Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
1. OBJETIVO…………………………………………………………………………………………………………..2
2. ALCANCE…………………………………………………………………………………………………………..2
3. DEFINICIONES…………………………………………………………………………………………………….2
4. DESCRIPCIÓN DEL PROCEDIMIENTO……………………..………………………………………………..…2
5. INSTRUCCIONES DEL PROCEDIMIENTO……………………………………………………………………..6
6. DESARROLLO…………………………………………………………………………………………………….53
7. REGISTROS…..……………………………………………………………………………………………………53
8. REFERENCIAS…………………………………………………………………………………………………….54
9. ANEXOS…………………………….…………………………………………………………………………… 54
10. CÉDULA DE CONFORMIDAD………………………………………………………………………………….54
1. OBJETIVO
El presente documento tiene como objetivo identificar los principales riesgos que pueden afectar la
operación en la producción de la Credencial para Votar INE en el CPC INE Primario.
2. ALCANCE
El análisis de Riesgos presentado en este documento tiene como alcance la operación del CPC INE
primario ubicado en Laguna de Mayrán #345, Del. Col. Anáhuac Del Méx., D.F y el CPC INE
Secundario ubicado en Tlalnepantla Edo. Méx.
3. DEFINICIONES
1. Identificar las amenazas que puedan afectar a la prestación de servicios por parte de GyD e IECISA.
2. Valorar el impacto de las mismas en caso de que sucedan.
3. Valorar el grado de efectividad de las medidas de prevención / detección / mitigación dispuestas para hacer
frente a las amenazas identificadas.
4. Detectar vulnerabilidades no cubiertas por las medidas de prevención.
Para ello hará uso de algunas tablas las cuales están preparadas para recoger el estudio completo de las amenazas,
los impactos, las posibilidades, las medidas frente a las amenazas, y los riesgos residuales
Nombre Descripción
En esta primera instrucción, se deben identificar las amenazas que afecten a los servicios. Ya que en la
prestación del servicio intervienen las personas y la infraestructura, el estudio se realizará sobre estos
activos. En la lista de amenazas se deben incluir aquellas que han afectado en alguna ocasión al negocio,
Identificar las las que se identifiquen en primera instancia y no está demás completar la lista comparándola con alguna
amenazas de las listas que las principales metodologías de análisis de riesgos indican (MAGERIT, CRAMM,
etc…).
Cada amenaza tiene una consecuencia (de ocurrencia) y también un peligro asociado.
Esta identificación se reflejará en la hoja del archivo Excel “Análisis Impacto”.
El impacto vertical se debe asignar en función del tiempo en el que tardemos en recuperarnos de la
amenaza. No se deben considerar las medidas disponibles de mitigación a la hora de valorar este
impacto.
El impacto Horizontal se asignará en escala de 0 a 20 en función de cuanto dañe al servicio. No se deben
considerar las medidas disponibles de mitigación a la hora de valorar este impacto.
Hay distintos grados indicados en la hoja de “Impactos” dentro del archivo Excel.
Esta asignación se reflejará en la hoja “Análisis Impacto”. La hoja calcula el impacto total según la
fórmula:
Impacto = Impacto Vertical + Impacto Horizontal
Se asigna posibilidad de que se materialice una amenaza. No se deben considerar las medidas disponibles
de mitigación a la hora de valorar esta posibilidad. Es posibilidad y no probabilidad puesto que se basa en
Asignar apreciaciones y no en fórmulas matemáticas. Es recomendable contrastar la posibilidad valorada frente a
posibilidad algún informe que contenga ocurrencias de amenazas.
El grado de posibilidad también se recoge en la hoja de “Impactos”.
- Para la asignación de Posibilidades se tiene la siguiente tabla:
Este grado se consignará en la hoja “Análisis Riesgo”. Al incluir la posibilidad, la hoja calcula el riesgo
según la fórmula siguiente:
Riesgo = Impacto x Posibilidad
Una vez finalizado, se puede comprobar la gráfica de la hoja “Riesgos Identificados”. La gráfica obedece
a la representación de la amenaza en un diagrama cartesiano en el cual el eje vertical indica la posibilidad
de que suceda una amenaza y el eje horizontal representa el impacto. Así se puede ver visualmente que
los elementos que más desplazados estén hacia la esquina superior derecha, son los que más posibilidad
tienen de suceder y mayor daño pueden causar. Las dos líneas que cruzan el gráfico son las líneas
“decisorias” que marcan que todo aquello que esté por encima de ellas, debe ser tratado por su alto
riesgo, todo lo que esté situado entre ellas, debe ser considerado. Todo lo que permanezca por debajo
tiene asignado un riesgo menor, pero no por ello se debe despreciar. La finalidad del gráfico es dar una
prioridad para poder abordar las medidas necesarias.
Aplicabilidad de En la hoja “Riesgo-Control”, se definen los controles que marca la norma ISO 27001, que servirán para
los controles de la gestionar (mitigar, anular, transferir o asumir) los riesgos identificados en el proyecto.
norma 27001 a los
riesgos
identificados
Una vez definidos que controles aplican a cada riesgo (en la hoja “Riesgo--Control”), en la hoja SOA
(Statement of Aplicability) se define el método de implementación de las medidas necesarias para su
correcta ejecución; esto es, se asignan políticas, procedimientos, formatos y demás herramientas a cada
control que coadyuven a fortalecerlo y den como resultado la gestión adecuada del riesgo en cuestión.
Cabe mencionar que el análisis aquí descrito está basado en el sistema de gestión de seguridad de la
Implementación
información, norma ISO/IEC 27001:2005, la cual define en su marco normativo 133 controles.
de medidas a los
De los 133 controles existen algunos cuya relación directa con los riesgos identificados no es evidente,
controles de la
sin embargo robustecen el marco normativo y la operación diaria, de manera tal que aunque en la hoja
norma ISO 27001
Riesgo—Control no se encuentren relacionados no implica que se pueda prescindir de su aplicación.
Una vez definidos los mecanismos requeridos para la correcta operación de los diferentes controles,
hemos agregado la información precisa del status actual de cada documento implicado, de manera que es
posible determinar el diferencial entre los elementos ya desarrollados y funcionando, contra el estado del
arte, así como las acciones subsecuentes.
Evaluación del Las medidas contempladas, según lo indicado en la norma ISO 27001, son “Mitigar, transferir, asumir y
riesgo residual. anular”. La mitigación, reducirá el impacto, una vez se haya producido la amenaza. La transferencia no
reduce la posibilidad, pero si reduce el impacto. Asumir un riesgo es la última de las alternativas que se
deberían tomar y generalmente obedece al alto coste para abordar medidas al respecto. Consiste en no
hacer nada proactivo frente a una determinada amenaza y reaccionar una vez que ésta se haya
materializado. Por último anular un riesgo, es lo más complicado y con frecuencia pasa por la
Versión: Fecha: No. Documento Hoja 5 de 53
1 IFE-002_014
ANÁLISIS DE RIESGOS
6. DESARROLLO
El total de riesgos identificadas fueron 67 los cuales fueron clasificadas en 3 diferentes Rubros:
Riesgos Generales
Riesgos en el proceso de Producción
Riesgos en Procesos de TI.
De igual forma, a petición del INE se realizó una clasificación en el tipo de consecuencia que los diferentes riesgos
pueden presentar, dicha clasificación es:
Retraso en el proceso
Paro en el proceso de producción
Pérdida de Información.
Posteriormente se realizó la asignación de impactos conforme a la metodología descrita en la parte inicial del
documento para que finalmente se calculara el impacto total de cada riesgo.
El siguiente paso se enfoca en realizar el cálculo del “Riesgo Total” como se indica en el procedimiento descrito en la
parte inicial del documento, con la fórmula:
Con los datos anteriores se obtiene las siguientes gráficas, En la gráfica 1 podemos observar cuales son los riesgos
que tienen mayor posibilidad de ocurrencia y que son de mayor impacto para la operación del CPC INE Primario son
los que se encuentran por encima de las líneas decisorias.
Revelación de información
Revelación De-
de información De-
strucción de información
strucción Inter- Inter-
de información
rupción rupción
de otrosdeservicios o
otros servicios o
suministros esenciales
suministros
eración eración
Gen- Gen-
esenciales
de credenciales de
de credenciales de
Riesgos Identificados
100% MuestraMuestra
Medios Medios
externosexternos
(PRENSA) Terrorismo
(PRENSA) en la zona
Terrorismo en la zona
Desabasto en plantas
Desabasto de fabri-
en plantas de fabri-
90% cación de proveedores
cación de ma- de ma-
de proveedores
teri teri
80%
70%
60%
50%
Posibilidad
40%
30%
20%
10%
0%
0 2 4 6 8 10 12 14
Impacto Total
En la siguiente gráfica 2 (de tipo radial) podemos identificar también los riesgos con mayor posibilidad de ocurrencia
y de mayor impacto para la operación del CPC.
RIESGO INICIAL
(Antes de las medidas adoptadas)
656667 1 2 3 4 5
626364 67
61 5 8
60 9
59 10
58 11
57 12
56 13
55 14 RIESGO INICIAL
54 15 (Antes de las medidas adop-
53 16 tadas)
52 17
51 0 18
50 19
49 20
48 21
47 22
46 23
45 24
44 25
43 26
42 27
4140 28
3938 3029
3736 3534 333231
Como parte de las buenas prácticas de operación del CPC INE Primario se ha desarrollado un Sistema de Gestión de
Seguridad de la Información (SGSI) basado en la normatividad ISO 27001. En dicha norma se describen 133 controles
los cuales se tienen que sustentar para poder cumplir el requerimiento de la norma en donde se tocan temas desde
seguridad física, instalaciones, TI, etc..
Para el cumplimiento de los controles requeridos por la norma se ha desarrollado un archivo llamado SOA (Statement
Of Aplicability), en este archivo se puede observar el Status y el sustento de cada Control.
Por tal motivo, debido a que el CPC INE Primario está regido por un sistema SGSI basado en la norma 27001 (como
buena práctica), Los 67 riesgos identificados en este documento son mitigados por la aplicación de diferentes
controles que conforman la norma ISO 27001.
En la siguiente tabla 3 se muestran los controles de la norma que se aplicarán a cada riesgo identificado:
Pérdida de confianza con el cliente, Robo de información de tipo industrial 9.1.1 Perímetro de Seguridad Física
Exposición de los equipos a terceros
5 pérdida de información, retraso en el o datos de terceros, desconfiguración 9.1.2 Controles de Acceso Físico
o personal no autorizado
proceso de equipos o modificación de datos
9.1.6 Accesos públicos, áreas de carga y entrega
9.2.6 Eliminación o reutilización de equipos
11.1.1 Política de control de acceso
11.2.1 Registro de usuarios
11.2.2 Administración de privilegios
11.2.3 Administración de Contraseñas de Usuario.
11.2.4 Revisión de los Privilegios de Acceso de los usuarios
1 Manipulación deliberada de la Indisponibilidad de los servicios, Pérdida Proceso de Autorización para los medios de procesamiento de
Sabotaje interno 6.1.4 información
0 configuración de confianza, pérdida de información
7.1.2 Propiedad de los activos
Que salga de las instalaciones del CPC, Generación de tarjetas muestra con 5.1.2 Revisión de la política de seguridad de la información
2 Generación de credenciales de
Esto puede ocasionar demandas y daño información real y que esta salga de 8.1.2 Investigación de antecedentes
6 Muestra
político al Instituto, pérdidas monetarias. las instalaciones del CPC.
8.2.3 Procesos Disciplinarios
10.1.1 Procedimientos Operativos Documentados
Paro en el proceso de laminación, por lo Falta de surtimiento de material OVD a 9.2.2 Servicios públicos de soporte
3 Falta de Surtimiento de transkote
que se genera incumplimiento de SLA´s, la planta de GyD por parte del 10.2.1 Entrega de servicios
5 OVD
lo cual implica incurrir en penalizaciones. proveedor.
10.2.2 Monitoreo y revisión de los servicios de terceras partes
10.2.3 Manejo de cambios para servicios de terceros
6.2.1 Identificación de riesgos relacionados con terceras partes
Paro de algún paso en el proceso de 9.2.2 Servicios públicos de soporte
Falta de surtimiento de consumibles
3 Falta de surtimiento de consumibles personalización, por lo que se genera
necesarios para operar los equipos de 10.2.1 Entrega de servicios
6 de los equipos incumplimiento de SLA´s, lo cual implica
producción por parte del proveedor.
incurrir en penalizaciones. 10.2.2 Monitoreo y revisión de los servicios de terceras partes
10.2.3 Manejo de cambios para servicios de terceros
8.1.1 Definición de roles y responsabilidades
8.1.2 Investigación de antecedentes
8.1.3 Términos y condiciones del empleo
Paro en alguna parte del proceso, lo cual
puede generar incumplimiento de SLA´s, 8.2.1 Responsabilidades de la gerencia
3 falta de operador en alguna parte del
Renuncia de colaboradores lo cual implica incurrir en penalizaciones,
7 proceso. Entrenamiento, educación y conocimiento en materia de seguridad
adicionalmente se pueden generar
problemas de calidad. 8.2.2 de la información.
8.3.1 Finalización de responsabilidades de los usuarios
8.3.2 Devolución de activos
8.3.3 Eliminación de los derechos de acceso
3 5.1.1
Paro en el proceso de empaque, lo cual Documento de la política de seguridad de la información
8
puede generar incumplimiento de SLA´s, Imposibilidad para cerrar órdenes de 5.1.2 Revisión de la política de seguridad de la información
Extravío de CPV lo cual implica incurrir en penalizaciones. trabajo debido al extravío de alguna
Afectación en la imagen del Instituto y de CPV. 8.1.2 Investigación de antecedentes
la empresa.
8.2.3 Procesos Disciplinarios
Tabla 3. Riesgo-Control
Adicionalmente, como parte del cumplimiento de la norma ISO 27001 se llevó a cabo el registro de un inventario de
activos de todos los equipos que son críticos para la operación de la producción del CPC INE Primario, en este, se
han asignado responsables directos de tal forma que se tienen perfectamente ubicados, contribuyendo así en gran
medida a la mitigación de los riesgos identificados en este documento.
Versión: Fecha:
1
ANÁLISIS DE RIESGOS
Posterior a la aplicación de las diferentes medidas para mitigar los riesgos identificados se realizan los cálculos que
marca el procedimiento para poder saber que tanto disminuyó la criticidad de los diferentes riesgos, a este parámetro
se le conoce como “riesgo residual”, que en nuestro caso es el riesgo que aún queda, posterior a la aplicación de los
diferentes controles que conforman la norma ISO 27001 a los 67 riesgos identificados.
En la siguiente tabla. 5 se muestra cual es el “Riesgo residual ” resultante después de aplicar todas las medidas de
mitigación:
Falta de mantenimiento en los equipos de producción. Indisponibilidad de los servicios Fallos en equipos 4 50% 2.00 x 80% 90% 0.80 5% 0.04
4
Destrucción no intencionada de la
Falta de capacitación en el manejo de la información Pérdidas de información 4 30% 1.20 x 80% 80% 0.80 6% 0.05
información
14 Difusión no intencionada de software dañino Pérdidas de información Virus 5 50% 2.50 x 80% 90% 1.00 5% 0.05
15
.- Degradación imagen propia y de cliente
Robo Ataque deliberado 5 50% 2.50 x 50% 80% 2.50 10% 0.25
.- Incumplimientos contractuales
16 Extorsión Robo de información y/o de CPV's Ataque deliberado 5 30% 1.50 x 50% 70% 2.50 9% 0.23
17 Problemas de calidad, pérdida de
Monitoreo inadecuado Comportamientos inadecuados 3 50% 1.50 x 70% 70% 0.90 15% 0.14
información, fallas en el proceso.
18 Enfermedades Retrasos en la producción. Faltas de personal 3 50% 1.50 x 80% 30% 0.60 35% 0.21
19
Problemas de CFE Paro en la producción. Corte de suministro eléctrico central 7 30% 2.10 x 90% 90% 0.70 3% 0.02
22
6 30% 1.80 x 20% 80% 4.80 6% 0.29
23
5 50% 2.50 x 50% 50% 2.50 25% 0.63
ANÁLISIS DE RIESGOS
22 datos de personalización
Sabotaje de la información 6 30% 1.80 x 20% 80% 4.80 6% 0.29
Generación incorrecta de la CPV. modificados
23 Falsificación de documentos, fuga de Transferencia de información
Revelación de información conocimiento y datos personales en manos confidencial (secreto industrial) a 5 50% 2.50 x 50% 50% 2.50 25% 0.63
de terceros. terceras partes
24 Reprocesos los cuales implican retrasos
Pérdida de información que no
Destrucción de información en los procesos productivos, e 4 50% 2.00 x 40% 80% 2.40 10% 0.24
estaba destinada a ser destruida
incumplimiento de contrato.
25 Retrasos en la producción ,
Falta de materia prima, servicio
Interrupción de otros servicios o suministros esenciales incumplimientos de SLA´s, problemas de 8 50% 4 x 30% 80% 5.60 10% 0.56
logísticos, serviios de limpieza, etc.
calidad.
26 Que salga de las instalaciones del CPC, Generación de tarjetas muestra con
Generación de credenciales de Muestra Esto puede ocasionar demandas y daño información real y que esta salga de 4 30% 1.2 x 40% 90% 2.40 3% 0.07
político al Instituto, pérdidas monetarias. las instalaciones del CPC.
27 Fuga de información la cual sirva
Daño en la imagen de la empresa y en la
para la publicación de notas
Medios externos (PRENSA) imagen del Instituto además de que la 4 50% 2 x 70% 70% 1.20 15% 0.18
periodísticas las cuales pongan en
operación se puede ver afectada.
juego la reputación del proyecto.
28 Imposibilidad de operar en el CPC primario
Afectación en vías de acceso a la
Terrorismo en la zona lo cual implica tener retrasos en las 8 30% 2.4 x 80% 70% 1.60 9% 0.14
zona.
entregas.
29 Paro en las plantas de fabricación de
Desabasto en plantas de fabricación de proveedores de Paro en la producción despues de tres
TESLIN y/o OVD por algún desastre 9 10% 0.9 x 70% 70% 2.70 3% 0.08
material sensible meses
natural.
30 Retraso en alguna parte del proceso de
Embarazos Faltas de personal 3 50% 1.5 x 90% 0% 0.30 50% 0.15
producción
31
Retraso en alguna parte del proceso de Riesgo de que el personal sufra
Plaga 2 50% 1 x 80% 80% 0.40 10% 0.04
producción algún problema de salud
32 Retraso en alguna parte del proceso de
Riesgo de que el personal sufra
Fuga de gase tóxicos producción, o paro en la producción 4 30% 1.2 x 70% 80% 1.20 6% 0.07
algún problema de salud
completa.
RIESGOS DEL PROCESO DE PRODUCCIÓN
33 Paro de personalizacon por falta de
Falta de material preimpreso Falta de material para procesar 9 50% 4.5 x 0% 80% 9.00 10% 0.90
material
Paro en el proceso de preimpresión por Falta de surtimiento de material
34
Falta de surtimiento de Teslin falta de material, debido a esto, el proceso teslín a la planta de GyD por parte del 9 30% 2.7 x 0% 80% 9.00 6% 0.54
de personalización para, por lo que se proveedor PPG.
35 Paro en el proceso de laminación, por lo Falta de surtimiento de material OVD
Falta de Surtimiento de transkote OVD que se genera incumplimiento de SLA´s, lo a la planta de GyD por parte del 9 30% 2.7 x 0% 80% 9.00 6% 0.54
cual implica incurrir en penalizaciones. proveedor.
36 Paro de algún paso en el proceso de Falta de surtimiento de consumibles
personalización, por lo que se genera necesarios para operar los equipos
Falta de surtimiento de consumibles de los equipos 9 30% 2.7 x 0% 80% 9.00 6% 0.54
incumplimiento de SLA´s, lo cual implica de producción por parte del
incurrir en penalizaciones. proveedor.
37
Paro en alguna parte del proceso, lo cual
puede generar incumplimiento de SLA´s, lo
falta de operador en alguna parte del
Renuncia de colaboradores cual implica incurrir en penalizaciones, 4 50% 2 x 80% 70% 0.80 15% 0.12
proceso.
adicionalmente se pueden generar
problemas de calidad.
38
Paro en el proceso de empaque, lo cual
puede generar incumplimiento de SLA´s, lo Imposibilidad para cerrar órdenes de
Extravío de CPV cual implica incurrir en penalizaciones. trabajo debido al extravío de alguna 5 50% 2.5 x 50% 80% 2.50 10% 0.25
Afectación en la imagen del Instituto y de la CPV.
empresa.
Versión: Fecha: No. Documento Hoja 47 de 53
1 IFE-002_014
39
42
43
Paro en el proceso de personalización
afectando gravemente el proceso de
Falla de HP Indigo producción, lo cual puede generar Imposibilidad de personalización. 5 30% 1.5 x 70% 80% 1.50 6% 0.09
incumplimiento de SLA´s, lo cual implica
incurrir en penalizaciones.
44
Paro en el proceso de laminado y
troquelado, lo cual puede generar Imposibilidad para laminar y
Falla de Autofeeds 5 30% 1.5 x 70% 80% 1.50 6% 0.09
incumplimiento de SLA´s, lo cual implica troquelar.
incurrir en penalizaciones.
45
46
Versión: Fecha: No. Documento Hoja 48 de 53
1 IFE-002_014
46
RIESGOS ESPECÍFICOS DE TI
47
48
49
50
51
Proceso fallido de inserción de datos para estadistica y Imposibilidad para poder realizar la entrega Base de datos sin información del
3 10% 0.3 x 40% 80% 1.80 2% 0.04
reportes del producto lote en cuestión.
52
Aplicación incorrecta de elementos de seguridad JURA (IPI Rechazo por parte del INE, lo cual genera
Generación de CPV´s incorrectas 5 30% 1.5 x 40% 80% 3.00 6% 0.18
y LS) Scrap y Reprocesos.
53
Paro del proceso de personalización de No poder generar archivos PS para
Falla en el proceso de "Inspire" 8 30% 2.4 x 40% 80% 4.80 6% 0.29
credenciales impresión en equipo HP Indigo
54 Fallas al generar y enviar archivos de salida para el INE Queja del cliente por no recibir los archivos Sistemas y controles del cliente
(Proceso y calidad) de salida en tiempo desactualizados
3 Versión:
30% 0.9 Fecha:
x No.40%
Documento
80%
Hoja 496%de 53
1.80 0.11
55
1 IFE-002_014
56
4 30% 1.2 x 40% 90% 2.40 3% 0.07
57
4 30% 1.2 x 70% 80% 1.20 6% 0.07
ANÁLISIS DE RIESGOS
54 Fallas al generar y enviar archivos de salida para el INE Queja del cliente por no recibir los archivos Sistemas y controles del cliente
3 30% 0.9 x 40% 80% 1.80 6% 0.11
(Proceso y calidad) de salida en tiempo desactualizados
55 Ralentización en el proceso de empaque y
Falla al generar archivo para reposiciones imposibilidad para cierre de órdenes. Órdenes incompletas 3 30% 0.9 x 40% 80% 1.80 6% 0.11
59
Problema para accesar a la red de No tener acceso a los recursos de la
Falla del Server de AD y IT Tools (Virtual) 4 30% 1.2 x 70% 80% 1.20 6% 0.07
producción red de TI
60
Problema para recuperar información en No contar con respaldos
Falla del Server de Respaldos 3 30% 0.9 x 50% 80% 1.50 6% 0.09
caso de requerirse actualizados
61
Ralentización del proceso de Proceso de No poder llevar a cabo tareas en esa
Falla de PCs/ Laptops 4 50% 2 x 70% 80% 1.20 10% 0.12
datos y empaque estación de trabajo
62
Paro en el proceso de Proceso de datos y
Falla de Switches No acceso a la red 7 50% 3.5 x 70% 80% 2.10 10% 0.21
empaque
63 Falta de redundancia en el
Daños en los equipos de TI y producción
Falla en UPS suministro eléctrico y red eléctrica 3 30% 0.9 x 70% 80% 0.90 6% 0.05
por mala calidad del suministro eléctrico.
desprotejida.
64
No se poder generar reportes
Falla en impresoras Ralentización del proceso de em paque 3 50% 1.5 x 70% 80% 0.90 10% 0.09
requeridos por el proceso
65
No poder escanear sobres, bolsas y
Falla en Scanners Ralentización del proceso de em paque 3 50% 1.5 x 70% 80% 0.90 10% 0.09
cajas
66
No poder agregar los elementos
Falta de Dongles Ralentización del proceso de datos 9 10% 0.9 x 40% 70% 5.40 3% 0.16
seguros con IPI y LS
67
Existencia de información sensible
Irresponsabilidad de Operador Data Mgt incumplimiento de contrato. 4 30% 1.2 60% 90% 1.60 3% 0.05
después de 48 horas a la entrega
Con los datos anteriores se obtiene las siguientes gráficas, En la gráfica 3 podemos observar cuales son los riesgos
que después de la aplicación de las medidas de mitigación aún tienen posibilidad de ocurrencia, son los que se
encuentran por encima de la línea decisorias.
80%
70%
60%
Embarazos
50%
Posibilidad
40%
30%
En la siguiente gráfica 4 (de tipo radial) podemos identificar también los riesgos que después de aplicadas las
medidas de mitigación tienencon mayor posibilidad de ocurrencia y de mayor impacto para la operación del CPC,
RIESGO RESIDUAL
(Después de las medidas adoptadas)
6566 67 1 2 3 4 5
6364 6
62 2.000 7
61 8
60 9
59 10
58 11
57 12
56 13
55 1.000 14
54 15 RIESGO RESIDUAL
(Después de las medidas adop-
53 16 tadas)
52 17
51 0.000 18
50 19
49 20
48 21
47 22
46 23
45 24
44 25
43 26
42 27
41 28
4039 3029
383736
35 34 333231
7. REGISTROS
N/A
8. REFERENCIAS
NOMBRE CÓDIGO
9. ANEXOS
N/A
Subdirector de
INE Manuel Olán
Productos Electorales
Director de Productos y
INE Alejandro Sosa
Servicios Electorales