La empresa y sus situaciones de riesgo inherente

Contenido

Introducción        1

Resumen ejecutivo        1

1- La empresa y sus situaciones de riesgo inherente         2

Plan estratégico de la empresa        3

2- Lo que se resolverá / mitigará, los controles que se implementarán y el vvriesgo residual que quedará        4

3- Problemática con los niveles organizacionales (directivo, gerencial y vvoperativo)        6

4- Propuesta de mejoras        7

4.1 Programa de prevención de fraudes y sus controles implementados        8

4.2 Programa de capacitación anual sobre seguridad informática, sus vvvcontroles y contenidos        10

5- Conclusión de la mitigación de riesgos        13

Referencias        13

Introducción

La empresa que vamos a tratar, representa a una importante firma en el sector farmacéutico, se dedica principalmente al desarrollo y estudio de gran variedad de medicamentos, los fabrican para fines virales, genéticos, biológicos, entre otros.

Por la naturaleza del sector laboral en el que aplica, el personal maneja información confidencial sobre los avances y desarrollos para los que aplica, está compuesto por un selecto equipo de 82 QFB (Químico Farmacéutico Biólogos), 102 Científicos, 15 Doctores en genética, 9 Biólogos, 53 elementos de seguridad, 18 para el área de sistemas, 13 Directivos, 4 Gerentes, 8 de Recursos Humanos, 9 Administradores, 6 de Finanzas entre otros distribuidos en diversas áreas, todos ellos fueron obligados a firmar un contrato con la empresa sobre los derechos de confidencialidad, cuentan con una intranet que ayuda a la intercomunicación entre las diversas áreas, aparte de esto, cada miembro cuenta con un identificador único donde está establecido el nivel de acceso y libertades de las que goza, esto suponiendo lo mínimo indispensable para poder desempeñar correctamente su trabajo,   los accesos son controlados por elementos de seguridad, además se implementa la identificación del personal por medio de  las tarjetas inteligentes que monitorizan la posición de cada persona que accede a las distintas áreas, así como el registro del papel de cada dueño dentro de la empresa, pudiendo tener almacenado el control de puertas y acceso permitido o restringido mediante claves precargadas.

Resumen ejecutivo ============================================

En este caso de estudio se evalúan cuáles son los riesgos a los que está expuesta la información sensible de la empresa, se describe el estado actual de la empresa, así como sus procesos, su estructura organizacional o departamental que cuenta con sistemas vulnerables en cuanto a las normas o políticas aplicables en cuanto al control de acceso, los casos de filtración cibernética a la intranet para robo de información financiera, así como de los avances en las investigaciones millonarias para la generación de nuevos tratamientos o medicamentos.

Se establecen cuáles son los enfoques y acciones que generan las deficiencias en la administración de las operaciones internas y la comunicación entre los diferentes niveles organizacionales por falta de interés en las cuestiones referentes a seguridad de la información, donde solamente se centran en la obtención de resultados.

Teniendo conocimiento sobre la situación actual, así como en las deficiencias tanto operativas, como de infraestructura, se plantean las propuestas de mejoras que ayudaran a prevenir y mitigar los riesgos al robustecer las prácticas en materia de seguridad lógica y física que se implementaran, así como los programas de prevención de fraudes por medio de la suplantación de identidad, o de otros tipos de ataques cibernéticos o de ingeniería social, como el caso que se expone con relación a las vulnerabilidades descritas tanto en el manejo de la intranet por los empleados, como en las normas o políticas de seguridad aplicables al área de servidores.

El último factor que se expone es el programa que se llevara a cabo para capacitar al personal sobre las posibles acciones u omisiones que puede provocar el no estar capacitado en materia de seguridad de información, es por esto que detallamos como podremos generar una sensibilización o concientización del personal, así como el informar y entrenar al sector operativo para poder conocer cuáles son los factores más comunes que pueden generar fraudes o ataques por medio de ingeniería social, con lo que se podrá establecer las contramedidas para mitigar los riesgos que se puedan presentar.

1- La empresa y sus situaciones de riesgo inherente =================

Teniendo en cuenta la información sensible que se maneja por cada miembro de la empresa y el acceso a la manipulación del equipo tecnológico de las instalaciones, así como el acceso a los  productos químicos disponibles, los avances logrados en investigaciones que suponen una inversión multimillonaria entre otras desencadenan un gran riesgo que puede materializarse en filtraciones de productos o medicamentos nuevos, que empresas rivales roben información valiosa sobre avances médicos aún sin patente, el uso de activos que se conservan como virus preservado para estudio y que pueda suponer en la creación de armas biológicas, ataques terroristas entre otras cosas.

Es por esto que la seguridad física y lógica cobra un impacto social a gran escala, donde la falta de sensibilidad, concientización, capacitación y gestión ha generado que en más de 80 años en el sector de la investigación científica en enfermedades y medicamentos se lograra acceder por segunda vez a la información de los servidores vía remota robando así información mediante ataques a la intranet.

Es por esto que elegí como caso de estudio a esta empresa, no estoy facultado para brindar información adicional ni el nombre de la misma, por eso tratare de mantener el anonimato.

...