Page 1

1

Arango Zapata Importancia de Angelica la Implantación del SGSI en Márquez y Fajardo (Mayo 2013) Resumen—Márquez y Fajardo requiere la Implantación de un SGSI para su modelo de negocio donde pueda ir acorde a la norma ISO 27001, procesos que busca mejorar la calidad de servicio y mejoramiento continuo dentro de la empresa. Su enfoque es su primera etapa es poder lograr un sistema robusto y con un mejor control de negocio. Palabras Claves — Anteproyecto de grado SGSI, Implantación SGSI, Márquez y Fajardo Propuesta de Grado SGSI, Anteproyecto de grado SGSI.

I.

INTRODUCTION

M

arquez and Fajardo in recent years has had a considerable growth of business and a sustainable business model in the construction industry, thereby supporting an important business model for city development with innovations in pursuit of nature conservation in looking for a city in continuous development and environmentally friendly, their success makes the company requires control mechanisms more robust and efficient for the control of your organization, the importance of value and preserve their business model that fits to projections and goals of the company. On the other hand the importance of obtaining and storing data flows gives greater value to the company under technological models to be consistent with current models. Furthermore the importance of certifications such as ISO 27001 [http://www.iso.org/iso/home.html], which seeks to allow the company to have a much more competitive and a high level of favorability and confidence to our customers.

de negocio sostenible en el sector de la construcción, apoyando así a un modelo empresarial importante para el desarrollo ciudad con innovaciones en procura de la conservación de la naturaleza en busca de una ciudad en desarrollo continuo y respetuoso del medio ambiente, su éxito hace que la empresa requiera mecanismos de control mucho más robusto y eficientes para el control de su organización, de la importancia de valorar y preservar su modelo de negocio que vaya acorde a las proyecciones y metas de la empresa. Por otro lado la importancia de obtener flujos y almacenamiento de datos le da un mayor valor a la empresa bajo modelos tecnológicos que vayan acorde a los modelos actuales. Por otro la importancia de las certificaciones como la norma ISO 27001[ http://www.iso.org/iso/home.html], el cual busca que la empresa pueda tener un modelo mucho más competitivo y un alto nivel de favorabilidad y confianza ante nuestros clientes. El sistema de información es un paso inicial para la evolución y conocimiento de la empresa, para el control de la misma y para obtener datos estadísticos de las necesidades que requiere tanto el mercado, como la misma organización en su proceso de crecimiento y competitividad. La implantación del SGSI propuesto beneficia de gran manera a Márquez y Fajardo ya que el modelo busca tanto conocer el proceso con el levantamiento de información, si no que se aliena a las necesidades de la organización, en cuanto un modelo estructurado de seguridad y mucho más acorde a la norma ISO 27001. I. DESCRIPCIÓN DEL PROBLEMA

The information system is an initial step for the evolution and knowledge of the company, to control it and to obtain statistical data on the needs that requires both the market as the same organization in the process of growth and competitiveness. ISMS Implementation of proposed benefits greatly Marquez and Fajardo as the model seeks both know the process to gather information, but it is alienated to the needs of the organization as a structured model of security and more according to ISO 27001. II.

INTRODUCCION

M

árquez y Fajardo en los últimos años ha tenido un crecimiento considerable de la empresa y un modelo

 Material escrito el 01 de Junio de 2013 por Angelica Arango Zapata como sustentación de la propuesta de grado, donde se expone un resumen de los aspectos más importantes a tener en cuenta para su aprobación, para mayo información comunicarse al email angelicaarangozapata@gmail.com

La Compañía Márquez y fajardo está dedicada a la promoción de proyectos de inversión en propiedades de alto rango e inmuebles exclusivos, debido a esto maneja un alto número de clientes fidelizados que realizan negocios de una alta cuantía con dicha empresa, esto la condiciona a tener un sistema de información CRM que alberga los datos de estas personas y toda sus estados financieros, además debe manejar procesos constructivos y pedidos de material a proveedores externos que requieren un cuidado especial para las obras que representa debido a que cualquier falla causaría un retraso en el avance de obra, pero a pesar de las medidas que se han implementado en controles como cámaras de vigilancia, celadores, perfiles de usuarios y control de acceso al personal, se han presentado casos que desestabilizan la línea de trabajo de la compañía y la llevan a perder recursos en solucionar problemas como son las caídas frecuentes del servidor que dejan sin internet a todos los empleados por varias horas, acceso de usuarios a sitios restringidos, virus que capturan claves, caídas de las páginas web, entre otros; todo esto es ocasionado por omitir medidas como empleados que ya no pertenecen a la empresa y sus privilegios no son bloqueados, no se tiene establecidas unas políticas que el


2 personal debe cumplir y peor aún no hay sanciones claras para los daños realizados, no existe un backup de la información que esta almacenada en la nube y si se perdiera el departamento comercial se paralizaría al menos 1 semana, todo esto genera pérdidas económicas ya que las ventas dependen de la información suministrada en las páginas con todos los proyectos y al dejar de funcionar estas, se paralizan las inversiones junto con el flujo de dinero necesario para cumplir con las obras, esta empresa tiene que lidiar con pérdidas en esfuerzos del personal porque es trabajo que se debe repetir y filtrar para garantizar que la información es veraz y no se ha modificado, perdidas de criterio debido a que el acceso no autorizado a información privada de los inversionistas causa un riesgo para ellos y sus familias, por tal motivo el proyecto que consistirá en implantar un SGSI traerá orden tanto al personal porque se implantaran políticas claras y sanciones por su incumplimiento como a los directivos porque seguirán una línea estable que mitigara los riesgos a los que la compañía se ve sometida a diario y permitan centralizar sus esfuerzos en conseguir los objetivos de ventas planteados. II.JUSTIFICACIÓN Las grandes empresas en la actualidad se hacen más competitivas dentro de su ramo y cada vez adoptan más estrategias a fin de garantizar el éxito, y para llegar hasta tal punto han pasado por un crecimiento considerable en sus ventas y una mejora en la forma de elaborar sus procesos convirtiéndose en óptimos ejemplos para las pymes que hasta ahora inician sus recorridos y que necesitan empezar a crecer para mantenerse en el mercado, lastimosamente el área de los sistemas es quien más se descuida en el proceso de crecimiento y se vuelve un departamento improvisado y muy propicio a que los riesgos no tratados se conviertan en falencias para la compañía a corto y mediano plazo, dado el caso y observando lo alejadas que se encuentran las pymes del departamento del Quindío de un control en su información este proyecto tratara de implantar un ejemplo de un sistema de seguridad de la información para una empresa que alberga una cantidad no mayor a 30 empleados y que requiere estar altamente protegida en sus datos, así esperamos que con una culminación exitosa del proyecto a largo plazo en las demás empresas se expandan las bondades de los sistemas de seguridad de la información y se cree un ambiente donde se reconoce a la información como el activo más importante de la empresa y donde la aplicación de unas políticas claras y alineadas con la idea del negocio. Márquez y Fajardo ha tenido inconvenientes en cómo manejar la información de manera prudente y segura, con este sistema en el corto plazo se ayudara a controlar el manejo de la información siguiendo procesos apoyados en la tecnología y en el personal que allí labora además de aportar en la continuidad del negocio para que no se pierda el objetivo inicial y la base en la que fue fundamentada esta compañía, el SGSI estará en cada departamento de la empresa como un soporte legal para que se respeten los activos de la información y con esto poder asignar roles y perfiles que ayudaran a establecer el orden nuevamente de la compañía y filtraran quienes pueden ver o no información

clasificada, la finalidad de este proyecto es apoyar los objetivos empresariales creando políticas que se acomoden a la norma ISO 27001 y usando una metodología como magerit caracterizada por ser confiable y probada anteriormente todas estas medidas ayudaran a la misma a conseguir a corto plazo en la compañía a la que se le implantara este sistema a observar como los cambios paulatinos traen beneficios a sus dirigentes y empleados teniendo un ejemplo claro de los como los controles en los sistemas ayudan a apoyar la continuidad del negocio y establecer una línea de acción que permita que las políticas, controles se adapten al tamaño y la necesidad de cada compañía regulando a su vez los elementos que dan pie a un fallo futuro, en el aspecto del mediano plazo la compañía observara como los riesgos a los que antes estaban expuestos disminuyen y empieza a estabilizarse el negocio reduciendo costos que antes estaban reflejados en pagos a técnicos o tecnólogos para mitigar el daño ya realizado esto generara un ambiente de seguridad que se transmitirá tanto a los empleados como a los Inversionistas, en el aspecto al largo plazo si las políticas y medidas implantadas son seguidas con detenimiento se puede aplicar a la certificación internacional ISO 27001 y así ofrecer a sus clientes una compañía que conoce sus procesos y refuerza sus debilidades, una compañía en constante mejora para estar a la medida con las empresas más grandes de Colombia en el tema de la seguridad de su información. Para los integrantes que desarrollaran este proyecto existirán grandes beneficios contribuyendo en una mejora continua de sus conocimientos en el corto plazo ya que podrán aplicar los conocimientos teóricos en la práctica real de una compañía y tendrán la experiencia de vivir y percibir el ambiente laboral, más adelante este proyecto podrá estar en sus hojas de vida como un desarrollo exitoso de la aplicación de los SGSI en una PYME Quindiana lo que contribuirá a dar mayor valor a su trabajo en una compañía que quiera contratarlos en el futuro. III. OBJETIVOS PLANTEADOS PARA EL PROYECTO A. OBJETIVO GENERAL Implantar un SGSI para la empresa Márquez y Fajardo que se adapte al modelo de negocio, a través de las normas ISO 27001.

A)

OBJETIVO ESPECÍFICOS

1.

Analizar los procesos de negocio en la empresa Márquez y Fajardo en el departamento de servicio al cliente y mercadeo.

2.

Diseñar el mapa de procesos de los distintos departamentos de la compañía para tener estándares aplicables por los empleados.

3.

Identificar las necesidades de la compañía a través la norma ISO 27001.


3 4.

Aplicar la norma ISO 27001 con los estándares requeridos para la certificación internacional estableciendo posibilidades de escalabilidad.

5.

Realizar las validaciones de las normas implantadas dentro de la compañía.

6.

Socializar con el personal y la gerencia los manejos de los activos que se implementaron en la compañía y su beneficio futuro para evitar la negación al cambio. IV. ALCANCE Y DELIMITACIÓN

La implantación del sistema de gestión de la información se realizara en la empresa Márquez y Fajardo en su sede principal ubicada en el departamento del Quindío hasta el punto de implantar y realizar pruebas en los procesos de manejo de la información del departamento de servicio al cliente y mercadeo, se dejaran las pautas necesarias exigidas por la ISO 27001 para la posterior certificación que realizara la empresa con un proyecto interno que no confiere en esta implantación y el cual será desarrollado en el momento que la compañía considere pertinente, este proyecto no constituye ninguna implementación en desarrollo de software pero si en la fijación de medidas, controles, informes, estándares, claves, accesos restringidos a los sistemas que actualmente contienen o podrían contener en el futuro información concerniente a la compañía en el tema de servicio al cliente y mercadeo, además de fortalecer procesos que puedan estar contribuyendo al daño de la seguridad de la información dentro de este departamento , todo esto se realizara con el apoyo de los recursos económicos destinados por la gerencia general de la constructora para el proyecto de SGSI y la disposición del personal del departamento de sistemas para la facilitación de las labores dentro de la empresa.

definición de los procesos necesarios para gestionar la seguridad de la información ayudando a la compañía a minimizar el riesgo y protegerse de las amenazas específicas que presenta su negocio. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. DEFINICION DE ISO27000 ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organización for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. (Icontec, julio 2009)

DEFINICION NORMA ISO207001 Esta norma está basada en lo que debe hacerse dentro de la compañía para alcanzar a cumplir los estándares necesarios en una certificación SGSI. (Icontec, julio 2009) DEFINICION ISO/IEC 27002 Estándares que Estructuran un compendio de buenas prácticas y controles en el SGSI, permitiendo llevar métricas de los procesos implantados. (Icontec, julio 2009) DEFINICION ISO 2004

V. MARQUEZ Y FAJARDO Es una empresa promotora y gestora integral de proyectos y del desarrollo de nuevos negocios, que nace con el respaldo de más de 25 años de experiencia y trayectoria de sus accionistas fundadores, y un equipo humano interno y externo de profesionales en las áreas de economía, negocios internacionales, arquitectura, ingeniería, jurídica y de mercado con objetivos altamente eficientes, innovadores y rentables en beneficio de nuestros clientes, colaboradores y sociedad en general, con responsabilidad social y ambiental. VISION: Gestionar negocios rentables, eficientes e innovadores en sectores estratégicos de alto impacto económico y social como son la actividad inmobiliaria y la infraestructura de servicios, promoviéndolos ante inversionistas nacionales e internacionales, comprometidos con el MEDIO AMBIENTE. (Marquez y fajardo s.a.s) DEFINICION DE SGSI Los sistemas de gestión de la seguridad de la Información de acuerdo a la norma ISO 27000 un SGSI Consisten en la

Estos estándares explicados de manera clara y concreta son basados en el hecho que las estadísticas de riesgo se deben medir en las empresas con una jerarquización de acuerdo a su prioridad, para así atender las necesidades más primordiales que permitan la continuidad del negocio. (Icontec, julio 2009) DEFINICION ISO27005 Conjunto de estándares que contienen los elementos necesarios para establecer políticas eficaces de cómo medir el riesgo que tienen las empresas en su entorno cotidiano. (Icontec, julio 2009) DEFINICION CICLO PHVA P planificar diseño H hacer V verificar A actuar Este ciclo está basado en el hecho en donde las medidas pueden prever que algo sucederá en cualquier momento y minimizar el riesgo posible en la compañía. (iso,2009)


4

DEFINICION POLITICAS DE SEGURIDAD

cada país y así mismo los empleados seguir los estándares y desarrollos considerados por los directivos de seguridad de la información. (Inteco , 2011)

Definiciones establecidas por la dirección, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas, y se implementan decisiones para tomar los correctivos necesarios de acuerdo al incidente presentado. (iso, 2013)

CONTINUIDAD DEL NEGOCIO: Esta dada bajo el concepto de que los servicios de la empresa no deben parar por ningún motivo y las políticas de seguridad deben velar porque así sea previendo posibles fallas antes de tiempo.

DEFINICION RIESGO

SEGURIDAD LIGADA A LOS RECURSOS HUMANOS:

Proximidad o posibilidad de un daño, peligro o Cada uno de los imprevistos, hechos desafortunados, que puede tener un efecto adverso en la continuidad del negocio e impedir que esta ejecute sus actividades normalmente.

Se debe tener un legado de la información manejada por los empleados en el momento de contratación, capacitación, desvinculación laboral.

GESTIÓN DE COMUNICACIONES Y OPERACIONES: Son todos los deberes o responsabilidades que se deben ejercer en pro de la gestión del negocio en termino de comunicaciones, además enfrenta el gestionar con subcontratistas todo el aprovisionamiento tecnológico necesario, capacitaciones, adquisición de sistemas tecnológicos; planificación y aceptación del sistema; y todos los demás sistemas necesarios para la protección oportuna de los sistemas de seguridad como el cerramiento a código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes. DEFINICION BIA El análisis del impacto sobre el negocio (BIA) es uno de los aspectos más Importantes a considerar en el desarrollo de este proyecto se trata pues, de identificar los diversos eventos que pudieran afectar la continuidad de sistemas críticos de la información. (SISTESEG, 2007) ISM3 En él se establecen diferentes niveles de seguridad, donde partiendo desde un nivel inicial en el que se identifica el posicionamiento de la empresa, ésta puede plantearse como meta alcanzar determinado nivel que considere conveniente para sus necesidades de seguridad y adecuado para su disponibilidad de recursos. CObIT Esa una metodología de trabajo que se basa en la administración de las tecnologías de la información pero siempre partiendo de la continuidad del negocio y de la importancia de no interrumpir los procesos empresariales Además de apoyarse en los controles. Para ello considera tres dimensiones: a) los dominios, procesos y actividades de IT; b) los requerimientos de la información del negocio; y c) los recursos de IT. CUMPLIMIENTO: El cumplimiento está orientado en el hecho que los sistemas informáticos deben estar en línea con las normas y leyes de

ACTIVOS: Los activos son todo lo que pueda ser valioso e importante para las compañías, en especial lo que contenga información porque es lo que se debe proteger en la seguridad de la información. (Poveda, 2007) DATOS: Todo tipo de información y caracteres para gestionar transmitir en la organización. (Poveda, 2007) EVALUACIÓN DE RIESGO Y GESTIÓN DEL RIESGO Son los mecanismos que usan las compañías para medir el alcance y la seguridad de sus sistemas ante un desastre que puede comprometer los mismos y en base a estas métricas tomar decisiones sobre las metodologías y recursos a implementar. (SISTESEG, 2007) ESTRATEGIAS DE RECUPERACION Y CONTINUIDAD DEL NEGOCIO Son las soluciones que se implementan para mantener el negocio funcionando y de acuerdo a estos se les dan solución a los mismos los elementos que se consideran son Sistemas telefónicos Redes Locales Redes WAN Redes MAN Internet Personas Infraestructura física Aplicaciones Hardware Bases de datos Sistemas operativos REFERENCIA [1] [Poveda, I. J. (05 de 2007). Los activos de Seguridad de la Información. Recuperado el 15 de 03 de 2013, de


5 wordpress.com http://jmpovedar.files.wordpress.com/2011/03/mc3b3dul o-7.pdf ] [2] [SISTESEG. (2007). METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACION DE DESASTRES Recuperado el 03 de 03 de 2013, de SISTESEG:http://www.sisteseg.com/files/Microsoft_Wo rd_METODOLOGIA_PLAN_RECUPERACION_ANT E_DESASTRES_DRP.pdf] [3] [Icontec. (julio 2009). Compendio Sistema de Gestion de la seguridad de la informacion. Bogota: Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC.] [4]

[Inteco . (2011). Certificado Inteco . Recuperado el 15 de 03 de 2013, de http://cert.inteco.es/extfrontinteco/img/File/intecocert/ sgsi/img/Guia_apoyo_SGSI.pdf iso. (18 de 03 de 2013). http://www.iso.org. Recuperado el 18 de 03 de 2013, de http://www.iso.org/iso/home/store/catalogue_tc/catalo gue_detail.htm?csnumber=42103] [iso. (s.f.). www.iso27000.es. Recuperado el 15 de 03 de 2013, de http://www.iso27000.es/download/doc_iso27000_all.p df ]

[5]

[Marquez y fajardo s.a.s. (s.f.). marquez y fajardo . Recuperado el 15 de 03 de 2013, de http://www.marquezyfajardo.com/main-pagina-id2.htm]

[6]

[Mega, Ing (2 de Diciembre de 2009). fing.ed.uy. Recuperado el 10 de 03 de 2013, de http://www.fing.edu.uy/inco/pedeciba/bibliote/cpap/tes is-pallas.pdf]

[7]

Area de investigacion y planeacino Republica de Colombia. (Diciembre de 2008). Gobierno en Linea. Obtenido de http://programa.gobiernoenlinea.gov.co/apc-aafiles/5854534aee4eee4102f0bd5ca294791f/ModeloSe guridad_SANSI_SGSI.pdf]

[8]

[Belarte, G. (2002). Criptored.upm.es. Obtenido de http://www.criptored.upm.es/cibsi/cibsi2005/present aciones/sesion11/HaciaUnaImplementacionExitosaD eUnSGSI.pdf] [Iglesias, L. M. (2010). Diseño de Gestion de la informacion para empresas. ISO 27001. (s.f.). jmpovedar. Obtenido de http://jmpovedar.files.wordpress.com/2011/03/mc3b 3dulo-7.pdf]

[9]

[10] [11]

[Mega, G. P. (2009). Fing.edu.uy. Obtenido de http://www.fing.edu.uy/inco/pedeciba/bibliote/cpap/t esis-pallas.pdfv [Pieri, L. (2009). Meycor . Obtenido de http://www.meycor-soft.com/es/noticia/aivaimplantacion-exitosa-de-un-sgsi-utilizando-meycorkp]

[12]

[Ribagorda, A. (2004 - 697 páginas). Avances en Crisptologia y seguridad de la informacion . Díaz de Santos, S.A. ]

[12]

[UNE. (2009). UNE EPM TELECOMUNICACIONES. Obtenido de http://saladeprensa.une.com.co/index.php? option=com_content&view=article&id=492%3Aune -certifica-sistema-de-gestion-de-la-seguridad-de-lainformacion&Itemid=166]

sistema de gestio de seguridad de la informacion  

este proyecto muestra el sistema de seguridad de la informacion desarrollado para una empresa

Read more
Read more
Similar to
Popular now
Just for you