Análisis de riesgo

Interno:

- Objetivo: vender productos perecederos provenientes del campo (frutas, hortalizas y

demás) a todas las personas que ingresen a la página web
- Estrategia: mediante el uso de una pagina web y comercio electrónico (e-commerce),
abarcar una gran población, siempre y cuando estas personas tengan acceso a internet
y se encuentren en nuestro espacio de distribución.

- Productos y servicios: Mediante la página, lo que se busca es vender ciertos productos

de cosechas a un mejor precio.
- Políticas y procesos internos: La compañía maneja una política de inclusión de
trabajadores que cuentan con condiciones de discapacidad, creando así diferentes
métodos de acceso tanto para los trabajadores de la compañía a los medios
electrónicos (autenticación doble factor) como para los usuarios afiliados. Cada
comprador debe crear su usuario en la base de datos interna de la compañía, con el fin
de ordenar a los clientes para garantizarles la mejor atención y la facilidad de la
atención en cuanto a facturación electrónica.
- Ubicación física: La compañía se encuentra en una de las casas de los propietarios,
donde se cuenta con un computador y un enlace a servidores en la nube.
Las plantas de recolección cuentan con un sistema inmotico mediante el cual las
personas registran su entrada a la planta mediante códigos de acceso y datos
biométricos (huella digital) y activan las diferentes maquinas. Estas maquinas pueden
ser intervenidas tanto de forma remota como de forma presencial.
- Cantidad de empleados: 5 personas en oficinas y 10 personas en la planta de
recolección.
- Ventas y ganancias anuales: Haciendo un cálculo medio, la compañía despacha
alrededor de 30 toneladas de perecederos al mes, cada tonelada con un valor de 48
millones de pesos (precio redondeado según el producto), con una media anual de
ventas de 570 millones de pesos, entre los cuales, el 5% queda como ganancia neta
(alrededor de 30 millones de pesos anuales), el 55% se utiliza para comprar productos
y el 40% restante se utiliza para el pago de nomina y gastos internos de la compañia
Externo:

- Proveedores: Los proveedores son campesinos de fincas aledañas a la planta de

recolección, también se tiene contacto con diversos distribuidores que entregan el
producto desde las centrales de abasto hasta la planta de recolección.
- Clientes: Los clientes van desde el campesino que necesita poco producto, hasta
grandes distribuidores locales (fruvers), manejando ventas al por mayor y al detal.
- Sector de la industria: La compañía se enfoca en la industria alimentaria, enfocándose
en el transporte y comercialización de perecederos.
- Entes reguladores: La compañía cumple con todo lo legal (afiliaciones a nit, cámara de
comercio y facturación electrónica.
- Marco legal: La compañía cumple con un protocolo de seguridad alimentaria, que le
permite seleccionar los mejores productos al mejor precio
- Competencia: La plataforma que mas competencia genera en el momento es
Merqueo, ya que sigue el mismo modelo que maneja la compañía, y supermercados
de renombre como Carulla, Éxito, Olímpica, y demás. También compite con las tiendas
de bario y centrales de abasto de la ciudad.

Criterios de Riesgo:

- Escala de probabilidad: Según lo comentado por la compañía, los riesgos se clasifican

en 5 niveles de probabilidad de menor a mayor según ocurran, los cuales son:
Improbable, poco probable, casual, muy probable y concurrente.
- Escala de impacto: La compañía utiliza 5 niveles en la escala de impacto, los cuales
son: muy bajo, bajo, medio, alto y muy alto.
- Nivel de aceptación de riesgo: En cuanto a la aceptación de riesgo, la compañía
maneja un nivel alto de aceptación, siendo los niveles a tratar los que se encuentren
en las escalas “muy probable” y “concurrente” según la probabilidad y en “muy alto”,
“alto” o “medio” según el nivel de impacto que tenga. Si el riesgo es medio, la
compañía es permisible siempre y cuando no comprometa la seguridad de la misma ni
de los empleados. Si el riesgo es bajo o la probabilidad de que ocurra es mínima, la
compañía hace caso omiso a estos.
- Otros criterios: Al contar con personal con diferentes condiciones de discapacidad, se
debe tener en cuenta que cualquier actividad que estas personas no puedan
desarrollar de manera satisfactoria se contará como riesgos con impacto alto, el cual
debe ser corregido de manera inmediata.

  Improbable poco probable casual muy probable concurrente

muy alto          
alto          
medio          
bajo          
muy bajo          
Aplicación de la organización: Páginas web, identificador de identidad de los empleados,
identificador de los usuarios

Activos:

- Cupo de endeudamiento cliente

- Base de datos
- I + D (investigación y desarrollo)

Riesgo:

- Cupo de endeudamiento cliente:

o Clonación de método de pago
o Validación del cupo
o Valor del cupo por cliente
- Base de datos:
o Suplantación de identidad
o Ataque malicioso
o Copia de seguridad
- I + D:
o Robo de información
o Actualizaciones de seguridad
o Alteración o cambio de los programas de la compañía

Descripción de los riesgos:

- Clonación de método de pago: Cuando se altera o se clona la información de la

persona a la cual se le va a cargar un pedido, haciendo énfasis en los métodos de pago.
- Validación del cupo: Si el cliente solicita un despacho de mercancía y se encuentra con
facturas pendientes por pago, no se procesará el pedido.
- Valor del cupo por cliente: Cada cliente cuenta con un cupo de crédito asignado según
políticas de la empresa, este puede aumentar o disminuir según el tipo de cliente.
- Suplantación de identidad: Cada persona que ingresa a la plataforma, ya sea un cliente
que va a realizar una compra o un empleado, está registrada en la base de datos.
- Ataque malicioso: Cualquier forma de ataque, ya sea por captura de datos, phishing,
ransomware, entre otros.
- Copia de seguridad: La compañía realiza constantemente copias de seguridad de las
bases de datos en un servidor local y en la nube
- Robo de información: Al contar con un sistema de inclusión de personas con
discapacidad, se tienen diferentes programas diseñados exclusivamente para ellos, los
cuales pueden ser robados.
 - Actualizaciones de seguridad: Se debe revisar constantemente si estos programas
requieren actualizaciones o parches de seguridad.
- Alteración o cambio de los programas: Al encontrarse todo conectado y funcionar de
manera simultánea, cualquier cambio puede alterar los procesos de producción.

Causas:

- Clonación de método de pago:

- Validación del cupo:
- Valor del cupo por cliente:
- Suplantación de identidad:
- Ataque malicioso:
- Copia de seguridad:
- Robo de información:
- Actualizaciones de seguridad:
- Alteración o cambio de los programas

Consecuencias:

- Clonación de método de pago:

- Validación del cupo:
- Valor del cupo por cliente:
- Suplantación de identidad:
- Ataque malicioso:
- Copia de seguridad:
- Robo de información:
- Actualizaciones de seguridad:
- Alteración o cambio de los programas: