Riesgos

Riesgos o amenazas de la Compañia Control

Falta de capacitación en diferentes técnicas para el adecuado control de la Crear cronograma de capacitaciones en cuanto al control de la
información información y realizar el seguimiento respectivo
se desconoce la metodología de administración y protección de la solicitar información del control de la información de los software
información registrada en los software adquiridos con la ARL adquiridos por la ARL
Crear cronograma de capacitaciones en cuanto al control de la
cambios de normatividad en cuanto al tratamiento de la información información y realizar el seguimiento respectivo
Perdida de información por no realizar control de cambios en el proceso de integrar el subproceso de gestión documental a los demás sistemas
gestión documental de gestión de la compañía

empezar la nueva versión de ERP que ya contempla los mecanismos

para el control y restricción de la información de acuerdo al cargo
No se cuenta con mecanismos de confidencialidad en ERP

Realizar copias de respaldo (escaneo de los registros físicos) y

guardarlas en el servidor der la compañía
No hay copias de respaldo de los registros
Crear un espacio en en el archivo central donde se tendrá un acceso
Se tiene acceso compartido a los registros físicos con otros procesos restringido
realizar formato que permita el registro de prestamos de los
Falta de control en la prestación de documentos documentos físicos
No se cuenta con una medida de protección de la información en caso de
solicitar un aprendiz para el subproceso de gestión documental el cual
ausencia del personal encargado de resguardar dicha información en el
se encargara de apoyar
archivo central
no se cuenta con un espacio en el archivo central para resguardar la Crear un espacio en en el archivo central donde se tendrá un acceso
información correspondiente restringido
CAMBIO PERIÓDICO DE CLAVES (15 DÍAS)-ACTIVAR DOBLE
Sabotaje de claves e información, en correo
VALIDACIÓN (COD+CLAVE)
Almacenamiento inadecuado de información

Perdida de acta(s) u omisión de las mismas con probabilidad de ocurrencia

Media y un impacto sobre la imagen de la compañía importante
Filtración de utilidad en mano de obra con ocurrencia Tolerable y un
impacto Muy alto en espionaje industrial.
Filtración de utilidad de los productos para beneficio de agentes externos,
con una probabilidad de ocurrencia Tolerable y un impacto sobre la imagen
de la compañía alto
(HORAS EXTRA) Omisión de dichos reportes con probabilidad de
ocurrencia media con un impacto alto en Re recuperación de la información
Registro de ubicación detallada de conexiones
Perdida de equipos móviles, por robo o descuido del personal
Plagio o usurpación de las cuentas de correo electrónico.
Plagio o usurpación de la Información del cliente o de la compañía.
Perdida de información impresa (solicitudes de material, correos)
Usurpación de las actas de servicio diligenciadas.
Perdida de los equipos de comunicación de la compañía y la información.
Perdida de documentos y videos
Alteración de información
Divulgación de información
SOLICITAR A WEB MASTER ACCESO A MODULO DE ACTAS DE
SERVICIO
Protección con clave de archivos enviados PDF
Protección con clave de archivos enviados PDF
Envío de correo como respaldo de información
Protección con clave de archivos enviados PDF
Uso de contraseñas seguras, Que el correo solicite un nuevo inicio de
sesión una vez pasado X tiempo de inactividad, Reforzar la seguridad
de servidores y la información que entra y sale de estos corroboración
de los dominios
Servidores de respaldo en otro país, estrictos controles de seguridad
física e informáticos.
No generar información impresa que todo sea manejado digitalmente,
y que exista un control de impresiones
Controles sistematizado de actas utilizadas y disponibles, Manejo de
plataformas tecnológicas y eliminación del sistema de actas fisicas
todo se manejara digitalmente
Back up cada hora, codificación de seguridad que solicite credenciales
corporativas para la consulta de la información y que pida un código
que cambie rotativamente en caso de que no hayan estas
credenciales bloquear el sistema.
Realizar actas de responsabilidad por perdida en cada documento que
se genere y sea transportado o entregado, y elaboración de un chek
list para que en cada revista de supervisores , técnicos o se verifique
el estado de equipos y documentos
Realizar pruebas de escritura a todos los empleados actuales o
futuros, Verificación constante de libros de registros
generar políticas de confidencialidad y firmar pactos de
confidencialidad, restringir al máximo el uso de celulares a personal
de radio operadoras

Página 1
 Riesgos
Verificación continua de la documentación legal, verificación en las
No otorgamiento de Renovaciones en las licencias bases de datos de los organismos de control
Realizar actas de responsabilidad por perdida en cada documento que
se genere y sea transportado o entregado, y elaboración de un chek
Perdida de documentos y videos
list para que en cada revista de supervisores , técnicos o se verifique
el estado de equipos y documentos
Solicitar mantenimientos preventivos, dejando registro de los mismos
Deficiencia de equipos de monitoreo y actualización constante de los equipos.
Generar un documento que se entregue al contratado donde se
Rotación de personal establezcan reglas de confidencialidad
Entrenamiento insuficiente en seguridad y uso incorrecto en software y Programar capacitaciones dos veces al año ó cuando ingresa
hardware personal
Estudiar la posibilidad de tener proveedores externos en el evento que
suceda alguna interrupción de los servicios tanto en hardware como
Ausencia de planes de continuidad en software
Revisar los contratos firmados con los operadores para saber cual es
el margen de incidencia en los servicios y revisar si se puede tener un
backup con otro operador en el evento que el primero presente
Ausencia de acuerdos de nivel de servicio o insuficiencia de los mismos interrupciones.
Considerar medidas de seguridad física que permitan detectar los
Líneas de comunicación sin protección incidentes e informarlos para mitigar el evento
Revisar la configuración que tenemos en el firewall y determinar
Arquitectura insegura de la red nuevas estrategias para evitar intrusiones.
Realizar un análisis de amenazas, implementar controles de cambio
Gestión inadecuada de la red de contraseñas periódicas.
Realizar pruebas de intrusión externas para determinar las
Conexiones de red publicas sin protección vulnerabilidades que se presentan
Uso inadecuado o descuidado del control de acceso físico a las Revisar los perfiles de los usuarios para determinar los permisos a
edificaciones y los recintos cada departamento y realizar los cambios pertinentes.
Realizar un procedimiento donde el Departamento de Gestión
Humana informe que personal se retira para así realizar los
Ausencia de procedimiento formal para el registro y retiro de usuarios respectivos bloqueos y evitar el ingreso a la información.
Realizar un procedimiento donde el personal identifique y valores los
riesgos de acuerdo a cada proceso para tomar medidas y poderlos
Ausencia de procedimientos de identificación y valoración de riesgos mitigar o eliminar.
Programar con anticipación y solicitar el personal con las
competencias adecuadas para evitar demoras en la soluciones de los
Ausencia de personal inconveniente por falta de recurso humano.

Con el fin de mejorar la claridad en la solicitud de desarrollo, se

propone la creación y diligenciamiento de un formato de solicitud,
Solicitud de desarrollo donde se especifique a fondo el proceso a llevar a cabo en la solicitud.

Documentar el proceso de levantamiento de información mediante la

aplicación de modelos de diseño UML, con el fin de optimizar el
Levantamiento de información proceso y mejorar los niveles de información obtenidas en la solicitud.
Realizar pruebas sobre ambientes no productivos, para analizar el
Bases de Datos impacto sobre el cambio de estructura en la base de datos.

Actualizar paulatinamente los desarrollos con mayor antigüedad, con

el fin de mejorar la seguridad y uso de funciones mas recientes y
estables.

Implicar al proceso que realiza la solicitud, con el fin de que vea el

funcionamiento de las herramientas antes de ponerlas en producción,
con el fin probar su funcionamiento y fácil manejo y realizar
Software correcciones de ser necesario.

Ajustar el cronograma de actividades para que las solicitudes puedan

ser ejecutadas en el menor tiempo posible y de acuerdo a la carga
Ausencia de personal laboral presente al momento de iniciar el desarrollo de las solicitudes.

Página 2
 Riesgos

Es necesario adecuar un servidor de respaldo, para los servicios de

bases de datos y web, poniendo en marcha dicho servidor, se puede
controlar el alto nivel de riesgo asociado a fallas de hardware e
Servidor de producción infraestructura,liberar de carga el servidor principal y poder realizar
mantenimientos y ajustes en el mismo sin afectar el servicio al
usuario; Adicionalmente al adecuar un servidor de ambiente de
pruebas, se podrían reducir los riegos asociados a cambios e
implementación de nuevos módulos, analizar el impacto de actualizar
la versión de base de datos y servicio web.

Servidores de pruebas
herramientas tecnológicas
datos falsos en HV
Manipulación de documentos sin adecuado control
pacto de integridad
socializar la importancia de la reserva de información de la compañía
protocolo en la destrucción de documentos
archivo digital
control de la documentación en la impresora
herramientas tecnologicas
datos falsos en HV
inadecuado manejo de registros de en el proceso del cda
La información del inventario físico vrs sistema no es confiable
adquiriir productos sin el debido procedimiento establecido para la gestion
de las compras de la compañía. (sobre costos-mala calidad )
se incorporaran herramientas tecnológicas con el animo de
salvaguardar la información
se icorpora en el proceso estudio de seguridad
se establecerá un protocolo que controle el proceso de manipulación
de información en gestión del recurso humano
se establecerá un documento al contrato con el fin de firmar un pacto
de integridad
se iniciaran capacitaciones bajo cronogramas a fin de sociabilizar y
mantener el SSGI
se establecerá un protocolo que controle el proceso de destrucción de
documentos
se inicio el proceso de archivo digital de la documentación clasificada
se requiere independizar la impresora para manejo del recurso
humano
Documentos enlazados con los procesos transversales que requieren
la información, con niveles de acceso al sistema de acuerdo al nivel
de autoridad.
establecer niveles de autoridad al personal que puede modificar la
base de datos (inventario)
actualizar, divulgar procedimiento de compras a los los procesos
transversales que requieren adquirir productos.
establecer niveles de autoridad para personal autorizado para los
requerimientos de compras.
desarrollar procedimiento para el control de las comunicaciones.

identificar y establecer responsabilidades documentadas para el

personal de la compañía o terceros que interactúan con los diferentes
medios de comunicación.

establecer canales para acceder a los equipos de comunicación

documentos enlazados con los procesos transversales que requieren

la información, con niveles de acceso al sistema de acuerdo al nivel
informacion sin procedimiento para el control de las comunicaciones de autoridad.
(radios,celulares,frecuencias)

establecer canales de comunicación en envío o entrega de

documentos por medio de correo certificado.

empleo de claves con la empresa transportadora para la generación

falta de protocolos para la forma de empaque,envio y recepcion de de envíos por medio de correo certificado.
documentacion.
filtro de la información en los acuerdos con terceros establecer acuerdos de información mutuamente beneficiosos con
(proveedores,contratistas) terceros (proveedores,contratistas)
general impacta en otros procesos.
falta verificar si el actual software que maneja la compañía es el adecuado
para garantizar el aseguramiento de la información, veracidad y verificar niveles de autoridad y permisos de ingreso a todos los
confidencialidad usuarios de la compañía en el proceso del cda.

Página 3
 Riesgos
falta procedimiento en la comunicación y manejo de información conocida establecer documentos de fidelidad en aquellos cargos de
por los trabajadores (know how) responsabilidad de la compañía

tener trazabilidad en un sistema seguro y confiable (correo-pramas)

mal manejo en la información en la clasificación de residuos general impacta al proceso de nmc (ambiental)
general impacta en otros procesos.
acceso al sistema de información por parte de personal desvinculado de la
compañía procesos de sistemas verificar en la firma del paz y salvo.

INADECUADO MANEJO DE REGISTROS DE EN EL PROCESO DEL CDA DOCUMENTOS IDENTIFICADOS, CLASIFICADOS, ALMACENADOS
EN LUGAR SEGURO, GENERAR TABLA DE NIVELES DE ACCESO
A LA INFORMACION (RESERVADA,PUBLICA,CLASIFICADA)
FALTA DE IDENTIFICACION DE LOS PRODUCTOS EN EL ALMACÉN CAPACITACION Y CONTROL DEL PERSONAL QUE REALIZA LA
PARA EL MANEJO DE LA INFORMACIÓN IDENTIFICACION EN EL ALMACEN
CONTROLAR EL ACCESO AL AREA DE LABORATORIO.

DESARROLLAR PROCEDIMIENTO PARA LA ASIGNACION,

CONTROL (PUESTOS) Y RETORNO AL LABORATORIO DE
EQUIPOS DE COMUNICACION.
INFORMACION SIN PROCEDIMIENTO PARA EL CONTROL DE LAS
COMUNICACIONES (RADIOS,CELULARES,FRECUENCIAS)
IMPLEMENTAR PRECINTOS DE SEGURIDAD DE ACUERDO AL
TIPO DE PRODUCTO DEPENDIENDO DEL MEDIO DE
TRANSPORTE O ENVIO (MERCANCIA).

FALTA DE PROTOCOLOS PARA LA FORMA DE EMPAQUE,ENVIO Y UTILIZAR UNICAMENTE EL PROVEEDOR AUTORIZADO POR LA
RECEPCION DE DOCUMENTACION. COMPAÑIA.
Evaluación minuciosa de los servicios y seguimiento continuo por
Equivocación al momento de cotizar los servicios parte del Líder del proceso para mitigar errores de cotización
Validación de la pre-facturación por parte del Líder del proceso con el
fin de encontrar posibles errores para que la información siga su
Entrega incorrecta de prefacturacion al área contable tramite sin inconvenientes

Verificar los archivos consolidados para que al momento del cruce de

Omisión de información al momento de prefacturar la información no haga falta ninguna omisión del servicio o valores
Planificar con el área de calidad metodologías o manuales de
Ausencia de seguimiento a los procedimientos de identificación de los procedimientos para todos las actividades desempeñadas en el área
riesgos para mitigar los riesgos
Planificar con el área de calidad espacios y controles de gestión
Control insuficiente que resguarde información del cliente de forma segura. documental
Diferencias en los precios en los archivos consolidados del cliente vs Seguimiento con el cliente para identificar cambios en los valores, o
Marnell que servicios no incluidos
Solicitar al departamento administrativo re-ubicación para que los
Espacios inadecuados para tramites de legalizaciones tramites de las legalizaciones sean mas privados
Falta de redacción precisa de los servicios para poder ser bien Capacitar a los técnicos para que al momento de diligenciar las actas
interpretados de servicios la información sea legible y estandarizada
Crear cronograma de envío de pendientes por legalizar y apoyo por
Legalizaciones no oportunas por parte de los técnicos parte de los coordinadores
Perdida de documentación necesaria para realizar el cobro de los servicios Al establecer espacios adecuados y controles por calidad para
al cliente tratamiento de la documentación se mitigaría la perdida
Perdida de la papelería (robo o perdida) Apoyo continuo por parte del área de talento humano
Verificar antes de recibir la información por medio de formatos o
Recepción de información errónea
fuentes de entrega.
Elaborar copias de información que se identifique como prioritaria para
Perdida de la información
el usuario.
Determinar procedimientos de gestión documental resguardando la
Inadecuada gestión documental
información.
Revisar aleatoreamente la información ingresada brindando seguridad
Ingresar información errónea
de la misma.
Identificar el fin de la información categorizándola según su fuente y
Clasificación de la información
objetivo.
Respaldar la información con los respectivos datos o sucesos, los
Inexactitud de la información
cuales comprueben la exactitud de esta .
Presentar la información en las circunstancias y medios requeridos
Información inoportuna
para la posterior entrega de esta.
Mantener la información completa y actualizada para recepcionarla en
Extemporaneidad en la información
los tiempos solicitados.

Página 4
 Riesgos
Deterioro del Equipo de Computo
Duplicación de documentos en distintas ubicaciones
Fuga de información
Información incompleta / Entrega fuera de tiempo
Falta de información
Perdida de documentos
No envio de toda la documentación solicitada
Página 5
Realizar mantenimientos preventivos y correctivos.
Establecer que la información física sea manejada por un solo
proceso el cual se encargaría de escanear y subir a la plataforma
PRAMAS para consulta por la persona o proceso autorizado
Contar con un software de gestión documental, ya que almacenaría
los documentos y garantizaría la protección de los datos de la
empresa, Organización de funciones claras, y crear conciencia de
trabajo en equipo
Estandarizar de forma clara junto con los proceso involucrados la
forma y/o manera de recibir y/o entregar la información requerida
evitando retrasos ó posibles sanciones
Evitar la duplicidad de tareas, establecer conjuntamente con los
proceso involucrados la manera de llevar un archivo claro en donde se
pueda encontrar de una manera ágil y oportuna los documentos
requeridos ó puedan ser archivados sin contratiempos
Evitar la acumulación de grandes cantidades de documentos, realiza
una guía de entrega de los mismos dejando soporte de envío y/o
entrega de estos
La realización óptima de las tareas diarias a fin de minimizar el tiempo
de recuperación de cualquier documento
Riesgos

Página 6
Riesgos

Página 7
 Riesgos

a norma iso

Página 8