Вы находитесь на странице: 1из 13

Trabajo de Investigación ISO 31000

DIVISIÓN DE ESTUDIOS PROFESIONALES PARA EJECUTIVOS

SEGURIDAD DE LA INFORMACION

ISO 31000

Integrantes:

Aparcana Rodríguez, Michael U201220580

Mamani Sanca, Jorge U201502091

Ponce Yumbato, Gustavo U201323131 (Coordinador)

Rodríguez Chang, Luigi U201400885

PROFESOR:

Flores Solís, Fernando

SECCIÓN:

R81B

2017

Seguridad de la Información
Trabajo de Investigación ISO 31000

Índice

1. Introducción a la empresa ........................................................................................................ 1


2. Situación actual de Seguridad de la información ...................................................................... 3
3. Alcance del SGSI ..................................................................................................................... 5
4. Objetivo General y Específicos ................................................................................................ 6
5. Cronograma del proyecto (etapas, actividades, entregables, hitos de control) ......................... 7
6. Organización del proyecto (diseño y desarrollo) ...................................................................... 8
7. Presupuesto........................................................................................................................... 10
8. Factores claves de éxito ........................................................................................................ 11
9. Beneficios del proyecto .......................................................................................................... 11

Seguridad de la Información
Trabajo de Investigación ISO 31000

1. Introducción a la empresa

Statkraft es una empresa internacional líder en energía hidráulica y la mayor empresa


de generación de energía renovable de Europa.
El grupo produce energía hidráulica, eólica, a gas y calefacción urbana y es un actor
global en las operaciones del mercado energético. Statkraft cuenta con 4200 empleados
en más de 20 países.
Statkraft en Perú opera 9 centrales hidroeléctricas e incorpora una nueva estrategia de
crecimiento a largo plazo enfocada en la generación y comercialización de energía
renovable.
El conocimiento y las sinergias con la casa matriz le permiten crear valor para sus
distintos stakeholders.

Central Hidroeléctrica Cheves

La Central Hidroeléctrica Cheves es el primer proyecto


construido en su totalidad por Statkraft en Perú. Está
ubicada en la cuenca del río Huaura, entre las provincias
de Huaura y Oyón, en la sierra de Lima.

Centro de Producción Arcata

El Centro de Producción Arcata está ubicado en la


región Arequipa y está conformado por las centrales
hidroeléctricas San Antonio, San Ignacio, Huayllacho y
Misapuquio, las cuales se localizan a una altura superior
a los 4,000 m.s.n.m.

Central Hidroeléctrica Cahua

Cahua está ubicada en el distrito de Manás, provincia de


Cajatambo, en la región Lima, en la margen izquierda
del río Pativilca (desde aguas arriba), a una altura de
880 m.s.n.m.

Central Hidroeléctrica Gallito Ciego

La central está al pie de la represa de Gallito Ciego, la


cual es principalmente utilizada para actividades de
irrigación en el área agrícola del valle del río
Jequetepeque. Statkraft no es propietaria de la represa,
y esta es administrada por las entidades competentes.

Seguridad de la Información
1
Trabajo de Investigación ISO 31000

Central Hidroeléctrica Malpaso

La central hidroeléctrica Malpaso se encuentra ubicada


en el distrito de Paccha, en la región Junín, a 3,870
m.s.n.m.

Central Hidroeléctrica La Oroya

La Oroya se encuentra ubicada en la región Junín, en el


distrito de La Oroya, a 3,694 m.s.n.m. Es la central más
antigua operada por Statkraft Perú, pues cumplió 100
años de operación en el 2014.

Central Hidroeléctrica Pachachaca

La Central Hidroeléctrica Pachachaca está ubicada a


4,031 m.s.n.m. en el distrito de Yauli, en la región Junín.

Central Hidroeléctrica Yaupi

La Central Hidroeléctrica Yaupi es la segunda planta con


mayor capacidad de generación de Statkraft Perú.
Estáubicada a 1,328 m.s.n.m., en el poblado de Llaupi, y
toma parte las aguas del río Paucartambo.

Central Hidroeléctrica Pariac

Pariac se ubica en la provincia de Huaraz, en la margen


izquierda de la quebrada del río Pariac a 3,337 m.s.n.m.
Está conformada por 3 centrales que proveen
electricidad a la red principal.

Seguridad de la Información
2
Trabajo de Investigación ISO 31000

2. Situación actual de Seguridad de la información

Statkraft en Perú es una empresa que opera en 9 centrales hidroeléctricas y que está
incorporando una nueva estrategia de crecimiento a largo plazo enfocada en la
generación y comercialización de energía renovable y, en su afán de mejora
continua e innovación requiere de un sistema de información que le permita
identificar, planificar y gestionar las actividades concernientes al área de
producción y el área administrativa; por esta razón reconoce la importancia de
iniciar un sistema de gestión de riesgos, con el cual busca mejorar la calidad,
aumentar el desempeño del talento humano y cumplir con las necesidades de los
clientes.

En primera instancia se realizará un diagnóstico general del área de producción y


área administrativa de la empresa; basado en la estructura para la gestión de
riesgos según la Norma NTC ISO 31000:2011 permitiendo la identificación de
amenazas y debilidades con mayor peligro para la empresa, y el seguimiento a los
riesgos identificados y controles establecidos.

Topología general

Fig. 1: Topología general

Seguridad de la Información
3
Trabajo de Investigación ISO 31000

Problemática
El principio básico de la organización es establecer sistemas integrales que permitan
el desarrollo estable de todas sus actividades a fin de garantizar su permanencia y
rentabilidad. Actualmente, toda acción tomada a nivel de los diferentes procesos de la
empresa sometidas permanentemente a una serie de amenazas, a nivel interno como
externo, los hace vulnerable a no lograr el cumplimiento de sus objetivos. A pesar de que
las compañías gestionan como contrarrestar estas amenazas, no existen procesos que
ayuden a garantizar la gestión eficiente y eficaz del riesgo.

Motivo
Statkraft es una empresa internacional líder en energía hidráulica y la mayor empresa de
generación de energía renovable de Europa, en los últimos años ha venido evolucionando
y obteniendo más reconocimientos dentro del mercado nacional. Para la empresa en su
constante por desarrollar procesos estable en las diferentes áreas de trabajo, iniciar la
Gestión del Riesgo a fin de establecer los principios y directrices que permitan gestionar el
riesgo de manera sistemática y clara, brindando herramientas que permitan identificar,
analizar, evaluar, tratar, comunicar y monitorear los riesgos en las diferentes áreas de la
empresa aumentando la probabilidad de cumplir sus objetivos.

Actualmente la situación de los procesos, de soporte y el área administrativa de Statkraft,


presenta varios inconvenientes que requieren atención. Entre ellos encontramos diferentes
riesgos que están presentes en los diferentes procesos en cada una de las áreas, ya sean
provocados por: infraestructura, aumento de costos y demoras sustanciales, debido a
que el presupuesto y cronograma de los diferentes procesos que afectan el rendimiento
de la empresa y posteriormente la satisfacción del cliente.

Situación de cada proceso

Seguridad de la Información
4
Trabajo de Investigación ISO 31000

Mediante un diagnóstico se recolectó información que permitiera identificar el estado actual


de la organización con respecto a los lineamientos de la norma NTC ISO 31000, teniendo
como guía la tabla de registro del riesgo se observó en las diferentes áreas de la empresa
un mínimo cumplimientos de la norma, que se describe a continuación:

Criterios de clasificación para cumplimiento de la norma NTC ISO 31000 en


STATKRAFT.

Resultado del diagnóstico inicial ISO 31000

3. Alcance del SGSI


El alcance del proyecto abarca el diseño de un Sistema de Gestión de Seguridad de la
Información para el área producción y el área administrativa de la empresa Statkraft.

Seguridad de la Información
5
Trabajo de Investigación ISO 31000

Para el desarrollo del proyecto se utilizará como guía principal la norma NTC ISO 31000,
que corresponde a un estándar referente a nivel mundial que especifica los requisitos
necesarios para establecer un Sistema de Gestión de Riesgos.

Los pasos a seguir en la investigación, serán tomados de la siguiente manera:


✓ Estudio de los diferentes riesgos y amenazas, con el propósito de documentar y
argumentar la investigación, el desarrollo e implementación del sistema de seguridad
de la información.
✓ Diseño de encuestas y entrevistas al personal con manejo de procesos y sub
procesos importantes de la empresa.
✓ Validación de los riesgos encontrados.
✓ Políticas de Administración de riesgos.
✓ Diseño del sistema de gestión de la seguridad de la información.

4. Objetivo General y Específicos

4.1 OBJETIVO GENERAL

Diseñar y formular un sistema de gestión de riesgos en el área de producción y área


administrativa de la empresa Statkraft, para identificación, análisis y evaluación de
riesgos operativos y estratégicos bajo lineamientos de la norma NTC

4.2 OBJETIVOS ESPECÍFICOS

Realizar un diagnóstico general al área de producción y administrativa, lo cual


permitirá establecer la situación actual de la empresa, mediante un análisis interno y
externo para la gestión y evaluación del riesgo.

Identificar la generalidad de los riesgos a los que está expuesta la organización en


todo contexto.

Evaluar los riesgos en los procesos que garanticen el cumplimiento de los


requisitos establecidos por la NTC-ISO 31000

Seguridad de la Información
6
Trabajo de Investigación ISO 31000

Establecer las medidas de control y tratamiento para la organización en cada uno de


los riesgos analizados.

Socializar al personal de la empresa Statkraft, de las medidas en materia de


preparación y respuesta ante un riesgo.

Realizar dos auditorías para evaluar el estado del Sistema de Gestión de Riesgo, e
identificar oportunidades de mejora en sus procesos.

Formular los planes de mejoramiento resultantes de las dos auditorías.

Realizar un diagnóstico final al área de producción y administrativa, para evaluar el


cumplimiento de la norma NTC-ISO 31000 en la empresa.

5. Cronograma del proyecto (etapas, actividades, entregables, hitos de control)

Días Días
Proyecto Diseño de SGSI 180 Implementación 57
Comienzo de Actividades 8 Establecer programa de tratamiento de riesgos 15
Elección de responsables 4 Crear los controles 20
Conformidad de proyecto 3 Formación e Identificación del personal 5
Documento escrito de aprobación del proyecto 1 Explicación de los procedimientos, manuales de instrucciones 7
Establecer procedimiento y procesos de detección de
Planificación 51 incidentes 7
Determinación del alcance del proyecto 1 Ejecución de programa de acción de tratamiento de riesgos 2
Determinación de las políticas de seguridad 7 Presentación de acta de implementación realizada 1
Inventario de activos de la información 15 Seguimiento 35
Reconocimiento de las amenazas y
vulnerabilidades 7 Realizar procedimientos e inspección de monitoreo 20
Determinar los impactos 7 Determinar la eficacia de las políticas de control 10
Valorar los riesgos 4 Reconocer acciones y/o incidentes 4
Seleccionar los controles 7 Presentar documentos de incidencias 1
Aprobación de plan presentado 2 Monitoreo y Mejora 29
Elaborar declaración de factibilidad 1 Determinar los resultados 7
Ejecutar medidas preventivas 7
Efectuar medidas correctivas 7
Confirmar el cumplimiento de los objetivos 7
Entregar acta de finalización de objetivos 1

Seguridad de la Información
7
Trabajo de Investigación ISO 31000

6. Organización del proyecto (diseño y desarrollo)

Mencionamos a continuación los roles que son asignados.

Dirección y Gerencia General:

▪ Aprueba y revisa las políticas de seguridad de la información y las trasmite a todo el


personal por diversos medios.
▪ Las responsabilidades relacionadas con la seguridad de la información son
asignadas a los directivos. Así, como también los roles que les corresponde.
▪ Incentiva la constante mejora de la seguridad de la información.

Comité de Seguridad de la Información:

▪ Asegurarse que se cumplan las actividades y etapas a través de políticas.


▪ Planifica y define los documentos y contenidos del SGSI y gestiona la aprobación de
la Dirección. Establece los documentos donde están esta establecido el SGSI para
su aprobación por el directorio.
▪ Aprueba y promueve nuevas metodologías de seguridad. Asi como su difusión.

Equipo de planeamiento de la seguridad de la información:

▪ Los activos de información deben ser conocidos para entender el alcance del SGSI.
▪ Deben ser parte del comité seguridad, solo el personal capacitado con experiencia.
▪ Debe coordinar los posibles conflictos de intereses entre divisiones y departamentos
en lo que se refiere a la seguridad de la información.

Asesoramiento:

▪ Deben participar profesionales con experiencia en implantación de seguridad de la


información, de esta manera el diseño será establecido de acuerdo a estándares y
herramientas que han tenido éxito en otras organizaciones.

Seguridad de la Información
8
Trabajo de Investigación ISO 31000

▪ Mediante cuatro etapas se establece el propósito de garantizar el cumplimiento de


los objetivos propuestos, para la realización de un sistema de gestión del
riesgo para la empresa Statkraft, teniendo como base una guía basada en la norma
NTC ISO 31000.

5.1. ETAPAS:

▪ ETAPA I
Se realizó un diagnóstico para conocer el estado inicial de cada proceso de la
empresa, teniendo en cuenta la identificación del contexto interno y externo
para el desarrollo de actividades que permita recopilar información, es decir,
toma de fotografías, entrevista con el gerente de la empresa y datos históricos
relacionados con los planes de contingencia y emergencia, para la elaboración de
un sistema de gestión de riesgos en Statkraft.

▪ ETAPA II

Una vez realizado el diagnóstico se llevó a cabo el establecimiento del contexto y la


valoración del riesgo que consta de tres etapas: La identificación, análisis y la
determinación del nivel del riesgo (probabilidad-impacto). Para cada uno de ellas fue
necesario tener la mayor cantidad de datos disponibles, contar con la participación
de personas que ejecutan los procesos para lograr determinar las acciones de
efectividad esperada.

▪ ETAPA III

Con los datos ya recolectados, se selecciona la base de datos para el desarrollo


y diseño de instrumentos para la gestión del riesgo, determinando las
herramientas para el tratamiento de riesgos.

▪ ETAPA IV

Luego de los datos ya recolectados, se establecen los mecanismos para el


seguimiento la revisión continua para la gestión del riesgo, se formuló una
matriz de riesgos y un mapa de riegos para el monitoreo, revisión, evaluación de las
acciones determinantes para la administración de los riesgos.

Seguridad de la Información
9
Trabajo de Investigación ISO 31000

5.2. ACTIVIDADES

7. Presupuesto

Según el alcancel del proyecto y los objetivos establecidos se determina lo siguiente:

RESPONSABL
CARGO E DURACIÓN COSTO
Gerente del
proyecto Ingeniero 6 meses S/. 67,000.00
Gerente de TI Ingeniero 6 meses S/. 42,500.00
Comité de
Seguridad Ingeniero 6 meses S/. 25,000.00
Infraestructura Logística 6 meses S/. 38,000.00

Seguridad de la Información
10
Trabajo de Investigación ISO 31000

Personal de
Gestión RR.HH. 6 meses S/. 24,000.00
Reserva de
Contingencia Logística 6 meses S/. 35,000.00
TOTAL S/. 231,500.00

8. Factores claves de éxito

▪ Estimación de los riesgos que tiene la organización.

▪ Declaración del alcance del SGSI

▪ Establecimiento de políticas y normas. Organización y comunicación. Implantación


de políticas y definición de la estructura del SGSI. Así como también la definición del
personal y sus responsabilidades.

▪ El SGSI debe formar parte de un proyecto estratégico de la organización.

▪ El apoyo constante de la alta dirección en beneficio del proyecto.

▪ Concienciación y formación del personal asegura un compromiso del personal y


mejoras en los procesos.

9. Beneficios del proyecto

- Con el desarrollo del proyecto se comprobó el cumplimiento de la norma NTC ISO


31000 para la gestión del riesgo, su formulación exitosa empresa Statkraft.

- Con la elaboración de la matriz de riesgos en cada proceso de Statkraft, se


lograron identificar los riesgos operativos, estratégicos, de cumplimiento y
financieros como los más representativos dentro y fuera de la organización.

- Mediante la aplicación de la gestión del riesgo en los riesgos identificados


en Statkraft., se pudo comprender la formulación como estructura para hacer una
herramienta que permita identificar la metodología para seguir en la
identificación de riesgos dentro de la empresa.

- Los indicadores de gestión de riesgos propuestos brindaron un enfoque a la


organización permitiendo evaluar escenarios como la satisfacción del cliente, la
productividad de la mano de obra, rotación inventarios en cada uno de sus
procesos.

Seguridad de la Información
11