ANALISIS ISO 27001.

Actividades

Trabajo: Estudio de la norma ISO 27001

Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.

Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la información según ISO 27001: 2005, así como consulta las normas ISO 27001:2015 y 27002:2015, disponibles en el aula virtual y responde a las siguientes preguntas de forma breve:

1. Establece un objetivo de negocio para el que se sustente la necesidad de realizar un SGSI dentro de una compañía. Contextualizar la actividad (misión, visión) de la compañía para entender su objetivo. El objetivo debe estar suficientemente explicado para justificar la necesidad de realizar un SGSI.

2. Respondiendo a ese objetivo de negocio, establece un posible alcance para vuestro SGSI de forma justificada.

3. De los controles de la ISO 27002:2015 de las categorías: 6. Organización de la seguridad de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos según sean: normativos (N), organizativos (O) o técnicos (T) justificándolo muy brevemente, teniendo en cuenta que pueden ser a la vez de más de un tipo.

Ej para la categoría 5, el control: 5.1.1 Políticas para la seguridad de la información: La respuesta sería [N], [O].

[N]: Se requiere un documento normativo que lo establezca.

[O]: En la guía de implantación se indica que deben asignarse las responsabilidades generales.

DESARROLLO:

1. Establece un objetivo de negocio para el que se sustente la necesidad de realizar un SGSI dentro de una compañía. Contextualizar la actividad (misión, visión) de la compañía para entender su objetivo. El objetivo debe estar suficientemente explicado para justificar la necesidad de realizar un SGSI.

La Institución que utilizaremos es:

“Cooperativa de Ahorro y Crédito Cámara de Comercio de Ambato Ltda.”

Giro del Negocio: Intermediación Financiera dirigida a la ciudadanía de las Provincias de Tungurahua, Pichincha, Bolívar, Guayas, Pastaza, Cotopaxi. Ofreciendo Inversiones o Pólizas, Prestamos o Créditos, Ahorro, Transferencias, Pagos de servicios, Cajeros Automáticos ATM, Banca Móvil/Banca en Línea.

Ubicación: Ambato – Ecuador – Sudamérica

Trabajadores: 130

Socios / Clientes: 96.000

Agencias / Sucursales: 11

Matriz

Baños

Pelileo

Píllaro

Guayaquil

Guaranda

San Rafael

Latacunga

Centro financiero

Quito norte

Puyo

INSTITUCIONAL:

MISION:

Brindar productos y servicios financieros con la más alta calidad que promuevan el desarrollo socioeconómico de los socios, contando con el recurso humano capaz y motivado para construir una organización más sólida, rentable y segura, siendo una Entidad que profundiza el proceso de constitución de un sistema económico, social y solidario, en el que los seres humanos son el fin.

VISION:

Ser una Cooperativa innovadora y líder en productos y servicios financieros, sustentados en la prevalencia de las personas por sobre el capital, en el alto desempeño del recurso humano y el uso de tecnología de vanguardia.

VALORES:

1. Vocación de servicio: actitud genuina de apoyo a los socios

2. Compromiso: identificación y dedicación

3. Integridad: honestidad y transparencia

4. Trabajo en equipo: sinergia y dirección aliadas

5. Innovación: creatividad, romper paradigmas

6. Alto desempeño: eficiencia y eficacia

7. Equidad: igualdad y justicia

8. Inclusión: integración a todas las personas en el sistema financiero

OBJETIVOS ESTRATEGICOS:

1. Lograr un crecimiento sostenido de la Cooperativa

2. Capitalizar a los pequeños y medianos microempresarios

3. Incrementar el impacto social de la Cooperativa

4. Optimizar las operaciones en forma sostenida

5. Mejorar la cultura del aprendizaje

OBJETIVOS ESPECIFICOS:

Financiera

Lograr un crecimiento sostenido de la Cooperativa

Incrementar la rentabilidad

Apalancar en forma sostenida

Mantener niveles controlados de morosidad

Cliente

Capitalizar a los pequeños y medianos microempresarios

Incrementar el acceso al crédito y el ahorro brindado por la cooperativa

Complementar las acciones del sistema financiero

Incrementar el impacto social de la Cooperativa

Aumentar las colocaciones de productos financieros de alto impacto

Generar un impacto positivo e los socios.

Procesos Internos

Optimizar las operaciones en forma sostenida

Incrementar una cultura de transparencia y riesgos

Optimizar los tiempos en otorgar un crédito

Aprendizaje e Innovación

Mejorar la cultura del aprendizaje

Modelo de desarrollo humano

DEPARTAMENTAL (Departamento de Tecnología de la Información):

MISION:

Garantizar seguridad, disponibilidad, integridad y confidencialidad de la información, transacciones, comunicaciones y demás servicios que provee el departamento de T.I. A fin de satisfacer las necesidades y expectativas de la institución.

VISION:

Ser un departamento moderno con personal altamente capacitado, con recursos tecnológicos de última generación que le permita a la cooperativa alcanzar sus objetivos de manera eficiente y oportuna.

OJETIVO DEPARTAMENTAL:

Implementar procedimientos, controles y su seguimiento, con el propósito de salvaguardar los datos, operaciones de proceso y controlar salida de información con la finalidad de preservar la integridad de la información procesada por la Institución y que ésta se encuentre disponible para el usuario.

Nos centraremos en el departamento de Tecnología de la Información, en el servicio MESA DE AYUDA o HELP DESK.

2. Respondiendo a ese objetivo de negocio, establece un posible alcance para vuestro SGSI de forma justificada.

Implementación de un SGSI aplicado al servicio de Mesa de Ayuda o Help Desk a cargo del Departamento de Tecnología de la Información de la Cooperativa de Ahorro y Crédito Cámara de Comercio de Ambato Ltda., con el fin de mejorar los tiempos de respuesta ante problemas y dificultades que presenten los usuarios que utilicen recursos de Tecnologías de información de la institución, con el fin de que el usuario brinde un mejor servicio al cliente externo, renovando la experiencia del mismo con la institución. Basado en los siguientes controles:

A.12 Seguridad de las operaciones

A.12.1 Procedimientos y responsabilidades operacionales

Objetivo: Asegurar el funcionamiento correcto y seguro de las instalaciones de tratamiento de la información.

A.12.1.1 Documentación de procedimientos de la operación

Control

Deben documentarse y mantenerse procedimientos de operación y ponerse a disposición de todos los usuarios que los necesiten.

A.12.1.2 Gestión de cambios

Control

Los cambios en la organización, los procesos de negocio, instalaciones de tratamiento de la información y los sistemas que afectan a la seguridad de información deben ser controlados.

A.12.1.3 Gestión de capacidades

Control

Se debe supervisar y ajustar la utilización de los recursos, así como realizar proyecciones de los requisitos futuros de capacidad, para garantizar el rendimiento requerido del sistema.

A.12.1.4 Separación de los recursos de desarrollo, prueba y operación

Control

Deben separarse los recursos de desarrollo, pruebas y operación, para reducir los riesgos de acceso no autorizado o los cambios del sistema en producción.

JUSTIFICACION:

La sección de Mesa de Ayuda o Help Desk del departamento de Tecnología de la Información es la encargada de solucionar todos los inconvenientes relacionados con el aspecto informático, presentados en el giro del negocio, al momento recibe pedidos y solicitudes de manera informal, ya sea por llamada telefónica, llamada ip, mensajes de texto, correo, presencialmente, por medio de solicitud por escrito y de forma oral, lo que dificulta la solución y el seguimiento de incidencias y problemas, para lo cual se necesita la aplicación de un SGSI basado en ITIL y la norma ISO 27001, para mantener los registros, monitorear incidentes, encontrar los problemas que los originan y solucionar los mismos de manera efectiva y que se pueda contar con una base de datos de solución de problemas, siguiendo un proceso formal, el mismo que quedara documentado para futuras soluciones, lo que conlleva a la optimización del tiempo y recursos utilizados en esta operación.

3. De los controles de la ISO 27002:2015 de las categorías: 6. Organización de la seguridad de la información, 8. Gestión

...