Diseñar el sistema de gestión de la seguridad de la información que permita apoyor a la subgerencia de informática y tecnología de la Empresa de Telecomunicaciones de Bucaramanga Telebucaramanga S.A. - E.S.P en el proceso de certificación en ISO 27000

Abstract

La Subgerencia de Informática y Tecnología de Telebucaramanga S.A – E.S.P es conciente de la evolución de las normas que se especializan en la gestión y seguridad de la información, por esta razón quiere asumir el reto y busca administrar de una forma adecuada la seguridad de la infraestructura tecnológica a cargo de esta dependencia, para ello requiere diseñar el sistema de gestión de la seguridad de la información con base en la norma ISO 27000 y en este proceso evaluar una posible certificación en la norma, garantizado de esta manera la continuidad del negocio y confiabilidad en la toma de decisiones. Empresas como Asociación Latinoamericana de Profesionales de Seguridad Informática de Colombia, ATH y Bancafé entre otras han implementado la norma, gestionando de forma segura y confiable la información. Este documento establece un diseño preliminar que permite apoyar a la Subgerencia en este proceso de certificación, involucrando plan estratégico de la organización, el recurso humano y todos los entes que interactúan con las TI , definiendo los controles mas relevantes de la norma que se ajustan a la empresa, políticas de seguridad, vulnerabilidades, amenazas y riesgos de la información, dejando al descubierto que la subgerencia puede gestionar la documentación pertinente para lograr la certificación, sin dejar a un lado fallas por falta de recurso humano calificado, ejemplo de ello es que la administración de la red, base de datos y la seguridad de la información son manejadas por una sola persona y que algunos servidores que prestan servicio corporativo no cuentan con un respaldo hardware para suplir algún tipo de eventualidad.

The Assistant Manager of Informatics and Technology of Telebucaramanga SA - ESP is aware of the evolution of standards that specialize in management and information security, for this reason wants to take the challenge and find an appropriate way to manage security technological infrastructure in charge of this unit, for this purpose, it requires to design the management system of information security based on ISO 27000 and in this process to evaluate a possible standard certification, thus ensuring business continuity and reliability in decision making. Companies such as Asociación Latinoamericana de Profesionales de Seguridad Informática de Colombia, ATH and Bancafé among others have implemented the norm, managing secure and reliable information. This document provides a preliminary design that allows support to the Assistant Manager in this certification process, involving the organization's strategic plan, human resources and all entities that interact with IT, defining the most important controls of the standard that fit the company, security policies, vulnerabilities, threats and risks to information, revealing that the assistant manager can manage all relevant documentation to achieve certification, and with faults aside for lack of qualified human resources, example of this is that the network administration, database and information security are handled by one person and that some serving corporate servers do not have a hardware to support any eventuality.