Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

PLAN DE CONTINGENCIA EN ARCHIVOS DE GESTIÓN PARA LA

Anuncio 
PLAN DE CONTINGENCIA EN
ARCHIVOS DE GESTIÓN PARA LA EMPRESA P&Z SERVICIOS LTDA.
Bibliotecóloga. DIANA ESPERANZA MORALES VELASQUEZ
Ingeniera de Sistemas. CLAUDIA MARTINEZ CAMACHO
UNIVERSIDAD DE LA SALLE
FACULTAD DE POSTGRADOS
ESPECIALIZACION EN SISTEMAS DE INFORMACION Y GERENCIA DE
DOCUMENTOS
BOGOTA
2007
PLAN DE CONTINGENCIA EN ARCHIVOS DE GESTIÓN PARA LA
EMPRESA P&Z SERVICIOS LTDA.
Bibliotecóloga. DIANA ESPERANZA MORALES VELASQUEZ
Ingeniera de Sistemas. CLAUDIA MARTINEZ CAMACHO
Trabajo de grado para optar el título de Especialista en Sistemas de
Información y Gerencia de Documentos
UNIVERSIDAD DE LA SALLE
FACULTAD DE POSTGRADOS
ESPECIALIZACION EN SISTEMAS DE INFORMACION Y GERENCIA DE
DOCUMENTOS
BOGOTA
2007
Nota de aceptación:
__________________________
__________________________
__________________________
__________________________
__________________________
__________________________
Firma del presidente del jurado
__________________________
Firma Jurado
__________________________
Firma Jurado
Bogotá, Diciembre 1 de 2007
CONTENIDO
Pág.
INTRODUCCION
1. MARCOS DE REFERENCIA
10
1.1.
12
MARCO LEGAL
2. IDENTIFICACION DE AMENAZAS
2.1.
ANALISIS DE AMENAZAS DE LOS ARCHIVOS DE
GESTION DE P&Z SERVICIOS LTDA
2.2.
14
15
ANALISIS DE DEBILIDADES DE LOS ARCHIVOS
DE GESTION DE P&Z SERVICIOS LTDA
17
3. MATRIZ DE EVALUACIÓN Y ANÁLISIS DE RIESGOS
PARA LAS DEBILIDADES Y AMENAZAS DETECTADAS
EN LOS ARCHIVOS DE GESTIÓN DE P&Z
SERVICIOS LTDA
19
3.1.
CALIFICACION DE AMENAZAS
20
3.2.
MATRIZ DE AMENAZAS
22
3.3.
CALIFICACION DE DEBILIDADES
26
3.4.
MATRIZ DE DEBILIDADES
27
4. CONTROLES PARA REDUCIR LAS DEBILIDADES
Y AMENAZAS DETECTADAS
4.1.
PRIORIZACION DE AMENAZAS Y DEBILIDADES
4.2.
OPCIONES DE TRATAMIENTO DE AMENAZAS
Y DEBILIDADES
30
30
33
5. ESTRUCTURA Y CONTENIDOS DEL PLAN
DE CONTINGENCIA
37
5.1.
ESCENARIOS DE CONTINGENCIA
37
5.2.
DEFINICION DE RESPONSABILIDADES
37
5.3.
REQUERIMIENTOS FUNCIONALES
39
5.4.
DESCRIPCION DE PROCESOS DEL ARCHIVO
DE GESTION DE P&Z
42
5.5.
IDENTIFICACIÓN DE PROCESOS CRÍTICOS
43
5.6.
INVENTARIO DE RECURSOS
44
5.7.
RECURSOS DE INFORMACION
5.8.
RECURSOS TECNOLÓGICOS – SOFTWARE
46
5.9.
RECURSOS TECNOLÓGICOS – HARDWARE
47
45
5.10. INVENTARIO DE INSTALACIONES FISICAS
48
5.11. INVENTARIO DE RECURSO HUMANO
49
5.12. DISEÑO E IMPLEMENTACION DEL PLAN
49
5.13. CAPACITACION Y PRUEBAS
55
5.14. MANTENIMIENTO DEL PLAN
57
6. CONCLUSIONES
7. BIBLIOGRAFIA
LISTA DE TABLAS
Pág.
TABLA 1. ANÁLISIS DE AMENAZAS
15
TABLA 2. ANÁLISIS DE DEBILIDADES
18
TABLA 3. CALIFICACIÓN DE AMENAZAS
20
TABLA 4. CONSECUENCIAS DE AMENAZAS
21
TABLA 5. CONSECUENCIAS HUMANAS DE LAS AMENAZAS
22
TABLA 6. CONSECUENCIAS DE INFORMACIÓN DE LAS AMENAZAS 23
TABLA 7. CONSECUENCIAS DE IMPACTO ECONÓMICO DE LAS
AMENAZAS
25
TABLA 8. CALIFICACIÓN DE DEBILIDADES
26
TABLA 9. CONSECUENCIAS DE DEBILIDADES
27
TABLA 10. CONSECUENCIAS DE INFORMACIÓN DE LAS
DEBILIDADES
28
TABLA 11. CONSECUENCIAS DE IMPACTO ECONÓMICO DE LAS
DEBILIDADES
29
TABLA 12. IMPACTOS
30
TABLA 13. CONTROLES EXISTENTES
32
TABLA 14. OPCIONES DE TRATAMIENTO DE AMENAZAS Y
DEBILIDADES
TABLA 15. ESCENARIOS DE CONTINGENCIA
36
37
TABLA 16. DESCRIPCIÓN DE PROCESOS DEL ARCHIVO
DE GESTIÓN
42
TABLA 17. IDENTIFICACIÓN DE PROCESOS CRÍTICOS
43
TABLA 18. INVENTARIO DE RECURSOS
45
TABLA 19. IDENTIFICACIÓN DE REGISTROS VITALES
50
TABLA 20. CENTROS ALTERNOS
52
TABLA 21. DESCRIPCIÓN DE ESTRATEGIAS
55
INTRODUCCION
Antecedentes del problema. Hoy día las organizaciones con la sofisticación
tecnológica y la complejidad en el manejo de la información, enfrentan distintas
amenazas. El riesgo de los documentos está siempre presente. Es así como se
debe asegurar la capacidad de supervivencia de los archivos para preservar la
memoria institucional protegiéndolos de riesgos, desastres naturales o actos mal
intencionados. La confidencialidad, integridad y disponibilidad de la información en
las empresas, es fundamental para la toma de decisiones en el momento oportuno
y conservación de sus fondos documentales.
Una de las mayores tragedias que le puede sobrevenir a un archivo es ser victima
de un siniestro.
Ante la carencia de un plan de contingencia para la seguridad de la información,
se han aumentado los casos de fraudes y riesgos en el manejo de la información
en la mayoría de los procesos de gestión documental.
Para ilustrar el anterior párrafo mencionaremos el caso del fraude de los 13.5
millones de dólares. “El fraude se realizó a partir del desembolso de un empréstito
efectuado a Colombia por 47.2 millones de dólares a través del Chase Manhattan
Bank de New York. El empréstito se realizó en varios desembolsos, el último de
los cuales, por 13.7 millones de dólares, se efectuó el 10 de mayo de 1982. De
acuerdo con Carlos Holguín “el fraude se realizó mediante tres télex falsificados
que
usaron
(suplantaron)
el
número
de
respuesta
answerback
45407
correspondiente a una máquina de télex del Banco de la República y la orden fue
comunicada con el nombre del Director General de Crédito Público del Ministerio.
1
La respuesta del Chase fue remitida en un día festivo al Banco de la República,
contraviniendo los sistema de control que se habían establecido para este tipo de
transacciones, a una línea intervenida por los defraudadores”.1
Para prevenir las consecuencias de estas situaciones y definir las estrategias que
aseguraren la continuidad de la actividad en el menor tiempo y con el menor
trastorno posible, se hizo necesaria la elaboración de planes de continuidad del
negocio para las distintas actividades de la empresa.
La empresa P&Z Servicios Ltda., cuenta con planes de contingencia para la
seguridad de información a nivel informático, pero no un plan que contemple todos
los procesos de la administración de los documentos físicos que se conservan en
sus archivos de gestión.
P&Z Servicios Ltda., compañía debidamente constituida conforme a las normas de
la República de Colombia, tiene dentro de sus objetos sociales el desarrollo de las
actividades relacionadas con los servicios de outsourcing de administración de
información y gestión documental.
Esta empresa garantiza el cubrimiento de todas las etapas del ciclo vital del
documento, desde la creación hasta la eliminación o conservación en archivos
permanentes o históricos. Presta servicios profesionales relacionados con
elaboración de tablas de retención documental, administración de documentos,
organización
de
archivos
y
recepción,
radicación
y
distribución
correspondencia.
1
González Hernández, Sara. Archivos: desorganizados fuente de corrupción administrativa.
Archivo General de la Nación. Bogotá, 2006
2
de
De la misma manera, cuenta con sistemas de información que permiten
soluciones integrales o puntuales acordes a las necesidades de sus clientes y con
el permanente respaldo de un equipo interdisciplinario de profesionales y técnicos
integrados en un agradable ambiente laboral, mejorando su desempeño día a día.
Cuenta con experiencia tanto en el sector privado como en el sector oficial,
habiendo prestado servicios con la más alta calidad técnica a grandes y pequeñas
empresas,
con el fin de tener clientes satisfechos, y respondiendo a sus
necesidades, aportando ideas que generen valor al servicio prestado.
Descripción. No obstante la calidad de la infraestructura de servicios que ofrece
para los clientes, al interior de la empresa se presentan dificultades con la
seguridad de los documentos propios de la compañía, es decir, aquellos recibidos
y generados en ejercicio de sus funciones, al momento de requerir información
para la toma de decisiones estos no se localizan a tiempo y en su totalidad.
Adicionalmente, se identificaron algunas debilidades que en materia de gestión
documental enfrenta la empresa:
Descentralización de archivos
Los archivos de gestión de P&Z Servicios Ltda. están descentralizados, y están
ubicados en dos áreas geográficamente dispersas, una de ellas, en una oficina
que no cuenta con las condiciones físicas requeridas para la conservación, ya que
existe poca iluminación y humedad, y la otra en una bodega en un parque
industrial lo cual dificulta el proceso de búsqueda y administración de la
información. Adicionalmente los procesos del archivo se ven afectados por esta
debilidad.
3
Traslados no programados
Cuando se presentan auditorías externas, es necesario el traslado del archivo de
gestión a un solo sitio, ya sea en la oficina o en la bodega, esto genera pérdida,
deterioro y desorganización de los documentos porque dicho traslado se realiza
sin las medidas de seguridad adecuadas.
Los traslados de información por la misma descentralización de las áreas generan
otro tipo de situaciones que afectan la toma de decisiones de la gerencia.
Espacios insuficientes
La falta de espacios físicos o contar con un espacio demasiado reducido no
permite un manejo adecuado para la conservación, almacenamiento y
administración de los archivos de gestión.
Deficiencia tecnológica
La empresa no tiene un servidor apropiado para el almacenamiento de la
información de los archivos de gestión y en general de la administración
documental, puesto que el que se utiliza no cumple con las especificaciones
técnicas adecuadas para tal fin.
Se presentaban constantes fallas de las herramientas tecnológicas debido a
caídas del sistema, ya que la infraestructura que se tenía era muy limitada.
4
Seguridad insuficiente
No existe un sistema de seguridad que garantice la restricción de entrada a las
áreas donde se encuentran los archivos de gestión, ya que algunas puertas se
pueden abrir muy fácilmente y la vigilancia no revisa con detenimiento los
documentos que salen de la empresa.
Desorganización
Los archivos de gestión no están organizados de acuerdo con criterios técnicos ni
inventariados en su totalidad, lo que requiere de grandes esfuerzos a la hora de
consultar información.
Es así como los documentos esenciales no se identifican fácilmente lo que le
impide a la organización la continuidad del negocio en casos de siniestro,
vandalismo, sabotaje y problemas de orden público.
No existe unificación de criterios para todas las dependencias referente a la
clasificación, ordenación y conservación de la documentación.
Perfil inadecuado del administrador del archivo
El funcionario encargado de la administración del archivo de gestión, no tiene el
suficiente conocimiento de las herramientas informáticas, lo cual trae como
consecuencia errores en la gestión documental y represamiento en los diferentes
procesos.
5
La información correspondiente a los diferentes proyectos y licitaciones en que la
empresa ha participado, no están centralizados en la oficina principal, además, es
administrada por otra persona diferente al encargado del archivo de gestión, lo
que dificulta el acceso a la información cuando ésta se ausenta.
Por lo anterior, es difícil garantizar la seguridad, disponibilidad y recuperación de
los documentos y contar con políticas, procedimientos y estándares necesarios
para el buen funcionamiento del archivo.
Gestión documental no aplicada
No existe una infraestructura de gestión documental que garantice el estado de
conservación, y búsqueda de documentos, ya que no se han desarrollado
estrategias de información integrando la informática y los procesos archivísticos.
Entonces, se desconoce el flujo documental de los procesos establecidos en P&Z.
Delimitación. Se elaboró un plan de contingencia en archivos de gestión para la
compañía P&Z servicios Ltda., el cual se aplicará durante el año 2008 en la ciudad
de Bogotá.
Pregunta de investigación. ¿Qué elementos debía contener el plan de
contingencia para la seguridad física de los documentos de P&Z Servicios Ltda.?
Justificación. El activo más importante que posee cualquier empresa es la
información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la
seguridad física que se establezca sobre los equipos en los cuales se almacena.
6
En consecuencia, para que una organización funcione correctamente y alcance los
objetivos propuestos por la dirección, es necesario disponer de recursos físicos,
económicos, humanos, materiales e intangibles como la información.
Aunque se administren estos recursos, la cultura de producción y almacenamiento
de documentos sin criterios archivísticos, es la que precisamente deja a P&Z al
descubierto en situaciones en las que los documentos que sirvan de prueba
judicial corran el riesgo de no ser aceptados; o cuando constituyen la base de la
memoria histórica institucional y ella está por perderse en un disquete o se da
cuenta que el disco “no corre”, o el documento físico no se encuentra en el
expediente correspondiente.
Es importante destacar al papel como el soporte más relevante durante siglos y
del cual se conocen los aspectos en materia de administración y conservación; por
lo demás, los otros soportes si acaso trascienden a un poco más de un siglo de
existencia. Aunque todos los soportes son el sustento de los documentos, no
todos se administran de la misma manera, ni todos son considerados con la
misma aceptación en el campo jurídico porque como es sabido, los soportes
electrónicos no satisfacen plenamente este requisito por múltiples razones.
Por lo anterior experimentar una pérdida de información en la organización
ocasiona dificultades en la gestión gerencial de la misma. Las principales causas
de la perdida de información están enfocadas en los errores humanos y en menor
grado los errores tecnológicos y desastres naturales.
El diseño de un plan de contingencia permitirá superar todas aquellas situaciones
que pueden provocar importantes pérdidas, no solo materiales sino aquellas
derivadas de la paralización del negocio, y cualquier falla y evento inesperado que
P&Z pueda enfrentar.
7
El plan de contingencia minimiza las fuentes de riesgos y aumenta la seguridad
de la continuidad en el negocio, estableciendo políticas y acciones que aseguran
la adecuada conservación y almacenamiento de los documentos. El factor costo
beneficio se ve reflejado en la economía de P&Z Servicios Ltda. con la aplicación
de dicho plan de contingencia.
El plan de contingencia facilita la toma de decisiones y el desarrollo de los
procesos, igualmente la definición de tiempos de respuesta ante cualquier
interrupción de las operaciones normales y servicios de la organización.
Objetivo General. Elaborar un plan de contingencia en archivos de gestión para la
compañía P&Z Servicios Ltda., que garantice la continuidad del negocio ante
eventos que pongan en peligro su operación.
Objetivos Específicos. Los objetivos específicos que se cumplieron fueron:
Identificar las debilidades y amenazas asociadas a la gestión de la información y
los archivos de gestión de P&Z Servicios Ltda.; construir una matriz de evaluación
y análisis de riesgos para las debilidades y amenazas detectadas que permitieron
definir las líneas de acción en los archivos de gestión de P&Z Servicios Ltda.;
diseñar controles para reducir las debilidades y amenazas detectadas; diseñar la
estructura y los contenidos del plan de contingencia; diseñar un programa de
difusión y socialización del plan de contingencia a todo el personal de la empresa.
Diseño Metodológico. Tipos de estudio. Estudio de caso.
Es cuando una
muestra está constituida por un solo caso (una persona, una organización, un
sector o una región). Sirve para estudiar intensivamente características básicas, la
situación actual y las interacciones con el medio. Tiene como característica el
8
estudio a profundidad de una unidad de observación, teniendo en cuenta
características y procesos específicos de esa unidad. 2
Adicionalmente son útiles para obtener información básica para planear
investigaciones más amplias, pues arrojan luz sobre importantes variables,
interacciones y procesos que merezcan ser investigativos más extensivamente3.
Es un proceso de investigación centrado en entender un fenómeno específico
dentro de su contexto de la vida real, que por lo general comprende múltiples
fuentes de información4.
Fuentes de información y técnicas de recolección. Las técnicas de recolección
que se aplicaron para el desarrollo del trabajo de investigación fueron:
• la observación
• y la entrevista.
Para la elaboración del análisis de riesgo y el diseño de la estructura y los
contenidos del plan de contingencia se utilizó la técnica de investigación
documental que consiste en la consulta de fuentes bibliográficas o documentales
relacionadas con el tema.
2
Isaza Castro, Jairo Guillermo; Rendón Acevedo, Jaime Alberto. Guía metodológica para la
formulación y presentación de proyectos de investigación: apuntes de clase. 2ª. Ed. Bogotá:
Universidad de la Salle, 2007.
3
Tamayo y Tamayo, Mario. Serie aprender a Investigar. Bogotá, ICFES, 1995.
4 Turgeon, D. IDRC Books free online. En línea: http://www.idrc.ca/es/ev-30231-201-1DO_TOPIC.html
9
1. MARCOS DE REFERENCIA
El plan de contingencia nace de un análisis de riesgos, donde se identifican
amenazas y debilidades que afectan la continuidad del negocio. Igualmente
cuando se materializa es cuestionado y calificadas las amenazas de acuerdo con
la probabilidad y el impacto en los recursos de la organización.
1.1 MARCO CONCEPTUAL
Plan de Contingencia. Es el conjunto de procedimientos alternativos a la normal
operación de cada empresa, cuya finalidad es la de permitir el funcionamiento de
ésta, aún cuando alguna de sus funciones deje de hacerlo por culpa de algún
incidente tanto interno como ajeno a la organización.5
Amenazas. Para que una organización funcione correctamente y alcance los
objetivos propuestos por la dirección, es necesario disponer de recursos físicos,
económicos, humanos, materiales e intangibles. Estos recursos se encuentran en
un entorno de incertidumbre, estando sometidos a amenazas, que son los eventos
que pueden desencadenar un incidente en la organización, produciendo daños
materiales o pérdidas inmateriales en sus activos. Las causas de estas amenazas
son de diversos tipos: humanas, que a su vez, pueden ser intencionadas o no
intencionadas, estas últimas como consecuencia de errores; y no humanas:
accidentes o desastres (de origen natural o industrial), averías, interrupciones de
servicios o suministros esenciales6.
5
Tamayo y Tamayo, Mario. Serie aprender a Investigar. Bogotá, ICFES, 1995.
Zapata Cárdenas, Carlos Alberto. Apuntes de clase de la asignatura de Planes de Contingencia
en Archivos. Bogotá: Universidad de la Salle 2007
6
10
Vulnerabilidad.
Es
la
potencialidad
o
posibilidad
de
ocurrencia
de
la
materialización de una amenaza sobre los recursos disponibles en la organización.
Es una propiedad derivada de la relación entre recurso y amenaza, que depende
de la frecuencia en que la amenaza se convierta en una agresión materializada
sobre los recursos.
Impacto. Debe considerarse que el impacto en los recursos disponibles en la
organización, es la consecuencia de la materialización de una amenaza. Este
impacto será cualitativo cuando se produzcan pérdidas funcionales y cuantitativas
si las pérdidas se pueden traducir en dinero de forma directa o indirecta.
Riesgo. Es la probabilidad de que se produzca un impacto determinado en los
recursos disponibles, en una parte de la organización o en toda ella.7
Análisis de riesgos. Es un paso importante para implementar la seguridad de la
información. Como su propio nombre lo indica, es realizado para detectar los
riesgos a los cuales están sometidos los recursos de una organización, es decir,
para saber cuál es la probabilidad de que las amenazas se concreten.
Debilidades. Son aquellos factores en los que se encuentra en una posición
desfavorable la empresa respecto de sus competidores. Son características
internas importantes para la operación, de poco desarrollo o inexistentes y que
limitan o inhiben el éxito general de una organización8.
Probabilidad: Está determinada por la posibilidad de que ocurra un evento que
pueda originar consecuencias negativas.
7
Mejía. Rubi Consuelo. Administración de riesgos un enfoque empresarial. Medellín: Universidad
EAFIT, 2006.
8 Zapata Cárdenas, Carlos Alberto. Apuntes de clase de la asignatura de Planes de Contingencia
en Archivos. Bogotá: Universidad de la Salle 2007
11
1.2 MARCO LEGAL
DECRETO 4124 Diciembre 10 de 2004 Artículo 10. Las personas naturales o
jurídicas de derecho privado, que estén bajo inspección, vigilancia e intervención
del Estado, deberán tener el archivo creado, organizado, preservado y controlado,
teniendo en cuenta los principios de procedencia y de orden original, el ciclo vital
de los documentos, y las normas que regulen a cada sector, siempre y cuando no
contraríen las normas sobre propiedad intelectual y no se vulneren los derechos
otorgados por el artículo 15 de la Constitución Política.
Artículo 11. Nuevas tecnologías. Las personas naturales o jurídicas de derecho
privado podrán incorporar tecnologías de avanzada en la administración y
conservación de los archivos, empleando cualquier medio técnico, electrónico,
informático, óptico o telemático; estos medios podrán ser utilizados por las
entidades privadas que cumplen funciones públicas en la administración y
conservación de los archivos que se deriven de la prestación de la función pública,
siempre y cuando cumplan con los requisitos establecidos en los artículos 19, 21,
47, 48 y 49 de la Ley 594 de 2000.
Ley 87 de 1993, por la cual se establecen normas para el ejercicio del control
interno en as entidades y organismos del Estado y se dictan otras disposiciones,
artículo 2 literal a) proteger los recursos de la organización, buscando su
adecuada administración ante posibles riesgos que los afectan. artículo 2 literal f)
definir y aplicar medidas para prevenir los riesgos, detectar y corregir las
desviaciones que se presenten en la organización y que puedan afectar el logro de
los objetivos.
Decreto 1537 de 2001, por el cual se reglamenta parcialmente la Ley 87 de 1993
en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de
control interno de las entidades y organismos del Estado que en el parágrafo o del
12
artículo 4º señala los objetivos del sistema de control interno (…) define y aplica
medidas para prevenir los riesgos, detectar y corregir las desviaciones…y en su
artículo 3º establece el rol que deben desempeñar las oficinas de control interno
(…)
que se enmarca en cinco tópicos (…) valoración de riesgos. Así mismo
establece en su artículo 4º la administración de riesgos, como parte integral del
fortalecimiento de los sistemas de control interno en las entidades públicas (…).
El Decreto 1599 de 2005 define al riesgo como el elemento de control, que
posibilita conocer los eventos potenciales, estén o no bajo el control de la entidad
pública, que ponen en riesgo el logro de su misión, estableciendo los agentes
generadores, las causas y los efectos de su ocurrencia.
13
2.
IDENTIFICACION DE AMENAZAS Y DEBILIDADES ASOCIADAS A LA
GESTION DE LA INFORMACION Y LOS ARCHIVOS DE GESTIÓN DE
P&Z SERVICIOS LTDA
Como resultado de los análisis de los procesos, y una vez conocidos los recursos
que debemos proteger, se identificaron amenazas y debilidades que se ciernen
contra ellos. Dichas amenazas y debilidades se consolidaron a través de la
observación y las entrevistas realizadas a funcionarios de la empresa.
Se califica el riesgo como:
• Muy Probable: Es la posibilidad alta de que ocurra un evento que pueda
originar consecuencias negativas.
• Probable: Es la posibilidad normal de que ocurra un evento que pueda
originar consecuencias negativas.
• Poco Probable: Es la posibilidad mínima de que ocurra un evento que
pueda originar consecuencias negativas.
Se califica el impacto como:
• Alto: Para la debilidades que ponen en mayor riesgo el archivo de gestión
de la empresa.
• Medio: Para las debilidades que ponen en un riesgo moderado al archivo de
gestión.
• Bajo: para las debilidades que ponen en un riesgo mínimo al archivo.
La calificación dada al riesgo y al impacto se obtuvo a partir de la identificación de
las amenazas, debilidades y de los datos que aportaron los funcionarios de la
entidad.
14
2.1.
ANALISIS DE AMENAZAS DE LOS ARCHIVOS DE GESTION DE P&Z
SERVICIOS LTDA.
AMENAZAS (FACTORES DE
PROBABILIDAD
IMPACTO
Inundación
Probable
Alto
Incendio
Probable
Alto
Corte de energía
Probable
Bajo
Sustracción de información
Probable
Alto
Sustitución de información
Probable
Alto
Adulteración de información
Probable
Alto
Falsificación de información
Probable
Alto
Pérdida de documentos e
Probable
Alto
Probable
Bajo
Probable
Medio
Fallas en la red
Probable
Bajo
Caída de bases de datos
Probable
Medio
Virus informático
Probable
Medio
Ataques internos
Poco probable
Medio
Sismo
Probable
Alto
RIESGOS)
información
Fallas en la comunicación con
servidores
Cableado eléctrico mal
instalado
Tabla 1. Análisis de amenazas
¾ Inundación:
Es la ocupación por parte del agua de zonas que habitualmente
están libres de esta, bien sea por desbordamiento de ríos y ramblas, subida de
las mareas por encima del nivel habitual o avalanchas causadas por tsunamis.
Es probable, debido a que el archivo de gestión se encuentra en instalaciones
ubicadas en lugares geográficamente inundables, cerca al río Fucha.
¾ Incendio:
Un incendio es una ocurrencia de fuego no controlada que puede
ser extremadamente peligrosa para los seres vivos y las estructuras. La
exposición a un incendio puede producir la muerte, generalmente por
inhalación de humo o por desvanecimiento producido por ella y posteriormente
15
quemaduras graves. Es probable, porque cerca a las instalaciones se
encuentra una bodega productora de químicos.
¾ Corte de energía eléctrica: Suspensión temporal o prolongada de la luz
eléctrica. Es probable, por las malas condiciones del cableado eléctrico se
hace necesario realizar cortes de energía continuamente.
¾ Sustracción de información: Tomar información sin autorización. Es probable,
no se hace revisión exhaustiva de los documentos físicos que sacan los
funcionarios.
¾ Sustitución de información: Cambiar información vital para la organización. Es
probable, no existe restricción de acceso a la información.
¾ Adulteración de información: Es modificar información sin autorización. Es
probable, no existe restricción de acceso a la información.
¾ Falsificación de información: Imitar o copiar algo haciéndolo pasar por
auténtico. Es probable, no existen controles de seguridad adecuados.
¾ Pérdida de documentos e información: Puede darse a partir de robos,
deterioros y fugas de información. Es probable, no existen controles de
seguridad adecuados.
¾ Fallas de comunicación con los servidores: Error al intentar acceder a los
servicios de un servidor. Es probable, el servidor con el que se cuenta no
posee memoria suficiente para la conexión a usuarios ilimitados.
¾ Cableado eléctrico mal instalado: probable, las instalaciones eléctricas no se
encuentran en óptimas condiciones ya que la bodega posee cableado antiguo.
¾ Fallas en la red: Error al intentar acceder a la intranet o internet de la empresa
de la organización. Es probable, la red de datos no soporta mayor capacidad
de flujo de datos.
¾ Caída de la base de datos: Error al momento de acceder a la información
almacenada en la base de datos. Es probable, al existir fallas en la red se
presentan frecuentes caídas de la base de datos.
16
¾ Virus informáticos: El virus informático es un programa que se introduce y se
transmite a través de diskettes o de la red telefónica de comunicación entre
ordenadores,
causando
diversos
tipos
de
daños
a
los
sistemas
computarizados. Es probable, no se cuenta con bloqueo de archivos adjuntos
en mails y los usuarios no tienen restricciones con el acceso a internet.
¾ Ataques internos: perjuicios para la seguridad de la información. Es poco
probable,
los
usuarios
de
la
red
tienen
restricciones
para
realizar
modificaciones sobre los documentos registrados en los aplicativos de la
empresa.
¾ Sismo: movimiento brusco o sacudida de la corteza terrestre. Es muy probable,
Colombia y especialmente la región Andina se encuentra ubicada en uno de
los cordones telúricos de más alta probabilidad de ocurrencia y riesgo.
2.2.
ANALISIS DE DEBILIDADES DE LOS ARCHIVOS DE GESTION DE P&Z
SERVICIOS LTDA.
DEBILIDADES
(FACTORES DE RIESGO)
RIESGO
PROBABILIDAD
IMPACTO
Pérdida de información
Muy probable
Alto
Probable
Medio
Probable
Alto
Demoras en los procesos
Probable
Medio
Deterioro físico de los documentos
Muy probable
Medio
Pérdida de documentos
Probable
Alto
Toma de decisiones no acertadas
Probable
Medio
Muy probable
Alto
Probable
Medio
Probable
Medio
Afectación de la integridad de la
Descentralización de
información
archivos
Dificultad en el acceso de la
información
Traslados no programados
Inadecuado almacenamiento de los
documentos
Espacios insuficientes
Deterioro de los documentos
Manipulación inadecuada de los
documentos
17
DEBILIDADES
(FACTORES DE RIESGO)
RIESGO
PROBABILIDAD
IMPACTO
Probable
Medio
Probable
Medio
Probable
Alto
Probable
Medio
Probable
Medio
Pérdida de los documentos
Muy probable
Alto
Acceso limitado de la información
Probable
Medio
Pueden ocurrir accidentes de trabajo
Probable
Medio
Errores en la gestión documental
Muy probable
Alto
Represamiento de los procesos
Muy probable
Alto
Difícil acceso de la información
Probable
Medio
Muy probable
Alto
Muy probable
Alto
Difícil acceso y recuperación de la
Deficiencia tecnológica
información
Pérdida de seguridad de la
información
Pérdida de los documentos
Seguridad insuficiente
Acceso no autorizado de la
información
Deficiente calidad en la prestación del
servicio
Desorganización
Perfil inadecuado del
administrador del archivo
Inadecuada aplicación de tareas
Gestión documental no
archivísticas
aplicada
Falta de estandarización de procesos
archivísticos
Tabla 2. Análisis de debilidades
18
3.
MATRIZ DE EVALUACIÓN Y ANÁLISIS DE RIESGOS PARA LAS
DEBILIDADES Y AMENAZAS DETECTADAS EN LOS ARCHIVOS DE
GESTIÓN DE P&Z SERVICIOS LTDA
La matriz se desarrolla con el fin de facilitar la calificación y evaluación de los
riesgos, a través de un análisis cualitativo que hace referencia a la utilización de
formas descriptivas para presentar la magnitud de las consecuencias potenciales y
la posibilidad de ocurrencia.
INDICE
NIVEL DE SIGNIFICANCIA
No significativa
Significativa
Muy significativa
Para realizar la evaluación de las amenazas y las debilidades (factores de riesgo),
se tiene en cuenta la posición de estas con relación con las consecuencias vs. la
probabilidad de ocurrencia, según la celda que ocupa en la matriz aplicando los
criterios representados en la anterior gráfica.
Si la amenaza o debilidad se ubica en la zona de color rojo, significa que su
probabilidad es alta y su impacto muy significativo.
Si la amenaza o debilidad se ubica en la zona de color amarillo, significa que su
probabilidad es media y su impacto significativo.
Si la amenaza o debilidad se ubica en la zona de color verde, significa que su
probabilidad es baja y su impacto no es significativo.
19
3.1.
CALIFICACION DE AMENAZAS
CONSECUENCIA
A
B
C
D
E
F
Humanas
Catástrofe: Numerosas víctimas
Varias muertes
Una muerte
Lesiones extremadamente graves
Lesión con incapacidad
Pequeñas heridas
G
H
I
J
K
Información
Afectación de la Integridad de la información
Pérdida de la información
Pérdida de la Confidencialidad de la información
Pérdida de la Seguridad de la información
Privación a la Accesibilidad de la información
L
M
N
O
P
Q
A
B
C
D
E
Impacto Económico
Daños superiores al 90% del capital.
Daño del 50 % al 89% del capital.
Daño del 10% al 49% del capital.
Daños del 1% al 9% del capital.
Daño hasta del 1% del capital
Pequeños daños
PROBABILIDAD
Casi seguro: El evento se espera que ocurra en la mayoría de las circunstancias
Probable: El evento probablemente ocurrirá en la mayoría de las circunstancias
Moderado: El evento debería ocurrir algunas veces
Improbable: El evento podría ocurrir alguna vez
Raro: El evento puede ocurrir solo en circunstancias excepcionales
Tabla 3. Calificación de amenazas
A continuación se enumeran cada una de las amenazas y se evalúan con respecto
a las consecuencias y a las probabilidades enunciadas en el cuadro anterior.
CONSECUENCIA
AMENAZAS
1.Inundación
2.Incendio
3.Corte de
Humanas
A B C D E
X
X
Información
Económicas
F G H I J K L M N O P Q
X
X
X
X
energía
20
X
PROBABILIDAD
A
B C D
X
X
X
X
E
CONSECUENCIA
AMENAZAS
Humanas
A B C D E
4.Sustracción de
Información
Económicas
F G H I J K L M N O P Q
X X X X
X
PROBABILIDAD
A
B C D
X
información
5.Sustitución de
X X X
X
X
X X X
X
X
X X
X
X
información
6.Adulteración de
información
7.Falsificación de
X
información
8.Pérdida de
X X X X
X
X
información
9.Fallas en la
X
X
X
X
X
X
X
X
X
X
X
X
X
X X
X X
comunicación
con servidores
10.Cableado
eléctrico mal
instalado
11.Fallas en la
red
12.Caída de
X
bases de datos
13.Virus
X
X
informático
14.Ataques
X X X X
X
X
internos
15. Sismo
X X
X X
X
X
X
X X
Tabla 4. Consecuencias de amenazas
21
X
E
3.2.
MATRIZ DE AMENAZAS
Teniendo en cuenta el resultado de la calificación de las amenazas, en la matriz
que a continuación se grafica se coloca el número correspondiente a cada una de
las amenazas listadas en el cuadro anterior en la celda que corresponda.
Consecuencias Humanas
A
ROJO
14
B
ROJO
14
C
ROJO
14
D
AMARILLO
2
14
E
AMARILLO
1
14
F
VERDE
CONSECUENCIA
PROBABILIDAD
14
E
VERDE
D
AMARILLO
C
AMARILLO
B
ROJO
A
ROJO
Tabla 5. Consecuencias humanas de las amenazas
Las amenazas identificadas en la zona roja de la matriz son las que afectan en
mayor grado el archivo de gestión, estas son:
• Sismo
Las amenazas identificadas en la zona amarilla de la matriz son las que pueden
afectar en forma significativa el archivo de gestión, estas son:
• Inundación
• Incendio
22
Las amenazas identificadas en la zona verde de la matriz son las que pueden
afectar en forma mínima el archivo de gestión. En esta zona no aplicó ninguna
amenaza.
Consecuencias de información
13
G
ROJO
H
ROJO
2-3-4-5-6
-8-14
I
AMARILLO
4 - 5 - 6 - 7 -814
J
AMARILLO
4 - 5 - 6 - 7 -814
9-13
4 - 8 -14
9 - 10 - 11 - 13
K
VERDE
CONSECUENCIA
E
VERDE
PROBABILIDAD
1 - 11 - 13
D
AMARILLO
C
AMARILLO
11-15
12
15
12
B
ROJO
A
ROJO
Tabla 6. Consecuencias de información de las amenazas
Las amenazas identificadas en la zona roja de la matriz son las que afectan en
mayor grado el archivo de gestión, estas son:
• Inundación
• Incendio
• Corte de energía
• Sustracción de información
• Sustitución de información
• Adulteración de información
• Pérdida de información
• Fallas en la red
• Caída de bases de datos
23
• Virus informáticos
• Ataques internos
• Sismo
Las amenazas identificadas en la zona amarilla de la matriz son las que pueden
afectar en forma significativa el archivo de gestión, estas son:
• Sustracción de información
• Sustitución de información
• Adulteración de información
• Falsificación de información
• Pérdida de información
• Fallas en la comunicación con servidores
• Cableado eléctrico mal instalado
• Virus informáticos
• Ataques internos
Las amenazas identificadas en la zona verde de la matriz son las que pueden
afectar en forma mínima el archivo de gestión.
• Sustracción de información
• Pérdida de información
• Ataques internos
24
Consecuencias de impacto económico
L
ROJO
2
15
M
ROJO
N
ROJO
O
AMARILLO
8
1 – 13
P
AMARILLO
3-4-5-6-7
-14
Q
VERDE
9 -10 -11
CONSECUENCIA
PROBABILIDAD
E
VERDE
D
AMARILLO
C
AMARILLO
B
ROJO
A
ROJO
Tabla 7. Consecuencias de impacto económico de las amenazas
Las amenazas identificadas en la zona roja de las matrices son las que afectan en
mayor grado el archivo de gestión, estas son:
• Incendio
• Sismo
Las amenazas identificadas en la zona amarilla de la matriz son las que pueden
afectar en forma significativa el archivo de gestión, estas son:
• Inundación
• Corte de energía
• Sustracción de información
• Sustitución de información
• Adulteración de información
• Falsificación de información
• Pérdida de información
25
• Fallas en la comunicación con servidores
• Fallas en la red
• Cableado eléctrico malo instalado
• Virus informáticos
• Ataques internos
Las amenazas identificadas en la zona verde de la matriz son las que pueden
afectar en forma mínima el archivo de gestión. En esta zona no aplicó ninguna
amenaza.
3.3.
CALIFICACION DE DEBILIDADES
CONSECUENCIA
A
B
C
D
E
F
Humanas
Catástrofe: Numerosas víctimas
Varias muertes
Una muerte
Lesiones extremadamente graves
Lesión con incapacidad
Pequeñas heridas
G
H
I
J
K
Información
Afectación de la Integridad de la información
Pérdida de la información
Pérdida de la Confidencialidad de la información
Pérdida de la Seguridad de la información
Privación a la Accesibilidad de la información
L
M
N
O
P
Q
A
B
C
D
E
Impacto Económico
Daños superiores al 90% del capital.
Daño del 50 % al 89% del capital.
Daño del 10% al 49% del capital.
Daños del 1% al 9% del capital.
Daño hasta del 1% del capital
Pequeños daños
PROBABILIDAD
Casi seguro: El evento se espera que ocurra en la mayoría de las circunstancias
Probable: El evento probablemente ocurrirá en la mayoría de las circunstancias
Moderado: El evento debería ocurrir algunas veces
Improbable: El evento podría ocurrir alguna vez
Raro: El evento puede ocurrir solo en circunstancias excepcionales
Tabla 8. Calificación de debilidades
26
A continuación se enumeran cada una de las debilidades y se evalúan con
respecto a las consecuencias y a las probabilidades enunciadas en el cuadro
anterior.
CONSECUENCIA
DEBILIDADES
A
1. Descentralización
Humanas
B C D E
Información
F G H I J K
X X X X X
L
Económicas
M N O P
X
PROBABILIDAD
Q
A
X
B
C D
de archivos
2. Traslados no
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
programados
3. Espacios
X
X
X
insuficientes
4. Deficiencia
tecnológica
5. Seguridad
X
insuficiente
6. Desorganización
X
X
X
X
X
X
X
7. Perfil inadecuado
X
X
X
X
X
X
X
X
X
X
X
X
X
X
del administrador del
archivo
8. Gestión
documental no
aplicada
Tabla 9. Consecuencias de debilidades
3.4.
MATRIZ DE DEBILIDADES
Teniendo en cuenta el resultado de la calificación anterior de las amenazas, en la
matriz que se presenta a continuación se coloca el número correspondiente a la
amenaza en la celda que corresponda.
27
E
Consecuencias de información
G
ROJO
1-6-7-8
H
ROJO
2
5
1 - 3 - 6 - 7 -8
I
AMARILLO
1 - 3 - 6 - 7 -8
J
AMARILLO
2
5-4
1 - 3 - 6 - 7- 8
K
VERDE
2
5-4
1 - 3 - 6 - 7 -8
CONSECUENCIA
PROBABILIDAD
E
VERDE
D
AMARILLO
C
AMARILLO
B
ROJO
A
ROJO
Tabla 10. Consecuencias de información de las debilidades
Las debilidades identificadas en la zona roja de las matrices son las que afectan
en mayor grado el archivo de gestión, estas son:
• Descentralización de archivos
• Traslados no programados
• Espacios insuficientes
• Deficiencia tecnológica
• Seguridad insuficiente
• Desorganización
• Perfil inadecuado del administrador del archivo
• Gestión documental no aplicada
Las amenazas identificadas en la zona amarilla de la matriz son las que pueden
afectar en forma significativa el archivo de gestión, estas son:
• Traslados no programados
Las amenazas identificadas en la zona verde de la matriz son las que pueden
afectar en forma mínima el archivo de gestión. En esta zona no aplicó ninguna
amenaza.
28
Consecuencias de impacto económico
L
ROJO
M
ROJO
N
ROJO
O
AMARILLO
4–5
P
AMARILLO
1 - 6 - 7- 8
2
3
Q
VERDE
CONSECUENCIA
PROBABILIDAD
E
VERDE
D
AMARILLO
C
AMARILLO
B
ROJO
A
ROJO
Tabla 11. Consecuencias de impacto económico de las debilidades
Las debilidades identificadas en la zona roja de las matrices son las que afectan
en mayor grado el archivo de gestión, estas son:
• Descentralización de archivos
• Espacios insuficientes
• Deficiencia tecnológica
• Seguridad insuficiente
• Desorganización
• Perfil inadecuado del administrador del archivo
• Gestión documental no aplicada
Las amenazas identificadas en la zona amarilla de la matriz son las que pueden
afectar en forma significativa el archivo de gestión, estas son:
• Traslados no programados
Las amenazas identificadas en la zona verde de la matriz son las que pueden
afectar en forma mínima el archivo de gestión. En esta zona no aplicó ninguna
amenaza.
29
4.
CONTROLES PARA REDUCIR LAS DEBILIDADES Y AMENAZAS
DETECTADAS
4.1 PRIORIZACION DE AMENAZAS Y DEBILIDADES
Una vez calificadas y evaluadas las amenazas y debilidades, se analizan frente a
los controles existentes en cada una de ellas y se da la priorización de acuerdo
con los resultados obtenidos.
CALIFICACION: Si aplica el nivel se coloca 1, de lo contrario 0.
A los valores más altos de la probabilidad se califica en la priorización con valor de
1, y en este orden de ideas a medida que desciende el valor de la probabilidad
aumenta la calificación en la priorización.
TABLA DE IMPACTOS
NIVEL
C1
C2
C3
C4
C5
C6
C7
DESCRIPCION
Impacto financiero
Impacto de imagen de la Empresa
Impacto en el cumplimiento de
objetivos
Impacto en la continuidad del servicio
Impacto en la confidencialidad de la
información
Impacto en la integridad y
confiabilidad
Impacto en la ocurrencia de
accidentes de trabajo
Tabla 12. Impactos
30
CONTROLES
EXISTENTES
AMENAZAS
RIESGO
IMPACTO
Inundación
Probable
Probable
Alto
Alto
Probable
Probable
Bajo
Alto
No existe
Se cuenta
con
extintores y
sistemas de
irrigación
(detectores
de humo)
No existe
No existe
Incendio
Corte de energía
Sustracción de
información
Sustitución de
información
Probable
Alto
No existe
Adulteración de
información
Probable
Alto
No existe
Falsificación de
información
Probable
Alto
No existe
Pérdida de
documentos e
información
Probable
Alto
No existe
Fallas en la
comunicación
con servidores
Probable
Bajo
No existe
Cableado
eléctrico mal
instalado
Probable
Fallas en la red
Probable
Probable
Bajo
Medio
Probable
Medio Se bloqueó
Caída de bases
de datos
Virus informático
C1
C2
C3
C4
C5
C6
C7
PROBABILIDAD
PRIORIZACION
1 0 1 1 0
0 1
4
2
1 0 1 1 0
1 0 0 0 0
0 1
0 0
4
1
2
5
1 1 0 0 1
1 0
4
2
1 1 0 0 1
1 0
4
2
1 1 0 0 1
1 0
4
2
1 1 0 0 1
1 0
4
2
1 1 1 1 1
0 0
5
1
0 0 1 0 0
0 0
1
5
0 0 1 0 0
0 0 1 1 0
0 0
0 0
1
2
5
4
0 0 1 1 0
0 0
2
4
0 1 0 0
1 0
3
3
0 0 0 0
0 0
1
5
0 1 1 0
0 1
4
2
Medio Se iniciaron
Ataques internos
Poco
probable
Medio
Sismo
Muy
probable
Medio
trabajos
para el
cambio del
cableado
eléctrico
No existe
No existe
el acceso a
internet, se
restringió
uso de
diskettes,
USB, MP3,
1
MP4, IPOD
Modificación
de permisos
1
de usuarios
Capacitación
en
prevención
de desastres 1
31
DEBILIDADES
RIESGO
IMPACTO
CONTROLES
EXISTENTES
Descentralización
de archivos
Muy
probable
Medio
Traslados no
programados
Probable
Medio No existe
Muy
probable
Probable
Alto
No existe
Medio
No existe
Seguridad
insuficiente
Probable
Alto
No existe
Desorganización
Alto
No existe
Perfil inadecuado
del administrador
del archivo
Muy
probable
Muy
probable
Alto
No existe
Gestión
documental no
aplicada
Muy
probable
Alto
No existe
Espacios
insuficientes
Deficiencia
tecnológica
C1
C2
C3
C4
C5
C6
C7
PROBABILIDAD
PRIORIZACION
No existe
0 0 1 1 1
1 0
4
2
0 0 1 0 1
1 0
3
3
1 0 1 0 1
0 0
3
3
1 0 1 0 1
0 0
3
3
1 0 0 0 1
0 0
2
4
1 1 1 1 1
1 1
7
1
0 0 1 1 0
0 0
2
4
1 1 1 1 1
1 0
6
1
Tabla 13. Controles existentes
32
4.2 OPCIONES DE TRATAMIENTO DE AMENAZAS Y DEBILIDADES
A continuación se sugieren una serie de opciones de manejo, para las amenazas cuya priorización identificada
en el cuadro anterior se encuentran en las escalas mayores 1 y 2, y para todas las debilidades que son el
objetivo principal del proyecto, tendientes a prevenir, reducir, dispersar o transferir el riesgo.
AMENAZAS Y DEBILIDADES
EN ORDEN DE PRIORIDAD
Pérdida, sustracción,
sustitución, adulteración,
falsificación de documentos e
información
POSIBLES OPCIONES
DE TRATAMIENTO
Centralizar los archivos
de gestión en una sola
área
Restringir el acceso de
funcionarios de la
organización y de los que
no lo son a las áreas
donde se ubican los
archivos
Registro de salida de los
documentos
Implementar sistema de
seguridad con cámaras
en el archivo
Realizar punteos o
verificación de
inventarios de forma
regular
Hacer revisiones de las
instalaciones hidráulicas
Inundación
Ubicación de cajas que
se encuentran en
procesamiento técnico
sobre estibas
Revisión de goteras en
instalaciones físicas
Realizar simulacros de
evacuación
OPCION
PREFERIDA
CALIFICACION
DEL RIESGO
DESPUES DE
TRATAMIENTO
RESULTADOS
DEL ANALISIS
COSTOBENEFICIO
A - ACEPTADO
R - RECHAZADO
PERSONA
RESPONSABLE
TIEMPO PARA LA
DE LA
IMPLEMENTACION IMPLEMENTACION
DE LA OPCION
COMO LAS AMENAZAS /
DEBILIDADES Y SU OPCION
DE TRATAMIENTO SERAN
MONITOREADOS
Al terminar la obra
X
A
Gerente General
2 meses
X
A
Coordinador de
archivos de
gestión de
proyectos
Inmediato
Inspecciones semanales
X
A
Jefe de seguridad
Inmediato
Inspecciones semanales
X
A
Gerente
Administrativo
2 meses
Inspecciones semanales
X
A
Coordinador de
archivos de
gestión de
proyectos
2 meses
Inspecciones trimestrales
X
A
Gerente
Administrativo
X
A
X
A
X
A
33
Coordinador de
archivos de
gestión de
proyectos
Gerente
Administrativo
Jefe de HSEQ
Inmediato
Mensualmente
2 meses
Mensualmente
Inmediato
Mensualmente
1 mes
Semestral
AMENAZAS Y DEBILIDADES
EN ORDEN DE PRIORIDAD
Incendio
POSIBLES OPCIONES
DE TRATAMIENTO
Espacios insuficientes
RESULTADOS
DEL ANALISIS
COSTOBENEFICIO
A - ACEPTADO
R - RECHAZADO
PERSONA
RESPONSABLE
TIEMPO PARA LA
DE LA
IMPLEMENTACION IMPLEMENTACION
DE LA OPCION
COMO LAS AMENAZAS /
DEBILIDADES Y SU OPCION
DE TRATAMIENTO SERAN
MONITOREADOS
X
A
Jefe de HSEQ
2 meses
Trimestralmente
Capacitación al personal
en equipos
contraincendios
X
A
Jefe de HSEQ
1 mes
Trimestralmente
Revisión de los
extintores existentes
X
A
Jefe de HSEQ
1 mes
Trimestralmente
X
A
Jefe de HSEQ
1 mes
Trimestralmente
X
A
Jefe de HSEQ
1 mes
Semestral
X
A
Jefe de HSEQ
2 meses
Trimestralmente
X
A
Jefe de HSEQ
1 mes
Trimestralmente
Realizar simulacros de
evacuación
X
A
Jefe de HSEQ
1 mes
Semestral
Centralizar los archivos
de gestión en una sola
área
X
A
Gerente General
2 meses
Revisar y mejorar
condiciones físicas de
conservación de los
depósitos actuales
X
A
Coordinador de
archivos de
gestión de
proyectos
1 mes
X
R
Gerente General
2 meses
Elaborar un plan de
emergencias
Descentralización de archivos
CALIFICACION
DEL RIESGO
DESPUES DE
TRATAMIENTO
Elaborar un plan de
emergencias
Revisión de detectores
de humo por parte de
especialista
Realizar simulacros de
evacuación
Sismo
OPCION
PREFERIDA
Capacitación al personal
en catástrofes por
fenómenos naturales
Asignación de espacios
físicos suficientes con
proyección de
crecimiento y adecuación
de condiciones
ambientales establecidas
por la ley
34
Al terminar la obra
Inspecciones mensuales
Al terminar la obra
AMENAZAS Y DEBILIDADES
EN ORDEN DE PRIORIDAD
POSIBLES OPCIONES
DE TRATAMIENTO
Adquisición de equipos
apropiados
Deficiencia tecnológica
OPCION
PREFERIDA
CALIFICACION
DEL RIESGO
DESPUES DE
TRATAMIENTO
RESULTADOS
DEL ANALISIS
COSTOBENEFICIO
A - ACEPTADO
R - RECHAZADO
PERSONA
RESPONSABLE
TIEMPO PARA LA
DE LA
IMPLEMENTACION IMPLEMENTACION
DE LA OPCION
COMO LAS AMENAZAS /
DEBILIDADES Y SU OPCION
DE TRATAMIENTO SERAN
MONITOREADOS
Una vez adquiridos los
equipos
X
R
Jefe de Sistemas
3 meses
Revisión de
infraestructura
tecnológica existente
X
A
Jefe de Sistemas
Inmediato
Trimestralmente
Optimizar equipos
existentes
X
A
Jefe de Sistemas
Inmediato
Inspecciones mensuales
Uso del Software
existente
X
A
Jefe de Sistemas
Inmediato
Inspecciones mensuales
Implementar sistema de
seguridad con cámaras
en el archivo
X
A
Gerente
Administrativo
2 meses
Inspecciones semanales
Inspecciones periódicas
de seguridad
X
A
Jefe de seguridad
Inmediato
Mensualmente
Seguridad Insuficiente
En la portería del edificio
revisar en detalle a los
funcionarios, asegurando
que ningún documento
sea extraído
Elaborar un inventario
completo de la
información del archivo
de gestión
Aplicar criterios técnicos
de organización de
archivos
Desorganización
Unificación de criterios
por dependencias
Capacitación en
procesos archivísticos al
personal que genera
documentación
Diariamente
X
A
X
A
X
A
X
A
X
A
35
Jefe de seguridad
Inmediato
Coordinador de
archivos de
gestión de
proyectos
Coordinador de
archivos de
gestión de
proyectos
Coordinador de
archivos de
gestión de
proyectos
Inmediato
Diariamente
Inmediato
Mensualmente
Coordinador de
archivos de
gestión de
proyectos
1 semana
Trimestralmente
1 mes
Inspecciones mensuales
AMENAZAS Y DEBILIDADES
EN ORDEN DE PRIORIDAD
POSIBLES OPCIONES
DE TRATAMIENTO
Capacitación en
procesos archivísticos
Perfil inadecuado del
administrador del archivo
Gestión documental no
aplicada
Acompañamiento de un
asesor en gestión
documental en procesos
Implementar y aplicar un
sistema de gestión
documental
Integrar la informática
con los procesos
archivísticos
Actualización de las TRD
OPCION
PREFERIDA
CALIFICACION
DEL RIESGO
DESPUES DE
TRATAMIENTO
RESULTADOS
DEL ANALISIS
COSTOBENEFICIO
A - ACEPTADO
R - RECHAZADO
PERSONA
RESPONSABLE
TIEMPO PARA LA
DE LA
IMPLEMENTACION IMPLEMENTACION
DE LA OPCION
Coordinador de
archivos de
gestión de
proyectos
Coordinador de
archivos de
gestión de
proyectos
COMO LAS AMENAZAS /
DEBILIDADES Y SU OPCION
DE TRATAMIENTO SERAN
MONITOREADOS
X
A
X
A
X
A
Profesional en
Bibliotecología
3 meses
Al terminar implementación
X
A
Profesional en
Bibliotecología
3 meses
Inspecciones mensuales
X
A
Profesional en
Bibliotecología
3 meses
Al terminar actualización
Tabla 14. Opciones de tratamiento de amenazas y debilidades
36
Inmediato
Inspecciones mensuales
Inmediato
Inspecciones mensuales
5.
ESTRUCTURA Y CONTENIDOS DEL PLAN DE CONTINGENCIA
El Plan de contingencia contiene los procedimientos y mecanismos de tipo
organizacional que permiten dar continuidad en el menor tiempo posible a la
operación P&Z Servicios Ltda., en caso de presentarse un evento y/o siniestro que
entorpezca el normal funcionamiento de sus actividades.
5.1.
ESCENARIOS DE CONTINGENCIA
ESCENARIO DE
RESPONSABLES
UBICACION
ESTRATEGIAS
CONTINGENCIA
Fenómenos
naturales
(inundaciones,
Gerencia Administrativa
sismo,
Bogota
–
Principal
terremotos, etc.)
Oficina
Identificar
P&Z
climáticos
bodega 29
los
y
peligros
geográficos
que pueda poner en riesgo
las instalaciones de P&Z
Catástrofes
causadas
Área de seguridad
Bogotá
–
por el hombre (Huelgas,
Principal
amenaza
bodega 29
de
bomba,
Oficina
P&Z
Incendios, seguridad de
Tabla 15. Escenarios de contingencia
DEFINICION DE RESPONSABILIDADES
1. Administración del plan de contingencia:
a. Gerente General
b. Gerente Administrativo
c. Coordinador de HSEQ
37
del
acceso al área de archivo y
a
las
edificio.
la información, etc.).
5.2.
Evaluar la seguridad
instalaciones
del
2. Atención y problemas físicos de las instalaciones:
a. Gerente Administrativo: será el encargado de solucionar problemas de
los edificios, ya sea inundación, humedad, eléctrico, o cualquier otro
problema relacionado.
b. Coordinador de archivo
3. Integridad de datos
a. DIDT - Departamento de Investigación y desarrollo tecnológico:
encargado de solucionar todo lo relacionado con redes, sistemas,
servidores, hardware, software, cableados de red, etc.
b. Coordinador de archivo
4. Seguridad física de la información
a.
Jefe de seguridad: su función es custodiar las instalaciones del
edificio, y avisar al área correspondiente, en caso de incendio o robo.
b.
Coordinador de HSEQ
c.
Coordinador de archivo
5. Evaluaciones de riesgo:
a.
Coordinador de HSEQ
b.
Coordinador de archivo
c.
Gerente Administrativo
6. Restablecimiento
a.
Gerente General
b.
Coordinador de HSEQ
c.
Gerente Administrativo
38
5.3.
REQUERIMIENTOS FUNCIONALES
CONOCIMIENTO DEL NEGOCIO
MISION
P&Z Servicios Ltda., planea, implementa y gestiona soluciones de administración
de la información, documentos y archivos, con técnicas, principios, métodos y
herramientas que optimizan el tratamiento intelectual y de infraestructura de la
información. La capacidad de competencia, el mejoramiento continuo, la iniciativa
a nuevos conceptos, nos compromete con nuestro cliente para garantizar
cumplimiento.
VISION
Es una empresa que gestiona adecuadamente procesos de gestión documental
contando con personal competente, que es un principal capital.
Buscaremos ampliar el número de clientes en los sectores oficial y privado
tendiendo a una expansión a otros lugares en el territorio nacional.
Continuaremos con el compromiso de garantizar el cumplimiento de los requisitos
estipulados
por
nuestros
clientes,
así
colaboradores.
39
como
el
bienestar
de
nuestros
PROCESOS PRINCIPALES QUE SE REALIZAN
En el Mapa de Procesos se puede observar la interrelación de los procesos de la
empresa necesarios para el desarrollo de los diferentes proyectos realizados por
la misma, además se pueden identificar las entradas, procesos base y salidas con
el fin de satisfacer las necesidades del cliente.
Los Procesos Estratégicos se encuentran interrelacionados con cada uno de los
procesos de la empresa, proporcionando una guía para la implementación del
Sistema de Gestión de Calidad.
Apoyados por los procesos anteriores se encuentran los Macro Procesos
Operativos (Administración de Documentos, Administración de Archivos y Tablas
de Retención Documental), los cuales permiten el buen desarrollo de las
diferentes actividades de la empresa logrando así una buena ejecución de los
proyectos.
Adicionalmente los dos procesos anteriores se encuentran interrelacionados con
los Procesos de Apoyo los cuales le permiten a la empresa contar con personal y
proveedores calificados y evaluar su gestión en la realización de los proyectos.
Por último y como complemento de todos los procesos anteriores y durante toda la
realización de las actividades de la empresa se encuentran los Procesos de
Control y Mejora los cuales permiten identificar las oportunidades de mejora y
plantear acciones que conlleven al mejoramiento continuo.
40
MAPA DE PROCESOS
Necesidades del
cliente y Metas
de la Empresa.
Proyectos
ejecutados a
satisfacción.
PROCESOS ESTRATÉGICOS
NTC-ISO 9001:2000 Numerales 4 y 5
Solicitud del Cliente Verbal o
Escrita, Aviso de Prensa,
Publicación en Internet,
entre otros.
Acciones de Mejora
Indicadores de Gestión
Manual de Calidad
Informe de Revisión por
la Dirección
LICITACIONES
PROCESOS DE
APOYO
NTC-ISO 9001:2000
Numeral 7.1
NTC-ISO 9001:2000
Numerales 6, 7.2 y 7.4
Planificación
del SGC
PROCESOS DE
CONTROL Y MEJORA
NTC-ISO 9001:2000
Numeral 8
Recursos Físicos, Humanos y
Económicos, Gestión de Archivo
y Planificación del SGC
Adjudicación de contratos.
No conformidades
Indicadores de Gestión
MACRO PROCESOS OPERATIVOSœ
NTC-ISO 9001:2000 Numerales 7.1, 7.3 y 7.5
Tablas De
Retención
Documental
Administración De
Archivos
Administración De
Documentos
41
SATISFACCIÓN DEL CLIENTE REQUERIMIENTOS DEL CLIENTE Adjudicación de
contratos.
5.4.
DESCRIPCION DE PROCESOS DEL ARCHIVO DE GESTION DE P&Z
PROCESO
ADMINISTRACION
DE DOCUMENTOS
CORRESPONDENCIA
ACTIVIDAD
Frecuencia de medición
Registros
RECEPCION
Cuando se recibe una
comunicación
RADICACIÓN
Cuando se recibe una
comunicación
Comunicación con rótulo
ESCANEO O DIGITALIZACION DE
COMUNICACIONES
Cada vez que se genera una
comunicación
Imagen
CLASIFICACIÓN
DISTRIBUCION
ADMINISTRACION
DE ARCHIVOS DE
GESTION
Planilla de entrega de documentos
REMISIÓN DE DOCUMENTOS
Cada vez que llega un
documento o un expediente
para el archivo
ESCANEO O DIGITALIZACION DE
DOCUMENTOS PARA ARCHIVO
Cada vez que se genera un
documento de contratos o
historias laborales
CONFORMACION DE EXPEDIENTES
NUEVOS
Cada vez que llega un
expediente al archivo
Base de datos
INVENTARIO DOCUMENTAL o
INGRESO DE EXPEDIENTES A LA
BASE DE DATOS
Cada vez que llega un
expediente al archivo
Imagen escaneada
CONSULTAS Y PRESTAMOS
DESCARGUE DE UNIDADES
PRESTADAS
Cuando un usuario solicita un
expediente
Cuando devuelven el
expediente
Tabla 16. Descripción de procesos del archivo de gestión
42
Comunicación con rótulo
Base de datos
5.5.
IDENTIFICACIÓN DE PROCESOS CRÍTICOS
PROCESO
PERIODICIDAD
PRIORIDAD
IMPACTO
DIARIO
2
ALTO
DIARIO
3
ALTO
DIARIO
4
ALTO
DIARIO
1
MUY ALTO
Ingreso en base de datos:
Alimentar la base de datos con los
documentos de archivo y la radicación
de documentos.
Consultas:
Acceso a la base de datos del archivo
de Gestión para atender
requerimientos de usuarios y las
auditorías que se realicen en la
empresa.
Préstamos: Entrega a los usuarios de
la información solicitada en momentos
de auditorías y requerimientos de los
clientes.
Digitalización: Preservación en forma
digital de documentos de información
del archivo de gestión de P&Z.
Tabla 17. Identificación de procesos críticos
Descripción de procesos críticos
9 Ingreso en base de datos
Alimentar la base de datos con la información que se reciba en el archivo de
gestión.
9 Consultas
Acceso a la base de datos del archivo de gestión de P&Z para búsqueda de
información.
43
9 Préstamos
Entrega a los usuarios de expedientes que forman parte del archivo de gestión.
9 Digitalización
Conversión de una información desde un formato analógico a un modo digital.
5.6.
INVENTARIO DE RECURSOS
Para la identificación de debilidades y amenazas relacionadas con la gestión de
los archivos de gestión se explora detenidamente los recursos de la empresa.
El resultado de esta fase fue entonces un inventario de recursos (físicos,
procesos, humanos).
TIPOS DE
TECNOLOGICO
ARCHIVO
Archivo de gestión El
sistema
de P&Z Servicios computacional
de
Ltda.
P&Z está compuesto
por:
9 1 servidor de
aplicaciones
9 2 BD
9 15 estaciones de
trabajo.
9 3 PC’s
9 50 portátiles
9 17 periféricos
9 2 discos externos
9 30 usuarios
Sistemas de redes y
comunicaciones:
9 Red Inalámbrica
44
FISICOS
HUMANOS
El área para el
archivo
de
gestión
se
encuentra en:
La
planta
de
personal de P&Z
está
compuesta
por:
Bogotá:
bodega
de
Villa Alsacia
Piso 3: Área
administrativa
Piso 3: Área
de
suministros
Piso 3: Área
de selección
de personal
Oficina
Alterna
1
GERENTE
GENERAL
1
SUBGERENTE
ADMINISTRATIVO
1
JEFE
DE
PERSONAL
6
AUXILILARES
ADMINISTRATIVOS
1 SOPORTE
7 DIRECTORES DE
PROYECTO
6 COORDINADORES
120 AUXILIARES DE
ARCHIVO
9
9
9
9
9
9
9
Red alámbrica
6 Access Point
4 Routers
3 Switch
Cable UTP Cat 6
Red LAN
Proveedor
de
servicios ETB
9 Acceso a línea
telefónica banda
ancha 1000 kb
Oficina
cliente
del
Tabla 18. Inventario de recursos
5.7.
RECURSOS DE INFORMACION
Recepción: se reciben las comunicaciones en el punto definido para atención de
correspondencia, cualquiera que sea su medio o canal de transporte.
Radicación: es el procedimiento por medio del cual, las entidades asignan un
número consecutivo, a las comunicaciones
recibidas o producidas, dejando
constancia de la fecha y hora de recibo o de envío, con el propósito de oficializar
su trámite y cumplir con los términos de vencimiento que establezca la Ley.
Escaneo: proceso de conversión de comunicaciones en papel a soporte digital.
Clasificación: agrupar la correspondencia de tipo entrante, interna y saliente para
ser distribuida.
Distribución: entrega de las comunicaciones recibidas.
Remisión de documentos: relación de documentos inventariados en una planilla
que se envía al archivo de gestión.
45
Conformación de expedientes: creación de expedientes nuevos que ingresan al
archivo.
Inventario documental: es el instrumento que describe la relación sistemática y
detallada de las unidades de un fondo, siguiendo la organización de las series
documentales.
Consultas
y
préstamos:
atender
los
requerimientos
de
los
usuarios
suministrando información según los niveles d seguridad que se establezcan.
Descargue de unidades prestadas: en el momento de la devolución, en la base
de datos se cierran los préstamos descargándolos.
DOCUMENTACIÓN REQUERIDA
Procedimiento de radicación y distribución de correspondencia
Procedimiento de consulta y préstamo
Formato de inventario documental
Planilla de préstamos
Planilla de devolución
Inventario documental del archivo de gestión
5.8.
RECURSOS TECNOLÓGICOS - SOFTWARE
PROCESOS
9 Ingreso en base de datos
9 Consultas
9 Préstamos
46
9 Indexación
9 Digitalización
SOFTWARE
Software documental – SIDRA (Sistema de información y recuperación de
recursos archivísticos), páginas web para consulta por intranet, Software Capture
para procesos de digitalización.
Windows 2000 Professional, XP, Office 2003, Outlook 2003, Norton Antivirus v.10,
Adobe acrobat 7.0, Winzip 8.0.
5.9.
RECURSOS TECNOLÓGICOS – HARDWARE
ESPECIFICACIONES TÉCNICAS
9 1 Servidor de aplicaciones y backups Hewlett Packard: Intel Xeon 3GHZ 2MB
caché active, Intel Server chasis SC5275E, RAM 2GB PC 2100, DD 120GB 1.56,
Quemador DVD.
9 3 equipos PC Pentium IV, DD 40 GB, Memoria RAM 512 MB, unidad CD-DVD,
Tarjeta de red 10/100/1000 Mbps, monitor, teclados, mouse.
9 50 portátiles Pentium IV 2.3Mhz, DD 120 GB, Memoria RAM 1 GB, unidad CDDVD, Tarjeta de red 10/100/1000 Mbps, tarjeta inalámbrica WLAN 802.11 b/g.
9 1 UPS 40 Kv.
9 5 Lectoras de códigos de barra, 15 impresoras en red LaserJet, 2 impresoras
de códigos de barras.
9 1 Scanner Kodak I80
9 3 Switch administrativo.
47
9 1 Quemador Externo de CD’s – DV`s.
9 1 Disco extraíble para backups.
5.10. INVENTARIO DE INSTALACIONES FISICAS
Bogotá - Bodega Villa Alsacia
Área administrativa:
1 módulo estantería fija de 6 entrepaños
5 módulos de oficina
5 sillas
1 Pbx
1 archivador
3 extensiones telefónicas
2 neveras
Área de suministros:
2 módulos estantería fija de 6 entrepaños
Área de selección de personal:
2 módulos estantería fija de 6 entrepaños
7 mesas de trabajo
15 sillas
1 línea telefónica
Bogotá - Oficina Alterna
2 módulos estantería fija de 6 entrepaños
1 mesa de trabajo
1 silla
1 línea telefónica
48
5.11. INVENTARIO DE RECURSO HUMANO
Los archivos de gestión de P&Z cuentan con
9 1 Coordinador de archivo
9 3 Auxiliares de archivo
9 1 técnico de sistemas para soporte tecnológico
5.12. DISEÑO E IMPLEMENTACION DEL PLAN
DEFINICION DE RECURSOS MINIMOS
9 3 Computadores
9 1 Switch administrable
9 1 Impresora LaserJet
9 1 Scanner
9 1 Lectora de códigos de barra
9 Área de trabajo de 120 m2
9 2 escritorios
9 1 mesa de trabajo
9 5 sillas
9 papelería
9 extensión telefónica
9 cafetería
9 Tablas de retención documental
9 Formato de inventario
9 Instructivo de diligenciamiento del formato de inventario
9 Manual de calidad
49
9 Procedimientos y Lineamientos establecidos por la empresa
9 Recurso humano
IDENTIFICACION DE REGISTROS VITALES
DOCUMENTOS QUE PUEDEN GENERAR MAYOR
IMPACTO POR SU AUSENCIA O PERDIDA
PROCESOS
Licitaciones
Contratos
Licitaciones
Propuestas
Procesos de apoyo
Facturas
Procesos de apoyo
Historias laborales
Procesos de control y mejora
Manual de calidad
Archivo de gestión
Inventario documental
Tabla 19. Identificación de registros vitales
Los registros vitales identificados en la anterior tabla, es la información vital de la
organización. Estos documentos se escanearán y se conservarán en imagen con
dos copias, una en el archivo de gestión ubicado en las oficinas de Villa Alsacia y
otra en una oficina alterna del gerente de la empresa. La disposición final de estos
documentos será permanente y en caso de pérdida se aplicarán mecanismos de
reconstrucción como la reprografía y la consulta en otras fuentes de información.
NOTIFICACION Y ESCALAMIENTO
Los mecanismos y medios del plan de comunicación serán los siguientes:
50
AVISOS DE EMERGENCIA
Cualquier persona que detecte una situación de emergencia avisará al
Coordinador de HSEQ, para que este defina la situación y ordene el
accionamiento del Plan de Emergencias por el sistema interno de comunicaciones
(sonido que se escucha en todas las áreas).
En caso de existir corte de energía, debe informarse por medio de un megáfono o
se escuchará el sonido de los pitos que utilizan los empleados.
En la actualidad el sistema de alarma instalado se encuentra comunicado con una
central la cual da aviso a organismo de seguridad y socorro según sea el caso ya
que a esta se encuentran conectados los sensores de humo.
SISTEMA DE COMUNICACIONES
ALARMA: Sistema de alarma sonora que es activado por el Coordinador de HSEQ
el cual indica que se deben evacuar las instalaciones, dirigiéndose el personal al
punto de encuentro.
El coordinador de la emergencia cuenta con un megáfono con el que puede en
caso dado poner en alerta a los funcionarios.
PLAN INFORMATIVO
En caso de emergencia en las instalaciones de Villa Alsacia, el personal ubicado
en las oficinas cuenta con el listado de los números de teléfono de las autoridades
y organismos de socorro que pueden dar soporte.
51
El Coordinador de HSEQ es la única persona autorizada a dar cualquier
información a quien lo requiera, y quien declarada la emergencia dará aviso a las
autoridades y a los entes de socorro vía telefónica.
DECLARACION DEL FIN DE LA EMERGENCIA
Una vez controlada en su totalidad la emergencia y de acuerdo a los criterios del
Coordinador de HSEQ, quien es la única persona que puede declarar que esta ha
sido superada y por ende ha finalizado. Dando instrucciones claras al personal
para que retorne a sus actividades.
CENTROS ALTERNOS
ELEMENTOS DEL
UBICACION
1. Oficina
principal
MPI: Calle 34 No.1725
SITIO
Computadores
ESTRATEGIA
En
caso
de
una
catástrofe
se
reanudaran labores en las oficinas de
Impresoras
MPI, aplicando los mecanismos de
reconstrucción para los documentos
Escáner
vitales.
Lectores
2. Oficina alterna del
Gerente
Transversal
Como segunda opción se contará con
Computadores
la oficina alterna que posee el Gerente
General:
71F
Impresoras
General, aplicando los mecanismos de
reconstrucción para los documentos
Escáner
vitales.
No.5A-54
Lectores
Tabla 20. Centros alternos
52
DESCRIPCION DE ESTRATEGIAS
ESCENARIOS
Identificar los
peligros
climáticos y
geográficos
que puedan
poner en
riesgo las
instalaciones
de P&Z
Servicios Ltda.
EQUIPOS DE
TRABAJO
Administración
del plan
(Gerente
General,
Gerente
Administrativo,
Coordinador
de HSEQ).
RECURSOS
ESPECIFICOS
Organismos de
socorro
Atención a
Problemas
físicos de los
edificios
(Gerente
Administrativo,
Coordinador
de archivo)
Administración
del plan
(Gerente
General,
Gerente
Administrativo,
Coordinador
de HSEQ).
Extintores
(Multipropósito,
Solkaflan 123,
agua)
dependiendo
del área.
Gerente
Administrativo:
Activación de
planta eléctrica
del edificio.
Organismos de
socorro
53
CONTROLES
PROCESO DE
ACTIVACION
Inundación
Incendio
Desarrollo del
plan de
emergencias
en coordinación
con la
Empresa.
Sismo
Corte de energía
eléctrica
PROCESO DE
RETORNO
Probable,
debido a que el
archivo de
gestión se
encuentra en
instalaciones
ubicadas en
lugares
geográficamente
inundables,
cerca al río
Fucha.
Probable,
porque cerca a
las instalaciones
se encuentra
una bodega
productora de
químicos.
Muy probable,
Colombia y
especialmente la
región Andina
se encuentra
ubicada en uno
de los cordones
telúricos de más
alta probabilidad
de ocurrencia y
riesgo.
Probable, por
las malas
condiciones del
cableado
eléctrico se hace
necesario
realizar cortes
de energía
continuamente.
Cortes
prolongados
(más de 1 hora):
poco probables.
Seguridad
física de la
información
(Jefe de
seguridad)
Circuito
cerrado de
cámaras
Robo,
Sustracción,
sustitución,
Adulteración,
Pérdida de
documentos
Ataques Internos
Evaluar los
peligros de la
Integridad de
los datos
Integridad de
datos (DIDT,
Coordinador
de archivo)
Lineamientos
que regulan
aspectos
relacionados
con seguridad
informática en
P&Z Servicios
Ltda.
Software de
seguridad
informática
(antivirus,
firewalls,
parches de
seguridad,
etc.)
Virus
Informáticos
Falsificación
Identificar los
peligros de la
seguridad de
la información
de los
archivos de
gestión
Coordinador
de archivo,
DIDT
Software
documental
(SIDRA),
Software de
digitalización
Acrobat
Capture, Pagis
Pro.
54
Lineamientos
que regulan
aspectos
relacionados
con seguridad
de la
información en
P&Z Servicios
(Desarrollo de
un programa de
gestión
documental)
Físicas: luz,
humedad y
temperatura
Químicas:
oxigeno,
nitrógeno, ozono,
carbono.
Biológicas:
roedores,
insectos, hongos,
Probable, no se
cuenta con
sistemas de
alarmas en la
recepción de los
edificios ni se
hace revisión
física exhaustiva
de los
documentos
físicos que
sacan los
funcionarios
Poco probable,
los usuarios de
la red tienen
restricciones
para realizar
modificaciones
sobre los
documentos
registrados en
los aplicativos
de la empresa.
Probable, no se
cuenta con
bloqueo de
archivos
adjuntos en
mails y los
usuarios no
tienen
restricciones con
el acceso a
internet.
Probable, no
existen controles
de seguridad
adecuados
Probable:
ocasionaría
pérdidas totales
de la
información si
no se
implementa un
programa de
conservación
preventiva de
los documentos.
bacterias
Mecánicas:
manipulación del
papel,
condiciones
almacenamiento
Materias primas
del papel:
Oxidación, acidez
Descentralización
de archivos
Desorganización
Muy Probable,
los archivos
están
descentralizados
y están ubicados
en dos áreas
geográficamente
dispersas.
Muy Probable,
Los archivos de
gestión no están
organizados de
acuerdo con
criterios técnicos
ni inventariados
en su totalidad.
Tabla 21. Descripción de estrategias
5.13. CAPACITACION Y PRUEBAS
SESIONES DE CAPACITACION
Objetivos:
Difundir y concientizar a todo el personal activo de la empresa los pasos a seguir
en caso de cualquier riesgo.
Detalles:
- Definición del Plan de Contingencia
- Lineamientos y procedimientos generados por la empresa.
- Plan informático
55
Términos usados, supuestos y limitaciones:
Utilizar un lenguaje sencillo y que sea entendible para todo el personal activo de la
empresa.
Organizar jornadas de capacitación del plan de contingencia de 6 horas diarias por
grupos de máximo 12 personas, en caso que asista más personal al recinto, se
dividirá el grupo en dos, uno continuará en la sala previamente establecida y el
otro grupo en una sala alterna que estará disponible con todos los elementos
necesarios (equipos de cómputo, video-beam, televisor, DVD, etc.).
En caso de existir un corte eléctrico, se realizará una jornada práctica con el
personal, la cual se ha preparado previamente.
PLAN DE PRUEBAS
Objetivos:
Reducir la probabilidad de riesgos en un nivel aceptable asegurando la adecuada
recuperación de la información.
TIPOS DE PRUEBAS
Simulacros:
Los simulacros hacen parte de la evaluación, capacitación y entrenamiento del
personal para la atención de emergencias, por lo que cada una de estas
actividades debe ser evaluada en todos sus aspectos.
Es de resaltar que los simulacros no deben ser anunciados con anterioridad a su
ejecución, ya que no se mediría y evaluaría la reacción real del personal de la
56
empresa. Por lo anterior durante el año se deben efectuar mínimo cinco (5)
ejercicios de este tipo ubicando la emergencia en diferentes áreas de la empresa.
Descripción:
9 Hacer funcionar los equipos asignados para el plan de contingencia.
9 Ubicar un equipo que funcione como servidor
9 Conectar los equipos con el switch administrable con el fin de hacer una red
local y verificar conexiones desde los equipos cliente hacia el servidor.
9 Instalar la base de datos que contiene la información del archivo de gestión
9 Restablecer el último backup realizado a la base de datos.
9 Verificar y actualizar, si se requiere el listado de documentos vitales de la
empresa.
5.14. MANTENIMIENTO DEL PLAN
POLITICAS Y PROCEDIMIENTOS
Una vez por mes se debe realizar un informe sobre el plan de contingencia,
teniendo en cuenta las posibles modificaciones que se pudieran hacer.
Semestralmente se hará una verificación de los teléfonos de contacto para
asegurar que son los que están actualmente en funcionamiento. De igual forma
se hará con la revisión de los botiquines de primeros auxilios. En caso de tener
que utilizar alguno de los elementos del botiquín, es necesario que sea repuesto
inmediatamente.
Realizar periódicamente:
a.
Llamar a los teléfonos de los colaboradores incluidos en la lista del plan de
contingencia.
57
b.
Verificar los procedimientos que se emplearan para almacenar y recuperar
los datos (backup).
c.
Comprobar el correcto funcionamiento del disco extraíble, y del software
encargado de realizar dicho backup.
d.
Realizar simulacros de incendio, capacitando al personal en el uso de los
extinguidores; caída de sistemas o fallas de servidores, para la medición de la
efectividad del plan de contingencia.
MECANISMOS DE ALMACENAMIENTO
Copias de Seguridad:
Al final de cada día la información ingresada en el aplicativo, se copiara en un
disco extraíble, esto permitirá salvar la información, en caso fallo parcial o total, de
uno o ambos servidores, o de la propia base de datos.
Además, existe una copia mensual, desde ese disco extraíble a DVD-ROM, para
archivar definitivamente. Esta ultima copia, que se realiza en forma mensual,
podría ser emitida por duplicado, para que de esta manera, se pueda archivar una
dentro de la compañía y otra fuera de la misma. Así se asegura de que en caso de
robo dentro del edificio, se cuente con otra copia de la información vital del archivo
de gestión de la empresa.
MECANISMOS DE ACTUALIZACION
Una vez realizadas las pruebas del plan se procederá a realizar el cambio o la
actualización en los casos que se requiera.
58
En caso de modificarse el plan de contingencia, actualizar todas las copias de
cada uno de los empleados, con la posterior destrucción de la copia anterior, para
unificar la información.
59
6.
CONCLUSIONES
Un Plan de Contingencia es la herramienta que cualquier empresa debe tener,
para desarrollar la habilidad y los medios de sobrevivir y mantener sus
operaciones, en caso de que un evento fuera de su alcance le pudiera ocasionar
una interrupción parcial o total en sus funciones. Las políticas con respecto a la
recuperación de desastres deben de emanar de la máxima autoridad Institucional,
para garantizar su difusión y estricto cumplimiento.
El hecho de preparar un plan de contingencia no implica un reconocimiento de la
ineficiencia en la gestión de la empresa, sino todo lo contrario, supone un
importante avance a la hora de superar todas aquellas situaciones descritas con
anterioridad y que pueden provocar importantes pérdidas, no solo materiales sino
aquellas derivadas de la paralización del negocio durante un período más o menos
largo.
El plan de contingencias tiene diferentes niveles de complejidad y flexibilidad
según
las
necesidades
y
características
de
los
grupos,
empresas
u
organizaciones. Nunca se contará con los recursos suficientes para estar
totalmente preparados, de ahí que el proceso deba ser paulatino e ir
evolucionando según el contexto.
El monitoreo y revisiones de las acciones es esencial para asegurar se estén
llevando a cabo eficazmente. También nos permitirá evidenciar los factores que
pudieran estar afectando negativamente la aplicación de controles.
La probabilidad que las amenazas externas de tipo climático y geográfico se
materialicen se minimizará diseñando y aplicando planes de emergencias,
capacitaciones al personal, y revisiones continuas a las instalaciones.
60
Por otra parte, la centralización de los archivos de gestión contribuirá a controlar
la Pérdida, sustracción, sustitución, adulteración, falsificación de documentos e
información.
El desarrollo de un programa de gestión documental le permitirá a P&Z minimizar
la probabilidad que los riesgos (amenazas y debilidades identificadas) se
presenten nuevamente, ya que permitirá controlar los documentos y los peligros
que en materia de seguridad e integridad de la información debilita a la empresa.
La empresa se beneficiará con el Programa de gestión documental: recuperando
el conocimiento, integrando la informática y los procesos archivísticos, obteniendo
una rápida localización y consulta de documentos, permitiéndole un mejor control
y seguimiento de la distribución de documentos.
La aplicación del Plan de contingencia nos permitirá estar preparados para
identificar las posibles situaciones de emergencia, sus posibles variaciones, los
procedimientos para hacerles frente y las alternativas disponibles. Es mejor estar
preparados para algo que a lo mejor no va a suceder, a que nos suceda algo para
lo cual no estemos preparados.
61
7.
BIBLIOGRAFIA
MARTINEZ, Juan Gaspar. Planes de contingencia: la continuidad del negocio en
las organizaciones. Madrid: Díaz de Santos, 2004.
TAMAYO Y TAMAYO, Mario. Serie aprender a Investigar. Bogotá: ICFES, 1995
ZAPATA CÁRDENAS, Carlos Alberto. Apuntes de clase de la asignatura de
Planes de Contingencia en Archivos. Bogotá: Universidad de la Salle 2007
MEJÍA, Rubi Consuelo. Administración de riesgos un enfoque empresarial.
Medellín: Universidad EAFIT, 2006.
ISAZA CASTRO, Jairo Guillermo; Rendón Acevedo, Jaime Alberto. Guía
metodológica para la formulación y presentación de proyectos de investigación:
apuntes de clase. 2ª. Ed. Bogotá: Universidad de la Salle, 2007
GONZÁLEZ HERNÁNDEZ, Sara. Archivos: desorganizados fuente de corrupción
administrativa. Bogotá: Archivo General de la Nación, 2006
Direcciones Internet y Material Electrónico:
Wikipedia Foundation, Inc.(2007). Wikipedia: la enciclopedia libre.
En: http://es.wikipedia.org/wiki/Seguridad_de_Informaci%C3%B3n
62
Ramos, F. Nuevo reglamento de seguridad para la protección de ficheros
automatizados con datos de carácter personal: ¿obstáculo o ayuda al desarrollo
de la empresa española?.
En: http://www.iec.csic.es/criptonomicon/articulos/expertos57.html
Conicet. Más información sobre la intranet de Conicet.
En: http://www.conicet.gov.ar/intranet/masInformacion.php
Turgeon, D. IDRC Books free online
En: http://www.idrc.ca/es/ev-30231-201-1-DO_TOPIC.html
63
Documentos relacionados
SITUACION ACTUAL • Descripción de la organización
SITUACION ACTUAL • Descripción de la organización
DOFA+PERSONAL[1]
DOFA+PERSONAL[1]
yeimi
yeimi
Trabajo en Grupo: FODA: Análisis Fortalezas, Oportunidades
Trabajo en Grupo: FODA: Análisis Fortalezas, Oportunidades
DOFA PERSONAL
DOFA PERSONAL
Análisis DAFO (Debilidades, Amenazas, Fortalezas, Oportunidades)
Análisis DAFO (Debilidades, Amenazas, Fortalezas, Oportunidades)
ANALISIS DOFA DEL PROCESO DE PARTICIPACION SOCIAL EN
ANALISIS DOFA DEL PROCESO DE PARTICIPACION SOCIAL EN
Descargar
Anuncio
Anuncio