• Author / Uploaded
• Ing Leonardo Barros Ortega

Citation preview

PROPUESTA TECNICO-ECONOMICA ASUNTO: Presentación de la propuesta direccionada a dar acompañamiento técnico en el programa de elaboración del proyecto SGSI con miras a la certificación ISO-27001.

PRESENTADA A: PRESENTADA POR:

Ing. Luis Leonardo Barros ortega, Consultor empresarial en Tecnologías de la información.

FECHA DE PRESENTACION: PRESENTACION Se debe dejar claro que el tema de certificación en aspectos de seguridad de la información, tal vez aún no ha sido considerado con la seriedad que merece en el ámbito empresarial, pero no cabe duda que lo será en el muy corto plazo. Justamente, la sensación que deja el análisis de esta norma, es que se está gestando con toda rigurosidad este hecho, y que como cualquier otra certificación ISO, este estándar internacional ha sido desarrollado con toda la fuerza y detalle que hacía falta para empezar a presionar al ámbito empresarial sobre su aplicación. Es decir, se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo, lo cual es lógico, pues si se desea interrelacionar sistemas de clientes, control de stock, facturación, pedidos, productos, etc. entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad informática, sino se abren brechas de seguridad entre sí............este estándar apunta a poder exigir dichos niveles; y ya no puede caber duda que las empresas, para competir con sus productos (sean de la índole que fueren) en este mercado cibernético actual, tienen cada vez más necesidad de interrelacionar sus infraestructuras de información.....ISO-27001 en este sentido es una muy buena y sólida opción. ¿Por qué se debería implementar un SGSI? • Porque la información es el principal activo de su organización y no puede permitirse estar expuesta a ataques externos e internos las 24 horas del día y los 365 días del año. • Porque mejorando la gestión de la información notará una notable mejora en la eficiencia de todos los procesos de negocio. • Porque sus empleados tomarán conciencia de la importancia de la información que manejan. • Porque sus potenciales clientes confiarán en una organización que se toma en serio la seguridad de la información. • Porque lo que hoy es una opción voluntaria, mañana puede ser una obligación legal o contractual, y su organización estará mejor posicionada para competir en un mercado global.

OBJETIVOS DE LA PROPUESTA  Elaborar el plan de trabajo en la fundamentación del sistema de gestión de la Seguridad de la Información y mejora continua para el personal de ().  Dar acompañamiento técnico en la elaboración del proyecto SGSI (sistema de gestión de la seguridad de la información) con miras a la certificación ISO27001.  Hacer seguimiento y control oportuno a todos y cada uno de los procesos inherentes al proyecto y presentarlo ante las directivas para su aprobación y posterior implementación. ALCANCE DE LA PROPUESTA Los principios de la confidencialidad, integridad y disponibilidad en el manejo de la información son el pilar de un S.G.S.I. cualquiera que sea su clase, una empresa que implemente estos principios está cumpliendo con los requisitos exigidos por la ISO 27001. Por esto, dentro de los alcances de la propuesta puedo resaltar las siguientes fases: 1. FASE I – Inicio y presentación del proyecto. Esta fase conduce a las siguientes acciones:  Presentación del proyecto  Estudio actual de seguridad de la información  Levantamiento de información - inventario de activos. 2. FASE II – Diagnostico empresarial Esta fase conduce a las siguientes acciones:    

Análisis de la Problemática actual de seguridad Entrega de resultados y valoración de riesgos Presentación de soluciones y controles Desarrollo del plan de acción

3. FASE III – Implementación y desarrollo Esta fase conduce a las siguientes acciones:    

Planes y procedimientos Desarrollo de la documentación Capacitación al recurso humano Conformación del Comité de seguridad de la información

4. FASE IV – Verificación y puesta a prueba Esta fase conduce a las siguientes acciones:    

Revisión de la implementación Pruebas del sistema, controles Correcciones a las fallas presentadas Desarrollo de Indicadores y métricas

5. FASE V – Mejora continua Esta fase conduce a las siguientes acciones:  Evaluaciones generales al sistema y recurso humano  Entrega de documentación e Informes finales  Planes de contingencia, continuidad del negocio y recuperación de desastres  Seguimiento y mejora continua Todo lo anterior redundará en el aumento de la competitividad empresarial y el buen manejo de los activos de información por medio de un sistema que le permitirá controlar todos los aspectos conformes y no conformes para garantizar la confidencialidad, integridad y disponibilidad de la información y sobre todo dar continuidad a todos los procesos de negocio desde la óptica de la seguridad. Se aplicará una metodología muy participativa entendiendo que es un compromiso de todos, basada en talleres para entrenamiento, talleres para diseño de estrategias, talleres para medir procesos y funciones, talleres para evaluación de métricas y e implementación de controles. Al final se sistematizará toda la experiencia y se reflejará en un manual de seguridad de información que servirá de guía para fortalecer cada día más los procesos de negocio a la satisfacción de todo el recurso humano, clientes y proveedores. TIEMPO GLOBAL DEL ACOMPAÑAMIENTO

Margen De 15 a 18 meses

PRODUCTOS A ENTREGAR PRODUCTOS ENTREGA Política de seguridad - objetivos del SGSI. Durante fase III Alcance del SGSI Durante todo el proceso Plan de tratamiento de riesgos Durante la fase III Informe de valoración de riesgos Finalizada la fase II Programa de Entrenamiento al RR.HH del SGSI Durante todo el proceso Procedimientos documentados del SGSI Finalizada la fase V Registros exigidos de la norma Durante la fase IV Declaración de aplicabilidad. Finalizada la fase V COSTOS DEL PROYECTO Para la implementación y el ACOMPAÑAMIENTO TECNICO, se contempla un costo de $15.000.000.oo (Quince Millones de pesos), que incluyen: Diseño, desarrollo, implementación, mejora continua y entrenamiento concientización al recurso en el Sistema de Gestión de seguridad de la información para.

FORMAS DE PAGO Se propone cancelar un primer 30% al iniciar operaciones y un 70% en pagos parciales de común acuerdo entre las partes. PERFIL DEL CONSULTOR El consultor posee capacidad para liderar cambios a nivel tecnológico y operacional. Habilidades comunicativas y de gestión logística de procesos relacionados con las tecnologías de la información. Amplios conocimientos y experiencia relacionados con las tecnologías de punta aplicadas al sector industrial, educativo, salud y Tecnología respectivamente. Excelente manejo en la implementación y seguimiento de los sistemas de información para la productividad y optimización de los recursos empresariales, ajustados a las necesidades de los clientes. Experiencia en planificar, ejecutar y controlar procedimientos que garanticen la calidad en la seguridad de la información, la proyección – extensión, la investigación y el desarrollo tecnológico. Por ultimo, experiencia en el manejo de personal de apoyo, fundamentado en procesos de comunicación y trabajo en equipo. EXPERIENCIA RELACIONADA         



UNIVERSIDAD SIMON BOLIVAR, Dpto. de Sistemas y Soporte técnico. COLEGIO KARL C. PARRISH, Acompañamiento Área de Soporte Técnico. MEDIRED IPS - COLMEDICA, Coordinación área de Sistemas – Estadística. TECNICOR, Coordinación Área de Sistemas. COOPERATIVA COOTINPROTECC, Consultoría y Soporte en Sistemas COLEGIO CRISTO REY, Coordinación de Informática. BATERIAS WILLARD S.A, Consultoría en Sistemas de información. COOMONOMEROS - CEFIC, Entrenamiento especializado en herramientas TIC’s. Ing. Soporte Área de Sistemas. NETWALL SOLUTIONS S.A.S, Consultoría en proyectos de seguridad de la información, Tecnologías de la información y las comunicaciones. Auditorias de Sistemas. CORPORACION CEIFIT, Implementación de Sitio Web y Plataforma Virtual Educativa. OFERTA DE OTROS SERVICIOS

  

Consultoría empresarial en implementación de sistemas de información, soporte técnico y mantenimiento a infraestructura tecnológica. Auditorías internas de sistemas de información y seguridad de la información. Consultoría empresarial en entrenamiento especializado en herramientas TIC (tecnologías de la información y las comunicaciones).

Todos los servicios se prestan con alta calidad y experiencia en todos los sectores de trabajo, enfocados en el área de las Tecnologías de la Información, agregando valor en el sentido de dar acompañamiento empresarial, asesorías personalizadas y mejoramiento a procesos inherentes a labor desarrollada.

Propuesta elaborada por: Luis Leonardo Barros Ortega Cel.: (301)5429609 – (314)6374879 Email: [email protected]

Firma:

LUIS LEONARDO BARROS ORTEGA Ingeniero de Sistemas Esp. En Informática y Telemática Auditor en seguridad de la información – ISO 27001 C.C. No. 72.271.274 TP No. 08255-137948