Académique Documents
Professionnel Documents
Culture Documents
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 2 de 35
vehiculares La Negra, Santiago y La Comba.
TABLA DE CONTENIDO
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 3 de 35
vehiculares La Negra, Santiago y La Comba.
12 MATRIZ DE PROBABILIDAD E IMPACTO PARA RIESGOS ............................................................ 15
12.1 Diagrama matricial de probabilidad e impacto .............................................................................................................................. 15
12.2 Caracterización de los niveles de criticidad de riesgos ................................................................................................................... 15
13 DEFINICIONES DE URGENCIA DE LOS INCIDENTES..................................................................... 16
14 MATRIZ DE URGENCIA E IMPACTO PARA INCIDENTES .............................................................. 16
14.1 Diagrama matricial de urgencia e impacto .................................................................................................................................... 16
14.2 Caracterización de los niveles de criticidad de incidentes .............................................................................................................. 17
15 CALENDARIODE GESTIÓNDE RIESGOS ...................................................................................... 17
16 RECURSOS DE GESTIÓNDE RIESGOS .................................................................... 18
17 FORMATOS DE GESTIÓN DE RIESGOS ....................................................................................... 19
18 TRAZABILIDAD DE LA GESTIÓN DE RIESGOS ............................................................................. 19
18.1 REGISTRO .................................................................................................................................................................................... 19
18.2 LECCIONES APRENDIDAS .............................................................................................................................................................. 20
18.3 AUDITORÍAS ................................................................................................................................................................................ 20
19 PLAN DE RESPUESTA A INCIDENTES ......................................................................................... 22
19.1 DIAGRAMA DEL PLAN DE RESPUESTA A INCIDENTES ..................................................................................................................... 22
19.2 CARACTERIZACIÓN DEL PLAN DE RESPUESTA A INCIDENTES .......................................................................................................... 24
20 ANEXOS .................................................................................................................................. 29
20.1 Caso de negocio del proyecto ....................................................................................................................................................... 29
alineamiento del proyecto. ....................................................................................................................................................................................................... 30
análisis costo - beneficio. .......................................................................................................................................................................................................... 30
necesidades del negocio. .......................................................................................................................................................................................................... 31
finalidad del proyecto. .............................................................................................................................................................................................................. 31
20.2 Acta de constitución del proyecto................................................................................................................................................. 32
20.3 Otros documentos del proyecto ...........................................................................................................Error! Bookmark not defined.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 4 de 35
vehiculares La Negra, Santiago y La Comba.
Estedocumento es el Plan de gestión de riesgos del proyecto Estudios, diseños y construcción de los puentes
vehiculares La Negra, Santiago y La Comba, en el cual se define el proceso de gestión de riesgos que se utilizará a lo
largo del ciclo de vida del proyecto. El director del proyecto es responsable de revisar y mantener actualizado este Plan
de gestión de riesgos a lo largo del proyecto, con el objetivo de asegurar que los procesos de gestión de riesgos
continúan siendo apropiados para tratar con el nivel de riesgos que se presente en el proyecto.
2 Control de Versiones
# Fecha Realiza Revisa Aprueba Detalle
1.0 2019-08-28 Marcela Rojas Patricia Sánchez Juana Montaña
Coordinadora de Directora de Riesgos Director del
Riesgos proyecto
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 5 de 35
vehiculares La Negra, Santiago y La Comba.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 6 de 35
vehiculares La Negra, Santiago y La Comba.
"Riesgo aceptable" se define para el proyecto Estudios, diseños y construcción de los puentes vehiculares La Negra,
Santiago y La Comba, como <definición clara de cuánto riesgo es aceptable para los grupos de interés clave, tales como
el patrocinador del proyecto, por ejemplo en términos de cuántas amenazas "altas" son aceptables, o la máxima
puntuación aceptable P-I en amenazas y la mínima puntuación aceptable P-I en oportunidades, o el grado de atraso o
coste adicional permisibles>.
El proceso de riesgo tendrá como objetivo involucrar de la manera adecuada a todos los grupos de interés en el
proyecto, creando compromiso y apropiamientodel proyecto en sí y en las acciones de gestión de riesgos.
La información basada en el riesgo se comunicará a los grupos de interés del proyecto de manera oportuna y a un nivel
apropiado de detalle, para permitir que la estrategia del proyecto se a ajustada a la luz de la exposición actual de riesgo.
El proceso de gestión de riesgos permitirá a los grupos de interés del proyecto centrar la atención en las zonas del
proyecto que se encuentran más expuestasal riesgo, mediante la identificación de los principales riesgos (tanto
oportunidades y amenazas), potencialmente capaces de ejercer la mayor influencia positiva o negativa en el logro de los
objetivos del proyecto.
El proceso de gestión del riesgo cubre todas las actividades realizadas durante el ciclo de vida del proyecto.
El proceso de riesgo de este proyecto cubrirá los riesgos del proyecto internos y externos.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 7 de 35
vehiculares La Negra, Santiago y La Comba.
Las obras objeto consisten en la construcción de la doble calzada entre las poblaciones de Porcesito y el portal del túnel
de la quiebra en el lado de la población de Santiago, con una longitud de 5.1 Km en doble calzada.
Para dar continuidad al corredor vial se requiere la construcción de tres puentes que comuniquen dicho corredor; los
cuales se describen a continuación:
Este puente está localizado en la quebrada la Negra en el K 22+560, el cual tiene una luz de 40 mts conformado por
vigas pos tensado.
Se encuentra localizado en la quebrada la Comba, en el k 23 + 900, conformado por viga cajón construida con el método
de voladizos sucesivos y con una luz de 112 mts.
Localizado sobre la quebrada Santiago, en el k 25+580, su estructura se conforma por vigas pos tensadas con una luz de
40 m.
El Proyecto de las Autopistas para la Prosperidad tiene como objetivo principal generar una interconexión vial entre la
Ciudad de Medellín con las principales concesiones viales del país, y que a su vez la conecten con los principales
centros de intercambio comercial como la Costa Caribe, la Costa Pacífica, así como con el río Magdalena.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 8 de 35
vehiculares La Negra, Santiago y La Comba.
El nuevo corredor vial de la Unidad Funcional 2 tiene un total de .4 km por ambos ejes de la vía, comprendidos entre el
municipio de Porcesito y el municipio de Santiago, la velocidad de diseño del corredor es de 80 Km/h. De acuerdo con su
clasificación de vía primaria de dos (2) calzadas, que hace parte del sistema que conecta a Medellín con las regiones del
norte y oriental del departamento de Antioquia, se proyecta con una característica geométrica que cumple con la
velocidad de diseño de 80 km/h.Por lo anterior se requiere la construcción de tres puentes vehiculares La negra,
Santiago y la Comba.
El fin último es conectar a Medellín de forma directa con el Puerto de Cartagena y el norte del país y el nordeste de
Antioquia con la concesión de Ruta del Sol a través de Puerto Berrío, proyectando que se convierta en uno de los
corredores viales más importantes del país. Esta concesión va a permitir transportar de manera más fácil y económica
los productos destinados a la exportación, además de favorecer el ingreso de productos de otras regiones al
Departamento de Antioquia, que es un gran centro de consumo. Adicionalmente, se va a lograr un ahorro de tiempo
importante al contar con una velocidad de diseño de 80 km/h para las vías nuevas en doble calzada.
El proyecto es de gran importancia dentro de la organización ya que es un proyecto de gran impacto no solo para esta si
no para todo el país.
El proyecto es de tamaño mediano dentro de la organización, ya que la constructora el Cóndor es una empresa de gran
trayectoria dentro del país por los proyectos que ha ejecutado a lo largo de su existencia y que estos han sido de gran
tamaño e impacto para Colombia.
Se realiza una revisión de la documentación del proyecto con el fin de tener claridad en el acta de constitución de este, la
línea base, el presupuesto, el alcance y demás con el fin de poder establecer los posibles riesgos que puedan afectar la
ejecución del proyecto y el cumplimiento de los objetivos de este.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 9 de 35
vehiculares La Negra, Santiago y La Comba.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 10 de 35
vehiculares La Negra, Santiago y La Comba.
PROCESO DESCRIPCIÓN HERRAMIENTAS FUENTESDE PERIODICIDAD
INFORMACIÓN
riesgo se mitigue y elimine.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 12 de 35
vehiculares La Negra, Santiago y La Comba.
7 CATEGORÍAS DE LOS RIESGOS (RBS)
7.1 Diagrama de la estructura de desglose de riesgos
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 13 de 35
vehiculares La Negra, Santiago y La Comba.
8 FLUJO DE ESTADOS DEL RIESGO
8.1 Diagrama de flujo de estado del riesgo
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 14 de 35
vehiculares La Negra, Santiago y La Comba.
9 TOLERANCIA DE LOS INTERESADOS AL RIESGO
OBJETIVO ACTITUD TOLERANCIA PESO
Alcance La organización no está dispuesta aceptar cambios BAJA 30%
en el alcance del proyecto ya que de no construirse
los tres puentes el proyecto no tendrá
funcionabilidad.
Tiempo La organización está dispuesta a aceptar cambios MEDIA 20%
en el cronograma siempre y cuando se de
cumplimiento al alcance y la calidad del proyecto.
Costo La organización está dispuesta a aceptar cambios MEDIA 20%
en el presupuesto total del proyecto, siempre y
cuando se garantice el alcance y la calidad del
proyecto.
Calidad La organización no está dispuesta a autorizar BAJA 30%
cambios la calidad del producto.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 15 de 35
vehiculares La Negra, Santiago y La Comba.
11 DEFINICIONES DE PROBABILIDAD DE LOS RIESGOS
ESCALA SIGNIFICADO
Muy Alta – 5 el riesgo puede materializarse en un escenario muy remoto
Alta – 4 el riesgo se podría materializar en escenarios muy reducidos
Media – 3 el riesgo puede ocurrir en cualquier momento
Baja – 2 teniendo en cuanto al estacadura de la empresa, es posible que ocurra en varias
ocasiones
Muy Baja – 1 el riesgo puede materializarse en un escenario muy remoto
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 16 de 35
vehiculares La Negra, Santiago y La Comba.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 17 de 35
vehiculares La Negra, Santiago y La Comba.
14.2 Caracterización de los niveles de criticidad de incidentes
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 18 de 35
vehiculares La Negra, Santiago y La Comba.
respuesta a los
riesgos
Planificación de Una vez al inicio del proyecto 24 horas
respuesta a los
riesgos
Monitoreo delosriesgos
Todos los días al inicio de las actividades 15 minutos.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 19 de 35
vehiculares La Negra, Santiago y La Comba.
17 FORMATOSDEGESTIÓNDERIESGOS
Formato Tabla de Contenido Proceso en el Responsable
cual se genera
Plan de gestión Estrategias, conceptos y metodologías para poder Todos los Director del
de riesgos reducir riesgos, prevenir desastres, y responder a Procesos. Proyecto
posibles desastres que se presenten.
Plantilla para Identificacion de las actividades o procesos Todos los Gerente
identificación de sujetos a riesgo, cuantificar la probabilidad de Procesos. HSE
riesgos estos eventos y medir el daño potencial asociado
a su ocurrencia.
Plantilla de Acciones y procedimientos que se realizan “in Todos los Gerente
evaluación de situ”, a fin de levantar la información sobre la Procesos. HSE
riesgos identificación de los peligros, el análisis de las
condiciones de vulnerabilidad y cálculo
del riesgo(probabilidad de daños: pérdidas de
vidas e infraestructura)
Registro de Se deben registrar todos los riesgos y definir las Todos los Supervisores
riesgos consecuencias. En el registro de riesgos de una Procesos. HSE
situación conocida, que puede ocurrir o no, y que
de ocurrir, afectará a nuestra capacidad para
cumplir los objetivos del proyecto (si es en
negativo será unriesgo,
Informe de Objetivos , Identificación de Riesgos, Evaluación Todos los Supervisores
riesgos de Riesgos, Controles, Riesgo Residual, Estrategía Procesos. HSE
/Toma de Decisiones, Planes de Acción,
Supervisión.
Estos procesos interactúan entre sí y con los procesos de las otras áreas de conocimiento. Cada proceso puede
implicar el esfuerzo de una o más personas, dependiendo de las necesidades del proyecto. Cada proceso se
ejecuta por lo menos una vez en cada proyecto y en una o más
fases del proyecto, en caso de que el mismo esté dividido en fases. Aunque los procesos se presentan aquí
como elementos diferenciados con interfaces bien definidas, en la práctica se superponen e interactúan de
formas que no se detallan aquí.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 20 de 35
vehiculares La Negra, Santiago y La Comba.
Los riesgos de un proyecto se ubican siempre en el futuro. Un riesgo es un evento o condición incierta que, si
sucede, tiene un efecto en por lo menos uno de los objetivos del proyecto. Los objetivos pueden incluir el
alcance, el cronograma, el costo y la calidad.
El evento de riesgo es que la agencia que otorga el permiso puede tardar más de lo previsto en emitir el permiso
o, en el caso de una oportunidad, que la cantidad limitada de personal disponible asignado al proyecto pueda
terminar el trabajo a tiempo y, por consiguiente,
realizar el trabajo con una menor utilización de recursos. Si alguno de estos eventos inciertos se produce, puede
haber un impacto en el costo, el cronograma o el desempeño del proyecto. Las condiciones de riesgo podrían
incluir aspectos del entorno del proyecto o de la organización que pueden contribuir a poner en riesgo el
proyecto, tales como prácticas deficientes de dirección de proyectos, la falta de sistemas de gestión integrados,
la concurrencia de varios proyectos o la dependencia de participantes externos que no pueden ser controlados.
Documentar las lecciones aprendidas es uno de los aspectos más importantes de la Gestión de Proyectos para
cualquier organización, pues así los errores y aciertos de los proyectos quedan registrados para ser usados en
futuras iniciativas, y de esta manera la organización aprenda y mejore continuamente.
La realidad cotidiana en el mundo de los proyectos es que se carece de esta práctica o incluso de un mínimo
conocimiento en el ámbito de ejecución en su mayoría, por lo que se está perdiendo mucha información por el
camino.
Determinar cuáles fueron sus éxitos. Documentando en detalle las acciones y forma de hacer las cosas que los
permitieron.
Formular estrategias sobre esas acciones y forma de hacer las cosas para convertirlas en prácticas replicables
en toda la organización.
Adoptar procesos alrededor de esas prácticas que permitieron los éxitos. La práctica debe pasar a formar parte
de las políticas y procedimientos documentados de la organización. Quizás estas prácticas no estaban
formalmente establecidas en el sistema de Gestión de Proyectos, por lo que es necesario incorporarlas.
Si se trata de procesos que han funcionado bien durante bastante tiempo, pero no formaban parte de los
procedimientos formales, lo recomendable es integrarlos en el sistema de gestión sin cambios.
Copyright ® 2019
PL AN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 21 de 35
vehiculares La Negra, Santiago y La Comba.
En esta parte de la discusión, es recomendable:
Obtener información específica y detallada, por ejemplo si un retraso en la llegada de un equipo gestionado por
el departamento de compras ocasionó desplazamiento del cronograma, la discusión debe enfocarse en la causa
raíz o problema que ocasionó que ese departamento haya entregado tarde, identificando diferentes acciones y
alternativas pudiesen haberlo evitado.
Evitar señalamientos personales, la discusión no debe enfocarse en las personas sino en las acciones que
afectaron el desempeño de las tareas del proyecto.
Tal vez el retraso fue por problemas de comunicación entre otros departamentos, por ejemplo el desarrollo de la
ingeniería o la falta de comunicación. En ese caso, se deberá identificar la causa raíz que ocasionó el retraso de
la ingeniería o la mala comunicación, no en la deficiente manera de comunicar si no de la falta o ausencia de
dicha comunicación.
Documentar individualmente todas las lecciones aprendidas y registrarlas como un elemento en una bitácora que
permanecerá abierta hasta que se tomen las acciones correctivas y preventivas.
Si no se documentan bien las lecciones aprendidas y no se les asigna un responsable para las acciones
correctivas y preventivas, se olvidarán en el tiempo y luego se repetirán los mismos errores.
No es una buena práctica, sentar a todo el equipo delante de un folio o un mapa mental en blanco, y pedirles
lecciones aprendidas del proyecto. En su lugar, emplead categorías y subcategorías de lecciones aprendidas
fijadas.
Será más sencillo que el equipo se enfoque a cómo “sacarles temas o asuntos”: Qué recomendaríamos a quien
se encuentre con un proyecto que se encuentre en la misma situación.
No debe quedar en un documento word o de otro tipo, archivado con nuestro proyecto, ya que deberíamos
alimentar una base de datos (más o menos sencilla o potente), a la que poder preguntarle, cada vez que se inicia
un proyecto.
Realizar una sesión de lecciones aprendidas puede hacerse en cualquier momento durante la vida del proyecto,
lo importante es que queden documentadas y sean distribuidas, no sólo entre el equipo de proyecto que las
identifica sino a toda la organización.
Uno de los mayores errores que se pueden cometer no es involucrar a todos los miembros del equipo y capturar
sus conocimientos en todas las fases del proyecto. Independientemente de su función o su zona horaria, todos
los miembros del equipo deben participar y ser reconocidos por sus contribuciones al intercambio de
conocimientos.
La sobrecarga de información y la pérdida de enfoque son algunas de las causas de la ineficacia del proceso
tradicional, que las lecciones cubran demasiados temas hará difícil buscar una lección aplicable y será difícil
eliminar todas las Lecciones irrelevantes para llegar a las pocas verdaderamente necesarias.
Si bien es una buena práctica recopilar lecciones de una amplia gama de partes interesadas, lo mejor es
restringir el proceso de priorización posterior sólo a los miembros clave del equipo del proyecto, utilizando un
sistema de puntaje para identificar las lecciones más efectivas.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 22 de 35
vehiculares La Negra, Santiago y La Comba.
Si no se piensa en la manera de cambiar los procesos actuales, se considera que se van a seguir teniendo los
mismos problemas, por lo que se deberá tratar de identificar los cambios prácticos en la forma de hacer las
cosas. Por ejemplo, se podría detallar la lección "tenga cuidado cuando" en "comprobar esto y aquello cuando ..."
o podría transformar "nos esforzaremos más para ..." en "necesitará al menos dos personas para ..." y así
sucesivamente.
Para asimilar verdaderamente las lecciones de la organización, es una práctica muy buena crear una lista de
verificación para cada tipo de entregable (por ejemplo, lista de verificación del cronograma, lista de verificación
del presupuesto, lista de verificación del plan de riesgos, etc.) e incorporar Las lecciones aprendidas en estas
listas de verificación, de una manera fácilmente accionable .
18.3 AUDITORÍAS
De conformidad con la normativa de auditoría vigente, el proceso de la auditoría comprende las fases de:
planificación, ejecución del trabajo y comunicación de resultados.
La planificación de la auditoría comprende el desarrollo de una estrategia global para su administración, al igual
que el establecimiento de un enfoque apropiado sobre la naturaleza, oportunidad y alcance de los
procedimientos de auditoría que deben aplicarse. El planeamiento también permitirá que el equipo de auditoría
pueda hacer uso apropiado del potencial humano disponible.
El proceso de la planificación permite al auditor identificar las áreas más importantes y los problemas potenciales
del examen, evaluar el nivel de riesgo y programar la obtención de la evidencia necesaria para examinar los
distintos componentes de la entidad auditada. El auditor planifica para determinar de manera efectiva y eficiente
la forma de obtener los datos necesarios e informar acerca de la gestión de la entidad, la naturaleza y alcance de
la planificación puede variar según el tamaño de la entidad, el volumen de sus operaciones, la experiencia del
auditor y el nivel organizacional.
Como una guía para la realización del referido proceso, se ha establecido los siguientes porcentajes estimados
de tiempo, con relación al número de días/hombre programados: planificación 30%, ejecución 50% y
comunicación de resultados 20%, porcentajes que pueden variar en función de las características y
particularidades del examen de que se trate y conocimiento acumulado de la entidad a auditarse.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 23 de 35
vehiculares La Negra, Santiago y La Comba.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 24 de 35
vehiculares La Negra, Santiago y La Comba.
19.2 CARACTERIZACIÓN DEL PLAN DE RESPUESTA A INCIDENTES
Gestión y Respuesta a Incidentes
La gestión de incidentes se define como la capacidad para gestionar efectivamente eventos perjudiciales
inesperados con el objeto de minimizar los impactos y mantener o restaurar las operaciones normales dentro de
los límites de tiempo definidos.
El objetivo es garantizar que el gerente de seguridad de la información cuente con los conocimientos necesarios
para identificar, analizar, gestionar y responder con eficacia a eventos inesperados que pudieran tener un efecto
adverso en los activos de información de la organización y/o en la capacidad de ésta para operar.
La gestión y respuesta a incidentes es la parte operativa de la gestión de riesgos. Se trata de las actividades que
tienen lugar como resultado de ataques no anticipados, pérdidas, robo, accidentes o cualquier otro evento
adverso inesperado que ocurra como resultado de controles fallidos o inexistentes.
Como parte del proceso de planificación, las partes interesadas deben tomar varias decisiones, las cuales
deberán ser ratificadas por la alta dirección. Entre esas decisiones se encuentran las siguientes:
Criterios de declaración
Capacidades de respuesta
Conceptos iniciales
El tratamiento de incidentes es un servicio que involucra a todos los procesos o tareas relacionados con el
tratamiento de eventos e incidentes.
Una gestión eficaz de incidentes garantizará que los incidentes se detecten, registren y gestionen para limitar los
impactos.
Copyright ® 2019
PL AN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 25 de 35
vehiculares La Negra, Santiago y La Comba.
Alcance y Estatutos de la Gestión de Incidentes
Un estatuto para la gestión de incidentes es un documento que establece formalmente el equipo de gestión de
incidentes, y documenta su responsabilidad para gestionar y responder a incidentes relacionados con la
seguridad.
Roles y Responsabilidades
De Gestion
Validar, verificar y reportar las soluciones de protección o de contramedidas, tanto técnicas como administrativas
Llevar a cabo la planificación, la elaboración de presupuesto y el desarrollo del programa para todos los aspectos
relativos a la gestión y respuesta a incidentes
De Respuesta
Contener los efectos del incidente para que el daño y las pérdidas no alcancen proporciones incontrolables
Manejar incidentes cuando ocurren, de tal forma que sea posible mitigar o erradicar la exposición y permitir la
recuperación dentro de una ventana de interrupción aceptable.
Copyright ® 2019
PL AN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 26 de 35
vehiculares La Negra, Santiago y La Comba.
Prevenir que vuelvan a ocurrir incidentes previos mediante la documentación y aprendizaje de incidentes
pasados.
Aplicar contramedidas proactivas para prevenir/minimizar la probabilidad de que los incidentes tengan lugar.
Métricas e Indicadores
Daño total ocasionado por incidentes reportados y detectados en caso de que no se haya respondido a ellos
Ahorros totales de los posibles daños que se hubieran generado por incidentes resueltos
Definición de Procedimientos
Preparar/mejorar/sustentar (preparar). Este proceso define todo el trabajo de preparación que se debe realizar
antes de contar con alguna capacidad para responder a incidentes
Proteger la infraestructura (proteger). El proceso de protección tiene la intención de proteger y asegurar los datos
críticos y la infraestructura informática, así como a su comunidad de usuarios cuando se responde a un incidente
Detectar eventos (detectar). El proceso de detección identifica cualquier actividad inusual/sospechosa que
pudiera comprometer las funciones de negocio críticas o la infraestructura
Responder, El proceso de respuesta incluye los pasos que se toman para tratar, resolver o mitigar un incidente.
HISTORIAL DE INCIDENTES
VULNERABILIDADES
Copyright ® 2019
PL AN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 27 de 35
vehiculares La Negra, Santiago y La Comba.
INTEGRACIÓN DE UN ANÁLISIS DE IMPACTO AL NEGOCIO EN LA RESPUESTA DE INCIDENTES
Preparación—Esta fase prepara a una organización para desarrollar un plan de respuesta a incidentes antes de
que ocurra un incidente.
Identificación—Esta fase tiene el propósito de verificar si ha ocurrido un incidente y determinar mayores detalles.
Erradicación—Luego de aplicar las medidas de contención, se debe determinar la causa raíz del incidente y
erradicarla.
Lecciones aprendidas—Por último, se debe elaborar un reporte para compartir lo que sucedió, las medidas que
se tomaron y los resultados obtenidos después de que se ejecutó el plan.
Etapa 1 (Preparación): Crear políticas y procedimientos: las políticas deben requerir que las auditorías estén
habilitadas en todos los sistemas críticos; adquirir e instalar software antimalware; adquirir herramientas de
forensia.
Etapa 2 (Identificación): Monitorear regularmente las alertas de los antivirus y otros productos antimalware y los
logs de auditoria de sistemas (eventviewer, journals, etc.). Controlar existencia de herramientas no autorizadas
en el sistema; Informes de usuarios alertando comportamientos anómalos del sistema; detección de procesos
extraños; generación de tráficos anormal en la red; etc. Se puede utilizar una matriz de diagnostico.
Etapa 3 (Contención): Determinar la inmediatez de la contención. Si es posible, desconectar de la red, haga una
copia bit a bit con una herramienta de forensia;
Etapa 4 (Erradicación): Realice análisis forense; use las herramientas de antimalware o procedimientos
manuales (o ambos) para borrar todo el malware del sistema.
Etapa 5 (Recuperación): Regrese los sistemas, aplicaciones y datos a su estado de operación habitual usando
los procedimientos preestablecidos a tal fin; validar que el sistema esta libre de amenazas ; cambiar todas las
passwords si el sistema fue vulnerado a un nivel de superusuario.
Etapa 6 (Seguimiento): Recolectar toda la información sobre el incidente y escribir un reporte para la
superioridad; analice y ponga en práctica las lecciones aprendidas para manejar este tipo de incidentes.
Copyright ® 2019
PL AN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 28 de 35
vehiculares La Negra, Santiago y La Comba.
Planes de recuperación y procesos de recuperación de negocio
Estrategias de recuperación
Tratamiento de amenazas
Acuerdos recíprocos
Implementación de estrategias
Seguros (a equipos o instalaciones de TI, software, interrupción del negocio, fidelidad, etc.)
El principal objetivo de las pruebas de los planes de recuperación es garantizar el éxito de los mismos en una
situación real.
Identificar diferencias
Verificar presunciones
Efectividad de estrategias
Rendimiento de personal
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 29 de 35
vehiculares La Negra, Santiago y La Comba.
Documentación de Eventos
Procedimientos para iniciar una investigación forense que sea acordada, documentada, seguida cuidadosamente
y comprendida por todos en la empresa. El gerente de seguridad de la información debería trabajar con la
gestión y recursos humanos (y otras partes interesadas) para establecer un proceso que asegure que todas las
investigaciones sean justas, imparciales y bien documentadas
¿Qué sucedió?
¿Porque sucedió?
20 ANEXOS
20.1 Caso de negocio del proyecto
El Proyecto de las Autopistas para la Prosperidad tiene como objetivo principal generar una
interconexión vial entre la Ciudad de Medellín con las principales concesiones viales del país,
y que a su vez la conecten con los principales centros de intercambio comercial como la Costa
Caribe, la Costa Pacífica, así como con el río Magdalena.
El nuevo corredor vial de la Unidad Funcional 2 tiene un total de .4 km por ambos ejes de la
vía, comprendidos entre el municipio de Porcesito y el municipio de Santiago, la velocidad de
diseño del corredor es de 80 Km/h. De acuerdo con su clasificación de vía primaria de dos (2)
calzadas, que hace parte del sistema que conecta a Medellín con las regiones del norte y
oriental del departamento de Antioquia, se proyecta con una característica geométrica que
cumple con la velocidad de diseño de 80 km/h.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 30 de 35
vehiculares La Negra, Santiago y La Comba.
A continuación, se describe cada uno de los puentes a construir como la mejor alternativa
Costos Beneficios
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 31 de 35
vehiculares La Negra, Santiago y La Comba.
$
Total Total $ 68,900,138,193.60
14,753,041,739.00
Fuente: Los autores.
El fin último es conectar a Medellín de forma directa con el Puerto de Cartagena y el norte del
país y el nordeste de Antioquia con la concesión de Ruta del Sol a través de Puerto Berrío,
proyectando que se convierta en uno de los corredores viales más importantes del país. Esta
concesión va a permitir transportar de manera más fácil y económica los productos destinados
a la exportación, además de favorecer el ingreso de productos de otras regiones al
Departamento de Antioquia, que es un gran centro de consumo. Adicionalmente, se va a
lograr un ahorro de tiempo importante al contar con una velocidad de diseño de 80 km/h para
las vías nuevas en doble calzada.
Copyright ® 2019
PLAN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 32 de 35
vehiculares La Negra, Santiago y La Comba.
20.2 Acta de constitución del proyecto
Copyright ® 2019
PL AN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 33 de 35
vehiculares La Negra, Santiago y La Comba.
los puentes La costo establecidos, cumpliendo las
seca, Santiago y normas y calidad
La Comba
Cierre del proyecto Entrega final del proyecto en los Acta de entrega y
tiempos, costos, calidad y normas Liquidación
establecidos
4. Cronograma preliminar del proyecto
7. Presupuesto preliminar
Concepto Monto ($)
Copyright ® 2019
PL AN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 34 de 35
vehiculares La Negra, Santiago y La Comba.
1. Personal $
1,249,596,150.00
2. Materiales $
2,499,192,300.00
3. Maquinaria $
2,082,660,250.00
4. Otros $
1,082,983,330.00
5. Reserva de contingencia $
833,064,100.00
Total Línea Base $ 7,247,657,670.00
6. Reserva de gestión $ 583,144,870.00
Total, Presupuesto $ 8,330,642,000.00
8. Lista de interesados (stakeholders)
Clasificación
Nombre Rol Apoyo / Neutral /
Interno / Externo
Opositor
Louis Francois Director ANI Externo N
kleyn
Alvaro Berttin Director de interventoría Externo O
SERVINC
Ricardo López L. Gerente Concesión Vías del Interno A
Nús
Luz María Correa Gerente Construcciones el Interno A
Cóndor
Juana Montaña Gerente de Proyectos Interno A
Roa
Franz Umaña Director de Proyectos Interno A
Mónica Olaya Director de Obra Interno A
9. Niveles de autoridad
Área de autoridad Descripción del nivel de autoridad
Decisiones de personal (Staffing) Autoriza Decisiones administrativas de
contratación y manejo de personal
Gestión de presupuesto y de sus Autoriza el presupuesto y sus variaciones
variaciones
Copyright ® 2019
PL AN DE GESTIÓN DE RIESGOS DEL PROYECTO
Versión: 1 Fecha: 28 de Agosto de 2019
Estudios, diseñosy construcción de los puentes Página 35 de 35
vehiculares La Negra, Santiago y La Comba.
10. Designación del director de proyecto
Nombre FRANZ UMAÑA NIVEL DE AUTORIDAD
Reporta a JUANA MONTAÑA TOTAL, SOBRE DECISIONES DEL
Supervisa a MÓNICA OLAYA PROYECTO
11. Sponsor
Nombre AGENCIA NACIONAL DE TOTAL SOBRE LAS DECISIONES DE LA
INFRAESTRUCTURA CONCESIÓN
Copyright ® 2019