Professional Documents
Culture Documents
TRABAJO DE GRADO
Director
HOLMAN BOLIVAR
Ingeniero de Sistemas
_________________________________
Ingeniero Holman Diego Bolvar
Director
_________________________________
Ingeniero Jorge Carrillo
Revisor Metodolgico
AGRADECIMIENTOS
5
TABLA DE CONTENIDO
INTRODUCCIN 15
1 DESCRIPCIN DEL PROYECTO 17
1.1 PLANTEAMIENTO DEL PROBLEMA 17
1.2 JUSTIFICACIN DEL PROYECTO 18
1.3 LNEA DE INVESTIGACIN 19
1.4 ALCANCE DEL PROYECTO 19
4. METODOLOGIA PROPUESTA 29
4.1 TIPO DE INVESTIGACION 29
4.2 ENFOQUE DE INVESTIGACIN 29
4.3 REA DE ESTUDIO 29
4.4 TCNICAS DE RECOLECCIN DE INFORMACIN 29
4.5 PROCESAMIENTO Y ANLISIS DE LA INFORMACIN 30
4.6 ACTIVIDADES A DESARROLLAR 31
6
6. GUIA PARA LA GESTIN DE RIESGOS DE LOS PROCESOS DE GESTIN
DE INCIDENTES Y PETICIONES DE SERVICIO DEL REA DE MESA DE
AYUDA DE EMPRESAS DE SERVICIOS DE SOPORTE DE TECNOLOGA EN
COLOMBIA 42
6.1 PROPSITO DE LA GUA 42
6.1.1 Alcance de la gua 42
6.1.2 Usuarios de la gua 42
6.1.3 Objetivo de la gua 43
6.2. GUIA DE APLICACIN DE NORMA 43
6.2.1. Establecimiento del contexto 43
6.2.2 Contexto interno 43
6.2.2.2 Contexto externo 43
6.2.2.3 Contexto del proceso para la gestin del riesgo 44
6.2.2.4 Definir los criterios de riesgo 44
6.2.2.5 Responsabilidades 46
6.2.3 Valoracin del riesgo 49
6.2.3.1 Identificacin del riesgo 49
6.2.3.2 Anlisis de riesgo 53
6.2.3.3 Evaluacin del riesgo 58
6.2.4 Tratamiento del riesgo 60
7. DICCIONARIO DE CONCEPTOS 61
8. CONCLUSIONES 64
BIBLIOGRAFA 65
ANEXOS 68
7
LISTA DE FIGURAS
8
LISTA DE TABLAS
9
LISTA DE ANEXOS
10
GLOSARIO
DIRECTRIZ: Descripcin que aclara lo que se debera hacer y cmo hacerlo, para
alcanzar los objetivos establecidos en las polticas. 1
1
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. Cdigo de las Buenas
Prcticas para la Gestin de la Seguridad de la Informacin. . NTC ISO/IEC 27002. Bogot D.C.:
ICONTEC, 2007. p. 1
11
INTEGRIDAD: Propiedad de salvaguardar la exactitud y estado complete de los
activos. MODELO: representacin de un objeto, sistema o idea, de forma diferente
al de la entidad misma.
RIESGO RESIDUAL: Nivel restante de riesgo despus del tratamiento del riesgo.
2
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. Gestin del Riesgo.
Principios y Directrices. NTC-ISO 31000. Bogot D.C.: ICONTEC, 2011. p. 4
12
RESUMEN
Tambin se verific la norma NTC 5254 con la cual se sentaron las bases
necesarias para plasmar una gua, que brindara el procedimiento para realizar una
adecuada gestin de los riesgos en las empresas, para poder evaluarlos y darles
el tratamiento adecuado segn la decisin de la alta gerencia.
3
Ibid., p. 3.
13
ABSTRACT
The risks generated in the management of incidents and service requests Area helpdesk,
service companies supporting technology in Colombia, are imminent and now they must
provide a new approach to allow manage them efficiently, so that aim to better prepare
their powers allowing less vulnerable and stronger every day.
Has verified the NTC-ISO 31000 standard, which standardizes and provides best practices
for risk management in any public, private or community enterprise, association, group or
individual; for this particular case focused on the processes of incident management and
service requests of help desk area, whereby the recommendations to start generating a
proposal to provide guidance to implement and meet the goals set were taken.
NTC 5254 standard by which laid the groundwork necessary to translate a guide that
would provide the procedure for proper risk management in companies, to be evaluated
and treated appropriately according to the decision of the High was also verified
management.
Taking as a basis the above standards, generated this procedure to work on a real
company, from which accurate information possible to unify concepts was obtained, were
embodied in a document which will have information readily orient to develop risk
management and thus achieving compliance with the area's objectives efficiently and
effectively.
14
INTRODUCCIN
Actualmente las empresas tienen una gran demanda de recurso humano, recurso
tecnolgico, recurso ambiental y dems que deben estar armnicamente
relacionados, para que de esta forma puedan brindar y optimizar los diferentes
servicios como la comunicacin a grandes distancias, permitiendo reducir los
lmites geogrficos, tambin lograr almacenar informacin vital y en grandes
cantidades para las mismas, brindar soporte a usuarios y un sin nmero de
funciones que se pueden prestar con la interrelacin de estos recursos.
Segn la norma NTC-ISO 31000 indica que Aunque la prctica de la gestin del
riesgo se ha desarrollado con el paso del tiempo y en muchos sectores para
satisfacer diversas necesidades, la adopcin de procesos consistentes dentro de
un marco de referencia exhaustivo puede ayudar a garantizar que el riesgo se
gestiona eficaz, eficiente y coherentemente en toda la organizacin4.
4
Ibid., p. 1
15
un rea que permanece en constante cambio y no estar actualizados se considera
como riesgo.
16
1 DESCRIPCIN DEL PROYECTO
5
DANE. Indicadores bsicos en TIC DANE. Bogot D.C.: 10 de junio 2014. Disponible en Internet:
< URL: https://www.dane.gov.co/index.php/es/tecnologia-e-innovacion/tecnologias-de-la-
informacion-y-las-comunicaciones-tic/65-economicas/tecnologias-de-informacion/4718-indicadores-
basicos-de-tic-en-empresas
17
1.2 JUSTIFICACIN DEL PROYECTO
Como cualquier otra rea de la compaa es necesario conocer que tambin para
esta los riesgos van a estar presentes y que la no gestin de estos puede acarrear
prdidas econmicas, de informacin, credibilidad entre otros. La elaboracin de
este proyecto se realiza con el fin de dar a conocer cmo se puede aplicar la
gestin del riesgo en el rea mencionada y que funcin cumple la norma NTC-
ISO, que regula la forma en que estos se controlan.
18
1.3 LNEA DE INVESTIGACIN
19
2. OBJETIVOS DEL PROYECTO
Evaluar la norma NTC 5254, para la construccin de una gua que permita la
gestin de riesgos del proceso de gestin de incidentes y peticiones de servicio
en el rea de mesa de ayuda de las empresas de tecnologa.
20
3. ESTADO DEL ARTE
21
empresa, conllevan un riesgo y debe ser correctamente gestionado y medido para
que el negocio de la empresa se siga desarrollando de una manera ptima. La
gestin de los riesgos operacionales recae sobre la gerencia de la empresa que es
la que est encargada de controlarlos y mitigarlos7
La gestin de riesgos de TI es determinante y primordial en la consecucin de los
objetivos en toda compaa, pero hablar especficamente de un Modelo de gestin
de riesgo de TI, es complejo impreciso si se observa desde el punto de vista de
investigacin, aunque existen muchos archivos en las organizaciones sobre este
tema, pero tambin es cierto que solo se queda all y no es utilizada correctamente
y por lo general siempre es archivada y subvalorada, llevando a que su uso sea
nulo o inadecuado; El fundamento que causa principalmente que no se tome de
manera seria y clara el tema de gestin de riesgos de TI, es la falta de
entrenamiento y capacitacin, lo cual vuelve ininteligible comprender la gestin del
riesgo de TI y es de esta manera que se debe efectuar una cultura organizacional
para cumplir las funciones y brindar estabilidad al negocio.
La universidad Distrital en cabeza de la ingeniera de sistemas Alexandra Ramirez,
realiza un anlisis llamado Gestin de Riesgos tecnolgicos basada en ISO
31000 e ISO 27005 y su aporte a la continuidad de negocios, donde menciona
temas importantes como El riesgo de origen tecnolgico puede incidir sobre las
metas y objetivos organizacionales y ser causa de otro tipo de riesgos al ser
intrnseco al uso de tecnologa. Por ello el dao, interrupcin, alteracin o falla
derivada del uso de TI, puede implicar prdidas significativas en las
organizaciones, prdidas financieras, multas o acciones legales, afectacin de la
imagen de una organizacin y causar inconvenientes a nivel operativo y
estratgico. Una situacin que ejemplifica lo mencionado ocurri en la entidad
financiera colombiana Bancolombia, en Febrero del ao 2011; se present una
cada de la red del banco lo cual produjo una suspensin en sus operaciones
normales, que trajo como consecuencia caos en la atencin a usuarios por
aproximadamente una hora; lo anterior implic prdidas financieras significativas y
afectacin de la imagen para el banco8.
Cada sector empresarial tiene fines diferentes en cuanto a sus labores a
desarrollar se refiere, pero finalmente es un tema comn el conocer que se debe
realizar una correcta gestin de riesgos, ya sea a nivel organizacional o a nivel de
Tecnologas de Informacin, para evitar que estos riesgos lleguen a materializarse
y puedan generar un impacto tan grande que pueda causar la desestabilizacin de
la empresa, causando prdidas que muchas veces pueden ser irreparables.
La norma NTC-ISO 31000 juega un papel muy importante para realizar la
evaluacin de la gestin de riesgos de manera general, pero que al final tambin
7
ISO 31000, Op. Cit., p 12
8
Ramrez, Alexandra, Ortiz, Zulema, 2011. Gestin de riesgos tecnolgicos basada en ISO 31000
e ISO 27005 y su aporte a la continuidad de negocios. En: Ingeniera, Vol.16, No. 2, pg. 56-66
22
puede ser orientado al sector de TI, donde se mencionan ciertos parmetros para
establecer de manera concreta como se puede apoyar estos procesos y as poder
cumplir los objetivos de toda organizacin; en la Figura 1 se puede apreciar un
mapa conceptual sobre el estndar.
23
que permite ofrecer los productos y servicios de la organizacin. La gestin de
riesgos tecnolgicos aqu presentada tiene en cuenta la integracin con los
procesos en toda organizacin, deben estar bien identificados as como tambin
los subprocesos y todas las actividades que dentro de estos se ejecutan; teniendo
en cuenta que al tener bien definidos estos, ser posible en forma oportuna y clara
apoyar la gestin de riesgos de toda organizacin y sistemas de gestin de la
organizacin, por ello su base es ISO 310009.
9
Ibid., p 58.
24
Este marco de gestin de riesgos de TI esta dado en tres dominios, que lo
modelan. Estos son: Gobierno del Riesgo, Evaluacin del Riesgo y Respuesta al
Riesgo10.
Las empresas de servicio de soporte de tecnologa en su gran mayora manejan
reas de mesa de ayuda o mesa de servicios, que involucran una gran cantidad
de activos en su estructura; se maneja una jerarqua que es definida segn los
procesos internos para regir y dirigir las actividades a realizar en sus diferentes
procesos, los cuales varan segn la orientacin de los proyectos que se manejen
en su esquema de funcionamiento, pero no solo el recurso humano es
indispensable, tambin se involucra el recurso tecnolgico, el cual desarrolla un
gran papel en dicha rea y el cual es el encargado de permitir cumplir los objetivos
trazados por la empresa, y encargados de brindar finalmente el soporte a
empresas para su correcto funcionamiento. Involucrar estos dos tipos de activos
siempre tendr un riesgo inherente y un riesgo adquirido durante su
perfeccionamiento.
En documentacin encontrada se habla sobre gestin de riesgos y se indica ISO
31000 es un hito importante, porque es el primer documento internacional que se
ocupa de la gestin del riesgo, que ha sido elaborado por consenso y ha sido
ampliamente adoptado por la mayora de los grupos de las principales economas
mundiales G8 y G20, as como el grupo de las economas emergentes BRIC
(Brasil, Rusia, China y India). La clave para el xito de ISO 31000 radica en que
fue desarrollada por un amplio grupo de expertos tcnicos, respaldados por
aportes de los comits espejos nacionales (CEN) - comits nacionales que
reflejan el trabajo internacional -con una amplia representacin.11
La norma indiscutiblemente permite aclarar y entender que el riesgo debe tener
una gestin adecuada para lograr de manera segura el cumplimiento de los
objetivos.
En el mismo documento de gestin de riesgos se habla sobre la mayor fortaleza
de la ISO 31000: ISO 31000 se puede utilizar para tratar el riesgo en cualquier
nivel y sobre cualquier tema, la cual es su mayor fortaleza. Esto explica por qu ha
sido ampliamente adoptada por muchos organismos pblicos y privados en todo el
mundo.
La norma tambin provee al mundo de gestin de riesgos con un vocabulario
internacionalmente acordado. Esto significa que no slo es posible que los
profesionales de la gestin de riesgos hablen un lenguaje comn, sino que
10
FIGUEROA, Luis Carlos. Gua de buenas prcticas en gestin de riesgos de TI en el sector
bancario colombiano. Bogot D.C.: Universidad de los Andes. Facultad de Ingeniera. Modalidad
Investigacin, 2010. p 11 - 12
11
KNIGHT, Kevin. Nuevo trabajo refuerza una caja de herramientas slida. En: Gestin.
Septiembre, 2007, vol. 1 no.1, p 2.
25
tambin permite a los auditores de seguridad, calidad y auditores internos unirse a
la conversacin, a su vez, promoviendo la cooperacin y mejores resultados. 12
12
Ibid., p 2.
13
UNIVERSIDAD DE ANTIOQUIA. Manual Institucional de Gestin de Riesgos. Medelln. Equipo
MECI. 2012. p 4.
14
Ibid., p 6.
26
producto se utiliza la norma ISO 14971:2007 Aplicacin de la Gestin del Riesgo
para Dispositivos Mdicos y para el riesgo de proceso, la norma NTC 5254:2006
Gestin del riesgo, la cual ser objeto de este artculo presentando las iniciativas
que determinan el anlisis y tratamiento del riesgo del producto en uso 15 y Desde
el 2007 se desarroll un esquema de trabajo para la red de procesos de gestin
de riesgos bajo la norma NTC 5254:2006 Gestin de riesgo, con los siete pasos
denominados: comunicar, establecer el contexto, identificar, analizar, evaluar,
monitorear y revisar los riesgos 16 temas importantes que sern propios del
estudio para el desarrollo de la gua.
Otro documento encontrado de un anlisis de riesgo ejecutado para un postgrado
de la Universidad de la Sabana enfocado a Pymes, deja saber La gestin de
riesgos estratgicos en las Pymes trae consigo beneficios reales para la
organizacin, dado que permite asegurar los resultados de los planes estratgicos,
al permitir estudiar y controlar todas las variables que puedan alterar el logro de
los objetivos. En aquellos casos, donde las variables no pueden ser
necesariamente controladas para dicho aseguramiento, la gestin del riesgo
permite establecer medidas de contingencia que pueden ser adoptadas por la
empresa para minimizar las perdidas ocurridas durante la materializacin del
riesgo estratgico17
15
ALVAREZ, Olga Luca. La gestin del riesgo: una estrategia de administracin integral. En:
Gestin. Julio Diciembre, 2009, vol. 4, no. 2, p 103 112p 105.
16
Ibid., p 105.
17
SALAZAR, Luisa Fernanda. Anlisis del Riesgo Estratgico en Pequeas Empresas. Cha.
Universidad de la Sabana. Facultad de Administracin. Modalidad Investigacin, 2009. p 50.
27
Crdito y para la Administracin y Supervisin del Riesgo Operativo18, donde se
puede observar que la gestin de riesgos viene de estudiarse durante ms de dos
dcadas, por cual al mantenerse consideramos que es efectivo y puede
indiscutiblemente ayudar a cumplir los objetivos trazados por cualquier empresa.
Segn informacin sobre la misma documentacin del prrafo anteriormente
mencionado indica De acuerdo al Pilar I del acuerdo de Basilea II, las categoras
de riesgo son: riesgo de crdito, riesgo de mercado, riesgo de liquidez, riesgo legal
y riesgo operacional (Araujo & Masci, 2007), sin embargo tambin existen otros
riesgos tales como el riesgo estratgico, riesgo sistmico, riesgo de lavado de
activos y de la financiacin del terrorismo y riesgo de garantas; cada uno de los
riesgos los debe aplicar cada entidad de acuerdo a su objeto social, sin embargo
el riesgo operacional aplica para cualquier tipo de organizacin, incluso su
adecuada gestin puede ser la base para evitar riesgos clasificados en otras de
las categoras.19
18
TOVAR, Mara Paola y RODRIGUEZ, Diana Marcela. Sistema de Gestin de Riesgo
Operacional, una opcin para el manejo de situaciones de cambio en la PYMES Colombianas.
Bogot D.C. Universidad Militar Nueva Granada. Facultad de Ciencias Econmicas. Modalidad
Investigacin, 2013. P 6.
19
Ibid., p 7.
28
4. METODOLOGIA PROPUESTA
29
abandonados a los reportes generados por usuarios que no se pudieron resolver
en los tiempos solicitados por los clientes.
Las estadsticas utilizadas son solo de conocimiento general para tener el alcance
de como es el manejo de este tipo de reas, y de ah enfocarse para analizar los
riesgos los cuales se gestionaran con el apoyo de las normas ya mencionadas
anteriormente. En el Anexo
30
4.6 ACTIVIDADES A DESARROLLAR
31
Figura 4: Relaciones entre los principios, el marco de referencia y los
procesos para la gestin del riesgo
32
5. DESCRIPCIN DEL PROCESO DE GESTIN DE INCIDENTES Y
PETICIONES DE SERVICIO DEL REA DE MESA DE AYUDA DE
EMPRESAS DE SERVICIOS DE SOPORTE DE TECNOLOGA
33
5.3 PASOS GENERALES DE LOS PROCESOS DE MESA DE AYUDA
El proceso global de la Mesa de ayuda corresponde a un ciclo de cuatro (4)
procedimientos que se describen a continuacin:
Procedimiento Descripcin
34
Figura 6: Proceso de Mesa de ayuda y los actores Involucrados
35
Figura 7: Flujograma de Mesa de Ayuda
36
5.3.1 Subprocesos. Como se menciona anteriormente el proceso general de
mesa de ayuda cuenta con dos subprocesos los cuales sern desglosados por
actividades para identificar a partir de estas los riesgos que se pueden generar en
la operacin; como se visualiza en la Figura 8.
Actividades.
37
- Si el servicio reportado por el cliente no se encuentra en ninguna de la
clasificacin de servicios pero se define que esta soportado por el contrato, se
debe evaluar y determinar crear una nueva tipificacin para este reporte.
- Control de inventarios.
38
5.3.1.2 Servicios de Soporte en Sitio. Una vez sea escalado un reporte generado
por un usuario de cualquiera que sea el cliente, para que sea atendido en sitio, se
inicia el segundo subproceso y a continuacin se mencionan las actividades que
son ejecutadas sobre este.
Actividades.
- Desplazamiento a las instalaciones del cliente para brindar Atencin 1er Nivel,
soporte directo presencial por ingenieros Field Servicies.
- Control de inventarios.
___________________
(*) ENTREVISTA con Edgar Hojuela, Luis Miguel Bernal, rea de Mesa de ayuda de empresa
especifica de servicio de soporte de Tecnologa en Colombia. Bogot 20 de Agosto 2014.
39
Figura 8: Procesos de Mesa de Ayuda
40
5.4 META
Gestionar el riesgo del proceso y subprocesos del rea de mesa de ayuda de las
empresas de servicios de Tecnologa para las cuales se brind la informacin
anteriormente presentada con el fin de que cualquier entidad pueda evaluar la
organizacin de esta y pueda enfocarse o ajustarse al desarrollo de este.
5.5 ALCANCE
41
6. GUIA PARA LA GESTIN DE RIESGOS DE LOS PROCESOS DE
GESTIN DE INCIDENTES Y PETICIONES DE SERVICIO DEL REA
DE MESA DE AYUDA DE EMPRESAS DE SERVICIOS DE SOPORTE DE
TECNOLOGA EN COLOMBIA
6.1.2 Usuarios de la gua. La gua est enfocada a todas las personas que
realizan gestin de riesgos dentro de la organizacin, especficamente las
involucradas en el rea de mesa de ayuda que se clasificaran en dos grupos, el
primero corresponde a la alta gerencia que evala la aplicacin de controles segn
su presupuesto.
Gerente de la organizacin.
Gerente del rea de tecnologa.
Director del rea de mesa de ayuda.
El segundo corresponde a los que participan en el proceso, que son los que
identifican los riesgos dentro de cada actividad ejecutada.
42
6.1.3 Objetivo de la gua. Introducir en los procesos, subprocesos y actividades
del rea de mesa de ayuda de empresas de servicios de soporte de tecnologa en
Colombia la Gestin del Riesgo.
43
Tabla 2: Factores Internos y Externos de los procesos de mesa de ayuda
6.2.2.3 Contexto del proceso para la gestin del riesgo. En esta parte se deben
especificar hasta donde va a llegar la gestin del riesgo en el proceso o rea
seleccionada, se define las metas, objetivos, responsabilidades, alcance,
profundidad y extensin, relacin con los otros procesos, metodologa, forma de
evaluar el desempeo y eficacia de la gestin.
44
Tabla 3: Criterios de evaluacin de probabilidad
Para este caso, se determina que los rangos de nivel de riesgo son tres y estn
representados en la Tabla 5:
45
Tabla 5: Rangos de Nivel de Riesgo
RANGO IMPORTANCIA
1A8 BAJA
9 A 17 MEDIA
18 A 25 ALTA
Fuente: DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PUBLICA. Gua de
administracin de riesgos del Departamento administrativo de la funcin pblica de
la, Repblica de Colombia pg. 27.
46
Tabla 6: Gestin del Riesgo
Actividad Roles
Grupo de
Analista
Director Auditor soporte o Administrador Usuario /
ID Mesa de mesa
Actividad Gerente de de especialista de incidentes Cliente
Actividad servicios de
Servicio proceso de y peticiones solicitante
ayuda
servicios
MARCO DE REFERENCIA
1 DIRECCION Y COMPROMISO R R C
47
Tabla 7: Gestin del Riesgo (Continuacin)
PROCESO
6 COMUNICACIN Y CONSULTA A A C R R R R I
ESTABLECIMIENTO DEL
7 CONTEXTO
7.1 Establecer el contexto externo A R C R R
7.2 Establecer el contexto interno A R C R R R R
Establecer el contexto del proceso
para la gestin del riesgo
(objetivos, alcance,
responsabilidades, proceso,
relacin entre el proyecto,
metodologa, forma evaluacin,
7.3 decisiones) R R C
Definir los criterios de riesgo
(Puntos de vista de los
7.4 involucrados) R R C
8 VALORACION DEL RIESGO
Identificacin riesgo (Matriz de
8.1 riesgos) A A C R R R R
8.2 Anlisis del riesgo R R C
8.3 Evaluacin del riesgo R R C
9 TRATAMIENTO DEL RIESGO
Seleccin de las opciones para el
9.1 tratamiento del riesgo R R C
Preparacin e implementacin de
los planes para el tratamiento del
9.2 riesgo R R C
10 MONITOREO Y REVISION A A C R R R R I
Fuente. Los Autores
48
6.2.3 Valoracin del riesgo. La valoracin del riesgo est basada en dos
aspectos generalmente usados para este fin, la probabilidad que segn la
definicin de la gua de administracin de riesgos del Departamento administrativo
de la funcin pblica de la repblica de Colombia dice: Por probabilidad se
entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con
criterios de frecuencia, si se ha materializado (por ejemplo: nmero de veces en
un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de
factores internos y externos que pueden propiciar el riesgo, aunque este no se
haya materializado.20; se entiende como la cantidad de veces que se puede
repetir el riesgo.
Para los procesos del rea de mesa de ayuda, se analiz el proceso por medio de
un checklist, el cual se encuentra en el Anexo B de la siguiente manera:
Se identificaron los procesos del rea de mesa de ayuda que son: servicio de
soporte remoto, servicio de soporte en sitio.
Se identificaron las actividades dentro de cada proceso estadstica
Se identificaron los riesgos para cada causa de riesgo
Se identificaron las causas de riesgo de cada actividad
20
COLOMBIA. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA. Gua Para la
administracin del riesgo. Septiembre de 2011. Direccin de Control Interno y Racionalizacin de
Trmites. Bogot, D. C.: Departamento Administrativo, 2011. p. 27.
21
Ibid., p. 27.
49
Este ejercicio brindo la informacin que se puede observar en la tabla 6.
50
Tabla 8: Matriz de Riesgo
Subprocesos Actividades Causa del Riesgo Riesgo
Recepcin de servicios solicitados por parte del cliente final va telefnica Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad de la
informacin
Validacin de informacin del usuarios solicitante (Nombre, Cedula, Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad de la
dependencia, etc.) informacin
Rectificacin de datos de usuarios en caso de que los datos indicados por el 1. Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad de la
usuario final no concuerden con la base de datos de la herramienta de gestin. 2. Falla en el sistema de gestin de incidentes informacin
En caso de no estar registrados los usuarios solicitantes, se deben registrar en 1. Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad de la
la herramienta de gestin. 2. Falla en el sistema de gestin de incidentes informacin
Definir si el requerimiento se encuentra dentro del contrato pactado con el 1. No tener acceso a las condiciones del contrato
cliente para definir si se procede a dar solucin; en caso de no estar en contrato 2. No poder definir si el requerimiento se encuentra dentro Perdida de dinero
se debe definir cmo manejar el tema entre las partes y este procedimiento ya del contrato
no pertenece a mesa de ayuda.
Registro de servicios en herramienta de gestin definida para el cliente segn la 1. Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad del sistema
descripcin del incidente manifestado por el cliente. 2. Falla en el sistema de gestin de incidentes
Clasificacin del reporte: 1. No tener claro que tipo de incidente se est solicitando
-Tipo de incidente: Segn matriz categora o tipificacin 2. Desconocer la clasificacin utilizada para tipificar Clasificacin errada del incidente
-Tipo de servicio: Incidente, Requerimiento o Solicitud, Proyecto incidentes
Si el servicio reportado por el cliente no se encuentra en ninguna de la No tener claro que tipo de incidente se est solicitando
clasificacin de servicios pero se define que esta soportado por el contrato, se Clasificacin errada del incidente
debe evaluar y determinar crear una nueva tipificacin para este reporte.
Hacer priorizacin del incidente as: 1. No tener claro que tipo de incidente se est solicitando
-Urgente o Crtico: Mltiples usuarios con problemas para trabajar y/o impacto a 2. Priorizacin errnea del incidente Prdida de credibilidad de la empresa
alguna funcin crtica del negocio.
Servicios de -Importante: Incapacidad total de un usuario
Soporte -Normal o Rutina: Un solo usuario con problemas para trabajar en un producto
Remoto y/o actividades que puedan ser programadas.
Hacer diagnstico del servicio solicitado por el cliente 1. Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad del sistema
2. Desconocimiento tcnico de la falla
De manera remota validar el incidente y determinar si es posible darle solucin 1. Falla en el sistema de comunicaciones de la empresa2. Perdida de disponibilidad del sistema
Desconocimiento tcnico de la falla
En caso de determinar la no posible solucin del incidente desde mesa de 1. El operador de mesa de ayuda olvide realizar el proceso
ayuda, se debe dirigir el servicio a la lnea de servicios Conectividad 2. No dirigir el incidente a el rea correspondiente Perdida de integridad de la
correspondiente bien sea Desktop, BackOffice, Redes, etc. y siempre con base informacin.
en las polticas de tiempo.
En caso de determinar la no posible solucin del incidente desde mesa de 1. El operador de mesa de ayuda olvide realizar el proceso
ayuda, se debe dirigir el servicio a terceros o proveedores del cliente 2. No dirigir el incidente a el rea correspondiente Perdida de tiempo.
Se debe realizar documentacin de las actividades realizadas bien sean de El operador de mesa de ayuda olvide realizar el proceso Prdida de tiempo
apoyo al cliente final o de escalamiento del servicio.
Seguimiento y control 1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de
2. No cumplimiento de SLA credibilidad de la empresa
Realizacin de actividades de mejoramiento El operador de mesa de ayuda olvide realizar el proceso Perdida de la calidad del servicio
Documentacin y cierre del servicio 1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de tiempo
2. No documentar el servicio generado
Documentacin de la base de conocimiento El operador de mesa de ayuda olvide realizar el proceso Perdida de informacin y de tiempo
Fuente: Los Autores
51
Tabla 7. Matriz de Riesgo (Continuacin).
Subprocesos Actividades Causa del Riesgo Riesgo
Recibir el escalamiento del caso por parte de mesa de ayuda documentado en 1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de
la herramienta de gestin 2. Realizar un escalamiento errado tiempo
Desplazamiento a las instalaciones del cliente para brindar Atencin 1er Nivel, 1. Congestin en el transporte Perdida de dinero y prdida de
soporte directo presencial por ingenieros Field Services 2. Incapacidad del funcionario tiempo
1. No disponibilidad del usuario por falta de agendamiento Perdida de dinero y prdida de
Realizar las validaciones del usuarios final afectado previo. tiempo
1. No disponibilidad del usuario por falta de agendamiento Perdida de disponibilidad
Hacer validacin y revisin del incidente presentado previo.
2. No disponer de las herramientas necesarias para la
validacin y revisin del incidente
En caso de no conocer como brindar solucin a este incidente, dirigir el servicio Desconocimiento del personal de soporte sobre el tema Perdida de dinero y prdida de
a la lnea de servicios Conectividad correspondiente tiempo
Se debe realizar documentacin de las actividades realizadas bien sean de El operador en sitio olvide realizar la documentacin Prdida de tiempo
Servicios de apoyo al cliente final o de escalamiento del servicio.
Soporte en Escalamiento a otras lneas de servicio de la Direccin de Servicio de la El operador en sitio olvide realizar el proceso Perdida de dinero y prdida de
Sitio empresa prestadora de servicios acuerdo con esquema pactado de servicios tiempo
1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de
Escalamiento a terceros o proveedores del cliente 2. No dirigir el incidente a el rea correspondiente tiempo
1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de
Seguimiento y control 2. No cumplimiento de SLA credibilidad de la empresa
Verificacin de solucin con el usuario final y control de calidad interno 1. El operador de mesa de ayuda olvide realizar el proceso Perdida de informacin
asociada al proceso. 2. No hacer la verificacin con el usuario final
Realizacin de actividades de mejoramiento El operador de mesa de ayuda olvide realizar el proceso Perdida de la calidad del servicio
Documentacin y cierre del servicio 1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de
2. No documentar el servicio generado tiempo
Documentacin de la base de conocimiento El operador de mesa de ayuda olvide realizar el proceso Perdida de informacin y de tiempo
Fuente: Los Autores
52
6.2.3.2 Anlisis de riesgo. Para desarrollar este tem se bas en el entendimiento
del riesgo, donde se debe validar si es inevitable tratar estos y determinar las
estrategias adecuadas a implementar para tratarlos eficazmente.
Este proceso de anlisis se realiza identificando para cada riesgo las causas y
posibles consecuencias del mismo evaluando el impacto y probabilidad.
Registros anteriores
Experiencia prctica y pertinente
Literatura pertinente publicada
Investigacin de mercado
Resultados de consulta pblica
Experimentos y prototipos
Modelos econmicos, de ingeniera y otros
Conceptos de especialistas y expertos23
Entrevistas estructuradas
Uso de grupos multidisciplinarios de expertos
Evaluaciones individuales empleando cuestionarios
22
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. Resumen. NTC
5254. Bogot D.C.: ICONTEC, 2006. p.4.
23
Ibid., p. 14.
53
Uso de modelos y simulaciones24
24
Ibid., p. 16.
25
Ibid., p16 17.
54
Tabla 9: Valoracin de los Riesgos segn la probabilidad y el Impacto
Subprocesos Actividades Causa del Riesgo Riesgo Probabilidad Impacto Valoracin
Recepcin de servicios solicitados por parte del cliente Falla en el sistema de Perdida de disponibilidad de la 1 5 5
final va telefnica comunicaciones de la empresa informacin
Validacin de informacin del usuarios solicitante Falla en el sistema de Perdida de disponibilidad de la 1 5 5
(Nombre, Cedula, dependencia, etc.) comunicaciones de la empresa informacin
Rectificacin de datos de usuarios en caso de que los 1. Falla en el sistema de Perdida de disponibilidad de la 1 5 5
datos indicados por el usuario final no concuerden con la comunicaciones de la empresa informacin
base de datos de la herramienta de gestin. 2. Falla en el sistema de gestin
de incidentes
En caso de no estar registrados los usuarios solicitantes, 1. Falla en el sistema de Perdida de disponibilidad de la 1 5 5
se deben registrar en la herramienta de gestin. comunicaciones de la empresa informacin
2. Falla en el sistema de gestin
de incidentes
Definir si el requerimiento se encuentra dentro del 1. No tener acceso a las 1 3 3
contrato pactado con el cliente para definir si se procede condiciones del contrato Perdida de dinero
a dar solucin; en caso de no estar en contrato se debe 2. No poder definir si el
definir cmo manejar el tema entre las partes y este requerimiento se encuentra
procedimiento ya no pertenece a mesa de ayuda. dentro del contrato
Registro de servicios en herramienta de gestin definida 1. Falla en el sistema de Perdida de disponibilidad del 1 5 5
para el cliente segn la descripcin del incidente comunicaciones de la empresa sistema
manifestado por el cliente. 2. Falla en el sistema de gestin
de incidentes
Clasificacin del reporte: 1. No tener claro que tipo de 2 4 8
-Tipo de incidente: Segn matriz categora o tipificacin incidente se est solicitando Clasificacin errada del
Servicios de -Tipo de servicio: Incidente, Requerimiento o Solicitud, 2. Desconocer la clasificacin incidente
Soporte Proyecto utilizada para tipificar incidentes
Remoto
Si el servicio reportado por el cliente no se encuentra en No tener claro que tipo de 2 4 8
ninguna de la clasificacin de servicios pero se define incidente se est solicitando Clasificacin errada del
que esta soportado por el contrato, se debe evaluar y incidente
determinar crear una nueva tipificacin para este reporte.
Hacer priorizacin del incidente as: 1. No tener claro que tipo de 2 4 8
-Urgente o Crtico: Mltiples usuarios con problemas para incidente se est solicitando Prdida de credibilidad de la
trabajar y/o impacto a alguna funcin crtica del negocio. 2. Priorizacin errnea del empresa
-Importante: Incapacidad total de un usuario incidente
-Normal o Rutina: Un solo usuario incapacitado para
trabajar en un producto y/o actividades que puedan ser
programadas.
Hacer diagnstico del servicio solicitado por el cliente 1. Falla en el sistema de Perdida de disponibilidad del 1 5 5
comunicaciones de la empresa sistema
2. Desconocimiento tcnico de la
falla
Fuente: Los Autores
55
Tabla 8. Valoracin de los Riesgos segn la probabilidad y el Impacto (Continuacin).
Subprocesos Actividades Causa del Riesgo Riesgo Probabilidad Impacto Valoracin
De manera remota validar el incidente y determinar si 1. Falla en el sistema de Perdida de disponibilidad del 1 5 5
es posible darle solucin comunicaciones de la empresa sistema
2. Desconocimiento tcnico de
la falla
En caso de determinar la no posible solucin del 1. El operador de mesa de 1 4 4
incidente desde mesa de ayuda, se debe dirigir el ayuda olvide realizar el proceso Perdida de integridad de la
servicio a la lnea de servicios Conectividad 2. No dirigir el incidente a el informacin.
correspondiente bien sea Desktop, BackOffice, Redes, rea correspondiente
etc. y siempre con base en las polticas de tiempo.
En caso de determinar la no posible solucin del 1. El operador de mesa de 1 4 4
incidente desde mesa de ayuda, se debe dirigir el ayuda olvide realizar el proceso Perdida de tiempo.
servicio a terceros o proveedores del cliente 2. No dirigir el incidente a el
rea correspondiente
Se debe realizar documentacin de las actividades El operador de mesa de ayuda Prdida de tiempo 1 5 5
realizadas bien sean de apoyo al cliente final o de olvide realizar el proceso
escalamiento del servicio.
Seguimiento y control 1. El operador de mesa de Perdida de dinero y prdida 1 5 5
ayuda olvide realizar el proceso de credibilidad de la empresa
2. No cumplimiento de SLA
Servicios de Verificacin de solucin con el usuario final y control de 1. El operador de mesa de Perdida de la calidad del 1 5 5
Soporte calidad interno asociada al proceso. ayuda olvide realizar el proceso servicio
Remoto 2. No hacer la verificacin con
el usuario final
Realizacin de actividades de mejoramiento El operador de mesa de ayuda Perdida de dinero y prdida 1 3 3
olvide realizar el proceso de tiempo
Documentacin y cierre del servicio 1. El operador de mesa de Perdida de informacin y de 1 5 5
ayuda olvide realizar el proceso tiempo
2. No documentar el servicio
generado
Documentacin de la base de conocimiento El operador de mesa de ayuda Perdida de disponibilidad del 1 3 3
olvide realizar el proceso sistema
56
Tabla 8. Valoracin de los Riesgos segn la probabilidad y el Impacto (Continuacin).
Subprocesos Actividades Causa del Riesgo Riesgo Probabilidad Impacto Valoracin
Recibir el escalamiento del caso por parte de mesa de 1. El operador de mesa de Perdida de dinero y prdida 1 4 4
ayuda documentado en la herramienta de gestin ayuda olvide realizar el proceso de tiempo
2. Realizar un escalamiento
errado
Desplazamiento a las instalaciones del cliente para 1. Congestin en el transporte Perdida de dinero y prdida 4 5 20
brindar Atencin 1er Nivel, soporte directo presencial 2. Incapacidad del funcionario de tiempo
por ingenieros Field Services
Realizar las validaciones del usuarios final afectado 1. No disponibilidad del usuario Perdida de dinero y prdida 4 4 16
por falta de agendamiento de tiempo
previo.
Hacer validacin y revisin del incidente presentado 1. No disponibilidad del usuario Perdida de disponibilidad 4 5 20
por falta de agendamiento
previo.
2. No disponer de las
herramientas necesarias para la
validacin y revisin del
Servicios de incidente
Soporte en En caso de no conocer como brindar solucin a este Desconocimiento del personal Perdida de dinero y prdida 4 5 20
Sitio incidente, dirigir el servicio a la lnea de servicios de soporte sobre el tema de tiempo
Conectividad correspondiente
Se debe realizar documentacin de las actividades El operador en sitio olvide Prdida de tiempo 1 5 5
realizadas bien sean de apoyo al cliente final o de realizar la documentacin
escalamiento del servicio.
Escalamiento a otras lneas de servicio de la Direccin El operador en sitio olvide Perdida de dinero y prdida 1 4 4
de Servicio de la empresa prestadora de servicios realizar el proceso de tiempo
acuerdo con esquema pactado de servicios
Escalamiento a terceros o proveedores del cliente 1. El operador de mesa de Perdida de dinero y prdida 1 4 4
ayuda olvide realizar el proceso de tiempo
2. No dirigir el incidente a el rea
correspondiente
Seguimiento y control 1. El operador de mesa de Perdida de dinero y prdida 1 5 5
ayuda olvide realizar el proceso de credibilidad de la
2. No cumplimiento de SLA empresa
Verificacin de solucin con el usuario final y control de 1. El operador de mesa de Perdida de informacin 1 5 5
calidad interno asociada al proceso. ayuda olvide realizar el proceso
2. No hacer la verificacin con el
usuario final
Realizacin de actividades de mejoramiento El operador de mesa de ayuda Perdida de la calidad del 1 3 3
olvide realizar el proceso servicio
Documentacin y cierre del servicio 1. El operador de mesa de Perdida de dinero y prdida 1 5 5
ayuda olvide realizar el proceso de tiempo
2. No documentar el servicio
generado
Documentacin de la base de conocimiento El operador de mesa de ayuda Perdida de informacin y de 1 3 3
olvide realizar el proceso tiempo
Fuente: Los Autores
57
6.2.3.3 Evaluacin del riesgo. El propsito de la evaluacin del riesgo es
tomar decisiones, basadas en los resultados del anlisis del riesgo, sobre los
riesgos que necesitan tratamiento y las prioridades del tratamiento.
La evaluacin del riesgo implica comparacin del nivel de riego hallado durante el
proceso de anlisis con los criterios de riesgo establecidos al considerar el
contexto.26
Para el rea de mesa de ayuda, los criterios que se tienen en cuenta se reflejan en
la tabla 10.
26
Ibid., p.17 - 18
58
Tabla 11: Valoracin del Riesgo Alto
1. Congestin en el No
transporte prestar
Desplazamiento a las instalaciones del cliente para el
brindar Atencin 1er Nivel, soporte directo presencial soporte 4 5 20
por ingenieros Field Services al
2. Incapacidad del usuario
funcionario final
1. No disponibilidad
del usuario por falta
de agendamiento
previo.
No
prestar
el
Hacer validacin y revisin del incidente presentado soporte 4 5 20
al
2. No disponer de las
usuario
herramientas
final
necesarias para la
validacin y revisin
del incidente
No
prestar
En caso de no conocer como brindar solucin a este Desconocimiento del el
incidente, dirigir el servicio a la lnea de servicios personal de soporte soporte 4 5 20
Conectividad correspondiente sobre el tema al
usuario
final
Fuente: Los Autores.
59
6.2.4 Tratamiento del riesgo. El tratamiento de los riesgos est basado en la
identificacin de los mejores mtodos definidos, para tomar una decisin sobre
cada uno de estos teniendo en cuenta una serie de aspectos lo cuales a
continuacin mencionamos:
Aceptar
Transferir
Mitigar
Evitar
60
7. DICCIONARIO DE CONCEPTOS
2. Gestin del riesgo: En trminos generales la gestin del riesgo se refiere a los
principios y metodologa para la gestin eficaz del riesgo, mientras que
gestionar el riesgo se refiere a la aplicacin de estos principios y metodologa a
riesgos particulares.28
27
COLOMBIA, Op. Cit., p. 13.
28
Ibid., p. 15.
29
UNIVERSIDAD NACIONAL DE COLOMBIA. Formato para la Formulacin de Lneas de
Investigacin. Manizales. Grupo de Investigacin Gestin Integral de Riesgos y Desastres. 2003.
p 1.
30
APROCAL. Seguridad Informtica. Mxico.:13 de Agosto 2014. Disponible en Internet: < URL:
http://www.aprocal.org.mx/files/2200/03SeguridadenInformaticaV1.0.pdf.
31
MEGAPROCESOS. COSO ERM. 13 de agosto 2014. Disponible en Internet: < URL:
http://www.megaprocesos.com.gt/sites/default/files/boletin3.pdf
61
6. Mesa de ayuda: Mesa de Ayuda o Mesa de Servicio es un conjunto de
recursos tecnolgicos y humanos, para prestar servicios con la posibilidad de
gestionar y solucionar todas las posibles incidencias de manera integral, junto
con la atencin de requerimientos relacionados a las Tecnologas de la
Informacin y la Comunicacin (TIC).
7. Recurso Humano: Una empresa cuenta con diversos tipos de recursos que le
permiten funcionar y alcanzar sus metas. Los empleados, trabajadores
colaboradores son quienes conforman lo que se conoce como recursos
humanos de una entidad.32 Recurso Tecnolgico: Un recurso tecnolgico, es
un medio que se vale de la tecnologa para cumplir con su propsito. Los
recursos tecnolgicos pueden ser tangibles (como una computadora, una
impresora u otra mquina) o intangibles (un sistema, una aplicacin virtual).33
9. Control de riesgo: El control es un filtro que se establece para asegurar que los
eventos ocurran conforme a lo previsto. El control es una actividad necesaria
para el xito de las actividades de las empresas. sin controles el xito es
inalcanzable.
11. Activo: es cualquier cosa que representa o que tiene un valor para la
organizacin.
32
UNIVERSIDAD DE JAN. Sistemas de Seleccin de Personal basado en Modelo de Decisin.
Jan. 13 de agosto 2014. Disponible en Internet: < URL:
http://sinbad2.ujaen.es/cod/archivosPublicos/pfc/pfc_pedrobarrio.pdf
33
UNIVERSIDAD CENTRAL DEL ECUADOR. Recursos Tecnolgicos en el aprendizaje de
computacin bsica, en los nios/as de quinto ao de bsica de la escuela repblica de argentina
del cantn quito ao lectivo 2011 2012. Quito. 13 de agosto2014. Disponible en Internet: < URL:
http://www.dspace.uce.edu.ec/bitstream/25000/1894/1/T-UCE-0010-222.pdf
34
UNAL, Op. Cit., p. 2.
35
REAL ACADEMIA. Diccionario de la lengua Espaola. Madrid. 13 agosto 2014 .Disponible en
Internet: < URL: http://lema.rae.es/drae/?val=diagnostico.
62
12. Ataque Informtico: Un ataque informtico es un mtodo por el cual un
individuo, mediante un sistema informtico, intenta tomar el control,
desestabilizar o daar otro sistema informtico (ordenador, red privada,
etctera).36
16. Incidente: cualquier situacin no planificada que causa o puede causar una
reduccin de la calidad, interrupcin o perdida en los servicios que
proporcionan las organizaciones. Incidente: cualquier situacin no
planificada que causa o puede causar una reduccin de la calidad,
interrupcin o perdida en los servicios que proporcionan las organizaciones.
17. Escalamiento: trasferir a otro ente del proceso un incidente o ticket.
36
UNIVERSIDAD MICHOACANA, Facultad de Contadura y Ciencias Administrativas. Apuntes.
San Nicols de Hidalgo 13 de Agosto de 2014. Disponible en Internet:< URL:
http://www.fcca.umich.mx/descargas/apuntes/Academia%20de%20Informatica/Redes%20de%2Co
mputo%20%20G.A.G.C/Unidad-3-4-5.pdf
37
EL SALVADOR. Programa de Desarrollo y Proveedores. Mxico. 13 de agosto 2014.Disponible
en Internet: < URL: http://www.pdp.com.sv/main/conest/arti/arti-10-001.jsp
38
BIOSENTINEL. Soporte. Espaa. 13 de agosto 2014. Disponible en Internet: < URL:
www.biosentinel.es/que_es_soporte_online/sisticket.php
63
8. CONCLUSIONES
64
BIBLIOGRAFIA
65
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. Cdigo
de las Buenas Prcticas para la Gestin de la Seguridad de la Informacin. . NTC
ISO/IEC 27002. Bogot D.C.: ICONTEC, 2007. 142 p
KNIGHT, Kevin. Nuevo trabajo refuerza una caja de herramientas slida. En:
Gestin. Septiembre, 2007, vol. 1 no. 1, 3 p.
66
RIVADENEIRA, Alexander. Marco Conceptual y legal sobre la gestin de riesgo en
Colombia. En: Monitor Estratgico. Enero - Junio 2014, vol. 1, no. 5.
67
ANEXOS
Preguntas:
68
13. Cules son los riesgos a los que estn expuestos durante la operacin de
los procesos y subprocesos del rea?
14. Como garantizan la continuidad del negocio en cuanto a herramientas
tecnolgica se refiere.
15. Existen mtodos de toma de informacin manuales en caso de que las
herramientas tecnolgicas fallen para el registro de incidentes?
16. Cul es el nivel de incidentes generados que pueden ser fallidos para
atencin debido a la no atencin de la llamada.
17. Existen multas por parte de los clientes cuando no se cumplen los acuerdos
de nivel de servicio en la solucin de incidentes.
18. Cules son las actividades crticas de los procesos y subprocesos del rea
de mesa de ayuda.
19. Cul es el impacto que se genera en las actividades crticas mencionadas
anteriormente.
69
ANEXO B: Formato para Identificacin de Riesgos
70
ANEXO C: Formato para Evaluacin de Riesgos
No Procesos Subprocesos Actividades Causa del Riesgo Riesgo Probabilidad Impacto Calificacin Valoracin
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
71
ANEXO D: Formato para definicin de tratamiento de Riesgos
72
ANEXO E: Formato para Definicin de Controles de Riesgos
No Procesos Subprocesos Actividades Causa del Riesgo Riesgo Probabilidad Impacto Valoracin Controles
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
73
ANEXO F: Descripcin de Empresas de Servicios de Tecnologa
IBM COLOMBIA
Con su sede principal en Bogot; ofrece el servicio de mesa de ayuda (Help desk)
como un outsourcing garantizando el apoyo a los usuarios. Se basa en la
experiencia y trayectoria de la marca, ya que es uno de los productores y
distribuidores de equipos ms antiguos y entre sus servicios de tecnologa se
encuentran:
Almacenamiento de datos
Arquitectura y estrategia de TI
Comunicaciones Integradas
Continuidad del negocio
Data Center
Servicios de soporte tcnico
Atencin usuarios finales
Servicios de TI para empresas en crecimiento
Cloud Computing
Administracin de servicios (Managed Service)39
INTERSOFWARE
39
IBM. Servicios de soporte al usuario final. 28 de octubre 2014. Disponible en Internet: < URL
http://www-935.ibm.com/services/co/es/it-services/servicios-de-soporte-al-usuario-final.htm
40
INTERSOFTWARE. Servicios Especializados de Tecnologa. 28 de Octubre. Disponible en
Internet. : < URL: http://www.intersoftware.org.co/content/servicios-especializados-de-tecnologia-e-
informatica-seti-sa
74
ACCENTURE
41
ACCENTURE. Consultora de Gestin y Servicios de Tecnologas. 28 de Octubre 2014.
Disponible en Internet : < URL: http://www.accenture.com/co-es/Pages/service-infrastructure-
outsourcing-overview-summary.aspx
75