Actividad evaluación No. 2 Proceso de Recursos Humanos

Actividad Evaluación No. 2

Ivan Santiago Chauta Gaviria – 20181020073

Cristian David Mejia Ramírez - 20222678012

Juan Esteban Olaya García - 20232115005

Manuel Santiago Rodríguez Piñeros - 20172020035

Diego Fernando Sánchez - 20231115002

Facultad Tecnológica, Universidad Distrital Francisco José de Caldas

Ciberseguridad

Yesid Alberto Tibaquira Cortes

19 de mayo de 2024

Tabla de Contenido

Introducción        3

Descripción de la metodología de valoración de activos        7

Listado de activos valorados con la metodología        10

Tabla 5        10

Valoración de activos.        10

Descripción de la metodología de evaluación del ciber-riesgo        11

Aplicación de la metodología        19

Controles        33

∙        Preventivos: “Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.” (Herrera, 2021).        33

∙        Detectivos: “E        33

∙        Correctivo: “Están diseñados para minimizar el impacto de un evento de amenaza una vez ocurrido y ayuda a restaurar un proceso de negocio a sus operaciones normales. Este tipo de controles son muy útiles y eficaces cuando la organización sufre un incidente de seguridad. “(Arroyo, 2023).        33

A continuación, se eligen los cinco riesgos con más valoración y se sugieren tres controles de seguridad para cada uno (uno preventivo, uno detectivo y uno correctivo) que, al ser implementados, reducirían la posibilidad de que el riesgo se materialice.        33

∙        Riesgo        34

Control        34

Preventivo        34

Detectivo        34

Correctivo        34

∙        Controles de Acceso        34

∙        Sistemas de Detección de Intrusos (IDS)        34

∙        Revisión de Controles de Acceso        34

∙        Riesgo CR2 -        34

Control        34

Preventivo        34

Detectivo        34

Correctivo        34

∙        Capacitación y Concientización en Seguridad        34

∙        Monitoreo de Correo Electrónico        34

∙        Reentrenamiento periódico del personal sobre phishing e ingeniería social.        34

∙        Riesgo CR7 -        34

Control        34

Preventivo        34

Detectivo        34

Correctivo        34

∙        Políticas y Procedimientos de Seguridad        34

∙        Gestión de Identidades y Accesos (IAM)        34

∙        Revisión y Mejora de Procedimientos de Seguridad        34

∙        Riesgo CR3 -        34

Control        34

Preventivo        34

Detectivo        34

Correctivo        34

∙        Riesgo CR9 -        34

Control        34

Preventivo        34

Detectivo        34

Correctivo        34

∙        Capacitación y Concientización en Seguridad        34

∙        Pruebas de Penetración        35

∙        Revisión y Mejora de Procedimientos de Seguridad        35

Conclusiones        35

Introducción

Con el constante desarrollo tecnológico y la creciente importancia de la información en el entorno empresarial, las organizaciones se enfrentan a una creciente necesidad de proteger sus activos, tanto físicos como digitales. Esta necesidad de protección se extiende también al proceso de contratación de personal, que juega un papel crucial en la seguridad y el funcionamiento eficiente de una empresa. Por esto la gestión de riesgos ha ganado un papel protagónico en las estrategias de las organizaciones modernas, independientemente de su tamaño o industria. Un marco sólido de gestión de riesgos les permite a las empresas tomar decisiones informadas, reducir su vulnerabilidad ante potenciales peligros y alcanzar sus objetivos de manera sostenible (Figueroa, 2023).

Los profesionales encargados del análisis y gestión de riesgos en las corporaciones comprenden la importancia de asegurar que el proceso de contratación se realice de manera adecuada y segura. Esto implica no solo seleccionar candidatos con las habilidades y experiencia necesarias, sino también evaluar los riesgos asociados con la incorporación de nuevos empleados a la organización.

Es esencial que los profesionales estén familiarizados con los marcos de trabajo para el análisis y gestión de riesgos, y que apliquen estos conocimientos de manera efectiva al proceso de contratación. Esto incluye la implementación de políticas y procedimientos de seguridad que aborden tanto aspectos lógicos, como la verificación de antecedentes y referencias, así como aspectos físicos, como el control de acceso a las instalaciones y la protección de la información confidencial.

En este contexto, nuestro enfoque se dirige hacia el proceso de contratación de personal. Este proceso desempeña un papel fundamental para la organización, ya que determina quiénes formarán parte de su equipo y, por lo tanto, influye directamente en la seguridad y el éxito a largo plazo de la empresa.

Dado su rol crucial, los riesgos asociados con un proceso de contratación inadecuado pueden ser variados y significativos. Entre estos riesgos potenciales se incluyen:

1. Contratación de personal no calificado o no ético: La falta de una evaluación rigurosa de los candidatos podría resultar en la selección de personas que no poseen las habilidades necesarias o que no cumplen con los estándares éticos de la empresa, lo que podría afectar negativamente la calidad del trabajo y la reputación de la organización.
2. Vulnerabilidad a fraudes y delitos internos: La incorporación de empleados sin una debida verificación de antecedentes aumenta el riesgo de fraude interno, robo de información confidencial o mal uso de los recursos de la empresa.

Estos riesgos son solo algunos ejemplos de las posibles consecuencias de un proceso de contratación inadecuado. Es fundamental comprender cómo se lleva a cabo el proceso y, a partir de este entendimiento, realizar un análisis más detallado de riesgos. Esto permitirá identificar y abordar de manera efectiva las amenazas y vulnerabilidades específicas asociadas con el proceso de contratación de personal.

Desarrollo

Nombre del equipo

Gurús de la Ciberseguridad

Información del proceso o servicio

a. Nombre de la Organización: Empresa ABC

b. Nombre del proceso o servicio: Proceso de Recursos humanos

c. Detalle de la información que es procesada/tratada por el proceso o servicio: La información procesada/tratada por el proceso de cada candidato o empleado se ha dividido en grupos:

Contratación:

Hoja de vida de los candidatos, puntaje valoración candidato, resultados exámenes médicos, resultado pruebas técnicas, antecedentes y visita domiciliaria.

Nomina:

• Contrato, desprendibles de nómina, certificados, cartas de referencia y documento registro de horas

Desvinculación:

• Desprendible de Retiro, Carta finalización de Contrato, Paz y Salvo,
• Información Personal

• Nombres y Apellidos: Completos del empleado.
• Tipo y Número de Identificación: Cédula de ciudadanía, pasaporte o documento de identidad válido.
• Dirección de Domicilio: Residencia habitual del empleado.
• Datos de Contacto: Teléfono, correo electrónico y dirección personal.
• Fecha de Nacimiento: Día, mes y año de nacimiento del empleado.
• Lugar de Nacimiento: Ciudad y país de nacimiento del empleado.
• Estado Civil: Soltero, casado, viudo o unión libre.
• Nivel Educativo: Estudios realizados por el empleado, incluyendo títulos, diplomas y certificados.
• Experiencia Laboral: Trayectoria laboral del empleado, incluyendo empresas, cargos desempeñados y fechas de empleo.
• Información de Salud: Datos relacionados con la condición física y estado de salud del empleado, según sea necesario para el desarrollo de sus funciones.

• Información Laboral:

• Fecha de Ingreso: Día en que el empleado inició su relación laboral con la empresa.
• Cargo: Posición específica que ocupa el empleado dentro de la estructura organizacional.
• Tipo de Contrato: Modalidad de contrato laboral bajo la cual está vinculado el empleado (indefinido, temporal, por obra o servicio, etc.).
• Salario: Remuneración económica mensual percibida por el empleado.
• Prestaciones Sociales: Beneficios adicionales al salario, como salud, pensión, vacaciones y primas.
• Evaluación del Desempeño: Registros de las evaluaciones realizadas al empleado sobre su rendimiento y cumplimiento de las funciones asignadas.
• Historial Disciplinario: Registros de faltas, sanciones o amonestaciones recibidas por el empleado.
• Capacitaciones: Cursos, talleres o programas de formación en los que ha participado el empleado.

• Información de Seguridad Social:

• Entidad de Salud: EPS a la que está afiliado el empleado.
• Fondo de Pensiones: AFP a la que está afiliado el empleado.
• ARL: Administradora de Riesgos Laborales a la que está afiliado el empleado.
• Aportes a Seguridad Social: Registros de los aportes realizados por la empresa y el empleado al sistema de seguridad social.
• Información de Retiro:
• Fecha de Retiro: Día en que el empleado finaliza su relación laboral con la empresa.
• Motivo de Retiro: Razón por la cual el empleado termina su contrato laboral (renuncia, despido, terminación de contrato, etc.).
• Liquidación de Prestaciones: Detalle de los pagos realizados al empleado por concepto de salarios pendientes, vacaciones, cesantías e indemnizaciones.
• Certificaciones Laborales: Documentos emitidos por la empresa que certifican el tiempo de servicio y las condiciones laborales del empleado.
• La información procesada por el proceso o servicio de Recursos Humanos debe tratarse con confidencialidad y seguridad, de acuerdo con la normativa vigente sobre protección de datos personales.

d. Descripción del proceso o servicio

        El proceso de Recursos Humanos es fundamental para el funcionamiento eficiente y efectivo de cualquier organización. Este proceso se divide en tres etapas principales: contratación, nómina y desvinculación.

En la etapa de contratación, se lleva a cabo un riguroso proceso de selección para asegurar que se contraten a los candidatos más adecuados para los puestos disponibles. Esto incluye la evaluación de hojas de vida, entrevistas, pruebas técnicas, estudios de seguridad y evaluaciones médicas. Cada paso es crucial para garantizar que los candidatos tengan las habilidades y la experiencia necesarias para el puesto y que sean aptos desde el punto de vista médico y de seguridad.

...