Implementación de la Seguridad de Información en el proceso de atención de reclamos
Dante IparraguirreTrabajo26 de Abril de 2019
16.729 Palabras (67 Páginas)107 Visitas
UNIVERSIDAD NACIONAL DE INGENIERIA
FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS
[pic 1]
SEGURIDAD INFORMATICA
ENTREGABLE FINAL
PROFESOR: Carlos Trigo Perez
FECHA: 21 de junio del 2018
LIMA - PERÚ
Contenido
1. ACTA DE CONSTITUCIÓN 4
2. MAPEO DE PROCESOS 6
2.1. GESTIÓN DE QUEJAS Y RECLAMOS 6
3. INFORME DE ENTREVISTA 7
3.1. OBJETIVO DE LA ENTREVISTA 7
3.2. HALLAZGOS DE LA ENTREVISTA 7
3.3. CONCLUSIONES Y RECOMENDACIONES 7
3.4. ANEXO: ENTREVISTA 7
Entrevista 7
4. INFORME DE NECESIDADES DE SEGURIDAD 9
4.1. OBJETIVOS 9
4.2. Identificación de las necesidades del negocio 9
4.3. Amenazas a la seguridad de la información 11
4.4. Identificación de Necesidades de Seguridad 13
5. INVENTARIO DE ACTIVOS 14
5.1. IDENTIFICACIÓN DE COMPONENTES 14
a. PERSONAS 14
b. PROCEDIMIENTOS 16
c. DATOS 17
d. HARDWARE 18
e. SOFTWARE 19
CATEGORIZACIÓN DE COMPONENTES 20
6. IDENTIFICACION DE AMENAZAS 24
7. IDENTIFICACION DE VULNERABILIDADES 25
7.1. Personas 25
7.2. Procedimientos 26
7.3. Hardware 29
8. POLITICAS DE SEGURIDAD 38
8.1. Introducción 38
8.2. Alcance 38
8.3. Terminología 38
8.4. Lineamiento General de la Politica de Seguridad 39
8.4.1. Políticas Generales 40
8.4.2. Gobierno de Seguridad de la Información 40
8.5. Gestion de Activos de Información 43
8.6. Gestión de Seguridad del Personal 44
8.7. Seguridad Física y Perimetral 45
8.8. Control de Accesos 45
8.9. Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. 46
8.10. Gestión de Comunicaciones y Operaciones 46
8.11. Gestión de Incidentes de Seguridad de la Información 46
8.12. Gestión de la Continuidad de Negocio 46
8.13. Cumplimiento 47
9. Plan de Contingencia 48
ACTA DE CONSTITUCIÓN
NOMBRE DEL PROYECTO | SIGLAS DEL PROYECTO |
Implementación de la Seguridad de Información en el proceso de atención de reclamos | SSI – PAR |
NOMBRE DE LA INSTITUCIÓN Y NECESIDAD DEL PROYECTO |
Área de Post Venta del Banco de Crédito BCP. |
EQUIPO QUE EJECUTARÁ EL PROYECTO |
El equipo está conformado por:
|
DESCRIPCIÓN DEL PRODUCTO O SERVICIO DEL PROYECTO |
Elaborar un plan de seguridad de información en el proceso de Atención de Reclamos en el área de Post Venta del BCP |
OBJETIVOS DEL PROYECTO | ||
CONCEPTO | OBJETIVOS | CRITERIOS DE ÉXITO |
Alcance | Asegurar el uso y transferencia de información confidencial, así como diseñar planes de acción ante riesgos identificados. | Cantidad de escenarios con amenaza reales |
Tiempo | Tener el diseño del plan en un tiempo de 2 meses y la implementación en la organización en 6 meses | Entrega a tiempo del plan de seguridad de la información. |
Costo | Minimizar costos fijos de protección perimetral de información confidencial. | No exceder el presupuesto proyectados. |
ALCANCE Y EXTENSIÓN DEL PROYECTO | |
ETAPAS | ENTREGABLES PRINCIPALES |
Gestión del Proyecto |
|
Investigación |
|
Análisis |
|
Diseño | LÓGICO
FÍSICO
|
HITOS DEL PROYECTO | |
HITO | FECHA |
01 Acta y Cronograma | 12/04/2018 |
02 Mapeo de Proceso + Informe de Necesidad + Informe de Entrevistas | 26/04/2018 |
03 Inventario de activos | 10/05/2018 |
04 Informe de amenazas + Informe de vulnerabilidades | 31/05/2018 |
05 Informe de control de riesgos / Políticas de seguridad | 14/06/2018 |
06 Planes de contingencia | 21/06/2018 |
07 Diseño Físico y Cierre de proyecto | 28/06/2018 |
RESTRICCIONES DEL PROYECTO | |
TIEMPO | Desde 09 de Abril del 2018 al 28 de junio del 2018 |
OTRAS RESTRICCIONES | 2 horas/día por integrante |
MAPEO DE PROCESOS
GESTIÓN DE QUEJAS Y RECLAMOS
[pic 2]
INFORME DE ENTREVISTA
OBJETIVO DE LA ENTREVISTA
Identificar las necesidades de seguridad de información que existe en el área de Post Venta.
HALLAZGOS DE LA ENTREVISTA
- Los usuarios del sistema solo pueden leer y agregar nuevas ocurrencias, esta información solo debe ser accedida cuando un cliente solicite la atención para una queja y/o reclamo.
- Las operaciones (lectura, escritura, actualización, etc) realizadas sobre estos datos se encuentran guardadas en un historial.
- El backup de los datos se hace diariamente, existen problemas con esta operación.
- Debido a que se manejan datos privados de clientes, se protege la fuga de información a través de un antivirus.
CONCLUSIONES Y RECOMENDACIONES
- El acceso a la información debe ser personal, es decir un usuario del sistema no podría buscar datos de clientes, solo seria posible cuando un cliente se pone en contacto con el área y provee información personal(fecha de nacimiento, DNI, etc) para validar que sea efectivamente el dueño de la información.
- Se sugiere que el área adopte una política de cambio de contraseñas, estas deben ser aleatorias y cambiadas periódicamente, y se adopte un autenticación de dos pasos a través de un token,
- El backup debe ser una operación mas confiable, si la solución actual es intermitente y tiene evidencia de haber fallado se debe evaluar el uso de otra solución.
- El control de la fuga de información no solo debe ser lógica sino también física, por ejemplo: controlar el uso de los puertos usb, las computadoras personales no deberían salir de la oficina, gestión de equipo obsoleto que pueda contener datos del negocio.
ANEXO: ENTREVISTA
En esta sección se realizó una entrevista al Subgerente de Post Venta - Atención de Reclamos con la finalidad de adquirir conocimientos e información acerca de los movimientos que se realiza en dicha área, sobre las medidas de seguridad que toma y las actualizaciones que se piensan en realizar en un futuro no muy lejano.
...