CAPÍTULO IV

LA EVALUACIÓN DE RIESGOS

En ciberseguridad, el análisis de riesgos de TI es una evaluación de las diversas

amenazas que afectan a los sistemas de TI y pueden crear situaciones de
amenaza para la empresa, como robo o compromiso, corrupción de datos o ataques
externos que impiden el funcionamiento del sistema, conduce al
tiempo de inactividad. El análisis y gestión de riesgos alerta a las
empresas sobre este tipo de situaciones negativas en sus operaciones e incluye una
serie de elementos imprescindibles para su implantación. 
4.1. IDENTIFICACIÓN DE ACTIVOS 
Para realizar un análisis de riesgo eficaz, el primer paso es identificar todos los
activos de la empresa. Estos activos incluyen todos los recursos involucrados
en la gestión e intercambio de información comercial, como software,
hardware, canales de comunicación, documentos digitales y manuales, e
incluso recursos humanos. 
4.2. RIESGOS Y AMENAZAS 
Una vez identificados todos los activos de información que componen la
empresa, es necesario identificar las amenazas a las que pueden estar
expuestos. Estas amenazas pueden ser de diferente naturaleza, como ataques
externos, desastres naturales o errores humanos.  
 Ataques externos. Los delincuentes informáticos siempre tienen en la mira a
las empresas y sus sistemas, con el objetivo de robar información
(bancaria u otra información comercial o personal), desbaratar los sistemas o
utilizar sus recursos. Dos de las mayores amenazas a las que se
enfrentan las empresas en la actualidad son los ataques de denegación de
servicio (DDoS) (que interrumpen los sistemas de TI de una empresa)
o los ataques de malware de estilo ransomware (cifran datos corporativos y
exigen un rescate económico en criptografía para liberarlos).  
 Errores humanos. La intervención humana en las operaciones de la
computadora siempre puede ser defectuosa (deliberada o no
intencional). Por ejemplo, un empleado con conocimientos insuficientes o
privilegios por encima de su función podría tomar medidas que comprometan
los datos o provoquen el bloqueo de los sistemas. 
  Desastres naturales. Pueden ocurrir situaciones que pongan en riesgo los
activos de TI corporativos, como inundaciones o sobretensiones en la
red eléctrica. 
 Situaciones inusuales, como la pandemia de COVID-19. Las crisis a
menudo reducen la vigilancia y la protección y hacen que los
ciberdelincuentes se aprovechen de la situación operando en esquemas
maliciosos. Por ejemplo, las campañas de phishing relacionadas con el
COVID-19, en las que los ciberdelincuentes se hacen pasar por
instituciones de salud acreditadas, están en aumento. Por ello, es importante
que las empresas estén al tanto de las estafas relacionadas con esta
pandemia y recomendar una mayor conciencia ante la aparición de
nuevas amenazas. 
El riesgo surge cuando existe la amenaza de consecuencias negativas para
los sistemas de información de la empresa. El análisis de riesgos necesita
recopilar información detallada sobre todos los riesgos a los que
se enfrenta y cómo afectan al negocio. Durante esta etapa de análisis
de riesgos, se debe priorizar cada uno de estos riesgos y se debe hacer
referencia a los datos estadísticos sobre incidentes de seguridad pasados. 
4.3. DETECTAR VULNERABILIDADES 
Las vulnerabilidades ocurren en los activos de TI y representan un riesgo para
la información. Dos ejemplos de vulnerabilidades comúnmente encontradas en
el análisis de riesgos informáticos son la falta de actualizaciones del sistema
operativo (y por lo tanto no incluir los últimos parches de seguridad) y el uso de
contraseñas de acceso débiles (contraseñas). Contraseñas cortas que no usan
una combinación de letras, números, símbolos, letras
mayúsculas y minúsculas y que pueden descifrarse
fácilmente mediante procesos automatizados).
4.4. MEDIDAS DE PREVENCIÓN Y CONTROL 
Una vez identificadas las amenazas y vulnerabilidades en el sistema e
identificados todos los riesgos y sus consecuencias, se deben poner en
marcha una serie de medidas y abordar los riesgos con dos objetivos: claro:
prevenir o reducir la ocurrencia de un riesgo. El efecto sobre la ocurrencia del
peligro para que se produzca. Entre este tipo de medidas podemos destacar: 
 Instalación de software de seguridad y cortafuegos (por software o hardware). 
  Implementación de sistemas de seguridad en la nube automatizados y planes
de Disaster Recovery. 
 Añadir protocolos de seguridad para reforzar la seguridad de las contraseñas. 
 Revisión de los roles y privilegios de los usuarios (con especial cuidado en la
asignación de los roles con mayores privilegios, como los administradores). 
 Contratación de un seguro que cubra los daños ocasionados. 
 Implementación de sistemas alternativos o duplicados para asegurar la
disponibilidad del sistema (high availability). 
El análisis de riesgos requiere de la elaboración y consolidación de informes
sobre la ciberseguridad y las distintas medidas aplicadas. Estos informes
sirven para medir el grado de éxito que se está obteniendo en la prevención y
mitigación, a la vez que permite detectar puntos débiles o errores que
requieran de la aplicación de medidas correctoras. 
4.5. VENTAJAS DEL ANÁLISIS DE RIESGOS INFORMÁTICOS 
Las empresas como Atento SAC, sede Trujillo, que realicen un análisis de sus
riesgos informáticos y de ciberseguridad se verán beneficiadas de la siguiente
manera. 
 Dispondrán de una visión precisa de los activos relacionados con la
información de la empresa. 
 Conocerán los riesgos a los que se expone la empresa, pudiendo priorizar
aquellos que tengan mayor probabilidad de producirse, para así poder invertir
mayores recursos en evitarlo. 
 Podrán medir el impacto que producirá en la empresa cualquier riesgo en caso
de producirse. 
 Facilita la toma de decisiones a la hora de invertir en ciberseguridad y reduce
los tiempos de actuación ante posibles incidentes de seguridad. 
 Ayuda a elegir la mejor alternativa en cuanto a métodos de reducción de los
riesgos. 
 Permite realizar una evaluación de los resultados, para implementar mejoras o
reforzar aspectos débiles en las medidas de seguridad. 
 Garantiza la continuidad del negocio, disponiendo de planes y protocolos en
caso de incidentes graves. 
 Ayuda a crear una cultura de prevención en la empresa, implicando a todas las
personas que la forman. 
 Permite cumplir con las normativas legales en cuestión de seguridad. 
La ciberseguridad debe ser parte de la cultura de cualquier empresa, pues en el
marco actual, la tecnología de la información es fundamental para todas las
áreas de operación. El análisis de riesgos permite el conocimiento de todos los
activos relacionados con la información de la empresa, la identificación
de amenazas y vulnerabilidades de seguridad permite la identificación
de riesgos reales para la información y los sistemas. Este análisis ayuda a
diseñar medidas para reducir, o incluso prevenir, el impacto inherente de varios
riesgos. Todas las empresas deben realizar un análisis de riesgos de TI y
seguridad, ya que actualmente dependen de la tecnología para llevar a
cabo la mayor parte de sus operaciones, administrativas, productivas
y de comunicaciones. No tomar las medidas de seguridad adecuadas puede
llevar a las empresas a situaciones estresantes que resulten en pérdidas
significativas (por ejemplo, tiempo de inactividad o pérdida de datos
confidenciales). 
 CAPÍTULO V
LOS CONTROLES

El control es la función gerencial por la cual se mide el desempeño. Robbins

(1996) afirma que el control se puede definir como “el proceso de ajustar
las actividades para garantizar que se lleven a cabo según lo previsto y que se
corrijan las desviaciones significativas”.
Sin embargo, Stoner (1996) lo define de la siguiente manera: “El control de gestión es
el proceso de cerciorarse de que las actividades reales corresponden a las
actividades planificadas”. 
Mientras que para Fayol, citando a Melinkoff (1990), el control “incluye
verificar que todo va de acuerdo al programa aprobado, las órdenes que se dan y los
principios gerenciales. Su propósito es aclarar errores y omisiones para que puedan
ser subsanados y evitar que se repitan.
Terry (1998) dice: “Hay tres tipos de control, control primario, simultáneo y de
retroalimentación”. Welch (1990) nos dice; “El control debe ejercerse en todo el
proceso gerencial, y el control puede ser: prevenir (antes), aleatorio o simultáneo (en
el tiempo) y responder (o después)”.
5.1. CONTROL PRELIMINAR O PREVENTIVO
El control primario o preventivo (previo) es la previsión y la planificación dentro
de una organización, incluidas las políticas, los manuales y los procedimientos.
Este tipo de control tiene las siguientes características:
 Tiene lugar antes de que principien las operaciones.
 Incluye la creación de manuales, políticas, procedimientos y reglas.
 Asegurar que las actividades planeadas serán ejecutadas con propiedad.
 No espera los resultados, para compararlos con los objetivos.
 Ejercer una influencia controladora limitando las actividades por adelantado.
Se prefiere este tipo de control porque permite a la gerencia evitar problemas en
lugar de corregirlos más tarde, pero desafortunadamente este tipo de control
requiere tiempo y, a menudo, es difícil desarrollar información
precisa y oportuna.
5.2. CONTROL CONCURRENTE O COINCIDENTE
El control concurrente o episódico (en el momento) es cuando se deben seguir
instrucciones de uso, políticas, procedimientos y reglas de implementación
 durante la ejecución del proceso. Este tipo de controlador tiene las
siguientes características:
 Tiene lugar durante la ejecución de los planes.
 Se incluye la dirección, vigilancia y sincronización de las actividades según
ocurran.
 Ayudan a la administración a garantizar que el plan será llevado a cabo en el
tiempo específico y bajo las condiciones requeridas.
 La supervisión es la forma de llevar a cabo el control concurrente.
Cuando un administrador supervisa las acciones de un empleado de manera
directa, el administrador puede verificar de forma concurrente las actividades del
empleado y corregir los problemas que puedan presentarse.
5.3. CONTROL DE RETROALIMENTACIÓN O CORRECTIVO (DESPUÉS DE)
El control de retroalimentación se implementa cuando, como resultado,
se deben tomar decisiones que afectan a los recursos humanos o se debe
modificar la estructura o las actividades organizacionales para adaptarse
mejor a la realidad y alcanzar los objetivos. Este tipo de control tiene las
siguientes características:
 Se enfoca sobre el uso de la información de los resultados anteriores.
 Se analizan los datos.
 Corrige las desviaciones presentes, para evitar posibles desviaciones futuras
de estándar aceptable.
 Su inconveniente es, que el administrador tiene la información cuando el
daño ya está hecho, es decir, se lleva a cabo después de la acción.
 En empresas con una estructura organizacional sólida, el control lo aceptan
desde el momento que se están definiendo objetivos; en otras cuando las
operaciones se están realizando y también cuando ya se realizaron.
En este caso Atento Perú asume el control preventivo de sus informaciones y por
ende en esta era tecnológica asume como compromiso la ciberseguridad.
5.4. CIBERSEGURIDAD Y PROTECCIÓN DE DATOS EN LA ERA DIGITAL DE LA
EMPRESA ATENTO
La ciberseguridad se ha vuelto más importante con la irrupción del trabajo
remoto y colocándose en lo más alto de nuestras prioridades. Así, con nuestro
modelo Atento@Home, nuestros empleados pueden trabajar en remoto
manteniendo la seguridad en las actividades que realizan. Protegemos la
privacidad y los datos, además de reforzar la seguridad de la
información utilizando las mejores y más recientes soluciones en la nube.
MEDIDAS PARA GARANTIZAR LA CIBERSEGURIDAD Y PROTECCIÓN DE
DATOS
 Acceso a la plataforma empresarial con autenticación multifactor.
Solo se puede acceder iniciando sesión con un usuario activo y autenticado
en el sistema, además de requerir autenticación de dos pasos para verificar
la cuenta de comerciante. Cada agencia solo puede acceder a la campaña
en la que está trabajando.
 La computadora tiene un puerto USB y la conexión Bluetooth está
bloqueada. Bloqueamos la capacidad de transmitir información a través de
estos canales. Nuestro regulador de ciberseguridad tampoco permite la
instalación de software fuera de la plataforma de trabajo, lo que intenta evitar
que la información se almacene en el disco duro, facilitando la protección
de todos los datos al final de la jornada laboral. 
 El dispositivo contiene la última versión de los programas antivirus,
antispyware y antimalware. Prevenimos la explotación de amenazas
potenciales, además, los administradores pueden actualizar de forma
remota los parches de seguridad en el dispositivo. Además, la plataforma de
trabajo está configurada para conectarse a la VPN de Atento a
través de conexiones encriptadas.
 Cifrar las comunicaciones. Las comunicaciones entre agentes, clientes
finales y sistemas de gestión de información de extremo a extremo están
encriptadas, lo que facilita la protección de datos y elimina amenazas de
seguridad como el llamado “hombre intermedio”.
 Número limitado de ediciones. Cada agente tiene en su perfil
de antecedentes laborales sus horarios y días de trabajo, prohibiendo el
acceso fuera de este horario, incluyendo descansos y comidas. La sesión
también se bloquea después de 120 segundos de inactividad.
 Equipos de seguimiento y grupos de lectura para analizar el correcto
funcionamiento de las medidas de seguridad aplicadas. Estos grupos
monitorean comportamientos inusuales con grupos de especialistas en
todo TIER para alertarlo sobre comportamientos inusuales o sospechosos.
 Pantalla de marca de agua. Muestra la dirección IP, la hora, la fecha,
el usuario y otros factores de control para que se puedan tomar fotos.
Asimismo, contamos con procedimientos específicos para la gestión de posibles
incidentes de ciberseguridad que ayudan a aplicar la rendición de cuentas
para la protección de riesgos a los derechos de las partes interesadas. Han
establecido las pautas que deben seguirse en caso de un incidente de
ciberseguridad, asegurando una respuesta adecuada, rápida y eficaz.
Durante 2020 no recibimos ninguna denuncia en materia de protección de datos
personales, así como alguna brecha de seguridad o pérdida de datos por
parte de nuestros clientes. Sin embargo, seguimos trabajando para evitar
cualquier tipo de riesgo y amenaza. Las medidas de seguridad, tanto técnicas
como organizativas, que implementamos ayudan a protegernos de las
amenazas. Además, los revisamos y actualizamos constantemente para
adaptarnos a posibles cambios.
 CAPÍTULO VI
EL RIESGO RESIDUAL

El concepto de riesgo de acumulación en ISO 27001 es el mismo que se conoce en

el campo de la gestión de riesgos aplicado a cualquier otra norma o a cualquier área
de la organización. Este término se usa con frecuencia, pero su importancia y su
verdadero significado generalmente no se comprenden bien, especialmente en
relación con la seguridad de la información. Su definición es sencilla: los riesgos
residuales según ISO 27001 son riesgos que existen, incluso después de que se
hayan tomado las medidas necesarias para hacer frente a los riesgos identificados.
¿CÓMO FUNCIONA EL RIESGO RESIDUAL EN ISO 27001?
Por lo general, una vez que se identifican los riesgos, se tomarán las acciones
correspondientes para eliminar algunos de los riesgos y reducir el impacto
o reducir la posibilidad de otros. Los profesionales de riesgos entienden que no todos
los riesgos pueden eliminarse, especialmente cuando se trata de seguridad de la
información. Los riesgos restantes no se pueden evitar, pero la organización necesita
saber exactamente cuáles son estos riesgos y su alcance después de aplicar el
tratamiento previsto. La evaluación de riesgos residuales en ISO 27001 se realiza de
la misma manera que la identificación de riesgos de seguridad de la información.
Utilizamos las mismas herramientas, metodologías y redes de evaluación. La gran
diferencia es que ahora, además, necesitamos determinar el verdadero impacto de
los controles y medidas de mitigación de riesgos que se han puesto en marcha.
Está claro que los riesgos restantes siempre estarán presentes.
Por lo tanto, se trata de conocer el verdadero nivel de riesgo al que está expuesta la
organización y si este nivel es aceptable.
GESTIÓN DEL RIESGO RESIDUAL EN ISO 27001
Cuando ya hemos logrado identificar los riesgos residuales, nos encontramos con
tres opciones diferentes:
 Es posible que el nivel de riesgo residual se encuentre por debajo de los
niveles aceptables. Entonces no será necesario emprender ninguna otra acción.
La organización simplemente aceptará ese nivel de riesgo y convivirá con él.
 El nivel de riesgo supera los límites tolerables. En este caso es preciso
implementar acciones o controles más eficaces para tratar el riesgo residual y
mitigar su impacto.
 El coste de reducir o mitigar el riesgo residual es tan alto que supera los
costes que asumiría la organización si el riesgo ocurriera. Para esta
situación lo más indicado es que la organización acepte el nivel de riesgo.
Por supuesto, la decisión final sobre cuánto riesgo residual estará expuesta
la organización depende de la alta dirección. Después de todo, son responsables
de administrar la organización, su viabilidad y tomar decisiones objetivas.
¿Cuándo se acepta un cierto nivel de riesgo residual en ISO 27001?
El objetivo principal de la gestión de riesgos acumulativos ISO 27001 es conocer
la efectividad de los procedimientos y controles implementados. Pero, ¿qué nivel de
riesgo se considera aceptable? ¿Cómo sabes lo que es suficiente? Es claro que debe
existir un nivel de riesgo aceptable que depende de la política de seguridad de la
información publicada por la organización y el entorno en el que opera. Debe
reconocerse que para una organización del sector financiero es inaceptable
aceptar un alto nivel de riesgo residual. De lo contrario, se pueden aceptar títulos
similares en una organización industrial especializada en la producción de muebles.
En todos los casos, es la organización, liderada por la alta dirección, la que debe
tomar estas decisiones, además de fortalecer y crear el espacio adecuado para
la formación de los líderes del sistema de gestión de seguridad de la información.
La gestión de riesgos en ISO 27001, sus herramientas y diversas metodologías
de evaluación vigentes son algunos de los temas que se profundizan en el Certificado
de Implementación de Sistemas de Gestión de Seguridad de la Información con
ISO/IEC 27001:2013. Se trata de un programa de alta calidad, actualizado a la última
versión del estándar. Con él, usted y los profesionales de su organización podrán
implementar y probar con éxito un sistema de gestión de seguridad de la información
basado en la norma ISO 27001.
Luego, las características que indican los peligros presentes se vincularon por región,
después de la evaluación de la probabilidad, el impacto y la ubicación en un mapa de
calor de los peligros muestreados en las operaciones del centro de llamadas,
relacionado con Atento S.A.
 operativo PROCESO

oficinas Atento ZONA / LUGAR

servicio al cliente por medio ACTIVIDADES

de llamadas

asistir una vez a la semana a contestar llamadas

TAREAS
capacitación de refuerzo

SI
SI
RUTINARIA SI – NO

biomecánico
Psicosocial DESCRIPCIÓN

Condiciones de la tarea (carga Postura (prologada

mental, contenido de la tarea, mantenida, forzada)tipificar
PELIGRO

todas las llamadas, posturas CLASIFICACIÓN

demandas emocionales, sistemas
de control, monotonía,). al sentarse

EFECTOS
enfermedad laboral enfermedad laboral
POSIBLES

trabajo
trabajo FUENTE

quejas frecuentes y problemas teclado de computadora y

MEDIO
financieros mouse
EXISTENTES
CONTROLES

pausas activas (no se hacen)

pausas activas (no se hacen) INDIVIDUO

6
NIVEL DE DEFICIENCIA
4

4
NIVEL DE DEFICIENCIA

24
24

NIVEL DE DEFICIENCIA

NIVEL DE DEFICIENCIA

alto
alto

muy
muy
Atento Perú presenta una matriz de riesgos lo cual presentaremos a continuación

100
60

NIVEL DE DEFICIENCIA
CAPÍTULO VII

EVALUACIÓN DEL RIESGO

NIVEL DE DEFICIENCIA
2400
1440

INTERPRETACIÓN DEL
I

-
NIVEL DE RIESGO (NR)
LA ESTRATEGIA / TOMA DE DECISIONES

ACEPTABILIDAD DEL RIESGO

N DEL
RIESGO

INTOLERABLE
INTOLERABLE
VALORACIÓ

100 100 NRO EXPUESTOS

DERRAMES CEREBRALES Y LESIONES GRAVES PEOR CONSECUENCIA

LESIONES IRREPARABLES
CONTROLES

SI
ESTABLECER

EXISTENCIA REQUISITO LEGAL

SI
CRITERIOS PARA

ESPECÍFICO ASOCIADO (SI o NO)

SUBCONTRATO SUBCONTRATO ELIMINACIÓN

ATENCION POR PSICOLOGOS TIPIFICACION POR VOZ SUSTITUCIÓN

ABORALES QUE AYUDEN A
MEJORARA LA CARGA
EMOCIONAL
RENOVAR SISTEMA PARA
QUE CADA COSA QUE SE CONTROLES DE INGENIERIA
NA HAGA QUEDE CON
COMANDOS Y SE AUTO
ESCRIBA

CAPACITACION, AYUDAS CON CONTROLES ADMINISTRATIVOS,

ALTERNAR DE ATENCION EN PSICOLOGOS PARA BAJKAR SEÑALIZACIÓN, ADVERTENCIA
MEDIDAS DE INTERVENCIÓN

CALL CENTER Y OFICINAS LA CARGA EMOCIONAL

Pausas activas EQUIPOS / ELEMENTOS DE

JUGUETES ANTI ESTRÉS maseajador de manos PROTECCIÓN PERSONAL
 PROCESO

ZONA / LUGAR

ACTIVIDADES

TAREAS

RUTINARIA SI – NO

radiación biológicos riesgo físico DESCRIPCIÓN

exposición frecuente a desgastamiento de la visión y

PELIGRO

riesgo a virus covid19 CLASIFICACIÓN

radiación no ionizada del oído

enfermedad laboralo pérdida EFECTOS

enfermedad laboral enfermedad laboral
parcial o total POSIBLES

trabajo trabajo T rabajo FUENTE

computadora contacto con compañeros audífonos MEDIO

EXISTENTES
CONTROLES

pausas activas (no se hacen) tapabocas pausas activas (no se hacen) INDIVIDUO

2
2

10
NIVEL DE DEFICIENCIA

4
4
4

NIVEL DE DEFICIENCIA

8
8

40

NIVEL DE DEFICIENCIA

muy alto muy alto muy alto NIVEL DE DEFICIENCIA

25
60

NIVEL DE DEFICIENCIA
100
EVALUACIÓN DEL RIESGO

200 NIVEL DE DEFICIENCIA

480

4000
I

INTERPRETACIÓN DEL
2

III

NIVEL DE RIESGO (NR)

ACEPTABILIDAD DEL RIESGO

N DEL
RIESGO

TOLERABLE

INTOLERABLE
INTOLERABLE
VALORACIÓ

NRO EXPUESTOS
100
100
100

ENFERMEDADES DE LA PIEL MUERTE POR CONTAGIO O PEOR CONSECUENCIA

LESIONES AUDITIVAS
O CANCER LECCION GRAVE
CONTROLES
ESTABLECER

EXISTENCIA REQUISITO LEGAL

SI
SI

NO
CRITERIOS PARA

ESPECÍFICO ASOCIADO (SI o NO)

SUBCONTRATO SUBCONTRATO SUBCONTRATO ELIMINACIÓN

AUDIFONOS DE COPA SUSTITUCIÓN

NA TAPABOCAS
AJUSTABLES A LA CABEZA

CRECRACION DE CONTROLES DE INGENIERIA

PROTECTOR EN LAS DETECTOR DE VIRUS EN EL
MINICUBICULOS AISLANTES
PANTALLAS DE RADIACION AMBIENTE
DEL SONIDO

PAUSAS ACTIVAS PARA CONTROLES ADMINISTRATIVOS,

PRUEVA COVID CADA 3 HACER PAUSAS ACTIVAS 3
BAJAR DOSIS DE SEÑALIZACIÓN, ADVERTENCIA
SEMANAS VECES AL DIA
MEDIDAS DE INTERVENCIÓN

CONTAMINACION

TAPABOCAS Y ELEMENTOS AUDIFONOS CON UNA SOLA EQUIPOS / ELEMENTOS DE

NA PROTECCIÓN PERSONAL
DE ASEO COPA
 PROCESO

ZONA / LUGAR

ACTIVIDADES

TAREAS

RUTINARIA SI – NO

condiciones de seguridad condiciones de seguridad DESCRIPCIÓN

locativos espacios reducidos y

PELIGRO

eléctricos, de baja tención no hay segunda salida de CLASIFICACIÓN

emergencia

EFECTOS
trauma nervioso o muerte muerte o perdida de miembros
POSIBLES

trabajo trabajo
FUENTE

na
na
MEDIO
EXISTENTES
CONTROLES

na

mantenimiento INDIVIDUO

6
10

NIVEL DE DEFICIENCIA

4
4

NIVEL DE DEFICIENCIA

24
40

NIVEL DE DEFICIENCIA

muy alto muy alto NIVEL DE DEFICIENCIA

100
100

NIVEL DE DEFICIENCIA
EVALUACIÓN DEL RIESGO

NIVEL DE DEFICIENCIA
2400
4000

I
I

INTERPRETACIÓN DEL
NIVEL DE RIESGO (NR)

ACEPTABILIDAD DEL RIESGO

INTOLERABLE
INTOLERABLE
DEL RIESGO
VALORACIÓN

NRO EXPUESTOS
100
100

MUERTE POR RIESGOS PEOR CONSECUENCIA

ELECTROCUCION O MUERTE
LOCATIVOS
CONTROLES
ESTABLECER

EXISTENCIA REQUISITO LEGAL

CRITERIOS PARA

ESPECÍFICO ASOCIADO (SI o NO)

SUBCONTRATO SUBCONTRATO ELIMINACIÓN

CURSO BASICO DE TEGNOLOGIA SALIDA ALTERNATIVA DE SUSTITUCIÓN

REDES DE ELECTRICIDAD EMERGENCIA

MATERIALES DI ELECTRICOS EN ESCALERA FUERA DEL EDIFICIO CONTROLES DE INGENIERIA

PUESTOS DE TRABAJO ARTIFICIAL

CAPACIOTACION PARA CAPACITACION DE SALIDAS DE CONTROLES ADMINISTRATIVOS,

CONOCIMIENTO BASICO DE REDES EMERGENCIA Y QUE HACER EN SEÑALIZACIÓN, ADVERTENCIA
MEDIDAS DE INTERVENCIÓN

ELECTRICAS LA ZONA DE TRABJO

MATERIALES DIELECTRICOS EN LOS SEÑALIZACION Y EQUIPOS / ELEMENTOS DE

AUDIFONOS CON DOBLE COPA DEMARCACIONES PROTECCIÓN PERSONAL
Seguir esta matriz muestra cómo dicho trabajo puede afectar la salud mental de un
trabajador. En este caso, los operadores de telefonía están trabajando
constantemente para atender a los clientes que tienen problemas, lo que puede
afectar significativamente sus operaciones, alterando la calidad del servicio para toda
la empresa, incluidos los problemas físicos, biológicos y mentales asociados con
el trabajo constante con teléfonos y redes. 'el ordenador. Una consecuencia es que
en la empresa los directores generales están en constante rotación, lo que genera la
molestia de que los trabajadores permanezcan, ya que puede haber escasez
de personal para atender la cantidad de llamadas o nuevos empleados que no lo
hacen. De acuerdo con el método utilizado en la pulsera.
Los nuevos colaboradores pueden ser el origen del problema del mal desempeño de
los mediadores, pero esto no es evidente cuando aproximadamente la mitad de las
campañas del grupo expuesto a algún grado de comunidad psicosocial se muestran
desfavorables, lo que sugiere que el problema está más allá de la adaptación de los
nuevos entrantes al trabajo. Es posible ver cuándo en una campaña experimentó un
aumento en la calificación promedio general del grupo de calidad, pero esto
sigue siendo menos de lo que se requiere para considerarlo un grupo de buena
calidad.
En promedio, muchos trabajadores tienen que trabajar rápido la mayor parte del
tiempo, pero por eso no acumulan trabajo y no piensan que la distribución del trabajo
es desigual, y por estas razones, los operadores pueden olvidarse rápidamente de
los temas de trabajo, lo que impide este. Los trabajadores no piensan en su trabajo
fuera de las instalaciones del centro de llamadas, pero el número más preocupante
es la frecuencia con la que los gerentes de los empleadores que ocultan
sus sentimientos son consultores que sienten que están ocultando sus sentimientos
mientras trabajan en el servicio al cliente. Trabajar en el servicio de atención al cliente
y hablar con personas a menudo difíciles y groseras hace que los corredores se
repriman y se limiten a dar sus opiniones honestas y contundentes a los clientes
porque, si lo hacen, pueden obtener una mala reputación por el servicio al cliente, lo
que en algunos casos lleva a los operadores. Ser despedido.
 CAPÍTULO VIII
LOS PLANES DE ACCIÓN

Análisis FODA de la empresa ATENTO

FORTALEZAS OPORTUNIDADES
 Estructura organizacional  Organizaciones potenciales que
consolidada. requieres el servicio de atención al
 Capacidad de respuesta efectiva cliente.
enfocada al cliente  Alta demanda insatisfecha por
 Innovación en los productos servicios de atención al cliente.
ofrecidos.  Inestabilidad macroeconómica en
 Marca de confianza con el cliente países vecinos propician búsqueda
 Gestión de Procesos en todas las de proveedores de atención al cliente
áreas operativas. en el Perú.
 Código de ética y principios en la  Existencia de jóvenes talentos con
organización. facilidades de comunicación y
 Personal motivado para brindar llegada al usuario.
soluciones.  Nuevos proveedores con nuevas
 Implementación del uso de la tecnologías.
Tecnología.  Algunos empleados consideran que
 La calidad de servicio al cliente es no son bien remunerados.
excelente.  La imagen de la empresa no coincide
 Las relaciones entre compañeros de con el nombre.
la organización es excelente.  La empresa ha recibido quejas por
 Ofrece servicios de asistencia técnica explotación laboral hacia los
inmediata, tales como Back Office, colaboradores.
crédito, riesgos y recobro.  Muchos de los colaboradores
 Ha sido reconocida por ser una de consideran que el trabajo es temporal
las mejores compañías frente a la por ser un call center.
relación con los clientes, y tienen el
Premio Latan.
 Actualmente tiene más de 150.000
empleados 15 países y en 92
centros.
 Ofrece soluciones flexibles y
personalizadas traducidos en 19
idiomas.
 Es una de las mejores
Multinacionales para laborar.
 Es la primera empresa que recibió el
certificado Top Employer.
DEBILIDADES AMENAZAS
 Poca distribución de trabajo al  Organizaciones competitivas formen
personal administrativo. alianzas estratégicas.
 Tercerización de operaciones de  Aparición de nuevos competidores
centro de llamadas. enfocado al cliente y al capital
humano.
 Sobrecarga de fuerza de trabajo al
 personal de producción.  Implementación de nueva ley por
parte del Estado que afecte los
 Brinda servicios a grandes empresas
beneficios de las organizaciones.
de diversos sectores.
 Existencia de Sindicatos que
 Brinda precios acordes con la
respalden a los trabajadores de la
competencia frente a la mano de
organización.
obra.
 Los costos salariales van en
 Cuenta con equipos de tecnología
aumento.
que permite el desarrollo de las
telecomunicaciones.  Existen sobre ofertas por parte la
competencia de centro de atención
telefónica.
 La publicidad de boca a boca a
generado malas expectativas de la
organización.
 CAPÍTULO IX
LA SUPERVISIÓN / AUDITORÍA EXTERNA

La Academia 27001 (2018) anunció que ISO/IEC 27001 es un estándar que describe

cómo se gestiona la seguridad de la información en las organizaciones. La norma ISO
se revisa cada 4 o 5 años; La última revisión de esta revisión comenzó en 2013 y se
denomina ISO/IEC 27001:2013. Este estándar es adaptable a cualquier tipo
de negocio, sea con o sin fines de lucro, puede ser público o privado, pequeño o
grande, y fue escrito por expertos en seguridad internacional. ISO/IEC 27001 es el
estándar internacional más conocido para la implementación de SGSI y, de hecho,
hasta la fecha, muchas empresas han certificado su cumplimiento. En el Reino Unido,
la acreditación de los organismos de certificación es gestionada por el British
Accreditation Service (UKAS), que mantiene una lista de todos los organismos
autorizados para certificar ISO 27001, y luego esta organización es reconocida a nivel
mundial (Calder, 2013).
9.1. CERTIFICACIONES EN LA ISO/IEC 27001 A NIVEL MUNDIAL
Según Rojo (2017), la norma ISO/IEC 27001 muestra un incremento en
el número de certificaciones en los últimos tres años a nivel mundial. La
presencia en diferentes países se mantuvo en cifras similares en 2015 y 2016,
y no reflejó ningún incremento. Los datos de configuración de clasificación son
los siguientes:
1. Japón con 8,945 certificados
2. Reino Unido con 3,367 certificados
3. India con 2,902 certificados
4. China con 2,618 certificados
5. Alemania con 1,388 certificados
6. Italia con 1,220 certificados
7. Estados Unidos con 1,115 certificados
8. República de China con 1,087 certificados
9. España con 752 certificados
10. Países bajos con 670 certificados
A nivel mundial, muchas organizaciones han implementado SGSI y están en
operación, pero pocas están certificadas, tales como: EQUIFAX Chile, Amazon
Web Services (AWS), Microsoft Global Foundation Services (GFS), Google
Apps, IFX Networks Colombia (Santos, 2016).
9.2. CERTIFICACIONES EN LA ISO/IEC 27001 EN AMÉRICA LATINA
Actualmente, los países latinoamericanos con mayor demanda de certificados
ISO/IEC 27001 son México, Colombia y Brasil, los cuales están en constante
crecimiento. Sin embargo, hasta el momento, en el sexto lugar, vemos a
Perú, que aunque no tiene tantas certificaciones como los tres primeros,
ha dado grandes pasos en los últimos años. Además, cabe señalar que estas
listas cambian y crecen de año en año.
9.3. CERTIFICACIONES EN LA ISO/IEC 27001 EN EL PERÚ
Cada año, ISO/IEC realiza una encuesta de certificación de sus estándares
SGSI. Para GTDI (2017), se reportaron un total de 32 certificados ISO/IEC
27001 en Perú al 2016.
A continuación, veremos en la Tabla 1, que según CDI (2017), solo tres
entidades públicas, como son ONP, INDECOPI y Osinergmin están acreditadas
para ISO/IEC 27001, mientras que los módulos restantes solo están certificados
y reconocidos ISO/IEC 27001 . Ha completado el proceso de implementación,
pero aún no ha recibido la certificación.

En la Tabla 2, que según CDI (2017) solo cuatro empresas privadas habían sido
certificadas con la ISO/IEC 2700, en tanto los demás se hallaban en proceso de
certificación (reconocimiento).
9.4. FAMILIA DE LA NORMA ISO/IEC 27000
Son un grupo de estándares que se encargan de hacer un marco de gestión de
seguridad de la información para cualquier tipo de organización.
Según Meza (2016), las normas ISO/IEC publicadas en la Tabla 3.

Calder (2013) explicó que el conjunto de normas ISO/IEC 27000 proporciona un

conjunto de normas, códigos de conducta y buenas prácticas para las
organizaciones, al tiempo que garantiza una buena gobernanza de los servicios
de TI. Cuando nos referimos a ISO/IEC 27001, automáticamente pensamos en
SGSI y todo lo que implica; Esto significa que para obtener la certificación o
pasar una auditoría, su SGSI debe cumplir con los requisitos establecidos
por 27001.
9.5. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
En 2017, Nevis argumentó que "SGSI es un conjunto organizado de datos en
poder de una entidad que tiene valor para ella, independientemente
de cómo se almacene, transmita (escrito, almacenado electrónicamente),
muera, clasifique, envíe por correo, etc.). en conversaciones, entre otros).
En resumen, SGSI es un proceso de mejora continua y es muy flexible a los
cambios que la organización puede realizar como resultado de sus principales
operaciones. Además, toda información debe estar protegida por lo siguiente: 
 Confidencialidad, la información debe estar disponible solo para personas
autorizadas, Integridad para que la información no pueda ser cambiada o
modificada, Integridad, asegurando que las personas solo tengan acceso a la
información cuando lo esté. necesitar. Según Berríos y Rocha (2015), han
señalado que “El SGSI en las empresas ayuda a establecer tales políticas,
procedimientos y controles en relación con los objetivos de negocio de la
organización, para mantener siempre a raya los riesgos. asumir” (p. 25).
En definitiva, con la implantación del SGSI, los riesgos de la información y del
 sistema deben ser gestionados, documentados y conocidos por todos, así
como revisados y mejorados constantemente. Las organizaciones ahora
tienen información personal, que es su mayor activo. El número de
amenazas es muy frecuente, por lo que deben tomar las medidas necesarias
para protegerse. Por eso es necesaria la implementación del SGSI, ya
que trae un cambio radical a cualquier organización, abandona todas sus
actividades y comienza a implementar medidas de seguridad. SMS ayuda a
obtener un mejor conocimiento de la organización y definir estrategias para
asegurar y mejorar los activos de la organización (Abad, 2015). ISMS
proporciona pautas para implementar las mejores prácticas que se ven cada
vez más como una necesidad de cumplimiento en las
organizaciones que desean obtener la certificación antes de realizar
transacciones comerciales importantes (Calder, 2013).
9.6. BENEFICIOS DEL SGSI
Según Abad (2015), algunos de los beneficios que consiguen la implementación
de un SGSI son los siguientes:
 La organización demostrará que ha tomado las medidas necesarias al
momento de cumplir con las normativas legales que engloba la protección de
datos y la seguridad de la información.
 La implementación de la SGSI ayuda a las organizaciones a tomar
decisiones fundamentadas en datos y estadísticas, por lo que aumentará la
credibilidad hacia sus colaboradores y terceros.
 Al implementar la SGSI se tendrá la posibilidad de integrar otras
certificaciones de ISO como: ISO 9001, ISO 14001 y OHSAS 18001.
9.7. INTRODUCCIÓN DE LA NORMA ISO/IEC 27001:2013
ISO/IEC 27001:2013, su versión en español es ISO/IE 27001:2014, es la
primera revisión de ISO/IEC 27001:2005 (ISO 2005), su versión en español es
ISO/IEC 27001:2007. La nueva versión es principalmente caracterizado
por una mayor flexibilidad en la implementación. Además, proporciona una
mayor uniformidad en la estructura frente a otras normas ISO, lo que
permitirá, en caso de ser necesario, obtener otros certificados
relevantes (calidad, medio ambiente, etc.) de los documentos públicos. (Abad,
2015).
9.8. ESTRUCTURA DE LA NORMA ISO/IEC 27001:2013
Según Abad (2015), la ISO/IEC 27001:2013 está estructurada según las
siguientes cláusulas con el Ciclo de Deming (Figura 4).

A continuación, se detalla las cláusulas de la estructura de la Norma ISO/IEC

27001:2013 según Abad (2015):
 Cláusula 0: Introducción: Esta cláusula explica la razón de ser de este
estándar, indicando que su objetivo es crear, implementar, mantener y
mejorar continuamente el SGSI. Además, el Sistema de gestión de la
seguridad de la información (SGSI) debe adaptarse a las necesidades de la
organización y demostrar la capacidad de la organización para cumplir con
los requisitos especificados.
 Cláusula 1: Ámbito de aplicación: Aquí nos dice que el estándar es
adaptable y se puede aplicar a cualquier organización.
 Cláusula 2: Reglas de Consulta: Para cualquier requerimiento, puede
consultar la Norma 27000, que se convierte en la única referencia
normativa para referencia.
 Cláusula 3: Términos y Definiciones: Como se detalló anteriormente,
se pueden encontrar las 27 000 preguntas terminológicas
  Cláusula 4: Contexto de la organización: Aquí, debemos centrarnos en
identificar a los grupos de interés de la organización, brindándonos los
principios rectores y los puntos de vista que la organización debe tener en
cuenta para identificarlos adecuadamente.
 Cláusula 5: Administración: Esta sección define el Sistema de Gestión de
Seguridad de la Información (SGSI) como un proceso estratégico de
una organización y define el comportamiento que la alta dirección debe
adoptar hacia el sistema de gestión de seguridad de la información.
 Cláusula 6: Planificación: Esta es una disposición importante para
establecer y mantener un SGSI. Se centra en los detalles de la gestión de
riesgos, el descubrimiento de oportunidades y el establecimiento de objetivos
de seguridad. El uso del Anexo A para controlar el riesgo se detalla más
aquí a partir de la creación del documento conocido como
"Declaración de aplicabilidad" o SOA.
 Cláusula 7 parte: Apoyo: En esta cláusula, se trata de los
medios requeridos dentro de la organización para el desarrollo
exitoso del SGSI; Al mismo tiempo, enfatizar la importancia del recurso
humano, por su capacidad para asegurar una buena eficiencia operativa.
 Cláusula 8: Actividades: Es responsable de explicar cómo garantizar que
el SGSI funcione correctamente una vez que se implemente
en la organización.
 Cláusula 9: Evaluación del desempeño: Aquí, los resultados deben
compararse con las metas y objetivos a lograr porque esto es muy importante
en la CMSI. Gracias a esta cláusula se sabrá si se han alcanzado o no los
objetivos de la organización.
 Cláusula 10: Mejoras: Este párrafo describe formas de abordar cuando
se encuentra un patrón de mejora continua.
 Anexo A: Objetivos de Control y Control Estándar: Incluye una lista de
114 medidas de control necesarias y sus respectivos fines, tal como
se establece en el artículo 6.
9.9. VENTAJAS Y DESVENTAJAS DE LA ISO 27001:2013
El blog especializado en (SGSI) en el año 2014 publicó las ventajas que ofrece
la ISO 27001:2013:
 Todas las definiciones se pueden encontrar en el estándar ISO 27000
 Los riesgos en la seguridad de información tienen que ser resueltos.
  Los documentos requeridos se encuentran establecidos depende del tamaño
de la organización y la complejidad.
 Se tienen en cuenta todas las acciones preventivas.
 Facilita la integración de todos los sistemas de gestión.
Y las desventajas:
 No existe una descripción detallada de cómo identificar los riesgos.
 Los requisitos son difíciles de interpretar.
 No se hace mención al modelo PHVA.
9.10. IMPORTANCIA DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN EN LA EMPRESA ATENTO DEL PERÚ
Atento considera la regulación estratégica del SGSI como parte de su plan de
reestructuración. "Implementar todos los pasos de ATENTO para lograr
un rendimiento óptimo es una característica esencial de las operaciones
empresariales". Disponible en http://www.iso27000.es/sgsi.html Revisado el
13/07/2022
Esto es importante porque reduce el riesgo en los datos de la empresa, al
tiempo que asegura la información en la empresa a través de los aspectos
anteriores. Este enfoque es uno de los mayores éxitos de la gestión
y se trata de poner fin a los riesgos que la dirección está dispuesta
a aceptar. Los riesgos se pueden categorizar como aceptables, aceptables e
inaceptables y una vez que se establecen los umbrales, los riesgos se tratan
caso por caso y de acuerdo con los planes. Se han realizado las acciones
correspondientes dentro del plazo establecido (Merino y Cañizares, 2011, p.
131).
9.10.1. SEGURIDAD DE LA INFORMACIÓN
 Confidencialidad: No se revela datos a la persona no autorizada.
 Integridad: mantenimiento de la exactitud y completitud de la
Información y sus métodos de proceso.
 Disponibilidad: acceso y tratamiento si es requerido.
Información que puede ser divulgada sin autorización: Información
que es utilizada por cualquier persona no autorizada cuya
divulgación ocasione perdida para la empresa.
Información que puede ser modificada sin autorización: Información
que es utilizada sin autorización pierde integridad al realizarse
cambios ya sea parcial o total en los sistemas.
 Información cuya inaccesibilidad es frecuente: Información no
disponible para sus usuarios autorizados por pérdida o destrucción
que afecta la operatividad de la empresa.

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES
 Todas las empresas disponen de un sistema de seguridad, ya sea solo
o adaptado de sistemas existentes en el mercado. Este sistema proporcionará los
lineamientos, herramientas y controles necesarios para realizar la gestión de
riesgos.
 El proceso de cambio en materia de seguridad tiene etapas específicas y debe
llevarse a cabo con capacitación continua, ya que estas etapas son importantes
para ayudar a generar conciencia y sensibilidad y mejorar la cultura de seguridad
de los trabajadores y supervisores.
 El éxito del sistema de seguridad dependerá directamente
del nivel de participación de cada trabajador en la empresa,
independientemente de su rango a través de procesos de sensibilización y
sensibilización sobre los beneficios de implementar un sistema de seguridad.
 La política de seguridad es el compromiso del Gerente General con los empleados.
Otorga derechos y responsabilidades a los supervisores y trabajadores.
 Toda aplicación del sistema tiene sus limitaciones y desafíos, para revertir esta
situación es fundamental el apoyo y compromiso del Estado Mayor. • La seguridad
no solo se logra a través de la reacción, debe hacerse a través de la prevención
y la respuesta.
RECOMENDACIONES
 Es importante que las empresas establezcan una política de seguridad empresarial
que tenga en cuenta el compromiso de los funcionarios con los trabajadores en
materia de ambiente de trabajo,  equipo de protección personal, vivienda y salud.
 Crear una cultura proactiva. Una de las herramientas para esto es mejorar el
informe y análisis de incidentes.
 Promover la educación y capacitación, para que los empleados puedan
mejorar sus conocimientos y habilidades para desempeñar su trabajo. Cuanto
 más profundo sea su conocimiento, más fácil les resultará sentir que su trabajo es
importante y sentirse orgullosos de él.
 Formalizar, estandarizar, refinar y mejorar los programas existentes, teniendo en
cuenta el progreso de la seguridad.
 Considerar a los trabajadores el elemento más importante de la organización, y
asegurarse de que exista un ambiente de trabajo adecuado.
BIBLIOGRAFÍA
 https://www.ambit-bst.com/blog/an%C3%A1lisis-de-riesgos-inform%C3%A1ticos-y-
ciberseguridad
 Robbins, Stephen y de Cenzo, David (1996). Fundamentos de Administración,
Concepto y Aplicaciones. México. Robbins, Stephen y Coulter, Mary.
Administración. quinta edición. México, 1996.
 Stoner, James; Freeman, r y Gilbert, d. Administración. sexta edición. México,
1996.
 Franklin Q. Terry (1998), Principios de Administración. Editorial CECSA, 5ª ed.,
México.
 Fayol Henry (1990), Administración. Editorial Mc Graw Hill. México.
 Welsch, Hilton & Gordon (1990), Los fundamentos de la planificación y control de
utilidades, presupuestos. Ed. Prentice Hall. México.
 https://www.computerweekly.com/es/respuesta/Ocho-formas-de-mejorar-el-
desempeno-de-un-agente-de-call-center
 https://www.callcenternews.com.ar/aldea-digital/1455-app3
 Calder A. (2013) Información de seguridad y ISO 27001. Libro Verde de Gobierno
de TI.
 Rojo A. (2017). Top 10 de certificaciones en Normas ISO a nivel mundial. SBQ
Consultores.
 Santos, D. (2016). Establecimiento, implementación y mejorar de un Sistema de
Gestión de Seguridad de la Información, basado en la ISO/IEC 27001:2013, para
una empresa consultora de software (tesis de pregrado). Universidad Pontificia
Católica del Perú, Lima, Perú.
 GTDI (2017). Número de certificados ISO/IEC 27001 en Perú en el año 2016.
Tecnologías de la Información y Consultoría.
 Centro de Desarrollo Industrial (2017). Organizaciones que obtuvieron
reconocimiento a Sistema de Gestión certificados. CDI.
 Meza A. (2016). Propuesta para la implementación de un Sistema de Gestión de
 Seguridad de la Información aplicando la Norma ISO 27001 para industriales
(Tesis de pregrado). Universidad de Guayaquil Facultad de Ingeniería Industrial,
Guayaquil, Ecuador.
 Nieves A. (2017). Diseño de un sistema de gestión de la seguridad de la
información (SGSI) basado en la norma ISO/IEC 27001:2013. (Tesis de pregrado).
Institución Universitaria Politécnico Grancolombiano, Bogotá, Colombia.
 Berríos C. y Rocha M. (2015). Propuesta de un modelo de sistema de gestión de la
seguridad de la información en una PYME basado en la norma ISO/IEC 27001
(Tesis de pregrado). Universidad Peruana de Ciencias Aplicadas, Lima, Perú.
 Abad M. (2015). Cómo gestionar la seguridad de la información (según ISO 27001:
2013) en una PYME del sector de las tecnologías de la información y la
comunicación. (Tesis de pregrado). Universidad de VALLADOLID, Valladolid,
España.
 Miranda K. (2013). Guía Metodológica para implementar un Sistema de Gestión de
Seguridad en Instituciones. (Tesis de Maestría). Universidad de Piura, Piura, Perú.
 Jimeno J. (2013) El ciclo PDCA (Planificar, Hacer, Verificar y Actuar): El círculo de
Deming una mejora continua. PDCA Home.
 Valencia F. y Orozco M. (2017). Metodología para la implementación de un
Sistema de Gestión de Seguridad de la Información basado en la familia de
normas ISO/IEC 2700. Risti, 22, 73-88.
 https://stakeholders.com.pe/noticias-sh/atento-se-convierte-en-uno-de-las-
primeros-contact-center-en-obtener-el-iso-9001-e-isoiec-27001-de-aenor/
 Merino, Cristina y Cañizares Ricardo. Implantación de un Sistema de Gestión de
Seguridad de la Información según ISO 27001. Madrid: Fundación Confemetal,
2011. pp 38 – 121.
 http://www.iso27000.es/sgsi.html
 https://atento.com/wp-content/uploads/2022/01/
ES_ATENTO_Informe_ESG_2020_v2_compressed_compressed.pdf
 https://www.ealde.es/riesgos-residuales-vs-riesgos-secundarios/
 https://www.escuelaeuropeaexcelencia.com/2019/05/aclaraciones-importantes-
acerca-del-riesgo-residual-en-iso-27001/