3.6- Evaluación del Desempeño

No estamos interesados en el desempeño general, sino en el desempeño del puesto o cargo, en el comportamiento de rol del ocupante del  puesto. El desempeño del  puesto es situacional en extremo, varía de persona a persona y depende de innumerables factores condicionantes que influyen poderosamente.
El valor de las recompensas y la percepción de que las recompensas dependen del esfuerzo  y así determinan el volumen de esfuerzo individual qué la persona está dispuesta a realizar:

Proceso

  1. Formulación de objetivos por consenso. Primer paso en esta nueva APO (Administración por Objetivos) participativa en que los objetivos se establecen entre el gerente y el evaluado, lo cual supone una verdadera negociación para llegar a un  consenso. Los objetivos deben establecerse por consenso, no deben imponerse.

La superación de estos objetivos debe representar un beneficio para la empresa se debe dar un incentivo fuerte y convincente para dinamizar de alguna forma el comportamiento.

  1. Compromiso personal en la consecución de los objetivos fijados en conjunto. En algunos casos se presenta una especie de contrato formal o psicológico para caracterizar el acuerdo logrado en cuanto a los objetivos que deben alcanzarse.
  2. Asignación de los recursos y los medios necesarios para alcanzar los objetivos. Definidos los objetivos por consenso y logrado el compromiso personal, el paso siguiente es conseguir los recursos y medios necesarios para alcanzar los objetivos con eficacia. Si no hay recursos ni medios, los objetivos se tornan inalcanzables. Estos recursos y medios pueden ser materiales (equipos, máquinas, etc.), humanos (equipo de trabajo) o inversiones personales en capacitación y desarrollo profesional del evaluado. Representan un costo para alcanzar los objetivos deseados.
  3. Desempeño. Comportamiento del evaluado en la búsqueda de los objetivos fijados. Constituye la estrategia individual para lograr los objetivos deseados.
  4. Medición constante de los resultados y comparación con los objetivos fijados. Verificación de los costos y beneficios involucrados en el proceso. La medición de los resultados, y los objetivos, requieren fundamentos cuantitativos confiables que den una idea objetiva y clara del funcionamiento del proceso y del esfuerzo de la persona evaluada.
  5. Retroalimentación intensiva y medición conjunta. Debe existir mucha información de retorno y, sobre todo, amplio apoyo de la comunicación para reducir la disonancia y aumentar la coherencia. Éste es uno de los aspectos más importantes del sistema: el evaluado debe tener una percepción de cómo va marchando, para establecer una relación entre el esfuerzo y el resultado alcanzado.

Beneficios de la evaluación del desempeño

Cuando un programa de evaluación del desempeño está bien planeado, coordinado y desarrollado, proporciona beneficios a corto, mediano y largo plazos.

Para el jefe:

  • Evaluar mejor el desempeño y el comportamiento de los subordinados, con base en las variables y los factores de evaluación y, sobre todo, contando con un sistema de medición capaz de neutralizar la subjetividad.
  • Proponer medidas y disposiciones orientadas a mejorar el estándar de desempeño de sus subordinados.
  • Comunicarse con sus subordinados para que comprendan la mecánica de evaluación del desempeño como un sistema objetivo, y que  mediante ese sistema puedan conocer cuál es su desempeño.

Para  el subordinado:

  • Conocer las reglas de juego, es decir, los aspectos de comportamiento y de desempeño que más valora la empresa en sus empleados.
  • Conocer cuáles son las expectativas de su jefe acerca de su desempeño, y sus fortalezas y debilidades, según la evaluación del jefe.
  • Saber qué disposiciones o medidas toma el jefe para mejorar su desempeño (programas de entrenamiento, capacitación, etc.), y las que el propio subordinado deberá tomar por su cuenta (auto-corrección, mayor esmero, mayor atención al trabajo, cursos por su propia cuenta, etc.)
  • Auto-evaluar y auto-criticar su auto-desarrollo y autocontrol.

Beneficios para la organización:

  • Puede evaluar su potencia! humano a corto, mediano y largo plazos, y definir la contribución de cada empleado.
  • Puede identificar los empleados que necesitan actualización o perfeccionamiento en determinadas áreas de actividad, y seleccionar a los empleados que tienen condiciones para ascenderlos o transferirlos.
  • Puede dar mayor dinámica a su política de recursos humanos, ofreciendo oportunidades a los empleados (no sólo de ascensos, sino de progreso y de desarrollo personal), estimulando la productividad y mejorando las relaciones humanas en el trabajo.

Métodos de evaluación del desempeño

El problema de la evaluación del desempeño de grupos de personas en las organizaciones condujo a encontrar soluciones que se transformaron en métodos de evaluación bastante populares, denominados métodos tradicionales de evaluación del desempeño, los cuales varían de una organización a otra porque cada una tiende a construir su propio sistema para evaluar el desempeño de las personas. En muchas empresas es corriente encontrar varios sistemas específicos que cambian según el nivel y las áreas de asignación del personal; por ejemplo, sistema de evaluación de gerentes, trabajadores por meses, por horas, vendedores, etc.
Cada sistema sirve a determinados objetivos específicos y a determinadas características del personal involucrado. Pueden utilizarse varios sistemas de evaluación del desempeño o estructurar cada uno de éstos en un método de evaluación adecuado al tipo y a las características de los evaluados.
Esta adecuación es de importancia para la obtención de resultados. La evaluación del desempeño es un medio, un método, una herramienta, y  no un fin en sí misma. Es un medio para obtener datos e información que puedan registrarse, procesarse y canalizarse para mejorar el desempeño humano en las organizaciones. En el fondo, la evaluación del desempeño sólo es un buen sistema de comunicaciones que actúa en sentido horizontal y vertical en la empresa.
Los principales métodos tradicionales de evaluación del desempeño son:

  • Escalas gráficas
  • Elección forzada
  • Investigación de campo
  • Incidentes críticos
  • Mixtos
Anuncios

3.3- Proceso de la Admón. de RR HH (Selección)

Selección

Es la elección del individuo adecuado para un puesto de trabajo. Es por ello que, en un sentido más amplio es escoger entre un grupo de personas que gracias al proceso de reclutamiento sean  presentados a la organización al que tenga las condiciones exigidas por el perfil laboral.
Al desarrollar el acto de escoger hay que tener mucho cuidado  porque se tendrá que garantizar  en ese caso de selección llenar una vacante, mantener o aumentar la eficiencia y desempeño del personal, así como la eficacia de la organización, de esta forma un proceso de selección de recursos humanos en una organización busca solucionar dos problemas bien fundamentales en ellas, los cuales son:
Adecuación del seleccionado al cargo  o puesto de trabajo.
Eficiencia del seleccionado en el cargo  o puesto de trabajo.
Si todos los individuos fueran iguales  y reunieran las mismas condiciones para aprender y laborar, la selección de este no seria  necesaria, pero hay una gran gama de diferencias individuales físicas (estatura, peso, sexo, constitución, fuerza, agudeza visual y auditiva, resistencia  a la fatiga, etc.).
Diferencias psicológicas (temperamento, carácter, aptitud, inteligencia, capacidad intelectual, autocontrol, etc.).Estas diferencias llevan a las personas  a que se comporten y perciban las situaciones de manera diferente y por lo tanto logren mayor o menor éxito en el desempeño de sus obligaciones o funciones en ámbito laboral.
Las personas difieren tanto en  la capacidad para aprender a realizar una tarea como en la ejecución de ella, una vez aprendida.
Por ello el proceso de selección es un proceso de eliminación, de cotejo de tal manera que  debe suministrar no solo un diagnostico sino también en especial un pronostico respecto al candidato.
El proceso de selección debe de proporcionar suficiente evidencia y proyección de como será el aprendizaje y la ejecución en el futuro de dicho candidato. El punto de partida de todo proceso se fundamenta en los datos y la información que se tengan respecto del puesto que va a ser ocupado. Los criterios de selección se basan en lo que exigen las especificaciones o requisitos del puesto, si por un lado está el análisis y las especificaciones del puesto que esta vacante en ese momento que dan cuenta de los requisitos indispensables exigidos al aspirante, por el otro tenemos candidatos profundamente diferenciados entre sí, que compiten por el puesto vacante. Es por ello que el proceso de selección configura un proceso de comparación y decisión.
La selección laboral debe de mirarse como un proceso real de comparación entre dos variables:
Los requisitos del puesto (exigencias que debe de cumplir el ocupante del puesto)
El perfil de las características de los candidatos al puesto.
Una vez establecida la comparación entre las características exigidas por el puesto y la de los candidatos, puede suceder que varios de ellos cumplan las exigencias y merezcan ser postulados para que el organismo solicitante los tenga en cuenta como candidatos a ocupar el cargo o puesto vacante
Como proceso de decisión, la selección de personal implica tres modelos de comportamientos:

  • Modelo de colocación. Cuando no se contempla el rechazo. En este modelo hay solo un candidato para una vacante que debe ser cubierta por él. En otras palabras, el candidato presentado debe ser admitido sin objeción alguna.
  • Modelo de selección. Cuando hay varios candidatos para cubrir una vacante. Cada candidato se compara  con los requisitos que exige el puesto por proveer; pueden ocurrir dos alternativas: aprobación o rechazo. Si se rechaza, simplemente sale del proceso, porque varios aspirantes a ocupar el puesto y solo uno de ellos podrá ser aceptado.
  • Modelo de clasificación. Es el enfoque más amplio y situacional. En este modelo hay varios candidatos para cada vacante y varias vacantes para cada candidato. Cada candidato se compara con los requisitos exigidos para el puesto vacante. Ocurren dos alternativas para el candidato, puede ser rechazado o aceptado para el puesto. Si es rechazado pasa a ser comparado con los requisitos exigidos por los demás puestos vacantes, hasta que se agoten; de ahí la denominación de clasificación. Cada cargo o puesto  vacante es pretendido por varios candidatos que lo disputan, pero uno solo podrá ocuparlo, si llegara a ser aceptado.

Por ello es una razón muy importante que fundamento el historiador Frederick Taylor dentro de sus principios al declarar que debería de existir un proceso científico de selección de tal manera que se pudiera elegir a la persona mas idónea para ocupar el puesto en disputa en una organización, para ello presento un proceso de selección el cual puede ser considerado para la elección de un aspirante para un puesto.
Es propicio mencionar que la organización se reserva el derecho de llevar un proceso de selección, lo cual garantice un mejor desarrollo de este (persona seleccionado en el puesto)

Proceso de Selección

  1. Verificación de información solicitada. En este paso se tiene que dejar bien claro que la organización ha obtenido información a través de una hoja de vida (currículo vitae), solicitud de trabajo lo cual en el reclutamiento laboral específicamente a través de los medios de reclutamiento han facilitado a la organización. La mayoría de organizaciones verifican la información de los aspirantes en una   forma muy rápida en la cual puede tener como resultado una disminución en los candidatos, ello puede anteponer un paso anterior al presentado.

Hoja de solicitud: Es la base del proceso de selección y de todo el trabajo, ya que es la cabeza del expediente del empleado. La hoja de solicitud debe contener:

  • Datos generales del solicitante.
  • Estructura familiar.
  • Características Económicas.
  • Antecedentes de trabajo.
  • Historial de estudios.
  • Motivaciones, aspiraciones, deseos.

Investigación:

  • De antecedentes de trabajo (para comprobar la idoneidad, laboriosidad y capacidades del trabajador).
  • De antecedentes penales (penitenciarias, cárceles).
  • De cartas de recomendación (para comprobar su validez).
  1. Entrevista inicial. Este paso por lo general es una charla  con duración de 5-10 minutos, lo cual pone en evidencias al entrevistado  con sus respuestas, es muy frecuente que  se planteen cuestionamientos  como:
    • ¿En que emplea su tiempo libre?
    • ¿Cuáles son sus pasatiempos?
    • ¿Por qué desea laborar en nuestra organización?
    • ¿Cuál es su expectativa salarial?
    • ¿Qué opinión tiene de nuestros productos o servicios?
    • ¿Cuáles son sus fortalezas?
    • ¿Cuáles son sus debilidades?
    • ¿Planea seguir algún curso aparte de los ya alcanzados?
    • ¿Describa su último trabajo?
    • ¿Cuál es su deporte favorito?
    • ¿Es casado usted?
    • ¿Tiene hijos?
    • ¿Qué espera de sus hijos?
    • ¿Cómo se siente trabajando con otras personas?
    • ¿Se considera amistoso?
    • ¿Es miembro de asociaciones  gremiales?  Y muchas preguntas más

Los cuestionamientos obedecen a que cada pregunta tiene su objetivo principal, lo cual para el entrevistador ejerce un juicio de valor hacia el candidato, por ello se debe de saber que la organización ya tiene respuesta para la mayoría de preguntas bajo condiciones normales.
Es muy normal para los entrevistadores definir con anterioridad los factores o criterios a evaluar por esta razón, el vestuario puede pasar a un segundo grado  y anteponerse condiciones de conocimientos y habilidades, para el desarrollo de un puesto de trabajo.
La primera entrevista puede ser preparada por el contenido de las rúbricas de la solicitud de empleo. La lectura de esta solicitud y el estudio de los test de aptitud permiten establecer la conducta a seguir. La conversación encuentra su conclusión en la redacción de una ficha de síntesis que, establecida por un psicólogo, debe ayudar al responsable del futuro contratado a realizar su elección.
Es preciso anotar que el contrato no es nunca decidido por el psicólogo o el encargado del departamento de personal, sino por el responsable del o de los puestos a cubrir.

  1. Pruebas o evaluaciones de idoneidad. Las pruebas de idoneidad son instrumentos para evaluar la compatibilidad entre los aspirantes y  los requisitos del puesto. Algunas de estas pruebas consisten en:
    • Médicas
    • Física
    • Psicológicas
    • Prácticas

De esta manera la organización  garantizará que el candidato tenga  las condiciones para desarrollarse en el puesto de trabajo, por lo que cada prueba tiene su objetivo, el desarrollo de cada prueba en el cual  contempla una serie de evaluaciones particularmente para cada puesto de trabajo. Es por ello que  es fundamental el practicarlas continuamente.

  • Las pruebas  médicas: evidencian el diagnóstico y el estado de salud (enfermedades patológicas) que puede tener el futuro candidato.

Sirve para:

    • Conocer si el candidato padece enfermedades contagiosas.
    • Saber si tiene enfermedades contra-indicatorias al puesto,
    • Si es alcohólico o drogadicto.
    • Uso normal y agudeza de sus sentidos.
    • Buscar defectos que lo predispongan a sufrir accidentes de trabajo.
    • Investigar su estado actual de trabajo.
  • Las pruebas físicas: determinan la capacidad o energía física o muscular  de una persona,
  • Las pruebas psicológicas determinan la salud mental de una persona, en la cual se determina el equilibrio mental ante situaciones dadas. Muchos subrayan la inutilidad y el peligro de los test. La experiencia prueba que los test no pretenden inventariar el conjunto de una personalidad y tiene únicamente por objeto el desvelar entre unos candidatos y otros las cualidades que exige la o las funciones a cubrir.
  • Las pruebas de orden práctico pretenden visualizar una habilidad o destreza en el desarrollo de una actividad en particular.

En la mayoría de casos es una evaluación con los equipos o instrumentos (insumos, recursos materiales que ocupa en el puesto de trabajo y en el cual es fundamental su conocimiento y manejo de ellos)

  • Muchas organizaciones hacen que los candidatos que han llegado hasta este punto de la selección se realicen la prueba del polígrafo (Detector de mentiras) es un instrumento de registro de respuestas fisiológicas. Generalmente registra la presión arterial, el ritmo cardiaco, la tasa respiratoria y la respuesta galvánica de la piel. Debe de ser utilizado para un experto con experiencias en detectar que la persona no esté mentalizado para no producir variaciones en sus registro aun cuando diga mentiras.

Hay organizaciones que contribuyen y asumen ya sea el 50% o en su totalidad la inversión realizada para la realización de las pruebas, de Igual manera se reservan el derecho de la confiabilidad de los resultados a través de la selección de un lugar especifico para la realización de las evaluaciones, así existen organizaciones que el costo total de las pruebas específicamente las de salud las asumen los aspirantes al puesto vacante
En este paso la unidad de recursos humanos se auxiliara de otros profesionales (doctor, psicólogo para la lectura de los respectivas pruebas y de esta manera contribuir a la toma de decisiones  de los aspirantes.
Para aplicar una prueba con éxito, se requiere determinar:

  • Estandarización: Determinar estadísticas, los máximos y mínimos para el grupo.
  • Confiabilidad: Se refiere a garantizarnos que ésta anida siempre de una manera consistente.
  • Validez: Se refiere a los resultados que reflejen en la característica correspondiente dentro de la ejecución del trabajo.

Recuerde que cada uno de los pasos anteriores pretende evidenciar la capacidad, por lo tanto el número de aspirantes se verá reducido en la medida que se avanza en el proceso.

  1. Entrevista  de decisión. En este paso se pretenderá que el entrevistado tome una decisión de aceptar las condiciones de la organización, por lo que una pregunta que se hizo en la primera entrevista volverá ha ser cuestionada (cuál es su pretensión salarial en el puesto), por lo que a partir de una valuación de puestos en la que hemos determinado el valor cuantitativo del puesto con anterioridad a la entrevista nos permitirá tener  bien definido técnicamente el valor a discutir, por lo tanto si los aspirantes tienen todas las condiciones tanto de conocimiento como de habilidades necesarias para un buen desarrollo en el puesto.

Tendremos en este paso que tomar decisiones con respecto a los futura  terna   a considerar para el puesto vacante  en discusión, de igual manera en la entrevista   se   abordarán situaciones de carácter muy personal como la flexibilidad de  prestaciones y compensaciones, políticas institucionales de orden general.
La unidad de la organización que solicito el candidato debe de entrevistar a la terna proporcionada por la unidad de recursos humanos, de esta manera la responsabilidad en la toma de decisión de seleccionar a un futuro ocupante del puesto vacante tenga un grado de responsabilidad.

  1. Decisión de contratar. La decisión de contratar al solicitante señala el final del proceso de selección del recurso humano en la empresa, en el paso anterior ya hemos pedido la colaboración del encargado de la unidad solicitante (jefe, supervisor, encargado) por lo que en este paso se tendrá que tomar una decisión con respecto a quien dejara de ser un aspirante hasta ese momento para convertirse en un empleado de la empresa.

Con el fin de mantener una buena imagen de la institución (empresa) conviene comunicarse con cada uno de los solicitantes que no fueron seleccionados en cada uno de los pasos que conlleva el proceso de selección, por lo que tanto la organización como el aspirante incluye ya una inversión en tiempo y evaluaciones, de esta manera se promoverá que el aspirante no tenga una presión  de su solicitud ante la situación de haber llenado la plaza o puesto vacante

5.5- Proceso del Análisis de Riesgos

Enseguida, y con la finalidad de ampliar un poco más el panorama de las posibles vulnerabilidades que pueden comprometer la información de la empresa, se muestra una clasificación concisa de blancos, tipos de ataque y el método de uso más común para lograrlo. Si deseamos analizar los diferentes ámbitos de nuestra empresa, es necesario que tengamos conocimiento sobre cuáles vulnerabilidades son las más comunes cuando nos referimos a los sistemas de  información.
En esta tabla se observan ejemplos de los métodos más comunes utilizados por personas con intenciones maliciosas para el ataque o infiltración a nuestros sistemas. Es importante mencionar que estos son sólo algunos de los ataques potenciales a los que nuestra empresa está expuesta.
Un análisis de riesgos tradicional se forma por medio de un conjunto de actividades preestablecidas que tiene como objetivo identificar el proceso a considerar, saber cuáles son sus elementos o partes constituyentes, cuáles los equipos necesarios en para efectuarlo.

Relevancia de los procesos de negocio y sus activos en el análisis de la seguridad

Para que el análisis de riesgos tenga en realidad un efecto positivo en la empresa, es necesario identificar las diferentes prioridades a lo largo de cada uno de sus procesos de negocio. De esta forma podremos realizar un plan estratégico basado en la importancia y el impacto de nuestras acciones que beneficien la seguridad de la información de nuestra compañía.

Identificación de la Relevancia

Al hacer un análisis de riesgos, es importante identificar la relevancia que tienen los procesos de la empresa en la organización, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente.
Relevancia de cada uno de los procesos de negocio en la empresa, es un punto clave a considerar durante la realización del análisis de riesgos. Dicha relevancia será de gran importancia para identificar el rumbo de las acciones de seguridad a implantar en la organización.

Identificación de la Relevancia de los  procesos de negocio

Es determinante para que las acciones de seguridad sean dirigidas a las áreas más críticas, o de mayor prioridad. Este trabajo permite dar prioridad a las acciones que son más urgentes, al dirigir los costos y optimizar los recursos donde realmente sean necesarios. Para entender mejor lo anterior revisemos los siguientes ejemplos: Ejemplos
En la banca financiera las acciones de seguridad debieran probablemente enfocarse principalmente en aquellos procesos que involucren transacciones monetarias, que son aquellas de mayor prioridad dada la naturaleza de su negocio. Por otra parte, si en una empresa existen áreas que son comúnmente atacadas y afectadas, es posible que sea necesario atender primero estos procesos dado los riesgos que pudieran presentar para la seguridad de la información en la empresa. O bien, si en la empresa existen áreas que son importantes para la reducción de costos, pudiera ser importante considerarlas como clave y de alta prioridad para las acciones de seguridad por tomar.
<!– Identificación de la relevancia de la seguridad en los procesos de Ejemplos
El siguiente diagrama muestra la manera en la que podemos tomar alguno de los procesos importantes en nuestra empresa e identificar los posibles ataques o las áreas con mayor vulnerabilidad para después de un análisis, saber hacia dónde dirigir los esfuerzos de más prioridad y mayor capacidad de recursos.
La identificación de los riesgos de seguridad permite aclarar las ideas e identificar los posibles riesgos para la seguridad. La información se recopila en forma de amenazas, vulnerabilidades, puntos débiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fácil de recordar para identificar las amenazas y los posibles puntos débiles.
La suplantación de identidades es la capacidad de obtener y usar la información de autenticación de otro usuario. Un ejemplo de suplantación de identidad es la utilización del nombre y la contraseña de otro usuario.
La alteración de datos implica su modificación. Un ejemplo sería alterar el contenido del cookie de un cliente.
El repudio es la capacidad de negar que algo haya ocurrido. Un ejemplo es que un usuario cargue datos dañinos en el sistema cuando en éste no se puede realizar un seguimiento de la operación.
La divulgación de información implica la exposición de información ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgación de información es la capacidad de un intruso para leer archivos médicos confidenciales a los que no se les ha otorgado acceso.
Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consiste en dejar un sitio Web inaccesible, al inundarlo con una cantidad masiva de solicitudes HTTP.
La elevación de privilegios es un proceso que siguen los intrusos para realizar una función que no tienen derecho a efectuar. Para ello se explota una debilidad del software o se usan credenciales de forma ilegítima.

–>

Identificación de la Relevancia de los Activos

Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, qué tan importante es para nuestro negocio en comparación con el resto de los activos de la empresa para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario.
La relevancia de los activos en los negocios de la empresa, marcará el rumbo definitivo de las acciones de seguridad en la empresa.
Para alcanzar el objetivo de identificar la relevancia de los activos, el análisis de riesgos busca proveer datos cuantitativos y cualitativos sobre el nivel de seguridad existente en la organización, para que se puedan realizar las acciones y cumplan  su propósito en cuanto a la seguridad de la información, como garantizar su confidencialidad, integridad y disponibilidad.
En verdad, el análisis de seguridad es el reconocimiento de todo el entorno en el que se pretende implementar seguridad, para que puedan cumplir los siguientes propósitos:

  • Identificar los puntos débiles para que sean corregidos, es decir, con esto disminuir las vulnerabilidades presentes en los activos de los procesos de negocios.
  • Conocer los elementos constituyentes de la infraestructura de comunicación, procesamiento y almacenamiento de la información, para dimensionar dónde serán hechos los análisis y cuáles elementos serán considerados.
  • Conocer el contenido de la información manipulada por los activos, con base en los principios de la confidencialidad, integridad y disponibilidad.
  • Dirigir acciones para incrementar los factores tecnológicos y humanos en las áreas críticas y desprotegidas.
  • Permitir una gestión periódica de seguridad, con el objetivo de identificar nuevas amenazas y vulnerabilidades, además de la verificación de la eficacia de las recomendaciones provistas.

Definición del Equipo Involucrado para Entrevistar a los Usuarios.

Uno de los aspectos importantes para la realización del análisis de riesgos es dimensionar de forma adecuada el recurso humano requerido para su  elaboración. Esto es importante dado el costo que representa para la empresa pero de la elección que hagamos de este recurso depende el éxito del análisis de riesgos. La entrevista a los usuarios nos permite conocer cada uno de los procesos de la empresa a través de los ojos de los actores que los llevan a cabo. Además tienen la oportunidad de recibir una retroalimentación que nos permite conocer a mayor profundidad los posibles riesgos en sus actividades diarias.

Integración del Equipo involucrado

La definición del equipo humano es muy importante, tanto para dimensionar la fuerza de trabajo necesaria para la realización del análisis de riesgos (analistas de seguridad), como para aquellos que se encargaran de entrevistar a las personas involucradas en procesos de negocio (entrevistadores) que proveerán de información vital para el proyecto de análisis de riesgos; y además, serán los responsables por el acceso a los activos para la recolección de información.
En la gráfica muestra otras consideraciones que al momento de definir el equipo de trabajo involucrado en el análisis, tienen que ser tomados en cuenta.

Entrevista a los usuarios

Junto con el análisis técnico de riesgos dentro de la empresa, el equipo de trabajo tendrá la tarea de realizar entrevistas a los empleados que participan en los diferentes procesos de negocio. Dichas entrevistas permitirán, entre otras cosas, recabar información que ayudará en la identificación de los procesos críticos de la compañía.
La entrevista a usuarios de los procesos de negocio permite:

  • Obtener detalles sobre cómo son gestionados, implementados y utilizados.
  • Hacer un mapeo de la criticidad de estos procesos frente a las circunstancias organizacionales a que está sometido,
  • Definir el nivel de capacitación necesaria del equipo involucrado en su sustentación
  • Conocer la forma con que se da el flujo de información dentro del proceso,
  • Conocer la forma de uso y tratamiento de sus productos derivados, entre otras cosas.

Es fundamental que los usuarios de los procesos de negocios (tanto quienes los administran como aquellos que los respaldan y utilizan) muestren el grado de conciencia que tienen con relación al nivel crítico de la información que manejan. De esta manera, es posible evaluar hasta qué punto el equipo involucrado es consciente de los procedimientos de seguridad necesarios para la continuidad de dicho proceso.
Las entrevistas a los usuarios pueden servir como guía de los análisis técnicos, puesto que rastrean a los involucrados con la administración de los activos que serán analizados y considerados con relación a las vulnerabilidades que puedan desencadenar amenazas al proceso de negocio. También en dichas entrevistas pueden ser detectados nuevos elementos humanos o tecnológicos que hacen parte del proceso de negocio y que también necesitan ser analizados.

Análisis Técnico de Seguridad

El análisis técnico de seguridad, representa una de los puntos clave dentro del análisis de riesgos en la compañía. Dado que como hemos mencionado antes, la información es hoy en día uno de los principales activos en las empresas y dicho análisis indicará el nivel de seguridad con el que se cuenta actualmente dentro de la empresa.

A través de éste se hacen las colectas de información sobre la forma en que los activos: fueron configurados, estructurados en la red de comunicación, y la forma en que son administrados por sus responsables.
El análisis técnico es la forma en que se obtiene la información específica de como son gestionados en general los activos de la empresa. De esta forma, es posible identificar, en las entrelíneas de las configuraciones, la forma en que son utilizados y manipulados, buscando identificar vulnerabilidades de seguridad.
En el proceso de análisis técnico de seguridad, diversos tipos de activos son considerados, según sea el ámbito definido al inicio del proyecto, con el  propósito de monitorear las vulnerabilidades presentes a través de errores de configuración o desconocimiento de las posibilidades de ataque por amenazas potenciales.
Dentro de los activos tecnológicos analizados técnicamente, podemos listar los siguientes:

En las Estaciones de trabajo

Son la forma con que estas están configuradas para evitar que los usuarios (con frecuencia de forma inconsciente) permiten la acción de amenazas.

En los Servidores

Los servidores son analizados con prioridades en relación a sus normas de acceso definidas. Se revisan cuáles son los tipos de usuarios que tienen derechos a cuál tipo de información, con base en la clasificación y con relación a la confidencialidad de las informaciones para identificar el exceso o falta de privilegios para la realización de tareas.
El enfoque principal se encuentra en los ficheros de configuración y de definición de usuarios que tienen derechos de administración del ambiente, una vez que son los privilegios de administración los que más amenazan los entornos de tecnología y también son los más anhelados por los invasores.
La interacción que estos servidores tienen con las estaciones de trabajo de los usuarios, con las bases de datos y con las aplicaciones que respalda son el objeto del análisis técnico de servidores, independientemente de sus funciones: como ficheros, correo electrónico, FTP, Web y otras.

En los Equipos de conectividad

El análisis de equipos de conectivicdad está centrado en la detección de configuraciones que ponen en riesgo las conexiones realizadas por la red de comunicación que respalda un proceso de negocio.
Se debe identificar en este análisis la manera en que estos activos han sido configurados: dispositivos de ruteo, parámetros, módems, estaciones nodales, FRADs (dispositivo de acceso a transmisión de cuadro), puentes y otros.
Estos equipos deben poseer un nivel de seguridad muy alto, pues por lo general se sitúan en la entrada de una red de comunicación. Al aplicarse un alto nivel de configuración a estos activos, el acceso externo a la red del proceso de negocio, estará naturalmente más protegido.

En las Conexiones

Las conexiones de comunicación entre las redes deben estar seguras: fibra óptica, satélite, radio, antenas… Para eso, es importante realizar actividades de análisis sobre la forma con que las conexiones están configuradas y dispuestas en la representación topológica de la red. Esto garantiza que la comunicación sea realizada en un medio seguro, encriptado (cifrado) si fuere necesario, libre de posibilidades de rastreo de paquetes o mensajes, y también como el desvío de tránsito para otros destinos indeseados.

En las Bases de datos

Las bases de datos representan un elemento de importancia extrema en la cadena comunicativa, pues almacenan informaciones relativas a los procesos de negocio y con frecuencia, sobre los usuarios de los procesos de negocio. La manera en que la base de datos conversa con las demás aplicaciones de lectura de sus informaciones es uno de los primeros elementos que deben ser analizados. También son evaluados los niveles de confidencialidad, integridad y disponibilidad de las informaciones que allí están, para que se puedan identificar las necesidades de protección y configuración de seguridad para que la información disponible esté de acuerdo con los principios de la seguridad de la información. En las bases de datos son evaluados los privilegios de los usuarios con relación a los permisos de uso, principalmente en lo que se refiere al acceso de aplicaciones que hacen la lectura y escritura de estas informaciones.

En las Aplicaciones

Las aplicaciones son los elementos que hacen la lectura de las informaciones de un proceso de negocio u organización. De esta manera son un elemento muy crítico, puesto que están haciendo la interfaz entre diversos usuarios y diversos tipos de información con relación a la confidencialidad, integridad y disponibilidad. Se considera, por lo tanto, que las aplicaciones deben garantizar un acceso restrictivo, con base en los privilegios de cada usuario, las informaciones que ellas manipulan, al garantizar que sus configuraciones estén de acuerdo con los principios de seguridad establecidos (muchos de los cuales son reconocidos por organismos internacionales) con relación a la disponibilidad de la información, la manera con que la aplicación la lee, guarda y transmite, la forma cómo la aplicación fue desarrollada, cómo son actualizadas y almacenadas sus fuentes, y otras más.

El análisis de riesgos busca también identificar en el entorno físico cuáles son las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. Por ello, se observan y consideran una serie de aspectos dentro de un entorno organizativo en el cual se realizan los trabajos de análisis.
Nuestro entorno debe estar organizado de tal forma que garantice la continuidad y el buen desempeño de las actividades individuales como la manutención debida de los activos.
Preocupaciones como el exceso de humedad o calor, la disposición de los cables de datos y eléctricos, la existencia de fallas en la organización del entorno, pueden exigir la reestructuración del espacio físico para permitir un área de trabajo que sea segura, y por lo tanto, la información de la organización se encuentre también segura. Eso quiere decir que aspectos como control de acceso, disposición topográfica de áreas y activos críticos, salubridad de los ambientes de trabajo (cuidado de la salinidad, humedad, luz, viento, lluvia, inundaciones) deben ser analizados bajo la perspectiva del análisis de seguridad física.

Análisis de seguridad física
El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad.
Estos ambientes deben ser observados con relación a lo siguiente:
Disposición organizativa Se considera la disposición organizativa en especial sobre: La organización del espacio con relación a cómo están acomodados los muebles y los activos de información que las áreas de circulación de personas en lugares de alto transito estén libres de activos valor o importancia que los activos de alta importancia se ubiquen en áreas libres de acceso de personas que no están autorizadas para operarlos.
Sistemas de combate a incendio Se considera la disposición de los mecanismos de combate a incendio, cuidando que estén en los lugares adecuados: Los detectores de humo, los aspersores de agua, los extintores de incendio, entre otras cosas.
Control de acceso Se ocupa de la disposición de sistemas de detección y autorización de acceso a las de personas, para esto se hace uso de: Cámaras de video, hombres de seguridad, trinquete para acceso, mecanismos de reconocimiento individual, entre otros.
Exposición a clima y medio ambiente Disposición de las ventanas y puertas de áreas críticas. Se preocupa que se encuentren ubicadas próximas a activos críticos, Si los activos críticos reciben luz solar o posibilidad de amenaza causadas por los fenómenos de la naturaleza, como viento o lluvias fuertes.
Topografía Se interesa en la localización del centro de procesamiento de datos, de la sala de cómputo o del sitio de servidores, o cualquier área crítica con relación a la topografía del terreno Si se encuentran en el subsuelo, al alcance de inundaciones, próximas a áreas de riesgo como proximidad al mar, ríos o arroyos o áreas de retención de agua o con posibilidad de pérdidas de cañerías hidráulicas.

Revisar los planos de las oficinas para localizar salidas de emergencia y dispositivos de prevención de incendios y verificar que cumplan con las normas de seguridad necesarias. Analizar la localización de los activos de alto valor de la empresa y verificar que se encuentren en áreas de acceso restringido.

Relevancia de los activos para los Resultados

En el análisis de riesgo se sugiere la valoración de la relevancia del proceso de negocio. Esta valoración permite tener una idea del impacto que un incidente de seguridad puede causar al proceso de negocio, al llevar en consideración el valor estratégico que posee para la organización como un todo.
Cuanta mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso.
La consideración de la relevancia también permite que sean dirigidas acciones de corrección de problemas en los activos de mayor prioridad en el momento del análisis, pues son parte de procesos de negocio de alta relevancia.

Los resultados del análisis de riesgos

Una vez que se realiza el análisis de riesgos, la organización tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.
Cuando se sabe que las innovaciones tecnológicas son cada vez más recuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos. Una vez que se tienen las recomendaciones, se inician las acciones de distribución de ellas para corregir el entorno y reducir los riesgos a que está sometida la infraestructura humana, tecnológica, de procesos y física que respalda a uno o más procesos de negocio de una organización. De esa manera es posible implementar en los activos analizados, y también en los activos de mismas características que los analizados, las medidas de corrección y tratamiento de las vulnerabilidades.
Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad para corrección de las vulnerabilidades.
El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.
Comprender la importancia real del análisis de riesgos con el primer paso en la implementación de seguridad, al permitir que se conozca todo el entorno en que se realiza un proceso de negocio del punto de vista procesal, físico, humano y tecnológico.
A partir de este diagnóstico, tanto de las vulnerabilidades como del impacto que ellas pueden traer al negocio (obtenido con la puntuación de la relevancia de los procesos de negocio y sus activos) es posible implementar medidas correctivas, preventivas y de detección que se hagan necesarios para el alcance de los objetivos de la organización.