ANÁLISIS Y GESTIÓN DE RIESGOS DEL PROCESO DE GESTIÓN CAPITAL HUMANO PRESENTADO POR: DIANA BETANCOURTH BOLAÑOS 1150384 YURLEY ANDREA RODRIGUEZ VILLAMIZAR 1150391 PRESENTADO A: ING. JEAN POLO CEQUEDA OLAGO MATERIA SEGURIDAD INFORMATICA UNIVERSIDAD FRNACISCO DE PAULA SANTANDER FACULTAD DE INGENIERIA INGENIERIA DE SISTEMAS SAN JOSE DE CUCUTA 2013
INTRODUCCIÓN Con el advenimiento de la tecnologia y los grandes volumenes de datos que se almacena en ella, se hace necesaria la implementacion de mecanismos que permitan el aseguramiento de dicha informacion, es por esto que existen estandares o normas que nos ayudan a definir las directrices para la gestion de riesgos de seguridad de la informacion. Existen procesos en la universidad francisco de paula santander, en los cuales no se tiene en cuenta dicha gestion de riesgos para el asguramiento de la informacion, en este trabajo se plasmara el proceso de gestion de capital humano que es un proceso de apoyo que se encarga de gestionar y administrar la vinculacion, evaluacion, capacitacion, mantenimiento y retiro del personal que permita optimizar sus servicios. El proposito de este trabajo es porder identificar los riesgos presentados en el proceso de gestion de capital humano de la Universidad Franaciso de Paula Santander, el establecimiento del orden por prioridad para el tratamiento de los riesgos, la captura de informacion para mejorar el enfoque de la gestion de riesgos, entre otros.
ANÁLISIS Y GESTIÓN DE RIESGOS DEL PROCESO DE GESTIÓN DE CAPITAL HUMANO Teniendo en cuenta la Norma Tecnica Colombiana NTC-ISO/IEC 2700 y siguiendo sus directrices para la puesta en marcha de la gestion del riesgo en la seguridad de la informacion, se deben seguir: 1. Establecimiento de contexto 2. Valoración del riesgo 3. Tratamiento del riesgo 4. Aceptación del riesgo 5. Comunicación del riesgo 6. Monitoreo y revisión del riesgo De manera inmersa en cada una de estas etapas, se encuentran los procesos de planificar, hacer, verificar y actuar 1. ESTABLECIMIENTO DEL CONTEXTO: El proceso al cual se le aplicara la norma esta definido como la gestion del capital humano, cuyo objetivo es gestionar y administrar la vinculacion, evaluacion, capacitacion, mantenimiento y retiro del personal que permita optimizar sus servicios, este proyecto abarca todas las dependencias de la.universidad Francisco de Paula Santander. Este proceso se interrelaciona con todos los procesos y entes como clientes internos y externos, cuenta con una serie de requisistos externos (usuarios, beneficiarios) y legales, internos (de la institucion), meci 1000:2005 y NTCGP 1000:2004, estos se encargan de enmarcar dicho proceso por un camino en los terminos establecidos por la ley y la normatividad del alma mater, para asi poder seguir rigurosamente y llevar el proceso a feliz termino.
Teniendo en cuenta la criticidad de los activos de información de este proceso, ya que es un proceso indispensable en la institución porque sin capital humano, los reglamentos y requisitos legales que enmarcan este proceso, las partes involucradas y las consecuencias negativas que tendria empañar el buen nombre de la institucion si llegara a ocurrir perdida de la informacion o no se llevara a cabo este proceso, pues no seria posible llegar a cumplir los objetivos, mision y vision de la universidad. Las actividades que se desarrollarian en este proceso de acuerdo a los activos de informacion que se manejan son: Obtener las necesidades del personal y evaluar para definir el perfil de cargos y funciones Mantener programas que conlleven al mantenimiento del personal Diseñar y actuar el plan de formacion y evaluacion del personal Estructurar metodologias para la verificacion de acciones de formacion Vincular el personal Ejecutar los actos administrativos que soporten movimientos del personal y sus situaciones administrativas Elaborar nominas de pago del personal Actualizar permanentemente las hojas de vida del personal Evaluar el desempeño personal Validar las competencias del personal Evaluacion y seguimiento a los programas desde su vinculacion hasta el retiro del personal Controlar acciones de mejora Garantizar la eficiencia de la formacion impartida
Es necesario definir el alcance y el límite, con el fin de garantizar que todos los activos de informacion relevantes se toman en consideracion en la valoracion del riesgo, para este caso, estos alcances y límites serian: A nivel tecnologico, los puestos de trabajo; ya que se cuenta con cierta cantidad de equipos de computo limitados A nivel fisico, el presupuesto; ya que para la infraestructura fisica se necesitan licitaciones, convenios y aceptacion del gobierno nacional. A nivel humano, los profesionales universitarios; puesto que son el personal idoneo para dirigir la oficina de capital humano y el personal que esta presente en toda la institución. 2. VALORACIÓN DEL RIESGO: Análisis del riesgo o Identificación del riesgo A continuación se mencionaran algunos de los activos de información de este proceso: Base de datos con la información de los funcionarios Programas de seguridad social y de bienestar Vinculaciones de los funcionarios Planes institucionales e informes de gestion Los manuales o programas presentados por las dependencias El proceso de selección del personal Equipos de computo Infraestructura física
Es importante identificar las amenazas obtenidas de acuerdo a los activos: Posibles fallas en la corriente elctrica que suministra al centro de cómputo. No hayan funcionarios en bienestar universitario que preste los servicios requeridos por el personal de docentes de la institución. Que haya una congestion en epocas de vinculación de los funcionarios. Los informes institucionales de gestion no esten listos a tiempo debido a un retraso en su calendario. Que haya una violación y sean vulnerados los manuales o programas presentados por las dependencias Que el proceso de reclutamiento selección y capacitación del personal no cuente con la calidad y exigencia necesaria, establecida bajo los terminos de la ley, por que los funcionarios encargados de estas actividades no cumplen normatividad. Que existan pocos equipos de computo, o surgan imprevistos de daño de hardware Que por cuestiones ambientales, o de mejora se bloquee el acceso a ciertos edificios, no permitiendo el paso a sus horas de clase, perjudicando por ende a los docentes catedraticos. Para dichas amenazas plasmadas anteriormente, es necesario entonces identificar los controles existentes para planificar estas amenazas: Tener una planta electrica independiente, en donde en caso de fallar la que se tiene en uso, se habilite esta automaticamente, permitiendo asi que los equipos no se apaguen y que de pronto haya una perdida repentina de la información.
Definir un horario establecido para funcionarios de bienestar universitario para que ellos puedan ofrecer todos los beneficios que brindan. Tener un servidor adicional, para que esos procesos de vinculación no sean tediosos. Realizar la calendarizacion a traves de diagramas de Gantt para poder establecer fechas de inicio y entrega y asi estar monitoreado para no quedar mal en las fechas pactadas. Tener un personal calificado idóneo para el proceso de reclutamiento, selección, contratacion y capacitaciones. o Estimación del riesgo Para la estimación del riesgo se hace necesario adoptar una metodologia para la estimación, que puede ser cualitativa o cuantitativa. Se hace una valoración de las consecuencias, donde se listan los escenarios de incidentes pertinentes, que incluya la identificación de amenazas, vulnerabilidades, activos y procesos, valoracion de los incidentes, el nivel de estimacion de riesgo que es el encargado de listar los escenarios de incidente con las consecuencias relacionadas con los activos, procesos y probabilidad. Evaluación del riesgo En este caso los criterios de los riesgos son pertinentes ya que tienen un impacto directo con el capital humano de la Universidad Francisco de Paula Santander.
Estos riesgos son altamente importantes, hay que mitigarlos para que asi no se materialicen y se conviertan en amenazas para este proceso de gestion de capital humano en el alma mater. 3. TRATAMIENTO DEL RIESGO: Para este caso se hace necesario tener en cuenta los seguimientos y las mediciones de la gestión del proceso, ya que deben presentar a cabalidad el cumplimiento del programa de formación, competencias del personal y la evaluacion de desempeño, de acuerdo a esto se establece una meta, con su respectivo indicador el cual sera la eficacia cuyo responsable de todo es el lider del proceso y se realizara semestral. Las prioridades de los riesgos establecidos anteriormente serian, los que afectan directamente a la base de datos, seria en este caso la perdida repentina de corriente en la sala de computo de divisist, seguidamente la congestion en el proceso de vinculación del personal, y el proceso de reclutamiento selección, contratación y capacitaciones. 4. ACEPTACIÓN DEL RIESGO: Se establecerán criterios de aceptación de los riesgos que dependerán de las políticas, metas, objetivos de la Universidad Francisco de Paula Santander y los manuales de procedimientos del proceso de gestión de capital humano. La aceptación de los riesgos identificados la realizara el director de la organización en este caso el Rector de la Universidad y se registrara de manera formal.
Se revisaran y aprobaran los planes propuestos para el tratamiento del riesgo y los riesgos residuales resultantes; si se llegase a existir un riesgo que no cumpla con los criterios de aceptación pero que sea necesaria su aceptación para el beneficio de la organización se argumentara dentro del documento formal de aceptación la debida justificación. 5. COMUNICACIÓN DEL RIESGO: La comunicación eficaz entre las partes involucradas es importante, ya que garantizara que aquellos responsables de la implementación de la gestión de los riesgos y aquellos con intereses establecidos comprenden las bases sobre las cuales toman las decisiones y por qué se requieren acciones particulares. El líder del proceso de capital humano será el encargado de comunicar a todas las dependencias de la Universidad por medio de estrategias que concienticen a todo el personal de la importancia de darle un tratamiento establecido a todos los riesgos identificados en pro del mejoramiento de los servicios del capital humano. También es de gran importancia que el líder del proceso de capital humano escuche las percepciones de los riesgos por parte del personal a su cargo debido a que estas pueden variar de acuerdo a las necesidades, los problemas y los intereses de las partes involucradas, esto con el fin de mejorar el plan de tratamiento de riesgos. El resultado de la gestión de los riesgos dependerá de la comunicación que se dé a los involucrados ya que estos serán los directamente implicados en la implantación del plan.
6. MONITOREO Y REVISIÓN DEL RIESGO: Los riesgos no son estáticos por ello es de gran importancia que se esté dando un monitoreo continuo a los riesgos ya identificados, estos pueden cambiar dentro de la organización y no solo eso sino que pueden surgir nuevas amenazas y por tanto nuevos riesgos. El líder del proceso de capital humano estará encargado de realizar actividades de monitoreo de riesgos con regularidad y también revisara periódicamente las opciones seleccionadas para el tratamiento de los riesgos con el fin de determinar si es adecuado modificarlas. Dentro de las actividades de monitoreo se tendrá en cuenta el análisis de si hay activos nuevos que deben incluirse en la gestión de riesgos, las nuevas amenazas que no se han valorado ya sea dentro o fuera de la organización, así como también la evaluación a los riesgos ya detectado debido a que su valoración puede variar con el paso del tiempo. Se realizara también una revisión periódica a los criterios de impacto, criterios de evaluación del riesgo y criterios de aceptación del riesgo; ya que estos determinan el tratamiento de los mismos.
CONCLUSIONES La gestión de los riesgos tecnológicos es importante dado que las organizaciones al usar tecnología en su actividad diaria y como parte de sus procesos de negocio se encuentran expuestas a este tipo de riesgos; por ello pueden afectar la actividad propia de las mismas y ser fuentes de pérdidas y daños considerables. Los planes de seguridad deben enfatizar en crear conciencia en seguridad para prevenir riesgos y buscar estrategias para obtener el apoyo de la alta dirección con el fin de cumplir con los objetivos y asegurar la información crítica. Las organizaciones deben robustecer su protección a nivel físico (lo correspondiente a infraestructura, incluyendo la tecnológica), nivel lógico (sistemas de información y software) y factor humano (toma de medidas organizacionales); en estos tres aspectos está presente el uso de tecnología y por ello la exposición a este tipo específico de riesgo crece constantemente.