Trabajo Prctico #5

Gobierno de Tecnologa y Auditora de los Sistemas de Informacin.

6/22/2011 Karen Yineth Gelasio Estupin

KAREN YINETH GELASIO ESTUPIN

Ejercicios Prcticos de GTIySI (EJ:5) Taller Ejecucin del anlisis y evaluacin de riesgos Establecimiento del contexto Propsito: Ayudarle a entender como determinar el contexto para la gestin de los riesgos de seguridad de la informacin. Primera Parte Instrucciones: 1. Identifique una organizacin de su eleccin. Si desea puede utilizar su propia organizacin pero no incluya ningn dato que pueda identificar algn detalle de la compaa que viole su seguridad. Si no se siente cmodo usando su organizacin, usted puede idear una propia, por ejemplo un banco, un proveedor de Internet, una empresa de comercio electrnico o un proveedor de seguridad para un aeropuerto. 2. Considere que productos o servicios ofrece la organizacin 3. Identifique el propsito de la empresa, su negocio, misin, valores, estructura, estrategia y restricciones. Segunda Parte Instrucciones: 1. Para la organizacin seleccionada establezca los criterios de evaluacin, impacto y aceptacin. 2. Redacte el alcance y los limites. 3. Seleccione un proceso

PRIMERA PARTE Organizacin: INTEC se dedica a la venta de productos electrnicos y actualmente tiene varios sistemas de informacin que apoyan sus procesos de negocio. La compaa tiene tres sedes ubicadas en Bogot. Sin embargo en el plan estratgico de la compaa se tiene como meta la apertura de dos sedes en Medelln y una en Cali.

KAREN YINETH GELASIO ESTUPIN

Actualmente la compaa tiene los siguientes sistemas de informacin que apoyan las reas operativas y de mercadeo y ventas: - Inventario - Facturacin - Ventas - Gestin de clientes (CRM) El departamento de TI es el encargado de mantener los sistemas mencionados. Este departamento desarrolla los sistemas de backend siguiendo buenas prcticas de arquitectura: sistemas en capa, distribuidos y en algunos casos web-enabled. Sin embargo la cantidad de cambios en el sector y los nuevos requerimientos de negocio hace que dar una respuesta oportuna sea cada vez ms difcil. Segn ISO 27005 el estudio de la organizacin, implica conocer los elementos caractersticos que definen la identidad de una organizacin. Productos o Servicios Ofrecidos: INTEC presta el servicio de venta de productos electrnicos, y permite llevar un seguimiento de los pedidos que se realizan. Proveer nuevos canales de distribucin, pagos y comunicacin con asociados y proveedores de productos electrnicos. Negocio: INTEC se dedica a la venta de productos electrnicos y actualmente tiene varios sistemas de informacin que apoyan sus procesos de negocio INTEC emplea un portal integrado que facilita a los usuarios solicitar cotizaciones, realizar pedidos y compras, pagar sus facturas, hacer un seguimiento de pedidos y tener un sistema de quejas y reclamos que complementa el call center actual. Misin: Brindar servicios de venta de productos electrnicos con la ms alta calidad del mercado, precios competitivos y calidad que superen las expectativas de los clientes proporcionando servicios de
venta, distribucin y comunicacin a travs de una red de soporte a escala nacional en continua expansin. Visin

Para el ao 2015 seremos una empresa con personal certificado, con capacidad de cubrimiento y disponibilidad de atencin a nivel nacionall, con un amplio portafolio de productos electrnicos,

KAREN YINETH GELASIO ESTUPIN

comprometido con el cumplimiento de las condiciones contractuales de calidad y exigencia de satisfaccin de nuestros clientes. Valores: Confianza ,responsabilidad, cumplimiento, satisfaccin de las necesidades del cliente, seriedad y compromiso,calidad,sana competencia y comunicacin. Estructura: La compaa INTEC tiene tres sedes, ubicadas en Bogot, y prximamente iniciar la apertura de dos sedes en Medelln y una en Cali; la sede central est la ubicada en Bogot, sin embargo la organizacin de las otras sucursales ser una rplica de la estructura adoptada en la sede principal. Un modelo de conexin de nodos que sugiero es:

La estructura de INTEC, consiste en una estructura por reas, donde cada rea est bajo la autoridad de un director de rea, responsable de las decisiones estratgicas, administrativas y operativas con respecto a su rea.

KAREN YINETH GELASIO ESTUPIN

Algunas de las reas ms importantes que menciona la compaa son: --rea Operativa -Funcin: El rea operativa se enfoca en establecer los parmetros tcticos de todo el proceso de Intercomunicacin. Esta rea toma en cuenta todo lo relacionado con el funcionamiento de la empresa. Es la operacin del negocio en su sentido ms general. Desde la contratacin del personal hasta la compra de insumos, el pago del personal, la firma de los cheques, verificar que el personal cumpla con su horario, la limpieza del local, el pago a los proveedores, el control de los inventarios de insumos y de produccin, la gestin del negocio son parte de esta rea. Por lo general, es el emprendedor o propietario quien se encargar de esta rea en su fase inicial. -Importancia: Concentra su inters en establecer los planes de comunicacin en cuanto a : Plan de Fases Operacionales y Plan de Objetivos, Estrategias y Acciones. Es de vital importancia pues se encarga de materializar y definir la estrategia de la organizacin. -rea de Mercadeo y Ventas. -Funcin: En esta rea se detallarn las funciones, capacidades y cualidades de quien ser el responsable y el personal involucrado en la estrategia de mercadeo del negocio, es decir, la publicidad y la marca de los productos ofrecidos por INTEC, la distribucin del mismo y el punto de venta, la promocin y la labor de ventas. -Importancia: De la apropiada difusin de la informacin depende gran porcentaje de los clientes de INTEC, debido a que el rea de mercadeo y ventas tiene que realizar actividades que inciten a los clientes a incursionar en la adquisicin de sus productos y aquellos que ya estn vinculados, creen un lazo de identificacin y fidelidad con la organizacin.

Estrategia: Mantenernos como una empresa confiable y segura. Ofrecer a nuestros usuarios lo ltimo en avances tecnolgicos. Disponer de mltiples sedes a nivel nacional, que abarquen el territorio y lleven la imagen de la compaa.

KAREN YINETH GELASIO ESTUPIN

Convertirnos en una empresa lder del mercado, caracterizada por la seriedad y compromiso al brindar productos que satisfagan a nuestros clientes con altos estndares de calidad y tiempos de entrega ptimos. Consolidar el sentido de pertenencia en nuestros empleados para lograr su mximo compromiso y desempeo. Mantener contacto a nivel internacional a nivel de estndares, normativas y de organizaciones similares Restricciones: Restricciones de recursos : Se dispone de 4 servidores, dos ubicados en la sede principal de Bogot, y dos para ser ubicados en la sede de Cali y una de las sedes de Medelln. Restricciones de tiempo: Todas las reas trabajan de Lunes a Viernes de 7:00AM a 5:00 PM, exceptuando el rea de soporte que maneja turnos y cubre 7x24x365. Restricciones que se originan en el calendario de la organizacin : Feriados de Colombia. Restricciones financieras: Se establecen luego del cierre contable de marzo. Restricciones de presupuesto : Al igual que las restricciones financieras, dependen del cierre contable y de las solicitudes de adquisiciones que se presenten. Restricciones tcnicas: El framework Symfony se usar para el desarrollo de las aplicaciones web que sean empleadas por INTEC, dado que incluyen una gran variedad de componentes de software reutilizables que pueden ser utilizados para el desarrollo de aplicaciones web mejores y ms fciles de mantener. Restricciones operativas: En el departamento de TI se desarrollan los sistemas de backend siguiendo buenas prcticas de arquitectura: sistemas en capa, distribuidos y en algunos casos web-enabled. Restricciones culturales: El calendario adoptado es el gregoriano, deben vacaciones y la salud. cubrirse las

KAREN YINETH GELASIO ESTUPIN

Restricciones ticas:

Ninguna. Restricciones ambientales:

Ninguna Restricciones legales:

Ninguna. Restricciones relacionadas con el personal :

Algunas reas de la compaa requieren autorizacin para entrar. Restricciones para la integracin de controles nuevos y existentes.

Informacin no disponible. Restricciones de naturaleza poltica :

Cambios de facturacin, registro de IVA( Impuesto al Valor Agregado). Restricciones que se originan en el clima poltico y econmico :

No se evidencian restricciones de ste tipo. Restricciones de naturaleza estratgica:

Adoptar el modelo operativo de estandarizacin en todas las sucursales que se abran en el pas, con el fin de brindar uniformidad y claridad en los procesos de la organizacin. Asumir la estandarizacin de los procesos como la uniformidad en su ejecucin independientemente de dnde sea ejecutado o por quien lo est llevando a cabo.

Restricciones relacionadas con los mtodos :

Todas las operaciones que necesiten autorizacin, deben seguir el conducto regular apropiado y quedar almacenadas en el archivo que se encuentra en la sede principal de Bogot. SEGUNDA PARTE Criterios de evaluacin, impacto y aceptacin. Criterios de Evaluacin. Criticidad de los activos de informacin: Aplicacin Web, CRM Clientes.

KAREN YINETH GELASIO ESTUPIN

Los requisitos legales y reglamentarios Disponibilidad, confidencialidad e integridad : Para las operaciones que se manejan, se prioriza la disponibilidad y la integridad. Buen nombre y la reputacin. Criterios de Impacto. Nivel de clasificacin de los activos de informacin impactados.

ACTIVO Bases de datos de clientes. Claves de acceso. Aplicacin Web para transacciones. Equipamiento Servicio de Comunicaciones. Utilitarios Generales

IMPORTANCIA ALTA ALTA ALTA MEDIA-ALTA MEDIA-ALTA MEDIA

Brechas de Seguridad:

Reparacin / Servicio Reparacin en factora: Se devuelve al proveedor para su reparacin. Mantenimiento. Error del vendedor al enviar. Error del cliente al pedir. Error de entrada. Error en el sistema de proceso de pedidos. Error de envo. Se ha enviado material equivocado. Envo incompleto. Cantidad equivocada. Envo duplicado. Pedido duplicado por parte del cliente. No pedido por el cliente. Incompleto. Falta un componente o parte. Por defectos o daado Daado. No funciona. Defectuoso. No funciona bien. Caducado. Daado durante el envo. Se reclamar a la compaa de transportes. Otros. Operaciones deterioradas:

Proceso de pagos en lnea. Proceso de consulta de garanta. Incumplimiento de los requisitos legales, reglamentarios o contractuales.

KAREN YINETH GELASIO ESTUPIN

Los precios deben mantenerse actualizados en cuanto a tipo de moneda, valor y al realizar una compra el sistema debe detallar los importes realizados con el fin de evitar que el cliente realice una compra y sta le lleve gastos adicionales no especificados;esto afecta negativamente la imagen de INTEC y uno de sus principales valores que es la Seriedad. Todos los precios son publicados en pesos Colombianos, incluyen gastos de importacin, entrega a domicilio en Departamentos de Valle del Cauca, Cundinamarca y Antioquia( Colombia) e IVA. PAGOS : Sistema de 12 pagos mensuales se aplica a compras con las tarjetas de crdito American Express o HSBC y el de 21 pagos solamente para la tarjeta de crdito Master Card, en ambos casos solo se aplican a configuraciones participantes. INTEC no se hace responsable por cargos adicionales por uso de tarjetas o intereses, cargos por mora o penas por caso de retraso de acuerdo a con su contrato con el banco. PROMOCIONES : Precios promocionales aplican a hasta 3 productos acogidos en la promocin por orden, por cliente y no son validas para distribuidores o revendedores. Alteracin de planes y fechas lmites:

Dado que el proceso de compra de un producto se puede inciar directamente o bajo una cotizacin previa, las fechas lmites que deben garantizarse son: -Fecha de envo de mercanca.

Normalmente, el software, los perifricos y los accesorios se entregan en un plazo de 7 das laborales, despus de que el usuario reciba la confirmacin del pedido. No obstante, este perodo de entrega es slo un estimado y puede sufrir variaciones, que no deben superar los 15 das hbiles. Los gastos de envo se incluyen en el precio mostrado en el resumen del carrito de compras y aparecen de forma detallada en la pgina del carrito de compras .-Fecha de envo de cotizacin. Una cotizacin no debe tardar ms de 3 das hbiles, debido a que esto puede generar: 1. Inconformidad de clientes. 2. Bsqueda de productos en la competencia. 3. Prdida de imagen. 4. Variacin en precios y promociones.

Alcance y los limites. Objetivos estratgicos de negocio, polticas y estrategias de la organizacin

KAREN YINETH GELASIO ESTUPIN

10

Objetivos Estratgicos: o o o o o o Calidad. Investigacin y desarrollo Posicionamiento y Rentabilidad. Recurso Humano Responsabilidad Social Productividad y Tecnologa. Imagen Corporativa.

Principios y Polticas:
o o o o o

Calidad: Nuestro servicio es prestado por personal altamente motivado capacitado y responsable de acuerdo a nuestro proceso de seleccin. Sana Competencia: Nuestro reconocimiento en el mercado se fundamenta en una transparente y sana competencia. Atencin al cliente: Se fundamenta en una transparente, fluida y adecuada comunicacin. Recursos humanos: Apoyar las aspiraciones de quienes componen la empresa con el fin de lograr ciertas metas para el beneficio personal y de la entidad. Comunicacin: Es la base fundamental en las relaciones que se establecen en nuestra organizacin.

o o o o o

Estrategia Seleccin y capacitacin del componente humano de nuestra organizacin. Mantener estndares de calidad en el cumplimiento de los contratos y la atencin de nuestros clientes. Ampliar el cubrimiento de clientes para nuestro portafolio de servicio. Mejoramiento de la calidad de vida en el trabajo. Incursionar en el mercado de equipos de cmputo, dando una oferta que se distinga de la competencia por su calidad seriedad y garanta.

Procesos del negocio: PROCESOS DE NEGOCIO Consultar Pedido. Anular Pedido. Despachar Pedido. Seguimiento de Cliente. Registrar Queja Consultar Queja. Seguimiento de Queja.

Agregar Producto. Modificar Producto. Eliminar Producto. Consultar Producto. Agregar Cliente. Modificar Cliente. Consultar Cliente.

KAREN YINETH GELASIO ESTUPIN

11

Solicitar Pedido

Mantener Queja.

Funciones y Estructura de la organizacin; La estructura de INTEC, consiste en una estructura por reas, donde cada rea est bajo la autoridad de un director de rea, responsable de las decisiones estratgicas, administrativas y operativas con respecto a su rea. Algunas de las reas ms importantes que menciona la compaa son el rea operativa y el rea de Mercadeo y ventas. Requisitos legales, reglamentarios y contractuales aplicables a la organizacin: Empleo de facturacin con Registro nico Tributario. Impuesto al Valor agregado a todos los productos, correspondiente al 16% del valor neto de ste. Poltica de Seguridad de la informacin de la organizacin Privacidad y seguridad de los datos

El derecho a la privacidad y a la seguridad es una importante la mayor preocupacin de gran importancia para INTEC. Poltica de privacidad de INTEC INTEC respeta su privacidad. En lo que respecta a nuestro negocio en todo el mundo, recopilamos, almacenamos y usamos su informacin personal para propsitos muy concretos. La utilizaremos para prestarle asistencia y para mejorar nuestra relacin con usted; por ejemplo, para procesar su compra, ofrecerle servicio y asistencia, compartir con usted noticias sobre productos, servicios y la empresa y, adems, hacerle ofertas comerciales. No vendemos su informacin personal, aunque podemos compartir preferencias agregadas de Internet con anunciantes en los sitios de INTEC. Para proteger sus datos personales, le proporcionaremos los avisos que sean pertinentes y nos aseguraremos de que disponga de la informacin adecuada acerca de cmo se comparte su informacin, en caso de que compartamos sus datos personales fuera de la familia de empresas de INTEC. Solo compartiremos sus datos con partners que manifiesten el mismo compromiso que INTEC en cuanto a la proteccin de su privacidad y sus datos. Pngase en contacto con INTEC si tiene alguna pregunta o duda sobre la privacidad. Tambin puede solicitarnos consultar los datos personales que nos haya proporcionado y que los modifiquemos, corrijamos o eliminemos. Nos esforzamos por proteger la seguridad de sus datos personales mediante las medidas y los procesos adecuados.

KAREN YINETH GELASIO ESTUPIN

12

Enfoque global Si, en cualquier momento, la prestacin continuada del servicio comprometiera la seguridad del servicio debido a, entre otros, intentos de piratera, ataques de denegacin de servicio, bombas de correo electrnico u otras actividades malintencionadas, ya sea dirigidas a los dominios del cliente o procedentes de estos, el cliente acepta que INTEC o su proveedor suspenda temporalmente la prestacin del servicio al cliente. De darse esta situacin, INTEC informar inmediatamente al cliente y colaborar con l para resolver tales problemas. INTEC restablecer el servicio en cuanto sea posible.

Activos de informacin Sistema de Inventarios : Este sistema da soporte al servicio de consultar un producto Sistema de Gestin de Clientes (CRM) y Call Center: Mediante el sistema CRM y el call center se da soporte a el servicio mantener quejas. Aplicacin WEB: Mediante esta aplicacin que permite realizar el seguimiento de un producto por parte del cliente se le da soporte al servicio de seguimiento de entrega de pedido. Cada sucursal tiene implementada una red LAN, un departamento de Ventas y su sistema de carga y envos.

Ubicacin de la organizacin y sus caractersticas geogrficas Resumen: Hay 3 ubicaciones en el pas, Bogot ,Cali y Medelln. INTEC LTDA dispone de un Sistema Integrado de Inventarios que permite consultar la disponibilidad de productos en todas las sucursales, con el fin de satisfacer la demanda de los productos. La oficina principal est ubicada en Bogot y maneja la Nmina y el Sistema de Atencin al Cliente de toda la empresa. Restricciones que afectan a la organizacin: Como hasta ahora solo se cuenta con las sucursales de Bogot, Medelln y Cali, los envos solo cubren los departamentos en los que estn ubicadas las sedes, siendo as: Cundinamarca ,Antioquia y Valle del Cauca respectivamente. Los precios de productos importados varan en relacin a la tasa representativa. Expectativas de las partes interesadas:

KAREN YINETH GELASIO ESTUPIN

13

El mercado de INTEC lo componen las medianas y pequeas empresas y particulares que requieren productos electrnicos; nuestros clientes confan especialmente en el cumplimiento de las fechas de entrega de los productos solicitados, la calidad de los mismos y el cumplimiento de la garanta ofrecida. Entorno sociocultural: Para el macro entorno de INTEC se puede decir que el rea de cobertura de los servicios INTEC Ltda. Abarca las Regiones Andina y Pacfica, atendiendo las necesidades de una regin que est en crecimiento, con gran potencial y que se evoluciona rpidamente a convertirse en un polo de desarrollo turstico, comercial y tecnolgico. Interfaces Sistema de Gestin de Clientes (CRM) y Call Center: Mediante el sistema CRM y el call center se da soporte a el servicio mantener quejas. Aplicacin WEB: Mediante esta aplicacin que permite realizar el seguimiento de un producto por parte del cliente se le da soporte al servicio de seguimiento de entrega de pedido.

KAREN YINETH GELASIO ESTUPIN

14

Proceso Seleccionado: Solicitar Cotizacin