-Seguridad-Informatica-Tarea5

Vista previa del material en texto

SEGURIDAD 
INFORMÁTICA
Efrain Villegas Flores
Lunes 07 de diciembre de 2020
“Gestión de la seguridad y aspectos legales. Parte I”
TAREA SEMANA 5
Lea atentamente el caso presentado, analice la información de acuerdo a los
contenidos revisados en la semana y conteste las preguntas que se presentan a
continuación:
ESTUDIO CASO
EMPRESA: ARCO IRIS SCHOOL
Área de Recursos Humanos de la Arco Iris School, con respecto al cumplimiento
del proceso “Administración de Recursos Humanos”.
Objetivos de la Organización:
 Ofrecer el servicio de una excelente educación con orientación bilingüe
(español - inglés), artística, deportiva y ecológica en forma personalizada a
los niños de nivel inicial y primario, y obtener por el servicio un beneficio
monetario acorde a las ofertas educativa que brinda la Institución (según si
el inscripto participa de escolaridad simple o doble).
 Incrementar cada año el número de inscriptos para obtener mayor
rentabilidad y ampliar la comunidad educativa.
 Transmitir a la comunidad en general el perfil institucional y los beneficios
que los alumnos obtienen por una educación personalizada.
Departamento de administración de personal: Comprende todo lo relacionado
con el desarrollo y administración de políticas y programas que provean una
estructura organizativa eficiente, empleados calificados, tratamiento
equitativo, oportunidades de progreso, satisfacción en el trabajo y adecuada
seguridad de empleo. Depende de la Gerencia de Administración.
Funciones – Subfunciones – Tareas
1. Realizar el reclutamiento: lograr que todos los puestos estén cubiertos
por personal competente que cubran el perfil institucional por un costo
razonable.
a. Buscar los postulantes (docentes y no docentes) Análisis de las
necesidades del cargo desarrollo de especificaciones de trabajo.
Análisis de las fuentes de empleados potenciales. Atracción de los
posibles postulantes.
b. Realizar el proceso de selección: Análisis de la capacidad de los
aspirantes para decidir cual tiene mayores posibilidades. Entrevistar
los postulantes Realizar talleres de Pruebas de inteligencia emocional.
Evaluación de los postulantes en base a los resultados de los talleres.
Confección y entrega de los diferentes tipos de contratos de trabajo
(contratos temporales, a plazo fijo, contratos de prueba, pasantías,
etc.).
DESARROLLO TAREA SEMANA 5
c. Instrucción y entrega de materiales: Entrenamiento, información y
entrega de materiales necesarios a los empleados contratados (o
nuevos) para que cumplan sus obligaciones eficientemente.
d. Orientación de los nuevos empleados mediante talleres de capacitación
y entrega de documentación con las normativas (reglas con las que se
rige la institución) Seguimiento de la actuación de los empleados (y
empleados nuevos también). Compra de materiales didácticos u otros
servicios para entregar a los docentes y así los mismos puedan dictar
sus clases eficientemente.
e. Despidos: Terminación legal de las relaciones con los empleados en la
forma más beneficiosa para ellos y el colegio. Realización de la
entrevista de egreso. Análisis de las bajas.
f. Determinar los servicios sociales para los empleados. Determinación
de servicio médicos y otros para los empleados (y alumnos) que
cubran la seguridad e integridad física del personal dentro de la
organización. Prepara la documentación para la gestión de obras
sociales del personal.
2. Administrar sueldos y jornales: lograr que todos los empleados estén
remunerados adecuada, equitativamente y en tiempo.
a. Clasificar la posición, responsabilidades y requerimientos de los
empleados. Preparación de las normativas institucionales donde están
las especificaciones de Trabajo Revisión periódica y corrección de las
normativas. Fijar los valores monetarios de los puestos en forma justa
y equitativa, respecto a otros puestos en el colegio y a puestos
similares en el mercado de trabajo. Efectuar los pagos
correspondientes a los sueldos mensuales (el pago y entrega de
recibos de sueldo se efectúa en la propia institución).
b. Control de Horarios: Fijación de horas de trabajo y periodos de
inasistencia con goce de haberes o sin él, que sean justos tanto para el
empleado como para el colegio. Planificación y administración de
políticas sobre horarios de trabajos o inasistencias. Planificación y
administración de planes de vacaciones.
3. Promocionar las Relaciones institucionales: Asegurar que las relaciones
de trabajo entre la dirección general y los empleados al igual que la
satisfacción en el trabajo y oportunidad de progreso del personal, sean
desarrollados y mantenidos siguiendo los mejores intereses del colegio y
de los empleados. También su función es la de desarrollar proyectos de
Relaciones Institucionales con el medio externo (otras instituciones
escolares, clubes, etc.).
a. Realizar negociaciones colectivas: Lograr concordancia con las
organizaciones de empleados reconocidas oficialmente y establecidas
legalmente, de la manera que mejor contemple los intereses de la
escuela y los docentes. Negociación de convenios Interpretación y
administración de estos.
b. Controlar la disciplina del personal. Fijar reglas de conducta y
disposiciones mediante las normativas institucionales. Establecer y
administrar las medidas disciplinarias con respecto a inasistencias
injustificadas.
c. Investigación de Personal: Investigación de referencias de trabajos
anteriores. Confirmar las referencias y otras documentaciones a la
administración general. Investigar y verificar la documentación
presentada por los empleados que luego conformaran el legajo de los
mismos (RUT, títulos oficiales, registración en la Junta de
clasificaciones, etc.).
4. Generar Informes: Confeccionar todos los informes mensuales,
semestrales y anuales con las estadísticas, resúmenes, etc. de las
gestiones administrativas del personal.
Luego de revisar el caso presentado, responda:
1. Después de conocer Funciones – Subfunciones – Tareas del área de Recursos
Humanos del Arco Iris School, con respecto al cumplimiento del proceso
“Administración de Recursos Humanos”, mencione cinco aspectos que
considere se deban considerar en la gestión de la seguridad.
Seguridad relativa a los recursos humanos según ISO 27001
SO 27001Según ISO 27001, la implantación de un Sistema de Gestión de
Seguridad de la información aporta a las compañías un conjunto de políticas de
seguridad, procedimientos y otros mecanismos necesarios para controlar y
establecer todas las reglas de seguridad de la información de una organización.
No hace falta destacar que la información es uno de los activos más importantes
de una empresa. Esta no solo está relacionada directamente con el capital
económico de la compañía. En muchas ocasiones también recoge datos clave
del personal que forma parte de la misma como por ejemplo direcciones, datos
de contacto, horarios, números de cuesta o incluso enfermedades. 
Es por esto por lo que a la hora de implantar un Sistema de Seguridad de la
Información según ISO 27001, el personal de la propia organización deberá de
ocupar un papel muy importante dentro de dicho sistema.
Además de tener en cuenta la información relacionada con los trabajadores,
también habrá que trabajar en inculcar en estos la importancia de contar con un
Sistema de Gestión de Seguridad de la Información, así como aquellos
requisitos que tengan que adoptar para que este pueda ser implantado sin
ningún tipo de problema por su parte.
El capital humano es un activo clave a la hora de implantar un Sistema de
Gestión de Seguridad de la Información según ISO 27001. De manera que habrá
que contar con este como un activo propio. En esta ocasiónse hace referencia a
los aspectos que el Anexo A de la norma recoge de cara a tratar los recursos
humanos.
 
Según #ISO27001, el personal de la propia organización deberá de ocupar un
papel muy importante dentro de dicho sistema.
Tres periodos de los Recursos Humanos en ISO 27001
ISO 27001 recoge tres momentos importantes dentro de la vida del trabajador en
los que este debe conocer y por tanto cumplir con las responsabilidades
respectivas en relación a la seguridad de la información dentro de la compañía:
Antes del empleo, durante el empleo y tras finalizar el empleo.
1) Antes del empleo. Dos aspectos deberán de tenerse en cuenta antes de
que el trabajador se incorpore al puesto de trabajo:
 La investigación de antecedentes: esta se debe de llevar a cabo de
acuerdo con las leyes y normas y códigos éticos que se han de
aplicación en un determinado país y debe ser proporcional a las
necesidades del negocio, la clasificación de la información a la que se
accede y los riesgos que se hayan percibido.
 Términos y condiciones de empleo: tanto empleados como
contratistas deben establecer los términos y condiciones en su
contrato de trabajo en lo que respecta a la seguridad de la
información, tanto hacia el empleado como hacia la organización. 
2) Durante el empleo:
 Responsabilidades de gestión: la dirección deberá exigir a los
empleados y contratistas que apliquen la seguridad de la información
de acuerdo con las políticas y procedimientos establecidos en la
organización.
 Concienciación, educación y capacitación en seguridad de la
información: todos los empleados de la organización y, cuando
corresponda, los contratistas deben recibir una adecuada educación,
concienciación y capacitación con actualizaciones periódicas sobre las
políticas y procedimientos de la organización, según corresponda a su
puesto de trabajo.
 Proceso disciplinario: Debe existir un proceso disciplinario formal que
haya sido comunicado a los empleados, que recoja las acciones a
tomar ante aquellos que hayan provocado alguna brecha en la
seguridad. 
3) Finalización del empleo o cambio en el puesto de trabajo. Las
responsabilidades en seguridad de la información y obligaciones que siguen
vigentes después del cambio o finalización del empleo se deben definir,
comunicar al empleado o contratista y se deben cumplir.
2. Identifique cinco activos de información y clasifíquelos de acuerdo con el
contenido revisado durante la semana.
Los Activos de Información en la norma ISO 27001
Un requisito de la norma ISO 27001 2017, incluido en la lista de Controles del Anexo A,
es la correcta gestión de los Activos de Información que dan soporte a los diferentes
procesos de la organización. Esta gestión comprende desde su identificación por medio
de un inventario, fijar un responsable o Propietario de cada activo, determinar los usos
correctos y adecuados de cada uno de ellos, y su recuperación cuando sea necesario
para evitar su pérdida o difusión no controlada.
La identificación de los Activos
Como Control de la norma ISO 27001 2017 se exige la realización de un inventario de
activos, que es además la mejor manera de comenzar a trabajar. Si no sabemos lo
que tenemos, nos será muy complicado gestionarlo o controlarlo correctamente. Este
inventario se deberá mantener actualizado a lo largo del tiempo, por lo que se deberán
realizar revisiones periódicas y comunicar los cambios.
Los activos los podemos separar en dos grandes grupos: tangibles e intangibles. Los
activos tangibles son aquellos activos materiales que contienen información, y sobre
los que tomaremos medidas preventivas para protegerlos principalmente de riesgos
físicos: golpes, agua, fuego, etc. Los activos intangibles son aquellos que soportan
la información dentro de un activo material, y pueden inutilizar la información, pese a
que el activo físico no haya sufrido daño alguno.
Por ejemplo: Un listado de personal (información) puede estar incluido en una hoja
Excel (activo intangible), que se encuentra en un ordenador de sobremesa (activo
material), situado en la oficina principal (activo material) de la empresa.
Activos materiales
Algunos ejemplos de activos materiales que se pueden encontrar en todas las
empresas, son:
Equipos informáticos: Cada vez son más los equipos informáticos presentes en las
empresas, y pese a no contener información crítica en su interior, si que tienen acceso
a servidores y redes que si la poseen.
Servidores físicos: Los servidores propios donde guardamos todos los documentos de
la organización o donde se encuentran las aplicaciones informáticas compartidas (ERP,
CRM...), y los externos donde alojamos nuestros servicios web y de correo electrónico,
suelen ser los Activos más críticos dentro del SGSI.
Equipos red local: nuestros equipos informáticos están conectados entre sí por medio
de redes inalámbricas o cableadas. Las cuales pueden ser cortadas o violadas por
hackers expertos.
Periféricos y pendrives: Hay que tener un especial cuidado con escáneres e
impresoras donde se deja información impresa olvidada con frecuencia. Los pendrives,
CDs, DVDs... suelen perderse con facilidad o quedar olvidados por los cajones con
información muy sensible.
Portátiles, tabletas y móviles: En esta categoría se incluyen todos aquellos
dispositivos electrónicos que salen de nuestras instalaciones habitualmente. Sea por
visitas comerciales, porque el trabajador se lo lleva a casa después del trabajo, o se
ceden temporalmente a terceros.
Oficinas e instalaciones: Las oficinas, los edificios, las naves industriales... contienen
los ordenadores, los servidores físicos, los archivadores, la documentación en papel...
Por lo que deben ser consideradas como un activo material más, que deberemos
proteger.
Personal propio: Cada una de las personas que trabajan en la organización, tienen
información del negocio en su cabeza: conocimientos del proceso productivo, salarios,
contactos de proveedores y clientes... dependiendo del puesto que ocupe el trabajador,
ésta será más o menos sensible.
Otros contenedores: Armarios RF, cajas fuertes, archivadores, estanterías, salas
refrigeradas para servidores, cuartos de archivo, CPDs... son otros activos físicos que
podemos tener en nuestra organización, y deberemos identificar.
Activos intangibles
Entre los distintos activos intangibles que encontraremos en nuestra organización, cabe
destacar:
Aplicaciones informáticas: cualquier software que contenga o gestione información
del negocio, será un Activo: el ERP, aplicaciones de contabilidad, el CRM, Aplicaciones
ofimáticas (Word, Excel, Powerpoint...), software de control de calidad, aplicaciones de
gestión de proyectos o producción...
Gestores de copias de seguridad: las aplicaciones de creación y restauración de
copias de seguridad se tratan como herramientas diferentes a las anteriores, dado que
se debe garantizar su disponibilidad en el caso de caída grave del resto de sistemas.
Sistemas operativos: Dado que soportan el resto de aplicaciones informáticas y que
son uno de los principales objetivos de los virus informáticos, los gestionaremos de
manera especial al resto del software.
Comunicaciones: Las comunicaciones con el exterior también son críticas ante una
situación de emergencia, por lo que se tratarán de forma diferente: los servicios
telefónicos, el acceso a internet y los servidores de correo electrónico.
Gestores de bases de datos: el mal funcionamiento del ERP puede suponer una
pérdida de accesibilidad de la información durante un tiempo determinado. Pero la
caída del gestor de bases de datos que hay detrás, puede generar la perdida de una
parte del contenido o su totalidad. Por lo que requiere de un cuidado más exigente y
delicado.
Suministros: la perdida de suministro eléctrico durante un espacio de tiempo
prolongado, puedesuponer la caída de los sistemas de información de la organización.
Por lo que deberemos tener alternativas a nuestro proveedor habitual de estos
servicios.
RECOMENDACIÓN: En ocasiones, dependiendo del tipo de información contenida en
el Activo, su criticidad para el negocio y si ésta tiene legislación aplicable, se duplica el
Activo en el inventario para su tratamiento independiente y personalizado. Por ejemplo,
se suele separar la aplicación de Recursos Humanos del resto de aplicaciones
informáticas en el inventario, ya que sobre dicho software se aplicarán medidas
extraordinarias para cumplir la LOPD, que en el resto podemos considerar no
necesarias.
IMPORTANTE: Se debe tener un especial cuidado con aquellas aplicaciones y
desarrollos propios, ya que pueden carecer de las medidas de seguridad básicas
incluidas en las aplicaciones comerciales. Y por tanto ser más vulnerables a ataques y
fallos durante su utilización.
Valoración de Activos
Pese a no ser requisito de la norma ISO 27001 2017, es bastante recomendable
cuantificar la importancia de nuestros Activos de Información, y valorarlos a través de
diferentes dimensiones según la criticidad de la información que contienen. Hay tres
criterios básicos incluidos en la mayoría de las metodologías de evaluación: la
Confidencialidad, la Integridad y la Disponibilidad, también denominadas "CID". Pero en
otras metodologías como MAGERIT, este número se amplía a cinco:
Confidencialidad: La confidencialidad de una determinada información puede ser
clave para la continuidad del negocio. Una lista de clientes o tarifas publicada en
internet, puede suponer la pérdida de competitividad respecto a otras empresas del
sector, y por tanto un riesgo elevado para la organización.
Integridad: La integridad valora la importancia de que la información contenida en el
Activo, permanezca fiel y completa, y no sea eliminada parcial o completamente por
terceros o por error. Hay Activos de información que un daño mínimo los hace inútiles.
Por ejemplo, si a un software le eliminas un archivo, posiblemente deje completamente
de funcionar.
Disponibilidad: La disponibilidad consiste en que la persona autorizada a acceder a la
información incluida en el Activo, lo pueda hacer cuando lo necesite. En ocasiones el
no tener acceso a un determinado Activo, puede suponer la necesidad de detener la
producción, con los problemas que ello conlleva.
Autenticidad: En ocasiones, el garantizar que la fuente de información es quien dice
ser, o quien accede o modifica los datos es quien tiene que ser, puede suponer que la
información pierda completamente su valor. No sea fiable su calidad, y por tanto el
Activo de Información se haya perdido.
Trazabilidad: Disponer de un control completo de las acciones y usos que se le da a
un determinado Activo, de quien las realiza y en qué momento, puede ser necesario
para garantizar su calidad.
NOTA: Para cada una de estas dimensiones se deberán fijar criterios objetivos y
cuantificables, que nos servirán para determinar su valor en cada Activo. Se suelen
utilizar escalas numéricas asociadas a los distintos valores que pueda tomar la
dimensión. Determinar estos criterios suele ser una labor complicada a la que
deberemos dedicar tiempo, si queremos obtener resultados coherentes con la realidad
de la empresa.
IMPORTANTE: Es muy importante dedicar tiempo a la identificación y clasificación de
los Activos de Información. Ya que, si continuamos con el proceso de evaluación de
riesgos y el plan de tratamiento de riesgos de los que nos hayan salido significativos, y
posteriormente identificamos nuevos Activos olvidados, deberemos repetir todo el
trabajo.
3. Utilice una herramienta de gestión de riesgo que usted desee (árbol de
decisión, lista de comprobación, matriz de riesgo, etc.) para definir si el
proceso actual es eficiente en relación a los procesos que se ejecutan
dentro de la administración de recursos humano.
Fecha 
Identificacio n 
Riesgo
IDENTIFICACION RIESGO DESCRIPCION DEL RIESGO
POSIBLES CONSECUENCIAS
PROBA 
BILIDAD 
(%)
IMPACTO
90% Muy Bajo MB 0
70% Bajo B 0
50% Mo derado M 1
30% Alto A 1
10% Muy Alto MA 1
(1) (4) (5) (7) (8) (9)
Fecha Iden.
90%
70%
50%
X
Fecha Inic io
30%
10%
M
B B M A
M
A
Fecha Iden. 90%
70%
50%
Fecha Inic io 30% X
10%
M
B
B M AM
A
Fecha Iden.
90%
70%
50%
X
Fecha Inic io 30%
10%
M
B
B M AM
A
Fecha Iden. 90%
70%
50% X
Fecha Inic io 30%
10%
M
B
B M AM
A
Fecha Iden. 90%
70%
50% X
Fecha Inic io 30%
10%
M
B
B M AM
A
Fecha Iden. 90%
70%
50% X
Fecha Inic io 30%
10%
M
B
B M AM
A
Fecha Iden. 90%
70%
50% X
Fecha Inic io 30%
10%
M
B
B M AM
A
P
ro
ba
bi
lid
a
7
22/03/2016 Que no exis tan po lit icas
para la g erencia d el 
Talento Humano
Po lit icas inexis tentes o 
desactualizad as sob re el Talento 
Humano
Sanciones
Perd ida de Credib ilidad Interrupcio n d e la 
actividad d esarro llad a
0,5 Mo d erado M
Im p acto
P
ro
ba
bi
lid
ad
6
05/06/2015
Contratació n p ersonal no 
ido neo
ineficiencia en las act ivid ades a 
desarro llar p or parte de lo s 
funcionario s
1. Atención de b aja calid ad para los usuarios
2 . Bajo rend imiento en las t areas asiganad as
3 . Desg as te en t iempo y recurso s del área 
ad minis trat iva y cap acitació n
0,5 Muy Alto MA
05/06/2015
Im p acto
05/06/2015
05/06/2015
Im p acto
5 Deficiencias y d emora en 
las leg alizacio nes de 
co ntratos lab orales
Incump limiento d e las d isp o siciones 
reg lamentarias ap licables a los 
contrato s lab o rales y legalización de 
co ntratos .
1. Exp os ición a sanciones leg ales p or parte 
d e entes de co ntro l.
2 . Demandas labo rales
0,5
Mo d erado
M
P
ro
ba
bi
lid05/06/2015
05/06/2015
Im p acto
4
Incump limiento en las 
resp ues tas a so licitudes y 
req uerimientos
Insatis facció n en el cump limiento d e 
lo s términos de t iemp o en la 
p resentación de resp uestas a 
so licitudes y req uerimientos
externo s e interno s concernientes al 
perso nal d e la Ent idad
1. Expo s ició n a d emand as
2 . Sanciones legales
3 . insatisfacción po r p arte d e lo s 
funcionario s
0,5 Mo d erado M
P
ro
ba
bi
lid
ad
05/06/2015
05/06/2015
Im p acto
3
Errores en la liq uidación
d e nóminas y pag o d e 
seg urid ad so cial fuera d el 
t iempo leg al estab lecido
Errores que se p ued en p resentar en 
la liq uid ación o generació n d e 
nóminas Incump limiento 
actualización de no vedad es de 
perso nal Pago indeb id o de ap o rtes 
y/o fuera d el t iempo legal
1. Pag os errado s en la nó mina d e 
funcionario s
2 . Demandas labo rales
3 . Sob recos to s po r po rcentaje de mora p or 
el no pag o a t iemp o o dato s mal liquidad os 
en nó mina.
3 . No atención al emp leado en seg urid ad 
so cial p or no informar la novedad
3 . Sanciones para la entid ad p or 
incump limiento d e la leg is lación labo ral
0,5 Mo d erado M
P
ro
ba
bi
lid
ad
05/06/2015
05/06/2015
Im p acto
2 Deficiente d esemp eño labo ral
incump limiento d e funciones y
ob jetivos p o r p arte d e cada uno d e 
los emplead o s
y/o funcio nario s q ue ocup an lo s 
carg os de la
Entidad
1. Deficiencias d e los pro cesos
2 . Baja calid ad d e los pro d ucto s y/o servicios
3 . Incumplimiento de ob jetivos ins titucio nales
4 . Descono cimiento d el perso nal d e los 
o bjetivo s ins titucionales 0,3 Alto A
P
ro
ba
bi
lid
ad
P
ro
ba
bi
lid
ad
1
05/06/2015
Ind ucción y capacitación 
d eficiente e insuficiente
Inad ecuad a fo rmació n d e los 
f unc io na rio s de la 
Entid ad ,Incluye
el incump limiento d el Plan de 
Cap acitació n
1. Deficiencias d e los pro cesos
2 . Baja calid ad d e los pro d ucto sy/o servicios
3 . Incumplimiento de ob jetivos ins titucio nales .
0,5 Mo d erado M
05/06/2015
Im p acto
N
o.
ANALIS IS CUALIT AT IVO
Matriz Riesgo - Rant ing
CONT RO LE S S E G U I M I E N T O
PROBA 
BILIDAD 
(%)
IMPACTO CONTROL EXISTENTE ACCIONES
RES P ONS ABL ES
90% Muy Ba jo MB 0
70% Bajo B 0
50% Mo derado M 1
30% Alto A 1
10% Muy Alto MA 1
(8) (9)
90%
70%
50%
X
30%
10%
M
B
B M A
M
A
90%
70%
50%
30% X
10%
M
B
B M AM
A
90%
70%
50%
X
30%
10%
M
B B M A
M
A
90%
70%
50% X
30%
10%
M
B
B M AM
A
90%
70%
50% X
30%
10%
M
B
B M AM
A
90% Seg uimiento al ind icad or
70%
50% X
30%
10%
M
B
B M AM
A
90%
70%
50% X
30%
10%
M
B
B M AM
A
P
ro
ba
bi
lid
a
0,5 Mod erado M
Existe un d o cumento que so po rta la 
p olit ica de talento
humano (manual del b uen go bierno ). 
Sin emb argo se actualizara esta 
po lit ica seg ún las necesidades
actuales del p ro ceso .
reiterar co municad o d e g eneracion d e p o lit icas de 
talento humano
generar cit acio n d e reunion con Rep resentante d e la 
Alta
Direccio n p ara revisar el avance de la p olit ica
Directo r 
Ad minis trat iv o
Talento 
Humano
Trimes tral
Evaluaciòn al p ersonal so b re el 
cono cimiento de las p o lit icas de 
Talento Humano
Imp acto
P
ro
ba
bi
lid
ad
0,5 Muy Alto MA
Verificació n d e lo s req uisito s d e 
acuerdo al p erfil d el carg o
Se evalua p or p arte de la Psico log a q uien recomienda 
a la ent id ad s i la p erso na tiene la ap titud p ara el 
cargo a ocupar
Se realiza la ent revis ta p or p arte d el Presid ente 
Ejecutivo para evaluar y reco mend ar cump limiento d e 
funciones en caso de quedar eleg id o .
Directo r 
Ad minis trat iv o
Talento 
Humano
Trimes tral
Check lis t Verificació n de lo s 
req uisitos d e acuerdo al p erfil d el 
cargo
Imp acto
Archivo de las respuestas a so licitudes realizad as vía 
e-mail y fí s ico
Co nt ro l d ocumentación recib ida y entreg ad a a los 
respo nsab les del área ad minis trativa.
Directo r 
Ad minis trat iv o
Talento 
Humano / 
Ges t ión 
Juríd ica / 
Ges t ión 
Do cumental
Semes tral
inco nfo rmidades recib id as d el 
so licitante/ Número to tal d e 
so licitudes
Co nt ro l d e rad icació n y resp ues ta 
ante so licitud de tramites del 
personal
Imp acto
0,5
Mod erado
M
P
ro
ba
bi
lid
Verificació n d e requis ito s y d e
d ocumentació n
Disp os icio nes para el cump limiento d e lo s términos 
de t iemp o de las leg alizaciones e inicio d el ejercicio 
de sus funcio nes
Directo r 
Ad minis trat iv o
Talento 
Humano
Semes tral
Check lis t d e lo s Co nt rato s 
realizado s po r la entid ad
Imp acto
0,5 Mod erado M
P
ro
ba
bi
lid
ad
Revis ió n d e cumplimiento d e los 
so p ortes d e so licitud es y co nt ro l 
d ocumental de so licitud es recib idas
Permanente s eg uimiento y co nt ro l a lo s resultad o s de 
lo s p lanes de acción, estab lecimiento de la 
reg lamentació n de la evaluación d el desempeño .
Directo r 
Ad minis trat iv o
Talento 
Humano / 
Directo res y 
co o rdinado rd 
es
Cuat rimes tre Evaluación de d esemp eño
Imp acto
0,5 Mod erado M
P
ro
ba
bi
lid
ad
Seg uimiento y Revis ió n p erió d ica 
de lo s resultad os detectad o s p or 
los asis tentes en el p ro ceso d e 
liq uidación y pago d e nó minas
Planilla d e ing reso s mesuales 
med iante o perado r de ap o rtes en 
línea
Reg istro d e no ved ad es
d e nó mina rep ortado s en la carp eta co rresp o nd iente.
Revis ió n y s eg uimiento d e la nomina liq uidada p ara 
pag o.
Revisió n d el lis tad o p ara la inclus ió n d e las 
novedades y verificació n de p ag o
Reg istro d e erro res d el ap licativo JSP7 en la 
g eneració n de la nó mina
Directo r 
Ad minis trat iv o
Talento 
Humano / 
nómina
Mensual
Erro res generado s p o r el p ro g rama 
JSP7
# errores g enerad os en el p ag o de 
apo rtes en línea/ Número 
emp lead o s
Imp acto
0,3 Alto A
P
ro
ba
bi
lid
ad
Seg uimiento d e lo s ob jetivos
co ncertado s, fo rmato s y 
cumplimiento en la evaluación
P
ro
ba
bi
lid
ad
1, Actualizació n d e info rmació n q ue alimente el 
ind icad or
2 , Realizar s eg uimiento d e las cap acitacio nes 
imp artid as en la entid ad a través d e la encuesta de 
s at is facció n 3 , Realizar s eg uimiento a las 
capacitacio nes a través de lo s cert ificad o s d e 
es tudio /o evaluació n de la eficacia
4 , Realizar seg uimiento a lo s resultad os d el í tem 
prueba d e co no cimiento para d eterminar 
cump limiento d e o bjetivo de formación d el talento 
humano
0,5 Mod erado M
Seg uimiento y Revisión al ind icado r 
d e cump limiento Verificació n d el 
Plan de Cap acitaciones
Directo r 
Ad minis trat iv o -
Talento Humano
Cuat rimes tre
# d e personas con resultad os d e 
evaluació n de d esemp eño 
favo rables Encues ta d e s at is facción 
d e las cap acitaciones s eg uimiento 
p lan de cap acitacio nes evaluació n 
de la eficacia d e las capacitacio nes
Imp acto
ANALIS IS CUALIT AT IVO
Matriz Riesg o- Ranting PERIODICIDAD INDICADORES
Fecha
Identificacio n 
Riesgo
IDENTIFICACION RIESGO DESCRIPCION DEL RIESGO
POSIBLES CONSECUENCIAS
PROBA
BILIDAD 
(%)
IMPACTO
90% Muy Bajo MB 0
70% Bajo B 0
50% Mo derado M 1
30% Alto A 1
10% Muy Alto MA 1
(1) (4) (5) (7) (8) (9)
Fecha Iden. 90%
70%
50%
Fecha Inic io 30% X
10%
M
B
B M A M
A
Fecha Iden. 90%
70%
Pro cesos d e selecciò n 50%
Pro ceso d e inad ecuado s q ue no
9 Selecciòn p ermiten filtrar lo s 0,3 Mo derado M 10%
inad ecuada po s tulado s d e manera M
B
B M A M
Acorrecta.
Fecha Iden. 90%
70%
Tipo d e co nt rato no 1. Alta ro taciò n d el personal
10 Fecha Inic io ad ecuad o para el 2 . Poca motivaciò n del p ersonal 3 . 0,5 Alto A 30%
p ersonal Bajo d esempeño del p ersonal 10%
M
B
B M A M
A
Fecha Iden. 90%
Fecha Inic io 30%
10%
M
B
B M A M
A
3. Bajo sentido d e p ertenencia
hacia la Entidad
Fecha Iden. 90%
70%
50% X
Fecha Inic io 30%
10%
M
B
B M A M
A
Fecha Iden. 90%
70%
50% X
Fecha Inic io 30%
10%
M
B
B M A M
AIm p acto
13
Estructura inadecuada de 
lo s p erfiles de Cargo de la 
Entidad
Formatos de Perfiles d e Cargo no 
es tandarizado s y co n la est ructura 
inad ecuada
1. No p ermite evaluar lo s carg os para su 
jerarq uizaciò n y as ig naciòn salarial.
0,5 Bajo B
P
ro
ba
bi
lid
ad
12 Incump limiento d el Plan d e 
Cap acitaciòn
Inad ecuad a fo rmació n d e los 
f unc io nario s d e la Entidad .
0,5 Mo d erado M
Im p acto
1. Desactualizaciò n d e los funcionarios 
en t emas necesarios para la realizaciò n 
adecuada d e sus funciones .
P
ro
ba
bi
lid
ad
Im p acto
70% X
sob re la CCV (Mis iòn, Vis iò n, 50%
Im p acto
1. Falta de info rmaciò n general
P
ro
ba
bi
lid
ad
11 Inducciò n insuficiente al 
perso nal nuevo
Inad ecuada ind ucciò n general y 
esp ecifica a lo s nuevo s funcionario s 
d e la Entidad
His to ria, Po lit icas , etc)
2 . Descono cimiento d e las areas de trabajo y 
d e los co mp añero s co n q ue tendrà contacto 
p ermanente en
la realizaciòn d e sus funcio nes .
0,7
Alto
A
Tip o s de co ntrataciò n al perso nal 
que afecte neg ativamente el 
desemp eño d el perso nal.
P
ro
ba
bi
lid
ad
50% X
1. No se filtra d e manera ido nea lo s p os tulad o s. 
2 .
Pos ib le selecciò n inaecuada de perso nal.
P
ro
ba
bi
lid
ad
Fecha Inic io 30% X
Im p acto
P
ro
ba
bi
lid
ad
8
Canales no viables para el 
reclutamiento de p erso nal
No exis ten lo s canales ad ecuad os 
p ara d ar a co nocer las o fertas 
labo rales d e la CCV
1. Demo ra en el p roceso de ocupar las vacantes 
requeridas . 2 . Perd ida de cap taciòn d e 
perso nal id oneo para la vacante req uerid a 0,3 Bajo B
Im p acto
N
o.
ANALIS IS CUALITAT IVO
Matriz Riesgo - Rant ing
CO NT ROLE S
PROBA
BILIDAD 
(%)
IMPACTO CONTROL EXISTENTE ACCIONES
RES P ONS ABL ES
90% Muy Ba jo MB 0
70% Bajo B 0
50% Mo derado M 1
30% Alto A 1
10% Muy Alto MA 1
(8) (9)
90%
70%
50%
30% X
10%
M
B
B M A M
A
90%
70%
50%
0,3 Mo d erado M 10%
M
B
B M A M
A
90%
70%
Adminis trativ
0,5 Alto A 30% o
10% Talento
M
B
B M A M
A
90%
30%
10%
M
B
B M A M
A
s i recib io la ind ucciòn corresp ond iente.
90%
70%
50% X
30%
10%
M
B
B M A M
A
90%
70%
50% X
30%
10%
M
B
B M A M
A
1. Diag no st icar el fo rmato de p erfil de carg o .
2 . Mod ificar el fo rmato de p erfil de carg o d e 
acuerd o a la t endencia actual en la
Discip lina d e la Ges tiò n Humana.
Directo r 
Ad minis trat iv o -
Talento Humano
Semes tral
Nº de p erfiles de carg o 
mod ificado s/ Nº d e p erfiles de 
cargo d e la Entid ad
Imp acto
0,5 Bajo B
P
ro
ba
bi
lid
ad
0,5 Mod erado M Cuat rimes tre
Imp acto
P
ro
ba
bi
lid
ad
Seg uimiento y Revisión al ind icado r 
d e cump limiento Verificació n d el 
Plan de Cap acitaciones
1, Actualizació n d e información que alimente el 
ind icad or
2 , Realizar s eg uimiento d e las cap acitacio nes 
imp artid as en la entid ad a través d e la encuesta de 
s at is facció n 3 , Realizar s eg uimiento a las 
capacitacio nes a través de lo s cert ificad o s d e 
es tudio /o evaluació n de la eficacia
4 , Realizar seg uimiento a lo s resultad os
d el í t em p rueb a de co nocimiento p ara determinar 
cump limiento d e o bjetivo de
Directo r 
Ad minis trat iv o -
Talento Humano
# d e personas con resultad os d e 
evaluació n de d esemp eño 
favo rables Encues ta d e s at is facción 
d e las cap acitaciones s eg uimiento 
p lan de cap acitacio nes evaluació n 
de la eficacia d e las capacitacio nes
Cuat rimes tre
Nº d e items a enseñad os y que 
cons ten en la Acta de Ind ucciò n / 
Nº de it ems a enseñar en el p lan de
capacitaciò n
Imp acto
70% X
1. Elabo rar un Plan de Ind ucciò n el cual50%
Imp acto
P
ro
ba
bi
lid
ad
0,7
Alto
A conteng a un Check List d e lo s temas a presentar al 
nuevo personal y los respo nsab les de llevarlos a 
cabo . 2 .
Elab orar un Acta de inducciò n en el que
se hag a co nstar q ue el nuevo p erso nal
Directo r 
Ad minis trat iv o
Talento
Humano
Humano
P
ro
ba
bi
lid
ad
1. De acuerdo a la co mplejidad del cargo d eterminar 
un tipo d e co nt rato que
permita un alto desempeño y mot ivaciòn en el 
personal.
Matriz de relaciò n de lo s t ip o s d e 
co nt rato ut ilizado p or cad a p uesto 
d e trab ajo .
Directo r
50% X
Cuat rimes tre
P
ro
ba
bi
lid
ad
Pro ceso d e entrevis tas , verificaciò n 
d e anteced entes y pruebas 
p sico tecnicas.
1. Verificar la info rmaciò n suminis trad a en la Ho ja de 
vida.
2 . Realizar una entrevis ta s emi- es tructurad a que 
permita co no cer mas a fo ndo las co mpetencias d el 
cand id ato .
3 . Realizar pruebas Ps ico tecnicas p ara evaluar su 
po s ib le desemp eño labo ral y
relacio nes interpersonales co n sus co mp ñaeros d e 
trab ajo .
Directo r 
Ad minis trat iv o
Talento 
Humano
Cuat rimes tre
Nº de sub proceso s d e selección 
realizad os / Nº d e sub p ro ceso s de 
selecciò n q ue se d eb en realizar
30% X
Imp acto
P
ro
ba
bi
lid
ad
0,3 Bajo B
Pub licaciò n de las vacantes a t raves 
d e bo lsas d e empleo (Bo lsa d e 
Emp leo de COFREM)
Se da a co nocer a la Bo lsa d e Emp leo el p erfil q ue 
d eb e po seer el p o stulado p ara la vacante.
Directo r 
Ad minis trat iv o
Talento 
Humano
Cuat rimes tre
Nº de p erso nal contratad os p or la 
Bolsa de Emp leo
Imp acto
ANALIS IS CUALIT AT IVO S E G U I M I E N T O
Matriz Riesg o- Ranting PERIODICIDAD INDICADORES
REFERENCIAS BIBLIOGRAFICAS
IACC (2020). Gestión de la Seguridad y aspectos legales. Parte I. Seguridad
Informática. Semana 5. Consultado el 07 de diciembre de 2020.
ISOtools (2020). Blog Calidad y Excelencia. Consultado el 07 de diciembre de 2020
en https://www.isotools.org/2019/04/08/seguridad-relativa-a-los-recursos-humanos-
segun-iso-27001/
ISOwin (2020). Los Activos de Información en la norma ISO 27001 2017.
Consultado el 07 de diciembre de 2020 en https://isowin.org/blog/activos-ISO-27001/
Repositorio Unillanos (2016). Matriz de riesgos gestión del talento humano.
Consultado el 07 de diciembre de 2020 en
https://repositorio.unillanos.edu.co/bitstream/001/874/14/Anexo%203.%20OAF-
010%20Matriz%20de%20Riesgos%20administrativa.pdf
https://repositorio.unillanos.edu.co/bitstream/001/874/14/Anexo%203.%20OAF-010%20Matriz%20de%20Riesgos%20administrativa.pdf
https://repositorio.unillanos.edu.co/bitstream/001/874/14/Anexo%203.%20OAF-010%20Matriz%20de%20Riesgos%20administrativa.pdf
https://isowin.org/blog/activos-ISO-27001/
https://www.isotools.org/2019/04/08/seguridad-relativa-a-los-recursos-humanos-segun-iso-27001/
https://www.isotools.org/2019/04/08/seguridad-relativa-a-los-recursos-humanos-segun-iso-27001/