You are on page 1of 75

ELABORACIN DE UNA GUA DE GESTIN DE RIESGOS BASADOS EN LA

NORMA NTC-ISO 31000 PARA EL PROCESO DE GESTIN DE INCIDENTES Y


PETICIONES DE SERVICIO DEL REA DE MESA DE AYUDA DE EMPRESAS
DE SERVICIOS DE SOPORTE DE TECNOLOGA EN COLOMBIA

YEIGNY LILIANA ARIAS REYES


MARTHA LILIANA DIAZ RODRIGUEZ
JESUS ALFREDO VARGAS CARVAJAL

UNIVERSIDAD CATLICA DE COLOMBIA


POSGRADO AUDITORA DE SISTEMAS
PROGRAMA DE INGENIERA DE SISTEMAS
BOGOT D.C.
2014
ELABORACIN DE UNA GUA DE GESTIN DE RIESGOS BASADOS EN LA
NORMA NTC-ISO 31000 PARA EL PROCESO DE GESTIN DE INCIDENTES Y
PETICIONES DE SERVICIO DEL REA DE MESA DE AYUDA DE EMPRESAS
DE SERVICIOS DE SOPORTE DE TECNOLOGA EN COLOMBIA

YEIGNY LILIANA ARIAS REYES


MARTHA LILIANA DIAZ RODRIGUEZ
JESUS ALFREDO VARGAS CARVAJAL

TRABAJO DE GRADO

Director
HOLMAN BOLIVAR
Ingeniero de Sistemas

UNIVERSIDAD CATOLICA DE COLOMBIA


POSGRADO AUDITORIA DE SISTEMAS
PROGRAMA DE INGENIERA DE SISTEMAS
BOGOTA D.C.
2014
Nota De Aceptacin

Aprobado por el comit de grado en


cumplimiento de los requisitos exigidos
por la Facultad de Ingeniera y la
Universidad Catlica de Colombia para
optar al ttulo de Esp. Auditoria de
Sistemas.

_________________________________
Ingeniero Holman Diego Bolvar
Director

_________________________________
Ingeniero Jorge Carrillo
Revisor Metodolgico
AGRADECIMIENTOS

Agradecemos a DIOS por darnos la Sabidura y la dedicacin para culminar otra


etapa ms de nuestra vida profesional.

A nuestros padres y amistades ms cercanas por bridarnos la Fe y confianza para


mantener vivo el esmero de seguir adelante cada paso, para la ejecucin de este
proyecto de grado.

Agradecemos a todos los docentes de la especializacin de auditoria de sistemas


por compartir cada conocimiento y apoyarnos en nuestra formacin acadmica,
finalmente agradecemos a un gestor muy importante nuestro tutor Holman Diego
Bolvar Barn que nos dio las pautas y el seguimiento continuo para hacer posible
la presentacin de dicho proyecto.
.

5
TABLA DE CONTENIDO
INTRODUCCIN 15
1 DESCRIPCIN DEL PROYECTO 17
1.1 PLANTEAMIENTO DEL PROBLEMA 17
1.2 JUSTIFICACIN DEL PROYECTO 18
1.3 LNEA DE INVESTIGACIN 19
1.4 ALCANCE DEL PROYECTO 19

2. OBJETIVOS DEL PROYECTO 20


2.1. OBJETIVO GENERAL 20
2.2. OBJETIVOS ESPECFICOS 20

3. ESTADO DEL ARTE 21

4. METODOLOGIA PROPUESTA 29
4.1 TIPO DE INVESTIGACION 29
4.2 ENFOQUE DE INVESTIGACIN 29
4.3 REA DE ESTUDIO 29
4.4 TCNICAS DE RECOLECCIN DE INFORMACIN 29
4.5 PROCESAMIENTO Y ANLISIS DE LA INFORMACIN 30
4.6 ACTIVIDADES A DESARROLLAR 31

5. DESCRIPCIN DEL PROCESO DE GESTIN DE INCIDENTES Y


PETICIONES DE SERVICIO DEL REA DE MESA DE AYUDA DE EMPRESAS
DE SERVICIOS DE SOPORTE DE TECNOLOGA 33
5.1 MESA DE SERVICIOS 33
5.2 DESCRIPCIN DEL PROCESO 33
5.3 PASOS GENERALES DE LOS PROCESOS DE MESA DE AYUDA 34
5.3.1 Subprocesos 37
5.3.1.1 Servicios de Soporte Remoto. 37
5.3.1.2 Servicios de Soporte en Sitio. 39
5.4 META 41
5.5 ALCANCE 41

6
6. GUIA PARA LA GESTIN DE RIESGOS DE LOS PROCESOS DE GESTIN
DE INCIDENTES Y PETICIONES DE SERVICIO DEL REA DE MESA DE
AYUDA DE EMPRESAS DE SERVICIOS DE SOPORTE DE TECNOLOGA EN
COLOMBIA 42
6.1 PROPSITO DE LA GUA 42
6.1.1 Alcance de la gua 42
6.1.2 Usuarios de la gua 42
6.1.3 Objetivo de la gua 43
6.2. GUIA DE APLICACIN DE NORMA 43
6.2.1. Establecimiento del contexto 43
6.2.2 Contexto interno 43
6.2.2.2 Contexto externo 43
6.2.2.3 Contexto del proceso para la gestin del riesgo 44
6.2.2.4 Definir los criterios de riesgo 44
6.2.2.5 Responsabilidades 46
6.2.3 Valoracin del riesgo 49
6.2.3.1 Identificacin del riesgo 49
6.2.3.2 Anlisis de riesgo 53
6.2.3.3 Evaluacin del riesgo 58
6.2.4 Tratamiento del riesgo 60

7. DICCIONARIO DE CONCEPTOS 61

8. CONCLUSIONES 64

BIBLIOGRAFA 65

ANEXOS 68

7
LISTA DE FIGURAS

Figura 1: Mapa conceptual Norma ISO 31000 23

Figura 2: Modelo de negocio para seguridad de la formacin 24

Figura 3: Estadstica de incidentes 30

Figura 4: Relaciones entre los principios, el marco de referencia y los procesos


para la gestin del riesgo 32

Figura 5: Proceso de Gestin de Riesgo 32

Figura 6: Proceso de Mesa de ayuda y los actores Involucrados 35

Figura 7: Flujograma de Mesa de Ayuda 36

Figura 8: Procesos de Mesa de Ayuda 40

8
LISTA DE TABLAS

Tabla 1: Procedimiento general de los procesos de mesa de ayuda 34

Tabla 2: Factores Internos y Externos de los procesos de mesa de ayuda 44

Tabla 3: Criterios de evaluacin de probabilidad 45

Tabla 4: Criterios de Evaluacin del Impacto 45

Tabla 5: Rangos de Nivel de Riesgo 46

Tabla 6: Gestin del Riesgo 47

Tabla 7: Gestin del Riesgo (Continuacin) 48

Tabla 8: Matriz de Riesgo 51

Tabla 9: Valoracin de los Riesgos segn la probabilidad y el Impacto 55

Tabla 10: Valoracin de los Criterios 58

Tabla 11: Valoracin del Riesgo Alto 59

9
LISTA DE ANEXOS

ANEXO A: Encuesta De Conocimiento de los Procesos de Mesa de Ayuda 68

ANEXO B: Formato para Identificacin de Riesgos 70

ANEXO C: Formato para Evaluacin de Riesgos 71

ANEXO D: Formato para definicin de tratamiento de Riesgos 72

ANEXO E: Formato para Definicin de Controles de Riesgos 73

ANEXO F: Descripcin de Empresas de Servicios de Tecnologa 74

10
GLOSARIO

ACEPTACIN DEL RIESGO: Decisin de asumir un riesgo.

ACTIVO: Es cualquier cosa que representa o que tiene un valor para la


organizacin.

AMENAZA: Causa potencial de un incidente no deseado, que puede ocasionar


dao a un sistema u organizacin.

ANLISIS DE RIESGO: Uso sistemtico de la informacin para identificar las


fuentes y estimar el riesgo, con el fin de prever o corregir las vulnerabilidades que
se presentan.

ARQUITECTURA DE TI: Marco integrado para evolucionar o dar mantenimiento a


TI existente y adquirir nueva TI para alcanzar las metas estratgicas y de negocio
de la empresa.

CONFIDENCIALIDAD: Propiedad que determina que la informacin no est


disponible ni sea revelada a individuos, entidades o procesos no autorizados.

CONTROL: Medios para gestionar el riesgo, incluyendo polticas, procedimientos,


directrices, prcticas o estructuras de la organizacin que pueden ser de
naturaleza administrativa, tcnica, de gestin o legal.

DIRECTRIZ: Descripcin que aclara lo que se debera hacer y cmo hacerlo, para
alcanzar los objetivos establecidos en las polticas. 1

DISPONIBILIDAD: Propiedad de que la informacin sea accesible y utilizable por


solicitud de una entidad autorizada.

EVALUACIN DEL RIESGO: Proceso de comparar el riesgo estimado contra


criterios de riesgo dados, para determinar la importancia del mismo.

GESTIN DEL RIESGO: Actividades coordinadas para dirigir y controlar una


organizacin en relacin con el riesgo.

1
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. Cdigo de las Buenas
Prcticas para la Gestin de la Seguridad de la Informacin. . NTC ISO/IEC 27002. Bogot D.C.:
ICONTEC, 2007. p. 1

11
INTEGRIDAD: Propiedad de salvaguardar la exactitud y estado complete de los
activos. MODELO: representacin de un objeto, sistema o idea, de forma diferente
al de la entidad misma.

MODELO DE GESTIN: Esquema o marco de referencia para la administracin


de una entidad.

POLTICA: Es toda intencin y directriz expresada formalmente por la Direccin.

PROCEDIMIENTO: Mtodo o sistema estructurado para ejecutar algunas cosas.

REGISTRO: Asiento o anotacin que queda de lo que se registra. RIESGO:


probabilidad de que una amenaza cause un impacto.

RIESGO RESIDUAL: Nivel restante de riesgo despus del tratamiento del riesgo.

SEGURIDAD DE LA INFORMACIN: Preservacin de la confidencialidad, la


integridad y la disponibilidad de la informacin.

TI: Tecnologas de la Informacin.

TRATAMIENTO DEL RIESGO: Proceso de seleccin e implementacin de


medidas para modificar el riesgo. 2

VULNERABILIDAD: Debilidad de un activo o grupo de activos que pueden ser


aprovechadas por una o varias amenazas.

2
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. Gestin del Riesgo.
Principios y Directrices. NTC-ISO 31000. Bogot D.C.: ICONTEC, 2011. p. 4

12
RESUMEN

Los riesgos generados en los procesos de gestin de incidentes y peticiones de


servicio del rea de mesa de ayuda, de empresas de servicios de soporte de
tecnologa en Colombia, son inminentes y actualmente se les debe brindar un
nuevo enfoque para permitir gestionarlos de forma eficiente, de tal manera que se
orienten a una mejor preparacin permitiendo que sus competencias sean menos
vulnerables y ms fuertes cada da.

Se ha verificado la norma NTC-ISO 31000, la cual estandariza y brinda mejores


prcticas sobre la gestin del riesgo en cualquier tipo de empresa pblica, privada
o comunitaria, asociacin, grupo o individuo3; para este caso particular enfocada
en los procesos de gestin de incidentes y peticiones de servicio del rea de mesa
de ayuda, mediante la cual se tomaron las recomendaciones para comenzar a
generar una propuesta que sirva de gua para aplicar y poder cumplir la metas
trazadas.

Tambin se verific la norma NTC 5254 con la cual se sentaron las bases
necesarias para plasmar una gua, que brindara el procedimiento para realizar una
adecuada gestin de los riesgos en las empresas, para poder evaluarlos y darles
el tratamiento adecuado segn la decisin de la alta gerencia.

Teniendo como fundamento las normas mencionadas anteriormente, se gener


este procedimiento trabajando sobre una empresa real, de donde se obtuvo
informacin veraz que permiti unificar los conceptos, se plasmaron en un
documento el cual tendr informacin que orientara fcilmente a desarrollar la
gestin de riesgos y de esta manera lograr el cumplimiento de los objetivos del
rea de manera eficiente y eficaz.

PALABRAS CLAVES: Riesgos, Gestin, Norma, Soporte, Tecnologa

3
Ibid., p. 3.

13
ABSTRACT

The risks generated in the management of incidents and service requests Area helpdesk,
service companies supporting technology in Colombia, are imminent and now they must
provide a new approach to allow manage them efficiently, so that aim to better prepare
their powers allowing less vulnerable and stronger every day.

Has verified the NTC-ISO 31000 standard, which standardizes and provides best practices
for risk management in any public, private or community enterprise, association, group or
individual; for this particular case focused on the processes of incident management and
service requests of help desk area, whereby the recommendations to start generating a
proposal to provide guidance to implement and meet the goals set were taken.

NTC 5254 standard by which laid the groundwork necessary to translate a guide that
would provide the procedure for proper risk management in companies, to be evaluated
and treated appropriately according to the decision of the High was also verified
management.

Taking as a basis the above standards, generated this procedure to work on a real
company, from which accurate information possible to unify concepts was obtained, were
embodied in a document which will have information readily orient to develop risk
management and thus achieving compliance with the area's objectives efficiently and
effectively.

KEYWORKS: Risk, Management, Standard, Support, Technology.

14
INTRODUCCIN

Actualmente las empresas tienen una gran demanda de recurso humano, recurso
tecnolgico, recurso ambiental y dems que deben estar armnicamente
relacionados, para que de esta forma puedan brindar y optimizar los diferentes
servicios como la comunicacin a grandes distancias, permitiendo reducir los
lmites geogrficos, tambin lograr almacenar informacin vital y en grandes
cantidades para las mismas, brindar soporte a usuarios y un sin nmero de
funciones que se pueden prestar con la interrelacin de estos recursos.

Con el crecimiento de las organizaciones tambin se incrementan los riesgos, los


cuales se encuentran de manera implcita debido a los cambios o actualizacin
que se generen en estas; por este motivo las empresas deben estar preparadas
para enfrentar estos riesgos y es por esta razn que generaremos una gua de
apoyo para afrontarlos.

Existen compaas en crecimiento que empiezan a preocuparse por el tema e


indagan sobre cmo implementarla y que costos pueden acarrear, las compaas
que hasta ahora estn incursionando en el mundo de los negocios, son las que
estn ms expuestas ya que su desconocimiento sobre el tema las lleva a ser ms
vulnerables y antes de empezar a funcionar de manera ordenada pueden tener
prdidas generadas por algn riesgo no tenido en cuenta o no controlado, por lo
que la gua se basar en la norma NTC-ISO 31000 la cual est definida
plenamente para la gestin de riesgos.

En el proceso de bsqueda de informacin, se har una evaluacin de la norma


NTC-ISO 31000, as como de diferentes anlisis que se encuentren disponibles y
que se hayan realizado a lo largo de la existencia de esta, para obtener la
informacin necesaria que permita desarrollar un documento que sirva como gua
inicialmente a las organizaciones de tecnologa pero que puede ser extendido a
todo tipo de empresa en un futuro.

Segn la norma NTC-ISO 31000 indica que Aunque la prctica de la gestin del
riesgo se ha desarrollado con el paso del tiempo y en muchos sectores para
satisfacer diversas necesidades, la adopcin de procesos consistentes dentro de
un marco de referencia exhaustivo puede ayudar a garantizar que el riesgo se
gestiona eficaz, eficiente y coherentemente en toda la organizacin4.

Este proyecto ahorrar tiempo a las empresas ya que encontraran un documento


claro y preciso; y a los estudiantes donde podrn obtener informacin ms
fcilmente sobre la norma y su gua de apoyo; esto no excluye que se deba seguir
haciendo investigacin, ya que como se mencion anteriormente la tecnologa es

4
Ibid., p. 1

15
un rea que permanece en constante cambio y no estar actualizados se considera
como riesgo.

16
1 DESCRIPCIN DEL PROYECTO

1.1 PLANTEAMIENTO DEL PROBLEMA

Las tecnologas se han convertido en una herramienta para la mayora de las


actividades que realiza un ser humano, como tomar una foto hasta
comunicaciones de larga distancia que en otras circunstancias habran
demandado bastante tiempo. La tendencia actual es el uso de la misma en las
organizaciones como apoyo a la disponibilidad y gestin de informacin,
permitiendo programar gastos, compras o la toma de decisiones importantes que
definen el rumbo de la compaa.

Segn el DANE, el 99% de las empresas industriales Colombianas usan


computadores, el 98,8% internet y 63, 3% tienen una pgina web, en el caso de
los micro establecimientos se identific que del 2012 al 2013 tuvieron un
incremento de 1,7% en adquisicin de equipos de cmputo que en este caso se
refiere a computadores de escritorio, computadores porttiles y PDAs5; estas
cifras confirman el uso de los equipos tecnolgicos y de la red, principales
componentes de la administracin de la informacin y comunicacin, y como
cualquier equipo necesitan mantenimiento y reparacin. Es en este punto donde
se hace necesario la implementacin de un rea de mesa de ayuda que ofrezca
este servicio; prescindir de estos elementos puede generar prdida de tiempo y
sobretodo de dinero.

En la actualidad las empresas de servicios de tecnologa brindan soporte sobre los


equipos a los usuarios con el rea de mesa de ayuda que identifica la necesidad
del usuario, ya sea una falla en su equipo de cmputo o una solicitud de
instalacin y/o configuracin de una aplicacin especfica, la soluciona
consultando la base de datos de conocimiento o escalando el proceso a un tcnico
experto dentro de la compaa. Esta rea como todas las reas de la compaa
presentan riesgos que si no son mitigados o controlados a tiempo pueden
convertirse en daos y prdidas representativas, ya que estas pueden ser de
informacin, dinero, credibilidad entre otras. Debido a esto se encontr la
necesidad de proponer una gua de gestin de riesgos basada en la norma NTC-
ISO 31000 la cual puede ser aplicada por cualquier entidad para la gestin de
riesgos.

5
DANE. Indicadores bsicos en TIC DANE. Bogot D.C.: 10 de junio 2014. Disponible en Internet:
< URL: https://www.dane.gov.co/index.php/es/tecnologia-e-innovacion/tecnologias-de-la-
informacion-y-las-comunicaciones-tic/65-economicas/tecnologias-de-informacion/4718-indicadores-
basicos-de-tic-en-empresas

17
1.2 JUSTIFICACIN DEL PROYECTO

En tiempos en que el uso de la tecnologa se ha convertido en un tema primordial


para el manejo de las empresas y sobre todo las de servicios, como se identific
en la encuesta realizada por el DANE, se ha visto la necesidad de generar un rea
de apoyo como lo es la mesa de ayuda, que brinda soporte sobre equipos de
cmputo y aplicaciones, siguiendo un procedimiento ya definido por la
organizacin y que busca la solucin de incidencias y la satisfaccin de sus
clientes.

Como cualquier otra rea de la compaa es necesario conocer que tambin para
esta los riesgos van a estar presentes y que la no gestin de estos puede acarrear
prdidas econmicas, de informacin, credibilidad entre otros. La elaboracin de
este proyecto se realiza con el fin de dar a conocer cmo se puede aplicar la
gestin del riesgo en el rea mencionada y que funcin cumple la norma NTC-
ISO, que regula la forma en que estos se controlan.

Esta investigacin beneficia a las empresas que estn interesadas en conocer el


funcionamiento de la gestin de los riesgos tecnolgicos a los que estn
expuestos, ya que les brinda la oportunidad de tomar las medidas necesarias para
minimizar las vulnerabilidades y/o amenazas que se puedan presentar, tomando
como gua la norma NTC-ISO 31000 que indica los requerimientos para realizar
una buena gestin; esto siempre y cuando las mismas estn dispuestas a
conocerlas y aplicarlas.

Debido a la preferencia en el uso y actualizacin de la tecnologa para la


administracin de los procesos corporativos, este proyecto es viable, ya que
permite determinar de forma organizada como se debe implementar la gestin de
riesgos en las empresas de servicios de tecnologa, permitiendo tener un
conocimiento ms actualizado e identificando cual podra ser a futuro la tendencia
de los riesgos.

Se eligi el tema Auditora a la gestin de riesgos de TI basado en la norma NTC-


ISO 31000 ya que est enfocado en la especializacin que se est cursando
actualmente y es un tema de vital importancia para la aplicacin de la auditoria de
sistemas en las empresas. Este tema corresponde a la lnea de investigacin
Software inteligente y convergencia tecnolgica que se encuentra aprobada
actualmente por la Universidad Catlica de Colombia.

Este proyecto pertenece al sector econmico cuaternario que corresponde a la


investigacin y desarrollo de tecnologas ya que su enfoque est en la gestin de
riesgos dentro de las empresas de servicios de tecnologa.

18
1.3 LNEA DE INVESTIGACIN

Nuestro tema se inscribe en la lnea de software inteligente y convergencia


tecnolgica, ya que al realizar una gua de gestin de riesgos basados en la
norma NTC-ISO 31000 para el proceso de gestin de incidentes y peticiones de
servicio del rea de mesa de ayuda de empresas de servicios de soporte de
tecnologa en Colombia, el punto central es la tecnologa ya que este es el medio
principal para realizar las actividades en esta rea.

1.4 ALCANCE DEL PROYECTO

La investigacin desarrollada utilizando como medio la norma NTC-ISO 31000 y


con apoyo la norma tcnica colombiana NTC 5254, se efecta con el fin de
realizar una gua de gestin de riesgos en el proceso de gestin de incidentes y
peticiones de servicio del rea de mesa de ayuda de empresas de servicios de
soporte de tecnologa en Colombia, donde sea posible establecer el riesgo
presente en los subprocesos que ah existan y poder realizar una gestin
adecuada de este, para llegar a obtener un cumplimiento de los objetivos de
manera eficaz y eficiente en las organizaciones hacia las cuales est orientada la
gua propuesta.

19
2. OBJETIVOS DEL PROYECTO

2.1. OBJETIVO GENERAL

Elaborar una gua de gestin de riesgos basados en la norma NTC-ISO 31000,


para el proceso de gestin de incidentes y peticiones de servicio del rea de mesa
de ayuda, de empresas de servicios de soporte de tecnologa en Colombia.

2.2. OBJETIVOS ESPECIFICOS

Caracterizar los procesos del rea de mesa de ayuda en una empresa de


servicios de soporte de tecnologa.

Identificar como se puede aplicar al proceso de gestin de incidentes y


peticiones de servicio, del rea de mesa de ayuda de las empresas de
servicios de soporte de tecnologa en Colombia la norma NTC-ISO 31000.

Evaluar la norma NTC 5254, para la construccin de una gua que permita la
gestin de riesgos del proceso de gestin de incidentes y peticiones de servicio
en el rea de mesa de ayuda de las empresas de tecnologa.

20
3. ESTADO DEL ARTE

En la bsqueda de informacin referente a gestin de riesgos de TI en Colombia


utilizando la norma NTC-ISO31000, se encuentra numerosa documentacin
donde se realizan anlisis de gestin de riesgos, pero se encuentra poca
documentacin donde empresas especficas permitan mostrar sus estudios,
quizs debido a la confidencialidad de la informacin que manejan las
organizaciones.
Se encontraron documentos como artculos y guas de buenas prcticas en
gestin de riesgos en Colombia, para diferentes reas como el sector salud, el
sector bancario, el sector pblico, el sector privado y es as como se obtuvo
informacin sobre reglamentacin y la manera como se debe realizar la gestin de
riesgos en Colombia. En un artculo que habla sobre Marco conceptual y legal
sobre la gestin de riesgo en Colombia , desarrollado entre Enero y Junio de
2014 por el Medico Magister en salud publica Alexander Gmez Rivadeneira, se
encuentra informacin de Colombia donde se indica El Estado colombiano
estableci que todas las entidades pblicas deban contar con polticas y sistemas
para administrar riesgos mediante el Decreto 1537 de 2001 y En Colombia la
Direccin General de Calidad del Ministerio de la Proteccin Social, gesta los
Decretos 574 y 1698 de 2007 y la Resolucin 1740 de 2008 que plantean la
gestin del riesgo en salud en el marco de la habilitacin financiera de las EPS,
buscando un manejo prudencial inspirado en las regulaciones del sector financiero
del Acuerdo de Basilea6

Haciendo una validacin detenida en la gestin de riesgos de TI, se determina


que cada da toma ms importancia en la implementacin de toda organizacin,
debido a las constantes, implacables e inevitables amenazas de toda ndole en las
que se ven afectadas las organizaciones, donde todos los activos de la compaa
pueden sufrir percances y el rea de informticas no es una excepcin, pues
vivimos en una poca donde los ataques sobre los sistemas de informacin son
inminentes y pueden ser desastrosos ya sea por causas naturales como
terremotos, tsunamis, maremotos etc. o por actividades que el hombre genera de
manera indiscriminada. La idea de este proyecto de grado es entender, verificar,
conocer y determinar cmo se ejecuta la gestin de riesgos en nuestro pas y se
considera que este tipo de documentos a pesar de no estar enfocados a las TI,
tambin son de gran ayuda para lograr los objetivos planteados en nuestro
proyecto.
Se encontr un anlisis de riesgos desarrollado en Espaa en el ao 2010, por el
Ing. Antonio Prez Hualde, en el que indica Cualquier situacin posible que
pueda reducir los ingresos de nuestra compaa, o que pueda erosionar nuestra
imagen ocasionando una prdida operacional futura es tratada como riesgo. Es
por ello que podemos aceptar que todas las actividades que desarrolla una
6
ISO 31000, Op. Cit., p 4 - 5

21
empresa, conllevan un riesgo y debe ser correctamente gestionado y medido para
que el negocio de la empresa se siga desarrollando de una manera ptima. La
gestin de los riesgos operacionales recae sobre la gerencia de la empresa que es
la que est encargada de controlarlos y mitigarlos7
La gestin de riesgos de TI es determinante y primordial en la consecucin de los
objetivos en toda compaa, pero hablar especficamente de un Modelo de gestin
de riesgo de TI, es complejo impreciso si se observa desde el punto de vista de
investigacin, aunque existen muchos archivos en las organizaciones sobre este
tema, pero tambin es cierto que solo se queda all y no es utilizada correctamente
y por lo general siempre es archivada y subvalorada, llevando a que su uso sea
nulo o inadecuado; El fundamento que causa principalmente que no se tome de
manera seria y clara el tema de gestin de riesgos de TI, es la falta de
entrenamiento y capacitacin, lo cual vuelve ininteligible comprender la gestin del
riesgo de TI y es de esta manera que se debe efectuar una cultura organizacional
para cumplir las funciones y brindar estabilidad al negocio.
La universidad Distrital en cabeza de la ingeniera de sistemas Alexandra Ramirez,
realiza un anlisis llamado Gestin de Riesgos tecnolgicos basada en ISO
31000 e ISO 27005 y su aporte a la continuidad de negocios, donde menciona
temas importantes como El riesgo de origen tecnolgico puede incidir sobre las
metas y objetivos organizacionales y ser causa de otro tipo de riesgos al ser
intrnseco al uso de tecnologa. Por ello el dao, interrupcin, alteracin o falla
derivada del uso de TI, puede implicar prdidas significativas en las
organizaciones, prdidas financieras, multas o acciones legales, afectacin de la
imagen de una organizacin y causar inconvenientes a nivel operativo y
estratgico. Una situacin que ejemplifica lo mencionado ocurri en la entidad
financiera colombiana Bancolombia, en Febrero del ao 2011; se present una
cada de la red del banco lo cual produjo una suspensin en sus operaciones
normales, que trajo como consecuencia caos en la atencin a usuarios por
aproximadamente una hora; lo anterior implic prdidas financieras significativas y
afectacin de la imagen para el banco8.
Cada sector empresarial tiene fines diferentes en cuanto a sus labores a
desarrollar se refiere, pero finalmente es un tema comn el conocer que se debe
realizar una correcta gestin de riesgos, ya sea a nivel organizacional o a nivel de
Tecnologas de Informacin, para evitar que estos riesgos lleguen a materializarse
y puedan generar un impacto tan grande que pueda causar la desestabilizacin de
la empresa, causando prdidas que muchas veces pueden ser irreparables.
La norma NTC-ISO 31000 juega un papel muy importante para realizar la
evaluacin de la gestin de riesgos de manera general, pero que al final tambin

7
ISO 31000, Op. Cit., p 12
8
Ramrez, Alexandra, Ortiz, Zulema, 2011. Gestin de riesgos tecnolgicos basada en ISO 31000
e ISO 27005 y su aporte a la continuidad de negocios. En: Ingeniera, Vol.16, No. 2, pg. 56-66

22
puede ser orientado al sector de TI, donde se mencionan ciertos parmetros para
establecer de manera concreta como se puede apoyar estos procesos y as poder
cumplir los objetivos de toda organizacin; en la Figura 1 se puede apreciar un
mapa conceptual sobre el estndar.

Figura 1: Mapa conceptual Norma ISO 31000

Fuente: Los Autores.

El trabajo sobre procesos no se debe entender como un trabajo aislado puesto


que esta visin tiene en cuenta el factor humano, que se encarga de su ejecucin
y desarrollo y toda la infraestructura que se requiere para su funcionamiento, lo
anterior enmarcado dentro de los objetivos y estrategias organizacionales (ver
Figura 2). De igual forma dentro del anlisis de procesos se tienen en cuenta las
actividades crticas que sustentan estos, y a su vez sustentan la cadena de valor

23
que permite ofrecer los productos y servicios de la organizacin. La gestin de
riesgos tecnolgicos aqu presentada tiene en cuenta la integracin con los
procesos en toda organizacin, deben estar bien identificados as como tambin
los subprocesos y todas las actividades que dentro de estos se ejecutan; teniendo
en cuenta que al tener bien definidos estos, ser posible en forma oportuna y clara
apoyar la gestin de riesgos de toda organizacin y sistemas de gestin de la
organizacin, por ello su base es ISO 310009.

Figura 2: Modelo de negocio para seguridad de la formacin

Fuente: Adaptation de: Institute for Critical Information Infrastructure Protection


(IC University of Southern California Marshall School of Business, USA.

El IT Governance Institute (ITGI) public un document llamado Enterprice Risk.


Identify, Govern and Manage Risk The Risk IT Framework (Exposure Draft);
Este marco define el riesgo de TI como el riesgo del negocio asociado con el uso,
la propiedad, la operacin, la participacin, la influencia y la adopcin de TI dentro
de una empresa. Esto consiste en los acontecimientos relacionados con TI, que
potencialmente podran afectar al negocio. Esto incluye tanto la frecuencia incierta,
como la magnitud, y esto crea desafos en el conjunto de objetivos estratgicos,
as como incertidumbre en la bsqueda de oportunidades.

9
Ibid., p 58.

24
Este marco de gestin de riesgos de TI esta dado en tres dominios, que lo
modelan. Estos son: Gobierno del Riesgo, Evaluacin del Riesgo y Respuesta al
Riesgo10.
Las empresas de servicio de soporte de tecnologa en su gran mayora manejan
reas de mesa de ayuda o mesa de servicios, que involucran una gran cantidad
de activos en su estructura; se maneja una jerarqua que es definida segn los
procesos internos para regir y dirigir las actividades a realizar en sus diferentes
procesos, los cuales varan segn la orientacin de los proyectos que se manejen
en su esquema de funcionamiento, pero no solo el recurso humano es
indispensable, tambin se involucra el recurso tecnolgico, el cual desarrolla un
gran papel en dicha rea y el cual es el encargado de permitir cumplir los objetivos
trazados por la empresa, y encargados de brindar finalmente el soporte a
empresas para su correcto funcionamiento. Involucrar estos dos tipos de activos
siempre tendr un riesgo inherente y un riesgo adquirido durante su
perfeccionamiento.
En documentacin encontrada se habla sobre gestin de riesgos y se indica ISO
31000 es un hito importante, porque es el primer documento internacional que se
ocupa de la gestin del riesgo, que ha sido elaborado por consenso y ha sido
ampliamente adoptado por la mayora de los grupos de las principales economas
mundiales G8 y G20, as como el grupo de las economas emergentes BRIC
(Brasil, Rusia, China y India). La clave para el xito de ISO 31000 radica en que
fue desarrollada por un amplio grupo de expertos tcnicos, respaldados por
aportes de los comits espejos nacionales (CEN) - comits nacionales que
reflejan el trabajo internacional -con una amplia representacin.11
La norma indiscutiblemente permite aclarar y entender que el riesgo debe tener
una gestin adecuada para lograr de manera segura el cumplimiento de los
objetivos.
En el mismo documento de gestin de riesgos se habla sobre la mayor fortaleza
de la ISO 31000: ISO 31000 se puede utilizar para tratar el riesgo en cualquier
nivel y sobre cualquier tema, la cual es su mayor fortaleza. Esto explica por qu ha
sido ampliamente adoptada por muchos organismos pblicos y privados en todo el
mundo.
La norma tambin provee al mundo de gestin de riesgos con un vocabulario
internacionalmente acordado. Esto significa que no slo es posible que los
profesionales de la gestin de riesgos hablen un lenguaje comn, sino que

10
FIGUEROA, Luis Carlos. Gua de buenas prcticas en gestin de riesgos de TI en el sector
bancario colombiano. Bogot D.C.: Universidad de los Andes. Facultad de Ingeniera. Modalidad
Investigacin, 2010. p 11 - 12
11
KNIGHT, Kevin. Nuevo trabajo refuerza una caja de herramientas slida. En: Gestin.
Septiembre, 2007, vol. 1 no.1, p 2.

25
tambin permite a los auditores de seguridad, calidad y auditores internos unirse a
la conversacin, a su vez, promoviendo la cooperacin y mejores resultados. 12

Entender la gestin de riesgos como vital para el correcto funcionamiento de las


organizaciones, es un compromiso que la norma se ha trazado y que de esta
forma ayudara al cumplimiento de metas trazadas.
Para el sector pblico tambin se encuentra documentacin relacionada y el
siguiente es un ejemplo de la informacin que se obtuvo: En el sector pblico, la
gestin de riesgos se aborda sistemticamente a partir del desarrollo del tema de
control, especficamente, con la Ley 87 de 1993, donde de manera explcita se
asigna a los administradores pblicos la obligacin de considerar los riesgos. En el
Artculo 2 de dicha Ley, se definen los objetivos del Sistema de Control Interno y
dentro de ste, los literales a) y f) los cuales establecen: a) Proteger los recursos
de la organizacin, buscando su adecuada administracin ante posibles riesgos
que los afecten y f) Definir y aplicar medidas para prevenir los riesgos, detectar y
corregir las desviaciones que se presenten en la organizacin y que puedan
afectar el logro de sus objetivos 13
Es as de esta manera que en las leyes Colombianas tambin existe informacin
relacionada que habla sobre la gestin de riesgos, y que establece algunos
parmetros de cumplimiento para que las organizaciones funcionen
adecuadamente.
Las entidades pblicas deben estar al tanto de las nuevas herramientas y
tendencias administrativas que les faciliten el control y mejoramiento de la gestin,
apuntando a la eficiencia y eficacia en sus acciones, por lo cual, se requiere definir
mecanismos para la identificacin y manejo adecuado de situaciones que puedan
impedir el logro de su misin y objetivos institucionales.14
Existen muchas herramientas que permiten enfocarse en la realizacin de gestin
de riesgos y para mencionar algunas son:

Modelo Norteamericano COSO


Modelo Canadiense CoCo
Modelo Estndar de Control Interno MECI 1000:2005
Norma Tcnica Colombiana NTC-5254 Gestin del Riesgo
En la bsqueda de informacin se encuentra un anlisis realizado por Olga Luca
Elejalde lvarez, llamado La gestin del riesgo: una estrategia de administracin
integral , y del cual se extraen los siguientes prrafos interesantes para el tema
tratado en este proyecto los cuales dicen: En la determinacin del riesgo de

12
Ibid., p 2.
13
UNIVERSIDAD DE ANTIOQUIA. Manual Institucional de Gestin de Riesgos. Medelln. Equipo
MECI. 2012. p 4.
14
Ibid., p 6.

26
producto se utiliza la norma ISO 14971:2007 Aplicacin de la Gestin del Riesgo
para Dispositivos Mdicos y para el riesgo de proceso, la norma NTC 5254:2006
Gestin del riesgo, la cual ser objeto de este artculo presentando las iniciativas
que determinan el anlisis y tratamiento del riesgo del producto en uso 15 y Desde
el 2007 se desarroll un esquema de trabajo para la red de procesos de gestin
de riesgos bajo la norma NTC 5254:2006 Gestin de riesgo, con los siete pasos
denominados: comunicar, establecer el contexto, identificar, analizar, evaluar,
monitorear y revisar los riesgos 16 temas importantes que sern propios del
estudio para el desarrollo de la gua.
Otro documento encontrado de un anlisis de riesgo ejecutado para un postgrado
de la Universidad de la Sabana enfocado a Pymes, deja saber La gestin de
riesgos estratgicos en las Pymes trae consigo beneficios reales para la
organizacin, dado que permite asegurar los resultados de los planes estratgicos,
al permitir estudiar y controlar todas las variables que puedan alterar el logro de
los objetivos. En aquellos casos, donde las variables no pueden ser
necesariamente controladas para dicho aseguramiento, la gestin del riesgo
permite establecer medidas de contingencia que pueden ser adoptadas por la
empresa para minimizar las perdidas ocurridas durante la materializacin del
riesgo estratgico17

La aplicacin de modelos para la gestin de riesgos es ventajoso, dado a que


utilizando un estndar como es el NTC-ISO 31000 el cual est de manera general
establecido y complementando este con guas de gestin de riesgo como la NTC
5254, se puede llegar a obtener grandes beneficios para cualquier tipo de
empresa y en cualquier rea en la cual esta se encuentre desarrollada.
El documento desarrollado para la Universidad Militar Nueva Granada tambin
enfocado a las Pymes y con nombre Sistema de gestin de riesgo operacional,
una opcin para el manejo de situaciones de cambio en las pymes colombianas
indica en uno de sus prrafos Se empez a hablar formalmente de riesgos en el
ao 1988 por parte del Comit de Basilea en el acuerdo de Basilea I, en dicho
documento, se establecieron un conjunto de recomendaciones para establecer el
capital mnimo que una entidad Bancaria requiere para hacer frente a sus riesgos
de crdito, mercado y tipo de cambio, con el fin de asegurar permanencia y
proteccin ante quiebra; luego de haber pasado por crisis financieras como el
Efecto Tequila, crisis asitica, Rusa, Brasilera y Turqua, hubo necesidad de
generar un cambio, por lo cual se estableci un nuevo acuerdo, Basilea II, en
donde se establecieron unos principios para la Administracin de Riesgos de

15
ALVAREZ, Olga Luca. La gestin del riesgo: una estrategia de administracin integral. En:
Gestin. Julio Diciembre, 2009, vol. 4, no. 2, p 103 112p 105.
16
Ibid., p 105.
17
SALAZAR, Luisa Fernanda. Anlisis del Riesgo Estratgico en Pequeas Empresas. Cha.
Universidad de la Sabana. Facultad de Administracin. Modalidad Investigacin, 2009. p 50.

27
Crdito y para la Administracin y Supervisin del Riesgo Operativo18, donde se
puede observar que la gestin de riesgos viene de estudiarse durante ms de dos
dcadas, por cual al mantenerse consideramos que es efectivo y puede
indiscutiblemente ayudar a cumplir los objetivos trazados por cualquier empresa.
Segn informacin sobre la misma documentacin del prrafo anteriormente
mencionado indica De acuerdo al Pilar I del acuerdo de Basilea II, las categoras
de riesgo son: riesgo de crdito, riesgo de mercado, riesgo de liquidez, riesgo legal
y riesgo operacional (Araujo & Masci, 2007), sin embargo tambin existen otros
riesgos tales como el riesgo estratgico, riesgo sistmico, riesgo de lavado de
activos y de la financiacin del terrorismo y riesgo de garantas; cada uno de los
riesgos los debe aplicar cada entidad de acuerdo a su objeto social, sin embargo
el riesgo operacional aplica para cualquier tipo de organizacin, incluso su
adecuada gestin puede ser la base para evitar riesgos clasificados en otras de
las categoras.19

Como conclusin general, se puede indicar que la gestin de riesgos es


imprescindible de desarrollar en cualquier organizacin y para ello debemos contar
con mecanismos de apoyo, como es en este caso la norma NTC-ISO 31000 la
cual brinda un estndar para el manejo de estos; tambin se hace necesario la
utilizacin de marcos de referencia o normas tcnicas como la NTC 5254 de
gestin de riesgos, para poder definir una gua de manejo de los riesgos y
finalmente poder cumplir a cabalidad los objetivos trazados en cualquier empresa,
en este caso orientados a el rea de mesa de ayuda de empresas de tecnologa.

18
TOVAR, Mara Paola y RODRIGUEZ, Diana Marcela. Sistema de Gestin de Riesgo
Operacional, una opcin para el manejo de situaciones de cambio en la PYMES Colombianas.
Bogot D.C. Universidad Militar Nueva Granada. Facultad de Ciencias Econmicas. Modalidad
Investigacin, 2013. P 6.
19
Ibid., p 7.

28
4. METODOLOGIA PROPUESTA

4.1 TIPO DE INVESTIGACION

El tipo de investigacin realizado para efectuar la gua de gestin de riesgos de TI


en el rea de mesa de ayuda de empresas de tecnologa en Colombia, es una
investigacin descriptiva. La investigacin se basa en la norma NTC-ISO 31000
pero tambin se apoya en el estndar NTC 5254, y esta aplicado a la evaluacin
directa de los procesos que se encuentran en el rea de mesa de ayuda, de una
empresa definida con la cual se trabaj y de donde se obtuvo informacin
necesaria para desarrollar la gua.

4.2 ENFOQUE DE INVESTIGACIN

La investigacin se desarrollara utilizando la norma NTC-ISO 31000 y con el


apoyo de la norma NTC5254, para el realizar el procedimiento de una gua de
gestin de riesgos de TI para el rea de mesa de ayuda de empresas de
tecnologa en Colombia.

4.3 REA DE ESTUDIO

El proyecto se efecta basado en el rea de mesa de ayuda de una empresa de


tecnologa en Colombia, basndonos en los procesos, subprocesos y actividades
que ac se realizan.

4.4 TCNICAS DE RECOLECCIN DE INFORMACIN

El trabajo desarrollado se basa en cuatro fuentes principales de informacin, de


las cuales la primera es la obtencin de informacin mediante entrevistas,
estadsticas, documentacin real de procesos, subprocesos y actividades que se
ejecutan en el rea de mesa de ayuda de una empresa de tecnologa en
Colombia, de donde se realiza el anlisis de riesgos; en segunda instancia se
realiza una validacin del anlisis realizado y como realizar la gestin de este
utilizando la norma NTC-ISO 31000 donde encontramos que se requiere un tercer
elemento, por lo que utilizamos un documento complementario el cual es el NTC
5254; el cuarto y ltimo recurso utilizado es la documentacin encontrada en
trabajos anteriormente realizados sobre gestin de riesgos en diferentes reas.

Las estadsticas tomadas de una empresa privada especfica de la cual no se


revela el nombre por razones de confidencialidad solicitada por la empresa, se
incluyen en la Figura 3; estas estadsticas indican la cantidad de incidentes
generados, la cantidad de incidentes resueltos y abandonados, entendiendo como

29
abandonados a los reportes generados por usuarios que no se pudieron resolver
en los tiempos solicitados por los clientes.

Figura 3: Estadstica de incidentes

Fuente: Empresa privada de servicio mesa de ayuda.

4.5 PROCESAMIENTO Y ANLISIS DE LA INFORMACIN

En el progreso del proyecto se procede a revisar los procesos reales empleados


para el rea de mesa de ayuda, utilizando la informacin real suministrada por la
empresa y con base en la norma NTC-ISO 31000 y la NTC 5254, junto con
documentacin de gestin de riesgos encontrada en trabajos desarrollados por
otros autores, se procede a realizar el anlisis necesario para plasmar la
informacin en la gua que se propondr.

Las estadsticas utilizadas son solo de conocimiento general para tener el alcance
de como es el manejo de este tipo de reas, y de ah enfocarse para analizar los
riesgos los cuales se gestionaran con el apoyo de las normas ya mencionadas
anteriormente. En el Anexo

30
4.6 ACTIVIDADES A DESARROLLAR

La investigacin realizada para la elaboracin del proyecto en mencin se ejecuta


mediante 4 fases las cuales son:

La primera fase, consta de validar una empresa real de tecnologa en Colombia en


la cual se buscara obtener informacin mediante entrevistas, recoleccin de
documentacin escrita e informacin adicional en su rea de mesa de ayuda,
para verificar los procesos, subprocesos y actividades que en esta se manejan.

En la segunda fase, se realizara un anlisis de los procesos, subprocesos y


actividades obtenidas para generar una matriz de riesgos, incluyendo casusas de
riesgo, riesgos, recomendaciones y realizar una tabla de probabilidad e impacto
donde dichos riesgos puedan ser categorizados.

En la fase 3, se realizar la revisin de la norma ISO 31000 con la cual se


comenzara a realizar la gua y se complementara con la norma NTC 5254.

La fase 4, implica realizar la implementacin de la norma ISO 31000 cuyas fases


se encuentran en la Figura 4; apoyndose con la norma NTC 5254,cuyo proceso
para la gestin de riesgo se visualiza en la Figura 5; para el anlisis de riesgo
realizado a la empresa de tecnologa en su rea de mesa de ayuda y
posteriormente la generacin de la gua de gestin de riesgos de TI, para brindar
apoyo a las empresas que estn dentro del alcance de este proyecto; cabe
resaltar que la gua podr ser usada por diferentes empresas independientemente
del tamao de esta, realizando un ajuste de la gua segn se requiera.

31
Figura 4: Relaciones entre los principios, el marco de referencia y los
procesos para la gestin del riesgo

Fuente. Norma Tcnica Colombiana NTC- ISO 3100

Figura 5: Proceso de Gestin de Riesgo

Fuente. ICONTEC, Instituto colombiano de normas tcnicas y certificacin. Norma


tcnica Colombiana, NTC 5254, Primera actualizacin. Proceso de gestin de riesgo
- visin general. Bogot D.C. Septiembre 12, 2006

32
5. DESCRIPCIN DEL PROCESO DE GESTIN DE INCIDENTES Y
PETICIONES DE SERVICIO DEL REA DE MESA DE AYUDA DE
EMPRESAS DE SERVICIOS DE SOPORTE DE TECNOLOGA

5.1 MESA DE SERVICIOS

Es el punto central y nico de contacto para la Gestin de servicios de soporte


remoto (telefnico o por otros medios) o presencial a usuarios finales de un
cliente/contrato, ubicado en las instalaciones de la misma organizacin o en las
instalaciones de dicho cliente.

Tambin denominado soporte de primer nivel, a travs de este servicio el Analista


o Agente realiza el proceso de respuesta directa a las preguntas, solicitudes de
servicio (requerimientos) e incidentes reportados por el usuario en el servicio.

5.2 DESCRIPCIN DEL PROCESO

Existe un proceso definido como Prestacin de Servicios en el rea de mesa de


ayuda, de una empresa especifica la cual por razones de confidencialidad de la
informacin no se podr mencionar en el desarrollo de la gua, de la cual se parti
para la realizacin del proyecto; en la evaluacin del proceso general se observan
dos subprocesos de mesa de ayuda los cuales fueron detectados o encontrados a
partir de una encuesta genrica que se efectu a 3 de los principales involucrados
en los mismos.

La encuesta fue generada a partir del conocimiento de personas involucradas en


los subprocesos, los cuales brindaron orientacin para elaborarla y tambin
basados en la Norma ISO 31000; esta encuesta se plasma en el Anexo A.

La Gestin de Incidentes y Peticiones de Servicio de las mesas de ayuda de las


empresas de tecnologa, deben apoyarse en herramientas de gestin que se
utilizan como punto central y medular para el registro, seguimiento y
documentacin de los casos que se generen por los clientes; adicionalmente es
donde los Analistas de HelpDesk y el personal de TI con autorizacin, pueden
registrar, documentar y dar seguimiento a los tickets registrados. En la Figura 8 se
observa el proceso general, junto con los subprocesos y algunas actividades de
estos.

El trmite de los Incidentes o Peticiones de Servicio, difiere entre los diversos


servicios solicitados a los Analistas de HelpDesk, y existen procedimientos que
varan entre los diferentes clientes, de acuerdo a las caractersticas del contrato o
al alcance del mismo. La Figura 6 presenta los actores involucrados junto con el
proceso principal y subprocesos que se involucran en el rea de mesa de ayuda.

33
5.3 PASOS GENERALES DE LOS PROCESOS DE MESA DE AYUDA
El proceso global de la Mesa de ayuda corresponde a un ciclo de cuatro (4)
procedimientos que se describen a continuacin:

Tabla 1: Procedimiento general de los procesos de mesa de ayuda.

Procedimiento Descripcin

Deteccin y Registro La notificacin inicial ingresa. Se recopilan datos


relevantes. La notificacin se clasifica (tipifica) y registra.
Estudio y Diagnstico El incidente se analiza y se especifican, programan y
registran las actividades para proveer una solucin. Se
informa al usuario.
Solucin y Se ejecutan las actividades para la provisin de la
Recuperacin solucin o atencin al requerimiento. Se registran todas
las acciones ejecutadas.
Cierre Se verifica si el usuario est o no satisfecho. Se registran
y verifican las actividades realizadas y la causa real del
incidente. Se revisa la clasificacin (tipificacin). Se
cierra el incidente en la herramienta.
Fuente: Los Autores

Para un mejor entendimiento del proceso, en las Figuras 6 y 7; se visualizan los


procesos identificados en el rea de mesa de ayuda, sus actores Involucrados y el
flujograma manejado en dicha rea.

34
Figura 6: Proceso de Mesa de ayuda y los actores Involucrados

Fuente: Los Autores

35
Figura 7: Flujograma de Mesa de Ayuda

Fuente: Los Autores

36
5.3.1 Subprocesos. Como se menciona anteriormente el proceso general de
mesa de ayuda cuenta con dos subprocesos los cuales sern desglosados por
actividades para identificar a partir de estas los riesgos que se pueden generar en
la operacin; como se visualiza en la Figura 8.

5.3.1.1 Servicios de Soporte Remoto. Cuando se genera un incidente de cualquier


ndole y un usuario requiere el apoyo de la mesa de ayuda, siempre se realizara
una gestin remota la cual recibir la informacin inicial de contacto de solicitante
y se proceder a realizar el registro para luego dar solucin o determinar pasar el
informe al subproceso de Servicio de Soporte en Sitio.

Actividades.

- Recepcin de servicios solicitados por parte del cliente final va telefnica.

- Validacin de informacin del usuarios solicitante (Nombre, Cedula,


dependencia, etc.)

- Rectificacin de datos de usuarios, en caso de que los datos indicados por el


usuario final no concuerden con la base de datos de la herramienta de gestin.

- En caso de no estar registrados los usuarios solicitantes, se deben registrar en


la herramienta de gestin.

- Definir si el requerimiento se encuentra dentro del contrato pactado con el


cliente para definir si se procede a dar solucin; en caso de no estar en
contrato se debe definir cmo manejar el tema entre las partes y este
procedimiento ya no pertenece a mesa de ayuda.

- Registro de servicios en herramienta de gestin definida para el cliente segn


la descripcin del incidente manifestado por el cliente.

- Se debe proceder a tipificar el servicio ya sea: un incidente, un requerimiento,


un incidente de seguridad o un incidente mayor.

- Clasificacin del reporte el cual incluir los siguientes conceptos, dependiendo


de la capacidad de la herramienta con que se trabaje:

Tipo de incidente: Segn matriz categora o tipificacin


Tipo de servicio: Incidente, Requerimiento o Solicitud, Proyecto
Prioridad

37
- Si el servicio reportado por el cliente no se encuentra en ninguna de la
clasificacin de servicios pero se define que esta soportado por el contrato, se
debe evaluar y determinar crear una nueva tipificacin para este reporte.

- Hacer priorizacin del incidente as:

Urgente o Crtico: Mltiples usuarios incapacitados para trabajar y/o impacto a


alguna funcin crtica del negocio. Ejemplo; virus.
Importante: Incapacidad total de un usuario
Normal o Rutina: Un solo usuario incapacitado para trabajar en un producto y/o
actividades que puedan ser programadas.

- Hacer diagnstico del servicio solicitado por el cliente

- De manera remota validar el incidente y determinar si es posible darle solucin

- En caso de determinar la no posible solucin del incidente desde mesa de


ayuda, se debe dirigir el servicio a la lnea de servicios Conectividad
correspondiente, bien sea Desktop, BackOffice, Redes, etc. y siempre con
base en las polticas de tiempo.

- En caso de determinar la no posible solucin del incidente desde mesa de


ayuda, se debe dirigir el servicio a terceros o proveedores del cliente.

- Se debe realizar documentacin de las actividades realizadas bien sean de


apoyo al cliente final o de escalamiento del servicio.

- Seguimiento, control y cierre de servicios solicitados.

- Verificacin de solucin con el usuario final y control de calidad interno


asociada al proceso.

- Realizacin de actividades de mejoramiento.

- Control de inventarios.

- Documentacin y cierre del servicio.

- Documentacin de la base de conocimiento.

38
5.3.1.2 Servicios de Soporte en Sitio. Una vez sea escalado un reporte generado
por un usuario de cualquiera que sea el cliente, para que sea atendido en sitio, se
inicia el segundo subproceso y a continuacin se mencionan las actividades que
son ejecutadas sobre este.

Actividades.

- Recibir el escalamiento del caso por parte de mesa de ayuda documentado en


la herramienta de gestin.

- Desplazamiento a las instalaciones del cliente para brindar Atencin 1er Nivel,
soporte directo presencial por ingenieros Field Servicies.

- Realizar las validaciones del usuario final afectado.

- Hacer validacin y revisin del incidente presentado.

- En caso de no conocer como brindar solucin a este incidente, dirigir el servicio


a la lnea de servicios Conectividad correspondiente.

- Se debe realizar documentacin de las actividades realizadas bien sean de


apoyo al cliente final o de escalamiento del servicio.

- Escalamiento a otras lneas de servicio de la Direccin de Servicio de la


empresa prestadora de servicios acuerdo con esquema pactado de servicios

- Escalamiento a terceros o proveedores del cliente.

- Seguimiento, control y cierre de servicios solicitados.

- Verificacin de solucin con el usuario final y control de calidad interno


asociada al proceso.

- Realizacin de actividades de mejoramiento.

- Control de inventarios.

- Documentacin y cierre del servicio.

- Documentacin de la base de conocimiento

___________________
(*) ENTREVISTA con Edgar Hojuela, Luis Miguel Bernal, rea de Mesa de ayuda de empresa
especifica de servicio de soporte de Tecnologa en Colombia. Bogot 20 de Agosto 2014.

39
Figura 8: Procesos de Mesa de Ayuda

Fuente: Los Autores

40
5.4 META

Gestionar el riesgo del proceso y subprocesos del rea de mesa de ayuda de las
empresas de servicios de Tecnologa para las cuales se brind la informacin
anteriormente presentada con el fin de que cualquier entidad pueda evaluar la
organizacin de esta y pueda enfocarse o ajustarse al desarrollo de este.

5.5 ALCANCE

Se realiza para el proceso y subprocesos del rea de mesa de ayuda de las


empresas que brindan servicios de tecnologa en el territorio Colombiano, para los
procesos de gestin de incidentes y peticiones de servicio; los procesos estn
comprendidos desde la comunicacin del usuario con un agente de Help Desk,
hasta la solucin y cierre de la solicitud. El proceso est basado en el existente en
una empresa privada, buscando siempre que el proceso sea genrico e
identificable en otras compaas.

41
6. GUIA PARA LA GESTIN DE RIESGOS DE LOS PROCESOS DE
GESTIN DE INCIDENTES Y PETICIONES DE SERVICIO DEL REA
DE MESA DE AYUDA DE EMPRESAS DE SERVICIOS DE SOPORTE DE
TECNOLOGA EN COLOMBIA

6.1 PROPSITO DE LA GUA

La gua se desarrolla con el propsito de brindar una herramienta confiable para la


identificacin, anlisis y gestin de riesgos que permita generar planes de
continuidad del negocio garantizando el cumplimiento de los objetivos estratgicos
de la compaa, para esto es necesario conocer la norma ISO 31000 que es la
base para generar las recomendaciones.

6.1.1 Alcance de la gua. Se realiza para el proceso de mesa de ayuda de las


empresas que brindan servicios de tecnologa en el territorio Colombiano.

La gua se genera mediante la informacin suministrada por 3 integrantes del


proceso y subprocesos de la mesa de ayuda de una empresa privada especfica,
los cuales proporcionaron informacin necesaria para identificar riesgos, analizar
estos, evaluarlos y proporcionar mejoras, realizando as una gestin de riesgos en
la organizacin; siguiendo los lineamientos de la norma NTC 5254 se organiza el
procedimiento para plasmarlos en el documento gua para realizar la gestin de
riesgos.

Para aplicar la norma NTC-ISO31000, se inicia desde el establecimiento del


contexto, realizando la valoracin del riesgo y las actividades que se encuentre
incluidas dentro de la misma (identificacin, anlisis y evaluacin) y parte del
tratamiento que est comprendido como la generacin de recomendaciones; la
determinacin de que controles se debe aplicar depende de la alta gerencia y
segn como lo considere pertinente.

6.1.2 Usuarios de la gua. La gua est enfocada a todas las personas que
realizan gestin de riesgos dentro de la organizacin, especficamente las
involucradas en el rea de mesa de ayuda que se clasificaran en dos grupos, el
primero corresponde a la alta gerencia que evala la aplicacin de controles segn
su presupuesto.

Gerente de la organizacin.
Gerente del rea de tecnologa.
Director del rea de mesa de ayuda.

El segundo corresponde a los que participan en el proceso, que son los que
identifican los riesgos dentro de cada actividad ejecutada.

42
6.1.3 Objetivo de la gua. Introducir en los procesos, subprocesos y actividades
del rea de mesa de ayuda de empresas de servicios de soporte de tecnologa en
Colombia la Gestin del Riesgo.

6.2. GUIA DE APLICACIN DE NORMA

Segn la norma NTC-ISO 31000, su aplicacin para las empresas de tecnologa


en el rea de mesa de ayuda para los procesos de gestin de incidentes y
peticiones de servicio, se realizara aplicando la siguiente gua:

6.2.1. Establecimiento del contexto. Es el conjunto de circunstancias que


rodean y condicionan la gestin del riesgo tanto interna como externamente.

6.2.2 Contexto interno. Este contexto es el ambiente interno en el cual la


organizacin busca alcanzar sus objetivos. Se establece la misin, visin y
objetivos de la organizacin, las polticas que estn implementadas, la cultura de
la misma, su estructura y estrategia y todo lo que afecte el funcionamiento interno
de la misma.

6.2.2.2 Contexto externo. En este contexto se establece las normas


vigentes que apliquen a la organizacin segn su actividad econmica, las
polticas pblicas, la demografa, el comercio, la tecnologa, y todo aquello que
tiene relacin con la compaa desde un ambiente externo y que afecte su
funcionamiento.

Para el caso de estudio se plantea de la siguiente manera como se muestra en la


tabla 1.

43
Tabla 2: Factores Internos y Externos de los procesos de mesa de ayuda

FACTORES DESCRIPCION FACTORES DESCRIPCION


INTERNOS EXTERNOS
PLATAFORMA DE Software diseado para PROVEEDORES Terceros que brindan
INCIDENTES la gestin de incidentes servicios de apoyo en el
proceso y que permiten
el cumplimiento de los
objetivos del mismo

PERSONAL Empleados que CLIENTES Son las personas que


trabajan en el rea de solicitan el servicio
mesa de ayuda en sus
distintos cargos

RECURSOS Equipos de cmputo y ECONOMIA Influye en el proceso


de comunicacin debido a la demanda de
clientes potenciales y al
capital para inversin en
investigacin y
adquisicin de nuevas
tecnologas
PROCEDIMIENTOS Se refiere a los NUEVA Se refieres a la
procedimientos TECNOLOGIA actualizacin del
establecidos en el rea hardware como del
de mesa de ayuda y que software
estn avalados por el
rea de calidad
Fuente: Los Autores

6.2.2.3 Contexto del proceso para la gestin del riesgo. En esta parte se deben
especificar hasta donde va a llegar la gestin del riesgo en el proceso o rea
seleccionada, se define las metas, objetivos, responsabilidades, alcance,
profundidad y extensin, relacin con los otros procesos, metodologa, forma de
evaluar el desempeo y eficacia de la gestin.

6.2.2.4 Definir los criterios de riesgo. Como se mencion anteriormente se


tienen en cuenta dos aspectos: la probabilidad y el impacto; la probabilidad tiene
los criterios para la evaluacin del riesgo mostrados en la Tabla 2:

44
Tabla 3: Criterios de evaluacin de probabilidad

VALOR DESCRIPCIN OBSERVACIN FRECUENCIA


1 IMPROBABLE Sucede ocasionalmente Se presenta 1 vez de 3 a 5
aos
2 MENOS Sucede en ciertos casos Se presenta 1 vez de 2 a 3
PROBABLE aos
3 POSIBLE Puede suceder Se presenta cada 2 aos
4 PROBABLE Suceder en cualquier Se presenta 1 vez al ao
momento
5 CASI SEGURO Sucede en cualquier momento Se presenta ms de 1 vez
cada 6 meses

Fuente: Gua de administracin de riesgos del Departamento administrativo de la


funcin pblica de la repblica de Colombia p 27.

Para el impacto se defini los criterios de evaluacin en la Tabla 3

Tabla 4: Criterios de Evaluacin del Impacto


VALOR DESCRIPCIN OBSERVACIN DETALLE
1 INSIGNIFICANTE Prdidas mnimas <10% de prdidas de las
utilidades anuales
2 MENOR Prdidas asumidas >=10% <20% de prdidas
de las utilidades anuales
3 MODERADO Prdidas controladas >=20% <30%de prdidas
de las utilidades anuales
4 IMPORTANTE Prdidas significativas >=30%-70% de prdidas
de las utilidades anuales
5 CATASTROFICO Presenta prdidas muy >=70% de prdidas de
valiosas las utilidades anuales
Fuente: Gua de administracin de riesgos del Departamento administrativo de la
funcin pblica de la repblica de Colombia p. 27.

Despus de dar un valor a la probabilidad y al impacto de cada riesgo, se genera


una multiplicacin entre estos dos valores y el resultado es la calificacin de riesgo
que me determina cual es la importancia del mismo y su influencia en la
operacin.

Para este caso, se determina que los rangos de nivel de riesgo son tres y estn
representados en la Tabla 5:

45
Tabla 5: Rangos de Nivel de Riesgo

RANGO IMPORTANCIA
1A8 BAJA
9 A 17 MEDIA
18 A 25 ALTA
Fuente: DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PUBLICA. Gua de
administracin de riesgos del Departamento administrativo de la funcin pblica de
la, Repblica de Colombia pg. 27.

6.2.2.5 Responsabilidades. Las actividades sobre la gestin del riesgo


segn el cargo esta representadas en la tabla 5:

46
Tabla 6: Gestin del Riesgo

Actividad Roles
Grupo de
Analista
Director Auditor soporte o Administrador Usuario /
ID Mesa de mesa
Actividad Gerente de de especialista de incidentes Cliente
Actividad servicios de
Servicio proceso de y peticiones solicitante
ayuda
servicios

MARCO DE REFERENCIA
1 DIRECCION Y COMPROMISO R R C

DISEO DEL MARCO DE


REFERENCIA PARA LA
2 GESTION DEL RIESGO
Entender la organizacin y su
2.1 contexto R R C C C C C C
Establecer poltica para la gestin
2.2 del riesgo R R C
2.3 Rendicin de cuentas A A A R R R R
Integracin de los procesos de la
2.4 organizacin R R C I I I I I
2.5 Recursos A R C
Establecer mecanismos para la
comunicacin interna y la
2.6 presentacin de informes A A C R R R R
Establecer mecanismos para la
comunicacin externa y la
2.7 presentacin de informes A A C R R R R I
IMPLEMENTAR LA GESTION
3 DEL RIESGO
Implementar la aplicacin del
3.1 marco para la gestin del riesgo A A C R R R R I
Implementar el proceso para la
gestin del riesgo (Plan de
3.2 implementacin) A A C R R R R I
MONITOREAR Y REVISAR EL
4 MARCO DE REFERENCIA R R C
MEJORA CONTINUA DEL
5 MARCO DE REFERENCIA R R C I I
Fuente. Los Autores

47
Tabla 7: Gestin del Riesgo (Continuacin)

PROCESO
6 COMUNICACIN Y CONSULTA A A C R R R R I
ESTABLECIMIENTO DEL
7 CONTEXTO
7.1 Establecer el contexto externo A R C R R
7.2 Establecer el contexto interno A R C R R R R
Establecer el contexto del proceso
para la gestin del riesgo
(objetivos, alcance,
responsabilidades, proceso,
relacin entre el proyecto,
metodologa, forma evaluacin,
7.3 decisiones) R R C
Definir los criterios de riesgo
(Puntos de vista de los
7.4 involucrados) R R C
8 VALORACION DEL RIESGO
Identificacin riesgo (Matriz de
8.1 riesgos) A A C R R R R
8.2 Anlisis del riesgo R R C
8.3 Evaluacin del riesgo R R C
9 TRATAMIENTO DEL RIESGO
Seleccin de las opciones para el
9.1 tratamiento del riesgo R R C
Preparacin e implementacin de
los planes para el tratamiento del
9.2 riesgo R R C
10 MONITOREO Y REVISION A A C R R R R I
Fuente. Los Autores

48
6.2.3 Valoracin del riesgo. La valoracin del riesgo est basada en dos
aspectos generalmente usados para este fin, la probabilidad que segn la
definicin de la gua de administracin de riesgos del Departamento administrativo
de la funcin pblica de la repblica de Colombia dice: Por probabilidad se
entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con
criterios de frecuencia, si se ha materializado (por ejemplo: nmero de veces en
un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de
factores internos y externos que pueden propiciar el riesgo, aunque este no se
haya materializado.20; se entiende como la cantidad de veces que se puede
repetir el riesgo.

Y el impacto que segn el mismo documento est definido de la siguiente manera:


Por Impacto se entienden las consecuencias que puede ocasionar a la
organizacin la materializacin del riesgo.; esto significa los daos despus de
realizado el riesgo.21

Evaluacin del desempeo y eficacia de la gestin del riesgo


La evaluacin est sujeta a los resultados obtenidos en la ejecucin de la gestin
ya que todas las compaas tienen caractersticas que las hacen diferentes, sin
embargo la evaluacin para el caso de estudio es la aplicacin de la gua para una
empresa.

6.2.3.1 Identificacin del riesgo. La identificacin es el paso ms importante para


la gestin de riesgos ya que el riesgo que no se identifique en este punto, no ser
tenido en cuenta en el anlisis posterior y por lo tanto no ser evaluado. Para la
identificacin del riesgo se necesita contar con una herramienta o tcnica
adecuada definida por cada entidad o persona segn su criterio, adems de que
las personas que ejecuten esta actividad deben tener el conocimiento apropiado
sobre el proceso a evaluar. Se deben tener en cuentas todos los riesgos, esto
quiere decir que se deben listar tanto los que tienen controles aplicados, como los
que no.

Para los procesos del rea de mesa de ayuda, se analiz el proceso por medio de
un checklist, el cual se encuentra en el Anexo B de la siguiente manera:

Se identificaron los procesos del rea de mesa de ayuda que son: servicio de
soporte remoto, servicio de soporte en sitio.
Se identificaron las actividades dentro de cada proceso estadstica
Se identificaron los riesgos para cada causa de riesgo
Se identificaron las causas de riesgo de cada actividad
20
COLOMBIA. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA. Gua Para la
administracin del riesgo. Septiembre de 2011. Direccin de Control Interno y Racionalizacin de
Trmites. Bogot, D. C.: Departamento Administrativo, 2011. p. 27.
21
Ibid., p. 27.

49
Este ejercicio brindo la informacin que se puede observar en la tabla 6.

50
Tabla 8: Matriz de Riesgo
Subprocesos Actividades Causa del Riesgo Riesgo
Recepcin de servicios solicitados por parte del cliente final va telefnica Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad de la
informacin
Validacin de informacin del usuarios solicitante (Nombre, Cedula, Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad de la
dependencia, etc.) informacin
Rectificacin de datos de usuarios en caso de que los datos indicados por el 1. Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad de la
usuario final no concuerden con la base de datos de la herramienta de gestin. 2. Falla en el sistema de gestin de incidentes informacin
En caso de no estar registrados los usuarios solicitantes, se deben registrar en 1. Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad de la
la herramienta de gestin. 2. Falla en el sistema de gestin de incidentes informacin

Definir si el requerimiento se encuentra dentro del contrato pactado con el 1. No tener acceso a las condiciones del contrato
cliente para definir si se procede a dar solucin; en caso de no estar en contrato 2. No poder definir si el requerimiento se encuentra dentro Perdida de dinero
se debe definir cmo manejar el tema entre las partes y este procedimiento ya del contrato
no pertenece a mesa de ayuda.
Registro de servicios en herramienta de gestin definida para el cliente segn la 1. Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad del sistema
descripcin del incidente manifestado por el cliente. 2. Falla en el sistema de gestin de incidentes
Clasificacin del reporte: 1. No tener claro que tipo de incidente se est solicitando
-Tipo de incidente: Segn matriz categora o tipificacin 2. Desconocer la clasificacin utilizada para tipificar Clasificacin errada del incidente
-Tipo de servicio: Incidente, Requerimiento o Solicitud, Proyecto incidentes
Si el servicio reportado por el cliente no se encuentra en ninguna de la No tener claro que tipo de incidente se est solicitando
clasificacin de servicios pero se define que esta soportado por el contrato, se Clasificacin errada del incidente
debe evaluar y determinar crear una nueva tipificacin para este reporte.
Hacer priorizacin del incidente as: 1. No tener claro que tipo de incidente se est solicitando
-Urgente o Crtico: Mltiples usuarios con problemas para trabajar y/o impacto a 2. Priorizacin errnea del incidente Prdida de credibilidad de la empresa
alguna funcin crtica del negocio.
Servicios de -Importante: Incapacidad total de un usuario
Soporte -Normal o Rutina: Un solo usuario con problemas para trabajar en un producto
Remoto y/o actividades que puedan ser programadas.
Hacer diagnstico del servicio solicitado por el cliente 1. Falla en el sistema de comunicaciones de la empresa Perdida de disponibilidad del sistema
2. Desconocimiento tcnico de la falla
De manera remota validar el incidente y determinar si es posible darle solucin 1. Falla en el sistema de comunicaciones de la empresa2. Perdida de disponibilidad del sistema
Desconocimiento tcnico de la falla
En caso de determinar la no posible solucin del incidente desde mesa de 1. El operador de mesa de ayuda olvide realizar el proceso
ayuda, se debe dirigir el servicio a la lnea de servicios Conectividad 2. No dirigir el incidente a el rea correspondiente Perdida de integridad de la
correspondiente bien sea Desktop, BackOffice, Redes, etc. y siempre con base informacin.
en las polticas de tiempo.
En caso de determinar la no posible solucin del incidente desde mesa de 1. El operador de mesa de ayuda olvide realizar el proceso
ayuda, se debe dirigir el servicio a terceros o proveedores del cliente 2. No dirigir el incidente a el rea correspondiente Perdida de tiempo.
Se debe realizar documentacin de las actividades realizadas bien sean de El operador de mesa de ayuda olvide realizar el proceso Prdida de tiempo
apoyo al cliente final o de escalamiento del servicio.
Seguimiento y control 1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de
2. No cumplimiento de SLA credibilidad de la empresa
Realizacin de actividades de mejoramiento El operador de mesa de ayuda olvide realizar el proceso Perdida de la calidad del servicio
Documentacin y cierre del servicio 1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de tiempo
2. No documentar el servicio generado
Documentacin de la base de conocimiento El operador de mesa de ayuda olvide realizar el proceso Perdida de informacin y de tiempo
Fuente: Los Autores

51
Tabla 7. Matriz de Riesgo (Continuacin).
Subprocesos Actividades Causa del Riesgo Riesgo
Recibir el escalamiento del caso por parte de mesa de ayuda documentado en 1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de
la herramienta de gestin 2. Realizar un escalamiento errado tiempo
Desplazamiento a las instalaciones del cliente para brindar Atencin 1er Nivel, 1. Congestin en el transporte Perdida de dinero y prdida de
soporte directo presencial por ingenieros Field Services 2. Incapacidad del funcionario tiempo
1. No disponibilidad del usuario por falta de agendamiento Perdida de dinero y prdida de
Realizar las validaciones del usuarios final afectado previo. tiempo
1. No disponibilidad del usuario por falta de agendamiento Perdida de disponibilidad
Hacer validacin y revisin del incidente presentado previo.
2. No disponer de las herramientas necesarias para la
validacin y revisin del incidente
En caso de no conocer como brindar solucin a este incidente, dirigir el servicio Desconocimiento del personal de soporte sobre el tema Perdida de dinero y prdida de
a la lnea de servicios Conectividad correspondiente tiempo
Se debe realizar documentacin de las actividades realizadas bien sean de El operador en sitio olvide realizar la documentacin Prdida de tiempo
Servicios de apoyo al cliente final o de escalamiento del servicio.
Soporte en Escalamiento a otras lneas de servicio de la Direccin de Servicio de la El operador en sitio olvide realizar el proceso Perdida de dinero y prdida de
Sitio empresa prestadora de servicios acuerdo con esquema pactado de servicios tiempo
1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de
Escalamiento a terceros o proveedores del cliente 2. No dirigir el incidente a el rea correspondiente tiempo
1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de
Seguimiento y control 2. No cumplimiento de SLA credibilidad de la empresa
Verificacin de solucin con el usuario final y control de calidad interno 1. El operador de mesa de ayuda olvide realizar el proceso Perdida de informacin
asociada al proceso. 2. No hacer la verificacin con el usuario final
Realizacin de actividades de mejoramiento El operador de mesa de ayuda olvide realizar el proceso Perdida de la calidad del servicio
Documentacin y cierre del servicio 1. El operador de mesa de ayuda olvide realizar el proceso Perdida de dinero y prdida de
2. No documentar el servicio generado tiempo
Documentacin de la base de conocimiento El operador de mesa de ayuda olvide realizar el proceso Perdida de informacin y de tiempo
Fuente: Los Autores

52
6.2.3.2 Anlisis de riesgo. Para desarrollar este tem se bas en el entendimiento
del riesgo, donde se debe validar si es inevitable tratar estos y determinar las
estrategias adecuadas a implementar para tratarlos eficazmente.

El anlisis implica la consideracin de las fuentes de riesgo, sus consecuencias


positivas y negativas y la posibilidad de que dichas ocurrencias puedan ocurrir. 22

Este proceso de anlisis se realiza identificando para cada riesgo las causas y
posibles consecuencias del mismo evaluando el impacto y probabilidad.

Probabilidad: Se define como la posibilidad de ocurrencia del riesgo; este criterio


puede ser medido en base a la frecuencia con que sucedan estos o tambin
determinando los elementos internos y externos que puedan generar el mismo, as
jams se tenga evidencia de que se haya presentado durante los procesos que se
evalen. Los rangos de probabilidades se definen en la tabla 2.

Impacto: Es la consecuencia o consecuencias que pueden hacer que el riesgo se


materialice. Los rangos de probabilidades se definen en la tabla 3.

Los criterios de probabilidad e impacto a tener en cuenta fueron definidos


anteriormente en la tabla 2 y 3, en la definicin de los mismos.

Para realizar la identificacin del impacto y la probabilidad de los riesgos, se


pueden utilizar fuentes de informacin y tcnicas pertinentes entre las cuales se
pueden incluir las siguientes:

Registros anteriores
Experiencia prctica y pertinente
Literatura pertinente publicada
Investigacin de mercado
Resultados de consulta pblica
Experimentos y prototipos
Modelos econmicos, de ingeniera y otros
Conceptos de especialistas y expertos23

Las tcnicas incluyen:

Entrevistas estructuradas
Uso de grupos multidisciplinarios de expertos
Evaluaciones individuales empleando cuestionarios

22
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. Resumen. NTC
5254. Bogot D.C.: ICONTEC, 2006. p.4.
23
Ibid., p. 14.

53
Uso de modelos y simulaciones24

Al impacto y la probabilidad identificada, se le debe realizar un anlisis, el cual


puede ser cualitativo, semicuantitativo, cuantitativo o una combinacin de ellos.

Anlisis cualitativo, utiliza palabras para describir la magnitud de las


consecuencias potenciales y la posibilidad de que ocurran tales
consecuencias.

Anlisis semicuantitativo, se dan en valores y el objetivo es producir una


escala de clasificacin ms amplia que la que se obtiene usualmente en el
anlisis cualitativo, sin sugerir valores realistas para riesgos.

Anlisis cuantitativo, utiliza valores numricos, tanto para las consecuencias


como para la posibilidad, empleando datos provenientes de una variedad
de fuentes. 25

Para efectos de la gua para el rea de mesa de ayuda, se utilizara el anlisis


semicualitativo. (Ver ANEXO C)

24
Ibid., p. 16.
25
Ibid., p16 17.

54
Tabla 9: Valoracin de los Riesgos segn la probabilidad y el Impacto
Subprocesos Actividades Causa del Riesgo Riesgo Probabilidad Impacto Valoracin
Recepcin de servicios solicitados por parte del cliente Falla en el sistema de Perdida de disponibilidad de la 1 5 5
final va telefnica comunicaciones de la empresa informacin
Validacin de informacin del usuarios solicitante Falla en el sistema de Perdida de disponibilidad de la 1 5 5
(Nombre, Cedula, dependencia, etc.) comunicaciones de la empresa informacin
Rectificacin de datos de usuarios en caso de que los 1. Falla en el sistema de Perdida de disponibilidad de la 1 5 5
datos indicados por el usuario final no concuerden con la comunicaciones de la empresa informacin
base de datos de la herramienta de gestin. 2. Falla en el sistema de gestin
de incidentes
En caso de no estar registrados los usuarios solicitantes, 1. Falla en el sistema de Perdida de disponibilidad de la 1 5 5
se deben registrar en la herramienta de gestin. comunicaciones de la empresa informacin
2. Falla en el sistema de gestin
de incidentes
Definir si el requerimiento se encuentra dentro del 1. No tener acceso a las 1 3 3
contrato pactado con el cliente para definir si se procede condiciones del contrato Perdida de dinero
a dar solucin; en caso de no estar en contrato se debe 2. No poder definir si el
definir cmo manejar el tema entre las partes y este requerimiento se encuentra
procedimiento ya no pertenece a mesa de ayuda. dentro del contrato
Registro de servicios en herramienta de gestin definida 1. Falla en el sistema de Perdida de disponibilidad del 1 5 5
para el cliente segn la descripcin del incidente comunicaciones de la empresa sistema
manifestado por el cliente. 2. Falla en el sistema de gestin
de incidentes
Clasificacin del reporte: 1. No tener claro que tipo de 2 4 8
-Tipo de incidente: Segn matriz categora o tipificacin incidente se est solicitando Clasificacin errada del
Servicios de -Tipo de servicio: Incidente, Requerimiento o Solicitud, 2. Desconocer la clasificacin incidente
Soporte Proyecto utilizada para tipificar incidentes
Remoto
Si el servicio reportado por el cliente no se encuentra en No tener claro que tipo de 2 4 8
ninguna de la clasificacin de servicios pero se define incidente se est solicitando Clasificacin errada del
que esta soportado por el contrato, se debe evaluar y incidente
determinar crear una nueva tipificacin para este reporte.
Hacer priorizacin del incidente as: 1. No tener claro que tipo de 2 4 8
-Urgente o Crtico: Mltiples usuarios con problemas para incidente se est solicitando Prdida de credibilidad de la
trabajar y/o impacto a alguna funcin crtica del negocio. 2. Priorizacin errnea del empresa
-Importante: Incapacidad total de un usuario incidente
-Normal o Rutina: Un solo usuario incapacitado para
trabajar en un producto y/o actividades que puedan ser
programadas.
Hacer diagnstico del servicio solicitado por el cliente 1. Falla en el sistema de Perdida de disponibilidad del 1 5 5
comunicaciones de la empresa sistema
2. Desconocimiento tcnico de la
falla
Fuente: Los Autores

55
Tabla 8. Valoracin de los Riesgos segn la probabilidad y el Impacto (Continuacin).
Subprocesos Actividades Causa del Riesgo Riesgo Probabilidad Impacto Valoracin

De manera remota validar el incidente y determinar si 1. Falla en el sistema de Perdida de disponibilidad del 1 5 5
es posible darle solucin comunicaciones de la empresa sistema
2. Desconocimiento tcnico de
la falla
En caso de determinar la no posible solucin del 1. El operador de mesa de 1 4 4
incidente desde mesa de ayuda, se debe dirigir el ayuda olvide realizar el proceso Perdida de integridad de la
servicio a la lnea de servicios Conectividad 2. No dirigir el incidente a el informacin.
correspondiente bien sea Desktop, BackOffice, Redes, rea correspondiente
etc. y siempre con base en las polticas de tiempo.
En caso de determinar la no posible solucin del 1. El operador de mesa de 1 4 4
incidente desde mesa de ayuda, se debe dirigir el ayuda olvide realizar el proceso Perdida de tiempo.
servicio a terceros o proveedores del cliente 2. No dirigir el incidente a el
rea correspondiente
Se debe realizar documentacin de las actividades El operador de mesa de ayuda Prdida de tiempo 1 5 5
realizadas bien sean de apoyo al cliente final o de olvide realizar el proceso
escalamiento del servicio.
Seguimiento y control 1. El operador de mesa de Perdida de dinero y prdida 1 5 5
ayuda olvide realizar el proceso de credibilidad de la empresa
2. No cumplimiento de SLA
Servicios de Verificacin de solucin con el usuario final y control de 1. El operador de mesa de Perdida de la calidad del 1 5 5
Soporte calidad interno asociada al proceso. ayuda olvide realizar el proceso servicio
Remoto 2. No hacer la verificacin con
el usuario final
Realizacin de actividades de mejoramiento El operador de mesa de ayuda Perdida de dinero y prdida 1 3 3
olvide realizar el proceso de tiempo
Documentacin y cierre del servicio 1. El operador de mesa de Perdida de informacin y de 1 5 5
ayuda olvide realizar el proceso tiempo
2. No documentar el servicio
generado
Documentacin de la base de conocimiento El operador de mesa de ayuda Perdida de disponibilidad del 1 3 3
olvide realizar el proceso sistema

Fuente: Los Autores

56
Tabla 8. Valoracin de los Riesgos segn la probabilidad y el Impacto (Continuacin).
Subprocesos Actividades Causa del Riesgo Riesgo Probabilidad Impacto Valoracin
Recibir el escalamiento del caso por parte de mesa de 1. El operador de mesa de Perdida de dinero y prdida 1 4 4
ayuda documentado en la herramienta de gestin ayuda olvide realizar el proceso de tiempo
2. Realizar un escalamiento
errado
Desplazamiento a las instalaciones del cliente para 1. Congestin en el transporte Perdida de dinero y prdida 4 5 20
brindar Atencin 1er Nivel, soporte directo presencial 2. Incapacidad del funcionario de tiempo
por ingenieros Field Services
Realizar las validaciones del usuarios final afectado 1. No disponibilidad del usuario Perdida de dinero y prdida 4 4 16
por falta de agendamiento de tiempo
previo.
Hacer validacin y revisin del incidente presentado 1. No disponibilidad del usuario Perdida de disponibilidad 4 5 20
por falta de agendamiento
previo.
2. No disponer de las
herramientas necesarias para la
validacin y revisin del
Servicios de incidente
Soporte en En caso de no conocer como brindar solucin a este Desconocimiento del personal Perdida de dinero y prdida 4 5 20
Sitio incidente, dirigir el servicio a la lnea de servicios de soporte sobre el tema de tiempo
Conectividad correspondiente
Se debe realizar documentacin de las actividades El operador en sitio olvide Prdida de tiempo 1 5 5
realizadas bien sean de apoyo al cliente final o de realizar la documentacin
escalamiento del servicio.
Escalamiento a otras lneas de servicio de la Direccin El operador en sitio olvide Perdida de dinero y prdida 1 4 4
de Servicio de la empresa prestadora de servicios realizar el proceso de tiempo
acuerdo con esquema pactado de servicios
Escalamiento a terceros o proveedores del cliente 1. El operador de mesa de Perdida de dinero y prdida 1 4 4
ayuda olvide realizar el proceso de tiempo
2. No dirigir el incidente a el rea
correspondiente
Seguimiento y control 1. El operador de mesa de Perdida de dinero y prdida 1 5 5
ayuda olvide realizar el proceso de credibilidad de la
2. No cumplimiento de SLA empresa
Verificacin de solucin con el usuario final y control de 1. El operador de mesa de Perdida de informacin 1 5 5
calidad interno asociada al proceso. ayuda olvide realizar el proceso
2. No hacer la verificacin con el
usuario final
Realizacin de actividades de mejoramiento El operador de mesa de ayuda Perdida de la calidad del 1 3 3
olvide realizar el proceso servicio
Documentacin y cierre del servicio 1. El operador de mesa de Perdida de dinero y prdida 1 5 5
ayuda olvide realizar el proceso de tiempo
2. No documentar el servicio
generado
Documentacin de la base de conocimiento El operador de mesa de ayuda Perdida de informacin y de 1 3 3
olvide realizar el proceso tiempo
Fuente: Los Autores

57
6.2.3.3 Evaluacin del riesgo. El propsito de la evaluacin del riesgo es
tomar decisiones, basadas en los resultados del anlisis del riesgo, sobre los
riesgos que necesitan tratamiento y las prioridades del tratamiento.

La evaluacin del riesgo implica comparacin del nivel de riego hallado durante el
proceso de anlisis con los criterios de riesgo establecidos al considerar el
contexto.26

Se deben considerar los objetivos a cumplir dentro de la organizacin y para


nuestro caso dentro de los procesos del rea de mesa de ayuda, con el fin de
alinearlos a la oportunidad que podra generarse al realizar esta evaluacin.

Para el rea de mesa de ayuda, los criterios que se tienen en cuenta se reflejan en
la tabla 10.

Tabla 10: Valoracin de los Criterios


RANGO IMPORTANCIA
1A8 BAJA
9 A 17 MEDIA
18 A 25 ALTA
Fuente: Los Autores

Una vez realizada la valoracin de probabilidad e impacto, se efecta la


multiplicacin de estos valores para de esta manera obtener a que nivel de
importancia pertenece cada riesgo, segn el rango mencionado en la tabla 10;
conociendo los riesgos de prioridad alta y los cuales se presentan en la tabla 11,
se proceder a tomar la decisin de que tratamiento aplicar (Anexo C).

26
Ibid., p.17 - 18
58
Tabla 11: Valoracin del Riesgo Alto

Subprocesos Actividades Causa del Riesgo Riesgo Probabilidad Impacto Valoracin

1. Congestin en el No
transporte prestar
Desplazamiento a las instalaciones del cliente para el
brindar Atencin 1er Nivel, soporte directo presencial soporte 4 5 20
por ingenieros Field Services al
2. Incapacidad del usuario
funcionario final

1. No disponibilidad
del usuario por falta
de agendamiento
previo.
No
prestar
el
Hacer validacin y revisin del incidente presentado soporte 4 5 20
al
2. No disponer de las
usuario
herramientas
final
necesarias para la
validacin y revisin
del incidente

No
prestar
En caso de no conocer como brindar solucin a este Desconocimiento del el
incidente, dirigir el servicio a la lnea de servicios personal de soporte soporte 4 5 20
Conectividad correspondiente sobre el tema al
usuario
final
Fuente: Los Autores.

59
6.2.4 Tratamiento del riesgo. El tratamiento de los riesgos est basado en la
identificacin de los mejores mtodos definidos, para tomar una decisin sobre
cada uno de estos teniendo en cuenta una serie de aspectos lo cuales a
continuacin mencionamos:

Aceptar

Aceptacin significa que no se toman medidas relativas con un riesgo de T.I


particular, y la prdida es aceptada si se produce. A diferencia de ignorar el riesgo,
aceptar el riesgo supone que el riesgo es conocido; es decir, es una decisin
informada y se ha aceptado por los directivos de la institucin.

Transferir

Transferir o compartir significa reducir la probabilidad del riesgo o su impacto


mediante la transferencia o distribucin de una parte del riesgo. Las tcnicas ms
comunes es adquirir seguros o realizar tercerizaciones (outsourcing) para tratar el
riesgo.

Mitigar

La mitigacin o reduccin significa que estn siendo tomadas medidas para


detectar el riesgo, seguido por la definicin de una accin y unos controles para
reducir la probabilidad y/o el impacto de un riesgo de T.I.

Evitar

Evitar significa no permitir la ejecucin de las actividades o de las condiciones que


dan lugar a riesgo de T.I. Esta categora se aplica cuando no hay otra respuesta
adecuada al riesgo debido a su costo o impacto.

Como herramienta de apoyo a la identificacin del tratamiento a aplicar se genera


los formatos GR-DT01 (Anexo D) y GR-CR01 (Ver Anexo E).

El procedimiento anteriormente desarrollado puede ser aplicado en empresas


tales como las que se mencionan en el Anexo F.

60
7. DICCIONARIO DE CONCEPTOS

1. Riesgo: Riesgo es la posibilidad de que suceda algn evento que tendr un


impacto sobre los objetivos institucionales o del proceso. Se expresa en
trminos de probabilidad y consecuencias.27

2. Gestin del riesgo: En trminos generales la gestin del riesgo se refiere a los
principios y metodologa para la gestin eficaz del riesgo, mientras que
gestionar el riesgo se refiere a la aplicacin de estos principios y metodologa a
riesgos particulares.28

3. Desastre: Es una situacin o proceso social que se desencadena como


resultado de la manifestacin de un fenmeno de origen natural, tecnolgico o
provocado por el hombre que, al encontrar condiciones propicias de
vulnerabilidad en una poblacin, causa alteraciones intensas en las
condiciones normales de funcionamiento de la comunidad. El desastre
representa la materializacin de condiciones de riesgo preexistentes.29

4. Amenazas: Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de


evento o accin que puede producir un dao (material o inmaterial) sobre los
elementos de un sistema.30

5. Norma ISO 31000: La internacional Organizacin for Standardization ISO


divulgo desde el ao 2009 sus Principios y guas del Manejo de Riesgo, el
cual tiene como objetivo principal gestionar el riesgo de las compaas, el
enfoque bajo el cual trabaja dicha norma se basa en los principios para la
gestin de riesgos, la estructura de soporte y el proceso de gestin de riesgos,
las clausulas incluyen una metodologa directamente ligada a los principios
organizacionales creando un valor agregado a dicho componente, destacando
la comunicacin y consultas de riesgos, el monitoreo y revisin como
elementos que cubren una evolucin, identificacin, anlisis, evaluacin y
tratamiento a los riesgos encontrados.31

27
COLOMBIA, Op. Cit., p. 13.
28
Ibid., p. 15.
29
UNIVERSIDAD NACIONAL DE COLOMBIA. Formato para la Formulacin de Lneas de
Investigacin. Manizales. Grupo de Investigacin Gestin Integral de Riesgos y Desastres. 2003.
p 1.
30
APROCAL. Seguridad Informtica. Mxico.:13 de Agosto 2014. Disponible en Internet: < URL:
http://www.aprocal.org.mx/files/2200/03SeguridadenInformaticaV1.0.pdf.
31
MEGAPROCESOS. COSO ERM. 13 de agosto 2014. Disponible en Internet: < URL:
http://www.megaprocesos.com.gt/sites/default/files/boletin3.pdf

61
6. Mesa de ayuda: Mesa de Ayuda o Mesa de Servicio es un conjunto de
recursos tecnolgicos y humanos, para prestar servicios con la posibilidad de
gestionar y solucionar todas las posibles incidencias de manera integral, junto
con la atencin de requerimientos relacionados a las Tecnologas de la
Informacin y la Comunicacin (TIC).

7. Recurso Humano: Una empresa cuenta con diversos tipos de recursos que le
permiten funcionar y alcanzar sus metas. Los empleados, trabajadores
colaboradores son quienes conforman lo que se conoce como recursos
humanos de una entidad.32 Recurso Tecnolgico: Un recurso tecnolgico, es
un medio que se vale de la tecnologa para cumplir con su propsito. Los
recursos tecnolgicos pueden ser tangibles (como una computadora, una
impresora u otra mquina) o intangibles (un sistema, una aplicacin virtual).33

8. Vulnerabilidad: Puede ser considerado como el grado de prdida de un


elemento o la predisposicin o susceptibilidad fsica, econmica, poltica o
social que tiene una comunidad de ser afectada o de sufrir daos en caso de
que un fenmeno desestabilizador de origen natural o antropognico se
manifieste.34

9. Control de riesgo: El control es un filtro que se establece para asegurar que los
eventos ocurran conforme a lo previsto. El control es una actividad necesaria
para el xito de las actividades de las empresas. sin controles el xito es
inalcanzable.

10. Informacin: Comunicacin o adquisicin de conocimientos que permiten


ampliar o precisar los que se poseen sobre una materia determinada.35

11. Activo: es cualquier cosa que representa o que tiene un valor para la
organizacin.

32
UNIVERSIDAD DE JAN. Sistemas de Seleccin de Personal basado en Modelo de Decisin.
Jan. 13 de agosto 2014. Disponible en Internet: < URL:
http://sinbad2.ujaen.es/cod/archivosPublicos/pfc/pfc_pedrobarrio.pdf
33
UNIVERSIDAD CENTRAL DEL ECUADOR. Recursos Tecnolgicos en el aprendizaje de
computacin bsica, en los nios/as de quinto ao de bsica de la escuela repblica de argentina
del cantn quito ao lectivo 2011 2012. Quito. 13 de agosto2014. Disponible en Internet: < URL:
http://www.dspace.uce.edu.ec/bitstream/25000/1894/1/T-UCE-0010-222.pdf
34
UNAL, Op. Cit., p. 2.
35
REAL ACADEMIA. Diccionario de la lengua Espaola. Madrid. 13 agosto 2014 .Disponible en
Internet: < URL: http://lema.rae.es/drae/?val=diagnostico.

62
12. Ataque Informtico: Un ataque informtico es un mtodo por el cual un
individuo, mediante un sistema informtico, intenta tomar el control,
desestabilizar o daar otro sistema informtico (ordenador, red privada,
etctera).36

13. TI: Tecnologas de Informacin

14. Cadena de valor: Es un modelo terico que permite describir el desarrollo de


las actividades de una organizacin empresarial generando valor al cliente
final.37

15. Infraestructura: Es el equipo que da soporte y almacenamiento al


procesamiento de datos y manejo de redes de comunicacin, as como
proveer la continuidad de energa a otros equipos.

16. Incidente: cualquier situacin no planificada que causa o puede causar una
reduccin de la calidad, interrupcin o perdida en los servicios que
proporcionan las organizaciones. Incidente: cualquier situacin no
planificada que causa o puede causar una reduccin de la calidad,
interrupcin o perdida en los servicios que proporcionan las organizaciones.
17. Escalamiento: trasferir a otro ente del proceso un incidente o ticket.

18. Ticket: es un archivo contenido en el sistema de seguimiento de incidentes


que contiene informacin acerca de intervenciones de software hecha por
personal de soporte tcnico o terceros a pedido de un usuario final que ha
reportado un incidente que est impidiendo el trabajo en computadores.38

36
UNIVERSIDAD MICHOACANA, Facultad de Contadura y Ciencias Administrativas. Apuntes.
San Nicols de Hidalgo 13 de Agosto de 2014. Disponible en Internet:< URL:
http://www.fcca.umich.mx/descargas/apuntes/Academia%20de%20Informatica/Redes%20de%2Co
mputo%20%20G.A.G.C/Unidad-3-4-5.pdf
37
EL SALVADOR. Programa de Desarrollo y Proveedores. Mxico. 13 de agosto 2014.Disponible
en Internet: < URL: http://www.pdp.com.sv/main/conest/arti/arti-10-001.jsp
38
BIOSENTINEL. Soporte. Espaa. 13 de agosto 2014. Disponible en Internet: < URL:
www.biosentinel.es/que_es_soporte_online/sisticket.php

63
8. CONCLUSIONES

El desarrollo del presente trabajo permiti obtener las siguientes conclusiones:

En todo proceso, rea u organizacin siempre existirn riesgos,


independientemente si estos son detectados o no, y es por este motivo que se
debe implementar una gestin de riesgos eficiente para mitigarlos pues
eliminarlos no es posible pero si ejercer un control adecuado sobre estos.

Las empresas de tecnologa que tienen procesos internos involucrados en el


rea de mesa de ayuda requieren un alto grado de gestin de riesgos pues no
contar con mecanismos que mitiguen los estos generaran prdidas que
afectaran la funcionalidad de la organizacin.

Identificamos que sobre los procesos trabajados para el rea de mesa de


ayuda, existen riesgos tan de TI como generales que requieren atencin
precisa y oportuna y es por este motivo que se gener esta gua que apoyara a
mejorar los procesos y a cumplir las metas de cada una de sus actividades.

Actualmente existen muchas empresas de tecnologas que tienen como ncleo


de negocio el rea de mesa de ayuda, pero aunque con amplia experiencia se
pudo observar con la empresa trabajada que no tienen bien definido este plan
de gestin de riesgos y que se guan ms por las experiencias que por disear
y seguir una gua adecuada que les permita mejorar sus procesos.

Es necesario realizar campaas de concientizacin en todo tipo de empresa


para que entiendan que la implementacin de la gestin de riesgo y ms
cuando existen guas puntuales generadas es necesaria y que les ayudara a
dar continuidad al negocio.

De manera exacta se debe seguir el procedimiento desarrollado en la gua


planteada, ajustndola en caso de ser necesario a los procesos del rea de
mesa de ayuda, para poder obtener una correcta gestin de los riesgos y de
esta manera mitigar estos llevando a cumplir los objetivos del rea.

64
BIBLIOGRAFIA

ACCENTURE. Consultora de Gestin y Servicios de Tecnologas. 28 de Octubre


2014. Disponible en Internet: < URL: http://www.accenture.com/co-
es/Pages/service-infrastructure-outsourcing-overview-summary.aspx

ALVAREZ, Olga Luca. La gestin del riesgo: una estrategia de administracin


integral. En: Gestin. Julio Diciembre, 2009, vol. 4, no. 2, p 103 112.

APROCAL. Seguridad Informtica. Mxico.:13 de Agosto 2014. Disponible en


Internet:<URL:http://www.aprocal.org.mx/files/2200/03SeguridadenInformaticaV1.0
.pdf.

BIOSENTINEL. Soporte. Espaa. 13 de agosto 2014. Disponible en Internet: <


URL: www.biosentinel.es/que_es_soporte_online/sisticket.php

COLOMBIA. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA.


Gua Para la administracin del riesgo. (Septiembre de 2011). Direccin de
Control Interno y Racionalizacin de Trmites. Bogot, D. C.: Departamento
Administrativo, 2011. 52 p.

DANE. Indicadores bsicos en TIC DANE. Bogot D.C.: 10 de junio 2014.


Disponible en Internet: < URL: https://www.dane.gov.co/index.php/es/tecnologia-e-
innovacion/tecnologias-de-la-informacion-y-las-comunicaciones-tic/65-
economicas/tecnologias-de-informacion/4718-indicadores-basicos-de-tic-en-
empresas.

EL SALVADOR. Programa de Desarrollo y Proveedores. Mxico. 13 de agosto


2014.Disponible en Internet: < URL: http://www.pdp.com.sv/main/conest/arti/arti-
10-001.jsp

FIGUEROA, Luis Carlos. Gua de buenas prcticas en gestin de riesgos de TI en


el sector bancario colombiano. Bogot D.C.: Universidad de los Andes. Facultad
de Ingeniera. Modalidad Investigacin, 2010. 142 p.

HUALDE, Antonio. Anlisis Integral de riesgos operacionales y su aplicacin en


una empresa de ingeniera. Legans. Universidad Carlos III de Madrid. Facultad
de Ingenieras. Modalidad Pasanta, 2010. 209 p.

IBM. Servicios de soporte al usuario final. 28 de octubre 2014. Disponible en


Internet: < URL http://www-935.ibm.com/services/co/es/it-services/servicios-de-
soporte-al-usuario-final.htm

65
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. Cdigo
de las Buenas Prcticas para la Gestin de la Seguridad de la Informacin. . NTC
ISO/IEC 27002. Bogot D.C.: ICONTEC, 2007. 142 p

INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN.


Gestin del Riesgo. Principios y Directrices. NTC-ISO 31000. Bogot D.C.:
ICONTEC, 2011. 35p.

INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN.


Resumen. NTC 5254. Bogot D.C.: ICONTEC, 2006. 8p.

INTERSOFTWARE. Servicios Especializados de Tecnologa. 28 de Octubre.


Disponible en Internet. : < URL: http://www.intersoftware.org.co/content/servicios-
especializados-de-tecnologia-e-informatica-seti-sa

KNIGHT, Kevin. Nuevo trabajo refuerza una caja de herramientas slida. En:
Gestin. Septiembre, 2007, vol. 1 no. 1, 3 p.

MEGAPROCESOS. COSO ERM. 13 de agosto 2014. Disponible en Internet: <


URL: http://www.megaprocesos.com.gt/sites/default/files/boletin3.pdf

MEXICO. INSTITUTO DE LA FUNCIN REGISTRAL DEL ESTADO DE MEXICO.


Gaceta del Gobierno (26, marzo, 2013). Manual de Procedimientos de la Mesa de
Ayuda de la Unidad de Informtica, Toluca de Lerdo.: Poder Ejecutivo del Estado,
2013. 12 p.

PORTILLO, Dinael y Otros. Diseo de un Modelo de Gestin del Riesgo de


Tecnologas de Informacin para la Unidad de Contabilidad de la Universidad
Francisco de Paula Santander. Ocaa. Universidad Francisco de Paula Santander.
Facultad Ingenieras. Modalidad Investigacin, 2012.143 p.

POSADA, Andrs Mauricio y Collazos, Sergio. Propuesta de gua de


Implementacin de mejores prcticas en gestin de riesgos de tecnologas de
informacin en Universidades privadas. Santiago de Cali. Universidad ICESI.
Facultad de Ingeniera de Informacin y Telecomunicaciones. Modalidad Trabajo
de Investigacin. 2012. 110 p.

RAMREZ, Alexandra, ORTIZ, Zulima. (2011). Gestin de riesgos tecnolgicos


basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios. En:
Ingeniera, Vol.16, No. 2, pg. 56-66.

REAL ACADEMIA. Diccionario de la lengua Espaola. Madrid. 13 agosto


2014.Disponible en Internet: < URL: http://lema.rae.es/drae/?val=diagnostico.

66
RIVADENEIRA, Alexander. Marco Conceptual y legal sobre la gestin de riesgo en
Colombia. En: Monitor Estratgico. Enero - Junio 2014, vol. 1, no. 5.

SALAZAR, Luisa Fernanda. Anlisis del Riesgo Estratgico en Pequeas


Empresas. Cha. Universidad de la Sabana. Facultad de Administracin.
Modalidad Investigacin, 2009. 63 p.

TOVAR, Mara Paola y RODRIGUEZ, Diana Marcela. Sistema de Gestin de


Riesgo Operacional, una opcin para el manejo de situaciones de cambio en la
PYMES Colombianas. Bogot D.C. Universidad Militar Nueva Granada. Facultad
de Ciencias Econmicas. Modalidad Investigacin, 2013. 52 p.

UNIVERSIDAD CENTRAL DEL ECUADOR. Recursos Tecnolgicos en el


aprendizaje de computacin bsica, en los nios/as de quinto ao de bsica de la
escuela repblica de argentina del cantn quito ao lectivo 2011 2012. Quito. 13
de agosto2014. Disponible en Internet: < URL:
http://www.dspace.uce.edu.ec/bitstream/25000/1894/1/T-UCE-0010-222.pdf

UNIVERSIDAD DE ANTIOQUIA. Manual Institucional de Gestin de Riesgos.


Medelln. Equipo MECI. 2012. 28 p.

UNIVERSIDAD DE JAN. Sistemas de Seleccin de Personal basado en Modelo


de Decisin. Jan. 13 de agosto 2014. Disponible en Internet: < URL:
http://sinbad2.ujaen.es/cod/archivosPublicos/pfc/pfc_pedrobarrio.pdf

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER. Gua para la gestin del


Riesgo. En: Gestin. Ocaa - Norte de Santander. Septiembre, 2007. Cdigo: U-
DP-OPL-001. Revisin A, 31 p.

UNIVERSIDAD MICHOACANA, Facultad de Contadura y Ciencias


Administrativas. Apuntes. San Nicols de Hidalgo 13 de Agosto de 2014.
Disponible en Internet: < URL:
http://www.fcca.umich.mx/descargas/apuntes/Academia%20de%20Informatica/Re
des%20de%2Computo%20%20G.A.G.C/Unidad-3-4-5.pdf

UNIVERSIDAD NACIONAL DE COLOMBIA. Formato para la Formulacin de


Lneas de Investigacin. Manizales. Grupo de Investigacin Gestin Integral de
Riesgos y Desastres. 2003. 10 p.

67
ANEXOS

ANEXO A: Encuesta De Conocimiento de los Procesos de Mesa de Ayuda

Fecha Cdigo formato EN-P01


Empresa rea

Para obtener un mejor conocimiento del proceso que se va a evaluar, se genera la


siguiente encuesta, la cual fue aplicada a 3 personas directamente involucradas
con el proceso y subprocesos del rea de mesa de ayuda de la empresa privada
trabajada, con el fin de conocer por medio de los usuarios encuestados la
informacin necesaria para la evaluacin de los riesgos.

Preguntas:

1. Se tiene identificado un proceso o subprocesos del rea de mesa de


ayuda?
2. Cul es el propsito del proceso y subprocesos del rea de mesa de
ayuda?
3. Cul es el objetivo del proceso y subprocesos del rea de mesa de
ayuda?
4. Cul es el alcance del proceso y subprocesos del rea de mesa de
ayuda?
5. Si se tienen identificados procesos y subprocesos, por favor indicar cules
son las actividades que se relacionan con cada uno de estos?
6. El rea de mesa de ayuda tiene relacin directa con otras reas?
7. El rea de mesa de ayuda que actualmente funciona cuenta con polticas
establecidas?, en caso afirmativo por favor mencionarlas.
8. Para los procesos y subprocesos del rea de mesa de ayuda por favor
indicar cuales son los usuarios?
9. Cuenta con documentacin donde se relacionen las actividades y
responsabilidades de los procesos y subprocesos del rea de mesa de
ayuda?
10. Se genera reporte estadstico de incidencias? Si su respuesta es
afirmativa, por favor facilitar la informacin.
11. Cmo se define la cantidad de operadores de mesa de ayuda, tanto de
soporte remoto como en sitio, que debe requerir cada proyecto?
12. Qu tecnologas utilizan para el registro de incidentes? Por ejemplo
software y/o equipos.

68
13. Cules son los riesgos a los que estn expuestos durante la operacin de
los procesos y subprocesos del rea?
14. Como garantizan la continuidad del negocio en cuanto a herramientas
tecnolgica se refiere.
15. Existen mtodos de toma de informacin manuales en caso de que las
herramientas tecnolgicas fallen para el registro de incidentes?
16. Cul es el nivel de incidentes generados que pueden ser fallidos para
atencin debido a la no atencin de la llamada.
17. Existen multas por parte de los clientes cuando no se cumplen los acuerdos
de nivel de servicio en la solucin de incidentes.
18. Cules son las actividades crticas de los procesos y subprocesos del rea
de mesa de ayuda.
19. Cul es el impacto que se genera en las actividades crticas mencionadas
anteriormente.

Elaborado por: ___________________

Presentado por: __________________

69
ANEXO B: Formato para Identificacin de Riesgos

Fecha Cdigo formato GR-IR01


Empresa rea

Tabla para listar actividades y analizar causas de riesgos

tem Procesos Subprocesos Actividades Causa del Riesgo Riesgo


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Elaborado por: ___________________

70
ANEXO C: Formato para Evaluacin de Riesgos

Fecha Cdigo formato GR-ER01


Empresa rea

Tabla para evaluar riesgos

No Procesos Subprocesos Actividades Causa del Riesgo Riesgo Probabilidad Impacto Calificacin Valoracin
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Elaborado por: __________________

71
ANEXO D: Formato para definicin de tratamiento de Riesgos

Fecha Cdigo formato GR-DT01


Empresa rea

Tabla para evaluar riesgos

No Procesos Subprocesos Actividades Causa del Riesgo Riesgo Valoracin Tratamiento


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Elaborado por: ___________________ Aprobado por: ___________________

72
ANEXO E: Formato para Definicin de Controles de Riesgos

Fecha Cdigo formato GR-CR01


Empresa rea

Tabla para definir los controles de riesgos segn su tratamiento.

No Procesos Subprocesos Actividades Causa del Riesgo Riesgo Probabilidad Impacto Valoracin Controles
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Elaborado por: ___________________

73
ANEXO F: Descripcin de Empresas de Servicios de Tecnologa

DESCRIPCION DE EMPRESAS DE SERVICIOS DE TECNOLOGIA

IBM COLOMBIA

Con su sede principal en Bogot; ofrece el servicio de mesa de ayuda (Help desk)
como un outsourcing garantizando el apoyo a los usuarios. Se basa en la
experiencia y trayectoria de la marca, ya que es uno de los productores y
distribuidores de equipos ms antiguos y entre sus servicios de tecnologa se
encuentran:

Almacenamiento de datos
Arquitectura y estrategia de TI
Comunicaciones Integradas
Continuidad del negocio
Data Center
Servicios de soporte tcnico
Atencin usuarios finales
Servicios de TI para empresas en crecimiento
Cloud Computing
Administracin de servicios (Managed Service)39

INTERSOFWARE

Con su sede principal en Medelln; Empresa dedicada a servicios de tecnologa


enfocados al manejo de los datos e informacin, ofrece su servicio como un
outsourcing para grandes empresas entre las que menciona EPM Bogot,
Bancolombia y Banco Colpatria. Su mesa de ayuda se dedica a dar soporte sobre
la administracin y gestin de bases de datos y servidores, sus servicios son:

Administracin, soporte, afinacin, continuidad de la base de datos y


servidores de aplicaciones
Garantizar seguridad, respaldo informacin y el cumplimiento de los niveles
de servicios pactados
Migracin e integracin de bases de datos
Desarrollo de proyectos de inteligencia de negocios40

39
IBM. Servicios de soporte al usuario final. 28 de octubre 2014. Disponible en Internet: < URL
http://www-935.ibm.com/services/co/es/it-services/servicios-de-soporte-al-usuario-final.htm
40
INTERSOFTWARE. Servicios Especializados de Tecnologa. 28 de Octubre. Disponible en
Internet. : < URL: http://www.intersoftware.org.co/content/servicios-especializados-de-tecnologia-e-
informatica-seti-sa

74
ACCENTURE

Empresa internacional con sede en Bogot, Colombia que brinda consultora y


servicios de tecnologa con un portafolio amplio. Su mesa de ayuda trabaja
para dar soporte sobre el outsourcing de infraestructura y al mejoramiento de la
misma basado en ITIL y Cobit. Su tcnica es la combinacin de metodologas y
servicios para lograr los objetivos. Sus servicios son:

Service Desk(Mesa de ayuda)


Workplace services(Servicios de Sitios o lugar de trabajo)
Data Center Services(Servicios de Data Center)
Network Services(Servicios de Red)
Security Services(servicios de seguridad)
IT Spend Management(Administration de gastos de IT)41

41
ACCENTURE. Consultora de Gestin y Servicios de Tecnologas. 28 de Octubre 2014.
Disponible en Internet : < URL: http://www.accenture.com/co-es/Pages/service-infrastructure-
outsourcing-overview-summary.aspx

75

You might also like