AMPLIAR EL ALCANCE DEL SISTEMA DE GESTION DE LA CALIDAD PARA LA

PRESTACION DE SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN EN LA

EMPRESA DSC

ING. MARITZA YOLIMA GIRALDO CUEVAS

Director:

Ing. SANTIAGO GAMEZ VILLALBA

Msc Calidad y Gestión Integral

UNIVERSIDAD LIBRE

FACULTAD DE INGENIERIA

INSTITUTO DE POSGRADOS

ESPECIALIZACIÓN EN GERENCIA DE CALIDAD DE PRODUCTOS Y

SERVICIOS

BOGOTA, DICIEMBRE 2011

1
 CONTENIDO

pág.

INTRODUCCIÓN 4

1. PLANTEAMIENTO DEL PROBLEMA 5

2. JUSTIFICACION 6
3. OBJETIVOS GENERALES 6
3.1. OBJETIVOS ESPECIFICOS 6
4. MARCO REFERENCIAL 7
4.1. MARCO TEORICO 7
4.1.1. Seguridad Información 7
4.1.2. Norma Iso 9001 8
4.1.3. Norma Iso 27001 9
4.1.3.1. Serie Iso 27001 9
4.1.4. Gestión de Procesos 10
4.2. MARCO CONCEPTUAL 11
4.2.1. DEFENCE SYSTEMS COLOMBIA 11
4.2.1.1. Descripción Empresa 12
4.2.1.2. Seguridad integral 15
5. DISEÑO METODOLOGICO 17
5.1. DIAGNOSTICO DEL SGC DE DSC 17
5.2. ANALISIS DE LOS REQUISITOS DE LA NORMA ISO27001 26
5.3. PROPUESTA SGC PARA AMPLIAR EL ALCANCE 34

2
 Pág.
6. CONCLUSIONES 36
7. BIBLIOGRAFIA 37

ANEXOS
ANEXO 1: MAPA DE PROCESOS DSC
ANEXO 2: CARACTERIZACION PROCESO DE SEGURIDAD Y VIGILANCIA
ANEXO 3: CARACTERIZACION PROCESO DE SEGURIDAD Y VIGILANCIA
MODIFICADO
ANEXO 4: CARACTERIZACION PROCESO DE SEGURIDAD INFORMACIÓN
ANEXO 5: CARACTERIZACION PROCESO DE COMERCIAL

3
 INTRODUCCION

La tecnología llego y evoluciona todos los días, al mismo tiempo lo hacen las
amenazas que impactan los recursos que mantienen el negocio, partiendo de lo
anterior queremos ampliar el alcance del sistema de gestión de DSC incluyendo
un nuevo servicio de seguridad que nos permitirá brindar una solución total contra
peligros existentes y prever futuras amenazas en el marco de la seguridad a la
información que la empresa/entidad (pública o privada) maneja tanto “puertas
adentro” como con sus interlocutores externos.

La seguridad se debe basar fundamentalmente en la monitorización constante.

Como toda área de control, es necesario vigilar que las cosas estén en orden.
Para ello, los mecanismos de seguridad deben servir para detectar, prevenir o
predecir potenciales peligros de manera que podamos estar reaccionando al
posible incidente antes de que este ocurra.

Es por eso que DSC incluirá dentro de SGC un nuevo servicio para sus clientes,
con el fin de evidenciar las posibles debilidades de los sistemas existentes en las
compañías de sus clientes y así lograr prestar un servicio integral de la seguridad.

Para la ampliación del alcance del SGC realizaremos un análisis de DSC para
verificar actualmente como está la compañía frente a la Norma 9001:2008
permitiéndonos reconocer fortalezas y debilidades existentes.

En segundo lugar procedemos a realizar una revisión de la norma 27001: 2005

con el fin de determinar elementos necesarios para un incluir en el nuevo servicio
de seguridad de la información.

En tercer lugar haremos una propuesta de cómo ampliaríamos SGC de DSC

incluyendo el servicio de seguridad de la información, cambiando mapas de
procesos, plan estratégico y estableciendo procedimientos.

4
1. PLANTEAMIENTO DEL PROBLEMA

Hoy en día la seguridad de la Información juega un papel muy importante dentro

de las Organizaciones, aunque su utilización se remonta al siglo XX, ha alcanzado
niveles de uso y aplicaciones tan variadas que se ha convertido en un área de
gran amplitud e impacto en todos los aspectos de la vida cotidiana, para las
empresas de Vigilancia en Colombia, está en auge la aplicación de los sistemas
informáticos como medio para prestar servicios de seguridad a los clientes.

Los sistemas de seguridad informática aplicada a la seguridad en las empresas

representan una herramienta de alta tecnología permitiendo obtener una alerta
temprana de los eventos generados en las instalaciones. Actualmente la mayoría
de las Organizaciones en Colombia sienten que las viejas fórmulas utilizadas para
combatir la inseguridad se han vuelto obsoletas. Se necesitan soluciones creativas
y que se adecuen a las circunstancias que estamos atravesando. Para esto
buscan empresas especializadas que ofrecen a sus clientes realizar un estudio
exhaustivo del estado de los sistemas de información y electrónicos de la
empresa, delineando los niveles de riesgo, detallando resultados y brindando
recomendaciones para reducir los riesgos.

Es para todos claro que las organizaciones se encuentran expuestas a riesgos

cuando utilizan sistema de comunicación y sistemas de cómputos para compartir
información y comunicarse interna y externamente. Esos riesgos no son estáticos.
Se transforman rápidamente debido al constante descubrimiento de debilidades y
vulnerabilidades en los sistemas, la creciente sofisticación por parte de los hackers
y las herramientas que utilizan para sus acciones, así como el incremento de los
recursos disponibles en Internet para realizar este tipo de tareas hostiles.

No se debe enfrentar a los peligros del terrorismo tradicional y el cibernético como

si se tratase de dos fenómenos diferentes sino que deben tomarse medidas
destinadas a lograr la integración y Sistemas versátiles que puedan combinar la
seguridad física y que a la vez estén aptos para interceptar ataques desde lugares
remotos del planeta.

Si lo anterior es correcto, estamos ante un concepto de que la seguridad

evoluciona y crece con las condiciones del entorno, la gestión de la seguridad es
un ejercicio permanente y creativo para enfrentar los errores, fallas,
vulnerabilidades y así mantener un nivel de confiabilidad en el contexto del
5
negocio. Es por eso que se pretende ampliar el alcance del sistema de gestión de
calidad de la empresa Defence Systems Colombia incluyendo elementos de la
norma 27001 para así generar un nuevo servicio de seguridad que controle la
información que manejan nuestros clientes.

2. JUSTIFICACION:
La seguridad está en auge, las actuales circunstancias del país obligan a la gente
a buscar seguridad particular para la protección de sus bienes e inmuebles, de
información, de capital y por supuesto de sus vidas, actualmente las
Organizaciones han optado por solicitar la implementación de sistemas de
seguridad electrónico e informático, permitiendo de esta manera el uso de alta
tecnología aplicada a la seguridad y soportada en un adecuado diseño que
permita obtener una alerta temprana de los eventos generados en las
instalaciones, en el momento en que estén siendo vulneradas por personas
ajenas a la organización.

Con la ampliación del alcance del sistema de gestión en Defence Systems

Colombia se pretende mostrar a la seguridad corporativa, como una fuente que
debe vincular: el mundo físico, informático y electrónico en una sola vista, con
muchos lentes, que pueda ser comprendida por los ejecutivos de negocio, los
gerentes de tecnología y seguridad física, así como por los individuos de la
empresa.
La seguridad en todos sus escenarios es la manera concreta y real de comprender
que requerimos modelar los riesgos y no asumirlos, con una mente sistémica, es
dejar al descubierto los rastros de la inseguridad en cada relación, como una
forma para seguir de cerca los retos y desafíos que implican las vulnerabilidades
propias de los activos a proteger.

3. OBJETIVOS GENERALES
Ampliación del alcance del sistema de gestión de calidad para la prestación de
servicios de seguridad de la información en la empresa DSC.

3.1. Objetivos Específicos:

-Evaluar el sistema de gestión de calidad de la empresa DSC.

6
 -Analizar los requerimientos de la Norma ISO 27001:2005 y proponer
cuales se pueden incluir dentro de los procesos SGC para redefinir el
alcance y su aplicación en la prestación de servicio de seguridad a sus
clientes.

-Propuesta de ampliación alcance SGC de DSC

4. MARCO REFERENCIAL
4.1. MARCO TEORICO

4.1.1. Seguridad de la Información

La seguridad de la información es la preservación de los principios básicos de la

confidencialidad, Integridad y disponibilidad de la misma y de los sistemas
implicados en su tratamiento. 1 Es por eso que la podemos definir la seguridad de
la información como un activo y que como otros activos importantes tiene valor y
requiere una protección adecuada.

La información puede estar:

-Impresa o escrita en papel

-Almacenada electrónicamente
-Transmitida por correo o medios electrónicos
-Mostrada filmes
-Hablada en conversación

El objetivo de la seguridad Información es proteger los intereses del negocio que

dependan de la información.

Los objetivos de la seguridad de la información se cumplen cuando se preservan:

• Confidencialidad: Acceso a la información por parte únicamente de quienes estén

autorizados.
• Integridad: Mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
• Disponibilidad: Acceso a la información y los sistemas de tratamiento de la
misma por parte de los usuarios autorizados cuando lo requieran.

1
Norma Técnica Colombiana NTC-ISO/IEC 27001
7
En la seguridad de la información, no solo intervienen los aspectos tecnológicos,
sino también los procesos, los ambientes (centro de cómputo, ubicación de
oficinas) y principalmente las personas.

Defence Systems Colombia quiere ofrecer un nuevo servicio para sus clientes que
les permita integrar el servicio de seguridad física y electrónica que tienen con un
sistema de seguridad de la información. Para el desarrollo de este nuevo servicio
quisimos tener como base el concepto de seguridad de la información establecido
norma 27001:2005, lo que permitirá establecer parámetros claros en la
prestación del nuevo servicio.

4.1.2. Norma ISO 9001

La ISO 9000 fue creada por Comités integrados por representantes de 27 países,
los cuales a su vez se encargan de revisarlas y mantenerlas actualizadas. Ha sido
adoptada por más de 70 países del mundo como la norma de mayor aceptación
que establece requisitos para los Sistemas de Calidad.

La serie de normas ISO 9000 son un conjunto de enunciados, los cuales

especifican qué elementos deben integrar el Sistema de la Calidad de una
empresa y cómo deben funcionar en conjunto estos elementos para asegurar la
calidad de los bienes y servicios que produce la empresa. Las normas no definen
cómo debe de ser el sistema de calidad de una empresa si no que fijan requisitos
mínimos que deben cumplir los sistemas de calidad.

Las normas ISO 9000 relacionadas con la calidad son las siguientes:

ISO 9000: Provee lineamientos para elegir con criterio una de las siguientes
normas.
ISO 9001: Abarca la Calidad del diseño, la producción, la instalación, y el servicio
posventa. Norma contractual de certificación
ISO 9004: Establece los requisitos de un sistema de calidad para obtener la
garantía en la seguridad de la empresa.
ISO 19011. Proporciona orientación relativa a las auditorias de sistemas de
gestión de la calidad y de gestión ambiental.

4.1.3. Norma ISO 27001

El estándar para la seguridad de la información ISO/IEC 27001 (Information

technology - Security techniques - Information security management systems -
Requirements) fue aprobado y publicado como estándar internacional en octubre
8
de 2005 por International Organization for Standardization y por la comisión
International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y

mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el
conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar,
Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en
ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-
2:2002, desarrollada por la entidad de normalización británica, la British Standards
Institution (BSI).

4.1.3.1. Serie ISO 27000

ISO ha reservado la serie de numeración 27000 para las normas relacionadas con
sistemas de gestión de seguridad de la información. En el 2005 incluyó en ella la
primera de la serie (ISO 27001), las demás son:

9
• ISO27000 (términos y definiciones),
• ISO27002 (objetivos de control y controles),
• ISO27003 (guía de implantación de un SGSI),
• ISO27004 (métricas y técnicas de medida de la efectividad de un SGSI),
• ISO27005 (guía para la gestión del riesgo de seguridad de la información) y

• ISO27006 (proceso de acreditación de entidades de certificación y el registro de

SGSI).

Teniendo como base ISO NTC –ISO 27001 Defence Systems Colombia pretende
analizar los aspectos más importantes que podemos tener en cuenta para
implementarlos en la compañía para así poder ampliar el alcance en su sistema de
gestión.

4.1.4. Gestión por Procesos

La Gestión por Procesos puede ser conceptualizada como la forma de gestionar
toda la organización basándose en los Procesos, siendo definidos estos como una
secuencia de actividades orientadas a generar un valor añadido sobre una entrada
para conseguir un resultado, y una salida que a su vez satisfaga los
requerimientos del cliente.

El enfoque por proceso se fundamenta en:

• La estructuración de la organización sobre la base de procesos orientados
a clientes
• El cambio de la estructura organizativa de jerárquica a plana
• Los departamentos funcionales pierden su razón de ser y existen grupos
multidisciplinarios trabajando sobre el proceso
• Los directivos dejan de actuar como supervisores y se comportan como
apocadores
• Los empleados se concentran mas en las necesidades de sus clientes y
menos en los estándares establecidos por su jefe.
• Utilización de tecnología para eliminar actividades que no añadan valor

Las ventajas de este enfoque son las siguientes:

• Alinea los objetivos de la organización con las expectativas y necesidades
de los clientes
• Muestra como se crea valor en la organización
• Señala como están estructurados los flujos de información y materiales
• Indica como realmente se realiza el trabajo y como se articulan las
relaciones proveedor cliente entre funciones
10
En este sentido el enfoque en proceso necesita de un apoyo logístico, que permita
la gestión de la organización a partir del estudio del flujo de materiales y el flujo
informativo asociado, desde los suministradores hasta los clientes.

La orientación al cliente, o sea brindar el servicio para un determinado nivel de

satisfacción de las necesidades y requerimientos de los clientes, representa el
medidor fundamental de los resultados de las empresas de servicios, lo cual se
obtiene con una eficiente gestión de aprovisionamiento y distribución oportuna
respondiendo a la planificación de proceso.

4.2. MARCO CONCEPTUAL

4.2.1. DEFENCE SYSTEMS COLOMBIA: LA EMPRESA OBJETO DE ESTUDIO
4.2.1.1. Descripción de la Empresa
Defence Systems es una empresa establecida en Colombia desde 1987 por Armor
Group y actualmente pertenece al Grupo Corporativo G4S, experta en brindar
soluciones de seguridad, dedicada a la prestación de servicios integrales de
seguridad física, escoltas, y asesorías para todo tipo de negocio.

Actualmente su sede administrativa se encuentra ubicada en la calle 25 B N0.69A

-51 Interior 1 piso2, en la ciudad de Bogotá con una sede en Medellín.

Defences Systems Colombia ha decido marcar la diferencia en la prestación del

servicio a sus clientes ofreciéndoles seguridad en la información y enfrenta un
momento de decisión estratégica para incrementar su competitividad.

Actualmente Defence Systems Colombia ofrece las siguientes líneas:

a. Vigilancia y seguridad privada con armas (modalidad fija o móvil)

b. Servicio de vigilancia privada sin armas (modalidad fija o móvil)

c. Servicio de escolta a personas, vehículos y mercancías

d. Servicio de asesorías, consultorías e investigaciones en seguridad para

todo tipo de empresas u organizaciones

e. Estudios de seguridad personal

11
La empresa tiene definidos los siguientes componentes de planeamiento
estratégico2 :

• Misión:

"Mantener con eficiencia, efectividad y calidad total del liderazgo como la mejor
Compañía de Servicios Integrados de Seguridad y de Manejo del Riesgo en
Colombia; asegurando o superando el cumplimiento de las expectativas del
cliente, respondiendo a cabalidad con la legislación Colombiana, los Derechos
Humanos y el Medio Ambiente, para que el negocio prospere y se desarrolle a
beneficio de nuestros clientes, la Compañía y nuestros accionistas”

• Visión:

En los próximos cinco años, consolidarnos y ser reconocidos como la empresa

líder de servicios integrados de seguridad y manejo de riesgos en Colombia;
brindando calidad, credibilidad y confianza a nuestros clientes y a nuestra gente.

• Política Integral de Gestión:

Prestar servicios Integrales de seguridad, bajo los mas altos estándares de

calidad, ambientes laborales sanos, armonía con el medio ambiente, asegurando
el cumplimiento de las necesidades, exigencias y expectativas de nuestros
clientes, nuestros empleados y todas las partes interesadas, mediante el
mejoramiento continuo de los procesos de seguridad, evaluación y desarrollo de la
tecnología de punta apoyados en las Alianzas Estratégicas, que se consolidan día
a día en la compañía.

Defence Systems Colombia S.A. a través de sus programas y planes de desarrollo

de los funcionarios busca mantener un clima organizacional adecuado, así como
ambientes libres del consumo de Alcohol y Drogas a través de campañas y
controles efectivos, asegurando el bienestar de nuestros empleados y el resultado
eficaz de nuestras operaciones, con personal competente y confiable.

Defence Systems Colombia S.A. velara por disminuir la magnitud e impacto en el

medio ambiente lo mismo que la reducción de la consecuencia de los peligros en
2
Texto tomado de documento Corporativo de la Empresa DSC
12
la salud y la infraestructura, acogiéndonos a las políticas, escala de riesgo, normas
y controles operativos que se deben tomar en cuenta para la ejecución de
nuestros procesos.

Defence Systems Colombia S.A., cumplirá con las medidas de seguridad que
estén en aplicación y se hace responsable de reportar a las autoridades
pertinentes cualquier intención donde la compañía pueda ser utilizada en el
manejo de actividades ilícitas, conducta no ética y conflictos de interés
identificados, bajo parámetros de reglamentación legal vigente, el sistema de
Gestión Integral, y las políticas establecidas por nuestros clientes.

• Objetivos de Gestión Integral:

a. Aumentar el nivel de competencia, entrenamiento, capacitación y

experiencia apropiada del personal acorde a los requisitos del servicio, los
peligros y aspectos identificados.

b. Incrementar las acciones de mejoramiento de nuestros procesos con el fin de

optimizarlos.

c. Proporcionar soluciones de seguridad en los servicios para cubrir las

necesidades y expectativas de nuestros clientes.

d. Suministrar a la empresa los recursos humanos y técnicos apropiados para el

cumplimiento del desarrollo del Sistema de Integral de gestión.

e. Mejorar la competitividad de la empresa y conseguir una posición de Liderazgo

permanente.

f. Incrementar el grado de satisfacción de nuestros clientes hacia el servicio.

g. Cumplir los requisitos legales y reglamentarios de la organización.

h. Mantener los índices de accidentalidad (Frecuencia y Severidad ) con tendencia

a la baja.

i. Mantener el nivel de riesgo en niveles aceptables

13
j. Mantener los índices de ausentismo por enfermedad general y profesional con
tendencia a la baja.

k. Evitar infiltración de personal.

l. Reducir niveles de vulnerabilidad.

m. Manejar adecuadamente los recursos naturales.

• Mapa de Procesos:

Los directivos de la empresa Defence Systems Colombia se sienten satisfechos

de cómo ha evolucionado la Organización con el paso de los años y sienten que
es hora de especializar su servicio incluyendo en la prestación del servicio la
seguridad de la información.

Como estrategia de diferenciación, Defence Systems Colombia ha decidido

redefinir el alcance del sistema de gestión de calidad contemplando elementos de
la norma ISO 27001:2005
14
4.2.1.2. Seguridad Integral

Siguiendo lo establecido por ASIS – American Society for Industrial Security

Internacional para la descripción del cargo de un Chief Security Officer – CSO,
éste es responsable por cuatro diferentes disciplinas de aplicación de la
administración de riesgos (CONTOS, B., CROWELL, W., DeRODEFF, C.,
DUNKEL, D. y COLE, E. 2007, pág.215): Seguridad de la Información, Seguridad
Física, Continuidad del Negocio y valoración de riesgo3.
En este contexto, se muestra claramente que el concepto especializado de
seguridad, tiende a integrarse en un solo, que cobija las diferentes visiones del
mismo problema al interior de la organización. Agregaríamos adicionalmente, los
elementos propios de la protección de la vida humana como son los sistemas de
emergencias, sistemas contraincendio, primeros auxilios y evacuaciones.
La seguridad en el escenario propio de la globalización y de convergencia de los
temas, no es una disciplina inmune a esta tendencia. Comprender la seguridad en
un contexto integral, establece el nuevo paradigma de la seguridad corporativa
como una disciplina de carácter sistémico y sistemático, que no escatima en
análisis y revisiones para identificar posibles focos de inseguridad en cualquiera
de los dominios presentados, para avanzar en estrategias interdisciplinarias que
permitan una mejor comprensión de los riesgos de seguridad organizacionales.
Por tanto, no existe una priorización de temas, o valoración de importancia entre
ellos, pues todos suman al descubrimiento y construcción del sistema de gestión
de seguridad, que cruza culturas, dominios de conocimiento, tipos de riesgos y
amenazas, para concentrarse en los efectos de éstos, no en activos particulares,
sino en los procesos de negocio y su impacto en el logro de los objetivos
organizacionales.
La seguridad integral en el contexto actual exige una reflexión profunda de cada
uno de los especialistas actuales, sus ideas, culturas e intereses, para que
superando sus áreas de conocimiento, se establezcan rutas de conocimiento
conjunto, armonizados por un solo objetivo, que es delinear una cultura de
protección y valoración de activos, que sumando en un lenguaje común, pueda
comunicar, actuar y modelar los riesgos a partir de la experiencia misma de las
personas y su percepción de las amenazas en el desarrollo de sus actividades.

Establecer lineamientos que permitan una seguridad integral, un concepto

unificado de protección, implica cruzar los dominios de la seguridad física,
informática, continuidad de negocio, valoración de riesgos, emergencias,

3
Artículo: La evolución de la seguridad Privada

15
evacuaciones, contraincendio, primeros auxilios e investigaciones derivadas de la
materialización de los riesgos, en el escenario de sus operaciones y actividades
detalladas, para luego evaluar las consideraciones tácticas de las mismas, que
nos lleven a una visión estratégica de la seguridad que sea aplicable al proceso
mismo de negocio; que apoyado con el especialista del área, reconozca lo
sistémico del concepto y, lo sistemático y especializado de su aplicación.

5. DISEÑO METODOLOGICO:
Etapas Actividades Como se Recurs Objetiv Cumplimient
desarrolla o o de o objetivos
calidad
Evaluación -Revisión de la -Del mapa de procesos de - Establecer -Reconocimiento
y Análisis Norma por medio DSC se empieza a contar Informació situación de la empresa a
de SGC de mapa de como lo realiza la n DSC. actual través de la
procesos de DSC compañía para cumplir con SGC norma
Norma
los requisitos ISO 9001
9001:2008 -Situación de DSC

Anlizar los -Revisión de cada -Se reviso cada ítem con el -Norma Iso Verificar -Establecer
requerimie ítem con respecto fin de verificar que puntos 27001: que ítems puntos básicos
ntos Norma a DSC se pueden tomar para 2005 debo para implementar
ISO incluir en el nuevo servicio. incluir de la el nuevo servicio.
27001:2005 Iso 27001
para nuevo
servicio.

Propuesta Para prestar el - Revisión - Norma Modificar -Cambiar

de ampliar nuevo servicio de direccionamiento Iso el alcance aspectos que
el sistema seguridad estratégico. 9001:2008 incluyendo sean necesarios
de gestión información: nuevo para ampliación
-Definición de la política
servicio de
-Modificar plan seguridad información. alcance.
seguridad
estratégico DSC
- Definir Objetivos informació
-Establecer seguridad información n
política y objetivos
-Modificar mapa de
-Verificar procesos
necesidades
- Definir caracterización del
clientes
servicio de seguridad de la
-Revisar y información
modificar el mapa
-Modificar
de procesos de
caracterizaciones
DSC.
-Definir procedimientos
-Caracterizar el
proceso de
seguridad

16
 Información.
-Definir
procedimiento.

5.1. Diagnostico del sistema de gestión de DSC

DSC está certificada en calidad ISO 9000:2001 para servicios de vigilancia,
seguridad de escoltas, estudios de seguridad, asesoría y consultoría.

Como punto de partida para ampliar el sistema de gestión de DSC realizaremos

un análisis de la organización frente a la Norma tomando como base el mapa de
procesos que actualmente tiene la compañía:

17
DSC tiene dentro definidos tres procesos:

PROCESOS ESTRATEGICOS: Que están conformado gerencia general y

Sistema integral de Gestión.

• Gerencia General: En Defence Systems Colombia la gerencia está

comprometida con el desarrollo y mejora continua del Sistema de Gestión de
Calidad, para la prestación del servicio y la gestión de sus procesos, esto a
través de la aplicación de los procesos establecidos, principalmente en el de
Direccionamiento Estratégico.

La gerencia general dentro de estos compromisos establecidos cumple con:

-La revisión, redacción, implementación, divulgación de la política, objetivos de

calidad y revisiones del sistema de gestión de calidad cada seis meses con el
fin de verificar su cumplimiento dentro de DSC y realizar la mejoras
correspondientes.

-Constantemente verifica en cada servicio que se cumplan los requisitos del

cliente y que estén enmarcados en la normatividad vigente para la prestación
del servicio.

-Cada seis meses realiza una revisión a la política para que este acorde con
el propósito de la empresa, con los requisitos legales, de nuestros clientes y la
mejora continúa del sistema.

-Define anualmente los objetivos para el sistema de calidad, para que sean
medibles mediante indicadores de gestión, van en línea con la política de
calidad y con la misión institucional.

-Realizar una planeación con el Coordinador de calidad con el fin de definir las
actividades y recursos necesarios para alcanzar los objetivos de calidad y los
requisitos del servicio a través de la planificación estratégica para la respectiva
vigencia.

-Establece los niveles de autoridad y responsabilidad mediante su manual de

funciones “MANUAL DSC” y se asegura a través de recursos humanos para
que sea comunicada a todos los funcionarios al ingresar a la compañía.

-Tiene un representante del sistema que es el Coordinador de calidad.

-Vela por mantener una comunicación interna permanente en todos los

niveles. Por diferentes medios, tales como, correo electrónico y las

18
 comunicaciones escritas, carteleras, dependiendo de las necesidades de
comunicación.

- Realiza la revisión de la implementación, avances y mejora del Sistema de

Gestión de Calidad mínimo dos veces al año con corte semestral, (junio,
diciembre) con el fin de garantizar la conveniencia, adecuación, mejora
continua, de acuerdo con la metodología establecida para tal fin y teniendo en
cuenta la revisión de las acciones y oportunidades de mejora y posibles
cambios en el sistema.

- En la revisión por la dirección de DSC surgió la idea de modificar el sistema

de gestión con el fin de ofrecer a los clientes un servicio de seguridad de la
información que le permitiría no solo tener el control acceso físico sino control
interno y que sea administrado por una misma compañía permitiendo
complementarse y ser más eficiente en la prestación de los servicios.

• Sistema Integral de Gestión: Es Dirigido por Coordinador de Calidad, persona

que tiene formación para mantener el sistema de gestión.

Encargada de:
• Implementar procesos de seguimiento, medición, análisis y mejoramiento con
el fin de facilitar la toma de decisiones basada en los hechos y evidencias para
lograr la mejora continúa del Sistema de Gestión de Calidad.

• Mide la satisfacción del cliente cada 6 meses a través de encuesta de

satisfacción, se tiene un buzón de sugerencias y correo electrónico para las
quejas, reclamos y sugerencias.

• Realiza encuestas de satisfacción del cliente interno en las dependencias de la

empresa en todos los niveles.

• Realiza auditorías internas cada 6 meses, realiza seguimiento a las acciones

correctivas resultado de los hallazgos de las auditorias.

• Realiza seguimiento, monitoreo, control, supervisión y auditoria a los servicios

que presta.

• Entrega a las partes interesadas los informes de nuestra gestión.

• Realiza seguimiento a los servicios está contemplado a través de la

Supervisión a los servicios que presta DSC para verificar que se estén
19
 cumpliendo los requisitos de los clientes y la normatividad vigente con respecto
al servicio de vigilancia.

• Verifica que cada uno de los procesos identificados en el mapa cuente con
indicadores de gestión y su resultado sea reportado en el Tablero Control de
procesos y se verifica el cumplimiento de los objetivos del sistema de gestión
de calidad permitiendo el seguimiento y la mejora continua.

• Revisa constantemente el procedimiento para corregir el servicio no conforme

con el fin de proponer, identificar, controlar y evitar estas no conformidades.

• Evalúa a los clientes a través de “encuestas” que permite analizar varios

aspectos del servicio prestado.

• Busca continuamente la eficacia del sistema de gestión de la calidad mediante

el cumplimiento de la política de calidad, el resultado de las auditorias, análisis
estadísticos, acciones correctivas, preventivas y revisión de la dirección.

• Revisa el sistema para corregir y eliminar la(s) causa(s), el éxito depende en

buscar la causa real que esta originado el problema y poderla eliminar
definitivamente.

• Supervisa el procedimiento documentado para el análisis y aplicación de las

acciones preventivas que elimine causas de las potenciales no conformidades
y que sean adaptables a los efectos que puedan esperarse de dichas causas.

PROCESOS MISIONALES: Que están conformado Comercial y Operaciones.

• Comercial: Es el encargado de establecer parámetros para comercializar el

portafolio de servicios de Defence Systems Colombia S.A., que cumplan los
requerimientos del cliente y estén acordes con la capacidad de la empresa,
bajo una segura y adecuada selección de los clientes.

Dentro funciones está encargado de:

- El estudio y análisis de documentación e información de las licitaciones.

- Elaboración y revisión propuesta comercial.

- Seguimiento de procesos de venta.

20
• Operaciones: Esta dirigido por un jefe de operaciones que tiene a cargo
coordinadores para prestar servicios a los clientes. Existe uno para cada
proyecto o para cada área.

Prestamos los servicios de:

o Prestación de servicios de vigilancia y seguridad Privada: Personal para

protección de personas e instalaciones, capacitados según las
necesidades de cada situación particular, entrenados para detectar la
presencia de personas o movimientos sospechosos y proteger las
instalaciones, ejecutivos y funcionarios.
o Prestación de escoltas a personas, vehículos y mercancías:
Conductores escoltas DSC cree firmemente que la seguridad personal
debe suministrarse bajo el esquema de bajo perfil que contribuya con la
disminución de la atención y la minimización de riesgos para los
dignatarios y protegidos. Por esta razón, se cuenta con el uso de
vehículos no blindados para suministrar servicios de protección y
transporte, según la necesidad del cliente.
o Prestación de servicios de asesorías, consultoría e investigaciones en
seguridad para todo tipo de empresas u organización: La organización
busca brindar orientación a empresas y familias respecto a las medidas
disponible para minimizar el riesgo.
o Estudios de Seguridad : Forma de diagnóstico de la situación de
seguridad física, seguridad procedimental, amenazas emergentes y
análisis de riesgo de acuerdo con las instalaciones, el personal y las
residencias de nuestros clientes

Las funciones son de:

• El Director de operaciones está encargado de planificar la realización del
Servicio de acuerdo al establecido la metodología para la realización de los
trabajos a través de la definición de los procesos y procedimientos PRM01
“Operaciones” y PRM02 supervisión y “control de servicio que va desde las
necesidades de los clientes, prestación del servicio y seguimientos e
inspecciones de la ejecución de los trabajos, realizándolos de forma controlada
a fin de asegurar la calidad y del servicio

21
 Para la planificación del servicio se tiene en cuenta los siguientes aspectos:

Programas de capacitación.

Dotaciones.

Medios y equipos.

Armamento y municiones.

Uniformes y distintivos.

Horarios y Turnos para la Prestación del Servicio.

• El director de operaciones es la persona que está en contacto con los clientes

por lo tanto mensualmente está revisando lo que corresponda al contrato, el
tipo de servicio a realizar, los medios necesarios y en general todas las
condiciones del servicio, previa definición y revisión.

-Para el control del proceso ha estableció el procedimiento PRM03 “Procesos

relacionados con el cliente”.

-En la prestación de servicios de vigilancia los requerimientos están

estipulados en el contrato de forma específica, en esta medida, DSC cuenta
con una comprensión de las necesidades de los clientes adecuada para el
cumplimiento de la calidad

-Operaciones está encargado de realizar a través de mecanismo de control y

seguimiento la revisión de los requisitos del cliente para ello ha establecido
una matriz de requisitos frente a los requisitos del servicio, de acuerdo a los
resultados se establece la capacidad de la organización para cumplir con los
mismos.

-Los clientes de DSC cuentan con los siguientes medios de comunicación para
hacernos llegar cualquier inquietud: Telefónico, Correo electrónico, Chat por
medio de la página Web, Retroalimentación del servicio prestado a través de la
supervisión, Se ha establecido el instructivo IRM01 “Comunicación con los
cliente.

-Todos los procesos de trabajo se documentan mediante procedimientos que

definen la forma de realizar la actividad. Otra documentación la pueden formar:
Pautas de Inspección, instrucciones de ejecución de los trabajos y cualquier
documento que proporcione la información necesaria.

-Los elementos de producción se encuentran en condición óptimas para el

desarrollo del trabajo que se les asigne. Se establece un sistema de control y
mantenimiento para asegurar en todo momento la capacidad del proceso.

22
-Se establecen y definen los procesos y, si es necesario, procedimientos o
instrucciones, para el control de la ejecución de los trabajos, y se adquieren los
equipos y las instalaciones necesarias para ello, para garantizar una capacidad
de proceso suficiente.

-El personal asignado a cada una de las fases del proceso está cualificado
mediante formación interna y/o externa adecuada al puesto que desempeñen.

-En caso de nuevos elementos y/o equipos se definirán las condiciones de

utilización, mantenibilidad y seguridad.

-Los procesos de prestación de servicios están debidamente controlados a

través de las inspecciones periódicas que los inspectores efectúan. El análisis
de las deficiencias o incidencias encontradas nos proporciona información
suficiente como para solucionar los problemas y establecer acciones de mejora

-Durante la prestación del servicio los puestos de vigilancia son monitoreados

constantemente por el supervisor, personal, además lleva registros en la
minuta Cada actividad productiva posee la necesaria información para
realizarlas de modo repetitivo, sin ambigüedades. Asimismo, dispone de la
información apropiada para realizar las correspondientes inspecciones,
detallando secuencialmente cada operación y los equipos necesarios para la
misma.

-Existe una identificación por cada uno de los clientes por medio de carpeta
tanto en medio electrónico como física que contiene toda la información desde
el contrato, registro de control y seguimiento de la prestación del servicio,
quejas y reclamos hasta su liquidación.

-DSC garantiza la custodia de los bienes proporcionada por los cliente para
la prestación del servicio, como el control de almacenamiento y uso de llaves
dejadas en custodia a petición de los clientes, esta petición queda reflejada en
el contrato.

-Los registros generados, definidos en los procedimientos correspondientes, se

mantienen correctamente archivados según el procedimiento establecido en la
organización PRAM06 “Propiedad del cliente”.

23
 -DSC dispone de un almacén, en el que tiene depositados los productos
siguientes:
a) Armamento y munición –guardado especialmente en un armero
b) Uniformes.
c) Equipos de control y aparatos.
d) Equipos para comunicación
e) Las condiciones ambientales del almacén y del armero son las adecuadas
para la correcta conservación del material allí depositado.
f) Existen zonas específicas para el almacenamiento de diferentes tipos de
productos, quedando identificado cuando una mercancía está deteriorada o
es no conforme.
g) Tenencia y uso de un libro-registro en el que de entrada y salida de armas,
en el que se anotan las armas ahí depositadas, así como las que se
encuentran en posesión de los vigilantes y /o cualquier dato relativo a la
manipulación de las armas en custodia.

h) Realización de inventarios físicos de material.

Para el almacenamiento y conservación de los productos se ha establecido el
PRA09.” Control y Manejo de almacenamiento”

PROCESOS APOYO: Que están conformado Talento Humano, Administrativo y

Sistemas.

• Talento humano: Esta conformado por un director de recursos humanos, una

asistente y psicóloga

Que está encargada:

-De seleccionar personal con niveles de educación necesarios para los cargos a
desempeñar, que demuestre formación, habilidades y experiencia, en aras de
ofrecer servicios conformes con los requisitos del cliente.

-Establecer un manual de funciones en donde esta especificado los niveles de

competencias por cada cargo.

-Contar lugar con las condiciones apropiadas para desempeñar las labores
administrativas de DSC ubicado en calle 25 B N0.69A -51 Interior 1 piso2, en la
ciudad de Bogotá y todos los equipos necesarios para su funcionamiento.

24
-DSC tiene dentro de su personal un especialista en salud ocupacional encargado
de velar por que las condiciones ergonómicas, y ambientales estén cumpliéndose
según lo establecido en las normas.

• Administrativo: Es dirigido por una persona y asistente.

Encargada de:

-Se ha establecido el procedimiento: PRA01 “Gestión de Compras” que detallan

las actividades a realizar desde la selección de los proveedores, la gestión de las
compras o aprovisionamiento, la evaluación de los proveedores en base a la
calidad del producto o servicio suministrado, al plazo de entrega y el precio y las
actividades de verificación del producto / servicio recibido.

• Sistemas: Encargado de el óptimo funcionamiento de los recursos

tecnológicos y los sistemas de información que apoyan a toda la gestión de
DSC.

PROCESOS EXTERNOS: Que están conformado Talento Humano, Administrativo

y Sistemas.

• Servicio Estudios de confiabilidad: Es un procedimiento de investigación

privada que permite verificar el contexto personal, social, de estudios y laboral
del Candidato o Empleado a fin de que su ingreso o permanencia no ofrezca
riesgo para el patrimonio y la seguridad de la Empresa.

• Jurídico: Orientar y asesorar jurídicamente en forma eficiente, eficaz y

oportuna a las diferentes dependencias de DSC, bajo los principios de
legalidad, y transparencia.

A partir del análisis del Sistema de gestión de DSC frente a la Norma se pudo
establecer:

• Se tiene un sistema de gestión calidad robusto.

• Se cuenta con el apoyo de la gerencia general en DSC
• La gerencia general determino que la información, junto a los procesos,
personas y sistemas que hacen uso de ella, son activos muy importantes
dentro de una organización.
• Que se pueden prestar nuevos servicios

25
 5.2. Analizar los requerimientos de la Norma ISO 27001:2005 y proponer que
elementos se pueden incluir para modificar el alcance del sistema de gestión de
DSC

Con el fin de revisar los numerales de la Norma NTC 27001: 2005 y la situación de
la Organización frente a éste tema, se elaboró la siguiente tabla en la se describe
brevemente lo que se debe tener, se calificara 1 a 5 cada uno de los puntos
evaluados de la siguiente manera:
1: No existe nada realizado en DSC
2: Se encuentran en los planes de DSC
3: Se realiza pero no está documentado
4: Se encuentra documentado pero no se realiza
5: Se encuentra implantado y documentado

Puntos a
Interpretación de la
No. REQUISITO NORMA NTC-ISO/IEC 27001 Que hace DSC Calificación considerar
norma
DC.

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

1 4
Requerimientos Generales
La compañía no
La Organización ha tiene
establecido, documentado, implementado el
implementado y mantenido sistema de
La Organización debe establecer, un sistema de gestión de la seguridad de la NA
implementar, operar, hacer seguridad? información 1
seguimiento, revisar, mantener y
mejorar un SGSI documentado, en Existen registros de las Existe algunas en
el contexto de las actividades decisiones de gestión de las revisiones NA
globales del negocio de la claves sobre el SGSI gerenciales 4
Organización y de los riesgos que Existen declaraciones de
enfrenta. aplicabilidad indicando
2 4.1. objetivos de control del
sistema de información y
los controles que son No existen para SI
pertinentes y aplicables nuestros clientes 1

3 Establecimiento del SGSI

4.2.

26
 ¿Tiene definido un alcance No se tiene en NA
SGSI? DSC 1

¿Tiene definida una política

de Seguridad de la No se tiene
información? establecido 1 NA

¿Tiene establecida una

metodología de análisis de No se tiene SI
riesgo establecido? establecida 1
a. Definir, el alcance y límites del
SGSI en términos de las SI
características del negocio, la ¿Identificación de riesgos? No se tiene 1
Organización, su ubicación, sus ¿Tiene su SGSI tienen
activos, su tecnología, e incluir los evidencia para apoyar la Si en la revisión
detalles y justificación de cualquier autorización de la actas de gerencia SI
exclusión del alcance. dirección? de la 3
No se tiene
4.2.1 implementado
¿Realiza análisis y solo para los SI
evaluación de Riesgos? físicos 2

¿Opciones para el SI
tratamiento de riesgos? No se tienen 1

¿Selección de Objetivos SI
de control y controles? No se tienen 1.

¿Aceptación de riesgo SI
residual? No se tiene 1
b. Definir una política de SGSI en
términos de las característica del
negocio, la Organización, su Autorización de la alta Si se tiene SI
ubicación, sus activos y tecnología gerencia establecida 4

SI
Estado de aplicabilidad No se tiene 1
Existe un plan de
tratamiento de riesgos con
Implementación y operación del responsables y funciones a SI
4 4.2.2. SGSI desarrollar No se tiene 1

Se tiene un plan de SI
controles No se tiene 1
Se ejecutan procedimientos
de monitoreo y revisión
SGSI NA
5 4.2.3 Seguimiento y revisión del SGSI No se tiene 1

Se efectúan revisiones
regulares de la Eficacia del NA
SGSI No se tiene 1

Se revisa el nivel del riesgo

residual y del riesgo NA
aceptable No se tiene 1

Se realizan auditorías NA
internas SGSI No se tiene 1

27
 Registran todos los eventos
que tienen un efecto en el NA
de SGSI No se tiene 1

Se actualizan los planes de

seguridad de la información No se tiene 1 SI

Implementar las mejoras

6 4.2.4 Mantenimiento y mejora del SGSI identificadas No se hace 1 NA

Tomar apropiadas acciones

correctivas y acciones
preventivas No se hace 1 NA

Asegurar que las mejoras

alcancen los objetivos No se hace 1 NA

7 4.3 REQUISITOS DE DOCUMENTACIÓN

8 4.3.1 Generalidades Puede demostrar documentación que es requerida por el SGSI:

a. la política del SGSI, el

alcance y objetivos No se tienen 1 NA

b.políticas adecuadas, los SI

procesos y procedimientos No se tienen 1
c.Metodología de
evaluación de riesgos,
incluidas las evaluaciones
de riesgo y los SI
tratamientos? No se tienen 1

d. Declaración de SI
Aplicabilidad? No se tienen 1

e. Otros documentos en su NA
caso? No se tienen 1

f. registros documentados
que demuestren la NA
conformidad? No se tienen 1

a. Una identificación única,

y sujeto al control de NA
9 4.3.2 Control de documentos versiones? No se tienen 1
b. Los documentos son
sujetas a revisión y
aprobación antes de su Si se tiene por NA
publicación? SGC 5

c. Sujeto a revisión
periódica - por ejemplo, NA
anualmente? Se tiene SGC 5
d. Actualización siguientes
cambios de negocios o
eventos relacionados con la NA
seguridad? No se tiene 1

28
 e. Teniendo en cuenta una
clasificación adecuada, de
acuerdo a la información NA
que contiene? No se tiene 1
a. Para los registros de
evidencia, de manera
segura conserven durante
un periodo de pre- NA
10 4.3.2. Control de Registros definidos? No se tiene 1
b. Se evidencia
autorizaciones de ID de
usuarios y documentos
electrónicos como la
seguridad de los registros NA
. del sistema No se tiene 1

c. Los registros están

protegidos contra cambios NA
no autorizados Si se tiene SGC 1
11 5. RESPONSABILIDAD DE LA DIRECCION

Existe un documento de
Política de Seguridad de la NA
12 5.1. Compromiso de la dirección Información No se tiene 1

Cada cuanto se realiza la

revisión de la Política de
Seguridad de Información No se hace 1 NA
La política es adecuada y
se evidencia que es
entendida por el personal NA
de la Organización No se tiene 1

Establecer roles y
responsabilidades de SI
seguridad de la información Se tiene SGC 1

La alta dirección asegura el

establecimiento de SI.
objetivos y planes del SGSI No se tiene 1
La alta dirección comunica
a la Organización la
importancia de cumplir con NA
la política y objetivos SGSI No se tiene 1

Los resultados de la
revisión de la gestión se SI
tienen en cuenta. Si se tienes 5

Decidir los criterios de

aceptación de riesgos y sus NA
correspondientes niveles. No se tienen 1

Realizar revisiones NA
periódicas al Modelo SGSI No se tienen 1
13 5.2. GESTION DE RECURSOS

Evaluar la eficacia de las NA

14 5.2.1. Provisión de recursos acciones realizadas. Si se desarrollan 1
Verificar que los
procedimientos de
seguridad de la información
son apoyo a los requisitos SI
del negocio No se realiza 1

29
 Se mantiene la seguridad
suficiente mediante la
aplicación correcta de
todos los controles SI
implementados No se realiza 1
Garantizar que los
procedimientos de
seguridad de la información
apoyan los requerimientos
de seguridad para la SI
compañía No se realiza 1
Se evidencia las
competencias necesarias
para el personal que realiza Se tiene manual
tareas en la funciones pero se
Formación, toma de conciencia y implementación del modelo debe generar uno SI
15 5.2.2. competencia SGSI para los clientes 2
Existe plan de capacitación
en sistemas de seguridad
para el personal de la No se tiene ese SI
compañía rublo 3

Existen programas de
concienciación sobre la SI
importancia de la seguridad No se tienen 1

¿Se encuentra definida la

AUDITORIAS INTERNAS DEL frecuencia y planificación NA
16 6. SGSI de las auditorías SGSI? No Se tienen 1
¿La auditoría interna
comprende todos los
procesos del sistema de
gestión del sistema de la
seguridad informática y la
norma ISO 27001? No Se tienen 1 NA

¿Son objetivos e
imparciales los auditores NA
internos? No Se tienen 1
¿Se encuentran definidos y
se cumplen los requisitos
que deben cumplir los
auditores internos para la
realización de las auditorías NA
internas? No Se tienen 1

¿Existe un procedimiento
documentado para las Dsc tiene NA
auditorías internas? implementado 5
¿El responsable de área
toma las decisiones sobre
las correcciones a realizar Se tiene NA
después de la auditoría? establecido 5

Cualquier cambio que NA

pueda afectar al SGSI. No se tiene 1

Recomendaciones de NA
mejora. Se tiene SGC 5
REVISIÖN DEL SGSI POR LA DIRECCIÖN
17 7.

30
 Generalidades
18 7.1.
Actualización de la
evaluación de riesgos y del
plan de tratamiento de
7.1 La dirección revisará la riesgos respuesta a
organización del SGSI en intervalos cambios internos o
planificados (por lo menos una vez externos en los requisitos
al año) para comprobar que sigue normativos, requerimientos SI
en la adecuación y eficacia ... de seguridad, No se tiene 1
Se evidencia la revisión de
oportunidades de mejora y
necesidades de cambios NA
SGSI No se tiene 1

19 7.2 Información para la revisión

Modificación de los
procedimientos y controles
que afecten a la seguridad
7.2.Las entradas para la revisión de la información, en
por la dirección deben incluir: a. procesos de negocio,
Resultados de las auditorías y marco legal, obligaciones
revisiones del SGSI, b. contractuales, niveles de
Retroalimentación de las partes riesgo y criterios de SI
interesadas.. aceptación de riesgos. No se tienen 1
Vulnerabilidades o
amenazas que no fueran
tratadas adecuadamente SI
en evaluaciones de riesgos No se tienen 1

Estado de las acciones

correctivas y preventivas Si se tienen 5 SI

Resultados de las
mediciones de eficacia Si se tiene 5 SI

Acciones de seguimiento
resultantes de revisiones NA
anteriores Si se tiene 1

Resultados de la revisión
20 7.3.
La salida de la revista de la
dirección deben incluir y las Mejora de la eficacia del
decisiones y acciones relacionadas SGSI –mejora de la NA
con la .. madurez de los controles. No se tiene 1

Apoyar la implementación
del plan de acción No se tiene 1 NA
Disponer de un enfoque y
un marco de trabajo para
implementar, mantener,
monitorear y mejorarla
seguridad de la
información, que sean
consistentes con la cultura SI.
de la organización. No se tiene 1

31
 Actualización de la
evaluación de riesgos y del
plan de tratamiento de
riesgos No se tiene 1 SI

No se tienen NA
Los recursos necesarios establecidos 1

La eficacia de los controles No se tiene 1 SI

MEJORA DEL SGSI

21 8.

¿Existe evidencia de
acciones emprendidas para
22 8.1. Mejora Continua la mejora continua? Si para SGC 5 SI

Se identifican las no
23 8.2. Acción Correctiva conformidades Si para SGC 5 SI

El procedimiento documentado
para la acción correctiva debe Se determinan las causas
definir de las no conformidades Si para SGC 5 SI
Se evalúa la necesidad de
acciones que aseguren que
las no conformidades
vuelvan a ocurrir Si para SGC 5 SI

Se registran los resultados SI

de acción tomada Si para SGC 5
Acción preventiva
24 8.3.

... El procedimiento documentado Se identifica las no

para la acción preventiva se define conformidades potenciales NA
... y sus causas Si para SGC 5
Se evalúa la necesidad de
acciones para impedir que
las no conformidades NA
ocurran Si para SGC 5

SE determinan e
implementa la acción NA
preventiva Si para SGC 5

Se registra los resultados

de la acción tomada. Si para SGC 5 NA

Se realiza un análisis para conocer cómo se maneja la seguridad de la información

de los clientes notando grandes deficiencias.
84 Preguntas
De esta revisión se Concluye:

32
 • Sumando la calificación asignada a cada ítem de la Norma Iso 27001: 2005,
DSC tiene 69 puntos, de los 420 posibles.
• El porcentaje de cumplimiento de DSC frente a la Norma Iso 27001:2005,
con los parámetros establecidos para la calificación (69/420), es de 16%
• Este porcentaje indica DSC se encuentra en una situación Organizativa
baja, desde el punto vista seguridad información.

Por eso para planificar la ampliación alcance del SGC de la compañía DSC se
ofrecerá a nuestros clientes seguridad información basada en:

-Control de acceso a la Información

-Uso de contraseñas de seguridad
-Hardware y software
-Virus
- Copias de seguridad

5.3. Proponer SGC para la ampliación del alcance:

El objetivo principal de DSC es Ampliar el alcance del Sistema de gestión y para

esto es indispensable comprometer a toda la organización, pero más aún, a su
alta dirección pues es en este nivel que se determina y controla el sentido y fuerza
de toda la compañía. Todo esto con el fin de proceder a planear acciones,
definiendo las actividades que se debe realizar y sus responsables para que, en
este caso, se logre el cumplimiento.

De acuerdo con las necesidades de la estructuración de la información para

cambiar el alcance del sistema de gestión en DSC, los temas a modificar son los
siguientes:

 Direccionamiento estratégico DSC

 Políticas y objetivos de calidad
 Necesidades de los clientes en cuanto a la seguridad de la información
 Mapa de procesos incluyendo el servicio de seguridad información
 Caracterización de procesos operaciones y seguridad información
 Definir de procedimientos
33
Como pudimos observar en DSC la alta gerencia está totalmente comprometida
con el SGC y con el hecho de ampliar su alcance, pues la tendencia es a ofrecer
una seguridad integral a sus clientes y para esto DSC tendrá en cuenta:

• DIRECCIONAMIENTO ESTRATÉGICO DE DSC

DSC tiene establecido su direccionamiento estratégico como lo podemos

observar en su marco conceptual, pero es necesario incluir la seguridad de la
información, como se describe a continuación:

Estructura organizacional propuesta:

Con base en los requerimientos de la norma, y teniendo en cuenta la misión

establecida por la empresa, se hacen las siguientes propuestas:

a) Definir los objetivos, de manera que sean cuantificables, así:

Objetivos de DSC:

o Mejorar el grado de concienciación de los usuarios que tienen

nuestros clientes en materia de seguridad información en un 5% al
finalizar el año de implementado el servicio.

o Reducir el número de pérdidas de información en un 4% para el año

2014.

o Garantizar la autenticación del personal que accede al sistema.

o Disminuir 5% de las incidencias que fueran relacionadas a virus para

el 2014.

b) Definición de la política de calidad seguridad de la información, la cual

quedará así:

Proteger los recursos de información de los clientes y la tecnología

utilizada para su procesamiento, frente a amenazas, internas o externas,
deliberadas o accidentales, con el fin de asegurar el cumplimiento de la
confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la
información.

34
c) Análisis de necesidades de los clientes

Revisando los clientes que actualmente tiene DSC y análisis previo de la

ISO 27001: 2005 encontramos que la mayor preocupación en cuanto a la
seguridad de la información es:

Necesidades Clientes Control Uso de Copias de

DSC acceso contraseñas Hw y SW virus seguridad
confiable x X
Segura x x x x
disponibilidad X
Acceder x
Integridad x X

Basados en lo anterior, podemos apreciar que para nuestro nuevo servicio

de seguridad de la información debe contar con estos requerimientos con el
fin de satisfacer a nuestros clientes.

d) Mapa de Procesos:

El mapa de procesos de DSC incluyendo el nuevo servicio de seguridad de

la información de DSC quedaría de acuerdo al anexo No1.

Como podemos observar en el anexo No1 se estableció como un nuevo

servicio del área de operaciones procesos misional de Defence Systems
Colombia, que permitirá ofrecer a sus clientes importantes elementos de
una atractiva propuesta de valor seguridad Integral

Es un servicio que se complementa con el servicio de vigilancia y seguridad

privada anexo N2 ya que este encierra la parte física del cliente y el nuevo
servicio le ofrecerá la seguridad de la información permitiéndonos ofrecer
un servicio único y con el mismo proveedor.

Para realizar el ajuste en DSC se modifico la caracterización del servicio de

vigilancia y seguridad anexo 3 haciendo énfasis en el control de activos,
entrada de elementos electrónicos, ingreso personal extraño y por ultimo
contando en los puestos de trabajo que tenemos con personal que ha
tenido un grado mayor en la selección hecha por DSC ya que contara con
poligrafía y estudio personalizado.

35
 Por último diseñamos la caracterización de sistema de seguridad de la
información que nos va permitir realizar análisis de la parte tecnológica y
sistema de riesgos a los que está expuesto el cliente para así proponer un
plan de seguridad acorde a las necesidades encontradas. Anexo 4

e) Procedimientos de seguridad de la información

1- Procedimiento de Control acceso a la información

2- Procedimiento creación, modificación y retiro de usuarios
3- Procedimiento copias de seguridad (Back up)
4- Procedimiento de administración de equipos
5- Procedimiento Mantenimiento preventivo

6. CONCLUSIONES:

• La seguridad de la información es un sistema rentable para la Organización

y que es el tiempo para implementarlo en las compañías ya que no existe
una compañía en Colombia que ofrezca un servicio integral de seguridad.

• La confidencialidad, integridad y disponibilidad de información sensitiva son

elementos esenciales para mantener los niveles de competitividad,
rentabilidad, conformidad legal e imagen empresarial necesarios para lograr
los objetivos de la organización y asegurar beneficios económicos.

• Por la situación de orden público del país, las compañías de vigilancia se

ubican en un entorno social muy sensible, lo cual las obliga a mantener
altos estándares de calidad de sus servicios.

• Existe una fuerte competencia en el mercado de las compañías de

vigilancia, así como una normatividad estricta por parte del gobierno, lo cual
las obliga a mantener control sobre sus procesos y una mejora continua en
su atención a los clientes

36
7. BIBLIOGRAFIA
• CUBERO MARIN, Juan José y GONZALEZ PEDRAZA, María del Rosario.
3G1. Sistema Integrado de Gestión Industrial. En: Revista Forum Calidad
115/00.

• GANDIA GENOVEVA, Sistemas de Calidad: Ventajas e Inconvenientes, EN:

Revista Forum calidad 92/1998

• ICONTEC, 2002. 34p. NTC 1486, 1075, 1487, 1160, 1308, 1307 y 4490

• 9001:2000.:ICONTEC,2001.10p

• 27001: 2005.:ICONTEC, 2005

Páginas Web consultadas:

http://www.itchihuahua.edu.mx/academic/industrial/admoncalidad/unidad02.html
http://www.itchihuahua.edu.mx/academic/industrial/admoncalidad/unidad02.html
http://www.iued.uned.es/users/socrates/modulocalidad.htm
http://www.imp.mx/documentos/p_SisCal.pdf
http://www.mici.gob.pa/sector_empresarial/calidad.html
http://www.icontec.org.co/certificadas/ShowResults.asp
www.supervigilancia.gov.co
www.colviseg.com
www.portafolio.com.co/servicios/http_seguridad
http://www.monografias.com/trabajos/iso9000/iso9000.shtml
http://www.avantel.net/~rjaguado/iso.html
http://www.monografias.com/trabajos6/amef/amef.shtml
www.prisma.com/competencias.htm

37