Diseño de un modelo de seguridad de la información para el área de datos del BancoEstado contacto 24 horas Lota S.A. basado en la metodología de trabajo ciclo DEMING/PDCA

Abstract

BancoEstado Contacto 24 horas S.A es una filial del Banco del Estado de Chile, cuya función es entregar un servicio no presencial, con cobertura nacional e internacional utilizando la vía telefónica e internet, es decir un call center o centro de contacto. Algunos de los servicios que entrega este centro de contacto son: la captación de clientes, entrega de información de productos o servicios, aviso de vencimiento de obligaciones, telemarketing, asistencia técnica, actualización de datos, estudios de opinión y satisfacción de clientes además de tracking publicitario, la promoción de campañas, servicios de ayuda a los ejecutivos, ofrecimiento de créditos de consumo, créditos hipotecarios, seguros, tarjetas de crédito y atención de preventa y postventa a los clientes de los segmentos de Personas, Micro empresarios y Pequeños empresarios, entre otros. En esta organización el área de datos posee una gran responsabilidad, debido a que, los datos que se manipulan, no son cualquier tipo de información, sino que, es información bancaria, que para el centro de contacto es de gran relevancia, porque contiene datos sensibles sobre los clientes del Banco del Estado de Chile, por lo tanto, es muy importante para esta empresa velar por la confidencialidad, disponibilidad e integridad de la información. Por lo anteriormente mencionado, germinó la idea de diseñar un modelo de gestión de la seguridad de la información basada en la metodología de trabajo llamada ciclo deming/PDCA1, y de esta manera, poder gestionar los riesgos permitiendo al equipo de seguridad de la información tener un soporte sólido para sustentar ante gerencia un plan de inversión en seguridad de la información, donde con evidencias y cálculos de los impactos que se pueden presentar ante la materialización de un incidente, es posible presentar de forma clara, las posibles soluciones para la mitigación correctiva, preventiva o detectiva de estos eventos no deseados, y de esta forma, garantizar que la inversión cubra las brechas de seguridad más importantes y otorgue una medición de la eficacia de sus controles. A continuación se presentará de manera concisa los capítulos que componen este proyecto. El primer capítulo es la introducción del proyecto. El segundo capítulo es la definición de la empresa donde se diseñará el modelo de gestión de la seguridad de la información. El tercer capítulo es la definición de este proyecto, se define a través de sus objetivos generales, objetivos específicos, y por último, la justificación del por qué implementar el proyecto en la organización. El cuarto capítulo es el marco teórico, el cual contiene la información clave para facilitar la comprensión de la metodología de trabajo utilizada llamada ciclo deming/PDCA, también de la normativa Nch-ISO27001 y el fundamento teórico del diseño del modelo de gestión seguridad de la información. El quinto capítulo es la definición de las actividades realizadas en cada etapa de la metodología de trabajo llamada ciclo Deming/PDCA (Plan/planificar, Do/Hacer, Check/Verificar, Act/Actuar). El sexto capítulo es donde se presenta el desarrollo del modelo de gestión de seguridad de la información propuesto en el centro de contacto. En el séptimo capítulo se presenta un estudio de factibilidad técnica, operativa y económica de dos situaciones (caso real y caso hipotético), también una conclusión del estudio realizado. En el octavo capítulo se encuentra la conclusión de este proyecto. Por último, se encuentra toda la bibliografía utilizada. Antes de continuar, es importante mencionar que por razones administrativas este proyecto no abarcará en su totalidad la normativa Nch-ISO27001, pero sí contará con las actividades más importantes para la administración del centro de contacto. Dentro de las actividades definidas en conjunto al sub-gerente de planificación y control del centro de contacto se encuentra, la definición de alcance del modelo de gestión de seguridad de la información, el inventario de activos de información del área de datos, análisis de riesgo, tratamiento de las amenazas aplicando controles recomendados por la normativa y la definición de un indicador que nos expresara la efectividad del modelo de gestión de seguridad de la información.