Diseño de un SGSI para el área de TI de Centro de Contactos.

Abstract

Las empresas de Contact Center son organizaciones enfocadas en la "tercerización" de servicios, modalidad en la cual las organizaciones cliente se pueden dedicar a su Core Business entregando a otra empresa la responsabilidad sobre procesos complementarios o de apoyo, de esta forma se aprovecha la experiencia y preparación de proveedores en determinadas tareas (CRM, IT, Logística, entre otros) y se ahorra en recursos, esfuerzo y tiempo. Las empresas que actúan como proveedor de servicios de CRM reciben de sus clientes un activo que en los últimos años ha tomado una relevancia cada vez más importante, la información, con el compromiso de garantizar su buen uso, cuidado, transmisión, almacenamiento. El propósito de este proyecto de grado aplicado es diseñar para el área de Tecnología de la Información (TI) de Telemarketing S.A.S (nombre ficticio usado para hacer referencia a la empresa sobre la que se realiza este proyecto para preservar su privacidad) un Sistema de Gestión de Seguridad de la Información que le permita cumplir con las condiciones que aseguren en el manejo de la información la confidencialidad, integridad y disponibilidad, lo cual le permitirá mejorar sus procesos operativos (el acceso y uso eficiente de la información para sus labores de Contact Center, toma de decisiones, definir estrategias de negocio, entre otras) al tiempo que ofrece a sus clientes la tranquilidad y confianza (que al final repercute en la imagen del proveedor). Para llevar a cabo esta tarea se toma como base la norma ISO\IEC 27001:2013 y se ejecutan las diferentes actividades que permiten el diseño del SGSI; partiendo por el levantamiento de inventario se han clasificado los activos en diferentes grupos (esenciales, personal, instalaciones, servicios subcontratados, servicios internos, aplicaciones y equipos) y se han valorado de acuerdo con su relevancia en la operación de la organización (siendo precisamente los activos directamente relacionados con la operación los de más alto valor mientras los relacionados con áreas de apoyo los de menor importancia). El análisis de riesgos y amenazas (basado en la probabilidad de ocurrencia, nivel de degradación e impacto posible) ha permitido llegar a la identificación de los problemas de la empresa en cuanto a seguridad de la información, siendo los más destacables la falta de capacitación del personal, la falta de control de uso de los recursos informáticos, y de forma muy crítica la gestión de las copias de seguridad. Con base en los hallazgos realizados en la etapa de análisis de riesgos y amenazas se ha realizado la selección de salvaguardas, controles y políticas (incluida la política general de sistema de gestión de seguridad de la información), el alcance del sistema, los objetivos del SGSI, todo conformando el sistema de gestión de seguridad de la información propiamente dicho.