ANEXO: Informe de resultados de encuesta o entrevista

#PNT ANEXO 2.3.2: Informe de resultados de encuesta o entrevistaPresentación en gráficos de los resultados de la encuestaEn este apartado se presentan los gráficos con los principales descubrimientos en la tabulación de la encuesta.

A continuación se presentan los resultados de las encuestas (estimaciones) de las preguntas más relevantes.

Pregunta 1

¿?

Gráfica 1:

Interpretación:

Pregunta 2

¿?

Gráfica 2:

Interpretación:

Pregunta ∞

¿?

Gráfica ∞:

Interpretación:

Análisis de los Resultados

Demanda y Necesidades insatisfechas

De acuerdo a las estimaciones obtenidas en la encuesta, establecer si la demanda del producto es alta, el comportamiento de compra (cantidades, periodicidad, frecuencia, lugares preferidos, accesibilidad, aspectos no satisfechos, etc. (Máximo 12 líneas)

Las características que los consumidores tienen en cuenta, empaque, precio, características fundamentales que determinan si el consumidor compra o no el (producto), etc. (Máximo 12 líneas)

Perfil de Segmentos Identificados

De acuerdo a los resultados determinar si la empresa se enfocará en un segmento específico o  apuntará  a varios

Nicho de Mercado Principal:

Seleccionar las variables más relevantes  para poder comercializar de acuerdo al tipo del producto
■Variables Demográficas.

■Rango de Edad:
■Género:
■Ingreso
■Clase social
■Variables Geográficas.

■Unidad geográfica:
■Población: (Urbana o Rural)
■Tipo de hogar (induce:  ingresos, etnia, tamaño del hogar)
■Variables Psico-gráficas:

■Estilo de vida
■Valores
■Actitudes
■Variables Conductuales:

■Cuanto conocen el producto
■Lugar de compra
■Patrón de compra
■Frecuencia de compra
■Intensidad de uso
■Fidelidad
■Otras variables
■Perfil.

Descripción del tipo de cliente a quienes se les venderá el producto combinando las todas las variables anteriores

 Nicho de Mercado Secundario:

Seleccionar las variables más importantes para poder comercializar de acuerdo al tipo del producto
■Variables Demográficas.

■Rango de Edad:
■Género:
■Ingreso
■Clase social
■Variables Geográficas.

■Unidad geográfica:
■Población: (Urbana o Rural)
■Tipo de hogar (induce:  ingresos, etnia, tamaño del hogar)
■Variables Psico-gráficas:

■Estilo de vida
■Valores
■Actitudes
■Variables Condúctuales:

■Cuanto conocen el producto
■Lugar de compra
■Patrón de compra
■Frecuencia de compra
■Intensidad de uso
■Fidelidad
■Otras variables
■Perfil.

Descripción del tipo de cliente a quienes se les venderá el producto combinando las todas las variables anteriores

Otros Nichos de Mercado:

Seleccionar las variables más importantes para poder comercializar de acuerdo al tipo del producto
■Variables Demográficas.

■Rango de Edad:
■Género:
■Ingreso
■Clase social
■Variables Geográficas.

■Unidad geográfica:
■Población: (Urbana o Rural)
■Tipo de hogar (induce:  ingresos, etnia, tamaño del hogar)
■Variables Psico-gráficas:

■Estilo de vida
■Valores
■Actitudes
■Variables Condúctuales:

■Cuanto conocen el producto
■Lugar de compra
■Patrón de compra
■Frecuencia de compra
■Intensidad de uso
■Fidelidad
■Otras variables
■Perfil.

Descripción del tipo de cliente a quienes se les venderá el producto combinando las todas las variables anteriores

3.2- Análisis de la Competidores.

Análisis de los principales competidores directos, comportamiento en el mercado, nacionalidad, precio de sus productos, calidad, servicio, reputación, ubicación, política comercial, forma de pago, servicios complementarios, etc. (Máximo 12 líneas)

Aspiración del Porcentaje del Mercado

Es fácil o difícil entrar o salir del mercado, reacción de los competidores existentes frente a los nuevos competidores, cómo encarare los problemas de entrar, seguirán otros mi iniciativa, qué porcentaje pueden llegar a tener, etc.

Comparación de Competidores

A continuación se presenta en la tabla los principales competidores, dónde venden el producto, sus principales fortalezas y debilidades

Tabla
■Nombre y Sucursales
■Costo Producto
■Participación del Mercado (%)
■Fortaleza
■Debilidad

Sistema de Distribución

Describir el Sistema de Distribución (directamente al consumidor final o por intermediarios), quiénes son los intermediarios, dónde están ubicados, Imagen en el mercado, volumen de Negocio, condiciones de contratación, margen de ganancia, servicios complementarios, dónde se vende con mayor frecuencia, etc.

PLANTILLA 3: Análisis FODA

#PNT PLANTILLA 3: ANÁLISIS  FODA

2.6) Análisis Interno

Investigación de por lo menos 10 variables internas que incidan en el negocio y de las cuales tenemos capacidad de influencia sobre ellas (Conocimientos, habilidades y actitudes de los integrantes, activos que puedan proporcionar, contactos que puedan aportar, características del producto, Infraestructura de la empresa, administración del recurso humano, investigación y desarrollo, tecnología, abastecimiento, logística de entra y salida de productos, producción u operación, comercialización y ventas, servicio)

Variables internas

  1. .
  2. .
  3. .
  4. .
  5. .
  6. .
  7. .
  8. .
  9. .
  10. .
  11. Etc.

2.7) Análisis PCDF del Micro-entorno

Investigación por categorías de las variables más importantes de la industria que afectan o pueden afectar el negocio y de las cuales no tenemos influencia sobre ellas

  • Proveedores
  • Competencia
  • Distribuidores
  • Cliente Final

Imagen: Factores del micro-entorno

Imagen: Factores del micro-entorno

2.8) Análisis PEST del Macro-Entorno

Investigación por categorías de las variables más importante del entorno que impactan o pueden impactar la realización de los objetivos del negocio y de las cuales no tenemos influencia o control sobre ellas

  • Político/Legal: (estabilidad política, protección a la propiedad privada, etc.)
  • Económico: (si hay crecimiento económico positivo en el país, y en el sector del mercado en el cual quieren iniciar el negocio).
  • Social/Cultural: (si el producto va de acuerdo a las tendencias sociales del país, si el ambiente cultural (creencias, tradiciones, etc.) es adecuado)
  • Tecnológico: (que tanto afecta los cambios tecnológicos al producto o servicio, si es propicio dicho ambiente).

Imagen: Factores del macro-entorno

Imagen: Factores del macro-entorno

2.9) Matriz FODA

Clasificar y ordenar las variables de acuerdo a la importancia (probabilidad que sucedan y el nivel de impacto)

Imagen: Matriz FODA

Imagen: Matriz FODA

2.10) Generar Mayor Cantidad de Estratégicas

En las siguientes tablas no es necesario llenar todas las celdas, solo aquellas que se puedan combinar para lograr los objetivos planteados.

Resaltar con negritas las 2 variables de cada estrategia

  • Estrategias Ofensivas (FO) Aprovechamientos de las Oportunidades del Entorno a través de las Fortalezas del negocio.
  • Ejemplo: Con mi fortaleza F1 alcanzaremos aprovechar la oportunidad O∞

Imagen: Generación de estrategias FO

Imagen: Generación de estrategias FO
  • Estrategias Defensivas (FA)Enfrentamiento de las Amenazas del Entorno a través de las Fortalezas del negocio. 
  • Ejemplo: Minimizaremos el impacto de la  amenaza A∞ a reves de mi fortaleza F2

Imagen: Generación de estrategias FA

Imagen: Generación de estrategias FA
  • Estrategias de Adaptación (DO) Reducción  de las Debilidades a través de las Oportunidades externas.
  • Ejemplo: Haciendo uso de la oportunidad O∞ podemos reducir la escasez de recursos D3

Imagen: Generación de estrategias DO

Imagen: Generación de estrategias DO
  • Estrategias de Supervivencia (DA) Reducción de exposición de las Debilidades del negocio o evitar las Amenazas del Entorno.
  • Ejemplo: Evitar el contacto de mi debilidad D∞ con las amenazas A∞ del entorno

Imagen: Generación de estrategias DA

Imagen: Generación de estrategias DA

2.11) Selección de Estrategias

Por cada objetivo a largo plazo elegir la estrategia o las estrategias que se pueden llevar a cabo.

Imagen: Selección de estrategias por objetivos

Imagen: Selección de estrategias por objetivos

Además de las oportunidades y sus fortalezas, las empresas deben considerar sus debilidades y amenazas

2.2.1 ANÁLISIS  F.O.D.A. #PNT

“Cuando la situación es adversa y la esperanza poca, las determinaciones drásticas son las más seguras.” (Tito Livio)

Imagen: Análisis Interno y Externo

Imagen: Análisis Interno y Externo

1) Concepto

También conocido como Matriz “DOFA”  o SWOT (en ingles) es la herramienta estratégica por excelencia más utilizada para conocer la situación real y la situación competitiva de una empresa en su Entorno. La situación interna se compone de dos factores que se pueden controlar: Fortalezas y Debilidades, mientras que El entorno se compone de dos factores no controlables: Oportunidades y Amenazas. (wikiPedia )

Están implícitos los objetivos propuestos para combinar de manera óptimos los recursos de la empresa con el entorno, logrando una ventaja competitiva sostenible.

2) Objetivo

Concentrar los resultados del análisis Interno y del análisis del Entorno externo, para observar las fortalezas, debilidades en el contexto de las oportunidades y amenazas en situaciones empresariales reales.

3) Componentes

3.1) Análisis Interno (intraentorno)

Variables que inciden positiva o negativamente en los objetivos del negocio y de las cuales tenemos capacidad de influencia sobre ellas. Para cada elemento de la lista indicar si es una fortaleza (+) o una debilidad (-)

  • Conocimientos, habilidades y actitudes de los integrantes
  • Responsabilidad y compromiso
  • Características emprendedoras más fuertes (liderazgo, creatividad, etc.)
  • Experiencia como empleado o emprendedor
  • Esfuerzo a realizar por los integrantes
  • Motivación de emprender de los integrantes
  • Equipamiento que puedan aportar
  • Contactos que puedan aportar los integrantes
  • Espación físico para trabajar dispobible
  • Ubicación de la compañía
  • Infraestructura de la empresa
  • Transporte a disposición del emprendimiento
  • Producción u operación
  • Procesos o sistemas automatizados
  • Costos de operación
  • Salarios y dividendos
  • Abastecimiento de insumos
  • Logística de entra y salida de productos
  • Características del producto
  • Precios competitivos
  • Control de calidad
  • Administración del recurso humano
  • Investigación y desarrollo
  • Tecnología adquirida obsoleta.
  • Mercadeo o ventas
  • Servicio post venta (seguimiento)
  • Mercadeo digital
  • Comunicacíon interna
  • Reputación empresarial.
  • Financiamiento propio o externo
  • Amigable con medio ambiente
  • Responsabilidad Social Empresarial
  • Legalización de la empresa
  • Contratos, acuerdos, patentes, conocimientos legales
  • Muchas otras variables

Ver la presentación Triangulo B-I (Dueño de Negocio o Inversionista). Los 8 principales componentes de un negocio

3.1.1) Matriz BCG

Imagen: Matriz BCG

Imagen: Matriz BCG

3.2) Análisis del Entorno

Tipos de entornosLos factores del entorno pueden ser Macro o Micro, lo importante es identificar qué factores tienen impacto en el negocio actualmente o en el futuro, y comprender cómo será probablemente el impacto que puede ser positivo o negativo.

El entorno puede estar en :

  • Estable: poco o ningún cambio, de forma lenta que permite identificarlo .
  • Dinámico: existen cambios a un ritmo moderado, no todos se pueden predecir.
  • Turbulento: gran cantidad de cambios impredecibles y rápidos, hay muchos participantes nuevos con cierto grado de experimentación con los modelos de negocio, la relación con proveedores, distribuidores y clientes  cambia constantemente y tienen un alto grado de desarrollo tecnológico.

3.2.2) Análisis PCDF (Microentorno)

Microentorno, variables PCDF

Proveedores

  • Precios y calidad de insumos o materia prima
  • Acceso a nuevas tecnologías.
  • Potenciales nuevos inversionistas.
  • Potenciales nuevos competidores.
  • Compensaciones
  • Otras

Competencia

  • Barreras de entrada al mercado
  • Competencia directa
  • Productos sustitutos
  • Nuevos competidores.
  • Otras

Distribuidores

  • Área geográfica que abarcan
  • Calidad del servicio
  • Costos
  • Mayoristas o minoristas.
  • Webstore (Almacenes Web)
  • Sistemas de pago en línea
  • Otras

Consumidor Final (Mercado Meta)

  • Tamaño y potencial del mercado.
  • Perspectivas futuras del mercado y la industria
  • Segmentación
  • Acceso a nuevos mercados.
  • Su poder adquisitivo
  • Cambios comportamiento de la clientela.
  • Otras

3.2.2) Análisis PEST (Macroentorno)

Macroentorno, variables PEST

Análisis que clasifica los factores del Macro-entorno en 4 grandes áreas, revelará muchas de las influencias externas que pesan sobre el rendimiento del negocio. Mucha de la información necesaria puede obtenerse de: diarios y periódicos, organismos gubernamentales, industriales o de investigación.

Se debe ser realista con respecto al conocimiento del entorno y  los cambios que puedan producirse;  se deben dejar de lado los factores que no se tiene certeza o buscar más información sobre ellos

Políticos y Legales

  • Política de la industria o región (disponibilidad de subsidios u otras asistencias)
  • Impuestos directos e indirectos (influyen en los gastos de los consumidores o sobre la rentabilidad de la empresa)
  • Política monetaria y la tasa de Interés (afecta la capacidad de la empresa de pagar deudas)
  • Política de tipo de cambio de moneda (efecto en importaciones y exportaciones)
  • Cambios del comercio internacional (nuevos mercados de exportación,  como China)
  • Ley sobre Competencia (normas obligatorias que se deben cumplir)
  • Regulaciones y Des-regulaciones
  • Políticas de Formación y Entrenamiento
  • Ley de Seguridad laboral u ocupacional
  • Leyes medioambientales
  • Burocracia y Corrupción
  • Conflictos políticos
  • Proyectos de obras públicas (impactando en nivel de demanda)
  • Otras

Económicos (Nivel País o Mundial)

  • Recesión o crisis económica mundial
  • Ciclo económico (periodos de crecimiento o recesión del país)
  • Desarrollo económico (país en: sud-desarrollo, en vías de desarrollo o desarrollado)
  • Niveles de empleo (afecta el poder adquisitivo de las personas y la pretensión salarial)
  • Inflación o deflación (aumento de las materias primas e insumos)
  • Valores de la Tasa de Interés y Tipo de cambio (mencionadas anteriormente)
  • Precio de propiedades (adquisición de locales físicos)
  • Otras

Sociales y Culturales

  • Tasa del crecimiento poblacional (tamaño del mercado potencial)
  • Estructura por edad (nivel total de ahorro comparado con el gasto de los consumidores y el tamaño relativo de la población activa)
  • Demografía
  • Migraciones (internas y externas; descapitalización humana, concentración de consumidores)
  • Cambios sociales y culturales
  • Rol de la mujer
  • Inseguridad
  • Otras

Tecnológicos

  • Inversión en I+D por parte de los competidores
  • Nuevos mercados creados por  las nuevas tecnologías
  • Métodos de producción eficientes
  • Indice de adopción de tecnologías (temprana o tardía)
  • Tecnologías de comunicación e información  pagadas o gratuitas
  • Otras

Matriz FODA

4) Preguntas

  • ¿Cómo puedo usar las fortalezas para lograr los objetivos?
  • ¿Cómo puedo superar las debilidades para lograr los objetivos?
  • ¿Cuáles son las oportunidades más importantes y cómo puedo sacarles ventaja?
  • ¿Cuáles son las amenazas más significativas y cómo podrían ser evitadas?
  • ¿Cómo pueden las variables analizadas, ayudarme a conocer mi empresa y seguir adelante?

5) Referencias

Índice de #Emprenda en Facebook

Sitio:

LINK: Crear Negocios para Móviles, No Desaproveches la Oportunidad
FNT01: Cuadrante del Flujo de Dinero (Cashflow de Robert Kiyosaki)
FNT02: Cuadrante del Flujo de Dinero (Parte 2)
FNT03: Emprendedor y Relación Con el Éxito
FNT04: Líder CEPs 1- Fijar Objetivos y Metas
FNT04: Líder CEPs 2- Buscar y Encontrar Información
FNT04: Líder CEPs 3- Exigir Calidad y Eficiencia
FNT04: Líder CEPs 4- Auto-confianza
FNT04: Líder CEPs 5- Crear Círculos de Apoyo
FNT05: Creativo CEPs 2- Fiel al Compromiso
FNT05: Creativo CEPs 4- Aprovechar Oportunidades.
FNT05: Creativo CEPs 5- Planificar Sistemáticamente.
FNT06: Preguntas Para la Personalidad Exitosas
FNT07: Equipo Emprendedor
FNT08: Investigación, Desarrollo e Innovación (I+D+i)
FNT09: Plan de Negocio
FNT09: Plan de Negocio

PLANTILLA1: Análisis Idea de Negocio
FNT10: Análisis de la Idea de Negocio
PLANTILLA1: Análisis Idea de Negocio
FNT11: Plan Estratégico
PLANTILLA2: Plan Estratégico
FNT11: Análisis FODA (Parte 2)
INVESTIGACIÓN: Análisis FODA
FNT11: Generación de Alternativas Estratégicas (Parte 3)
PLANTILLA3: Análisis FODA
FNT12: Plan Comercial
FNT12: Plan Comercial (Investigación de Mercado)
PLANTILLA4: Plan Comercial
ANEXO4.1: Cuestionario
ANEXO4.2: Informe de Resultados de Investigación de Mercado
PLANTILLA5: Mezcla de Mercadeo (Marketing Mix)
FNT13: Plan de Producción
FNT13: Plan de Producción (Parte 2)

ANEXO: Prototipo
PLANTILLA6: Plan de Producción u Operacional.
PLANTILLA7: Proceso de fabricación u operación
   ANEXO: Prototipo
 FNT14: Plan Organizacional
   FNT PLANTILLA 8: Plan Organizacional
FNT15: Plan Financiero
   FNT 15.1: Otro Punto De Vista Financiero
   PLANTILLA 9: Plan Financiero
FNT16: Plan De Puesta En Marcha
   PLANTILLA 10: Plan De Puesta En Marcha
FNT 17: Plan Contingencial
   PLANTILLA 11: Plan Contingencial y Análisis de Riesgo

6.2- Costos y Beneficios

Los costos y los beneficios del sistema propuesto de cómputo siempre deben considerarse en conjunto, ya que se interrelacionan y con frecuencia dependen entre sí. Aunque los analistas de sistemas proponen un sistema que satisfaga los requerimientos de manejo de la información, la decisión para continuar con la propuesta del sistema se basará en el análisis de los costos y los beneficios y no en los requerimientos de información. Muchas veces los beneficios se miden por su costo.

Los analistas de sistemas deben predecir ciertas variables fundamentales. En cierta forma, un analista de sistemas hará uso de una simulación, pero no puede confiar en el análisis de simulación para todo, si desea que su propuesta sea creíble, significativa y trascendente. El analista de sistemas cuenta con numerosos modelos de pronósticos. La condición principal es la disponibilidad de datos históricos. Si no se dispone de ellos, el analista “debe seleccionar alguno de los métodos de criterio como la estimación de la fuerza de ventas, encuestas que estimen la demanda del cliente, estudios Delphi (un pronóstico de consenso que se desarrolla de manera independiente por un grupo de expertos a través de una serie de iteraciones), la creación de escenarios o la elaboración de analogías históricas. Si se cuenta con datos históricos, la siguiente diferenciación entre las diversas técnicas implicará definir si el pronóstico es condicional o no condicional. Un pronóstico condicional implica que hay una asociación entre variables en el modelo o que existe una relación causal. El pronóstico no condicional implica que el analista no requiere encontrar o identificar una relación causal.

Cuando se cuenta con datos históricos cuantitativos, el analista de sistemas puede estimar tendencias futuras. El analista debe considerar datos relevantes y gráficos para determinar si existe cierta tendencia. Hay tres tendencias comunes como son: lineal, estacional y cíclica. Los comportamientos fluctuantes también se identifican como tendencias estaciónales si se repiten anualmente. Si el patrón se repite regularmente, pero no anualmente, constituye una tendencia cíclica. El analista deberá identificar el tipo de tendencia cuando estime la demanda, la carga de trabajo y los factores económicos.

Las tendencias pueden estimarse de diferentes maneras. Las técnicas de mayor uso son:

  1. Evaluación gráfica
  2. Método de mínimos cuadrados
  3. Método de promedios móviles.

Los costos y los beneficios pueden ser tanto de naturaleza tangible como intangible. Ambos deben tomarse en cuenta en las propuestas de los sistemas.

Los beneficios tangibles son las ventajas económicas cuantificables que obtiene la organización a través del uso del sistema de información. Ejemplo de beneficios tangibles serían:

  1. El incremento en la velocidad de proceso
  2. Contar con cierta información que de otra manera seria inaccesible
  3. La obtención de información con mayor puntualidad que en el pasado
  4. Aprovechar el mayor poder de cálculo de las computadoras
  5. Reducir el tiempo requerido por los empleados para concluir una tarea especifica

Aunque la medición no siempre es fácil los beneficios tangibles pueden estimarse en términos de pesos, recursos o tiempo ahorrados.

Algunos de los beneficios que la organización obtiene a través de un sistema de información son difíciles de cuantificar, pero no por ello dejan de ser importantes. A éstos se les conoce como beneficios intangibles. Los beneficios intangibles incluyen:

  1. La mejora del proceso de toma de decisiones
  2. El incremento de precisión
  3. El llegar a ser más competitivo en los servicios al cliente
  4. El mejoramiento de la imagen del negocio
  5. El incremento de la satisfacción de los empleados al eliminar tareas de naturaleza tediosa.

Los beneficios intangibles son extremadamente importantes y pueden tener implicaciones de relevancia para el negocio, en su relación con personas tanto ajenas como propias de la organización. Aunque los beneficios intangibles del sistema de información son elementos importantes para decidir si se procede o no con su implantación, un sistema soportado exclusivamente por beneficios intangibles no tendrá éxito.

Los costos tangibles son aquellos que pueden proyectar con precisión el analista de sistemas y el personal de contabilidad. Dentro de los costos tangibles se incluyen el costo del equipo, como computadoras y terminales, el costo de los recursos, el costo del tiempo del analista de sistemas, el costo del tiempo de programación y de otros salarios del personal. En general estos costos se encuentran definidos o pueden localizarse de manera sencilla, siendo los costos que requerirán del gasto de efectivo de la empresa.

Los costos intangibles son difíciles de estimar y pudieran no conocerse. Entre ellos están el costo de perder una ubicación competitiva, perder puntos por no ser el primero en innovar, o ser líder en un sector; demeritar la imagen de la compañía debido al descuido continuo de los clientes y la toma de decisiones ineficaz por la falta de información o por su extemporaneidad. Es imposible proyectar con precisión una cantidad monetaria para los costos intangibles. Con el fin de que el tomador de decisiones pondere lo que se ha propuesto, así como sus implicaciones deben incluirse los costos intangibles, aun cuando no se cuantifiquen.

Existen técnicas excelentes para la comparación de los costos y los beneficios del sistema propuesto. Entre ellas se tiene:

  1. El análisis del punto de equilibrio,
  2. El retorno de la inversión,
  3. El análisis de flujo de efectivo y
  4. El valor presente.

Todas estas técnicas proporcionan con precisión información sobre el valor del sistema propuesto.

El uso de los métodos anteriores depende en primera instancia, de cuál metodología se emplee y se acepte dentro de la organización. Sin embargo, como lineamientos generales conviene enunciar los siguientes:

  1. Utilizar el análisis del punto de equilibrio si el proyecto necesita justificarse con base en su costo y no en sus beneficios; o si los beneficios no mejoran de manera substancial con el sistema propuesto.
  2. Utilizar el retorno de la inversión cuando los beneficios tangibles mejoren y sean un argumento convincente para el sistema propuesto.
  3. Utilizar el análisis de flujo de efectivo cuando el proyecto sea costoso, en relación con el tamaño de la empresa o cuando el negocio se vea afectado de manera significativa por una gran sangría de fondos.
  4. Utilizar el valor presente cuando el periodo de la inversión sea largo o cuando el costo del financiamiento sea elevado.

Es importante mantener de manera sistemática un análisis costo/beneficio para cualquier método que se elija, de forma tal que se pueda explicar y justificar ante la administración.

Adquisición del Equipo

Es importante inventariar inmediatamente el equipo adquirido, procurando que la configuración haya sido hecha por el soporte técnico del fabricante o especialistas. Si el equipo es traído de otro país es muy difícil tener soporte técnico o reclamar por garantías si alguna parte viene dañada.

5.5- Proceso del Análisis de Riesgos

Enseguida, y con la finalidad de ampliar un poco más el panorama de las posibles vulnerabilidades que pueden comprometer la información de la empresa, se muestra una clasificación concisa de blancos, tipos de ataque y el método de uso más común para lograrlo. Si deseamos analizar los diferentes ámbitos de nuestra empresa, es necesario que tengamos conocimiento sobre cuáles vulnerabilidades son las más comunes cuando nos referimos a los sistemas de  información.
En esta tabla se observan ejemplos de los métodos más comunes utilizados por personas con intenciones maliciosas para el ataque o infiltración a nuestros sistemas. Es importante mencionar que estos son sólo algunos de los ataques potenciales a los que nuestra empresa está expuesta.
Un análisis de riesgos tradicional se forma por medio de un conjunto de actividades preestablecidas que tiene como objetivo identificar el proceso a considerar, saber cuáles son sus elementos o partes constituyentes, cuáles los equipos necesarios en para efectuarlo.

Relevancia de los procesos de negocio y sus activos en el análisis de la seguridad

Para que el análisis de riesgos tenga en realidad un efecto positivo en la empresa, es necesario identificar las diferentes prioridades a lo largo de cada uno de sus procesos de negocio. De esta forma podremos realizar un plan estratégico basado en la importancia y el impacto de nuestras acciones que beneficien la seguridad de la información de nuestra compañía.

Identificación de la Relevancia

Al hacer un análisis de riesgos, es importante identificar la relevancia que tienen los procesos de la empresa en la organización, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente.
Relevancia de cada uno de los procesos de negocio en la empresa, es un punto clave a considerar durante la realización del análisis de riesgos. Dicha relevancia será de gran importancia para identificar el rumbo de las acciones de seguridad a implantar en la organización.

Identificación de la Relevancia de los  procesos de negocio

Es determinante para que las acciones de seguridad sean dirigidas a las áreas más críticas, o de mayor prioridad. Este trabajo permite dar prioridad a las acciones que son más urgentes, al dirigir los costos y optimizar los recursos donde realmente sean necesarios. Para entender mejor lo anterior revisemos los siguientes ejemplos: Ejemplos
En la banca financiera las acciones de seguridad debieran probablemente enfocarse principalmente en aquellos procesos que involucren transacciones monetarias, que son aquellas de mayor prioridad dada la naturaleza de su negocio. Por otra parte, si en una empresa existen áreas que son comúnmente atacadas y afectadas, es posible que sea necesario atender primero estos procesos dado los riesgos que pudieran presentar para la seguridad de la información en la empresa. O bien, si en la empresa existen áreas que son importantes para la reducción de costos, pudiera ser importante considerarlas como clave y de alta prioridad para las acciones de seguridad por tomar.
<!– Identificación de la relevancia de la seguridad en los procesos de Ejemplos
El siguiente diagrama muestra la manera en la que podemos tomar alguno de los procesos importantes en nuestra empresa e identificar los posibles ataques o las áreas con mayor vulnerabilidad para después de un análisis, saber hacia dónde dirigir los esfuerzos de más prioridad y mayor capacidad de recursos.
La identificación de los riesgos de seguridad permite aclarar las ideas e identificar los posibles riesgos para la seguridad. La información se recopila en forma de amenazas, vulnerabilidades, puntos débiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fácil de recordar para identificar las amenazas y los posibles puntos débiles.
La suplantación de identidades es la capacidad de obtener y usar la información de autenticación de otro usuario. Un ejemplo de suplantación de identidad es la utilización del nombre y la contraseña de otro usuario.
La alteración de datos implica su modificación. Un ejemplo sería alterar el contenido del cookie de un cliente.
El repudio es la capacidad de negar que algo haya ocurrido. Un ejemplo es que un usuario cargue datos dañinos en el sistema cuando en éste no se puede realizar un seguimiento de la operación.
La divulgación de información implica la exposición de información ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgación de información es la capacidad de un intruso para leer archivos médicos confidenciales a los que no se les ha otorgado acceso.
Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consiste en dejar un sitio Web inaccesible, al inundarlo con una cantidad masiva de solicitudes HTTP.
La elevación de privilegios es un proceso que siguen los intrusos para realizar una función que no tienen derecho a efectuar. Para ello se explota una debilidad del software o se usan credenciales de forma ilegítima.

–>

Identificación de la Relevancia de los Activos

Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, qué tan importante es para nuestro negocio en comparación con el resto de los activos de la empresa para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario.
La relevancia de los activos en los negocios de la empresa, marcará el rumbo definitivo de las acciones de seguridad en la empresa.
Para alcanzar el objetivo de identificar la relevancia de los activos, el análisis de riesgos busca proveer datos cuantitativos y cualitativos sobre el nivel de seguridad existente en la organización, para que se puedan realizar las acciones y cumplan  su propósito en cuanto a la seguridad de la información, como garantizar su confidencialidad, integridad y disponibilidad.
En verdad, el análisis de seguridad es el reconocimiento de todo el entorno en el que se pretende implementar seguridad, para que puedan cumplir los siguientes propósitos:

  • Identificar los puntos débiles para que sean corregidos, es decir, con esto disminuir las vulnerabilidades presentes en los activos de los procesos de negocios.
  • Conocer los elementos constituyentes de la infraestructura de comunicación, procesamiento y almacenamiento de la información, para dimensionar dónde serán hechos los análisis y cuáles elementos serán considerados.
  • Conocer el contenido de la información manipulada por los activos, con base en los principios de la confidencialidad, integridad y disponibilidad.
  • Dirigir acciones para incrementar los factores tecnológicos y humanos en las áreas críticas y desprotegidas.
  • Permitir una gestión periódica de seguridad, con el objetivo de identificar nuevas amenazas y vulnerabilidades, además de la verificación de la eficacia de las recomendaciones provistas.

Definición del Equipo Involucrado para Entrevistar a los Usuarios.

Uno de los aspectos importantes para la realización del análisis de riesgos es dimensionar de forma adecuada el recurso humano requerido para su  elaboración. Esto es importante dado el costo que representa para la empresa pero de la elección que hagamos de este recurso depende el éxito del análisis de riesgos. La entrevista a los usuarios nos permite conocer cada uno de los procesos de la empresa a través de los ojos de los actores que los llevan a cabo. Además tienen la oportunidad de recibir una retroalimentación que nos permite conocer a mayor profundidad los posibles riesgos en sus actividades diarias.

Integración del Equipo involucrado

La definición del equipo humano es muy importante, tanto para dimensionar la fuerza de trabajo necesaria para la realización del análisis de riesgos (analistas de seguridad), como para aquellos que se encargaran de entrevistar a las personas involucradas en procesos de negocio (entrevistadores) que proveerán de información vital para el proyecto de análisis de riesgos; y además, serán los responsables por el acceso a los activos para la recolección de información.
En la gráfica muestra otras consideraciones que al momento de definir el equipo de trabajo involucrado en el análisis, tienen que ser tomados en cuenta.

Entrevista a los usuarios

Junto con el análisis técnico de riesgos dentro de la empresa, el equipo de trabajo tendrá la tarea de realizar entrevistas a los empleados que participan en los diferentes procesos de negocio. Dichas entrevistas permitirán, entre otras cosas, recabar información que ayudará en la identificación de los procesos críticos de la compañía.
La entrevista a usuarios de los procesos de negocio permite:

  • Obtener detalles sobre cómo son gestionados, implementados y utilizados.
  • Hacer un mapeo de la criticidad de estos procesos frente a las circunstancias organizacionales a que está sometido,
  • Definir el nivel de capacitación necesaria del equipo involucrado en su sustentación
  • Conocer la forma con que se da el flujo de información dentro del proceso,
  • Conocer la forma de uso y tratamiento de sus productos derivados, entre otras cosas.

Es fundamental que los usuarios de los procesos de negocios (tanto quienes los administran como aquellos que los respaldan y utilizan) muestren el grado de conciencia que tienen con relación al nivel crítico de la información que manejan. De esta manera, es posible evaluar hasta qué punto el equipo involucrado es consciente de los procedimientos de seguridad necesarios para la continuidad de dicho proceso.
Las entrevistas a los usuarios pueden servir como guía de los análisis técnicos, puesto que rastrean a los involucrados con la administración de los activos que serán analizados y considerados con relación a las vulnerabilidades que puedan desencadenar amenazas al proceso de negocio. También en dichas entrevistas pueden ser detectados nuevos elementos humanos o tecnológicos que hacen parte del proceso de negocio y que también necesitan ser analizados.

Análisis Técnico de Seguridad

El análisis técnico de seguridad, representa una de los puntos clave dentro del análisis de riesgos en la compañía. Dado que como hemos mencionado antes, la información es hoy en día uno de los principales activos en las empresas y dicho análisis indicará el nivel de seguridad con el que se cuenta actualmente dentro de la empresa.

A través de éste se hacen las colectas de información sobre la forma en que los activos: fueron configurados, estructurados en la red de comunicación, y la forma en que son administrados por sus responsables.
El análisis técnico es la forma en que se obtiene la información específica de como son gestionados en general los activos de la empresa. De esta forma, es posible identificar, en las entrelíneas de las configuraciones, la forma en que son utilizados y manipulados, buscando identificar vulnerabilidades de seguridad.
En el proceso de análisis técnico de seguridad, diversos tipos de activos son considerados, según sea el ámbito definido al inicio del proyecto, con el  propósito de monitorear las vulnerabilidades presentes a través de errores de configuración o desconocimiento de las posibilidades de ataque por amenazas potenciales.
Dentro de los activos tecnológicos analizados técnicamente, podemos listar los siguientes:

En las Estaciones de trabajo

Son la forma con que estas están configuradas para evitar que los usuarios (con frecuencia de forma inconsciente) permiten la acción de amenazas.

En los Servidores

Los servidores son analizados con prioridades en relación a sus normas de acceso definidas. Se revisan cuáles son los tipos de usuarios que tienen derechos a cuál tipo de información, con base en la clasificación y con relación a la confidencialidad de las informaciones para identificar el exceso o falta de privilegios para la realización de tareas.
El enfoque principal se encuentra en los ficheros de configuración y de definición de usuarios que tienen derechos de administración del ambiente, una vez que son los privilegios de administración los que más amenazan los entornos de tecnología y también son los más anhelados por los invasores.
La interacción que estos servidores tienen con las estaciones de trabajo de los usuarios, con las bases de datos y con las aplicaciones que respalda son el objeto del análisis técnico de servidores, independientemente de sus funciones: como ficheros, correo electrónico, FTP, Web y otras.

En los Equipos de conectividad

El análisis de equipos de conectivicdad está centrado en la detección de configuraciones que ponen en riesgo las conexiones realizadas por la red de comunicación que respalda un proceso de negocio.
Se debe identificar en este análisis la manera en que estos activos han sido configurados: dispositivos de ruteo, parámetros, módems, estaciones nodales, FRADs (dispositivo de acceso a transmisión de cuadro), puentes y otros.
Estos equipos deben poseer un nivel de seguridad muy alto, pues por lo general se sitúan en la entrada de una red de comunicación. Al aplicarse un alto nivel de configuración a estos activos, el acceso externo a la red del proceso de negocio, estará naturalmente más protegido.

En las Conexiones

Las conexiones de comunicación entre las redes deben estar seguras: fibra óptica, satélite, radio, antenas… Para eso, es importante realizar actividades de análisis sobre la forma con que las conexiones están configuradas y dispuestas en la representación topológica de la red. Esto garantiza que la comunicación sea realizada en un medio seguro, encriptado (cifrado) si fuere necesario, libre de posibilidades de rastreo de paquetes o mensajes, y también como el desvío de tránsito para otros destinos indeseados.

En las Bases de datos

Las bases de datos representan un elemento de importancia extrema en la cadena comunicativa, pues almacenan informaciones relativas a los procesos de negocio y con frecuencia, sobre los usuarios de los procesos de negocio. La manera en que la base de datos conversa con las demás aplicaciones de lectura de sus informaciones es uno de los primeros elementos que deben ser analizados. También son evaluados los niveles de confidencialidad, integridad y disponibilidad de las informaciones que allí están, para que se puedan identificar las necesidades de protección y configuración de seguridad para que la información disponible esté de acuerdo con los principios de la seguridad de la información. En las bases de datos son evaluados los privilegios de los usuarios con relación a los permisos de uso, principalmente en lo que se refiere al acceso de aplicaciones que hacen la lectura y escritura de estas informaciones.

En las Aplicaciones

Las aplicaciones son los elementos que hacen la lectura de las informaciones de un proceso de negocio u organización. De esta manera son un elemento muy crítico, puesto que están haciendo la interfaz entre diversos usuarios y diversos tipos de información con relación a la confidencialidad, integridad y disponibilidad. Se considera, por lo tanto, que las aplicaciones deben garantizar un acceso restrictivo, con base en los privilegios de cada usuario, las informaciones que ellas manipulan, al garantizar que sus configuraciones estén de acuerdo con los principios de seguridad establecidos (muchos de los cuales son reconocidos por organismos internacionales) con relación a la disponibilidad de la información, la manera con que la aplicación la lee, guarda y transmite, la forma cómo la aplicación fue desarrollada, cómo son actualizadas y almacenadas sus fuentes, y otras más.

El análisis de riesgos busca también identificar en el entorno físico cuáles son las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. Por ello, se observan y consideran una serie de aspectos dentro de un entorno organizativo en el cual se realizan los trabajos de análisis.
Nuestro entorno debe estar organizado de tal forma que garantice la continuidad y el buen desempeño de las actividades individuales como la manutención debida de los activos.
Preocupaciones como el exceso de humedad o calor, la disposición de los cables de datos y eléctricos, la existencia de fallas en la organización del entorno, pueden exigir la reestructuración del espacio físico para permitir un área de trabajo que sea segura, y por lo tanto, la información de la organización se encuentre también segura. Eso quiere decir que aspectos como control de acceso, disposición topográfica de áreas y activos críticos, salubridad de los ambientes de trabajo (cuidado de la salinidad, humedad, luz, viento, lluvia, inundaciones) deben ser analizados bajo la perspectiva del análisis de seguridad física.

Análisis de seguridad física
El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad.
Estos ambientes deben ser observados con relación a lo siguiente:
Disposición organizativa Se considera la disposición organizativa en especial sobre: La organización del espacio con relación a cómo están acomodados los muebles y los activos de información que las áreas de circulación de personas en lugares de alto transito estén libres de activos valor o importancia que los activos de alta importancia se ubiquen en áreas libres de acceso de personas que no están autorizadas para operarlos.
Sistemas de combate a incendio Se considera la disposición de los mecanismos de combate a incendio, cuidando que estén en los lugares adecuados: Los detectores de humo, los aspersores de agua, los extintores de incendio, entre otras cosas.
Control de acceso Se ocupa de la disposición de sistemas de detección y autorización de acceso a las de personas, para esto se hace uso de: Cámaras de video, hombres de seguridad, trinquete para acceso, mecanismos de reconocimiento individual, entre otros.
Exposición a clima y medio ambiente Disposición de las ventanas y puertas de áreas críticas. Se preocupa que se encuentren ubicadas próximas a activos críticos, Si los activos críticos reciben luz solar o posibilidad de amenaza causadas por los fenómenos de la naturaleza, como viento o lluvias fuertes.
Topografía Se interesa en la localización del centro de procesamiento de datos, de la sala de cómputo o del sitio de servidores, o cualquier área crítica con relación a la topografía del terreno Si se encuentran en el subsuelo, al alcance de inundaciones, próximas a áreas de riesgo como proximidad al mar, ríos o arroyos o áreas de retención de agua o con posibilidad de pérdidas de cañerías hidráulicas.

Revisar los planos de las oficinas para localizar salidas de emergencia y dispositivos de prevención de incendios y verificar que cumplan con las normas de seguridad necesarias. Analizar la localización de los activos de alto valor de la empresa y verificar que se encuentren en áreas de acceso restringido.

Relevancia de los activos para los Resultados

En el análisis de riesgo se sugiere la valoración de la relevancia del proceso de negocio. Esta valoración permite tener una idea del impacto que un incidente de seguridad puede causar al proceso de negocio, al llevar en consideración el valor estratégico que posee para la organización como un todo.
Cuanta mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso.
La consideración de la relevancia también permite que sean dirigidas acciones de corrección de problemas en los activos de mayor prioridad en el momento del análisis, pues son parte de procesos de negocio de alta relevancia.

Los resultados del análisis de riesgos

Una vez que se realiza el análisis de riesgos, la organización tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.
Cuando se sabe que las innovaciones tecnológicas son cada vez más recuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos. Una vez que se tienen las recomendaciones, se inician las acciones de distribución de ellas para corregir el entorno y reducir los riesgos a que está sometida la infraestructura humana, tecnológica, de procesos y física que respalda a uno o más procesos de negocio de una organización. De esa manera es posible implementar en los activos analizados, y también en los activos de mismas características que los analizados, las medidas de corrección y tratamiento de las vulnerabilidades.
Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad para corrección de las vulnerabilidades.
El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.
Comprender la importancia real del análisis de riesgos con el primer paso en la implementación de seguridad, al permitir que se conozca todo el entorno en que se realiza un proceso de negocio del punto de vista procesal, físico, humano y tecnológico.
A partir de este diagnóstico, tanto de las vulnerabilidades como del impacto que ellas pueden traer al negocio (obtenido con la puntuación de la relevancia de los procesos de negocio y sus activos) es posible implementar medidas correctivas, preventivas y de detección que se hagan necesarios para el alcance de los objetivos de la organización.