ANALISIS ISO 27001.

...

Optimizar los tiempos en otorgar un crédito

Aprendizaje e Innovación

Mejorar la cultura del aprendizaje

Modelo de desarrollo humano

DEPARTAMENTAL (Departamento de Tecnología de la Información):

MISION:

Garantizar seguridad, disponibilidad, integridad y confidencialidad de la información, transacciones, comunicaciones y demás servicios que provee el departamento de T.I. A fin de satisfacer las necesidades y expectativas de la institución.

VISION:

Ser un departamento moderno con personal altamente capacitado, con recursos tecnológicos de última generación que le permita a la cooperativa alcanzar sus objetivos de manera eficiente y oportuna.

OJETIVO DEPARTAMENTAL:

Implementar procedimientos, controles y su seguimiento, con el propósito de salvaguardar los datos, operaciones de proceso y controlar salida de información con la finalidad de preservar la integridad de la información procesada por la Institución y que ésta se encuentre disponible para el usuario.

Nos centraremos en el departamento de Tecnología de la Información, en el servicio MESA DE AYUDA o HELP DESK.

2. Respondiendo a ese objetivo de negocio, establece un posible alcance para vuestro SGSI de forma justificada.

Implementación de un SGSI aplicado al servicio de Mesa de Ayuda o Help Desk a cargo del Departamento de Tecnología de la Información de la Cooperativa de Ahorro y Crédito Cámara de Comercio de Ambato Ltda., con el fin de mejorar los tiempos de respuesta ante problemas y dificultades que presenten los usuarios que utilicen recursos de Tecnologías de información de la institución, con el fin de que el usuario brinde un mejor servicio al cliente externo, renovando la experiencia del mismo con la institución. Basado en los siguientes controles:

A.12 Seguridad de las operaciones

A.12.1 Procedimientos y responsabilidades operacionales

Objetivo: Asegurar el funcionamiento correcto y seguro de las instalaciones de tratamiento de la información.

A.12.1.1 Documentación de procedimientos de la operación

Control

Deben documentarse y mantenerse procedimientos de operación y ponerse a disposición de todos los usuarios que los necesiten.

A.12.1.2 Gestión de cambios

Control

Los cambios en la organización, los procesos de negocio, instalaciones de tratamiento de la información y los sistemas que afectan a la seguridad de información deben ser controlados.

A.12.1.3 Gestión de capacidades

Control

Se debe supervisar y ajustar la utilización de los recursos, así como realizar proyecciones de los requisitos futuros de capacidad, para garantizar el rendimiento requerido del sistema.

A.12.1.4 Separación de los recursos de desarrollo, prueba y operación

Control

Deben separarse los recursos de desarrollo, pruebas y operación, para reducir los riesgos de acceso no autorizado o los cambios del sistema en producción.

JUSTIFICACION:

La sección de Mesa de Ayuda o Help Desk del departamento de Tecnología de la Información es la encargada de solucionar todos los inconvenientes relacionados con el aspecto informático, presentados en el giro del negocio, al momento recibe pedidos y solicitudes de manera informal, ya sea por llamada telefónica, llamada ip, mensajes de texto, correo, presencialmente, por medio de solicitud por escrito y de forma oral, lo que dificulta la solución y el seguimiento de incidencias y problemas, para lo cual se necesita la aplicación de un SGSI basado en ITIL y la norma ISO 27001, para mantener los registros, monitorear incidentes, encontrar los problemas que los originan y solucionar los mismos de manera efectiva y que se pueda contar con una base de datos de solución de problemas, siguiendo un proceso formal, el mismo que quedara documentado para futuras soluciones, lo que conlleva a la optimización del tiempo y recursos utilizados en esta operación.

3. De los controles de la ISO 27002:2015 de las categorías: 6. Organización de la seguridad de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos según sean: normativos (N), organizativos (O) o técnicos (T) justificándolo muy brevemente, teniendo en cuenta que pueden ser a la vez de más de un tipo.

Ej para la categoría 5, el control: 5.1.1 Políticas para la seguridad de la información: La respuesta sería [N], [O].

[N]: Se requiere un documento normativo que lo establezca.

[O]: En la guía de implantación se indica que deben asignarse las responsabilidades generales.

CONTROLES DESCRIPCION DEL CONTROL USO DEL CONTROL JUSTIFICACION TIPO DE CONTROL

N - O - T

A.6 Organización de la seguridad de la información

A.6.1 Organización interna

A.6.1.1 Roles y responsabilidades en seguridad de la información Todas las responsabilidades en seguridad de la información deben ser definidas y asignadas Las responsabilidades deben ser normadas y quien las va a realizar N - O

A.6.1.2 Segregación de tareas Las funciones y áreas de responsabilidad deben segregarse para reducir la posibilidad de que se produzcan modificaciones no autorizadas o no intencionadas o usos indebidos de los activos de la organización Debe existir segregación de personal para mejorar el control N

A.6.1.3 Contacto con las autoridades Deben mantenerse los contactos apropiados con las autoridades pertinentes Debe generar el contacto con las autoridades O

A.6.1.4 Contacto con grupos de interés especial Deben mantenerse los contactos apropiados con grupos de interés especial,