taller “ejecución del análisis y evaluación de riesgos” establecimiento del contexto

5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com

http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 1/14

Trabajo Práctico #5Gobierno de Tecnología y Auditoría de los Sistemas de Información.

6/22/2011Karen Yineth Gelasio Estupiñán



2KAREN YINETH GELASIO ESTUPIÑÁN

Ejercicios Prácticos de GTIySI

(EJ:5)

Taller “Ejecución del análisis y evaluación de riesgos”

Establecimiento del contexto

Propósito:

Ayudarle a entender como determinar el contexto para la gestión de los riesgos de seguridad de

la información.

Primera Parte

Instrucciones:

1. Identifique una organización de su elección. Si desea puede utilizar su propia

organización pero no incluya ningún dato que pueda identificar algún detalle de la compañía que

viole su seguridad. Si no se siente cómodo usando su organización, usted puede idear una

propia, por ejemplo un banco, un proveedor de Internet, una empresa de comercio electrónico

o un proveedor de seguridad para un aeropuerto.

2. Considere que productos o servicios ofrece la organización

3. Identifique el propósito de la empresa, su negocio, misión, valores, estructura,

estrategia y restricciones.

Segunda Parte

Instrucciones:

1. Para la organización seleccionada establezca los criterios de evaluación, impacto y aceptación.

2. Redacte el alcance y los limites.

3. Seleccione un proceso

PRIMERA PARTE

Organización:

INTEC se dedica a la venta de productos electrónicos y actualmente tiene varios sistemas de

información que apoyan sus procesos de negocio.

La compañía tiene tres sedes ubicadas en Bogotá. Sin embargo en el plan estratégico de la

compañía se tiene como meta la apertura de dos sedes en Medellín y una en Cali.




Actualmente la compañía tiene los siguientes sistemas de información que apoyan las áreas

operativas y de mercadeo y ventas:

- Inventario

- Facturación

- Ventas

- Gestión de clientes (CRM)

El departamento de TI es el encargado de mantener los sistemas mencionados. Este

departamento desarrolla los sistemas de backend siguiendo buenas prácticas de

arquitectura: sistemas en capa, distribuidos y en algunos casos web-enabled. Sin embargo la

cantidad de cambios en el sector y los nuevos requerimientos de negocio hace que dar una

respuesta oportuna sea cada vez más difícil.

Según ISO 27005 el estudio de la organización, implica conocer los elementos característicos quedefinen la identidad de una organización.

Productos o Servicios Ofrecidos:

INTEC presta el servicio de venta de productos electrónicos, y permite llevar un seguimiento de los

pedidos que se realizan.

Proveer nuevos canales de distribución, pagos y comunicación con asociados y proveedores de

productos electrónicos.

Negocio:

INTEC se dedica a la venta de productos electrónicos y actualmente tiene varios sistemas de

información que apoyan sus procesos de negocio

INTEC emplea un portal integrado que facilita a los usuarios solicitar cotizaciones, realizar pedidos

y compras, pagar sus facturas, hacer un seguimiento de pedidos y tener un sistema de quejas y

reclamos que complementa el call center actual.

Misión:

Brindar servicios de venta de productos electrónicos con la más alta calidad del mercado, precioscompetitivos y calidad que superen las expectativas de los clientes proporcionando servicios de

venta, distribución y comunicación a través de una red de soporte a escala nacional en continua

expansión.

Visión

Para el año 2015 seremos una empresa con personal certificado, con capacidad de cubrimiento y

disponibilidad de atención a nivel nacionall, con un amplio portafolio de productos electrónicos,




comprometido con el cumplimiento de las condiciones contractuales de calidad y exigencia de

satisfacción de nuestros clientes.

Valores:

Confianza ,responsabilidad, cumplimiento, satisfacción de las necesidades del cliente, seriedad y

compromiso,calidad,sana competencia y comunicación.

Estructura:

La compañía INTEC tiene tres sedes, ubicadas en Bogotá, y próximamente iniciará la apertura de

dos sedes en Medellín y una en Cali; la sede central está la ubicada en Bogotá, sin embargo la

organización de las otras sucursales será una réplica de la estructura adoptada en la sede principal.

Un modelo de conexión de nodos que sugiero es:

La estructura de INTEC, consiste en una estructura por áreas, donde cada área está bajo la

autoridad de un director de área, responsable de las decisiones estratégicas, administrativas y

operativas con respecto a su área.




Algunas de las áreas más importantes que menciona la compañía son:

--Área Operativa

-Función:

El área operativa se enfoca en establecer los parámetros tácticos de todo el proceso deIntercomunicación.

Esta área toma en cuenta todo lo relacionado con el funcionamiento de la empresa. Es la

operación del negocio en su sentido más general. Desde la contratación del personal hasta la

compra de insumos, el pago del personal, la firma de los cheques, verificar que el personal cumpla

con su horario, la limpieza del local, el pago a los proveedores, el control de los inventarios de

insumos y de producción, la gestión del negocio son parte de esta área. Por lo general, es el

emprendedor o propietario quien se encargará de esta área en su fase inicial.

-Importancia:

Concentra su interés en establecer los planes de comunicación en cuanto a : Plan de Fases

Operacionales y Plan de Objetivos, Estrategias y Acciones.

Es de vital importancia pues se encarga de materializar y definir la estrategia de la organización.

-Área de Mercadeo y Ventas.

-Función:

En esta área se detallarán las funciones, capacidades y cualidades de quien será el responsable y el

personal involucrado en la estrategia de mercadeo del negocio, es decir, la publicidad y la marcade los productos ofrecidos por INTEC, la distribución del mismo y el punto de venta, la promoción

y la labor de ventas.

-Importancia:

De la apropiada difusión de la información depende gran porcentaje de los clientes de INTEC,

debido a que el área de mercadeo y ventas tiene que realizar actividades que inciten a los clientes

a incursionar en la adquisición de sus productos y aquellos que ya están vinculados, creen un lazo

de identificación y fidelidad con la organización.

Estrategia:

Mantenernos como una empresa confiable y segura.

Ofrecer a nuestros usuarios lo último en avances tecnológicos.

Disponer de múltiples sedes a nivel nacional, que abarquen el territorio y lleven la imagen de

la compañía.




Convertirnos en una empresa líder del mercado, caracterizada por la seriedad y compromiso

al brindar productos que satisfagan a nuestros clientes con altos estándares de calidad y

tiempos de entrega óptimos.

Consolidar el sentido de pertenencia en nuestros empleados para lograr su máximo

compromiso y desempeño.

Mantener contacto a nivel internacional a nivel de estándares, normativas y deorganizaciones similares

Restricciones:

• Restricciones de recursos :

Se dispone de 4 servidores, dos ubicados en la sede principal de Bogotá, y dos para ser ubicados

en la sede de Cali y una de las sedes de Medellín.

• Restricciones de tiempo:

Todas las áreas trabajan de Lunes a Viernes de 7:00AM a 5:00 PM, exceptuando el área de

soporte que maneja turnos y cubre 7x24x365.

• Restricciones que se originan en el calendario de la organización :

Feriados de Colombia.

• Restricciones financieras:

Se establecen luego del cierre contable de marzo.

• Restricciones de presupuesto :

Al igual que las restricciones financieras, dependen del cierre contable y de las solicitudes de

adquisiciones que se presenten.

• Restricciones técnicas:

El framework Symfony se usará para el desarrollo de las aplicaciones web que sean

empleadas por INTEC, dado que incluyen una gran variedad de componentes de software

reutilizables que pueden ser utilizados para el desarrollo de aplicaciones web mejores y más

fáciles de mantener.

• Restricciones operativas:

En el departamento de TI se desarrollan los sistemas de backend siguiendo buenas prácticas

de arquitectura: sistemas en capa, distribuidos y en algunos casos web-enabled.

• Restricciones culturales: El calendario adoptado es el gregoriano, deben cubrirse las

vacaciones y la salud.




• Restricciones éticas:

Ninguna.

• Restricciones ambientales:

Ninguna

• Restricciones legales:

Ninguna.

• Restricciones relacionadas con el personal :

Algunas áreas de la compañía requieren autorización para entrar.

• Restricciones para la integración de controles nuevos y existentes.

Información no disponible.

• Restricciones de naturaleza política :

Cambios de facturación, registro de IVA( Impuesto al Valor Agregado).

• Restricciones que se originan en el clima político y económico :

No se evidencian restricciones de éste tipo.

• Restricciones de naturaleza estratégica:

Adoptar el modelo operativo de estandarización en todas las sucursales que se abran en el país,con el fin de brindar uniformidad y claridad en los procesos de la organización. Asumir la

estandarización de los procesos como la uniformidad en su ejecución independientemente de

dónde sea ejecutado o por quien lo esté llevando a cabo.

• Restricciones relacionadas con los métodos :

Todas las operaciones que necesiten autorización, deben seguir el conducto regular apropiado y

quedar almacenadas en el archivo que se encuentra en la sede principal de Bogotá.

SEGUNDA PARTE

Criterios de evaluación, impacto y aceptación.

Criterios de Evaluación.

Criticidad de los activos de información:

Aplicación Web, CRM Clientes.




• Los requisitos legales y reglamentarios

• Disponibilidad, confidencialidad e integridad :

Para las operaciones que se manejan, se prioriza la disponibilidad y la integridad.

• Buen nombre y la reputación.

Criterios de Impacto.

• Nivel de clasificación de los activos de información impactados.

ACTIVO IMPORTANCIA

Bases de datos de clientes. ALTAClaves de acceso. ALTAAplicación Web para transacciones. ALTAEquipamiento MEDIA-ALTAServicio de Comunicaciones. MEDIA-ALTAUtilitarios Generales MEDIA

Brechas de Seguridad:

Reparación / ServicioReparación en factoría: Se devuelve al proveedor para su reparación.Mantenimiento.Error del vendedor al enviar.Error del cliente al pedir.Error de entrada. Error en el sistema de proceso de pedidos.Error de envío. Se ha enviado material equivocado.Envío incompleto.

Cantidad equivocada.Envío duplicado.Pedido duplicado por parte del cliente.No pedido por el cliente.Incompleto. Falta un componente o parte.Por defectos o dañadoDañado.No funciona.Defectuoso. No funciona bien.Caducado.Dañado durante el envío. Se reclamará a la compañía de transportes.

Otros.

• Operaciones deterioradas:

Proceso de pagos en línea.

Proceso de consulta de garantía.

• Incumplimiento de los requisitos legales, reglamentarios o contractuales.




Los precios deben mantenerse actualizados en cuanto a tipo de moneda, valor y al realizar una

compra el sistema debe detallar los importes realizados con el fin de evitar que el cliente realice

una compra y ésta le lleve gastos adicionales no especificados;esto afecta negativamente la

imagen de INTEC y uno de sus principales valores que es la Seriedad.

Todos los precios son publicados en pesos Colombianos, incluyen gastos de importación, entrega adomicilio en Departamentos de Valle del Cauca, Cundinamarca y Antioquia( Colombia) e IVA.

PAGOS : Sistema de 12 pagos mensuales se aplica a compras con las tarjetas de crédito AmericanExpress o HSBC y el de 21 pagos solamente para la tarjeta de crédito Master Card, en ambos casossolo se aplican a configuraciones participantes. INTEC no se hace responsable por cargosadicionales por uso de tarjetas o intereses, cargos por mora o penas por caso de retraso deacuerdo a con su contrato con el banco.

PROMOCIONES : Precios promocionales aplican a hasta 3 productos acogidos en la promoción pororden, por cliente y no son validas para distribuidores o revendedores.

• Alteración de planes y fechas límites:

Dado que el proceso de compra de un producto se puede inciar directamente o bajo una

cotización previa, las fechas límites que deben garantizarse son:

-Fecha de envío de mercancía.

Normalmente, el software, los periféricos y los accesorios se entregan en un plazo de 7 días

laborales, después de que el usuario reciba la confirmación del pedido. No obstante, este período

de entrega es sólo un estimado y puede sufrir variaciones, que no deben superar los 15 díashábiles.

Los gastos de envío se incluyen en el precio mostrado en el resumen del carrito de compras y

aparecen de forma detallada en la página del carrito de compras

.-Fecha de envío de cotización.

Una cotización no debe tardar más de 3 días hábiles, debido a que esto puede generar:

1. Inconformidad de clientes.

2. Búsqueda de productos en la competencia.

3. Pérdida de imagen.

4. Variación en precios y promociones.

Alcance y los limites.

• Objetivos estratégicos de negocio, políticas y estrategias de la organización




Objetivos Estratégicos:

o Calidad.o Investigación y desarrolloo Posicionamiento y Rentabilidad.o

Recurso Humano Responsabilidad Socialo Productividad y Tecnología.o Imagen Corporativa.

Principios y Políticas:

o Calidad: Nuestro servicio es prestado por personal altamente motivado capacitadoy responsable de acuerdo a nuestro proceso de selección.

o Sana Competencia: Nuestro reconocimiento en el mercado se fundamenta en unatransparente y sana competencia.

o Atención al cliente: Se fundamenta en una transparente, fluida y adecuada

comunicación.o Recursos humanos: Apoyar las aspiraciones de quienes componen la empresa con

el fin de lograr ciertas metas para el beneficio personal y de la entidad.o Comunicación: Es la base fundamental en las relaciones que se establecen en

nuestra organización.

Estrategiao Selección y capacitación del componente humano de nuestra organización.

o Mantener estándares de calidad en el cumplimiento de los contratos y la atención denuestros clientes.

o Ampliar el cubrimiento de clientes para nuestro portafolio de servicio.o Mejoramiento de la calidad de vida en el trabajo.o Incursionar en el mercado de equipos de cómputo, dando una oferta que se distinga de la

competencia por su calidad seriedad y garantía.

• Procesos del negocio:

PROCESOS DE NEGOCIO

Agregar Producto. Consultar Pedido.

Modificar Producto. Anular Pedido.

Eliminar Producto. Despachar Pedido.

Consultar Producto. Seguimiento de Cliente.

Agregar Cliente. Registrar Queja

Modificar Cliente. Consultar Queja.

Consultar Cliente. Seguimiento de Queja.




Solicitar Pedido Mantener Queja.

• Funciones y Estructura de la organización;

La estructura de INTEC, consiste en una estructura por áreas, donde cada área está bajo la

autoridad de un director de área, responsable de las decisiones estratégicas, administrativas y

operativas con respecto a su área.

Algunas de las áreas más importantes que menciona la compañía son el Área operativa y el Área

de Mercadeo y ventas.

• Requisitos legales, reglamentarios y contractuales aplicables a la organización:

Empleo de facturación con Registro Único Tributario.

Impuesto al Valor agregado a todos los productos, correspondiente al 16% del valor neto de éste.

• Política de Seguridad de la información de la organización

Privacidad y seguridad de los datos

El derecho a la privacidad y a la seguridad es una importante la mayor preocupación degran importancia para INTEC.

Política de privacidad de INTEC

INTEC respeta su privacidad. En lo que respecta a nuestro negocio en todo el mundo,

recopilamos, almacenamos y usamos su información personal para propósitos muyconcretos. La utilizaremos para prestarle asistencia y para mejorar nuestra relación conusted; por ejemplo, para procesar su compra, ofrecerle servicio y asistencia, compartir conusted noticias sobre productos, servicios y la empresa y, además, hacerle ofertascomerciales. No vendemos su información personal, aunque podemos compartirpreferencias agregadas de Internet con anunciantes en los sitios de INTEC.

Para proteger sus datos personales, le proporcionaremos los avisos que sean pertinentes ynos aseguraremos de que disponga de la información adecuada acerca de cómo secomparte su información, en caso de que compartamos sus datos personales fuera de la

familia de empresas de INTEC. Solo compartiremos sus datos con partners quemanifiesten el mismo compromiso que INTEC en cuanto a la protección de su privacidad ysus datos. Póngase en contacto con INTEC si tiene alguna pregunta o duda sobre laprivacidad. También puede solicitarnos consultar los datos personales que nos hayaproporcionado y que los modifiquemos, corrijamos o eliminemos. Nos esforzamos porproteger la seguridad de sus datos personales mediante las medidas y los procesosadecuados.




• Enfoque global

Si, en cualquier momento, la prestación continuada del servicio comprometiera la seguridad delservicio debido a, entre otros, intentos de piratería, ataques de denegación de servicio, bombas decorreo electrónico u otras actividades malintencionadas, ya sea dirigidas a los dominios del clienteo procedentes de estos, el cliente acepta que INTEC o su proveedor suspenda temporalmente laprestación del servicio al cliente. De darse esta situación, INTEC informará inmediatamente alcliente y colaborará con él para resolver tales problemas. INTEC restablecerá el servicio en cuantosea posible.

Activos de información

Sistema de Inventarios : Este sistema da soporte al servicio de consultar un producto

Sistema de Gestión de Clientes (CRM) y Call Center: Mediante el sistema CRM y el callcenter se da soporte a el servicio mantener quejas.

Aplicación WEB: Mediante esta aplicación que permite realizar el seguimiento de un

producto por parte del cliente se le da soporte al servicio de seguimiento de entrega de

pedido.

Cada sucursal tiene implementada una red LAN, un departamento de Ventas y su sistema

de carga y envíos.

• Ubicación de la organización y sus características geográficas

Resumen: Hay 3 ubicaciones en el país, Bogotá ,Cali y Medellín.

INTEC LTDA dispone de un Sistema Integrado de Inventarios que permite consultar la

disponibilidad de productos en todas las sucursales, con el fin de satisfacer la demanda de los

productos.

La oficina principal está ubicada en Bogotá y maneja la Nómina y el Sistema de Atención al Cliente

de toda la empresa.

• Restricciones que afectan a la organización:

Como hasta ahora solo se cuenta con las sucursales de Bogotá, Medellín y Cali, los envíos solocubren los departamentos en los que están ubicadas las sedes, siendo así: Cundinamarca

,Antioquia y Valle del Cauca respectivamente.

Los precios de productos importados varían en relación a la tasa representativa.

• Expectativas de las partes interesadas:




El mercado de INTEC lo componen las medianas y pequeñas empresas y particulares que

requieren productos electrónicos; nuestros clientes confían especialmente en el cumplimiento de

las fechas de entrega de los productos solicitados, la calidad de los mismos y el cumplimiento de la

garantía ofrecida.

• Entorno sociocultural:

Para el macro entorno de INTEC se puede decir que el área de cobertura de los servicios INTEC

Ltda. Abarca las Regiones Andina y Pacífica, atendiendo las necesidades de una región que está en

crecimiento, con gran potencial y que se evoluciona rápidamente a convertirse en un polo de

desarrollo turístico, comercial y tecnológico.

• Interfaces

Sistema de Gestión de Clientes (CRM) y Call Center: Mediante el sistema CRM y el call

center se da soporte a el servicio mantener quejas.

Aplicación WEB: Mediante esta aplicación que permite realizar el seguimiento de unproducto por parte del cliente se le da soporte al servicio de seguimiento de entrega de

pedido.




Proceso Seleccionado:

Solicitar Cotización

taller “ejecución del análisis y evaluación de riesgos” establecimiento del contexto

Documents