La empresa y sus situaciones de riesgo inherente

Contenido

Introducción        1

Resumen ejecutivo        1

1- La empresa y sus situaciones de riesgo inherente         2

Plan estratégico de la empresa        3

2- Lo que se resolverá / mitigará, los controles que se implementarán y el vvriesgo residual que quedará        4

3- Problemática con los niveles organizacionales (directivo, gerencial y vvoperativo)        6

4- Propuesta de mejoras        7

4.1 Programa de prevención de fraudes y sus controles implementados        8

4.2 Programa de capacitación anual sobre seguridad informática, sus vvvcontroles y contenidos        10

5- Conclusión de la mitigación de riesgos        13

Referencias        13

Introducción

La empresa que vamos a tratar, representa a una importante firma en el sector farmacéutico, se dedica principalmente al desarrollo y estudio de gran variedad de medicamentos, los fabrican para fines virales, genéticos, biológicos, entre otros.

Por la naturaleza del sector laboral en el que aplica, el personal maneja información confidencial sobre los avances y desarrollos para los que aplica, está compuesto por un selecto equipo de 82 QFB (Químico Farmacéutico Biólogos), 102 Científicos, 15 Doctores en genética, 9 Biólogos, 53 elementos de seguridad, 18 para el área de sistemas, 13 Directivos, 4 Gerentes, 8 de Recursos Humanos, 9 Administradores, 6 de Finanzas entre otros distribuidos en diversas áreas, todos ellos fueron obligados a firmar un contrato con la empresa sobre los derechos de confidencialidad, cuentan con una intranet que ayuda a la intercomunicación entre las diversas áreas, aparte de esto, cada miembro cuenta con un identificador único donde está establecido el nivel de acceso y libertades de las que goza, esto suponiendo lo mínimo indispensable para poder desempeñar correctamente su trabajo,   los accesos son controlados por elementos de seguridad, además se implementa la identificación del personal por medio de  las tarjetas inteligentes que monitorizan la posición de cada persona que accede a las distintas áreas, así como el registro del papel de cada dueño dentro de la empresa, pudiendo tener almacenado el control de puertas y acceso permitido o restringido mediante claves precargadas.

Resumen ejecutivo ============================================

En este caso de estudio se evalúan cuáles son los riesgos a los que está expuesta la información sensible de la empresa, se describe el estado actual de la empresa, así como sus procesos, su estructura organizacional o departamental que cuenta con sistemas vulnerables en cuanto a las normas o políticas aplicables en cuanto al control de acceso, los casos de filtración cibernética a la intranet para robo de información financiera, así como de los avances en las investigaciones millonarias para la generación de nuevos tratamientos o medicamentos.

Se establecen cuáles son los enfoques y acciones que generan las deficiencias en la administración de las operaciones internas y la comunicación entre los diferentes niveles organizacionales por falta de interés en las cuestiones referentes a seguridad de la información, donde solamente se centran en la obtención de resultados.

Teniendo conocimiento sobre la situación actual, así como en las deficiencias tanto operativas, como de infraestructura, se plantean las propuestas de mejoras que ayudaran a prevenir y mitigar los riesgos al robustecer las prácticas en materia de seguridad lógica y física que se implementaran, así como los programas de prevención de fraudes por medio de la suplantación de identidad, o de otros tipos de ataques cibernéticos o de ingeniería social, como el caso que se expone con relación a las vulnerabilidades descritas tanto en el manejo de la intranet por los empleados, como en las normas o políticas de seguridad aplicables al área de servidores.

El último factor que se expone es el programa que se llevara a cabo para capacitar al personal sobre las posibles acciones u omisiones que puede provocar el no estar capacitado en materia de seguridad de información, es por esto que detallamos como podremos generar una sensibilización o concientización del personal, así como el informar y entrenar al sector operativo para poder conocer cuáles son los factores más comunes que pueden generar fraudes o ataques por medio de ingeniería social, con lo que se podrá establecer las contramedidas para mitigar los riesgos que se puedan presentar.

1- La empresa y sus situaciones de riesgo inherente =================

Teniendo en cuenta la información sensible que se maneja por cada miembro de la empresa y el acceso a la manipulación del equipo tecnológico de las instalaciones, así como el acceso a los  productos químicos disponibles, los avances logrados en investigaciones que suponen una inversión multimillonaria entre otras desencadenan un gran riesgo que puede materializarse en filtraciones de productos o medicamentos nuevos, que empresas rivales roben información valiosa sobre avances médicos aún sin patente, el uso de activos que se conservan como virus preservado para estudio y que pueda suponer en la creación de armas biológicas, ataques terroristas entre otras cosas.

Es por esto que la seguridad física y lógica cobra un impacto social a gran escala, donde la falta de sensibilidad, concientización, capacitación y gestión ha generado que en más de 80 años en el sector de la investigación científica en enfermedades y medicamentos se lograra acceder por segunda vez a la información de los servidores vía remota robando así información mediante ataques a la intranet.

Es por esto que elegí como caso de estudio a esta empresa, no estoy facultado para brindar información adicional ni el nombre de la misma, por eso tratare de mantener el anonimato.

Plan estratégico de la empresa 

A tratarse de una empresa de la que se pretende conservar su confidencialidad, su plan estratégico el cual es público y visible desde internet, se modificara para evitar la relación directa de cuál es la empresa de la que se habla.

Misión: “Ser un Laboratorio Farmacéutico que genere y ofrezca avances médicos para mantener con salud a la sociedad, garantizando la excelencia en investigación, desarrollo, producción y comercialización.

Ser reconocidos por nuestros socios, clientes, competidores y público en general, como una empresa socialmente comprometida y apegada a los más altos principios éticos”.

Visión: “Llegar a ser uno de los Laboratorios farmacéuticos más reconocidos a nivel mundial por sus avances y aportaciones a nivel mundial, así como por su responsabilidad social, además ser líderes en cada área terapéutica donde participemos y convertirnos en una de las mejores empresas para trabajar e invertir”.

2- Lo que se resolverá / mitigará, los controles que se implementarán y el riesgo residual que quedará ======================================

La empresa “Laboratorio Farmacéutico” cuenta con una gran cantidad de empleados distribuidos entre las distintas áreas de investigación , todos comparten un dominio entre sí, una misma intranet y dependiendo del área en la que laboren tienen acceso a información específica de cada área clasificada como  confidencial y que es propiedad de la empresa, esta puede ir desde en itinerarios de personal, estados financieros, nominas, información personal de los empleados, claves de acceso, permisos de acceso a diferentes áreas, expedientes, avances de investigación, recetas, patentes, entre otros.

Como es de esperar, ninguna empresa por mayor normatividad en seguridad que ejerza sobre los trabajadores, las estrictas políticas y restricciones de seguridad a las que pueda recurrir puede garantizar que no existan factores que supongan un riesgo real para la organización, supongamos:  puede darse el caso de personal inconforme que, debido a falta de prestaciones a las que se tiene derecho , un sueldo insuficiente, gran demanda de trabajo, falta de gratitud por parte de la empresa o incluso hasta por desacuerdo de cómo opera la empresa o por cosas que no le parezcan de ella, puede revelar datos internos de forma anónima a terceros que puede repercutir en la obtención de información confidencial que genere una entrada o vulnerabilidad para ataques futuros.

Otro factor que mencionaremos más adelante es que la posible falta de concientización por parte del personal sobre las medidas de seguridad que no puede estar considerando como que siempre debe de eliminar de su cuenta de correo los correos que contengan información sensible que pudiera ser recuperada, copiada o visualizada en un futuro por personas que no sean destinatarios o no estén autorizados para acceder a esa información en su lugar.

También puede darse el caso de que personal de un área que no esté instruida o capacitada para detectar y contrarrestar ataques de ingeniería social y que de este modo pueda revelar información confidencial, conceder accesos o realizar acciones que favorezcan al atacante sin darse cuenta, por medio del engaño, influencia o abuso de confianza al ser una empresa que posee una gran cantidad de información sensible de la que se pueden obtener beneficios económicos, al tratarse de la industria del entretenimiento y que relativamente todo lo que salga de ahí, puede ser de interés público.

Lo primero que intentaremos mitigar es otra intrusión en la intranet de la empresa, para ello lo primero que deberemos de incluir como medidas de seguridad es ofrecer una capacitación a toda persona que esté involucrada en el directorio activo del dominio sobre las posibles acciones que pueden generar vulnerabilidades sin que nos demos cuenta, los métodos que pueden utilizar los atacantes, y de esta forma poder ayudar a que los asociados tengan presente como es que piensan este tipo de personas maliciosas y de este modo poder contrarrestar estas acciones, de igual modo se debe de incorporar nuevas políticas, restricciones y control de acceso en permisos para poder administrar el sistema por parte del área de sistemas.

De igual forma también se debe de monitorear constantemente al personal del área de sistema para evitar posibles filtraciones de información, asegurar que no hay personas que puedan tener acceso directo y puedan estar involucradas en ataques, programar constantemente pruebas de penetración, auditorias, configurar correctamente el firewall, los puertos y demás servicios. La mejor forma para mantener el control del área de sistemas sería por medio de auditorías por una empresa de consultoría de seguridad independiente, Así como la implementación de sistemas distribuidos multiplataforma, para de este modo tener un acceso limitado a la infraestructura de telecomunicaciones.

...