Vous êtes sur la page 1sur 58

VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE

LA INFORMACIÓN PARA LOS PROCESOS INCLUIDOS EN EL ALCANCE DEL


SGSI DEL CLIENTE TGE DE LA EMPRESA ASSURANCE CONTROLTECH

DIANA FERNANDA JARA PÉREZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS


FACULTAD DE INGENIERÍA
INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
2017

1
VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE
LA INFORMACIÓN PARA LOS PROCESOS INCLUIDOS EN EL ALCANCE DEL
SGSI DEL CLIENTE TGE DE LA EMPRESA ASSURANCE CONTROLTECH

DIANA FERNANDA JARA PÉREZ

Proyecto de pasantía para optar al


título de Ingeniera de Sistemas

Director Interno
OCTAVIO JOSÉ SALCEDO PARRA
Doctor en Telecomunicaciones

Director Externo
CARLOS ALBERTO ENRÍQUEZ ARCOS
Magíster en Arquitecturas de Tecnologías de la Información

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS


FACULTAD DE INGENIERÍA
INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
2017

2
CONTENIDO

pág.

INTRODUCCIÓN .......................................................................................................................... 8
1. PLANTEAMENTO DEL PROBLEMA ................................................................................. 9
2. OBJETIVOS ......................................................................................................................... 10
2.1. OBJETIVO GENERAL .................................................................................................... 10
2.2. OBJETIVOS ESPECÍFICOS ............................................................................................ 10
3. ENTREGABLES DEL PROYECTO.................................................................................... 11
4. MARCO REFERENCIAL .................................................................................................... 12
4.1. MARCO HISTÓRICO ...................................................................................................... 12
4.1.1. Visión ............................................................................................................................ 12
4.1.2. Misión ........................................................................................................................... 12
4.2. MARCO TEÓRICO .......................................................................................................... 13
4.2.1. Términos y definiciones ................................................................................................ 13
4.2.2. La Seguridad de la Información .................................................................................... 15
4.2.2.1. Confidencialidad: ...................................................................................................... 16
4.2.2.2. Integridad: ................................................................................................................. 16
4.2.2.3. Disponibilidad: .......................................................................................................... 16
4.2.3. NORMA ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la Información –
Requisitos ...................................................................................................................................... 16
4.2.4. NORMA ISO/IEC 27002:2013 Código para la práctica de la gestión de la seguridad de
la información. .............................................................................................................................. 17
4.2.5. NORMA ISO 31000:2009 Gestión de Riesgos ............................................................. 18
4.2.5.1. Comunicación y consulta .......................................................................................... 19
4.2.5.2. Establecer el Contexto ............................................................................................... 19
4.2.5.3. Valoración del Riesgo ............................................................................................... 20
4.2.5.4. Identificación de los Riesgos ..................................................................................... 20
4.2.5.5. Análisis de los Riesgos .............................................................................................. 20
4.2.5.6. Evaluación de los Riesgos ......................................................................................... 20
4.2.5.7. Tratamiento de los Riesgos ....................................................................................... 21

3
4.2.5.8. Monitoreo y Revisión ................................................................................................ 22
4.2.6. Metodología de Gestión de Riesgos de Seguridad de la Información ........................... 22
5. VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN........................................................................................................................... 24
5.1. PROCESO CALL CENTER ............................................................................................. 24
5.2. PROCESO ENTREGA PERSONALIZADA ................................................................... 25
5.3. METODOLOGÍA DE GESTIÓN DE RIESGOS – DESARROLLO DE LAS FASES ... 26
5.3.1. Fase 1 - Establecimiento del Contexto de la organización ............................................ 26
5.3.2. Fase 2 – Identificar el Riesgo ........................................................................................ 27
5.3.2.1. Identificación y Clasificación de Activos de Información ........................................ 27
5.3.2.2. Identificación y Clasificación de Activos de Información Call Center ..................... 31
5.3.2.3. Identificación y Clasificación de Activos de Información Entrega Personalizada ... 35
5.3.2.4. Identificación de Riesgos de Seguridad de la Información ....................................... 40
5.3.2.5. Identificación de Riesgos de Seguridad de la Información Call Center .................... 43
5.3.2.6. Identificación de Riesgos de Seguridad de la Información Entrega Personalizada... 44
5.3.3. Fase 3 – Análisis de Riesgo........................................................................................... 45
5.3.3.1. Análisis de Riesgos de Seguridad de la Información Call Center ............................. 46
5.3.3.2. Análisis de Riesgos de Seguridad de la Información Entrega Personalizada............ 47
5.3.4. Fase 4 – Evaluación del Riesgo ..................................................................................... 48
5.3.4.1. Evaluación del Riesgo de Seguridad de la Información Call Center ........................ 49
5.3.4.2. Evaluación del Riesgo de Seguridad de la Información Entrega Personalizada ....... 50
5.3.4.3. Mapa de Calor Riesgo Inherente y Riesgo Residual ................................................. 51
5.3.5. Fase 5 – Tratamiento del Riesgo ................................................................................... 53
5.3.5.1. Definición de Planes de Tratamiento de Riesgos de SI Call Center ......................... 54
5.3.5.2. Definición de Planes de Tratamiento de Riesgos de SI Entrega Personalizada ........ 55
5.3.6. Fase 7 – Comunicación y Consulta ............................................................................... 56
6. CONCLUSIONES ................................................................................................................ 57
LISTA DE REFERENCIA............................................................................................................ 58

4
LISTA DE FIGURAS

pág.

Figura 1. Dominios de la norma ISO 27002:2013. Elaboración Propia .............................. 17

Figura 2. Dominios, objetivos de control y controles de la ISO/IEC 27002:2013.


(iso27000.es, 2013) .............................................................................................................. 18

Figura 3. Proceso para la gestión del riesgo NTC-ISO 31000:2009. (ICONTEC, 2011) ... 19

Figura 4. Las opciones de tratamiento del riesgo. (PECB, 2008) ....................................... 21

Figura 5. Fases de la metodología de gestión de riesgos. Elaboración propia. ................... 23


Figura 6. Muestra de establecimiento del contexto a partir de la matriz DOFA. Elaboración
propia ................................................................................................................................... 26

5
LISTA DE TABLAS

pág.

Tabla 1. Parámetros para la identificación y clasificación de activos de información ......... 28

Tabla 2. Ejemplo de Tipo de Contenedor y Contenedor de activos de información ............ 28

Tabla 3. Criterios de clasificación de activos de Información activo de Información ......... 29

Tabla 4. Matriz de identificación de activos de información para los procesos ................... 30

Tabla 5. Identificación y clasificación activo de Información "Solicitudes de Apertura de


Campañas" ............................................................................................................................ 31

Tabla 6. Identificación y clasificación activo de Información "” "Manuales de Call Center


proyecto” .............................................................................................................................. 32

Tabla 7. Identificación y clasificación activo de Información “Reporte de la Ultima Gestión


del Call Center” .................................................................................................................... 33

Tabla 8. Identificación y clasificación activo de Información “Reporte Mensual Multilinea”


.............................................................................................................................................. 34

Tabla 9. Identificación y clasificación activo de Información "Llamadas Grabadas" ......... 35

Tabla 10. Identificación y clasificación activo de Información "Informes Clientes" .......... 36

Tabla 11. Identificación y clasificación activo de Información " Papelería Bancaria " ....... 37

Tabla 12. Identificación y clasificación activo de Información " Tarjetas (crédito, débito,
claves), token y Chequeras - Productos en custodia" ........................................................... 38

Tabla 13. Identificación y clasificación activo de Información "Manifiestos de Entrega" .. 39

Tabla 14. Identificación y clasificación activo de Información "Acuses de Recibo" .......... 40

Tabla 15. Parámetros para el diligenciamiento matriz de riesgos - Fase 2 Identificación ... 41

Tabla 16. Matriz para el análisis y evaluación de riesgos de SI - Fase 2 Identificación ...... 42

6
Tabla 17. Muestra de la identificación de riesgos - Proceso Call Center ............................. 43

Tabla 18. Muestra de la identificación de riesgos - Proceso Entrega Personalizada............ 44

Tabla 19. Análisis de riesgos de SI de la muestra - Proceso Call Center ............................. 46

Tabla 20. Análisis de riesgos de SI de la muestra - Proceso Entrega Personalizada............ 47

Tabla 21. Evaluación del riesgo de SI de la muestra - Proceso Call Center ........................ 49

Tabla 22. Evaluación del riesgo de SI de la muestra - Proceso Entrega Personalizada ....... 50

Tabla 23. Zona de Riesgo .................................................................................................... 51

Tabla 24. Riesgo Inherente – Proceso Call Center ............................................................... 51

Tabla 25. Riesgo Residual – Proceso Call Center ................................................................ 52

Tabla 26. Riesgo Inherente – Proceso Entrega Personalizada.............................................. 52

Tabla 27. Riesgo Residual – Proceso Entrega Personalizada ............................................... 53

Tabla 28. Opciones de tratamiento de riesgos de seguridad de la información ................... 53

Tabla 29. Definición de planes de tratamiento de riesgos de SI Call Center ...................... 54

Tabla 30. Definición de planes de tratamiento de riesgos de SI Personalizada .................. 55

7
INTRODUCCIÓN

Hoy día, las empresas reconocen la importancia de tener adecuadamente identificada y


protegida la información propia, como también la proporcionada por sus clientes, enmarcada
bajo las relaciones comerciales y contractuales como los son acuerdos de confidencialidad y
acuerdos de niveles de servicio, que obligan a dar un tratamiento, manejo y clasificación a la
información bajo una correcta administración y custodia.

La información es uno de los activos de mayor valor que poseen las empresas y puede
encontrarse en diferentes medios y formas: almacenada en archivos digitales o físicos u otro
medio de almacenamiento o intercambio de información, transmitida por correos físicos o
electrónicos, impresa o en papel, entre otros.

Por lo anterior, la Seguridad de la Información en la empresa tiene como objetivo la


protección de los activos de información en cualquiera de sus estados ante una serie de
riesgos o brechas que atenten contra sus principios fundamentales de confidencialidad,
integridad y disponibilidad de la información, a través de la implementación de controles de
seguridad, que permitan gestionar y reducir los riesgos a que está expuesta y maximizar el
retorno de las inversiones en las oportunidades de negocio.

Alineado a las necesidades del cliente y los requisitos para la implementación de un Sistema
de Gestión de Seguridad de la Información bajo la norma NTC/ISO/IEC 27001:2013, se
realizará la valoración y el plan de tratamiento de riesgos de seguridad de la información
tomando como marco de referencia la norma NTC/ISO 31000:2009 de Gestión de Riesgos y
la guía de controles de seguridad establecido en el estándar para la seguridad de la
información ISO/IEC 27002:2013 que da las recomendaciones para la gestión de la seguridad
de la información.

En este documento se presenta inicialmente, la necesidad del cliente para que se lleve a cabo
la valoración y el plan de tratamiento de riesgos de seguridad de la información a los procesos
definidos en el alcance del Sistema de Gestión de Seguridad de la Información – SGSI.,
teniendo en cuenta la situación de la empresa, la normativa existente y la subjetividad de las
personas a entrevistar, luego, se definen los objetivos generales, específicos y se relacionan
los documentos entregables que se presentaron a Gerencia General del cliente TGE.

Continuando con el marco de referencia se presentará la empresa contratista y los temas que
se deben tener en cuenta para la valoración (es el proceso total de identificar, analizar y
evaluar los riesgos) y el plan de tratamiento de riesgos de seguridad de la información con
base en la metodología de riesgos desarrollada por el área de Seguridad de la Información.

Finalmente se presenta una explicación del desarrollo de las fases definidas en la


metodología implementada para realizar la valoración y definición del plan de tratamiento
de riesgos de seguridad de la información presentando una muestra de la información
identificada en los procesos de Call Center y Entrega Personalizada.

8
1. PLANTEAMENTO DEL PROBLEMA

Como se menciona en el portafolio de soluciones de la compañía Assurance ControlTech:


Empresa colombiana que cuenta con sedes en las ciudades de Bogotá y Medellín y
más de 9 años de experiencia en el mercado, lo que le ha permitido adquirir buen
reconocimiento tanto en el sector privado como público, mediante la implementación
de soluciones y servicios basados en tecnologías de la información, comunicaciones
e infraestructura, software y hardware, seguridad de la información, consultoría,
interventorías y servicios especializados de outsourcing realizados por un equipo de
profesionales certificados con la experiencia necesaria para acompañar y gestionar
cada proyecto de los clientes nuevos y los existentes (Assurance ControlTech, 2016).

Assurance ControlTech dentro de su portafolio de servicios de Seguridad de la Información,


ha sido contratada por la empresa TGE, para realizar la implementación de un Sistema de
Gestión de Seguridad de la Información con base la norma NTC/ISO 27001:2013 y como
requisito obligatorio de la misma surge la necesidad de realizar la valoración de los riesgos
de seguridad de la información, el cual comprende la identificación, análisis y evaluación de
riesgos, y continuar con la definición del plan de tratamiento de los mismos, para los procesos
misionales incluidos dentro del alcance del SGSI siguiendo los principios y directrices de la
norma ISO 31000:2009 y alineado a los objetivos estratégicos de la empresa.

La empresa TGE definió dentro del alcance del Sistema de Gestión de Seguridad de la
Información dos de los procesos misionales encargados de procesar, gestionar y custodiar
información sensible correspondiente a productos financieros. El primer proceso es Call
Center, responsable de realizar el agendamiento y venta de productos financieros y el
segundo proceso de Entrega Personalizada, responsable de alistamiento, custodia,
distribución y entrega de los productos que han sido agendados. Es por esto que surge la
necesidad de realizar una valoración de riesgos desde el punto de vista de seguridad de la
información y la definición del plan de tratamiento de los riesgos en apoyo conjunto con los
responsables de los procesos teniendo la normativa de la empresa y la legislación aplicable.

Todas las actividades que se desarrollen en una empresa, implican riesgos y en esta compañía
no es la excepción, la norma ISO 31000:2009 de gestión del riesgo define “Riesgo: Efecto
de la incertidumbre sobre los objetivos” (Instituto Colombiano de Normas Tecnicas y
Certificación [Icontec], 2011, pág. 4). El efecto que genera la materialización de los riegos
en la compañía puede ser positivo o negativo, hace necesario realizar una gestión eficaz del
riesgo que permita prever su materialización y responder ante los que puedan generar efectos
negativos en los objetivos la compañía, aplicando los controles necesarios para que los
responsables del proceso tomen una correcta opción para el tratamiento de los mismos,
evitando que estos se materialicen y/o reducir el impacto si ya se está presentando.

Consiente del valor de la información como activo y la sensibilidad de la información


financiera que maneja el cliente TGE en los procesos misionales del alcance, se planteó la
siguiente pregunta: ¿Cómo reducir los riesgos de seguridad de la información que se
presentan en los procesos de Call Center y Entrega Personalizada durante la operación?, y

9
que permitan preservar los pilares de seguridad de la información (confidencialidad,
integridad y disponibilidad) en los procesos de Call Center y Entrega Personalizada de la
empresa.

2. OBJETIVOS

2.1. OBJETIVO GENERAL

Realizar la valoración de los riesgos de seguridad de la información para los procesos de Call
Center y Entrega Personalizada del cliente TGE de Assurance ControlTech, con el fin de
definir el plan de tratamiento de los riesgos de seguridad de la información de acuerdo a las
necesidades de la empresa.

2.2. OBJETIVOS ESPECÍFICOS

▪ Identificar y conocer la operación y los subprocesos que conforman los proceso de


Call Center y Entrega Personalizada de TGE con los responsables de los mismos y
presentar la metodología de riesgos a las personas involucradas en la valoración de
los riesgos y la definición de los planes de tratamiento.

▪ Desarrollar las 6 fases que se especifican en el alcance del proyecto y se definen en


la metodología de riesgos de la empresa, para realizar la valoración del riesgo acorde
con los principios y directrices de la norma ISO 31000:2009 de Gestión de Riesgos
para los procesos de Call Center y Entrega Personalizada.

▪ Reducir la probabilidad de que una brecha o evento produzca un determinado impacto


en los activos de información, y la empresa pueda maximizar el retorno de la
inversión en las oportunidades de negocio, mediante la gestión adecuada de los
riesgos de Seguridad de la Información.

▪ Validar el resultado de la reducción del impacto de los riesgos, finalizada la fase de


valoración de los riesgos de seguridad de la información en los procesos del Call
Center y de Entrega Personalizada.

10
3. ENTREGABLES DEL PROYECTO

La metodología de gestión de riesgos de seguridad de la información para ser aplicada en


TGE, tomando como referencia las recomendaciones de la Norma ISO 31000:2009, está
compuesta por 7 fases, y de acuerdo a lo definido en el alcance y limitaciones para el
desarrollo del proyecto de pasantía se ejecutaron 6 fases como producto de la valoración de
riesgos (proceso global de identificación, análisis y evaluación del riesgo) y la definición del
plan de tratamiento de los riesgos de seguridad de la información.

Como resultado de esta actividad, se entregó a la Gerencia General los documentos que se
relacionan a continuación los cuales fueron creados en el desarrollo de cada fase de la
metodología para los procesos de Call Center y Entrega Personalizada, estos son de carácter
confidencial de conformidad a lo definido en el acuerdo de confidencialidad firmado entre
TGE y Assurance ControlTech.

• Documento con la definición del contexto en función de las características de la


empresa, utilizando el modelo de análisis DOFA.

• Matrices de identificación y clasificación de activos de Información

Resultado de la identificación y clasificación de los activos de información realizada con


los responsables de los procesos de Call Center y Entrega Personalizada.

• Matriz de identificación, análisis y evaluación de riesgos de seguridad de la


información.

Esta matriz contiene los riesgos de seguridad de la información identificados, analizados


y evaluados a partir de los controles existente y definidos por los propietarios del riesgo
de cada proceso dando como resultado el nivel de riesgo residual.

• Mapa de calor de los riesgos identificados

Representación en el mapa de calor de riesgos sin controles (inherente) y de riesgo


residual identificados por el propietario del riesgo de cada proceso donde es posible
identificar el nivel del riesgo el cual está asociado a la relación de las consecuencias
(impacto) y el factor de ocurrencia (probabilidad).

• Plan de tratamiento de riesgos de seguridad de la información de los procesos

Los responsables de los riesgos deben formular los planes de acción o mejora de controles
necesarios para el tratamiento de los riesgos residuales según su zona de criticidad, para
el caso de la compañía se gestionarán los riesgos de clasificación crítica y alta, es la
gerencia general quien define la opción de tratamiento a implementar (transferir, evitar,
reducir o asumir).

11
4. MARCO REFERENCIAL

4.1. MARCO HISTÓRICO

Según el portafolio de soluciones de la empresa Assurance ControlTech:


Es una compañía colombiana que nació en el año 2007 prestando servicios de
interventoría técnica, administrativa y financiera asegurando no sólo la calidad de los
productos y/o servicios, sino también la gestión en general de los procesos
involucrados en cada proyecto, en el año 2014 la empresa amplió su portafolio de
servicios permitiendo crecer mediante el ofrecimiento de estos nuevos servicios a
nuevos clientes y a los ya existentes, permitiendo satisfacer las necesidades mediante
los servicios de consultoría, soluciones tecnológicas, de infraestructura, software y
Hardware, seguridad de la información, consultoría, interventorías y servicios
especializados de outsourcing realizados por un equipo de profesionales certificados
con la experiencia necesaria para acompañar y gestionar cada proyecto de los clientes.

Actualmente la compañía cuenta con sedes en Bogotá y Medellín y con más de 9 años
de experiencia en el mercado permitido adquirir buen reconocimiento tanto en el
sector privado como público, implementando soluciones y servicios basados en
Tecnologías de la Información y Comunicaciones. (Assurance ControlTech, 2016).

4.1.1. Visión

Lograr el reconocimiento del mercado y de la industria en soluciones de Tecnología


Informática – TI con los más altos estándares de calidad y satisfacción logrando ser
líderes en Áreas de Negocio, como: Gestión e Implementación de Infraestructura de
TI. Big Data y Business Intelligence – BI, software de middleware. Interventoría
Técnica, Administrativa y Financiera. Outsourcing de talento humano especializado
(Assurance ControlTech, 2016).

4.1.2. Misión

Proporcionar soluciones basadas en altos estándares de calidad en soluciones de


infraestructura, Software y Hardware, seguridad, consultoría, interventorías y
servicios especializados, generando valor a nuestros clientes que les permita
posicionarse y desarrollarse como líderes en su mercado. (Assurance ControlTech,
2016).

12
4.2. MARCO TEÓRICO

4.2.1. Términos y definiciones

A continuación, se listan algunos términos y definiciones de términos que se utilizarán


durante el desarrollo del presente proyecto, relacionado con la gestión del riesgo y la
seguridad de la información, con el objetivo de poder unificar criterios dentro de la empresa.

Se toman como referencia los términos y definiciones contenidas en la Guía Técnica


Colombiana GTC 137 (Gestión del Riesgo. Vocabulario), el estándar Internacional ISO/IEC
27000, la metodología de riesgos de la compañía y los términos identificados en el portal de
la ISO 27000 en español, y se relacionan a continuación:

“Aceptación del riesgo: Decisión informada de tomar un riesgo particular” (Icontec


Internacional, 2011).

“Activo: En relación con la seguridad de la información, se refiere a cualquier información


o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios,
personas...) que tenga valor para la organización” (iso27000.es, 2012).

“Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el nivel
del mismo” (Icontec Internacional, 2011).

“Causa: Origen, comienzo de una situación determinada que genera un efecto o


consecuencia” (Seguridad de la Información TGE, 2016).

“Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada


a individuos, entidades o procesos no autorizados” (Organización Internacional de
Normalización [ISO], 2014).

“Consecuencia: Resultado de un evento que afecta los objetivos” (Icontec Internacional,


2011).

“Criterios del riesgo: Términos de referencia frente a los cuales la importancia de un riesgo
se evaluada” (Icontec Internacional, 2011).

“Control: Medida que modifica el riesgo” (Icontec Internacional, 2011).

“Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo


requiera una entidad autorizada” (Organización Internacional de Normalización [ISO],
2014).

“Evaluación de riesgos: Proceso de comparación de los resultados del análisis del riesgo
con los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables
o tolerables” (Icontec Internacional, 2011).

13
“Evento: Presencia o cambio de un conjunto particular de circunstancias” (Icontec
Internacional, 2011).

“Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de


originar un riesgo” (Icontec Internacional, 2011).

“Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con
respecto al riesgo” (Icontec Internacional, 2011). Se compone de la evaluación y el
tratamiento de riesgos

“Identificación de riesgos: Proceso de encontrar, reconocer y describir riesgos” (Icontec


Internacional, 2011).

“Integridad: Propiedad de la información relativa a su exactitud y completitud”


(Organización Internacional de Normalización [ISO], 2014).

“Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en


términos de la combinación de las consecuencias y su posibilidad” (Icontec Internacional,
2011).

“Política para la gestión del riesgo: Declaración de la dirección y las intenciones generales
de una organización con respecto a la gestión del riesgo” (Icontec Internacional, 2011).

“Propietario del riesgo: Persona o entidad con la responsabilidad de rendir cuentas y la


autoridad para gestionar un riesgo” (Icontec Internacional, 2011).

“Proceso: Conjunto de actividades interrelacionadas o que interactúan para transformar una


entrada en salida” (iso27000.es, 2012).

“Riesgo Inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto
de los controles” (Seguridad de la Información TGE, 2016).

“Riesgo Residual: El riesgo que permanece tras el tratamiento del riesgo o nivel resultante
del riesgo después de aplicar los controles” (Icontec Internacional, 2011).

“Riesgo: Efecto de la incertidumbre sobre los objetivos” (Icontec Internacional, 2011).

“Riesgo de Seguridad de la Información: Probabilidad de ocurrencia de un evento que


genere un impacto sobre la Confidencialidad, Integridad y Disponibilidad de la Información”
(Seguridad de la Información TGE, 2016).

“Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y
evaluación de los riesgos” (Icontec Internacional, 2011).

“SGSI: Sistema de Gestión de Seguridad de la Información” (iso27000.es, 2012).

14
“Seguridad de la información: Preservación de la confidencialidad, integridad y
disponibilidad de la información” (iso27000.es, 2012).

“Tratamiento del Riesgo: Proceso para modificar el riesgo” (Icontec Internacional, 2011).

Incidente de seguridad de la información: Evento único o serie de eventos de


seguridad de la información inesperados o no deseados que poseen una probabilidad
significativa de comprometer las operaciones del negocio y amenazar la seguridad de
la información (Confidencialidad, Integridad y Disponibilidad). (iso27000.es, 2012).

4.2.2. La Seguridad de la Información

Según (Instituto Nacional de Ciberseguridad de España, S.A. [INCIBE], 2014) desde tiempos
inmemorables las empresas han creado los medios necesarios para evitar el robo y
manipulación de sus datos confidenciales. Hoy en día esto se mantiene por lo que las
empresas siempre buscan mantener la seguridad de su información.

La seguridad de la información busca la creación de una cultura de seguridad en todos los


empleados de las empresas y la implementación de controles de seguridad que permitan
reducir los riesgos a los que está expuesta y pone en peligro la integridad, confidencialidad
y disponibilidad de la información o simplemente ponen a prueba los controles existentes en
la empresa y la viabilidad de nuestros negocios.

Es importante reconocer que los riesgos no sólo provienen desde el exterior de la empresa,
sino que también pueden estar dentro de la misma, por lo que, para poder trabajar en un
entorno de manera segura, se deben tener identificados los activos de información y la fuente
de procedencia ya que pueden ser generados por la misma empresa o ser entregados por los
clientes y estar en diferentes medios, como físicos y digital. Por lo anterior la empresa se
puede apoyar en la implementación un sistema de Gestión de seguridad de la información –
SGSI que permita asegurar la información y disponer de controles que permita disminuir el
impacto de los riesgos.

Cabe resaltar la diferenciar entre seguridad informática y seguridad de la información:

La primera, se refiere a la protección de la infraestructura de las tecnologías de la información


y comunicación que soportan la empresa, mientras que la seguridad de la información, se
refiere a la protección de los activos de información fundamentales para el éxito de cualquier
organización que soportan la organización (INCIBE, 2014).

En el ítem 5.2.1 Términos y definiciones, se dio el concepto de los tres pilares o principios
de la Seguridad de la Información, a continuación, se presentan las definiciones para la
empresa desde los puntos de vista de seguridad de la información y de riesgos, la cual está
alineada a la definición de la norma.

15
4.2.2.1. Confidencialidad:

“Es garantizar el acceso a la información sólo a los usuarios autorizados” (Seguridad de la


Información de TGE, 2016).

A nivel de riesgos: “la información es accesible solamente a quienes están autorizados para
ello. Información cuya divulgación puede generar desventajas competitivas, pérdidas
económicas, afecta la reputación y/o imagen y de la compañía” (Seguridad de la Información
TGE, 2016).

4.2.2.2. Integridad:

“Evitar que la información sea modificada de manera no autorizada” (Seguridad de la


Información de TGE, 2016).

A nivel de riesgos: “Protección de la exactitud y estado completo de la información y


métodos de procesamiento. Información sin errores ni fraude, la ocurrencia de alguna de estas
ocasionará pérdidas significativas” (Seguridad de la Información TGE, 2016).

4.2.2.3. Disponibilidad:

“Garantizar que la información esté disponible cuando se necesite” (Seguridad de la


Información de TGE, 2016).

“A nivel de riesgos: Seguridad que los usuarios autorizados tienen acceso a la información y
a los activos asociados cuando lo requieren. La información debe ser accesible y recuperable
fácilmente en caso de suspensión del procesamiento” (Seguridad de la Información TGE,
2016).

4.2.3. NORMA ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la


Información – Requisitos

El objetivo y campo de aplicación definido en la en la presente norma, especifica:


Esta Norma especifica los requisitos para establecer, implementar, mantener y
mejorar continuamente un sistema de gestión de seguridad de la información dentro
del contexto de la organización. La Norma constituye también los requisitos para la
valoración y el tratamiento de los riesgos de seguridad de la información, adaptados
a las necesidades de la organización. Los requisitos establecidos en esta Norma son
genéricos y están previstos para ser aplicados a todas las organizaciones,
independientemente de su tipo, tamaño o naturaleza. (ICONTEC Internacional,
2013).

Podemos definir un Sistema de Gestión de Seguridad de la Información como una


herramienta de gestión que nos va a permitir conocer, gestionar y minimizar los posibles

16
riesgos que atenten contra la seguridad de la información (confidencialidad, integridad y
disponibilidad) de la organización (INCIBE, 2014)

La implementación de la Norma permite establecer políticas, procedimientos y controles con


el objeto de disminuir los riesgos de su organización, para lograrlo la dirección la compañía
se ha comprometido a implementar y mantener el SGSI, involucrando:

• “Definición de políticas, estándares, procedimientos y formatos.


• Gestión de riesgos de seguridad de la información sobre los procesos de negocio del
SGSI que involucran los activos de información. La cual se basa en el análisis,
evaluación y tratamiento de los mismos de acuerdo con el estándar ISO/IEC 31000.
• Cumplimiento de obligaciones legales, regulatorias y contractuales relacionadas con
Seguridad de la Información.
• Gestión de incidentes de Seguridad de la Información.
• Entrenamiento y sensibilización en seguridad de la información” (Seguridad de la
Información de TGE, 2016).

4.2.4. NORMA ISO/IEC 27002:2013 Código para la práctica de la gestión de la


seguridad de la información.

Esta norma es una guía de las buenas prácticas que recoge las recomendaciones sobre las
medidas a tomar para asegurar los sistemas de gestión de una organización (INCIBE, 2014).
Junto a los controles a implementar de acuerdo a la empresa al momento de hacer la
valoración y definición del plan de tratamiento de riesgos de seguridad de la información.

A continuación, se presenta a modo de guía la imagen con los 14 dominios de la norma ISO
27002:2013.

Figura 1. Dominios de la norma ISO 27002:2013. Elaboración Propia

17
Está norma compuesta por 14 dominios, es decir áreas de actuación, 35 objetivos de control
o aspectos a asegurar dentro de cada área y 114 controles o mecanismos para asegurar los
distintos objetivos de control, como se relaciona en la siguiente figura (iso27000.es,
2013;INCIBE, 2014).

Figura 2. Dominios, objetivos de control y controles de la ISO/IEC 27002:2013. (iso27000.es, 2013)

4.2.5. NORMA ISO 31000:2009 Gestión de Riesgos

La Norma ISO 3100 es un estándar para la gestión de riesgos, que al igual que la ISO 27001
para el sistema de gestión de seguridad de la información, puede ser implementado en:
Organizaciones de todo tipo y tamaños, sin importar el objeto de negocio, los procesos
y sus niveles, debido a que cualquiera puede enfrentar factores internas y externas,
que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta
incertidumbre tiene en los objetivos de una organización es el “riesgo” (Icontec,
2011).

La ISO 31000 no es una norma certificable para una empresa, está nos proporciona una serie
de recomendaciones que van a estar planteadas como principios o directrices para la gestión
de cualquier tipo de riesgo (Icontec, 2011).

18
Para el presente proyecto se utilizará esta Norma como guía, siguiendo sus recomendaciones
y directrices para realizar una eficaz y eficiente gestión de riesgos de seguridad de la
información en los procesos misionales Call Center y Entrega Personalizada incluidos en el
alcance del SGSI la empresa TGE.

A continuación, se presenta el proceso para la gestión del riesgo de la norma ISO


31000:2009:

Figura 3. Proceso para la gestión del riesgo NTC-ISO 31000:2009 (Icontec, 2011)

El proceso para la gestión del riesgo debe estar adaptado a los procesos de negocio de la
organización y comprende las siguientes actividades:

4.2.5.1. Comunicación y consulta

Las partes involucradas tanto a nivel interno de la compañía como externo deben
comunicación eficaz durante todas las etapas del proceso de gestión del riesgo y tener
definidos los medios de comunicación, con el fin de garantizar que los responsables
del proceso y las partes involucradas entiendan las bases sobre las cuales se toman
decisiones (Icontec, 2011).

4.2.5.2. Establecer el Contexto

En la organización, se procederá a identificar las características de los factores internos y


externo que influyan sobre la gestión del riesgo como por ejemplo la misión, visión,
actividades que desarrolla la empresa, los interesados, legislación aplicable y demás factores

19
(Icontec, 2011), esto se analizará a partir del uso del método DOFA – Fortalezas,
Oportunidades, debilidades y Amenazas.

El punto de partida de la identificación de riesgos es realizar una identificación y clasificación


de activos de información de los procesos de Call Center y Entrega Personalizada de la
compañía que manejen información sensible.

4.2.5.3. Valoración del Riesgo

La definición de este término de acuerdo a la Norma ISO 31000, “valoración del riesgo es el
proceso total de la identificación del riesgo, análisis del riesgo y evaluación del riesgo”
(Icontec, 2011).

4.2.5.4. Identificación de los Riesgos

“El propósito de la identificación del riesgo es la identificación de lo que puede ocurrir o las
situaciones que puedan presentarse que afecten el logro de los objetivos del sistema o de la
empresa” (PECB, 2008).

El proceso de la identificación del riesgo comprende la identificación de las causas,


consecuencias, fuentes generadoras de riesgo que puedan afectar el cumplimiento de los
objetivos planteados para los procesos (PECB, 2008).

4.2.5.5. Análisis de los Riesgos

“El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo, sus
consecuencias (impacto) y la probabilidad de que estas consecuencias puedan ocurrir”
(Icontec, 2011).

4.2.5.6. Evaluación de los Riesgos

La Norma ISO 31000 estable que la evaluación de la gestión del riesgo debe realizarse:

Con base en los resultados del análisis de riesgos, la finalidad de la evaluación del
riesgo es ayudar a la toma de decisiones, determinando los riesgos a tratar y la
prioridad de implementar el tratamiento de los mismos.

La evaluación del riesgo es la comparación de los niveles de riesgo estimados con los
criterios de evaluación y los criterios de aceptación del riesgo y los priorizados que
se deben establecer cuando se consideró el contexto.

20
La organización debe establecer las prioridades para la aplicación del tratamiento de
Riesgos (Icontec, 2011).

4.2.5.7. Tratamiento de los Riesgos

“El tratamiento del riesgo involucra la selección de una o más opciones para modificar los
riesgos y la implementación de tales opciones. Una vez implementado, el tratamiento
suministra controles o los modifica” (Icontec, 2011). De las opciones de tratamiento
sugeridas por la norma ISO 31000 y que se detallan en la Figura 5., la compañía ha incluido
en su metodología de gestión de riesgos las opciones de evitar, reducir, asumir y compartir o
transferir para el tratamiento de los riesgos de seguridad de la información, estos se
representan en la Figura 6.

Figura 4. Las opciones de tratamiento del riesgo. (PECB, 2008)

Una vez que han sido tomadas las decisiones sobre la opción de tratamiento del riesgo, deben
ser identificadas y planificadas las actividades para la aplicación de esas decisiones o planes
de acción.

Las acciones prioritarias se determinarán para los riesgos de seguridad de la información que
el resultado de su evaluación sea Crítico y Alta, la empresa debe destinar los recursos
necesarios para cerrar estas acciones el plan de tratamiento.

21
4.2.5.8. Monitoreo y Revisión

Como parte del proceso de gestión del riesgo, los riesgos y los controles deberían ser
monitoreados y revisados regularmente para comprobar que:

▪ La hipótesis acerca de los riesgos sigue siendo válidas;

▪ La hipótesis en la que está basada la valoración del riesgo, incluyendo el contexto


interior y exterior, siguen siendo válidas;

▪ Se van cumpliendo los resultados esperados;

▪ La técnica de valoración del riesgo se aplica correctamente;

▪ Los tratamientos del riesgo son efectivos.

4.2.6. Metodología de Gestión de Riesgos de Seguridad de la Información

Si bien es cierto que la norma ISO 31000:2009 es un documento de referencia que


proporciona las directrices o especificaciones para la gestión de riesgos; no es una
metodología.

Por lo que el de equipo de seguridad de la información contratado para la implementación


del sistema de gestión de seguridad de la información –SGSI., en la empresa TGE, se reunió
para desarrollar una metodología de gestión de riesgos de seguridad de la información para
ser aplicada a la empresa TGE., tomando como referencia las recomendaciones de la Norma
ISO 31000:2009.

Las disposiciones de la metodología que se desarrolló promueve el cumplimiento de los


siguientes objetivos:

▪ Identificar y reportar de manera oportuna los eventos generadores de riesgos de


Seguridad de la Información;

▪ Identificar la(s) causa(s) raíz de los riesgos reportados;

▪ Definir los planes de acción tendientes a tomar medidas de tratamiento de los


riesgos identificados (Evitar, Reducir, Transferir o Asumir);

▪ Implementar acciones correctivas y preventivas orientadas a reducir el riesgo a


niveles aceptables de acuerdo a lo definido por el comité de Seguridad de la
Información;

22
▪ Cumplir de forma oportuna y eficiente las acciones tomadas por parte del
responsable del riesgo.

▪ Promover la mejora continua en los procesos, haciendo más oportuno y reiterativo


el seguimiento sobre los procesos de mayor importancia.

▪ Comunicar a las instancias superiores de la gestión y tratamiento de los Riesgos


identificados en los procesos.

▪ Establecer los roles y responsabilidades de todos los funcionarios que participan


directa o indirectamente en la Administración del Riesgo.

▪ Brindar a todo el personal de la Compañía una Metodología común para


identificar, analizar, evaluar y dar tratamiento a los riesgos de seguridad de la
información que pueden afectar el logro de sus objetivos (Seguridad de la
Información TGE, 2016).

La metodología de gestión de riesgos está compuesta por 7 fases, para este proyecto de
pasantía se realizarán de manera secuencial las fases 1, 2, 3, 4, 5, junto con la fase número 7
que corresponde a la fase de Comunicación y Consulta entre las áreas involucradas, siendo
esta transversal a todas las fases durante el desarrollo de la metodología. Se excluye la fase
6 del alcance del proyecto, lo cual se detalla en numeral 4.2 Limitaciones.

Figura 5. Fases de la metodología de gestión de riesgos. Elaboración propia

23
5. VALORACIÓN Y PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD
DE LA INFORMACIÓN

5.1. PROCESO CALL CENTER

De acuerdo a la información identificada en la documentación del proceso y con el


responsable del mismo a través de las reuniones de trabajo. (TGE, 2016) se puede concluir
que la actividad realizada en este proceso misional de la compañía cumple con el objetivo de
prestar el servicio de generación y atención de llamadas para venta (retención, fidelización
de productos y/o servicios) y el agendamiento de citas para entrega de productos financieros
de los diferentes clientes, siendo estos últimos quienes definen los requerimientos necesarios
para la ejecución de las diferentes campañas que se manejan en el Call Center.
• Subproceso de Agendamiento: Contacto telefónico con el usuario mediante la
información suministrada por una empresa para la programación de visitas para entrega
de productos y/o recolección de documentos (TGE, 2016).
• Subproceso de Ventas: Campañas de venta de productos y servicios que le permitirán
ampliar el alcance comercial de los clientes, de igual forma se realiza llamadas de
retención, fidelización de productos y/o servicios, dependiendo de las campañas vigentes
(TGE, 2016).
Este proceso se maneja a través de actividades que permiten cumplir con las necesidades de
los clientes.
• Generación del guión para realizar la gestión telefónica para el agendamiento de citas o
venta por parte de los agentes de gestión.
• Asignación de la base de datos para el agendamiento de citas o venta a gestionar por parte
de los agentes de gestión.
• Gestión telefónica ejecutando la venta y agendamiento del producto/servicio y registro
en los aplicativos utilizados en el proceso de la tipificación de la gestión realizada.
• Seguimiento en tiempo y calidad de las llamadas para evaluar los criterios de calidad
definidos por el proceso.
• Grabación de las llamadas y reportes de las misma a los clientes según lo definido en los
Acuerdos de Nivel de Servicio – ANS.
• Generación de informe de gestión y cierre de las diferentes campañas de los clientes.

24
5.2. PROCESO ENTREGA PERSONALIZADA

De igual forma como se recolecto información y se conoció el proceso anterior, se hizo para
el proceso de Entrega Personalizada.
Este proceso tiene el objetivo de prestar el servicio de entrega personalizada y
certificada de productos financieros mediante entrega a titulares o terceros
autorizados y recolección de documentos bajo estrictas medidas de seguridad, previa
gestión de agendamiento citas realizadas desde el Call Center de la Compañía u otro
proveedor de la entidad financiera (TGE, 2016).
El proceso cuenta con cuatro subprocesos y las actividades que se desarrollan en cada uno
están definidas en los procedimientos internos de la compañía y se encuentran alienadas a los
requerimientos de los ANS con los clientes.
• Subproceso de Alistamiento: Preparación de los productos financieros enviados por el
cliente o el realzador a la compañía, para iniciar el alistamiento de productos en cabina
ante audio y video realizando verificación de papelería, del producto físico contra la
información del sistema reportada por el cliente, ensobrado, pega de sticker y cierre de la
bolsa de seguridad (TGE, 2017).
• Subproceso de Custodia: Finalizado el alistamiento de los productos, se procede a
custodiar las bolsas de seguridad con los productos, clasificados por ciudad de destino
mientras son asignan al estado de distribución (TGE, 2017).
• Subproceso de Distribución: Producto que debe ser entregado de acuerdo a los tiempos
definidos en los ANS porque ya tienen agendada cita de entrega con el destinatario, estos
son entregados de acuerdo a un manifiesto de entrega a los mensajeros para que realicen
la gestión, el tránsito de los productos en los diferentes procesos queda registrado en el
aplicativo de gestión (TGE, 2017).
• Subproceso de Entrega: Gestión realizada por el mensajero para realizar la entrega de
los productos asignados en el manifiesto de entrega, toda entrega exitosa debe ser
legalizada mediante la entrega de la prueba de entrega a Distribución para su posterior
digitalización, puede presentarse que no finalice satisfactoriamente la entrega del
producto al destinatario por direcciones erradas, ausencia del destinatario, falta de
documentos solicitados, etc., que generaría que el producto vuelva a custodia y se ejecute
lo definido en el ANS (TGE, 2017).

25
5.3. METODOLOGÍA DE GESTIÓN DE RIESGOS – DESARROLLO DE LAS
FASES

El equipo de seguridad de la información contratado para la implementación del sistema de


gestión de seguridad de la información –SGSI., en la empresa TGE desarrolló la metodología
de gestión de riesgos de seguridad de la información para ser aplicada a la empresa TGE.,
tomando como referencia las recomendaciones de la Norma ISO 31000:2009. Debido a que
existe un acuerdo de confidencialidad firmado por ControlTech con el cliente TGE y el
equipo de Seguridad de la Información, la metodología de gestión de riesgos, se mantendrá
en estricta confidencialidad, en especial lo que comprende a las escalas de impacto y
probabilidad y el apetito del riesgo definidos por la empresa.

A continuación, se describen las fases se desarrollaron para realizar la valoración de los


riesgos de los procesos de Call Center y Entrega Personalizada, siguiendo las
recomendaciones dadas por la norma ISO 31000:2009.

La información relacionada con la valoración de los riesgos se documentó en la Matriz


Análisis y Evaluación de Riesgos en Seguridad de la Información, durante el desarrollo de
cada fase se presentará su avance, junto con una con una muestra de ejemplo de tres (3)
riesgos por cada proceso.

5.3.1. Fase 1 - Establecimiento del Contexto de la organización

A continuación, se presenta una muestra la definición del contexto en función de las


características de la empresa, utilizando el modelo de análisis DOFA.
ESTABLECIMIENTO DEL CONTEXTO - MATRIZ DOFA
FACTORES INTERNOS DE LA EMPRESA FACTORES EXTERNOS A LA EMPRESA

DEBILIDADES AMENAZAS
Alta rotación del personal Promesa de entrega a clientes ( incumplimientos)
Falta de cobertura y seguimiento a las Demoras en la realización de activ idades por
operaciones en ruta, mensajería. presupuesto
Falta de inspección a los procesos operativ os. Falta de capacitación
Fallas operativ as Falta de documentación de procesos criticos
I nfidencia I nterna. Caídas constantes del sistema

FORTALEZAS OPORTUNIDADES
Cambio de estrategia con la implementación de la
Seguimiento continuo a indicadores de gestión
operación de los procesos misionales
Seguimiento continuo a acciones de mejora Cambio en la estructura de los procesos
Reestructuración del proceso Cambio de normativ idad y legislazición aplicable
Experiencia y conocimiento de los procesos
Disponibilidad de recursos informáticos
Experiencia y conocimiento de los procesos

Figura 6. Muestra de establecimiento del contexto a partir de la matriz DOFA. Elaboración propia

26
5.3.2. Fase 2 – Identificar el Riesgo

Previo al inicio del proceso de valoración (identificar, analizar y evaluar) de riesgos de


seguridad de la información de está y las siguientes fases, se realizó la identificación de
activos de información de los procesos de Call Center y Logística Personalizada, teniendo en
cuenta las siguientes consideraciones.

5.3.2.1. Identificación y Clasificación de Activos de Información

Como se mencionó en la introducción del proyecto, la información es uno de los activos de


mayor valor que poseen las empresas y puede encontrarse en diferentes medios y formas:
almacenada en archivos digitales o físicos u otro medio de almacenamiento o intercambio de
información, transmitida por correos físicos o electrónicos, impresa o en papel, entre otros.

A través de entrevistas con los responsables del proceso y subprocesos, se realizó el


inventario de los activos de información por proceso de Call Center y Entrega Personalizada
y se documentó en la matriz de activos, la cual fue entregada a cada responsable por correo
electrónico y certificado mediante un acta, quien es el responsable de mantener actualizar
dicha matriz.

Para realizar la identificación y clasificación de activos de información, se diligencio los


campos que se define en la Tabla 1, donde se recolectan los datos necesarios para identificar
los activos de información, a manera de ejemplo se presenta en la Tabla 2, el Tipos de
Contenedor y Contenedor donde se puede almacenar activos de información físicos o
digitales y finamente se presenta la Tabla 3, con la explicación de las cuatro opciones
definidas por la compañía (Secreta, Confidencial, Uso Interno y Publica) para realizar la
clasificación y etiquetado de los activos de información..

27
Tabla 1.
Parámetros para la identificación y clasificación de activos de información
NOMBRE CAMPO DESCRIPCIÓN
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Consecutivo que identifica que el activo de información asociado al proceso (Nomenclatura: ACT-
ID ACTIVO
[abreviatura del nombre del proceso]-[Numero Consecutivo de 2 dígitos])
ÁREA - PROCESO Nombre del proceso o área al que pertenece el activo de información
Relacione el nombre de los productos que se tienen contratados o sobre el que se identifica el activo
PRODUCTO
de información
ACTIVO DE INFORMACIÓN Nombre del activo de información que identifico el responsable del proceso

DESCRIPCIÓN Descripción del activo de información y su funcionalidad, dentro del proceso.

TIPO (Digital o Física) Descripción del activo de información si es Digital o Físico

TIPO DE CONTENEDOR Registrar el tipo de contenedor de acuerdo a la hoja "Tipo de Contenedores" de este formato

CONTENEDOR Lugar(es), dispositivo(s) o medio(s), donde se encuentra la información


Persona, encargada de controlar la creación, desarrollo, mantenimiento y uso de los activos, además
RESPONSABLE
de rendir cuentas.
Persona responsable de mantener los controles sobre los contenedores y por ende sobre los activos
CUSTODIO
de información.
USUARIOS Área, persona, entidad o proceso que hace uso de los activos de información.
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Lista desplegable que permite seleccionar la clasificación de la información (Secreta, Confidencial,
CLASIFICACIÓN DE
USO INTERNO, PÚBLICA) a la que corresponde el activo identificado y definido por el responsable
ACTIVOS DE INFORMACIÓN
del proceso.
Fuente: (Seguridad de la Información de TGE, 2017)

Tabla 2.
Ejemplo de Tipo de Contenedor y Contenedor de activos de información
TIPO DE CONTENEDOR CONTENEDOR
App
BD
Web
Correo
Servidores
Archivos
Dominio

Firewall
Comunicaciones

Estación de trabajo
Equipos de Computo
Portátil / Dispositivos Moviles
Medios de USB
Almacenamiento Discos Duros
Extraíble (Físicos) Cd's y/o DVD's
Oficinas
Bodegas o Bóvedas
Centros de computo
Espacio Físico
Áreas de Archivo

Tulas
Transporte
Cajas
Documentación
Maletas / Maletines

Fuente: Elaboración Propia

28
Tabla 3.
Criterios de clasificación de activos de Información.

Fuente: (Seguridad de la Información de TGE, 2017)

A continuación, se presenta la matriz de identificación y clasificación de activos de


información que se diligencio para cada uno de los procesos de Call Center y Entrega
Personalizada partiendo de la información suministrada por entrevistados de cada proceso,
Tabla 4.

29
Tabla 4.
Matriz de identificación de activos de información para los procesos

Fuente: (Seguridad de la Información de TGE, 2017)

30
5.3.2.2. Identificación y Clasificación de Activos de Información Call
Center

Como evidencia del desarrollo de la actividad de identificación y clasificación de activos de


información del proceso de Call Center, se tomó de la matriz de activos consolidados, una
muestra de cinco (5) activos correspondientes a los subprocesos de Venta y Agendamiento
que hacen parte de todo el proceso de Call Center.

A continuación, se presenta en las siguientes tablas los activos de información de la muestra:

Tabla 5
Identificación y clasificación activo de Información "Solicitudes de Apertura de Campañas"
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-CALL-001 Proceso /Subproceso Call Center / Ventas Agendamiento
Activo de información Solicitudes de Apertura de Campañas
Descripción
Documento donde se detalla las condiciones de servicio para la apertura de una campaña, contiene información:
Nombre del cliente, tipo de campaña (Ventas, Agendamiento), especificaciones técnicas de la campaña, cantidad de
registros a gestionar, las fecha de inicio y cierre de la campaña descripción del procedimiento de gestión, guía y manual
de la campaña.
Entrega de plásticos,
Producto Tipo (Digital o Física) Digital
venta de seguros

. Correo Electrónico del Director y


. Servidores Supervisores, Monitoreo y
Tipo de Contenedor Contenedor Capacitación de Call Center
. Equipo de Computo
. Estación de Trabajo de Director y
Supervisores de Call Center.

Responsable
. Director del Call Center
. Director del Call Center
. Agentes del Gestión del Call Center.
. Supervisores del Call
. Supervisores del Call Center.
Center
Custodio Usuarios . Monitoreo y Capacitación de Call
. Monitoreo y
Center
Capacitación de Call
Center
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Confidencial X Uso Interno
Secreta Publica
Fuente: Elaboración propia.

31
Tabla 6.
Identificación y clasificación activo de Información "Manuales de Call Center"
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-CAL-022 Proceso /Subproceso Call Center / Ventas Agendamiento
Activo de información Manuales de Call Center
Descripción

Archivo en Excel que Monitorio y capacitación sube en la carpeta compartida de proceso de archivos biblioteca , contiene todo
las campañas vigentes que se manejan el Call Center.

Contiene las especificaciones las condiciones de agendamiento para cada proceso que se realiza en el Call Center de acuerdo
al ANS firmado por con el cliente.

Todos los agentes de agendamiento deben conocer muy bien la información contenida en este archivo para poder iniciar la
programación de las entregas de los productos y servicios contratados con el cliente

Entrega de plásticos, venta


Producto Tipo (Digital o Física) Digital
de seguros

. Carpeta compartida del área ruta


Tipo de Contenedor . Servidor Contenedor
archivo biblioteca

Responsable
. Director del Call Center
. Director del Call Center
. Supervisores del Call . Director del Call Center
Center . Supervisores del Call Center
Custodio . Monitoreo y Capacitación de Usuarios . Monitoreo y Capacitación de Call
Call Center Center
. Agentes de gestión del Call . Agentes de gestión del Call Center
Center
CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Confidencial Uso Interno X
Secreta Publica
Fuente: Elaboración propia

32
Tabla 7.
Identificación y clasificación activo de Información "Reporte de la Ultima Gestión del Call Center”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-CAL-025 Proceso /Subproceso Call Center / Agendamiento
Activo de información Reportes de la Ultima Gestion Call Center
Descripción

Archivo en Excel que se genera automaticamente cada 30 minutos el en aplicativos, se descarga para realizar seguimiento de la
gestión realizada por los agentes y garantizar la gestion de la operacion al 100% de todo el Call Center.

El corte de la gestion diaria se debe descarga al dia siguiente antes de las 6:30 am y por el superviso y lleva el historico en su
equipos.

Producto Entrega de plásticos Tipo (Digital o Física) Digital

. Estación de trabajo del Supervisora del


Tipo de Contenedor . Equipo de computo Contenedor
Call Center - Agendamiento

Responsable
. Director del Call Center

. Supervisora del Call Center - . Supervisora del Call Center -


Custodio Usuarios
Agendamiento Agendamiento

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN


Confidencial Uso Interno X
Secreta Publica
Fuente: Elaboración propia

33
Tabla 8.
Identificación y clasificación activo de Información "Reporte Mensual Multilinea”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-CAL-027 Proceso /Subproceso Call Center / Agendamiento Venta
Activo de información Reporte Mensuales Multilinea
Descripción

Archivo en Excel generado por el supervisor que contiene información de los incumplimientos de las citas que se agenda,
encuestas que se le realizan a los cliente para saber si el proceso de entrega se realizó a satisfacción y los ilocalizados que son
los clientes que nunca se pudieron contactaron para la entrega de un producto.

Lo envía a través de correo electrónico a los directores, coordinadores y supervisores de cada una de las áreas de la empresa
se archiva en su equipo en una carpeta de mis documentos.

Entrega de plásticos, venta


Producto Tipo (Digital o Física) Digital
de productos

. Estacion de Trabajo del


Supervisor de Inbound Multilinea
. Equipo de Computo
. Correo Electronico Supervisor
Tipo de Contenedor Contenedor
Agendamiento y Venta,, Gerente de Call
. Servidores
Center, Director de Entrega
Personalizada

Responsable
. Director del Call Center

. Director del Call Center


. Director de Entrega . Director del Call Center
Personalizada . Director de Entrega Personalizada
Custodio Usuarios
. Supervisores de Call . Supervisores de Call Center . .
Center . Supervisores Supervisores Entrega Personalizada
Entrega Personalizada

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN


Confidencial Uso Interno X
Secreta Publica
Fuente: Elaboración propia

34
Tabla 9.
Identificación y clasificación activo de Información " Llamadas Grabadas”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-CAL-030 Proceso /Subproceso Call Center / Agendamiento Venta
Activo de información Llamadas Grabadas
Descripción
Todas las llamadas generadas en los diferentes procesos se graban a través de la planta telefónica y se almacenan para
garantizar la efectividad, el cumplimiento de todos los parámetro y el guion definido por el cliente.

El tiempo de custodia de las grabaciones esta definido de acuerdo a los ANS y contratos con cada cliente y dando
cumplimiento a lo exigido por ley. adicionalmente se envían a los clientes dando cumplimiento a la frecuencia y el medio de
intercambio de información definido (CD/DVD con información cifrada, VPN, etc.)

Las grabaciones son el único soporte de la gestión realizada y de aceptación del cliente de la venta o entrega de un producto,
estas son escuchadas por monitoreo para y valida que cumplen los criterios de calidad.
Entrega de plásticos, venta
Producto Tipo (Digital o Física) Digital
de productos

. Servidor . VPN

. Servidor . Servidor de Grabaciones


Tipo de Contenedor Contenedor
. Medios de Almacenamiento . CD/DVD
Extraíble (Físicos)

Responsable
. Director del Call Center

. Agente de Monitorero del Call Center


. Agente de Monitorero del
. Supervisores de Call Center
Call Center
Custodio Usuarios . Director del Call Center
. Tecnologia
. Tecnologia
. Cliente
. Cliente

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN


Confidencial X Uso Interno
Secreta Publica
Fuente: Elaboración propia

5.3.2.3. Identificación y Clasificación de Activos de Información Entrega


Personalizada

Al igual que el proceso anterior para evidenciar el del desarrollo de la actividad de


identificación y clasificación de activos de información del proceso de Entrega
Personalizada, se tomó de la matriz de activos consolidados, una muestra de cinco (5) activos
correspondientes a los subprocesos de Alistamiento, Custodia, Distribución y Entrega de
productos financieros.

A continuación, se presenta en las siguientes tablas los activos de información de la muestra:

35
Tabla 10.
Identificación y clasificación activo de Información " Informes Clientes”
IDENTIFICACIÓN DE ACT+A3:D9IVOS DE INFORMACIÓN
ID Activo ACT-PDZA-002 Proceso /Subproceso Entrega Personalizada/ Alistamiento
Activo de información Informes Clientes
Descripción

Informes generado por personal de Alistamiento a los analistas de entrega personalizada para que realicen el envío del reporte
de la operación (consolidado de recibido y novedades presentadas, estadísticas del avance del proceso, cifras de gestión) al
Banco, estos reportes pueden generarse de manera diaria, semanal o mensual y enviarse a través de los canales y medios de
comunicación definidos (Cargue en la VPN, por correo electrónico con adjunto cifrado) con los Bancos en los ANS.

Nota: En la matriz de activos de información este activo contiene mayor información en su descripción, tipo de contenedor y
contenedor, por confidencialidad no se presenta de manera completa.

Tarjetas (crédito, débito,


Producto Tipo (Digital o Física) Digital
claves), token y Chequeras

. Servidor . Correo Corporativo Analista Entrega


Personalizada

. Equipo de Computo . Estación de trabajo Analista


Personalizada
Tipo de Contenedor Contenedor
. Servidor . Aplicaciones (Sistemas de Información)
Propios

. Servidor . VPN Cliente

Responsable
. Director de Entrega Personalizada

. Coordinador Entrega
Personalizada
. Coordinador Entrega Personalizada
. Director Entrega
Custodio Usuarios . Director Entrega Personalizada
Personalizada
. Analista de Entrega Personalizada
. Analista de Entrega
Personalizada

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN


Confidencial X Uso Interno
Secreta Publica
Fuente: Elaboración propia

36
Tabla 11.
Identificación y clasificación activo de Información " Papelería Bancaria”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
ID Activo ACT-PDZA-011 Proceso /Subproceso Entrega Personalizada/ Alistamiento
Activo de información Papelería Bancaria
Descripción

Solicitudes de papelería bancaria requerida por el área de alistamiento, esta papelería hace referencia a formatos o insertos,
publicidad, pagares en blanco dicho información se envía en el sobre al cliente cuando se envían las entregas de los diferentes
productos.

Tarjetas (crédito, débito,


Producto Tipo (Digital o Física) Física
claves), token y Chequeras

. Estación de trabajo Analista


. Equipos de Computo
Personalizada
Tipo de Contenedor . Servidores Aplicaciones Contenedor
. Correo Corporativo
. Espacios Físicos
. Área Segura

Responsable
. Director de Entrega Personalizada

Custodio . Supervisor de Alistamiento Usuarios . Analista de Entrega Personalizada

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN


Confidencial X Uso Interno
Secreta Publica
Fuente: Elaboración propia

37
Tabla 12.
Identificación y clasificación activo de Información " Tarjetas (crédito, débito, claves), token y Chequeras -
Productos en custodia”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Entrega Personalizada/ Alistamiento
ID Activo ACT-PDZA-020 Proceso /Subproceso
Custodia
Activo de información Tarjetas (crédito, débito, claves), token y Chequeras - Productos en custodia
Descripción
Luego del proceso de alistamiento de los diferentes productos en las bolsas de seguridad, se envían a custodia mientras salen a
ruta para ser entregados por los mensajeros.

Cuando un producto que llegan del realzador o directamente del cliente en una unidad de carga, se validad mediante audio y
video el numero de guía que se encuentre cargado en el sistema interno para inicial el proceso de revisión del contenido y el
alistamiento, en caso de aun no estar cargado los productos de la unidad de carga, esos se envían de alistamiento a custodia al
área segura mientras el cliente reporta los productos y poder así iniciar el proceso de alistamiento.

Tarjetas (crédito, débito,


Producto Tipo (Digital o Física) Física
claves), token y Chequeras

. Espacios Físicos . Estantes del área segura


Tipo de Contenedor Contenedor
. Espacios Físicos . Cabinas de Alistamiento

Responsable
. Director de Entrega Personalizada

. Supervisor de Alistamiento
. Supervisor del área Segura . Operación de alistamiento
Custodio Usuarios
. Operarios de Alistamiento . Operarios del área Segura
. Operarios de área Segura

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN


Confidencial X Uso Interno
Secreta Publica
Fuente: Elaboración propia

38
Tabla 13.
Identificación y clasificación activo de Información " Manifiestos de Entrega”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Entrega Personalizada/ Distribución
ID Activo ACT-PDZA-024 Proceso /Subproceso
Entrega
Activo de información Manifiesto de entrega
Descripción

Documento generado diariamente a todos los mensajeros, donde se relaciona los productos registrados en el documento
contra los sobres a entregas en el recorrido del día.

El documento contiene todos los datos del cliente (usuario) y del mensajero que debe hacer la entrega de los productos
relacionados. (GP, nombre, CC y dirección) y es generado por la aplicación de la operación.

Tarjetas (crédito, débito,


Producto Tipo (Digital o Física) Física y Digital
claves), token y Chequeras

. Estantes o colmena del área de


. Espacios Físicos distribución.
Tipo de Contenedor Contenedor
. Servidor . Aplicaciones (Sistemas de Información)
Propios

Responsable
. Director de Entrega Personalizada

. Supervisor de Distribución y
. Supervisor de Distribución y Entrega
Entrega
Custodio Usuarios . Operarios de Entrega
. Operarios de Entrega
. Mensajero de la operación
. Mensajero de la operación

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN


Confidencial Uso Interno X
Secreta Publica
Fuente: Elaboración propia

39
Tabla 14.
Identificación y clasificación activo de Información " Acuses de Recibo”
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Entrega Personalizada/ Distribución
ID Activo ACT-PDZA-026 Proceso /Subproceso
Entrega
Activo de información Acuses de Recibo
Descripción

Documento impreso donde certifica la entrega del productos al destinatario, finalizado la ruta del mensajero, este retorna los
acuses de recibo diligenciado por los destinatarios que recibieron los diferentes productos y se entrega al subproceso de
entrega para que posteriormente digitalicen.

Tarjetas (crédito, débito,


Producto Tipo (Digital o Física) Física y Digital
claves), token y Chequeras

. Estantes o colmena del área de


. Espacios Físicos
distribución.
Tipo de Contenedor Contenedor
. Servidor
. De archivos

Responsable
. Director de Entrega Personalizada

. Supervisor de Distribución y Entrega


. Supervisor de Distribución y
. Operarios de Entrega
Entrega
Custodio Usuarios . Mensajero de la operación
. Operarios de Entrega
. Director de Entrega Personaliza
. Mensajero de la operación
. Coordinador de Entrega Personalizada

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN


Confidencial Uso Interno X
Secreta Publica
Fuente: Elaboración propia

5.3.2.4. Identificación de Riesgos de Seguridad de la Información

Finalizadas las entrevistas de identificación de activos de información y la entrega formal a


los responsables del proceso de la matriz de activos, se inició el proceso de valoración de
riesgos, comenzando con: “la identificación de los riesgos asociados al proceso y
determinando las fuentes, causas y consecuencias potenciales que puedan afectar el
cumplimiento de los objetivos planteados en la compañía” (Seguridad de la Información
TGE, 2016).

40
Para realizar la identificación de los riesgos de seguridad de la información de consideraron
los siguientes parámetros, los cuales se diligenciaron en la matriz de Análisis y Evaluación
de Riesgos en Seguridad de la Información en todos los dos procesos.

Tabla 15.
Parámetros para el diligenciamiento matriz de riesgos - Fase 2 Identificación

Fuente: (Seguridad de la Información TGE, 2017)

Paralelo a las entrevistas de valoración de riesgos de seguridad de la información con los


responsables del proceso y demás involucrados, se crearon diferentes listados con la relación
de Riesgos, Causas y Controles, estos últimos hacen parte de la fase 4 – evaluación del riesgo
y no se presentarán en este documento, debido a que fueron establecidos durante el desarrollo
del proyecto para la empresa TGE y mantienen su carácter confidencial.

A continuación, se presenta la estructura de la matriz de riesgos correspondiente a la fase 2


– identificación de riesgos utilizada para los procesos de Call Center y Entrega Personalizada

41
Tabla 16.
Matriz para el análisis y evaluación de riesgos de SI - Fase 2 Identificación

Fuente: (Seguridad de la Información TGE, 2017)

42
5.3.2.5. Identificación de Riesgos de Seguridad de la Información Call Center

Tabla 17.
Muestra de la identificación de riesgos - Proceso Call Center

Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI (Seguridad
de la Información TGE, 2017)

43
5.3.2.6. Identificación de Riesgos de Seguridad de la Información Entrega Personalizada

Tabla 18.
Muestra de la identificación de riesgos - Proceso Entrega Personalizada

Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017)

44
5.3.3. Fase 3 – Análisis de Riesgo

Esta actividad hace parte del proceso de valoración de riesgo, “(…) implica el desarrollo y la
comprensión del riesgo, brindando una entrada para su evaluación, así como criterios para
determinar si es necesario no tratar los riesgos, al igual que las estrategias adecuadas para su
tratamiento” (Seguridad de la Información TGE, 2016).

El análisis de riesgos implica el desarrollo y la comprensión de los riesgos identificados,


primero se determinó cuál o cuáles pilares de la seguridad de la información
(Confidencialidad, Integridad y Disponibilidad) afecta directamente el riesgo identificado,
luego, los riesgos son analizados para determinar su probabilidad de ocurrencia, esto se
califica en una escala de 1 a 5 donde 1 es muy baja y 5 muy alta, y finalmente se estima el
riesgo con respecto a las consecuencias (impacto), mediante la calificación de su nivel en una
escala de 1 a 5 donde 1 es Inferior y 5 superior y el impacto financiero, Reputacional o legal
que afecte a la compañía en un caso de materializarse el riesgo

45
5.3.3.1. Análisis de Riesgos de Seguridad de la Información Call Center

Tabla 19.
Análisis de riesgos de SI de la muestra - Proceso Call Center

Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017)

Para el responsable del proceso del Call Center, al realizar el análisis de los riesgos sin ningún tipo de control en caso de
materializarse, generaría a la compañía un impacto a nivel legal, lo cual podría implicar sanciones de entes regulatorios o la
aplicación de cláusulas contractuales o demandas en contra o Aplicación de sanciones que impactan negocios futuros.

46
5.3.3.2. Análisis de Riesgos de Seguridad de la Información Entrega Personalizada

Tabla 20.
Análisis de riesgos de SI de la muestra - Proceso entrega Personalizada

Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).

Para el responsable del proceso del Entrega Personalizada, al realizar el análisis de los riesgos sin ningún tipo de control en caso
de materializarse, generaría a la compañía un impacto a nivel legal, lo cual podría implicar sanciones de entes regulatorios o la
aplicación de cláusulas contractuales o demandas en contra o Aplicación de sanciones que impactan negocios futuros y financiero,
lo cual la materialización del riesgo conlleva a una pérdida o sobre costo mayor que 30 y 50 SMMLV (valores tomados de la tabla
con la escala del impacto financiero definido por la Gerencia General).

47
5.3.4. Fase 4 – Evaluación del Riesgo

La evaluación del riesgo hace parte de la última actividad del proceso de valoración de riesgo,
esta fase está compuesta de dos partes:

La primera parte, comprende la primera evaluación de la probabilidad y el impacto


de la fase del análisis del riesgo para determinar el riesgo inherente que corresponde
al nivel de riesgo propio del desarrollo de la actividad sin ningún tipo de control. La
segunda, parte establece que para tratar o gestionar los riesgos identificados, se
deberán implementar los controles suficientes para disminuir su probabilidad o
impacto con base la evaluación de los controles existente que permitan mitigar los
riesgos identificados. (Seguridad de la Información TGE, 2016).

La actividad de evaluación de controles existentes consistió en validar que los controles


implementados por los responsables de los procesos de Call Center y Entrega Personalizada
fuera afectivo, mitigaran realmente el riesgos, estuviera documentado y se aplicaran, se
hiciera un seguimiento sobre esto y estuviera definida una frecuencia para su revisión,
además permitió identificar si eran de tipo correctivo o preventivo (control correctivo permite
corregir y tomar acciones necesarias una vez se ha materializado el riesgo o control
preventivo creados para reducir la probabilidad de ocurrencia del riesgo).
Como resultado de esta actividad, se encontró en los dos procesos que hay riesgos que:
• No tienen implementado ningún tipo de control por lo cual se requiere de algún tipo de
inversión o definir procedimientos internos para ejecutar los planes de acción que
reduciría la probabilidad e impacto del riesgo,
• Existen controles implementados que no están siendo efectivos y que luego de la
evaluación el riesgo residual continua con el mismo nivel criticidad de riesgo inherente
(sin controles) o simplemente que los controles no se realizan.
• Existen controles que son efectivos y pero que no están documentados ni formalizados.
Entre otras tipificaciones que se encontraron con los controles existente de cada procesos que
se presentó en el informe a la Gerencia General de TGE, solicito que se realizara un trabajo
conjunto con el área de Sistemas de Gestión y Calidad, los Directores de los procesos y
Seguridad de la información la validación de todos los controles existentes para que fueran
efectivos junto y las acciones correctivas definidas en los planes de tratamiento y lograr
reducir los niveles de los riesgos identificados.

48
5.3.4.1. Evaluación del Riesgo de Seguridad de la Información Call Center

Tabla 21.
Evaluación del riesgo de SI de la muestra - Proceso Call Center

Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).

49
5.3.4.2. Evaluación del Riesgo de Seguridad de la Información Entrega Personalizada

Tabla 22.
Evaluación del riesgo de SI de la muestra - Proceso Entrega Personalizada

Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).

50
5.3.4.3. Mapa de Calor Riesgo Inherente y Riesgo Residual

A continuación, se relaciona característica que tienen los riesgos de acuerdo a la zona, luego
de la evaluación de la probabilidad y el impacto y la ubicación en el mapa de calor de los
riesgos que se tomaron de muestra en los procesos de Call Center y Entrega Personalizada.
Tabla 23.
Zona de Riesgo

Fuente: (Seguridad de la Información TGE, 2016)

• Mapa de Calor - Proceso de Call Center


Tabla 24.
Riesgo Inherente – Proceso Call Center

Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)

51
Tabla 25.
Riesgo Residual – Proceso Call Center

Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)

• Mapa de Calor - Proceso de Call Center


Tabla 26.
Riesgo Inherente – Proceso Entrega Personalizada

Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)

52
Tabla 27.
Riesgo Residual – Proceso Entrega Personalizada

Fuente: Elaboración propia, hace referencia al contenido la tabla, se toma como referencia la metodología de
gestión de riesgos de TGE (Seguridad de la Información TGE, 2016)

5.3.5. Fase 5 – Tratamiento del Riesgo

La metodología de riesgos de seguridad de la información. (Seguridad de la Información


TGE, 2016) definió:

Una vez calificados los controles y evaluado su nivel de incidencia en la mitigación


de los riesgos, si el riesgo residual se ubica en una zona de riesgo que requiera
tratamiento, éste se deberá realizar en función de las cuatro opciones de tratamiento
de riesgos que se describen a continuación:

Tabla 28.
Opciones de tratamiento de riesgos de seguridad de la información

Fuente: (Seguridad de la Información TGE, 2016)

53
5.3.5.1. Definición de Planes de Tratamiento de Riesgos de SI Call Center

Tabla 29.
Definición de planes de tratamiento de riesgos de SI Call Center

Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).

54
5.3.5.2. Definición de Planes de Tratamiento de Riesgos de SI Entrega Personalizada

Tabla 30.
Definición de planes de tratamiento de riesgos de SI Entrega Personalizada

Fuente: Elaboración propia, hace referencia al contenido la matriz, se toma como referencia la matriz para el análisis y evaluación de riesgos de SI
(Seguridad de la Información TGE, 2017).

55
5.3.6. Fase 7 – Comunicación y Consulta

La fase de comunicación y consulta se ejecutó transversalmente durante el desarrollo del


proyecto de pasantía, donde se ejecutaron reuniones de conocimiento de los procesos,
explicación de la metodología de riesgos que se utilizó para la valoración del riesgo y la
definición de los planes de acción, adicionalmente se formalizo la entrega de los activos de
información de los proceso, dando como resultado el cumplimiento a las actividades
programas y toma de conciencia por parte de los empleados de la compañía en temas de
seguridad de la información, como también se definió los medios de comunicación para
reportar cualquier situación de riesgo que se presente en la compañía.

A la Gerencia General, se hizo entrega de un informe de gerencia con el detalle de los riesgos
de nivel crítico y alto mediante la implementación y cierre de las acciones correctivas para
los planes de tratamiento de los riesgos de seguridad de la información identificados por parte
del área de Sistemas de Gestión y Calidad de TGE, junto con los responsables de los
procesos de Call Center y Entrega Personalizada y demás áreas involucradas, esta actividad
corresponde a la FASE 6: Monitoreo y Seguimiento de los Riesgos, definida en la
metodología de riesgos.

56
6. CONCLUSIONES

Finalizada la actividad de valoración y definición de los riegos de seguridad de la


información para los procesos de Call Center y Entrega Personalizada, fuimos responsables
de entregar al cliente un sistema de gestión de riesgos actualizado para que se mantenga
vigente a través de la detección de los cambios que presenten en el entorno interno y externo,
evaluando y ajustando lo necesario del sistema para que responda a los cambios que se
presenten.

El reconocimiento por parte de TGE de la responsabilidad que hay en todas las personas que
participan en la compañía para gestionar los riesgos identificados y poder evitar que se
materialice algún riesgo y que pueda afectar la imagen, la reputación o incluso a nivel
financiero o legal a la compañía.

Como resultado de la actividad de identificación y clasificación de activos de información,


se logró identificar un total de 32 activos para el proceso de Call Center y 54 activos para el
proceso de Entrega Personalizada, los cuales deben ser revisados y actualizados por lo menos
una vez al año o antes si se genera algún cambio dentro del proceso.

Como resultado de la actividad de Valoración de riesgos de seguridad de la información, se


identificó en el proceso de Call Center, un total de 22 riesgos de seguridad de la información,
de los cuales 14 riesgos tiene una evaluación del riesgos residual entre crítica y alta y en el
proceso de Entrega Personalizada un total de 56 riesgos, de los cuales un total de 33 tienen
un evaluación del riesgos residual entre crítica y alta, estos requieren ser mitigados de manera
inmediata ya que pueden comprometer confidencialidad, integridad o disponibilidad de la
información propia o de los clientes e incurrir en multas entre otros.

Se debe realizar un nuevo análisis de riesgos en un periodo no superior a un año para verificar
el estado de los mismos y verificar la efectividad de los controles existentes, adicionalmente
se concluyó que los incidentes de seguridad de la información que afecten la
confidencialidad, integridad y disponibilidad de la información de los procesos debe ser
evaluado en la matriz de riesgos para implementar controles correctivos y reducir su impacto
y ocurrencia.

57
LISTA DE REFERENCIA

Assurance ControlTech. (2016). Portafolio de Soluciones Assurance ControlTech. Bogotá.

Icontec Internacional. (2011). Guía Técnica Colombiana GTC 137 - Gestión del Riesgo. Vocabulario.
Bogotá.

ICONTEC Internacional. (2013). NTC-ISO-IEC 27001, Tecnología de la Información. Técnicas de


Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. Bogotá:
ICONTEC.

Instituto Colombiano de Normas Tecnicas y Certificación [Icontec]. (2011). NTC-ISO 31000 Gestión
del riesgo principios y directrices. En I. Internacional. Bogotá.

Instituto Nacional de Ciberseguridad de España, S.A. [INCIBE]. (2014). INSTITUTO NACIONAL DE


CIBERSEGURIDAD incibe. Recuperado el Noviembre de 2016, de
https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf

iso27000.es. (2012). El portal de ISO 27001 en Español. Recuperado el 2016, de


http://www.iso27000.es/glosario.html

iso27000.es. (Octubre de 2013). El portal de ISO 27000 en Español. Recuperado el Marzo de 2017,
de http://www.iso27000.es/download/ControlesISO27002-2013.pdf

iso27000.es. (2013). El portal de ISO 27001 en Español. Recuperado el 2016, de


http://www.iso27000.es/iso27000.html#seccion1

Organización Internacional de Normalización [ISO]. (2014). Estándar Internacional ISO/IEC 27000 -


Tecnología de la Información – Técnicas de Seguridad – Sistema de Gestión de Seguridad
de la Información – Información General y Vocabulario. Suiza.

PECB. (2008). Certificación Internacional ISO 31000 RISK MANAGER. En E. Lachapelle, Certificación
Internacional ISO 31000 RISK MANAGER (4.3 ed., pág. 51).

Seguridad de la Información de TGE. (2016). Política de Seguridad de la Información. Bogotá.

Seguridad de la Información de TGE. (2017). Matriz de Identificación de Activos de Información.


Bogotá.

Seguridad de la Información TGE. (2016). Metodología de Gestión de Riesgos de Seguridad de la


Información. Bogotá.

Seguridad de la Información TGE. (2017). Matriz para el análisis y evaluación de riesgos en


seguridad de la información. Bogotá.

TGE. (2016). Caracterización del proceso - Call Center.

TGE. (2016). Caracterización del proceso - Entrega Personalizada.

TGE. (2017). Procedimiento de Gestión - Operación Entrega Personalizada.

58