SEGURIDAD

INFORMÁTICA
Efrain Villegas Flores

“Gestión de la seguridad y aspectos legales. Parte I”

TAREA SEMANA 5
Lunes 07 de diciembre de 2020
 DESARROLLO TAREA SEMANA 5

Lea atentamente el caso presentado, analice la información de acuerdo a los

contenidos revisados en la semana y conteste las preguntas que se presentan a
continuación:

ESTUDIO CASO

EMPRESA: ARCO IRIS SCHOOL

Área de Recursos Humanos de la Arco Iris School, con respecto al cumplimiento
del proceso “Administración de Recursos Humanos”.

Objetivos de la Organización:

 Ofrecer el servicio de una excelente educación con orientación bilingüe

(español - inglés), artística, deportiva y ecológica en forma personalizada a
los niños de nivel inicial y primario, y obtener por el servicio un beneficio
monetario acorde a las ofertas educativa que brinda la Institución (según si
el inscripto participa de escolaridad simple o doble).
 Incrementar cada año el número de inscriptos para obtener mayor
rentabilidad y ampliar la comunidad educativa.
 Transmitir a la comunidad en general el perfil institucional y los beneficios
que los alumnos obtienen por una educación personalizada.

Departamento de administración de personal: Comprende todo lo relacionado

con el desarrollo y administración de políticas y programas que provean una
estructura organizativa eficiente, empleados calificados, tratamiento
equitativo, oportunidades de progreso, satisfacción en el trabajo y adecuada
seguridad de empleo. Depende de la Gerencia de Administración.

Funciones – Subfunciones – Tareas

1. Realizar el reclutamiento: lograr que todos los puestos estén cubiertos

por personal competente que cubran el perfil institucional por un costo
razonable.

a. Buscar los postulantes (docentes y no docentes) Análisis de las

necesidades del cargo desarrollo de especificaciones de trabajo.
Análisis de las fuentes de empleados potenciales. Atracción de los
posibles postulantes.
b. Realizar el proceso de selección: Análisis de la capacidad de los
aspirantes para decidir cual tiene mayores posibilidades. Entrevistar
los postulantes Realizar talleres de Pruebas de inteligencia emocional.
Evaluación de los postulantes en base a los resultados de los talleres.
Confección y entrega de los diferentes tipos de contratos de trabajo
(contratos temporales, a plazo fijo, contratos de prueba, pasantías,
etc.).
 c. Instrucción y entrega de materiales: Entrenamiento, información y
entrega de materiales necesarios a los empleados contratados (o
nuevos) para que cumplan sus obligaciones eficientemente.
d. Orientación de los nuevos empleados mediante talleres de capacitación
y entrega de documentación con las normativas (reglas con las que se
rige la institución) Seguimiento de la actuación de los empleados (y
empleados nuevos también). Compra de materiales didácticos u otros
servicios para entregar a los docentes y así los mismos puedan dictar
sus clases eficientemente.
e. Despidos: Terminación legal de las relaciones con los empleados en la
forma más beneficiosa para ellos y el colegio. Realización de la
entrevista de egreso. Análisis de las bajas.
f. Determinar los servicios sociales para los empleados. Determinación
de servicio médicos y otros para los empleados (y alumnos) que
cubran la seguridad e integridad física del personal dentro de la
organización. Prepara la documentación para la gestión de obras
sociales del personal.

2. Administrar sueldos y jornales: lograr que todos los empleados estén

remunerados adecuada, equitativamente y en tiempo.
a. Clasificar la posición, responsabilidades y requerimientos de los
empleados. Preparación de las normativas institucionales donde están
las especificaciones de Trabajo Revisión periódica y corrección de las
normativas. Fijar los valores monetarios de los puestos en forma justa
y equitativa, respecto a otros puestos en el colegio y a puestos
similares en el mercado de trabajo. Efectuar los pagos
correspondientes a los sueldos mensuales (el pago y entrega de
recibos de sueldo se efectúa en la propia institución).
b. Control de Horarios: Fijación de horas de trabajo y periodos de
inasistencia con goce de haberes o sin él, que sean justos tanto para el
empleado como para el colegio. Planificación y administración de
políticas sobre horarios de trabajos o inasistencias. Planificación y
administración de planes de vacaciones.

3. Promocionar las Relaciones institucionales: Asegurar que las relaciones

de trabajo entre la dirección general y los empleados al igual que la
satisfacción en el trabajo y oportunidad de progreso del personal, sean
desarrollados y mantenidos siguiendo los mejores intereses del colegio y
de los empleados. También su función es la de desarrollar proyectos de
Relaciones Institucionales con el medio externo (otras instituciones
escolares, clubes, etc.).
a. Realizar negociaciones colectivas: Lograr concordancia con las
organizaciones de empleados reconocidas oficialmente y establecidas
legalmente, de la manera que mejor contemple los intereses de la
escuela y los docentes. Negociación de convenios Interpretación y
administración de estos.
b. Controlar la disciplina del personal. Fijar reglas de conducta y
disposiciones mediante las normativas institucionales. Establecer y
administrar las medidas disciplinarias con respecto a inasistencias
injustificadas.
 c. Investigación de Personal: Investigación de referencias de trabajos
anteriores. Confirmar las referencias y otras documentaciones a la
administración general. Investigar y verificar la documentación
presentada por los empleados que luego conformaran el legajo de los
mismos (RUT, títulos oficiales, registración en la Junta de
clasificaciones, etc.).
4. Generar Informes: Confeccionar todos los informes mensuales,
semestrales y anuales con las estadísticas, resúmenes, etc. de las
gestiones administrativas del personal.

Luego de revisar el caso presentado, responda:

1. Después de conocer Funciones – Subfunciones – Tareas del área de Recursos

Humanos del Arco Iris School, con respecto al cumplimiento del proceso
“Administración de Recursos Humanos”, mencione cinco aspectos que
considere se deban considerar en la gestión de la seguridad.

Seguridad relativa a los recursos humanos según ISO 27001

SO 27001Según ISO 27001, la implantación de un Sistema de Gestión de

Seguridad de la información aporta a las compañías un conjunto de políticas de
seguridad, procedimientos y otros mecanismos necesarios para controlar y
establecer todas las reglas de seguridad de la información de una organización.

No hace falta destacar que la información es uno de los activos más importantes
de una empresa. Esta no solo está relacionada directamente con el capital
económico de la compañía. En muchas ocasiones también recoge datos clave
del personal que forma parte de la misma como por ejemplo direcciones, datos
de contacto, horarios, números de cuesta o incluso enfermedades.

Es por esto por lo que a la hora de implantar un Sistema de Seguridad de la

Información según ISO 27001, el personal de la propia organización deberá de
ocupar un papel muy importante dentro de dicho sistema.

Además de tener en cuenta la información relacionada con los trabajadores,

también habrá que trabajar en inculcar en estos la importancia de contar con un
Sistema de Gestión de Seguridad de la Información, así como aquellos
requisitos que tengan que adoptar para que este pueda ser implantado sin
ningún tipo de problema por su parte.

El capital humano es un activo clave a la hora de implantar un Sistema de

Gestión de Seguridad de la Información según ISO 27001. De manera que habrá
que contar con este como un activo propio. En esta ocasión se hace referencia a
los aspectos que el Anexo A de la norma recoge de cara a tratar los recursos
humanos.

Según #ISO27001, el personal de la propia organización deberá de ocupar un

papel muy importante dentro de dicho sistema.

Tres periodos de los Recursos Humanos en ISO 27001

 ISO 27001 recoge tres momentos importantes dentro de la vida del trabajador en
los que este debe conocer y por tanto cumplir con las responsabilidades
respectivas en relación a la seguridad de la información dentro de la compañía:
Antes del empleo, durante el empleo y tras finalizar el empleo.

1) Antes del empleo. Dos aspectos deberán de tenerse en cuenta antes de

que el trabajador se incorpore al puesto de trabajo:
 La investigación de antecedentes: esta se debe de llevar a cabo de
acuerdo con las leyes y normas y códigos éticos que se han de
aplicación en un determinado país y debe ser proporcional a las
necesidades del negocio, la clasificación de la información a la que se
accede y los riesgos que se hayan percibido.
 Términos y condiciones de empleo: tanto empleados como
contratistas deben establecer los términos y condiciones en su
contrato de trabajo en lo que respecta a la seguridad de la
información, tanto hacia el empleado como hacia la organización.

2) Durante el empleo:
 Responsabilidades de gestión: la dirección deberá exigir a los
empleados y contratistas que apliquen la seguridad de la información
de acuerdo con las políticas y procedimientos establecidos en la
organización.
 Concienciación, educación y capacitación en seguridad de la
información: todos los empleados de la organización y, cuando
corresponda, los contratistas deben recibir una adecuada educación,
concienciación y capacitación con actualizaciones periódicas sobre las
políticas y procedimientos de la organización, según corresponda a su
puesto de trabajo.
 Proceso disciplinario: Debe existir un proceso disciplinario formal que
haya sido comunicado a los empleados, que recoja las acciones a
tomar ante aquellos que hayan provocado alguna brecha en la
seguridad.

3) Finalización del empleo o cambio en el puesto de trabajo. Las

responsabilidades en seguridad de la información y obligaciones que siguen
vigentes después del cambio o finalización del empleo se deben definir,
comunicar al empleado o contratista y se deben cumplir.

2. Identifique cinco activos de información y clasifíquelos de acuerdo con el

contenido revisado durante la semana.

Los Activos de Información en la norma ISO 27001

Un requisito de la norma ISO 27001 2017, incluido en la lista de Controles del Anexo A,
es la correcta gestión de los Activos de Información que dan soporte a los diferentes
procesos de la organización. Esta gestión comprende desde su identificación por medio
de un inventario, fijar un responsable o Propietario de cada activo, determinar los usos
correctos y adecuados de cada uno de ellos, y su recuperación cuando sea necesario
para evitar su pérdida o difusión no controlada.
La identificación de los Activos

Como Control de la norma ISO 27001 2017 se exige la realización de un inventario de

activos, que es además la mejor manera de comenzar a trabajar. Si no sabemos lo
que tenemos, nos será muy complicado gestionarlo o controlarlo correctamente. Este
inventario se deberá mantener actualizado a lo largo del tiempo, por lo que se deberán
realizar revisiones periódicas y comunicar los cambios.

Los activos los podemos separar en dos grandes grupos: tangibles e intangibles. Los
activos tangibles son aquellos activos materiales que contienen información, y sobre
los que tomaremos medidas preventivas para protegerlos principalmente de riesgos
físicos: golpes, agua, fuego, etc. Los activos intangibles son aquellos que soportan
la información dentro de un activo material, y pueden inutilizar la información, pese a
que el activo físico no haya sufrido daño alguno.

Por ejemplo: Un listado de personal (información) puede estar incluido en una hoja
Excel (activo intangible), que se encuentra en un ordenador de sobremesa (activo
material), situado en la oficina principal (activo material) de la empresa.

Activos materiales

Algunos ejemplos de activos materiales que se pueden encontrar en todas las

empresas, son:

Equipos informáticos: Cada vez son más los equipos informáticos presentes en las
empresas, y pese a no contener información crítica en su interior, si que tienen acceso
a servidores y redes que si la poseen.

Servidores físicos: Los servidores propios donde guardamos todos los documentos de
la organización o donde se encuentran las aplicaciones informáticas compartidas (ERP,
CRM...), y los externos donde alojamos nuestros servicios web y de correo electrónico,
suelen ser los Activos más críticos dentro del SGSI.

Equipos red local: nuestros equipos informáticos están conectados entre sí por medio
de redes inalámbricas o cableadas. Las cuales pueden ser cortadas o violadas por
hackers expertos.

Periféricos y pendrives: Hay que tener un especial cuidado con escáneres e

impresoras donde se deja información impresa olvidada con frecuencia. Los pendrives,
CDs, DVDs... suelen perderse con facilidad o quedar olvidados por los cajones con
información muy sensible.

Portátiles, tabletas y móviles: En esta categoría se incluyen todos aquellos

dispositivos electrónicos que salen de nuestras instalaciones habitualmente. Sea por
visitas comerciales, porque el trabajador se lo lleva a casa después del trabajo, o se
ceden temporalmente a terceros.
Oficinas e instalaciones: Las oficinas, los edificios, las naves industriales... contienen
los ordenadores, los servidores físicos, los archivadores, la documentación en papel...
Por lo que deben ser consideradas como un activo material más, que deberemos
proteger.

Personal propio: Cada una de las personas que trabajan en la organización, tienen
información del negocio en su cabeza: conocimientos del proceso productivo, salarios,
contactos de proveedores y clientes... dependiendo del puesto que ocupe el trabajador,
ésta será más o menos sensible.

Otros contenedores: Armarios RF, cajas fuertes, archivadores, estanterías, salas

refrigeradas para servidores, cuartos de archivo, CPDs... son otros activos físicos que
podemos tener en nuestra organización, y deberemos identificar.

Activos intangibles

Entre los distintos activos intangibles que encontraremos en nuestra organización, cabe
destacar:

Aplicaciones informáticas: cualquier software que contenga o gestione información

del negocio, será un Activo: el ERP, aplicaciones de contabilidad, el CRM, Aplicaciones
ofimáticas (Word, Excel, Powerpoint...), software de control de calidad, aplicaciones de
gestión de proyectos o producción...

Gestores de copias de seguridad: las aplicaciones de creación y restauración de

copias de seguridad se tratan como herramientas diferentes a las anteriores, dado que
se debe garantizar su disponibilidad en el caso de caída grave del resto de sistemas.

Sistemas operativos: Dado que soportan el resto de aplicaciones informáticas y que

son uno de los principales objetivos de los virus informáticos, los gestionaremos de
manera especial al resto del software.

Comunicaciones: Las comunicaciones con el exterior también son críticas ante una
situación de emergencia, por lo que se tratarán de forma diferente: los servicios
telefónicos, el acceso a internet y los servidores de correo electrónico.

Gestores de bases de datos: el mal funcionamiento del ERP puede suponer una
pérdida de accesibilidad de la información durante un tiempo determinado. Pero la
caída del gestor de bases de datos que hay detrás, puede generar la perdida de una
parte del contenido o su totalidad. Por lo que requiere de un cuidado más exigente y
delicado.

Suministros: la perdida de suministro eléctrico durante un espacio de tiempo

prolongado, puede suponer la caída de los sistemas de información de la organización.
Por lo que deberemos tener alternativas a nuestro proveedor habitual de estos
servicios.

RECOMENDACIÓN: En ocasiones, dependiendo del tipo de información contenida en

el Activo, su criticidad para el negocio y si ésta tiene legislación aplicable, se duplica el
Activo en el inventario para su tratamiento independiente y personalizado. Por ejemplo,
se suele separar la aplicación de Recursos Humanos del resto de aplicaciones
informáticas en el inventario, ya que sobre dicho software se aplicarán medidas
extraordinarias para cumplir la LOPD, que en el resto podemos considerar no
necesarias.

IMPORTANTE: Se debe tener un especial cuidado con aquellas aplicaciones y

desarrollos propios, ya que pueden carecer de las medidas de seguridad básicas
incluidas en las aplicaciones comerciales. Y por tanto ser más vulnerables a ataques y
fallos durante su utilización.

Valoración de Activos

Pese a no ser requisito de la norma ISO 27001 2017, es bastante recomendable

cuantificar la importancia de nuestros Activos de Información, y valorarlos a través de
diferentes dimensiones según la criticidad de la información que contienen. Hay tres
criterios básicos incluidos en la mayoría de las metodologías de evaluación: la
Confidencialidad, la Integridad y la Disponibilidad, también denominadas "CID". Pero en
otras metodologías como MAGERIT, este número se amplía a cinco:

Confidencialidad: La confidencialidad de una determinada información puede ser

clave para la continuidad del negocio. Una lista de clientes o tarifas publicada en
internet, puede suponer la pérdida de competitividad respecto a otras empresas del
sector, y por tanto un riesgo elevado para la organización.

Integridad: La integridad valora la importancia de que la información contenida en el

Activo, permanezca fiel y completa, y no sea eliminada parcial o completamente por
terceros o por error. Hay Activos de información que un daño mínimo los hace inútiles.
Por ejemplo, si a un software le eliminas un archivo, posiblemente deje completamente
de funcionar.
Disponibilidad: La disponibilidad consiste en que la persona autorizada a acceder a la
información incluida en el Activo, lo pueda hacer cuando lo necesite. En ocasiones el
no tener acceso a un determinado Activo, puede suponer la necesidad de detener la
producción, con los problemas que ello conlleva.

Autenticidad: En ocasiones, el garantizar que la fuente de información es quien dice

ser, o quien accede o modifica los datos es quien tiene que ser, puede suponer que la
información pierda completamente su valor. No sea fiable su calidad, y por tanto el
Activo de Información se haya perdido.

Trazabilidad: Disponer de un control completo de las acciones y usos que se le da a

un determinado Activo, de quien las realiza y en qué momento, puede ser necesario
para garantizar su calidad.

NOTA: Para cada una de estas dimensiones se deberán fijar criterios objetivos y
cuantificables, que nos servirán para determinar su valor en cada Activo. Se suelen
utilizar escalas numéricas asociadas a los distintos valores que pueda tomar la
dimensión. Determinar estos criterios suele ser una labor complicada a la que
deberemos dedicar tiempo, si queremos obtener resultados coherentes con la realidad
de la empresa.

IMPORTANTE: Es muy importante dedicar tiempo a la identificación y clasificación de

los Activos de Información. Ya que, si continuamos con el proceso de evaluación de
riesgos y el plan de tratamiento de riesgos de los que nos hayan salido significativos, y
posteriormente identificamos nuevos Activos olvidados, deberemos repetir todo el
trabajo.
 3. Utilice una herramienta de gestión de riesgo que usted desee (árbol de
decisión, lista de comprobación, matriz de riesgo, etc.) para definir si el
proceso actual es eficiente en relación a los procesos que se ejecutan
dentro de la administración de recursos humano.

AN ALIS IS C UALIT AT IV O
Fecha IDENTIFICACION RIESGO DESCRIPCION DEL RIESGO PROBA
Id entificacio n POSIBLES CONSECUENCIAS BILIDAD IM PACTO Mat riz Ries g o - Rant ing
No.

Ries g o (%)
90% Muy B ajo MB 0
70% B ajo B 0
50% Mo de rado M 1
30% Alto A 1
10% Muy Alto MA 1
(1) (4) (5) (7) (8) (9)
Fe cha Iden.
90%

Ind ucció n y cap acitació n Inad ecuad a fo rmació n d e lo s 1. Deficiencias d e lo s p ro ces o s

d eficiente e ins uficiente f unc io na rio s d e la 2 . Baja calid ad d e lo s p ro d ucto s y/o s ervicio s 70%
05/06/2015 Entid ad ,Incluye 3 . Incump limiento d e o b jetivo s ins titucio nales .
X
el incump limiento d el Plan d e 50%
Cap acitació n

P roba b ilida d
Fe cha Inic io
1 0,5 Mo d erad o M 30%

10%
05/06/2015
M M
B M A
B A
Im p acto
Fe cha Iden. incump limient o d e funcio nes y 1. Deficiencias d e lo s p ro ces o s 90%
o b jetivo s p o r p arte d e cad a uno d e 2 . Baja calid ad d e lo s p ro d ucto s y/o s ervicio s

P roba b ilida d
05/06/2015 lo s emp lead o s 3 . Incump limiento d e o b jetivo s ins titucio nales 70%
y/o funcio nario s q ue o cup an lo s 4 . Des co no cimient o d el p ers o nal d e lo s 50%
Deficiente d es emp eño
2 Fe cha Inic io carg o s d e la o b jetivo s ins titucio nales 0,3 Alt o A 30% X
lab o ral
Entid ad
10%
05/06/2015 M B M AM
B Im p acto A
Fe cha Iden. Erro res q ue s e p ued en p res ent ar en 1. Pag o s errad o s en la nó mina d e
la liq uid ació n o g eneració n d e funcio nario s
90%
nó minas Incump limiento 2 . Demand as lab o rales 70%
actualizació n d e no ved ad es d e 3 . So b reco s to s p o r p o rcent aje d e mo ra p o r
05/06/2015 p ers o nal Pag o ind eb id o d e ap o rt es el no p ag o a tiemp o o d ato s mal liq uid ad o s X
50%
P roba b ilida d

Erro res en la liq uid ació n y/o fuera d el t iemp o leg al en nó mina.
d e nó minas y p ag o d e 3 . No at enció n al emp lead o en s eg urid ad
3 Fe cha Inic io 0,5 Mo d erad o M 30%
s eg urid ad s o cial fuera d el s o cial p o r no info rmar la no ved ad
tiemp o leg al estab lecid o 3 . Sancio nes p ara la entid ad p o r
incump limient o d e la leg is lació n lab o ral 10%

05/06/2015 M M
B M A
B A
Im p acto
Fe cha Iden. Ins atis facció n en el cump limiento d e 90%
lo s término s d e t iemp o en la
P roba b ilida d

05/06/2015 70%
p res ent ació n d e resp uest as a
Incump limient o en las s o licitud es y req uerimiento s 1. Exp o s ició n a d emand as 50% X
4 Fe cha Inic io res p ues tas a s o licitud es y ext erno s e interno s co ncernientes al 2 . Sancio nes leg ales
0,5 Mo d erad o M 30%
p ers o nal d e la Ent id ad 3 . insatisfacció n p o r p arte d e lo s
req uerimiento s 10%
funcio nario s
05/06/2015 M B M AM
B A
Im p acto
5 Fe cha Iden. Deficiencias y d emo ra en Incump limiento d e las d is p o sicio nes 1. Exp o s ició n a s ancio nes leg ales p o r p arte 0,5 M 90%
05/06/2015 las leg alizacio nes d e reg lamentarias ap licab les a lo s d e entes d e co ntro l. 70%
P roba b ilid

co ntrato s lab o rales co ntrato s lab o rales y leg alizació n d e 2 . Demand as lab o rales
50% X
co ntrato s .
Fe cha Inic io Mo d erad o 30%
05/06/2015 10%
M B M AM
B Im p acto A
Fe cha Iden. 90%
1. Atenció n d e b aja calid ad p ara lo s usuario s 70%
P roba b ilida d

05/06/2015 2 . Bajo rend imiento en las t areas asig anad as

3 . Des g as t e en tiemp o y recurs o s d el área 50% X
Fe cha Inic io ineficiencia en las act ivid ad es a ad minis trativa y cap acitació n 30%
Co ntratació n p ers o nal no
6 d es arro llar p o r p arte d e lo s 0,5 Muy Alt o MA
05/06/2015 id o neo 10%
funcio nario s
M B M AM
B A
Im p acto
Fe cha Iden. 90%
P roba b ilida

22/03/2016 Que no exis tan p o liticas Po liticas inexis tentes o Sancio nes 70%
p ara la g erencia d el d es actualizad as s o b re el Talento Perd id a d e Cred ib ilid ad Int errup cio n d e la 50% X
Talento Humano Humano activid ad d es arro llad a
Fe cha Inic io 30%
7 0,5 Mo d erad o M 10%
M B M AM
B A

Im p acto
 ANALIS IS CUALIT AT IVO CO NT RO LE S SE GUIM IE N T O

PROBA RES P ONS ABL ES

BILIDAD IM PACTO M at riz Riesg o - Ranting CONTROL EXISTENTE ACCIONES PERIODICIDAD INDICADORES
(%)
90% M uy B a jo MB 0
70% B ajo B 0
50% M o de ra do M 1
30% Alto A 1
10% M uy Alto MA 1
(8) (9)
1, Actualizació n d e info rmació n q ue alimente el
90% ind icad o r
2 , Realizar s eg uimiento d e las cap acitacio nes
Seg uimiento y Revisió n al ind icad o r Directo r # d e p ers o nas co n result ad o s d e
70% imp artid as en la entid ad a través d e la encuest a d e
d e cump limiento Verificació n d el Ad minis trat iv o - evaluació n d e d es emp eño
s at is facció n 3 , Realizar s eg uimient o a las
Plan d e Cap acitacio nes Talento Humano favo rab les Encues ta d e s at is facció n
X cap acitacio nes a través d e lo s cert ificad o s d e
50% d e las cap acitacio nes s eg uimiento
es tud io /o evaluació n d e la eficacia
p lan d e cap acitacio nes evaluació n
P ro ba b ilid a d

4 , Realizar seg uimient o a lo s resultad o s d el ítem

d e la eficacia d e las cap acitacio nes
0,5 M o d erad o M 30% p rueb a d e co no cimiento p ara d et erminar Cuat rimes tre
cump limient o d e o b jetivo d e fo rmació n d el talento
humano
10%

M M
B M A
B A
Im p acto
90% Seg uimient o d e lo s o b jetivo s Directo r
co ncertad o s, fo rmato s y Ad minis trat iv o
P ro ba b ilid a d

70% cump limiento en la evaluació n Talento

50% Permanente s eg uimiento y co nt ro l a lo s res ultad o s d e Humano /
0,3 Alto A 30% X lo s p lanes d e acció n, est ab lecimient o d e la Directo res y Cuat rimes tre Evaluació n d e d es emp eño
reg lamentació n d e la evaluació n d el d esemp eño . co o rd inad o rd
10%
es
M B M AM
B Im p acto A
Seg uimient o y Revis ió n p erió d ica Reg istro d e no ved ad es
90% d e lo s resultad o s d etect ad o s p o r d e nó mina rep o rtad o s en la carp et a co rresp o nd iente.
lo s asis tent es en el p ro ceso d e Revis ió n y s eg uimiento d e la no mina liq uid ad a p ara
70%
liq uid ació n y p ag o d e nó minas p ag o .
X Planilla d e ing reso s mesuales Revisió n d el lis tad o p ara la inclus ió n d e las
50% Directo r Erro res g enerad o s p o r el p ro g rama
P ro ba b ilid a d

med iante o p erad o r d e ap o rt es en no ved ad es y verificació n d e p ag o

línea Reg istro d e erro res d el ap licativo JSP7 en la Ad minis trat iv o JSP7
0,5 M o d erad o M 30% Talento M ensual # erro res g enerad o s en el p ag o d e
g eneració n d e la nó mina
Humano / ap o rtes en línea/ Número
10% nó mina emp lead o s

M M
B M A
B A
Im p acto
90% Revis ió n d e cump limiento d e lo s Archivo d e las res p uestas a s o licitud es realizad as vía Directo r inco nfo rmid ad es recib id as d el
so p o rt es d e s o licitud es y co nt ro l e-mail y fí sico Ad minis trat iv o so licitante/ Número to tal d e
P ro ba b ilid a d

70%
d o cument al d e s o licit ud es recib id as Co nt ro l d o cument ació n recib id a y entreg ad a a lo s Talento s o licitud es
50% X res p o ns ab les d el área ad minis trativa. Humano / Co nt ro l d e rad icació n y resp ues ta
0,5 M o d erad o M 30% Ges t ió n Semes tral ant e so licitud d e tramit es d el
Jurí d ica / p ers o nal
10%
Ges t ió n
M B M AM Do cument al
B A
Im p acto
0,5 M 90% Verificació n d e req uis ito s y d e Disp o s icio nes p ara el cump limiento d e lo s término s Directo r Check lis t d e lo s Co nt rato s
70% d o cument ació n d e t iemp o d e las leg alizacio nes e inicio d el ejercicio Ad minis trat iv o realizad o s p o r la entid ad
P ro ba b ilid

d e s us funcio nes Talento

50% X
Humano
M o d erad o 30% Semes tral
10%
M B M AM
B Im p acto A
90% Seg uimient o al ind icad o r

70% Se evalua p o r p arte d e la Psico lo g a q uien reco miend a Directo r

P ro ba b ilid a d

a la ent id ad s i la p erso na tiene la ap tit ud p ara el Ad minis trat iv o

50% X carg o a o cup ar Talento
30% Se realiza la ent revis ta p o r p art e d el Presid ente Humano Check list Verificació n d e lo s
Verificació n d e lo s req uisit o s d e
0,5 M uy Alt o MA Ejecutivo p ara evaluar y reco mend ar cump limiento d e Trimes tral req uisit o s d e acuerd o al p erfil d el
10% acuerd o al p erfil d el carg o
funcio nes en cas o d e q ued ar eleg id o . carg o
M B M AM
B A
Im p acto
90%
P ro ba b ilid a

70% Exist e un d o cumento q ue so p o rta la reit erar co municad o d e g eneracio n d e p o liticas d e Directo r Evaluaciò n al p ers o nal so b re el
50% X p o lit ica d e t alent o t alento humano Ad minis trat iv o co no cimient o d e las p o lit icas d e
humano (manual d el b uen g o b ierno ). g enerar cit acio n d e reunio n co n Rep resent ante d e la Talento Talento Humano
30%
Sin emb arg o s e actualizara est a Alt a Humano
0,5 M o d erad o M 10% Trimes tral
p o litica seg ún las necesid ad es Direccio n p ara revisar el avance d e la p o litica
M B M AM actuales d el p ro ceso .
B A

Im p acto
 AN ALIS IS C UALIT AT IV O
Fecha IDENTIFICACION RIESGO DESCRIPCION DEL RIESGO PROBA
Id entificacio n POSIBLES CONSECUENCIAS BILIDAD IMPACTO Mat riz Ries g o - Rant ing
No.

Ries g o (%)
90% Muy B ajo MB 0
70% B ajo B 0
50% Mo de rado M 1
30% Alto A 1
10% Muy Alto MA 1
(1) (4) (5) (7) (8) (9)
Fe cha Iden. 90%

P roba b ilida d
Canales no viab les p ara el No exis ten lo s canales ad ecuad o s 1. Demo ra en el p ro ces o d e o cup ar las vacantes 70%
reclutamiento d e p ers o nal p ara d ar a co no cer las o fertas req uerid as . 2 . Perd id a d e cap taciò n d e 50%
lab o rales d e la CCV p ers o nal id o neo p ara la vacante req uerid a
8 Fe cha Inic io 0,3 Bajo B 30% X
10%
M B M A M
B Im p acto A
Fe cha Iden. 1. No s e filtra d e manera id o nea lo s p o s tulad o s. 90%
2.

P roba b ilida d
70%
Po s ib le s elecciò n inaecuad a d e p ers o nal.
Pro ces o s d e s elecciò n 50%
Fe cha Inic io 30% X
Pro ces o d e inad ecuad o s q ue no
9 Selecciò n p ermit en filtrar lo s 0,3 M o d erad o M 10%
inad ecuad a p o s tulad o s d e manera M B M A M
co rrecta. B A

Im p acto
Fe cha Iden. Tip o s d e co ntrataciò n al p erso nal 90%

P roba b ilida d
q ue afecte neg ativamente el 70%
d es emp eño d el p ers o nal.
Tip o d e co nt rato no 1. Alta ro taciò n d el p ers o nal 50% X
10 Fe cha Inic io ad ecuad o p ara el 2 . Po ca mo tivaciò n d el p ers o nal 3 . 0,5 Alt o A 30%
p ers o nal Bajo d esemp eño d el p ers o nal 10%

M B M A M
B Im p acto A
Fe cha Iden. 90%
1. Falt a d e info rmaciò n g eneral

P roba b ilida d
70% X
s o b re la CCV (M is iò n, Vis iò n,
50%
11 Fe cha Inic io Ind ucciò n ins uficient e al Inad ecuad a ind ucciò n g eneral y His to ria, Po liticas , etc) 0,7 A 30%
p ers o nal nuevo es p ecifica a lo s nuevo s funcio nario s 2 . Des co no cimient o d e las areas d e trab ajo y
Alt o 10%
d e la Entid ad d e lo s co mp añero s co n q ue tend rà co ntacto
p ermanent e en M B M A M
la realizaciò n d e s us funcio nes . B A
3 . Bajo s entid o d e p ertenencia
hacia la Entid ad Im p acto
Fe cha Iden. 90%

P roba b ilida d
70%
50% X
Fe cha Inic io 30%
12 Incump limiento d el Plan d e Inad ecuad a fo rmació n d e lo s 1. Des actualizaciò n d e lo s funcio nario s 0,5 Mo d erad o M 10%
Cap acitaciò n f unc io na rio s d e la Entid ad . en t emas necesario s p ara la realizaciò n
M B M A M
ad ecuad a d e s us funcio nes .
B A

Im p acto
Fe cha Iden. Es tructura inad ecuad a d e Fo rmato s d e Perfiles d e Carg o no 1. No p ermite evaluar lo s carg o s p ara s u 90%
P roba b ilida d

lo s p erfiles d e Carg o d e la es tand arizad o s y co n la est ruct ura jerarq uizaciò n y as ig naciò n s alarial. 70%
Entid ad inad ecuad a
50% X
13 Fe cha Inic io 0,5 Bajo B 30%
10%
M B M A M
B Im p acto A
 ANALIS IS CUALIT AT IVO CO NT RO LE S S E GU IM IE N T O

PROBA RES P ONS ABL ES

BILIDAD IMPACTO M at riz Riesg o - Ranting CONTROL EXISTENTE ACCIONES PERIODICIDAD INDICADORES
(%)
90% M uy B a jo MB 0
70% B ajo B 0
50% M o de ra do M 1
30% Alto A 1
10% M uy Alto MA 1
(8) (9)
90%

P ro ba b ilid a d
70% Pub licaciò n d e las vacant es a t raves Se d a a co no cer a la Bo ls a d e Emp leo el p erfil q ue Directo r Nº d e p ers o nal co ntratad o s p o r la
50% d e b o ls as d e emp leo (Bo lsa d e d eb e p o seer el p o stulad o p ara la vacante. Ad minis trat iv o Bo ls a d e Emp leo
Emp leo d e COFREM ) Talento
0,3 Bajo B 30% X Cuat rimes tre
Humano
10%
M B M A M
B Im p acto A
90% Pro ceso d e entrevist as , verificaciò n 1. Verificar la info rmaciò n s uminis trad a en la Ho ja d e Directo r Nº d e s ub p ro ces o s d e selecció n
d e anteced ent es y p rueb as vid a. Ad minis trat iv o realizad o s / Nº d e s ub p ro ceso s d e
P ro ba b ilid a d

70%
p sico tecnicas. 2 . Realizar una entrevista s emi- es tructurad a q ue Talento selecciò n q ue s e d eb en realizar
50%
p ermit a co no cer mas a fo nd o las co mp etencias d el Humano
30% X cand id at o .
3 . Realizar p rueb as Ps ico t ecnicas p ara evaluar su Cuat rimes tre
0,3 M o d erad o M 10%
p o s ib le d esemp eño lab o ral y
M B M A M relacio nes int erp ers o nales co n sus co mp ñaero s d e
B A trab ajo .

Im p acto
90% 1. De acuerd o a la co mp lejid ad d el carg o d et erminar M atriz d e relaciò n d e lo s tip o s d e
P ro ba b ilid a d

70% un tip o d e co nt rat o q ue Directo r co nt rato ut ilizad o p o r cad a p uest o

p ermit a un alt o d esemp eño y mo t ivaciò n en el d e trab ajo .
50% X Ad minis trativ
p ers o nal.
0,5 Alto A 30% o Cuat rimes tre
10% Talento
Humano
M B M A M
B Im p acto A
90%
P ro ba b ilid a d

70% X
1. Elab o rar un Plan d e Ind ucciò n el cual
50%
0,7 A 30% co nteng a un Check List d e lo s temas a p resentar al Directo r Nº d e items a enseñad o s y q ue
nuevo p ers o nal y lo s res p o ns ab les d e llevarlo s a Ad minis trat iv o co ns ten en la Acta d e Ind ucciò n /
Alto
10% Cuat rimes tre
cab o . 2 . Talento Nº d e it ems a ens eñar en el p lan d e
M B M A M Elab o rar un Acta d e ind ucciò n en el q ue Humano cap acitaciò n
B A se hag a co nst ar q ue el nuevo p ers o nal
s i recib io la ind ucciò n co rresp o nd iente.
Im p acto
90% 1, Actualizació n d e info rmació n q ue alimente el # d e p ers o nas co n result ad o s d e
P ro ba b ilid a d

70% ind icad o r evaluació n d e d es emp eño

2 , Realizar s eg uimiento d e las cap acitacio nes favo rab les Encues ta d e s at is facció n
50% X
imp artid as en la entid ad a través d e la encuest a d e d e las cap acitacio nes s eg uimiento
30% s at is facció n 3 , Realizar s eg uimient o a las p lan d e cap acitacio nes evaluació n
M o d erad o Seg uimiento y Revisió n al ind icad o r Directo r Cuat rimes tre
0,5 M 10% cap acitacio nes a través d e lo s cert ificad o s d e d e la eficacia d e las cap acitacio nes
d e cump limiento Verificació n d el Ad minis trat iv o -
M B M A M es tud io /o evaluació n d e la eficacia
Plan d e Cap acitacio nes Talento Humano
B A 4 , Realizar seg uimient o a lo s resultad o s
d el ít em p rueb a d e co no cimiento p ara d eterminar
cump limient o d e o b jetivo d e

Im p acto
90% 1. Diag no st icar el fo rmat o d e p erfil d e carg o . Directo r Nº d e p erfiles d e carg o
P ro ba b ilid a d

70% 2 . M o d ificar el fo rmat o d e p erfil d e carg o d e Ad minis trat iv o - mo d ificad o s/ Nº d e p erfiles d e

acuerd o a la t end encia actual en la Talento Humano carg o d e la Entid ad
50% X
Discip lina d e la Ges tiò n Humana.
0,5 Bajo B 30% Semes tral
10%
M B M A M
B Im p acto A
 REFERENCIAS BIBLIOGRAFICAS

IACC (2020). Gestión de la Seguridad y aspectos legales. Parte I. Seguridad

Informática. Semana 5. Consultado el 07 de diciembre de 2020.

ISOtools (2020). Blog Calidad y Excelencia. Consultado el 07 de diciembre de 2020

en https://www.isotools.org/2019/04/08/seguridad-relativa-a-los-recursos-humanos-
segun-iso-27001/

ISOwin (2020). Los Activos de Información en la norma ISO 27001 2017.

Consultado el 07 de diciembre de 2020 en https://isowin.org/blog/activos-ISO-27001/

Repositorio Unillanos (2016). Matriz de riesgos gestión del talento humano.

Consultado el 07 de diciembre de 2020 en
https://repositorio.unillanos.edu.co/bitstream/001/874/14/Anexo%203.%20OAF-
010%20Matriz%20de%20Riesgos%20administrativa.pdf