Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto
-
Upload
karen-gelasio -
Category
Documents
-
view
50 -
download
0
Transcript of Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 1/14
Trabajo Práctico #5Gobierno de Tecnología y Auditoría de los Sistemas de Información.
6/22/2011Karen Yineth Gelasio Estupiñán
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 2/14
2KAREN YINETH GELASIO ESTUPIÑÁN
Ejercicios Prácticos de GTIySI
(EJ:5)
Taller “Ejecución del análisis y evaluación de riesgos”
Establecimiento del contexto
Propósito:
Ayudarle a entender como determinar el contexto para la gestión de los riesgos de seguridad de
la información.
Primera Parte
Instrucciones:
1. Identifique una organización de su elección. Si desea puede utilizar su propia
organización pero no incluya ningún dato que pueda identificar algún detalle de la compañía que
viole su seguridad. Si no se siente cómodo usando su organización, usted puede idear una
propia, por ejemplo un banco, un proveedor de Internet, una empresa de comercio electrónico
o un proveedor de seguridad para un aeropuerto.
2. Considere que productos o servicios ofrece la organización
3. Identifique el propósito de la empresa, su negocio, misión, valores, estructura,
estrategia y restricciones.
Segunda Parte
Instrucciones:
1. Para la organización seleccionada establezca los criterios de evaluación, impacto y aceptación.
2. Redacte el alcance y los limites.
3. Seleccione un proceso
PRIMERA PARTE
Organización:
INTEC se dedica a la venta de productos electrónicos y actualmente tiene varios sistemas de
información que apoyan sus procesos de negocio.
La compañía tiene tres sedes ubicadas en Bogotá. Sin embargo en el plan estratégico de la
compañía se tiene como meta la apertura de dos sedes en Medellín y una en Cali.
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 3/14
3KAREN YINETH GELASIO ESTUPIÑÁN
Actualmente la compañía tiene los siguientes sistemas de información que apoyan las áreas
operativas y de mercadeo y ventas:
- Inventario
- Facturación
- Ventas
- Gestión de clientes (CRM)
El departamento de TI es el encargado de mantener los sistemas mencionados. Este
departamento desarrolla los sistemas de backend siguiendo buenas prácticas de
arquitectura: sistemas en capa, distribuidos y en algunos casos web-enabled. Sin embargo la
cantidad de cambios en el sector y los nuevos requerimientos de negocio hace que dar una
respuesta oportuna sea cada vez más difícil.
Según ISO 27005 el estudio de la organización, implica conocer los elementos característicos quedefinen la identidad de una organización.
Productos o Servicios Ofrecidos:
INTEC presta el servicio de venta de productos electrónicos, y permite llevar un seguimiento de los
pedidos que se realizan.
Proveer nuevos canales de distribución, pagos y comunicación con asociados y proveedores de
productos electrónicos.
Negocio:
INTEC se dedica a la venta de productos electrónicos y actualmente tiene varios sistemas de
información que apoyan sus procesos de negocio
INTEC emplea un portal integrado que facilita a los usuarios solicitar cotizaciones, realizar pedidos
y compras, pagar sus facturas, hacer un seguimiento de pedidos y tener un sistema de quejas y
reclamos que complementa el call center actual.
Misión:
Brindar servicios de venta de productos electrónicos con la más alta calidad del mercado, precioscompetitivos y calidad que superen las expectativas de los clientes proporcionando servicios de
venta, distribución y comunicación a través de una red de soporte a escala nacional en continua
expansión.
Visión
Para el año 2015 seremos una empresa con personal certificado, con capacidad de cubrimiento y
disponibilidad de atención a nivel nacionall, con un amplio portafolio de productos electrónicos,
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 4/14
4KAREN YINETH GELASIO ESTUPIÑÁN
comprometido con el cumplimiento de las condiciones contractuales de calidad y exigencia de
satisfacción de nuestros clientes.
Valores:
Confianza ,responsabilidad, cumplimiento, satisfacción de las necesidades del cliente, seriedad y
compromiso,calidad,sana competencia y comunicación.
Estructura:
La compañía INTEC tiene tres sedes, ubicadas en Bogotá, y próximamente iniciará la apertura de
dos sedes en Medellín y una en Cali; la sede central está la ubicada en Bogotá, sin embargo la
organización de las otras sucursales será una réplica de la estructura adoptada en la sede principal.
Un modelo de conexión de nodos que sugiero es:
La estructura de INTEC, consiste en una estructura por áreas, donde cada área está bajo la
autoridad de un director de área, responsable de las decisiones estratégicas, administrativas y
operativas con respecto a su área.
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 5/14
5KAREN YINETH GELASIO ESTUPIÑÁN
Algunas de las áreas más importantes que menciona la compañía son:
--Área Operativa
-Función:
El área operativa se enfoca en establecer los parámetros tácticos de todo el proceso deIntercomunicación.
Esta área toma en cuenta todo lo relacionado con el funcionamiento de la empresa. Es la
operación del negocio en su sentido más general. Desde la contratación del personal hasta la
compra de insumos, el pago del personal, la firma de los cheques, verificar que el personal cumpla
con su horario, la limpieza del local, el pago a los proveedores, el control de los inventarios de
insumos y de producción, la gestión del negocio son parte de esta área. Por lo general, es el
emprendedor o propietario quien se encargará de esta área en su fase inicial.
-Importancia:
Concentra su interés en establecer los planes de comunicación en cuanto a : Plan de Fases
Operacionales y Plan de Objetivos, Estrategias y Acciones.
Es de vital importancia pues se encarga de materializar y definir la estrategia de la organización.
-Área de Mercadeo y Ventas.
-Función:
En esta área se detallarán las funciones, capacidades y cualidades de quien será el responsable y el
personal involucrado en la estrategia de mercadeo del negocio, es decir, la publicidad y la marcade los productos ofrecidos por INTEC, la distribución del mismo y el punto de venta, la promoción
y la labor de ventas.
-Importancia:
De la apropiada difusión de la información depende gran porcentaje de los clientes de INTEC,
debido a que el área de mercadeo y ventas tiene que realizar actividades que inciten a los clientes
a incursionar en la adquisición de sus productos y aquellos que ya están vinculados, creen un lazo
de identificación y fidelidad con la organización.
Estrategia:
Mantenernos como una empresa confiable y segura.
Ofrecer a nuestros usuarios lo último en avances tecnológicos.
Disponer de múltiples sedes a nivel nacional, que abarquen el territorio y lleven la imagen de
la compañía.
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 6/14
6KAREN YINETH GELASIO ESTUPIÑÁN
Convertirnos en una empresa líder del mercado, caracterizada por la seriedad y compromiso
al brindar productos que satisfagan a nuestros clientes con altos estándares de calidad y
tiempos de entrega óptimos.
Consolidar el sentido de pertenencia en nuestros empleados para lograr su máximo
compromiso y desempeño.
Mantener contacto a nivel internacional a nivel de estándares, normativas y deorganizaciones similares
Restricciones:
• Restricciones de recursos :
Se dispone de 4 servidores, dos ubicados en la sede principal de Bogotá, y dos para ser ubicados
en la sede de Cali y una de las sedes de Medellín.
• Restricciones de tiempo:
Todas las áreas trabajan de Lunes a Viernes de 7:00AM a 5:00 PM, exceptuando el área de
soporte que maneja turnos y cubre 7x24x365.
• Restricciones que se originan en el calendario de la organización :
Feriados de Colombia.
• Restricciones financieras:
Se establecen luego del cierre contable de marzo.
• Restricciones de presupuesto :
Al igual que las restricciones financieras, dependen del cierre contable y de las solicitudes de
adquisiciones que se presenten.
• Restricciones técnicas:
El framework Symfony se usará para el desarrollo de las aplicaciones web que sean
empleadas por INTEC, dado que incluyen una gran variedad de componentes de software
reutilizables que pueden ser utilizados para el desarrollo de aplicaciones web mejores y más
fáciles de mantener.
• Restricciones operativas:
En el departamento de TI se desarrollan los sistemas de backend siguiendo buenas prácticas
de arquitectura: sistemas en capa, distribuidos y en algunos casos web-enabled.
• Restricciones culturales: El calendario adoptado es el gregoriano, deben cubrirse las
vacaciones y la salud.
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 7/14
7KAREN YINETH GELASIO ESTUPIÑÁN
• Restricciones éticas:
Ninguna.
• Restricciones ambientales:
Ninguna
• Restricciones legales:
Ninguna.
• Restricciones relacionadas con el personal :
Algunas áreas de la compañía requieren autorización para entrar.
• Restricciones para la integración de controles nuevos y existentes.
Información no disponible.
• Restricciones de naturaleza política :
Cambios de facturación, registro de IVA( Impuesto al Valor Agregado).
• Restricciones que se originan en el clima político y económico :
No se evidencian restricciones de éste tipo.
• Restricciones de naturaleza estratégica:
Adoptar el modelo operativo de estandarización en todas las sucursales que se abran en el país,con el fin de brindar uniformidad y claridad en los procesos de la organización. Asumir la
estandarización de los procesos como la uniformidad en su ejecución independientemente de
dónde sea ejecutado o por quien lo esté llevando a cabo.
• Restricciones relacionadas con los métodos :
Todas las operaciones que necesiten autorización, deben seguir el conducto regular apropiado y
quedar almacenadas en el archivo que se encuentra en la sede principal de Bogotá.
SEGUNDA PARTE
Criterios de evaluación, impacto y aceptación.
Criterios de Evaluación.
Criticidad de los activos de información:
Aplicación Web, CRM Clientes.
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 8/14
8KAREN YINETH GELASIO ESTUPIÑÁN
• Los requisitos legales y reglamentarios
• Disponibilidad, confidencialidad e integridad :
Para las operaciones que se manejan, se prioriza la disponibilidad y la integridad.
• Buen nombre y la reputación.
Criterios de Impacto.
• Nivel de clasificación de los activos de información impactados.
ACTIVO IMPORTANCIA
Bases de datos de clientes. ALTAClaves de acceso. ALTAAplicación Web para transacciones. ALTAEquipamiento MEDIA-ALTAServicio de Comunicaciones. MEDIA-ALTAUtilitarios Generales MEDIA
Brechas de Seguridad:
Reparación / ServicioReparación en factoría: Se devuelve al proveedor para su reparación.Mantenimiento.Error del vendedor al enviar.Error del cliente al pedir.Error de entrada. Error en el sistema de proceso de pedidos.Error de envío. Se ha enviado material equivocado.Envío incompleto.
Cantidad equivocada.Envío duplicado.Pedido duplicado por parte del cliente.No pedido por el cliente.Incompleto. Falta un componente o parte.Por defectos o dañadoDañado.No funciona.Defectuoso. No funciona bien.Caducado.Dañado durante el envío. Se reclamará a la compañía de transportes.
Otros.
• Operaciones deterioradas:
Proceso de pagos en línea.
Proceso de consulta de garantía.
• Incumplimiento de los requisitos legales, reglamentarios o contractuales.
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 9/14
9KAREN YINETH GELASIO ESTUPIÑÁN
Los precios deben mantenerse actualizados en cuanto a tipo de moneda, valor y al realizar una
compra el sistema debe detallar los importes realizados con el fin de evitar que el cliente realice
una compra y ésta le lleve gastos adicionales no especificados;esto afecta negativamente la
imagen de INTEC y uno de sus principales valores que es la Seriedad.
Todos los precios son publicados en pesos Colombianos, incluyen gastos de importación, entrega adomicilio en Departamentos de Valle del Cauca, Cundinamarca y Antioquia( Colombia) e IVA.
PAGOS : Sistema de 12 pagos mensuales se aplica a compras con las tarjetas de crédito AmericanExpress o HSBC y el de 21 pagos solamente para la tarjeta de crédito Master Card, en ambos casossolo se aplican a configuraciones participantes. INTEC no se hace responsable por cargosadicionales por uso de tarjetas o intereses, cargos por mora o penas por caso de retraso deacuerdo a con su contrato con el banco.
PROMOCIONES : Precios promocionales aplican a hasta 3 productos acogidos en la promoción pororden, por cliente y no son validas para distribuidores o revendedores.
• Alteración de planes y fechas límites:
Dado que el proceso de compra de un producto se puede inciar directamente o bajo una
cotización previa, las fechas límites que deben garantizarse son:
-Fecha de envío de mercancía.
Normalmente, el software, los periféricos y los accesorios se entregan en un plazo de 7 días
laborales, después de que el usuario reciba la confirmación del pedido. No obstante, este período
de entrega es sólo un estimado y puede sufrir variaciones, que no deben superar los 15 díashábiles.
Los gastos de envío se incluyen en el precio mostrado en el resumen del carrito de compras y
aparecen de forma detallada en la página del carrito de compras
.-Fecha de envío de cotización.
Una cotización no debe tardar más de 3 días hábiles, debido a que esto puede generar:
1. Inconformidad de clientes.
2. Búsqueda de productos en la competencia.
3. Pérdida de imagen.
4. Variación en precios y promociones.
Alcance y los limites.
• Objetivos estratégicos de negocio, políticas y estrategias de la organización
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 10/14
10KAREN YINETH GELASIO ESTUPIÑÁN
Objetivos Estratégicos:
o Calidad.o Investigación y desarrolloo Posicionamiento y Rentabilidad.o
Recurso Humano Responsabilidad Socialo Productividad y Tecnología.o Imagen Corporativa.
Principios y Políticas:
o Calidad: Nuestro servicio es prestado por personal altamente motivado capacitadoy responsable de acuerdo a nuestro proceso de selección.
o Sana Competencia: Nuestro reconocimiento en el mercado se fundamenta en unatransparente y sana competencia.
o Atención al cliente: Se fundamenta en una transparente, fluida y adecuada
comunicación.o Recursos humanos: Apoyar las aspiraciones de quienes componen la empresa con
el fin de lograr ciertas metas para el beneficio personal y de la entidad.o Comunicación: Es la base fundamental en las relaciones que se establecen en
nuestra organización.
Estrategiao Selección y capacitación del componente humano de nuestra organización.
o Mantener estándares de calidad en el cumplimiento de los contratos y la atención denuestros clientes.
o Ampliar el cubrimiento de clientes para nuestro portafolio de servicio.o Mejoramiento de la calidad de vida en el trabajo.o Incursionar en el mercado de equipos de cómputo, dando una oferta que se distinga de la
competencia por su calidad seriedad y garantía.
• Procesos del negocio:
PROCESOS DE NEGOCIO
Agregar Producto. Consultar Pedido.
Modificar Producto. Anular Pedido.
Eliminar Producto. Despachar Pedido.
Consultar Producto. Seguimiento de Cliente.
Agregar Cliente. Registrar Queja
Modificar Cliente. Consultar Queja.
Consultar Cliente. Seguimiento de Queja.
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 11/14
11KAREN YINETH GELASIO ESTUPIÑÁN
Solicitar Pedido Mantener Queja.
• Funciones y Estructura de la organización;
La estructura de INTEC, consiste en una estructura por áreas, donde cada área está bajo la
autoridad de un director de área, responsable de las decisiones estratégicas, administrativas y
operativas con respecto a su área.
Algunas de las áreas más importantes que menciona la compañía son el Área operativa y el Área
de Mercadeo y ventas.
• Requisitos legales, reglamentarios y contractuales aplicables a la organización:
Empleo de facturación con Registro Único Tributario.
Impuesto al Valor agregado a todos los productos, correspondiente al 16% del valor neto de éste.
• Política de Seguridad de la información de la organización
Privacidad y seguridad de los datos
El derecho a la privacidad y a la seguridad es una importante la mayor preocupación degran importancia para INTEC.
Política de privacidad de INTEC
INTEC respeta su privacidad. En lo que respecta a nuestro negocio en todo el mundo,
recopilamos, almacenamos y usamos su información personal para propósitos muyconcretos. La utilizaremos para prestarle asistencia y para mejorar nuestra relación conusted; por ejemplo, para procesar su compra, ofrecerle servicio y asistencia, compartir conusted noticias sobre productos, servicios y la empresa y, además, hacerle ofertascomerciales. No vendemos su información personal, aunque podemos compartirpreferencias agregadas de Internet con anunciantes en los sitios de INTEC.
Para proteger sus datos personales, le proporcionaremos los avisos que sean pertinentes ynos aseguraremos de que disponga de la información adecuada acerca de cómo secomparte su información, en caso de que compartamos sus datos personales fuera de la
familia de empresas de INTEC. Solo compartiremos sus datos con partners quemanifiesten el mismo compromiso que INTEC en cuanto a la protección de su privacidad ysus datos. Póngase en contacto con INTEC si tiene alguna pregunta o duda sobre laprivacidad. También puede solicitarnos consultar los datos personales que nos hayaproporcionado y que los modifiquemos, corrijamos o eliminemos. Nos esforzamos porproteger la seguridad de sus datos personales mediante las medidas y los procesosadecuados.
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 12/14
12KAREN YINETH GELASIO ESTUPIÑÁN
• Enfoque global
Si, en cualquier momento, la prestación continuada del servicio comprometiera la seguridad delservicio debido a, entre otros, intentos de piratería, ataques de denegación de servicio, bombas decorreo electrónico u otras actividades malintencionadas, ya sea dirigidas a los dominios del clienteo procedentes de estos, el cliente acepta que INTEC o su proveedor suspenda temporalmente laprestación del servicio al cliente. De darse esta situación, INTEC informará inmediatamente alcliente y colaborará con él para resolver tales problemas. INTEC restablecerá el servicio en cuantosea posible.
Activos de información
Sistema de Inventarios : Este sistema da soporte al servicio de consultar un producto
Sistema de Gestión de Clientes (CRM) y Call Center: Mediante el sistema CRM y el callcenter se da soporte a el servicio mantener quejas.
Aplicación WEB: Mediante esta aplicación que permite realizar el seguimiento de un
producto por parte del cliente se le da soporte al servicio de seguimiento de entrega de
pedido.
Cada sucursal tiene implementada una red LAN, un departamento de Ventas y su sistema
de carga y envíos.
• Ubicación de la organización y sus características geográficas
Resumen: Hay 3 ubicaciones en el país, Bogotá ,Cali y Medellín.
INTEC LTDA dispone de un Sistema Integrado de Inventarios que permite consultar la
disponibilidad de productos en todas las sucursales, con el fin de satisfacer la demanda de los
productos.
La oficina principal está ubicada en Bogotá y maneja la Nómina y el Sistema de Atención al Cliente
de toda la empresa.
• Restricciones que afectan a la organización:
Como hasta ahora solo se cuenta con las sucursales de Bogotá, Medellín y Cali, los envíos solocubren los departamentos en los que están ubicadas las sedes, siendo así: Cundinamarca
,Antioquia y Valle del Cauca respectivamente.
Los precios de productos importados varían en relación a la tasa representativa.
• Expectativas de las partes interesadas:
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 13/14
13KAREN YINETH GELASIO ESTUPIÑÁN
El mercado de INTEC lo componen las medianas y pequeñas empresas y particulares que
requieren productos electrónicos; nuestros clientes confían especialmente en el cumplimiento de
las fechas de entrega de los productos solicitados, la calidad de los mismos y el cumplimiento de la
garantía ofrecida.
• Entorno sociocultural:
Para el macro entorno de INTEC se puede decir que el área de cobertura de los servicios INTEC
Ltda. Abarca las Regiones Andina y Pacífica, atendiendo las necesidades de una región que está en
crecimiento, con gran potencial y que se evoluciona rápidamente a convertirse en un polo de
desarrollo turístico, comercial y tecnológico.
• Interfaces
Sistema de Gestión de Clientes (CRM) y Call Center: Mediante el sistema CRM y el call
center se da soporte a el servicio mantener quejas.
Aplicación WEB: Mediante esta aplicación que permite realizar el seguimiento de unproducto por parte del cliente se le da soporte al servicio de seguimiento de entrega de
pedido.
5/9/2018 Taller “Ejecución del análisis y evaluación de riesgos” Establecimiento del contexto - slidepdf.com
http://slidepdf.com/reader/full/taller-ejecucion-del-analisis-y-evaluacion-de-riesgos-establecimiento-del-contexto 14/14
14KAREN YINETH GELASIO ESTUPIÑÁN
Proceso Seleccionado:
Solicitar Cotización