Etapas de la Entrevista para Entender el Problema

A) Bienvenida (Prepara el Escenario) 2 Minutos

Brevemente prepare el escenario para ver cómo trabaja la entrevista.

Muchas gracias por tomarse tiempo para hablar con nosotros ahora.

Actualmente trabajamos en una herramienta o aplicación que ayuda a los
 [adoptadores tempranos] a resolver [principal problema]. La idea de la
 herramienta que vino desde nuestra experiencia o desde una necesidad.

Antes de ir más lejos en el proyecto, queremos hacer una pausa para tomar
 tiempo y aprender cómo los [adoptadores tempranos] solucionan el problema
 hoy en día y si hay problemas reales que valen la pena solucionar.

La manera en que la entrevista será: Empezare describiendo los principales
 problemas que estamos abordando y después le preguntaré si uno de ellos
 le resuena.

Me gustaría destacar que todavía no tenemos un producto terminado aún y
 nuestro objetivo es aprender de usted – no es venderle o hacer el
 lanzamiento del producto a usted.

¿Le parece bien a usted?

B) Recolectar Datos Demográficos (Validar el Segmento De Consumidores) 2 Minutos

Hacer algunas preguntas introductorias para recolectar datos básicos demográficos e identificar cómo segmentar y calificar a sus primeros adoptantes.

Características relevantes de personas que tienen esos problemas

Antes de ir a los problemas, me gustaría preguntar ¿dónde escucho sobre
 [una de las soluciones actuales al problema]?

De acuerdo. ¿Puede decirme un poco más sobre ese [bien o servicio] que
 soluciona el [problema principal]?

¿Cuándo ha sido lanzado al mercado?

¿Por cuánto tiempo lo ha utilizado?

¿Conoce a algunos de los creadores?

¿Está familiarizado con este [bien o servicio]?

¿Lo está aplicando a los [problemas principales]?

C) Cuenta Una Historia (Poner el Problema en Contexto) 2 Minutos

Ilustra los 3 problemas principales con una historia.

Grandioso, gracias. Así que  deje me decirle sobre los problemas que
 estamos abordando:

El primer problema que encontramos es [problema del principio del proceso].
 Sabemos la importancia de utilizar [la acción actual].

También, una vez solucionado el problema del principio, nos dimos cuenta
 que el siguiente problema es [Segundo problema].

Otro problema que constantemente enfrentamos es [tercer problema].

D) Calificación de los Problemas (Validad el Problema Principal) 4 Minutos

Indicar los 3 primeros problemas y solicitar la calificación de tu prospecto desde su perspectiva

Así que para resumir:

El principal problema es [problema principal de acuerdo al prospecto].

El Segundo problema es [problema secundario].

Y el tercer problema es [Problema en tercer lugar de acuerdo al
 prospecto]. 

¿Cuáles de estos problemas le resuenan más?

¿Ha tenido algún otro problema que no hemos mencionado?

¿En qué orden los califica?

E) Explore el Punto de Vista del Consumidor (Validar la Solución)  15 Minutos

Este es el corazón de la entrevista. El mejor guion aquí es “no tener guion”.

Ve por cada problema en turno. Pregúntale cómo lo solución hoy en día. Después siéntate y escucha

Déjalos ir  dentro de muchos detales que ellos deseen. Haga preguntas de seguimiento pero no las conduzca ni trate de convencerlo sobre los méritos de un problema (o solución).

En adición a sus  respuestas sencillas (crudas), juzgar su lenguaje corporal y el tono de voz, para tener una idea de cómo calificarían el problema:

  • “Debe solucionarse”, probaré esto (imprescindible),  Urgencia por solucionar
  • “Agradable-si se soluciona (que bueno sería)”, tomaré esta solución recomendada, poca urgencia
  • “No es necesario solucionarlo por el momento”, esperaré, no hay urgencia
Así que, ¿Cómo soluciona el [problema No.1] hoy en día?

Realiza preguntas se seguimiento para entender los pasos (flujo de
 trabajo) de la forma que utiliza él entrevistado.

F) Cerrar la Entrevista 2 Minutos

Hemos terminamos con todas las preguntas relacionadas con las hipótesis y tienes dos más cosas que preguntar.

La primera es pedir permiso para darle seguimiento a la entrevista Problema/Solución. Tu objetivo es  establecer un ciclo de retroalimentación continuo con los prospectos y convirtiendo eventualmente alguno  de estos prospectos en consumidores.

Lo Segundo es preguntar por otras personas que podrían ser Entrevistados potenciales.

Muchas gracias por su tiempo el día de hoy. Ha sido de mucha utilidad.

Como mencione al inicio, esto no es un producto termina. Basado en lo que
 hablamos hoy, ¿estaría dispuesto a ver el bien o servicio final cuando
 tengamos algo listo?

También, estamos buscando entrevistar a otras personas como usted. ¿Conoce
 a otro [adoptador temprano] que tenga [característica del adoptador
 temprano] que usted crea que podríamos entrevistar?

G) Documentar los Resultados 5 Minutos

Toma los siguientes 5 minutos inmediatamente después de la entrevista para documentar  tus resultados mientras están frescos en tu mente.

Te ayudará crear una plantilla como la de abajo para que puedas rápidamente anote las respuestas para la hipótesis que has formulado para validar.

Recomiendo tempranamente que ejecutes la entrevista con otra persona cuando sea posible para mantener los resultados de los objetivos. Cada uno de ustedes debería independientemente llenar el formulario. Después tener una sesión informativa después donde comparen las  notas y hagan la entrada final en cualquier “sistema” que usen para registrar los resultados de la entrevista.

Plantilla Documentar Entrevista del problema  Fecha:
Información de contacto
Nombre: Email:
Datos Demográficos

 

Título y Rol: Empresa:
Solución:
Lanzamiento: Conoce al creador:
[Características del adoptador temprano]:
Problema 1: [Problema principal]
Calificación por Prioridad: Nivel de dolor­
Cómo el problema es abordado hoy en día:
Problema 2: [Problema segundario]
Calificación por Prioridad: Nivel de dolor
Cómo el problema es abordado hoy en día:
Problema 3: [Tercer problema]
Calificación por Prioridad: Nivel de dolor:
Cómo el problema es abordado hoy en día:
Notas:
Referido: Nombre, email y teléfono

Presentar todas las plantillas llenadas por cada entretivas y cada observador de la entrevista

Hacer un resumen de todas las plantillas de documentación de la entrevista de trabajo

Fuente:

Maurya, A. (2010). Running Lean.

Determinar las Hípótesis Que Necesitamos Validar

Determinar Qué Necesitamos Aprender

Antes de definir una solución, tenemos que realmente entender el problema.

Está Entrevista se trata de validar nuestras hipótesis sobre la pareja “Problema y Consumidor”. Anteriormente identificamos los 3 problemas principales y quiénes pensamos lo necesitan solucionar con urgencia.

Específicamente las respuestas de:

Segmento de los consumidores: ¿Quién tiene el dolor?

  • ¿cómo identificar a los adoptadores tempranos?

Problema: ¿Qué es valioso resolver?

  • ¿Cómo el consumidor Califica los 3 problemas principales?
  • ¿Cuál es el nivel de dolor?
    • Probaré esto (imprescindible), Urgencia por solucionar
    • Tomaré esta solución probada, Hay recomendaciones que apoyan
    • Esperaré No hay urgencia
  • ¿Cómo los consumidores están solucionando el problema hoy en día?

Formular Hipótesis Validables

Para que los resultados de la entrevista sean útil en la toma de decisión (accionables), necesitamos un paso adicional hacer las hipótesis validables

Con la definición de los consumidores específicos y sus tres principales problemas en el modelo de negocio identifique las hipótesis sobre los consumidores específicos

  1. Hipótesis: Nuestros primeros consumidores (adoptadores tempranos) son aquellos que tienen [está primera característica]
  2. Hipótesis: Nuestros primeros consumidores (adoptadores tempranos) son aquellos que tienen [está segunda característica]
  3. Hipótesis: El problema principal del consumidor será [problema principal].
  4. Hipótesis: El problema secundario del consumidor será [problema secundario]…
  5. Hipótesis: El problema en tercer lugar del consumidor será [tercer problema]…

El Nivel de dolor (o urgencia), Debe existir una expectativa implícita de que los problemas son “imprescindibles”. De lo contrario, no vale la pena resolver.

  1. Hipótesis: El [problema principal] del consumidor será calificado como el problema más grave.
  2. Hipótesis: El [problema secundario] del consumidor será clasificado como un problema grave.
  3. Hipótesis: El [tercer problema] del consumidor será clasificado como un problema que se tiene que resolver.
  4. Hipótesis: Adoptadores tempranos actualmente solucionan su problema principal con…
  5. Hipótesis: Adoptadores tempranos actualmente solucionan su problema secundario con…
  6. Hipótesis: adoptadores tempranos actualmente solucionan su tercer problema con…

Fuente

  • Maurya, A. (2010). Running Lean.
  • Blank, S. (s.f.). The Four Steps to the Epiphany.

Qué metodologías usar para investigar al consumidor final

Akio Morita
No hagas investigación de mercado

 

Cuándo uno hace investigación del mercado, donde se encuentras nuestros clientes potenciales, pero también los competidores, generalmente se utiliza la encuesta con preguntas cerradas, con un mayor alcance si está en línea utilizando Google Drive (antes Docs) por ejemplo, u otros sitios especializados en realizar encuestas gratis o por un pago que los emprendimientos (startup) no tienen la posibilidad de hacer. Y a través de otros servicios de Internet puedes llegar a transmitir el cuestionarios a más gentes, aunque muchas veces tienes que poner un generador de interés como lo hacen las grandes compañías cuando te ofrecen participar en la rifa de un iPad al llenar la encuesta, en el caso de las micro y pequeñas empresas el generador de interés puede ser un documento o vídeos relacionados con la solución que ofreceremos. Otra metodología puede ser las entrevistas donde el tiempo es limitado y es imposible hacerlo con todos los clientes, es más no se puede realizar en pocos días ni con la muestra de nuestro universo estadístico, pero si nos permite profundizar más en las respuestas de cada entrevistado y expandirse a los subtemas que la conversación está sacando.

El problema que las dos metodologías mencionadas anteriormente es que tiene escaso poder predictivo, por lo tanto la capacidad de crear un producto innovador  es casi nulo, por las siguientes razones

  • El cliente tiende a dar respuestas esperadas por el entrevistador, simplemente para quedar bien o porque las preguntas están sesgadas con el nombre de la empresa o de los competidores
  • Su imaginación está limitada por experiencias pasadas, si tuvo problemas con productos de los competidores, posiblemente piense que nuestro producto tenga las mismas fallas.
  • Desmemorización de las emociones que sintió cuándo utilizo el producto por primera vez
  • La gente no siempre sabe lo que quiere o no lo expresa correctamente, tiene poca capacidad de explicar su comportamiento o aparenta ser lo que realmente no es
  • Y si lo sabe el cliente pide funciones imposibles de hacer con las tecnologías existentes en un momento en específico o los costos soy muy altos

Generando productos fracasados porque no tuvieron suficiente contacto con el cliente:

  • Ideas innovadoras aplicando las nuevas tecnologías pero implica que los clientes cambien sus hábitos o costumbres
  • Ideas preferidas por la mayoría pero no por sus clientes potenciales
  • Dispositivos de alta tecnología, pero difíciles de comercializar
  • Productos con un éxito local, pero que fracasan en otros áreas geográficas donde los clientes son diferentes.

No hubiera fabricado el

Entonces podemos combinar las metodologías anteriores con la observación directa elaborando el mapa de empatía y el perfil del mercado-meta

Aspectos principales para realizar una #investigaciónDeMercado

2.3.1 INVESTIGACIÓN DE MERCADO #PNT

“Todavía no he podido responder, a pesar de mis treinta años de investigación del alma femenina, es: ¿qué quiere una mujer?” (Sigmund Freud)

El Mercado: segmentos y nuevos mercados

Imagen: El Mercado

1) Concepto

Método para recopilar y analizar la información para encontrar hallazgos relacionados con una situación específica en el mercado y segmentarlo. Se utiliza para tomar decisiones sobre:

  • Introducción de un nuevo producto o servicio
  • Canales de distribución adecuados
  • Cambio de estrategias de promoción y publicidad.

Relacionado con I+D+i

2) Objetivo

Obtener datos relevantes sobre el mercado y la competencia, para tomar decisiones mercadológicas. Reflejando: cambios de conducta del consumidor, cambios en hábitos de compra, opinión de consumidores, etc.

3) Beneficios.

  • Retroalimentación de los clientes actuales y potenciales respecto al producto.
  • Identifica oportunidades del mercado
  • Identifica futuros problemas
  • Minimizar los riesgos de toma de decisión
  • Evaluar los resultados de sus esfuerzos de mercadeo

4) Componentes

  1. Universso o población estadística (mercado potencial)
  2. Muestra estadística (Calculadora en línea)
  3. Método de Investigación
  4. Instrumento. cuentionario (formulario en línea)
  5. Conclusiones de resultados en gráficos y tablas

4.1) Métodos de Investigación

  • Encuesta: se diseña un cuestionario recomendablemente con preguntas cerradas (selección múltiple) que examinan una muestra (grupo considerable de personas que representan de la población objeto de estudio) con el fin de inferir conclusiones sobre la población estadística.
  • Entrevista: se diseña un cuestionario con preguntas abiertas, se procede hacer las entrevista líderes de opinión expresando información valiosa.
  • Grupo Focal (Focus Group): se eligen individuos que representen la población y se reúnen para hacerles preguntas u observar su comportamiento.
  • Observación: Se eligen el objeto de estudio y se registra directamente el comportamiento

Consumidores van a desear algo nuevo

5) Proceso de Investigación

  1. Determinación de las necesidades de información
  2. Determinación de la fuente
  3. Definición del problema y objetivo de la investigación
  4. Establecimiento del método e instrumento de investigación (diseño, creación y distribución)
    1. Aportación de incentivo para entusiasmarlos a contestar preguntas
  5. Procesamiento o tabulación
  6. Análisis de datos
  7. Conclusiones e interpretaciones de los resultados (pronóstico de venta, perfil de segmentos identificados, necesidades insatisfechas, debilidades de la competencia)
  8. Elaboración y presentación de resultados más importantes a través de gráficas o tablas

5.1) Información Necesaria

  • Necesidades a satisfacer (básicas o de lujo), que más demandan los clientes, atributos del producto, su importancia relativa
  • Tipo: consumidor final o empresa (micro, pequeña, mediana o grande)
  • Segmentos socio-demográficos: genero sexual, edad, nivel educativo,  necesidades, interéses, estilo de vida, actividades, personalidad, percepciones, comportamientos  etc.
  • Cobertura, ¿dónde compran los clientes?
  • Pronóstico de venta: cantidad de clientes interesados, precio justo, cantidad de productos por compra, cuándo, frecuencia , etc.
  • Tamaño, volumen y tendencia de crecimiento (densidad poblacional, tasa de crecimiento). Hoy en día con Internet podemos considerar el mercado mundial
  • Tasa de uso: estacional, temporal, periodo, per-cápita
  • Hábitos de consumo: gustos, preferencias de marca, motivación para comprar, patrones de uso, deseos de comprar o actitudes
  • Elementos de decisión de compra

6) Segmentación del Mercado

Es un grupo de compradores  con  un conjunto de necesidades y preferencias diferenciados, lo suficientemente grande o atractivo para a tacar una estrategia de mezcla de mercadeo con el fin de abordar mejor lesas necesidades. Sin embargo crear una estrategia para cada segmento genera más costo, por lo que los beneficios de las segmentaciones deberán ser mayores que los costos adicionales. Estos beneficios puede ser: mayor participación en el mercado del segmento, capacidad de aplicar un precio más alto, etc.

Para que la segmentación funcione en la práctica, se debe poder identificar y cuantificar el segmento, no solo en función del tamaño potencial del mercado, sino también en función de la conducta de compra real; y poderlo abordar eficazmente.

6.1) Tipos de Segmentación

No es simplemente el acto de dividir el mercado en categorías (distribución por edad) sino que son varios factores que hay que tomar en cuenta para explicar las diferencias de conductas del comprador.

  • Geográfica: Datos de comercialización dirigidas por zonas geográficas Información detallada sobre tipo de hogar que pueden representar: ingresos, etnia, tamaño del hogar
  • Demográfica: A partir del análisis de edad, género, ingreso, clase social. Para mercados saturados no son suficientes
  • Psico-gráfica: Se basa en el estilo de vida, valores, actitudes. Resulta de mayor utilidad para identificar las necesidades. La medición y supervisión es problemática
  • Conductual: Se basa en cuanto conocen el producto, el lugar de compra, patrón, frecuencia de compra, intensidad de uso, beneficios, contras, fidelidad, etc.

En los mercados industriales los esquemas de segmentación se basan en el tamaño, el sector, funciones organizacionales o por aplicaciones.

Un plan de negocio será definitivamente más realista y creíble si coincide con la oferta de la empresa a los segmentos y demuestra  un vínculo claro entre  las necesidades identificadas y la estrategia de mezcla de mercadeo

6.2) Nicho de Mercado

Una empresa puede concentrarse en un segmento, apuntar a varios o a a la mayoría (no implica falta de segmentación) Se debe analizar el atractivo del mercado y los recursos disponibles. Puede ocurrir también, que el producto no satisfaga simultáneamente las necesidades de otros segmentos, es por tanto contar con una estrategia de segmentación alineada a la investigación de mercado. Los segmentos a los que se apunten tienen implicación en la mezcla de mercadeo por lo que se debe garantizar la consistencia.

LINK: La privacidad es una fantasía de ciencia-ficción

Privacidad

En la Tierra después de Internet, vas a una entrevista de trabajo. Estás deslumbrante, motivado y decidido a convertirte en un activo de cualquier compañía que te contrate. Durante la entrevista, sin embargo, justo cuando el responsable de recursos humanos empieza a discutir los beneficios, bonus y salario que te corresponden, se detiene.“Bueno, tenemos unos cuantos aspectos de procedimiento que debemos cuidar”, asegura. “Necesitaremos asignarte un guardaespaldas que te siga con un micrófono parabólico para escuchar todas tus conversaciones con amigos y deberemos seguir a algunos de ellos y a tus familiares para ver qué están diciendo”. Y continúa: “también necesitaremos acceso total a tu diario, archivos personales y fotos. De hecho, necesitamos las llaves de tu casa para echar un vistazo, al igual que a la de tus amigos. Supongo que esto no será un problema”.

vía PcWorld.

5.5- Proceso del Análisis de Riesgos

Enseguida, y con la finalidad de ampliar un poco más el panorama de las posibles vulnerabilidades que pueden comprometer la información de la empresa, se muestra una clasificación concisa de blancos, tipos de ataque y el método de uso más común para lograrlo. Si deseamos analizar los diferentes ámbitos de nuestra empresa, es necesario que tengamos conocimiento sobre cuáles vulnerabilidades son las más comunes cuando nos referimos a los sistemas de  información.
En esta tabla se observan ejemplos de los métodos más comunes utilizados por personas con intenciones maliciosas para el ataque o infiltración a nuestros sistemas. Es importante mencionar que estos son sólo algunos de los ataques potenciales a los que nuestra empresa está expuesta.
Un análisis de riesgos tradicional se forma por medio de un conjunto de actividades preestablecidas que tiene como objetivo identificar el proceso a considerar, saber cuáles son sus elementos o partes constituyentes, cuáles los equipos necesarios en para efectuarlo.

Relevancia de los procesos de negocio y sus activos en el análisis de la seguridad

Para que el análisis de riesgos tenga en realidad un efecto positivo en la empresa, es necesario identificar las diferentes prioridades a lo largo de cada uno de sus procesos de negocio. De esta forma podremos realizar un plan estratégico basado en la importancia y el impacto de nuestras acciones que beneficien la seguridad de la información de nuestra compañía.

Identificación de la Relevancia

Al hacer un análisis de riesgos, es importante identificar la relevancia que tienen los procesos de la empresa en la organización, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente.
Relevancia de cada uno de los procesos de negocio en la empresa, es un punto clave a considerar durante la realización del análisis de riesgos. Dicha relevancia será de gran importancia para identificar el rumbo de las acciones de seguridad a implantar en la organización.

Identificación de la Relevancia de los  procesos de negocio

Es determinante para que las acciones de seguridad sean dirigidas a las áreas más críticas, o de mayor prioridad. Este trabajo permite dar prioridad a las acciones que son más urgentes, al dirigir los costos y optimizar los recursos donde realmente sean necesarios. Para entender mejor lo anterior revisemos los siguientes ejemplos: Ejemplos
En la banca financiera las acciones de seguridad debieran probablemente enfocarse principalmente en aquellos procesos que involucren transacciones monetarias, que son aquellas de mayor prioridad dada la naturaleza de su negocio. Por otra parte, si en una empresa existen áreas que son comúnmente atacadas y afectadas, es posible que sea necesario atender primero estos procesos dado los riesgos que pudieran presentar para la seguridad de la información en la empresa. O bien, si en la empresa existen áreas que son importantes para la reducción de costos, pudiera ser importante considerarlas como clave y de alta prioridad para las acciones de seguridad por tomar.
<!– Identificación de la relevancia de la seguridad en los procesos de Ejemplos
El siguiente diagrama muestra la manera en la que podemos tomar alguno de los procesos importantes en nuestra empresa e identificar los posibles ataques o las áreas con mayor vulnerabilidad para después de un análisis, saber hacia dónde dirigir los esfuerzos de más prioridad y mayor capacidad de recursos.
La identificación de los riesgos de seguridad permite aclarar las ideas e identificar los posibles riesgos para la seguridad. La información se recopila en forma de amenazas, vulnerabilidades, puntos débiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fácil de recordar para identificar las amenazas y los posibles puntos débiles.
La suplantación de identidades es la capacidad de obtener y usar la información de autenticación de otro usuario. Un ejemplo de suplantación de identidad es la utilización del nombre y la contraseña de otro usuario.
La alteración de datos implica su modificación. Un ejemplo sería alterar el contenido del cookie de un cliente.
El repudio es la capacidad de negar que algo haya ocurrido. Un ejemplo es que un usuario cargue datos dañinos en el sistema cuando en éste no se puede realizar un seguimiento de la operación.
La divulgación de información implica la exposición de información ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgación de información es la capacidad de un intruso para leer archivos médicos confidenciales a los que no se les ha otorgado acceso.
Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consiste en dejar un sitio Web inaccesible, al inundarlo con una cantidad masiva de solicitudes HTTP.
La elevación de privilegios es un proceso que siguen los intrusos para realizar una función que no tienen derecho a efectuar. Para ello se explota una debilidad del software o se usan credenciales de forma ilegítima.

–>

Identificación de la Relevancia de los Activos

Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, qué tan importante es para nuestro negocio en comparación con el resto de los activos de la empresa para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario.
La relevancia de los activos en los negocios de la empresa, marcará el rumbo definitivo de las acciones de seguridad en la empresa.
Para alcanzar el objetivo de identificar la relevancia de los activos, el análisis de riesgos busca proveer datos cuantitativos y cualitativos sobre el nivel de seguridad existente en la organización, para que se puedan realizar las acciones y cumplan  su propósito en cuanto a la seguridad de la información, como garantizar su confidencialidad, integridad y disponibilidad.
En verdad, el análisis de seguridad es el reconocimiento de todo el entorno en el que se pretende implementar seguridad, para que puedan cumplir los siguientes propósitos:

  • Identificar los puntos débiles para que sean corregidos, es decir, con esto disminuir las vulnerabilidades presentes en los activos de los procesos de negocios.
  • Conocer los elementos constituyentes de la infraestructura de comunicación, procesamiento y almacenamiento de la información, para dimensionar dónde serán hechos los análisis y cuáles elementos serán considerados.
  • Conocer el contenido de la información manipulada por los activos, con base en los principios de la confidencialidad, integridad y disponibilidad.
  • Dirigir acciones para incrementar los factores tecnológicos y humanos en las áreas críticas y desprotegidas.
  • Permitir una gestión periódica de seguridad, con el objetivo de identificar nuevas amenazas y vulnerabilidades, además de la verificación de la eficacia de las recomendaciones provistas.

Definición del Equipo Involucrado para Entrevistar a los Usuarios.

Uno de los aspectos importantes para la realización del análisis de riesgos es dimensionar de forma adecuada el recurso humano requerido para su  elaboración. Esto es importante dado el costo que representa para la empresa pero de la elección que hagamos de este recurso depende el éxito del análisis de riesgos. La entrevista a los usuarios nos permite conocer cada uno de los procesos de la empresa a través de los ojos de los actores que los llevan a cabo. Además tienen la oportunidad de recibir una retroalimentación que nos permite conocer a mayor profundidad los posibles riesgos en sus actividades diarias.

Integración del Equipo involucrado

La definición del equipo humano es muy importante, tanto para dimensionar la fuerza de trabajo necesaria para la realización del análisis de riesgos (analistas de seguridad), como para aquellos que se encargaran de entrevistar a las personas involucradas en procesos de negocio (entrevistadores) que proveerán de información vital para el proyecto de análisis de riesgos; y además, serán los responsables por el acceso a los activos para la recolección de información.
En la gráfica muestra otras consideraciones que al momento de definir el equipo de trabajo involucrado en el análisis, tienen que ser tomados en cuenta.

Entrevista a los usuarios

Junto con el análisis técnico de riesgos dentro de la empresa, el equipo de trabajo tendrá la tarea de realizar entrevistas a los empleados que participan en los diferentes procesos de negocio. Dichas entrevistas permitirán, entre otras cosas, recabar información que ayudará en la identificación de los procesos críticos de la compañía.
La entrevista a usuarios de los procesos de negocio permite:

  • Obtener detalles sobre cómo son gestionados, implementados y utilizados.
  • Hacer un mapeo de la criticidad de estos procesos frente a las circunstancias organizacionales a que está sometido,
  • Definir el nivel de capacitación necesaria del equipo involucrado en su sustentación
  • Conocer la forma con que se da el flujo de información dentro del proceso,
  • Conocer la forma de uso y tratamiento de sus productos derivados, entre otras cosas.

Es fundamental que los usuarios de los procesos de negocios (tanto quienes los administran como aquellos que los respaldan y utilizan) muestren el grado de conciencia que tienen con relación al nivel crítico de la información que manejan. De esta manera, es posible evaluar hasta qué punto el equipo involucrado es consciente de los procedimientos de seguridad necesarios para la continuidad de dicho proceso.
Las entrevistas a los usuarios pueden servir como guía de los análisis técnicos, puesto que rastrean a los involucrados con la administración de los activos que serán analizados y considerados con relación a las vulnerabilidades que puedan desencadenar amenazas al proceso de negocio. También en dichas entrevistas pueden ser detectados nuevos elementos humanos o tecnológicos que hacen parte del proceso de negocio y que también necesitan ser analizados.

Análisis Técnico de Seguridad

El análisis técnico de seguridad, representa una de los puntos clave dentro del análisis de riesgos en la compañía. Dado que como hemos mencionado antes, la información es hoy en día uno de los principales activos en las empresas y dicho análisis indicará el nivel de seguridad con el que se cuenta actualmente dentro de la empresa.

A través de éste se hacen las colectas de información sobre la forma en que los activos: fueron configurados, estructurados en la red de comunicación, y la forma en que son administrados por sus responsables.
El análisis técnico es la forma en que se obtiene la información específica de como son gestionados en general los activos de la empresa. De esta forma, es posible identificar, en las entrelíneas de las configuraciones, la forma en que son utilizados y manipulados, buscando identificar vulnerabilidades de seguridad.
En el proceso de análisis técnico de seguridad, diversos tipos de activos son considerados, según sea el ámbito definido al inicio del proyecto, con el  propósito de monitorear las vulnerabilidades presentes a través de errores de configuración o desconocimiento de las posibilidades de ataque por amenazas potenciales.
Dentro de los activos tecnológicos analizados técnicamente, podemos listar los siguientes:

En las Estaciones de trabajo

Son la forma con que estas están configuradas para evitar que los usuarios (con frecuencia de forma inconsciente) permiten la acción de amenazas.

En los Servidores

Los servidores son analizados con prioridades en relación a sus normas de acceso definidas. Se revisan cuáles son los tipos de usuarios que tienen derechos a cuál tipo de información, con base en la clasificación y con relación a la confidencialidad de las informaciones para identificar el exceso o falta de privilegios para la realización de tareas.
El enfoque principal se encuentra en los ficheros de configuración y de definición de usuarios que tienen derechos de administración del ambiente, una vez que son los privilegios de administración los que más amenazan los entornos de tecnología y también son los más anhelados por los invasores.
La interacción que estos servidores tienen con las estaciones de trabajo de los usuarios, con las bases de datos y con las aplicaciones que respalda son el objeto del análisis técnico de servidores, independientemente de sus funciones: como ficheros, correo electrónico, FTP, Web y otras.

En los Equipos de conectividad

El análisis de equipos de conectivicdad está centrado en la detección de configuraciones que ponen en riesgo las conexiones realizadas por la red de comunicación que respalda un proceso de negocio.
Se debe identificar en este análisis la manera en que estos activos han sido configurados: dispositivos de ruteo, parámetros, módems, estaciones nodales, FRADs (dispositivo de acceso a transmisión de cuadro), puentes y otros.
Estos equipos deben poseer un nivel de seguridad muy alto, pues por lo general se sitúan en la entrada de una red de comunicación. Al aplicarse un alto nivel de configuración a estos activos, el acceso externo a la red del proceso de negocio, estará naturalmente más protegido.

En las Conexiones

Las conexiones de comunicación entre las redes deben estar seguras: fibra óptica, satélite, radio, antenas… Para eso, es importante realizar actividades de análisis sobre la forma con que las conexiones están configuradas y dispuestas en la representación topológica de la red. Esto garantiza que la comunicación sea realizada en un medio seguro, encriptado (cifrado) si fuere necesario, libre de posibilidades de rastreo de paquetes o mensajes, y también como el desvío de tránsito para otros destinos indeseados.

En las Bases de datos

Las bases de datos representan un elemento de importancia extrema en la cadena comunicativa, pues almacenan informaciones relativas a los procesos de negocio y con frecuencia, sobre los usuarios de los procesos de negocio. La manera en que la base de datos conversa con las demás aplicaciones de lectura de sus informaciones es uno de los primeros elementos que deben ser analizados. También son evaluados los niveles de confidencialidad, integridad y disponibilidad de las informaciones que allí están, para que se puedan identificar las necesidades de protección y configuración de seguridad para que la información disponible esté de acuerdo con los principios de la seguridad de la información. En las bases de datos son evaluados los privilegios de los usuarios con relación a los permisos de uso, principalmente en lo que se refiere al acceso de aplicaciones que hacen la lectura y escritura de estas informaciones.

En las Aplicaciones

Las aplicaciones son los elementos que hacen la lectura de las informaciones de un proceso de negocio u organización. De esta manera son un elemento muy crítico, puesto que están haciendo la interfaz entre diversos usuarios y diversos tipos de información con relación a la confidencialidad, integridad y disponibilidad. Se considera, por lo tanto, que las aplicaciones deben garantizar un acceso restrictivo, con base en los privilegios de cada usuario, las informaciones que ellas manipulan, al garantizar que sus configuraciones estén de acuerdo con los principios de seguridad establecidos (muchos de los cuales son reconocidos por organismos internacionales) con relación a la disponibilidad de la información, la manera con que la aplicación la lee, guarda y transmite, la forma cómo la aplicación fue desarrollada, cómo son actualizadas y almacenadas sus fuentes, y otras más.

El análisis de riesgos busca también identificar en el entorno físico cuáles son las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. Por ello, se observan y consideran una serie de aspectos dentro de un entorno organizativo en el cual se realizan los trabajos de análisis.
Nuestro entorno debe estar organizado de tal forma que garantice la continuidad y el buen desempeño de las actividades individuales como la manutención debida de los activos.
Preocupaciones como el exceso de humedad o calor, la disposición de los cables de datos y eléctricos, la existencia de fallas en la organización del entorno, pueden exigir la reestructuración del espacio físico para permitir un área de trabajo que sea segura, y por lo tanto, la información de la organización se encuentre también segura. Eso quiere decir que aspectos como control de acceso, disposición topográfica de áreas y activos críticos, salubridad de los ambientes de trabajo (cuidado de la salinidad, humedad, luz, viento, lluvia, inundaciones) deben ser analizados bajo la perspectiva del análisis de seguridad física.

Análisis de seguridad física
El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad.
Estos ambientes deben ser observados con relación a lo siguiente:
Disposición organizativa Se considera la disposición organizativa en especial sobre: La organización del espacio con relación a cómo están acomodados los muebles y los activos de información que las áreas de circulación de personas en lugares de alto transito estén libres de activos valor o importancia que los activos de alta importancia se ubiquen en áreas libres de acceso de personas que no están autorizadas para operarlos.
Sistemas de combate a incendio Se considera la disposición de los mecanismos de combate a incendio, cuidando que estén en los lugares adecuados: Los detectores de humo, los aspersores de agua, los extintores de incendio, entre otras cosas.
Control de acceso Se ocupa de la disposición de sistemas de detección y autorización de acceso a las de personas, para esto se hace uso de: Cámaras de video, hombres de seguridad, trinquete para acceso, mecanismos de reconocimiento individual, entre otros.
Exposición a clima y medio ambiente Disposición de las ventanas y puertas de áreas críticas. Se preocupa que se encuentren ubicadas próximas a activos críticos, Si los activos críticos reciben luz solar o posibilidad de amenaza causadas por los fenómenos de la naturaleza, como viento o lluvias fuertes.
Topografía Se interesa en la localización del centro de procesamiento de datos, de la sala de cómputo o del sitio de servidores, o cualquier área crítica con relación a la topografía del terreno Si se encuentran en el subsuelo, al alcance de inundaciones, próximas a áreas de riesgo como proximidad al mar, ríos o arroyos o áreas de retención de agua o con posibilidad de pérdidas de cañerías hidráulicas.

Revisar los planos de las oficinas para localizar salidas de emergencia y dispositivos de prevención de incendios y verificar que cumplan con las normas de seguridad necesarias. Analizar la localización de los activos de alto valor de la empresa y verificar que se encuentren en áreas de acceso restringido.

Relevancia de los activos para los Resultados

En el análisis de riesgo se sugiere la valoración de la relevancia del proceso de negocio. Esta valoración permite tener una idea del impacto que un incidente de seguridad puede causar al proceso de negocio, al llevar en consideración el valor estratégico que posee para la organización como un todo.
Cuanta mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso.
La consideración de la relevancia también permite que sean dirigidas acciones de corrección de problemas en los activos de mayor prioridad en el momento del análisis, pues son parte de procesos de negocio de alta relevancia.

Los resultados del análisis de riesgos

Una vez que se realiza el análisis de riesgos, la organización tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.
Cuando se sabe que las innovaciones tecnológicas son cada vez más recuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos. Una vez que se tienen las recomendaciones, se inician las acciones de distribución de ellas para corregir el entorno y reducir los riesgos a que está sometida la infraestructura humana, tecnológica, de procesos y física que respalda a uno o más procesos de negocio de una organización. De esa manera es posible implementar en los activos analizados, y también en los activos de mismas características que los analizados, las medidas de corrección y tratamiento de las vulnerabilidades.
Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad para corrección de las vulnerabilidades.
El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.
Comprender la importancia real del análisis de riesgos con el primer paso en la implementación de seguridad, al permitir que se conozca todo el entorno en que se realiza un proceso de negocio del punto de vista procesal, físico, humano y tecnológico.
A partir de este diagnóstico, tanto de las vulnerabilidades como del impacto que ellas pueden traer al negocio (obtenido con la puntuación de la relevancia de los procesos de negocio y sus activos) es posible implementar medidas correctivas, preventivas y de detección que se hagan necesarios para el alcance de los objetivos de la organización.