Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
SEGURIDAD INFORMÁTICA Efrain Villegas Flores Lunes 07 de diciembre de 2020 “Gestión de la seguridad y aspectos legales. Parte I” TAREA SEMANA 5 Lea atentamente el caso presentado, analice la información de acuerdo a los contenidos revisados en la semana y conteste las preguntas que se presentan a continuación: ESTUDIO CASO EMPRESA: ARCO IRIS SCHOOL Área de Recursos Humanos de la Arco Iris School, con respecto al cumplimiento del proceso “Administración de Recursos Humanos”. Objetivos de la Organización: Ofrecer el servicio de una excelente educación con orientación bilingüe (español - inglés), artística, deportiva y ecológica en forma personalizada a los niños de nivel inicial y primario, y obtener por el servicio un beneficio monetario acorde a las ofertas educativa que brinda la Institución (según si el inscripto participa de escolaridad simple o doble). Incrementar cada año el número de inscriptos para obtener mayor rentabilidad y ampliar la comunidad educativa. Transmitir a la comunidad en general el perfil institucional y los beneficios que los alumnos obtienen por una educación personalizada. Departamento de administración de personal: Comprende todo lo relacionado con el desarrollo y administración de políticas y programas que provean una estructura organizativa eficiente, empleados calificados, tratamiento equitativo, oportunidades de progreso, satisfacción en el trabajo y adecuada seguridad de empleo. Depende de la Gerencia de Administración. Funciones – Subfunciones – Tareas 1. Realizar el reclutamiento: lograr que todos los puestos estén cubiertos por personal competente que cubran el perfil institucional por un costo razonable. a. Buscar los postulantes (docentes y no docentes) Análisis de las necesidades del cargo desarrollo de especificaciones de trabajo. Análisis de las fuentes de empleados potenciales. Atracción de los posibles postulantes. b. Realizar el proceso de selección: Análisis de la capacidad de los aspirantes para decidir cual tiene mayores posibilidades. Entrevistar los postulantes Realizar talleres de Pruebas de inteligencia emocional. Evaluación de los postulantes en base a los resultados de los talleres. Confección y entrega de los diferentes tipos de contratos de trabajo (contratos temporales, a plazo fijo, contratos de prueba, pasantías, etc.). DESARROLLO TAREA SEMANA 5 c. Instrucción y entrega de materiales: Entrenamiento, información y entrega de materiales necesarios a los empleados contratados (o nuevos) para que cumplan sus obligaciones eficientemente. d. Orientación de los nuevos empleados mediante talleres de capacitación y entrega de documentación con las normativas (reglas con las que se rige la institución) Seguimiento de la actuación de los empleados (y empleados nuevos también). Compra de materiales didácticos u otros servicios para entregar a los docentes y así los mismos puedan dictar sus clases eficientemente. e. Despidos: Terminación legal de las relaciones con los empleados en la forma más beneficiosa para ellos y el colegio. Realización de la entrevista de egreso. Análisis de las bajas. f. Determinar los servicios sociales para los empleados. Determinación de servicio médicos y otros para los empleados (y alumnos) que cubran la seguridad e integridad física del personal dentro de la organización. Prepara la documentación para la gestión de obras sociales del personal. 2. Administrar sueldos y jornales: lograr que todos los empleados estén remunerados adecuada, equitativamente y en tiempo. a. Clasificar la posición, responsabilidades y requerimientos de los empleados. Preparación de las normativas institucionales donde están las especificaciones de Trabajo Revisión periódica y corrección de las normativas. Fijar los valores monetarios de los puestos en forma justa y equitativa, respecto a otros puestos en el colegio y a puestos similares en el mercado de trabajo. Efectuar los pagos correspondientes a los sueldos mensuales (el pago y entrega de recibos de sueldo se efectúa en la propia institución). b. Control de Horarios: Fijación de horas de trabajo y periodos de inasistencia con goce de haberes o sin él, que sean justos tanto para el empleado como para el colegio. Planificación y administración de políticas sobre horarios de trabajos o inasistencias. Planificación y administración de planes de vacaciones. 3. Promocionar las Relaciones institucionales: Asegurar que las relaciones de trabajo entre la dirección general y los empleados al igual que la satisfacción en el trabajo y oportunidad de progreso del personal, sean desarrollados y mantenidos siguiendo los mejores intereses del colegio y de los empleados. También su función es la de desarrollar proyectos de Relaciones Institucionales con el medio externo (otras instituciones escolares, clubes, etc.). a. Realizar negociaciones colectivas: Lograr concordancia con las organizaciones de empleados reconocidas oficialmente y establecidas legalmente, de la manera que mejor contemple los intereses de la escuela y los docentes. Negociación de convenios Interpretación y administración de estos. b. Controlar la disciplina del personal. Fijar reglas de conducta y disposiciones mediante las normativas institucionales. Establecer y administrar las medidas disciplinarias con respecto a inasistencias injustificadas. c. Investigación de Personal: Investigación de referencias de trabajos anteriores. Confirmar las referencias y otras documentaciones a la administración general. Investigar y verificar la documentación presentada por los empleados que luego conformaran el legajo de los mismos (RUT, títulos oficiales, registración en la Junta de clasificaciones, etc.). 4. Generar Informes: Confeccionar todos los informes mensuales, semestrales y anuales con las estadísticas, resúmenes, etc. de las gestiones administrativas del personal. Luego de revisar el caso presentado, responda: 1. Después de conocer Funciones – Subfunciones – Tareas del área de Recursos Humanos del Arco Iris School, con respecto al cumplimiento del proceso “Administración de Recursos Humanos”, mencione cinco aspectos que considere se deban considerar en la gestión de la seguridad. Seguridad relativa a los recursos humanos según ISO 27001 SO 27001Según ISO 27001, la implantación de un Sistema de Gestión de Seguridad de la información aporta a las compañías un conjunto de políticas de seguridad, procedimientos y otros mecanismos necesarios para controlar y establecer todas las reglas de seguridad de la información de una organización. No hace falta destacar que la información es uno de los activos más importantes de una empresa. Esta no solo está relacionada directamente con el capital económico de la compañía. En muchas ocasiones también recoge datos clave del personal que forma parte de la misma como por ejemplo direcciones, datos de contacto, horarios, números de cuesta o incluso enfermedades. Es por esto por lo que a la hora de implantar un Sistema de Seguridad de la Información según ISO 27001, el personal de la propia organización deberá de ocupar un papel muy importante dentro de dicho sistema. Además de tener en cuenta la información relacionada con los trabajadores, también habrá que trabajar en inculcar en estos la importancia de contar con un Sistema de Gestión de Seguridad de la Información, así como aquellos requisitos que tengan que adoptar para que este pueda ser implantado sin ningún tipo de problema por su parte. El capital humano es un activo clave a la hora de implantar un Sistema de Gestión de Seguridad de la Información según ISO 27001. De manera que habrá que contar con este como un activo propio. En esta ocasiónse hace referencia a los aspectos que el Anexo A de la norma recoge de cara a tratar los recursos humanos. Según #ISO27001, el personal de la propia organización deberá de ocupar un papel muy importante dentro de dicho sistema. Tres periodos de los Recursos Humanos en ISO 27001 ISO 27001 recoge tres momentos importantes dentro de la vida del trabajador en los que este debe conocer y por tanto cumplir con las responsabilidades respectivas en relación a la seguridad de la información dentro de la compañía: Antes del empleo, durante el empleo y tras finalizar el empleo. 1) Antes del empleo. Dos aspectos deberán de tenerse en cuenta antes de que el trabajador se incorpore al puesto de trabajo: La investigación de antecedentes: esta se debe de llevar a cabo de acuerdo con las leyes y normas y códigos éticos que se han de aplicación en un determinado país y debe ser proporcional a las necesidades del negocio, la clasificación de la información a la que se accede y los riesgos que se hayan percibido. Términos y condiciones de empleo: tanto empleados como contratistas deben establecer los términos y condiciones en su contrato de trabajo en lo que respecta a la seguridad de la información, tanto hacia el empleado como hacia la organización. 2) Durante el empleo: Responsabilidades de gestión: la dirección deberá exigir a los empleados y contratistas que apliquen la seguridad de la información de acuerdo con las políticas y procedimientos establecidos en la organización. Concienciación, educación y capacitación en seguridad de la información: todos los empleados de la organización y, cuando corresponda, los contratistas deben recibir una adecuada educación, concienciación y capacitación con actualizaciones periódicas sobre las políticas y procedimientos de la organización, según corresponda a su puesto de trabajo. Proceso disciplinario: Debe existir un proceso disciplinario formal que haya sido comunicado a los empleados, que recoja las acciones a tomar ante aquellos que hayan provocado alguna brecha en la seguridad. 3) Finalización del empleo o cambio en el puesto de trabajo. Las responsabilidades en seguridad de la información y obligaciones que siguen vigentes después del cambio o finalización del empleo se deben definir, comunicar al empleado o contratista y se deben cumplir. 2. Identifique cinco activos de información y clasifíquelos de acuerdo con el contenido revisado durante la semana. Los Activos de Información en la norma ISO 27001 Un requisito de la norma ISO 27001 2017, incluido en la lista de Controles del Anexo A, es la correcta gestión de los Activos de Información que dan soporte a los diferentes procesos de la organización. Esta gestión comprende desde su identificación por medio de un inventario, fijar un responsable o Propietario de cada activo, determinar los usos correctos y adecuados de cada uno de ellos, y su recuperación cuando sea necesario para evitar su pérdida o difusión no controlada. La identificación de los Activos Como Control de la norma ISO 27001 2017 se exige la realización de un inventario de activos, que es además la mejor manera de comenzar a trabajar. Si no sabemos lo que tenemos, nos será muy complicado gestionarlo o controlarlo correctamente. Este inventario se deberá mantener actualizado a lo largo del tiempo, por lo que se deberán realizar revisiones periódicas y comunicar los cambios. Los activos los podemos separar en dos grandes grupos: tangibles e intangibles. Los activos tangibles son aquellos activos materiales que contienen información, y sobre los que tomaremos medidas preventivas para protegerlos principalmente de riesgos físicos: golpes, agua, fuego, etc. Los activos intangibles son aquellos que soportan la información dentro de un activo material, y pueden inutilizar la información, pese a que el activo físico no haya sufrido daño alguno. Por ejemplo: Un listado de personal (información) puede estar incluido en una hoja Excel (activo intangible), que se encuentra en un ordenador de sobremesa (activo material), situado en la oficina principal (activo material) de la empresa. Activos materiales Algunos ejemplos de activos materiales que se pueden encontrar en todas las empresas, son: Equipos informáticos: Cada vez son más los equipos informáticos presentes en las empresas, y pese a no contener información crítica en su interior, si que tienen acceso a servidores y redes que si la poseen. Servidores físicos: Los servidores propios donde guardamos todos los documentos de la organización o donde se encuentran las aplicaciones informáticas compartidas (ERP, CRM...), y los externos donde alojamos nuestros servicios web y de correo electrónico, suelen ser los Activos más críticos dentro del SGSI. Equipos red local: nuestros equipos informáticos están conectados entre sí por medio de redes inalámbricas o cableadas. Las cuales pueden ser cortadas o violadas por hackers expertos. Periféricos y pendrives: Hay que tener un especial cuidado con escáneres e impresoras donde se deja información impresa olvidada con frecuencia. Los pendrives, CDs, DVDs... suelen perderse con facilidad o quedar olvidados por los cajones con información muy sensible. Portátiles, tabletas y móviles: En esta categoría se incluyen todos aquellos dispositivos electrónicos que salen de nuestras instalaciones habitualmente. Sea por visitas comerciales, porque el trabajador se lo lleva a casa después del trabajo, o se ceden temporalmente a terceros. Oficinas e instalaciones: Las oficinas, los edificios, las naves industriales... contienen los ordenadores, los servidores físicos, los archivadores, la documentación en papel... Por lo que deben ser consideradas como un activo material más, que deberemos proteger. Personal propio: Cada una de las personas que trabajan en la organización, tienen información del negocio en su cabeza: conocimientos del proceso productivo, salarios, contactos de proveedores y clientes... dependiendo del puesto que ocupe el trabajador, ésta será más o menos sensible. Otros contenedores: Armarios RF, cajas fuertes, archivadores, estanterías, salas refrigeradas para servidores, cuartos de archivo, CPDs... son otros activos físicos que podemos tener en nuestra organización, y deberemos identificar. Activos intangibles Entre los distintos activos intangibles que encontraremos en nuestra organización, cabe destacar: Aplicaciones informáticas: cualquier software que contenga o gestione información del negocio, será un Activo: el ERP, aplicaciones de contabilidad, el CRM, Aplicaciones ofimáticas (Word, Excel, Powerpoint...), software de control de calidad, aplicaciones de gestión de proyectos o producción... Gestores de copias de seguridad: las aplicaciones de creación y restauración de copias de seguridad se tratan como herramientas diferentes a las anteriores, dado que se debe garantizar su disponibilidad en el caso de caída grave del resto de sistemas. Sistemas operativos: Dado que soportan el resto de aplicaciones informáticas y que son uno de los principales objetivos de los virus informáticos, los gestionaremos de manera especial al resto del software. Comunicaciones: Las comunicaciones con el exterior también son críticas ante una situación de emergencia, por lo que se tratarán de forma diferente: los servicios telefónicos, el acceso a internet y los servidores de correo electrónico. Gestores de bases de datos: el mal funcionamiento del ERP puede suponer una pérdida de accesibilidad de la información durante un tiempo determinado. Pero la caída del gestor de bases de datos que hay detrás, puede generar la perdida de una parte del contenido o su totalidad. Por lo que requiere de un cuidado más exigente y delicado. Suministros: la perdida de suministro eléctrico durante un espacio de tiempo prolongado, puedesuponer la caída de los sistemas de información de la organización. Por lo que deberemos tener alternativas a nuestro proveedor habitual de estos servicios. RECOMENDACIÓN: En ocasiones, dependiendo del tipo de información contenida en el Activo, su criticidad para el negocio y si ésta tiene legislación aplicable, se duplica el Activo en el inventario para su tratamiento independiente y personalizado. Por ejemplo, se suele separar la aplicación de Recursos Humanos del resto de aplicaciones informáticas en el inventario, ya que sobre dicho software se aplicarán medidas extraordinarias para cumplir la LOPD, que en el resto podemos considerar no necesarias. IMPORTANTE: Se debe tener un especial cuidado con aquellas aplicaciones y desarrollos propios, ya que pueden carecer de las medidas de seguridad básicas incluidas en las aplicaciones comerciales. Y por tanto ser más vulnerables a ataques y fallos durante su utilización. Valoración de Activos Pese a no ser requisito de la norma ISO 27001 2017, es bastante recomendable cuantificar la importancia de nuestros Activos de Información, y valorarlos a través de diferentes dimensiones según la criticidad de la información que contienen. Hay tres criterios básicos incluidos en la mayoría de las metodologías de evaluación: la Confidencialidad, la Integridad y la Disponibilidad, también denominadas "CID". Pero en otras metodologías como MAGERIT, este número se amplía a cinco: Confidencialidad: La confidencialidad de una determinada información puede ser clave para la continuidad del negocio. Una lista de clientes o tarifas publicada en internet, puede suponer la pérdida de competitividad respecto a otras empresas del sector, y por tanto un riesgo elevado para la organización. Integridad: La integridad valora la importancia de que la información contenida en el Activo, permanezca fiel y completa, y no sea eliminada parcial o completamente por terceros o por error. Hay Activos de información que un daño mínimo los hace inútiles. Por ejemplo, si a un software le eliminas un archivo, posiblemente deje completamente de funcionar. Disponibilidad: La disponibilidad consiste en que la persona autorizada a acceder a la información incluida en el Activo, lo pueda hacer cuando lo necesite. En ocasiones el no tener acceso a un determinado Activo, puede suponer la necesidad de detener la producción, con los problemas que ello conlleva. Autenticidad: En ocasiones, el garantizar que la fuente de información es quien dice ser, o quien accede o modifica los datos es quien tiene que ser, puede suponer que la información pierda completamente su valor. No sea fiable su calidad, y por tanto el Activo de Información se haya perdido. Trazabilidad: Disponer de un control completo de las acciones y usos que se le da a un determinado Activo, de quien las realiza y en qué momento, puede ser necesario para garantizar su calidad. NOTA: Para cada una de estas dimensiones se deberán fijar criterios objetivos y cuantificables, que nos servirán para determinar su valor en cada Activo. Se suelen utilizar escalas numéricas asociadas a los distintos valores que pueda tomar la dimensión. Determinar estos criterios suele ser una labor complicada a la que deberemos dedicar tiempo, si queremos obtener resultados coherentes con la realidad de la empresa. IMPORTANTE: Es muy importante dedicar tiempo a la identificación y clasificación de los Activos de Información. Ya que, si continuamos con el proceso de evaluación de riesgos y el plan de tratamiento de riesgos de los que nos hayan salido significativos, y posteriormente identificamos nuevos Activos olvidados, deberemos repetir todo el trabajo. 3. Utilice una herramienta de gestión de riesgo que usted desee (árbol de decisión, lista de comprobación, matriz de riesgo, etc.) para definir si el proceso actual es eficiente en relación a los procesos que se ejecutan dentro de la administración de recursos humano. Fecha Identificacio n Riesgo IDENTIFICACION RIESGO DESCRIPCION DEL RIESGO POSIBLES CONSECUENCIAS PROBA BILIDAD (%) IMPACTO 90% Muy Bajo MB 0 70% Bajo B 0 50% Mo derado M 1 30% Alto A 1 10% Muy Alto MA 1 (1) (4) (5) (7) (8) (9) Fecha Iden. 90% 70% 50% X Fecha Inic io 30% 10% M B B M A M A Fecha Iden. 90% 70% 50% Fecha Inic io 30% X 10% M B B M AM A Fecha Iden. 90% 70% 50% X Fecha Inic io 30% 10% M B B M AM A Fecha Iden. 90% 70% 50% X Fecha Inic io 30% 10% M B B M AM A Fecha Iden. 90% 70% 50% X Fecha Inic io 30% 10% M B B M AM A Fecha Iden. 90% 70% 50% X Fecha Inic io 30% 10% M B B M AM A Fecha Iden. 90% 70% 50% X Fecha Inic io 30% 10% M B B M AM A P ro ba bi lid a 7 22/03/2016 Que no exis tan po lit icas para la g erencia d el Talento Humano Po lit icas inexis tentes o desactualizad as sob re el Talento Humano Sanciones Perd ida de Credib ilidad Interrupcio n d e la actividad d esarro llad a 0,5 Mo d erado M Im p acto P ro ba bi lid ad 6 05/06/2015 Contratació n p ersonal no ido neo ineficiencia en las act ivid ades a desarro llar p or parte de lo s funcionario s 1. Atención de b aja calid ad para los usuarios 2 . Bajo rend imiento en las t areas asiganad as 3 . Desg as te en t iempo y recurso s del área ad minis trat iva y cap acitació n 0,5 Muy Alto MA 05/06/2015 Im p acto 05/06/2015 05/06/2015 Im p acto 5 Deficiencias y d emora en las leg alizacio nes de co ntratos lab orales Incump limiento d e las d isp o siciones reg lamentarias ap licables a los contrato s lab o rales y legalización de co ntratos . 1. Exp os ición a sanciones leg ales p or parte d e entes de co ntro l. 2 . Demandas labo rales 0,5 Mo d erado M P ro ba bi lid05/06/2015 05/06/2015 Im p acto 4 Incump limiento en las resp ues tas a so licitudes y req uerimientos Insatis facció n en el cump limiento d e lo s términos de t iemp o en la p resentación de resp uestas a so licitudes y req uerimientos externo s e interno s concernientes al perso nal d e la Ent idad 1. Expo s ició n a d emand as 2 . Sanciones legales 3 . insatisfacción po r p arte d e lo s funcionario s 0,5 Mo d erado M P ro ba bi lid ad 05/06/2015 05/06/2015 Im p acto 3 Errores en la liq uidación d e nóminas y pag o d e seg urid ad so cial fuera d el t iempo leg al estab lecido Errores que se p ued en p resentar en la liq uid ación o generació n d e nóminas Incump limiento actualización de no vedad es de perso nal Pago indeb id o de ap o rtes y/o fuera d el t iempo legal 1. Pag os errado s en la nó mina d e funcionario s 2 . Demandas labo rales 3 . Sob recos to s po r po rcentaje de mora p or el no pag o a t iemp o o dato s mal liquidad os en nó mina. 3 . No atención al emp leado en seg urid ad so cial p or no informar la novedad 3 . Sanciones para la entid ad p or incump limiento d e la leg is lación labo ral 0,5 Mo d erado M P ro ba bi lid ad 05/06/2015 05/06/2015 Im p acto 2 Deficiente d esemp eño labo ral incump limiento d e funciones y ob jetivos p o r p arte d e cada uno d e los emplead o s y/o funcio nario s q ue ocup an lo s carg os de la Entidad 1. Deficiencias d e los pro cesos 2 . Baja calid ad d e los pro d ucto s y/o servicios 3 . Incumplimiento de ob jetivos ins titucio nales 4 . Descono cimiento d el perso nal d e los o bjetivo s ins titucionales 0,3 Alto A P ro ba bi lid ad P ro ba bi lid ad 1 05/06/2015 Ind ucción y capacitación d eficiente e insuficiente Inad ecuad a fo rmació n d e los f unc io na rio s de la Entid ad ,Incluye el incump limiento d el Plan de Cap acitació n 1. Deficiencias d e los pro cesos 2 . Baja calid ad d e los pro d ucto sy/o servicios 3 . Incumplimiento de ob jetivos ins titucio nales . 0,5 Mo d erado M 05/06/2015 Im p acto N o. ANALIS IS CUALIT AT IVO Matriz Riesgo - Rant ing CONT RO LE S S E G U I M I E N T O PROBA BILIDAD (%) IMPACTO CONTROL EXISTENTE ACCIONES RES P ONS ABL ES 90% Muy Ba jo MB 0 70% Bajo B 0 50% Mo derado M 1 30% Alto A 1 10% Muy Alto MA 1 (8) (9) 90% 70% 50% X 30% 10% M B B M A M A 90% 70% 50% 30% X 10% M B B M AM A 90% 70% 50% X 30% 10% M B B M A M A 90% 70% 50% X 30% 10% M B B M AM A 90% 70% 50% X 30% 10% M B B M AM A 90% Seg uimiento al ind icad or 70% 50% X 30% 10% M B B M AM A 90% 70% 50% X 30% 10% M B B M AM A P ro ba bi lid a 0,5 Mod erado M Existe un d o cumento que so po rta la p olit ica de talento humano (manual del b uen go bierno ). Sin emb argo se actualizara esta po lit ica seg ún las necesidades actuales del p ro ceso . reiterar co municad o d e g eneracion d e p o lit icas de talento humano generar cit acio n d e reunion con Rep resentante d e la Alta Direccio n p ara revisar el avance de la p olit ica Directo r Ad minis trat iv o Talento Humano Trimes tral Evaluaciòn al p ersonal so b re el cono cimiento de las p o lit icas de Talento Humano Imp acto P ro ba bi lid ad 0,5 Muy Alto MA Verificació n d e lo s req uisito s d e acuerdo al p erfil d el carg o Se evalua p or p arte de la Psico log a q uien recomienda a la ent id ad s i la p erso na tiene la ap titud p ara el cargo a ocupar Se realiza la ent revis ta p or p arte d el Presid ente Ejecutivo para evaluar y reco mend ar cump limiento d e funciones en caso de quedar eleg id o . Directo r Ad minis trat iv o Talento Humano Trimes tral Check lis t Verificació n de lo s req uisitos d e acuerdo al p erfil d el cargo Imp acto Archivo de las respuestas a so licitudes realizad as vía e-mail y fí s ico Co nt ro l d ocumentación recib ida y entreg ad a a los respo nsab les del área ad minis trativa. Directo r Ad minis trat iv o Talento Humano / Ges t ión Juríd ica / Ges t ión Do cumental Semes tral inco nfo rmidades recib id as d el so licitante/ Número to tal d e so licitudes Co nt ro l d e rad icació n y resp ues ta ante so licitud de tramites del personal Imp acto 0,5 Mod erado M P ro ba bi lid Verificació n d e requis ito s y d e d ocumentació n Disp os icio nes para el cump limiento d e lo s términos de t iemp o de las leg alizaciones e inicio d el ejercicio de sus funcio nes Directo r Ad minis trat iv o Talento Humano Semes tral Check lis t d e lo s Co nt rato s realizado s po r la entid ad Imp acto 0,5 Mod erado M P ro ba bi lid ad Revis ió n d e cumplimiento d e los so p ortes d e so licitud es y co nt ro l d ocumental de so licitud es recib idas Permanente s eg uimiento y co nt ro l a lo s resultad o s de lo s p lanes de acción, estab lecimiento de la reg lamentació n de la evaluación d el desempeño . Directo r Ad minis trat iv o Talento Humano / Directo res y co o rdinado rd es Cuat rimes tre Evaluación de d esemp eño Imp acto 0,5 Mod erado M P ro ba bi lid ad Seg uimiento y Revis ió n p erió d ica de lo s resultad os detectad o s p or los asis tentes en el p ro ceso d e liq uidación y pago d e nó minas Planilla d e ing reso s mesuales med iante o perado r de ap o rtes en línea Reg istro d e no ved ad es d e nó mina rep ortado s en la carp eta co rresp o nd iente. Revis ió n y s eg uimiento d e la nomina liq uidada p ara pag o. Revisió n d el lis tad o p ara la inclus ió n d e las novedades y verificació n de p ag o Reg istro d e erro res d el ap licativo JSP7 en la g eneració n de la nó mina Directo r Ad minis trat iv o Talento Humano / nómina Mensual Erro res generado s p o r el p ro g rama JSP7 # errores g enerad os en el p ag o de apo rtes en línea/ Número emp lead o s Imp acto 0,3 Alto A P ro ba bi lid ad Seg uimiento d e lo s ob jetivos co ncertado s, fo rmato s y cumplimiento en la evaluación P ro ba bi lid ad 1, Actualizació n d e info rmació n q ue alimente el ind icad or 2 , Realizar s eg uimiento d e las cap acitacio nes imp artid as en la entid ad a través d e la encuesta de s at is facció n 3 , Realizar s eg uimiento a las capacitacio nes a través de lo s cert ificad o s d e es tudio /o evaluació n de la eficacia 4 , Realizar seg uimiento a lo s resultad os d el í tem prueba d e co no cimiento para d eterminar cump limiento d e o bjetivo de formación d el talento humano 0,5 Mod erado M Seg uimiento y Revisión al ind icado r d e cump limiento Verificació n d el Plan de Cap acitaciones Directo r Ad minis trat iv o - Talento Humano Cuat rimes tre # d e personas con resultad os d e evaluació n de d esemp eño favo rables Encues ta d e s at is facción d e las cap acitaciones s eg uimiento p lan de cap acitacio nes evaluació n de la eficacia d e las capacitacio nes Imp acto ANALIS IS CUALIT AT IVO Matriz Riesg o- Ranting PERIODICIDAD INDICADORES Fecha Identificacio n Riesgo IDENTIFICACION RIESGO DESCRIPCION DEL RIESGO POSIBLES CONSECUENCIAS PROBA BILIDAD (%) IMPACTO 90% Muy Bajo MB 0 70% Bajo B 0 50% Mo derado M 1 30% Alto A 1 10% Muy Alto MA 1 (1) (4) (5) (7) (8) (9) Fecha Iden. 90% 70% 50% Fecha Inic io 30% X 10% M B B M A M A Fecha Iden. 90% 70% Pro cesos d e selecciò n 50% Pro ceso d e inad ecuado s q ue no 9 Selecciòn p ermiten filtrar lo s 0,3 Mo derado M 10% inad ecuada po s tulado s d e manera M B B M A M Acorrecta. Fecha Iden. 90% 70% Tipo d e co nt rato no 1. Alta ro taciò n d el personal 10 Fecha Inic io ad ecuad o para el 2 . Poca motivaciò n del p ersonal 3 . 0,5 Alto A 30% p ersonal Bajo d esempeño del p ersonal 10% M B B M A M A Fecha Iden. 90% Fecha Inic io 30% 10% M B B M A M A 3. Bajo sentido d e p ertenencia hacia la Entidad Fecha Iden. 90% 70% 50% X Fecha Inic io 30% 10% M B B M A M A Fecha Iden. 90% 70% 50% X Fecha Inic io 30% 10% M B B M A M AIm p acto 13 Estructura inadecuada de lo s p erfiles de Cargo de la Entidad Formatos de Perfiles d e Cargo no es tandarizado s y co n la est ructura inad ecuada 1. No p ermite evaluar lo s carg os para su jerarq uizaciò n y as ig naciòn salarial. 0,5 Bajo B P ro ba bi lid ad 12 Incump limiento d el Plan d e Cap acitaciòn Inad ecuad a fo rmació n d e los f unc io nario s d e la Entidad . 0,5 Mo d erado M Im p acto 1. Desactualizaciò n d e los funcionarios en t emas necesarios para la realizaciò n adecuada d e sus funciones . P ro ba bi lid ad Im p acto 70% X sob re la CCV (Mis iòn, Vis iò n, 50% Im p acto 1. Falta de info rmaciò n general P ro ba bi lid ad 11 Inducciò n insuficiente al perso nal nuevo Inad ecuada ind ucciò n general y esp ecifica a lo s nuevo s funcionario s d e la Entidad His to ria, Po lit icas , etc) 2 . Descono cimiento d e las areas de trabajo y d e los co mp añero s co n q ue tendrà contacto p ermanente en la realizaciòn d e sus funcio nes . 0,7 Alto A Tip o s de co ntrataciò n al perso nal que afecte neg ativamente el desemp eño d el perso nal. P ro ba bi lid ad 50% X 1. No se filtra d e manera ido nea lo s p os tulad o s. 2 . Pos ib le selecciò n inaecuada de perso nal. P ro ba bi lid ad Fecha Inic io 30% X Im p acto P ro ba bi lid ad 8 Canales no viables para el reclutamiento de p erso nal No exis ten lo s canales ad ecuad os p ara d ar a co nocer las o fertas labo rales d e la CCV 1. Demo ra en el p roceso de ocupar las vacantes requeridas . 2 . Perd ida de cap taciòn d e perso nal id oneo para la vacante req uerid a 0,3 Bajo B Im p acto N o. ANALIS IS CUALITAT IVO Matriz Riesgo - Rant ing CO NT ROLE S PROBA BILIDAD (%) IMPACTO CONTROL EXISTENTE ACCIONES RES P ONS ABL ES 90% Muy Ba jo MB 0 70% Bajo B 0 50% Mo derado M 1 30% Alto A 1 10% Muy Alto MA 1 (8) (9) 90% 70% 50% 30% X 10% M B B M A M A 90% 70% 50% 0,3 Mo d erado M 10% M B B M A M A 90% 70% Adminis trativ 0,5 Alto A 30% o 10% Talento M B B M A M A 90% 30% 10% M B B M A M A s i recib io la ind ucciòn corresp ond iente. 90% 70% 50% X 30% 10% M B B M A M A 90% 70% 50% X 30% 10% M B B M A M A 1. Diag no st icar el fo rmato de p erfil de carg o . 2 . Mod ificar el fo rmato de p erfil de carg o d e acuerd o a la t endencia actual en la Discip lina d e la Ges tiò n Humana. Directo r Ad minis trat iv o - Talento Humano Semes tral Nº de p erfiles de carg o mod ificado s/ Nº d e p erfiles de cargo d e la Entid ad Imp acto 0,5 Bajo B P ro ba bi lid ad 0,5 Mod erado M Cuat rimes tre Imp acto P ro ba bi lid ad Seg uimiento y Revisión al ind icado r d e cump limiento Verificació n d el Plan de Cap acitaciones 1, Actualizació n d e información que alimente el ind icad or 2 , Realizar s eg uimiento d e las cap acitacio nes imp artid as en la entid ad a través d e la encuesta de s at is facció n 3 , Realizar s eg uimiento a las capacitacio nes a través de lo s cert ificad o s d e es tudio /o evaluació n de la eficacia 4 , Realizar seg uimiento a lo s resultad os d el í t em p rueb a de co nocimiento p ara determinar cump limiento d e o bjetivo de Directo r Ad minis trat iv o - Talento Humano # d e personas con resultad os d e evaluació n de d esemp eño favo rables Encues ta d e s at is facción d e las cap acitaciones s eg uimiento p lan de cap acitacio nes evaluació n de la eficacia d e las capacitacio nes Cuat rimes tre Nº d e items a enseñad os y que cons ten en la Acta de Ind ucciò n / Nº de it ems a enseñar en el p lan de capacitaciò n Imp acto 70% X 1. Elabo rar un Plan de Ind ucciò n el cual50% Imp acto P ro ba bi lid ad 0,7 Alto A conteng a un Check List d e lo s temas a presentar al nuevo personal y los respo nsab les de llevarlos a cabo . 2 . Elab orar un Acta de inducciò n en el que se hag a co nstar q ue el nuevo p erso nal Directo r Ad minis trat iv o Talento Humano Humano P ro ba bi lid ad 1. De acuerdo a la co mplejidad del cargo d eterminar un tipo d e co nt rato que permita un alto desempeño y mot ivaciòn en el personal. Matriz de relaciò n de lo s t ip o s d e co nt rato ut ilizado p or cad a p uesto d e trab ajo . Directo r 50% X Cuat rimes tre P ro ba bi lid ad Pro ceso d e entrevis tas , verificaciò n d e anteced entes y pruebas p sico tecnicas. 1. Verificar la info rmaciò n suminis trad a en la Ho ja de vida. 2 . Realizar una entrevis ta s emi- es tructurad a que permita co no cer mas a fo ndo las co mpetencias d el cand id ato . 3 . Realizar pruebas Ps ico tecnicas p ara evaluar su po s ib le desemp eño labo ral y relacio nes interpersonales co n sus co mp ñaeros d e trab ajo . Directo r Ad minis trat iv o Talento Humano Cuat rimes tre Nº de sub proceso s d e selección realizad os / Nº d e sub p ro ceso s de selecciò n q ue se d eb en realizar 30% X Imp acto P ro ba bi lid ad 0,3 Bajo B Pub licaciò n de las vacantes a t raves d e bo lsas d e empleo (Bo lsa d e Emp leo de COFREM) Se da a co nocer a la Bo lsa d e Emp leo el p erfil q ue d eb e po seer el p o stulado p ara la vacante. Directo r Ad minis trat iv o Talento Humano Cuat rimes tre Nº de p erso nal contratad os p or la Bolsa de Emp leo Imp acto ANALIS IS CUALIT AT IVO S E G U I M I E N T O Matriz Riesg o- Ranting PERIODICIDAD INDICADORES REFERENCIAS BIBLIOGRAFICAS IACC (2020). Gestión de la Seguridad y aspectos legales. Parte I. Seguridad Informática. Semana 5. Consultado el 07 de diciembre de 2020. ISOtools (2020). Blog Calidad y Excelencia. Consultado el 07 de diciembre de 2020 en https://www.isotools.org/2019/04/08/seguridad-relativa-a-los-recursos-humanos- segun-iso-27001/ ISOwin (2020). Los Activos de Información en la norma ISO 27001 2017. Consultado el 07 de diciembre de 2020 en https://isowin.org/blog/activos-ISO-27001/ Repositorio Unillanos (2016). Matriz de riesgos gestión del talento humano. Consultado el 07 de diciembre de 2020 en https://repositorio.unillanos.edu.co/bitstream/001/874/14/Anexo%203.%20OAF- 010%20Matriz%20de%20Riesgos%20administrativa.pdf https://repositorio.unillanos.edu.co/bitstream/001/874/14/Anexo%203.%20OAF-010%20Matriz%20de%20Riesgos%20administrativa.pdf https://repositorio.unillanos.edu.co/bitstream/001/874/14/Anexo%203.%20OAF-010%20Matriz%20de%20Riesgos%20administrativa.pdf https://isowin.org/blog/activos-ISO-27001/ https://www.isotools.org/2019/04/08/seguridad-relativa-a-los-recursos-humanos-segun-iso-27001/ https://www.isotools.org/2019/04/08/seguridad-relativa-a-los-recursos-humanos-segun-iso-27001/
Compartir