesgos que se utilizó para la valoración del riesgo y la

definición de los planes de acción, adicionalmente se formalizo la entrega de los activos de

información de los proceso, dando como resultado el cumplimiento a las actividades

programas y toma de conciencia por parte de los empleados de la compañía en temas de

seguridad de la información, como también se definió los medios de comunicación para

reportar cualquier situación de riesgo que se presente en la compañía.

A la Gerencia General, se hizo entrega de un informe de gerencia con el detalle de los riesgos

de nivel crítico y alto mediante la implementación y cierre de las acciones correctivas para

los planes de tratamiento de los riesgos de seguridad de la información identificados por parte

del área de Sistemas de Gestión y Calidad de TGE, junto con los responsables de los

procesos de Call Center y Entrega Personalizada y demás áreas involucradas, esta actividad

corresponde a la FASE 6: Monitoreo y Seguimiento de los Riesgos, definida en la

metodología de riesgos.

57

6. CONCLUSIONES

Finalizada la actividad de valoración y definición de los riegos de seguridad de la

información para los procesos de Call Center y Entrega Personalizada, fuimos responsables

de entregar al cliente un sistema de gestión de riesgos actualizado para que se mantenga

vigente a través de la detección de los cambios que presenten en el entorno interno y externo,

evaluando y ajustando lo necesario del sistema para que responda a los cambios que se

presenten.

El reconocimiento por parte de TGE de la responsabilidad que hay en todas las personas que

participan en la compañía para gestionar los riesgos identificados y poder evitar que se

materialice algún riesgo y que pueda afectar la imagen, la reputación o incluso a nivel

financiero o legal a la compañía.

Como resultado de la actividad de identificación y clasificación de activos de información,

se logró identificar un total de 32 activos para el proceso de Call Center y 54 activos para el

proceso de Entrega Personalizada, los cuales deben ser revisados y actualizados por lo menos

una vez al año o antes si se genera algún cambio dentro del proceso.

Como resultado de la actividad de Valoración de riesgos de seguridad de la información, se

identificó en el proceso de Call Center, un total de 22 riesgos de seguridad de la información,

de los cuales 14 riesgos tiene una evaluación del riesgos residual entre crítica y alta y en el

proceso de Entrega Personalizada un total de 56 riesgos, de los cuales un total de 33 tienen

un evaluación del riesgos residual entre crítica y alta, estos requieren ser mitigados de manera

inmediata ya que pueden comprometer confidencialidad, integridad o disponibilidad de la

información propia o de los clientes e incurrir en multas entre otros.

Se debe realizar un nuevo análisis de riesgos en un periodo no superior a un año para verificar

el estado de los mismos y verificar la efectividad de los controles existentes, adicionalmente

se concluyó que los incidentes de seguridad de la información que afecten la

confidencialidad, integridad y disponibilidad de la información de los procesos debe ser

evaluado en la matriz de riesgos para implementar controles correctivos y reducir su impacto

y ocurrencia.

58

LISTA DE REFERENCIA

Assurance ControlTech. (2016). Portafolio de Soluciones Assurance ControlTech. Bogotá.

Icontec Internacional. (2011). Guía Técnica Colombiana GTC 137 - Gestión del Riesgo. Vocabulario.

Bogotá.

ICONTEC Internacional. (2013). NTC-ISO-IEC 27001, Tecnología de la Información. Técnicas de

Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. Bogotá:

ICONTEC.

Instituto Colombiano de Normas Tecnicas y Certificación [Icontec]. (2011). NTC-ISO 31000 Gestión

del riesgo principios y directrices. En I. Internacional. Bogotá.

Instituto Nacional de Ciberseguridad de España, S.A. [INCIBE]. (2014). INSTITUTO NACIONAL DE

CIBERSEGURIDAD incibe. Recuperado el Noviembre de 2016, de

https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf

iso27000.es. (2012). El portal de ISO 27001 en Español. Recuperado el 2016, de

http://www.iso27000.es/glosario.html

iso27000.es. (Octubre de 2013). El portal de ISO 27000 en Español. Recuperado el Marzo de 2017,

de http://www.iso27000.es/download/ControlesISO27002-2013.pdf

iso27000.es. (2013). El portal de ISO 27001 en Español. Recuperado el 2016, de

http://www.iso27000.es/iso27000.html#seccion1

Organización Internacional de Normalización [ISO]. (2014). Estándar Internacional ISO/IEC 27000 -

Tecnología de la Información – Técnicas de Seguridad – Sistema de Gestión de Seguridad

de la Información – Información General y Vocabulario. Suiza.

PECB. (2008). Certificación Internacional ISO 31000 RISK MANAGER. En E. Lachapelle, Certificación

Internacional ISO 31000 RISK MANAGER (4.3 ed., pág. 51).

Seguridad de la Información de TGE. (2016). Política de Seguridad de la Información. Bogotá.

Seguridad de la Información de TGE. (2017). Matriz de Identificación de Activos de Información.

Bogotá.

Seguridad de la Información TGE. (2016). Metodología de Gestión de Riesgos de Seguridad de la

Información. Bogotá.

Seguridad de la Información TGE. (2017). Matriz para el análisis y evaluación de riesgos en

seguridad de la información. Bogotá.

TGE. (2016). Caracterización del proceso - Call Center.

TGE. (2016). Caracterización del proceso - Entrega Personalizada.

TGE. (2017). Procedimiento de Gestión - Operación Entrega Personalizada.

VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD...

Documents

Transcript of VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD...