¿Cuál Es la Fundación de Una Startup?

2.0.0 PLAN DE NEGOCIO Y EL EMPRENDEDOR #PNT

“No hay un perfil ideal, los emprendedores pueden ser: gregarios o taciturnos, analíticos o intuitivos, arriesgados o cautos”
(Anónimo)

La Fundación y columna de la empresa
La Fundación y columna de la empresa

Anteriormente mencionábamos la necesidad de pasar lo más pronto posible las etapas de , en donde en está última es donde generalmente inicia el emprendedor muy difícilmente puede igualar los resultados obtenidos con el apoyo de un equipo de trabajo. Si se tiene la a otras personas, ya tenemos ganado un buen % del apalancamiento necesario para generar una gran empresa
Tanto en las relaciones personales como profesionales debemos elegir conscientemente quienes serán las personas con las que compartimos los retos, esfuerzo y beneficios obtenidos; y no pensar egoistamente por el hecho de dividir esos beneficios con otros hasta el punto de no conformar esa sociedad de inversionistas. Por ejemplo, si un socio tiene los clientes y yo el capital, de nada me va a servir, si no logro vender, por lo que los aportes que hagan los demás también son importantes, aunque no sea dinero, pero si sea un activo valioso para la empresa. Por lo que, elegir a los socios no puede ser tomada a la ligera, ni tampoco debe estar fundamentada con poca información, debemos conocer bien como actúa esa persona en las situaciones difíciles y como es su trato con otras personas, además de sus que se combinen con las del resto del equipo.
Muchas de las historias de éxitos que hemos escuchado, siempre tienen a un súper-héroe (el visionario o estratega), y pocas veces hablan de los otros fundadores (el estudioso o técnico) con los que hicieron sinergia, que sin el aporte que hicieron estos no hubieran podido llegar a crear esas compañías.

  • Microsoft Corp.: Bill Gates y Paul Allen.
  • Apple Inc.: Steve Jobs y Steve Wozniak.
  • Yahoo! Inc.: Jerry Yang y David Filo
  • Google Inc.: Larry Page y Sergey Brin
  • YouTube: Chad Hurley, Steve Chen y Jawed Karim
  • Flickr: Caterina Fake y Stewart Butterfield
  • Skype: Niklas Zennström y Janus Friis.

Una de las 1as. claves del éxito que hemos visto anteriormente son los  mismos emprendedores, no solo la capacidad de ejercer una actividad, sino también su espíritu emprendedor y sus características, los inversionistas buscan ese talento humano que saque adelante el negocio.
¿Cuál es tu objetivo personal profesional? Orgullo por crear un producto y realizar un sueño, mejorar situación económica y ser independiente, crear riqueza y bienestar, Emplear a otros, invertir en activos contables o cumplir función social.
¿Que esfuerzo estas dispuesto a realizar? Asumir riesgo, soportar presión, ser eficiente, escuchar consejos y comunicar, aprender a motivar a otros, confiar, ser realista, separar lo personal con lo profesional, sacrificar tiempo o familia.

Básicamente los integrantes del equipo emprendedor son las columnas necesarios para formular el plan de negocio y de emprender una empresa, conformado por personas que tengan un alto nivel, para que ninguna de esas columnas haga patojear el emprendimiento (startup), porque eso implicaría que el resto de integrantes hagan un esfuerzo extra por mantener de pie lo que están construyendo.

La diferencia entre negocio y empresa la escribiré en los próximos artículos así como también de los elementos necesarios del plan de negocio

Referencias

  • Tipos de Gerentes dentro de las Organizaciones (ingwebsu.wordpress, 04/mar/2009)
  • FUNDES, “Manual del Participante: Desarrollo Emprendedor”, feb/2008
  • Graham Friend y Stefan Zehele, “Como Diseñar un Plan de Negocios” 1a edición, Buenos Aires: Cuatro Media, 2008
  • 3 Tipos de Gerentes (IAAP, deltaAsesores.com, nov/2009)

Palabras claves:

  • Competencias
  • Promotor
  • Emprendedor
  • Plan de Negocio
  • Emprendimiento o Startup
  • Empresa
  • Sinergia de equipo
  • Socio fundador

Primer paso para emprender tu negocio propio

6.1- Proceso de Selección de la Plataforma

El analista de sistemas debe definir las necesidades de equipo y de software siguiendo el siguiente proceso.

Los analistas de sistemas deben trabajar en conjunto con los usuarios para determinar el equipo (hardware) que será requerido. El establecimiento de equipo se apegará a los requerimientos de información. El conocimiento de la estructura de la organización puede servir de apoyo en las decisiones del tipo de equipo. Las opciones de equipo podrán considerarse, una vez que los analistas de sistemas, los usuarios y los directivos cuenten con una clara concepción de las tareas que se realizarán.

Para iniciar el proceso de selección de plataforma se realiza el inventario de todo el equipo de cómputo que se encuentre disponible en la organización. Como será evidente, algunas alternativas implican la expansión o la reasignación del equipo actual, de tal forma que es importante conocer lo que se tiene a la mano.
Si no se cuenta con un inventario actualizado del equipo de cómputo, el analista de sistemas deberá establecerlo de manera rápida, conociendo los siguientes datos:

  1. El tipo de equipo, número de modelo y fabricante.
  2. El status de la operación del equipo por instalar, en operación, en almacenamiento y con necesidades de reparación.
  3. La estimación del tiempo de uso del equipo.
  4. La vida proyectada del equipo.
  5. La localización física del equipo.
  6. La persona, departamento responsable del equipo.
  7. El status financiero del equipo: propio, rentado o en arrendamiento con opción a compra.

El documento utilizado para realizar el inventario debe ser fácil de llenar, e indicar de manera explícita que se enumere por separado a los equipos periféricos, tales como las unidades de discos y los monitores.

El siguiente paso para definir las necesidades de equipo es estimar la carga de trabajo. Esto significa que los analistas de sistemas formulen el número que represente, tanto la carga del trabajo actual como la proyectada para el sistema, de tal forma que cualquier equipo que se adquiera cuente con la posibilidad de manejar las cargas de trabajo actuales y futuras.
Una vez que se define el equipo disponible, se apoya aún más el proceso de toma de decisiones, cuando llegue el momento de revisar el equipo requerido, ya que muchas de las dudas acerca del equipo existente se eliminarán. A través de entrevistas y cuestionarios iníciales, así como de su investigación de datos de archivo se sabrá el número de personas disponibles para el proceso de datos, así como su capacidad y destreza. Esta información se utiliza para proyectar qué tan bien se satisfacen las necesidades de personal.
Si las estimaciones se elaboran correctamente, la empresa no tendrá que reemplazar el equipo, a menos que se presente un crecimiento no pronosticado de uso del sistema. (Sin embargo, otros sucesos tales como una innovación tecnológica, puede dictar un reemplazo de equipo, si el negocio desea mantener una posición competitiva.)
Por ejemplo una comparación de la carga de trabajo entre un sistema de información anterior y otro propuesto es el siguiente:

  Sistema actual Sistema propuesto
Tarea Elaboración de flujo de caja Lo mismo
Método Manual Computarizado
Personal Contador Auxiliar contable
Costo/hora C$ 160 C$ 75
Cuando y como Diario:
Arqueo de caja
Mensual:
Consolidado de ventas
Diario:
Correr el programa para realizar el arqueo
Mensual:
Correr el programa que resume e imprime los reportes
Requerimientos de horas hombre Diario: 1 hora
Mensual: 16 horas
Diario: 20 minutos
Mensual: 1 hora
Requerimientos de tiempo de maquina Ninguno Diario: 20 minutos
Mensual: 1 hora

Evaluación del equipo de cómputo o hardware

El siguiente paso en el proceso será considerar los tipos disponibles de equipo que parecieran ajustarse a las necesidades proyectadas
La evaluación del equipo de cómputo es una responsabilidad compartida entre la dirección, los usuarios y los analistas de sistemas.
El avance tecnológico obliga al analista de sistemas a estudiar los distintos tipos de computadoras disponibles en el momento en que se escribe la propuesta de sistemas. Cada una de ellas cuenta con distintas características al considerar la manera de implantar un sistema de cómputo.
Aunque los vendedores darán todo tipo de detalles acerca de sus ofertas particulares, los analistas necesitan supervisar de manera personal el proceso de evaluación, orientar a los usuarios y a la directiva acerca de las ventajas y desventajas del equipo.
La carga de trabajo puede simularse y correrse en diferentes sistemas, incluyendo aquellos que actualmente se encuentran en uso por la organización. A esto se le denomina como evaluación “in situ” o pruebas de rendimiento.
Dentro de los criterios que tanto los analistas de sistemas como los usuarios deben utilizar para evaluar el desempeño de los diferentes equipos, se tienen:

  1. El tiempo requerido para las operaciones típicas (incluyendo cuánto tiempo se tarda para capturar los datos y cuánto tiempo toma obtener una salida)
  2. La capacidad total del sistema (qué tantos datos pueden procesarse de manera simultánea, antes de que se presente un problema)
  3. Los tiempos muertos de la unidad central de proceso y el tamaño de la memoria.

El analista en unión con los usuarios y la directiva, evalúan la conveniencia de adquirir un equipo nuevo. Las opciones pueden ser: desde utilizar sólo el equipo disponible actualmente en la empresa, hasta cambiar de manera integral por un nuevo equipo. Entre estas dos opciones se encuentran una gama de alternativas

El almacenamiento de datos, ya sea antes o después del proceso, es sumamente importante para mejorar el funcionamiento y el costo del sistema. En general, la elección de un medio de almacenamiento se determina por el tipo de proceso. Dentro de las preguntas fundamentales se tienen: cuántos datos y por cuánto tiempo serán conservados hasta su proceso, qué tan grandes son los archivos y qué tipo de acceso se necesitará para los datos almacenados.

Existen ciertos aspectos fundamentales que considerar al evaluar los servicios que ofrecen los vendedores a la empresa. La mayoría de las casas comerciales ofrecen la prueba del equipo al recibirlo y una garantía de 90 días contra cualquier defecto de fábrica, pero se debe asegurar qué otra cosa puede ofrecerle el vendedor. Los establecimientos de prestigio se distinguen sobre sus competidores por la gama de servicios que ofrecen.
La mayoría de los servicios de soporte adicional pueden negociarse de manera separada a la renta o a la compra del equipo. Una lista de criterios básicos cuando se evalúa el soporte del vendedor es:

  1. Soporte del equipo
    1. Línea completa de productos
    2. Productos de calidad
    3. Garantía
  2. Soporte del software
    1. Todas las necesidades del software
    2. Programación individualizada
    3. Garantía
  3. Instalación y adiestramiento
    1. Apegarse a un calendario
    2. Adiestramiento in situ
    3. Línea de consulta directa
  4. Mantenimiento
    1. Procedimiento de mantenimiento de rutina
    2. Especificación del tiempo de respuesta en emergencias
    3. Préstamo de equipo durante las reparaciones

Los servicios de soporte incluyen el mantenimiento rutinario y preventivo del equipo; el tiempo de respuesta queda especificado si el equipo llegara a fallar (dentro de las primeras 6 horas; al siguiente día hábil, etc.); el préstamo de equipo en caso de que el equipo deba cambiarse o si fuera necesaria una reparación externa y la capacitación interna o la organización de seminarios externos para grupos de usuarios. Cabe recordar que puede ser difícil obtener adiestramiento en equipos que no sean ampliamente utilizados por otras organizaciones y es sano involucrar al área jurídica antes de la firma de contratos por servicios o adquisición de equipo. Aunque puede ser atractiva la posibilidad de una instalación exclusiva, la posibilidad de un buen soporte a largo plazo puede disminuir.
Desafortunadamente, la evaluación de equipo de cómputo no es tan sencilla como comparar costos y elegir la opción menos costosa.
Hay otras eventualidades que la administración debe considerar y que incluyen:

  1. La posibilidad de expandir el sistema si las necesidades aumentan en el futuro
  2. La posibilidad de enlazar el equipo con el de otras marcas, si el sistema llegara a crecer
  3. Los beneficios de comprar más memoria que la proyectada como necesaria, considerando que el negocio crecerá eventualmente
  4. La estabilidad corporativa del vendedor.

La ampliación de los sistemas existentes es común para los proyectos de sistemas. Bien vale la pena instalar sistemas con capacidad de expansión. Aunque toma un poco más de planeación, es más económico y más flexible que la tercera alternativa de contar con memoria en exceso y mantenerla en inventario durante varios años.

Innecesario tomar la decisión de cuál es la mejor alternativa para el software de la compañía, pudiendo elegir entre: hacerlo en casa, usar software Libre, de uso comércialo la nueva tendencia que será bajo demanda. Cada uno de estas opciones tiene sus ventajas y desventajas.

Los paquetes de software, más que aquellos programas de aplicación que se escriben específicamente para una instalación, se han vuelto cada vez más accesibles, y en efecto, deben considerarse con mucha atención. Numerosas horas de programación pueden ser ahorradas si a existe un paquete de software apropiado para todo el sistema o parte de él y su uso implique un mínimo de adaptaciones.
La evaluación de software comercial junto con los futuros usuarios no debe ser desatendida y es necesario controlar la propaganda meramente comercial para evitar caer en decisiones influenciadas. Específicamente, hay seis categorías principales dentro de las cuales se puede ubicar al software.

  1. Eficacia en el desempeño
    1. Capacidad para realizar las tareas requeridas
    2. Capacidad para realizar las tareas que se desearán más adelante
    3. Buen diseño en pantalla
    4. Capacidad adecuada
  2. Eficiencia operativa
    1. Tiempos de respuesta rápidos
    2. Captura eficiente
    3. Salidas eficientes
    4. Almacenamiento de datos eficiente
    5. Respaldos eficientes
  3. Facilidad de uso
    1. Uso de interfaces satisfactorios
    2. Disponibilidad de menús de ayuda
    3. Interfaz flexible
    4. Retroalimentación adecuada
    5. Buena recuperación de errores
  4. Flexibilidad
    1. Opciones de entrada
    2. Opciones para la salida
    3. Compatibilidad con otro software
  5. Calidad en la documentación
    1. Buena organización
    2. Programas tutoriales de calidad
    3. Respuestas adecuadas a las preguntas
  6. Soporte del fabricante
    1. Línea de consulta directa
    2. Boletines
    3. Actualizaciones frecuentes (a bajo costo)

Es necesario realizar una evaluación del software comercial a partir de demostraciones con datos de la empresa; asimismo, un revisión de la documentación que le acompañe. Normalmente el vendedor asegurará que el software funciona y que ha sido probado en sus instalaciones, pero eso no garantizará que esté libre de errores en un momento dado o que no fallará cuando se lleven a cabo acciones incorrectas por parte de los usuarios. Es obvio que no habrá garantía si el software comercial se utiliza con un equipo de cómputo defectuoso.
La necesidad de copias múltiples del software (para el uso de varias estaciones trabajo) implica negociar con el vendedor una licencia de uso múltiple, de tal forma que los derechos del autor no se infrinjan al crear copias ilegales. Con frecuencia esto implica la compra de un paquete de software al precio regular y la compra de copias adicionales a un precio reducido.
También es posible negociar un contrato de servicios especiales que cubra el soporte del software adquirido. Dentro de él quedaría incluido el mantenimiento de emergencia y el preventivo; las actualizaciones sin costo o a un precio reducido, las copias adicionales de la documentación y la capacitación de los usuarios.

Elección del Proveedor

Con las pruebas realizadas en los pasos anteriores se reduce la lista de proveedores, ya que se han decidido por una marca en específica, en este paso entonces es necesario averiguar quiénes son los proveedores oficiales de ese producto en el país o el fabricante directo, para ver quienes ofrecen mejores ventajas. Una parte importante de la elección del proveedor es la parte económica, relacionar los costos en que se van a incurrir para la implementación del sistemas y los beneficios que va a traer en nuevo sistemas que no necesariamente tienen que ser económicos. Al momento de elegir el proveedor hay que tener cuidado con: las comisiones que ofrecen los proveedores para favorecerlos en el proceso de elección y por el otro lado hay que evitar el tráfico de influencias por parte del personal interno.

Las tres principales opciones para la adquisición de equipo de cómputo incluyen la compra, la renta y la renta con opción a compra (Leasing). Hay ventajas y desventajas a considerar en cada una  de esas opciones. Dentro de los factores que influyen en la consideración para decidir la mejor opción para una instalación en particular están: los costos iníciales contra los costos a largo plazo, si la empresa puede comprometer capital en equipo de cómputo y si la empresa desea un control y responsabilidad totales sobre el equipo de cómputo.

  Ventajas Desventajas
Comprar
  1. A largo plazo, más económico que rentar.
  2. Posibilidad de cambiar el sistema
  3. Ofrece ventajas fiscales al permitir la depreciación acelerada
  4. Control total
  1. El costo inicial es elevado
  2. Riesgo de caer en la obsolescencia
  3. Riesgo de atarse a una elección errónea
  4. Plena responsabilidad
Leasing
  1. El capital no queda atado
  2. No se requiere de financiamiento
  3. El pago es menor que la renta simple
  1. La compañía no es dueña del sistema cuando expira el contrato de alquiler
  2. Por lo general hay una multa muy alta por terminar anticipadamente el contrato
  3. El alquiler es más caro que la compra
Rentar
  1. El capital no queda atado
  2. No se requiere financiamiento
  3. Facilidad de cambio de sistema
  4. Por lo general incluye el mantenimiento y seguros
  1. La compañía no es dueña del equipo
  2. Los costos son muy altos porque el proveedor asume el riesgo (es la alternativa más cara)

Compra del equipo implica que la empresa sea el propietario del mismo. Una consideración determinante para la compra es la vida proyectada del sistema. Si el sistema será utilizado por más de cuatro o cinco años (mientras que los demás factores se mantengan constantes), la decisión a tomar será comprar. Conforme los sistemas se vuelven más pequeños y los sistemas distribuidos son más populares, las empresas se deciden por la compra de equipo.
Leasing del equipo de cómputo es otra posibilidad. La renta con opción a compra o arrendamiento financiero del equipo de un vendedor o de una compañía arrendataria es más práctica si la vida proyectada del sistema es menor a cuatro años. Además, si es inminente un cambio significativo en la tecnología. El arrendamiento financiero permite también a la empresa el colocar su dinero en otra inversión, donde pueda trabajar para ella más que comprometerlo. Sin embargo, a largo plazo, el arrendamiento financiero económicamente no es la mejor manera de adquirir poder de cómputo.
Renta (en su estricta connotación) es la tercera alternativa para la adquisición de equipo de cómputo. Una de las ventajas principales de la renta es que no se compromete el capital de la compañía. En consecuencia, no se requiere de un financiamiento. También, la renta de equipo de cómputo hace más fácil su cambio. Finalmente, el mantenimiento y el seguro se encuentran generalmente incluidos en los contratos de renta. Sin embargo, por su alto costo final y por el hecho de que la compañía no es dueña del equipo rentado, la renta debe contemplarse sólo como una alternativa a corto plazo para resolver las necesidades de cómputo limitadas o no recurrentes, o cuando los cambios tecnológicos son muy frecuentes.

5.6- Manual de Seguridad Informática

Es una medida que busca establecer los estándares de seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento de los activos.
Es una forma de suministrar un conjunto de normas internas para guiar la acción de las personas en la realización de sus trabajos. Es el primer paso para aumentar la conciencia de la seguridad de las personas, pues está orientada hacia la formación de hábitos, por medio de manuales de instrucción y procedimientos operativos.
Sin embargo, la realización del análisis de riesgos como primer elemento de la acción de seguridad, es un hecho determinante para procesos críticos en que son analizadas todas las amenazas. De esta manera son considerados y analizados todos los activos de la organización, sea por muestreo o en su totalidad, para que estén libres de vulnerabilidades con el propósito de reducir los riesgos. Por esta razón serán abordados en esta unidad todos los elementos necesarios para la realización de un análisis de riesgos como etapa de rastreo de vulnerabilidades de todo el ambiente de un proceso de negocios.
Entre mayor sea la exposición o el daño histórico a los bienes de la empresa, el margen de tiempo tomado para el análisis de riesgos debe ser menor y viceversa.
El Manual es elaborada considerando el entorno en que se está trabajando como la tecnología de la seguridad de la información, para que los criterios establecidos estén de acuerdo con las prácticas internas más recomendadas de la organización, con las prácticas de seguridad actualmente adoptadas, para buscar una conformidad mayor con criterios actualizados y reconocidos en todo el mundo.
Un Manual de la Política de Seguridad Informática es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional,  con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandardización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información.

Áreas de Normalización de la Manual de Seguridad Informática
Es necesario considerar los dos aspectos, tecnológico y humano al momento de definir un Manual de la Política de Seguridad Informática de la información
Tecnológica Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la cúpula es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios. Humana Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la cúpula, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de Retroalimentación más apropiado. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación.

Elaboración de el Manual de Seguridad Informática

El Manual es elaborado tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento.  Es importante considerar que para la elaboración de un Manual de la Política de Seguridad Informática institucional se debe:

  1. Integrar el Equipo de Seguridad responsable de definir el Manual de la Política de Seguridad.
  2. Elaborar el documento final.
  3. Hacer oficial el Manual una vez que se tenga definida.

Integrar el Equipo

Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la organización y que se reúnan periódicamente dentro de un cronograma establecido por el Comité de Seguridad. Este comité es formado por un grupo definido de personas responsables por actividades referentes a la creación y aprobación de nuevas normas de seguridad en la organización. En las reuniones se definen los criterios de seguridad adoptados en cada área y el esfuerzo común necesario para que la seguridad alcance un nivel más elevado. Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones.

Elaborar el Documento Final

En este documento deben expresarse las preocupaciones de la administración, donde se establecen normas para la gestión. En la elaboración de un Manual de la Política de Seguridad Informática no podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política. Un ejemplo común es solicitar a los usuarios el cambio de su contraseña o password constantemente y que ésta deba tener una complejidad adecuada para la información manejada. La parte tecnológica obviamente tampoco puede dejarse de lado, y dentro del Manual de la Política de Seguridad Informática es necesario considerar elementos que pongan las bases mínimas a seguir en materia de configuración y administración de la tecnología. Por ejemplo, establecer que los servidores con información crítica de la empresa no deben prestar servicio de estaciones de trabajo a los empleados. La definición de la propia política, Una declaración de la administración que apoye los principios establecidos y una explicación de las exigencias de conformidad con relación a:

  • Legislación y cláusulas contractuales;
  • Educación y formación en seguridad de la información;
  • Prevención contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.)

Debe contener también la atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad. No olvidar de que  toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información, para aprovechar al máximo las prácticas actuales, evaluar y agregar seguridad a esas tareas.

Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad.
El trabajo de producción se compone por distintas etapas, entre otras:

  1. Objetivos y ámbito
  2. Entrevistas
  3. Investigación y análisis de documentos
  4. Reunión de política
  5. Glosario de el Manual de la Política de Seguridad
  6. Responsabilidades y penalidades

Objetivos y ámbito

En este punto debe constar la presentación del tema de la norma con relación a sus propósitos y contenidos, buscando identificar resumidamente cuáles estándares el Manual trata de establecer, además de la amplitud que tendrá en relación a entornos, individuos, áreas y departamentos de la organización involucrados.

Entrevista

Las entrevistas tratan de identificar junto a los usuarios y administradores de la organización las preocupaciones que ellos tienen con los activos, los procesos de negocio, áreas o tareas que ejecutan o en la cual participan. Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organización.

Investigación y Análisis de Documentos

En esta etapa se identifican y analizan los documentos existentes en la organización y los que tienen alguna relación con el proceso de seguridad en lo referente a la reducción de riesgos, disminución de trabajo repetido y falta de orientación. Entre la documentación existente, se pueden considerar: libros de rutinas, metodologías, políticas de calidad y otras.

Reuniones

En las reuniones, realizadas con los equipos involucrados en la elaboración, se levantan y discuten los temas, además se redactan los párrafos para la composición de las normas con base en el levantamiento del objetivo y del ámbito del Manual específica.

Glosario de el Manual de la Política de Seguridad

Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de el Manual de la Política de Seguridad. Así todos los lectores deben tener el mismo punto de referencia conceptual de términos. Por lo tanto se recomienda que el Manual cuente con un glosario específico donde se especifiquen los términos y conceptos presentes en toda el Manual  de seguridad. 

Responsabilidades y Penalidades

Es fundamental identificar a los responsables, por la gestión de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas, como las normas de aplicación de sanciones resultantes de casos de inconformidad con el Manual elaborada. De esa manera, se busca el nivel de conciencia necesario para los involucrados, con relación a las penalidades que serán aplicadas en casos de infracción del Manual de la Política de Seguridad Informática.

Si existe ya un estándar de estructura de documentos para políticas dentro de la empresa, éste puede ser adoptado. Sin embargo, a continuación sugerimos un modelo de estructura de política que puede ser desarrollado dentro de su organización.

En este modelo, visualizamos que un Manual de la Política de Seguridad Informática esté formada por tres grandes secciones: las Directrices, las Normas los Procedimientos e Instrucciones de Trabajo.

Su estructura de sustentación está formada por tres grandes aspectos: Recursos, cultura y retroalimentación.

Directrices Estratégicas

En el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido. Como la información no está presente en un único entorno (microinformática, por ejemplo) o medio convencional (fax, papel, comunicación de voz, etc.), debe permitir que se aplique a cualquier ambiente existente y no contener términos técnicos de informática. Se compone de un texto, no técnico, con las reglas generales que guían a la elaboración de las normas de seguridad.

Normas de Seguridad (Táctico)

Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, Audiencia a que se destina, etc. Las normas, por estar en un nivel táctico, pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios.

Para Técnicos

Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros. Pueden ser ampliamente utilizadas para la configuración y administración de ambientes diversos como Windows NT, Netware, Unix etc.

Para Usuarios

Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros. Pueden ser ampliamente utilizadas para todos los usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc.

Procedimientos (Operacional)

Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter-departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información.

Instrucción de trabajo (Operacional)

Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en modelo de paso a paso para los usuarios del activo en cuestión. A continuación presentamos ejemplos de procedimientos e instrucciones de trabajo muy específicas que resultan de beneficio en la operación diaria.

Hacer Oficial el Manual de la Política de Seguridad

La oficialización de una política tiene como base la aprobación por parte de la cúpula de la organización. Debe ser publicada y comunicada de manera   adecuada para todos los empleados, socios, terceros y clientes.

5.5- Proceso del Análisis de Riesgos

Enseguida, y con la finalidad de ampliar un poco más el panorama de las posibles vulnerabilidades que pueden comprometer la información de la empresa, se muestra una clasificación concisa de blancos, tipos de ataque y el método de uso más común para lograrlo. Si deseamos analizar los diferentes ámbitos de nuestra empresa, es necesario que tengamos conocimiento sobre cuáles vulnerabilidades son las más comunes cuando nos referimos a los sistemas de  información.
En esta tabla se observan ejemplos de los métodos más comunes utilizados por personas con intenciones maliciosas para el ataque o infiltración a nuestros sistemas. Es importante mencionar que estos son sólo algunos de los ataques potenciales a los que nuestra empresa está expuesta.
Un análisis de riesgos tradicional se forma por medio de un conjunto de actividades preestablecidas que tiene como objetivo identificar el proceso a considerar, saber cuáles son sus elementos o partes constituyentes, cuáles los equipos necesarios en para efectuarlo.

Relevancia de los procesos de negocio y sus activos en el análisis de la seguridad

Para que el análisis de riesgos tenga en realidad un efecto positivo en la empresa, es necesario identificar las diferentes prioridades a lo largo de cada uno de sus procesos de negocio. De esta forma podremos realizar un plan estratégico basado en la importancia y el impacto de nuestras acciones que beneficien la seguridad de la información de nuestra compañía.

Identificación de la Relevancia

Al hacer un análisis de riesgos, es importante identificar la relevancia que tienen los procesos de la empresa en la organización, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente.
Relevancia de cada uno de los procesos de negocio en la empresa, es un punto clave a considerar durante la realización del análisis de riesgos. Dicha relevancia será de gran importancia para identificar el rumbo de las acciones de seguridad a implantar en la organización.

Identificación de la Relevancia de los  procesos de negocio

Es determinante para que las acciones de seguridad sean dirigidas a las áreas más críticas, o de mayor prioridad. Este trabajo permite dar prioridad a las acciones que son más urgentes, al dirigir los costos y optimizar los recursos donde realmente sean necesarios. Para entender mejor lo anterior revisemos los siguientes ejemplos: Ejemplos
En la banca financiera las acciones de seguridad debieran probablemente enfocarse principalmente en aquellos procesos que involucren transacciones monetarias, que son aquellas de mayor prioridad dada la naturaleza de su negocio. Por otra parte, si en una empresa existen áreas que son comúnmente atacadas y afectadas, es posible que sea necesario atender primero estos procesos dado los riesgos que pudieran presentar para la seguridad de la información en la empresa. O bien, si en la empresa existen áreas que son importantes para la reducción de costos, pudiera ser importante considerarlas como clave y de alta prioridad para las acciones de seguridad por tomar.
<!– Identificación de la relevancia de la seguridad en los procesos de Ejemplos
El siguiente diagrama muestra la manera en la que podemos tomar alguno de los procesos importantes en nuestra empresa e identificar los posibles ataques o las áreas con mayor vulnerabilidad para después de un análisis, saber hacia dónde dirigir los esfuerzos de más prioridad y mayor capacidad de recursos.
La identificación de los riesgos de seguridad permite aclarar las ideas e identificar los posibles riesgos para la seguridad. La información se recopila en forma de amenazas, vulnerabilidades, puntos débiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fácil de recordar para identificar las amenazas y los posibles puntos débiles.
La suplantación de identidades es la capacidad de obtener y usar la información de autenticación de otro usuario. Un ejemplo de suplantación de identidad es la utilización del nombre y la contraseña de otro usuario.
La alteración de datos implica su modificación. Un ejemplo sería alterar el contenido del cookie de un cliente.
El repudio es la capacidad de negar que algo haya ocurrido. Un ejemplo es que un usuario cargue datos dañinos en el sistema cuando en éste no se puede realizar un seguimiento de la operación.
La divulgación de información implica la exposición de información ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgación de información es la capacidad de un intruso para leer archivos médicos confidenciales a los que no se les ha otorgado acceso.
Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consiste en dejar un sitio Web inaccesible, al inundarlo con una cantidad masiva de solicitudes HTTP.
La elevación de privilegios es un proceso que siguen los intrusos para realizar una función que no tienen derecho a efectuar. Para ello se explota una debilidad del software o se usan credenciales de forma ilegítima.

–>

Identificación de la Relevancia de los Activos

Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, qué tan importante es para nuestro negocio en comparación con el resto de los activos de la empresa para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario.
La relevancia de los activos en los negocios de la empresa, marcará el rumbo definitivo de las acciones de seguridad en la empresa.
Para alcanzar el objetivo de identificar la relevancia de los activos, el análisis de riesgos busca proveer datos cuantitativos y cualitativos sobre el nivel de seguridad existente en la organización, para que se puedan realizar las acciones y cumplan  su propósito en cuanto a la seguridad de la información, como garantizar su confidencialidad, integridad y disponibilidad.
En verdad, el análisis de seguridad es el reconocimiento de todo el entorno en el que se pretende implementar seguridad, para que puedan cumplir los siguientes propósitos:

  • Identificar los puntos débiles para que sean corregidos, es decir, con esto disminuir las vulnerabilidades presentes en los activos de los procesos de negocios.
  • Conocer los elementos constituyentes de la infraestructura de comunicación, procesamiento y almacenamiento de la información, para dimensionar dónde serán hechos los análisis y cuáles elementos serán considerados.
  • Conocer el contenido de la información manipulada por los activos, con base en los principios de la confidencialidad, integridad y disponibilidad.
  • Dirigir acciones para incrementar los factores tecnológicos y humanos en las áreas críticas y desprotegidas.
  • Permitir una gestión periódica de seguridad, con el objetivo de identificar nuevas amenazas y vulnerabilidades, además de la verificación de la eficacia de las recomendaciones provistas.

Definición del Equipo Involucrado para Entrevistar a los Usuarios.

Uno de los aspectos importantes para la realización del análisis de riesgos es dimensionar de forma adecuada el recurso humano requerido para su  elaboración. Esto es importante dado el costo que representa para la empresa pero de la elección que hagamos de este recurso depende el éxito del análisis de riesgos. La entrevista a los usuarios nos permite conocer cada uno de los procesos de la empresa a través de los ojos de los actores que los llevan a cabo. Además tienen la oportunidad de recibir una retroalimentación que nos permite conocer a mayor profundidad los posibles riesgos en sus actividades diarias.

Integración del Equipo involucrado

La definición del equipo humano es muy importante, tanto para dimensionar la fuerza de trabajo necesaria para la realización del análisis de riesgos (analistas de seguridad), como para aquellos que se encargaran de entrevistar a las personas involucradas en procesos de negocio (entrevistadores) que proveerán de información vital para el proyecto de análisis de riesgos; y además, serán los responsables por el acceso a los activos para la recolección de información.
En la gráfica muestra otras consideraciones que al momento de definir el equipo de trabajo involucrado en el análisis, tienen que ser tomados en cuenta.

Entrevista a los usuarios

Junto con el análisis técnico de riesgos dentro de la empresa, el equipo de trabajo tendrá la tarea de realizar entrevistas a los empleados que participan en los diferentes procesos de negocio. Dichas entrevistas permitirán, entre otras cosas, recabar información que ayudará en la identificación de los procesos críticos de la compañía.
La entrevista a usuarios de los procesos de negocio permite:

  • Obtener detalles sobre cómo son gestionados, implementados y utilizados.
  • Hacer un mapeo de la criticidad de estos procesos frente a las circunstancias organizacionales a que está sometido,
  • Definir el nivel de capacitación necesaria del equipo involucrado en su sustentación
  • Conocer la forma con que se da el flujo de información dentro del proceso,
  • Conocer la forma de uso y tratamiento de sus productos derivados, entre otras cosas.

Es fundamental que los usuarios de los procesos de negocios (tanto quienes los administran como aquellos que los respaldan y utilizan) muestren el grado de conciencia que tienen con relación al nivel crítico de la información que manejan. De esta manera, es posible evaluar hasta qué punto el equipo involucrado es consciente de los procedimientos de seguridad necesarios para la continuidad de dicho proceso.
Las entrevistas a los usuarios pueden servir como guía de los análisis técnicos, puesto que rastrean a los involucrados con la administración de los activos que serán analizados y considerados con relación a las vulnerabilidades que puedan desencadenar amenazas al proceso de negocio. También en dichas entrevistas pueden ser detectados nuevos elementos humanos o tecnológicos que hacen parte del proceso de negocio y que también necesitan ser analizados.

Análisis Técnico de Seguridad

El análisis técnico de seguridad, representa una de los puntos clave dentro del análisis de riesgos en la compañía. Dado que como hemos mencionado antes, la información es hoy en día uno de los principales activos en las empresas y dicho análisis indicará el nivel de seguridad con el que se cuenta actualmente dentro de la empresa.

A través de éste se hacen las colectas de información sobre la forma en que los activos: fueron configurados, estructurados en la red de comunicación, y la forma en que son administrados por sus responsables.
El análisis técnico es la forma en que se obtiene la información específica de como son gestionados en general los activos de la empresa. De esta forma, es posible identificar, en las entrelíneas de las configuraciones, la forma en que son utilizados y manipulados, buscando identificar vulnerabilidades de seguridad.
En el proceso de análisis técnico de seguridad, diversos tipos de activos son considerados, según sea el ámbito definido al inicio del proyecto, con el  propósito de monitorear las vulnerabilidades presentes a través de errores de configuración o desconocimiento de las posibilidades de ataque por amenazas potenciales.
Dentro de los activos tecnológicos analizados técnicamente, podemos listar los siguientes:

En las Estaciones de trabajo

Son la forma con que estas están configuradas para evitar que los usuarios (con frecuencia de forma inconsciente) permiten la acción de amenazas.

En los Servidores

Los servidores son analizados con prioridades en relación a sus normas de acceso definidas. Se revisan cuáles son los tipos de usuarios que tienen derechos a cuál tipo de información, con base en la clasificación y con relación a la confidencialidad de las informaciones para identificar el exceso o falta de privilegios para la realización de tareas.
El enfoque principal se encuentra en los ficheros de configuración y de definición de usuarios que tienen derechos de administración del ambiente, una vez que son los privilegios de administración los que más amenazan los entornos de tecnología y también son los más anhelados por los invasores.
La interacción que estos servidores tienen con las estaciones de trabajo de los usuarios, con las bases de datos y con las aplicaciones que respalda son el objeto del análisis técnico de servidores, independientemente de sus funciones: como ficheros, correo electrónico, FTP, Web y otras.

En los Equipos de conectividad

El análisis de equipos de conectivicdad está centrado en la detección de configuraciones que ponen en riesgo las conexiones realizadas por la red de comunicación que respalda un proceso de negocio.
Se debe identificar en este análisis la manera en que estos activos han sido configurados: dispositivos de ruteo, parámetros, módems, estaciones nodales, FRADs (dispositivo de acceso a transmisión de cuadro), puentes y otros.
Estos equipos deben poseer un nivel de seguridad muy alto, pues por lo general se sitúan en la entrada de una red de comunicación. Al aplicarse un alto nivel de configuración a estos activos, el acceso externo a la red del proceso de negocio, estará naturalmente más protegido.

En las Conexiones

Las conexiones de comunicación entre las redes deben estar seguras: fibra óptica, satélite, radio, antenas… Para eso, es importante realizar actividades de análisis sobre la forma con que las conexiones están configuradas y dispuestas en la representación topológica de la red. Esto garantiza que la comunicación sea realizada en un medio seguro, encriptado (cifrado) si fuere necesario, libre de posibilidades de rastreo de paquetes o mensajes, y también como el desvío de tránsito para otros destinos indeseados.

En las Bases de datos

Las bases de datos representan un elemento de importancia extrema en la cadena comunicativa, pues almacenan informaciones relativas a los procesos de negocio y con frecuencia, sobre los usuarios de los procesos de negocio. La manera en que la base de datos conversa con las demás aplicaciones de lectura de sus informaciones es uno de los primeros elementos que deben ser analizados. También son evaluados los niveles de confidencialidad, integridad y disponibilidad de las informaciones que allí están, para que se puedan identificar las necesidades de protección y configuración de seguridad para que la información disponible esté de acuerdo con los principios de la seguridad de la información. En las bases de datos son evaluados los privilegios de los usuarios con relación a los permisos de uso, principalmente en lo que se refiere al acceso de aplicaciones que hacen la lectura y escritura de estas informaciones.

En las Aplicaciones

Las aplicaciones son los elementos que hacen la lectura de las informaciones de un proceso de negocio u organización. De esta manera son un elemento muy crítico, puesto que están haciendo la interfaz entre diversos usuarios y diversos tipos de información con relación a la confidencialidad, integridad y disponibilidad. Se considera, por lo tanto, que las aplicaciones deben garantizar un acceso restrictivo, con base en los privilegios de cada usuario, las informaciones que ellas manipulan, al garantizar que sus configuraciones estén de acuerdo con los principios de seguridad establecidos (muchos de los cuales son reconocidos por organismos internacionales) con relación a la disponibilidad de la información, la manera con que la aplicación la lee, guarda y transmite, la forma cómo la aplicación fue desarrollada, cómo son actualizadas y almacenadas sus fuentes, y otras más.

El análisis de riesgos busca también identificar en el entorno físico cuáles son las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. Por ello, se observan y consideran una serie de aspectos dentro de un entorno organizativo en el cual se realizan los trabajos de análisis.
Nuestro entorno debe estar organizado de tal forma que garantice la continuidad y el buen desempeño de las actividades individuales como la manutención debida de los activos.
Preocupaciones como el exceso de humedad o calor, la disposición de los cables de datos y eléctricos, la existencia de fallas en la organización del entorno, pueden exigir la reestructuración del espacio físico para permitir un área de trabajo que sea segura, y por lo tanto, la información de la organización se encuentre también segura. Eso quiere decir que aspectos como control de acceso, disposición topográfica de áreas y activos críticos, salubridad de los ambientes de trabajo (cuidado de la salinidad, humedad, luz, viento, lluvia, inundaciones) deben ser analizados bajo la perspectiva del análisis de seguridad física.

Análisis de seguridad física
El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad.
Estos ambientes deben ser observados con relación a lo siguiente:
Disposición organizativa Se considera la disposición organizativa en especial sobre: La organización del espacio con relación a cómo están acomodados los muebles y los activos de información que las áreas de circulación de personas en lugares de alto transito estén libres de activos valor o importancia que los activos de alta importancia se ubiquen en áreas libres de acceso de personas que no están autorizadas para operarlos.
Sistemas de combate a incendio Se considera la disposición de los mecanismos de combate a incendio, cuidando que estén en los lugares adecuados: Los detectores de humo, los aspersores de agua, los extintores de incendio, entre otras cosas.
Control de acceso Se ocupa de la disposición de sistemas de detección y autorización de acceso a las de personas, para esto se hace uso de: Cámaras de video, hombres de seguridad, trinquete para acceso, mecanismos de reconocimiento individual, entre otros.
Exposición a clima y medio ambiente Disposición de las ventanas y puertas de áreas críticas. Se preocupa que se encuentren ubicadas próximas a activos críticos, Si los activos críticos reciben luz solar o posibilidad de amenaza causadas por los fenómenos de la naturaleza, como viento o lluvias fuertes.
Topografía Se interesa en la localización del centro de procesamiento de datos, de la sala de cómputo o del sitio de servidores, o cualquier área crítica con relación a la topografía del terreno Si se encuentran en el subsuelo, al alcance de inundaciones, próximas a áreas de riesgo como proximidad al mar, ríos o arroyos o áreas de retención de agua o con posibilidad de pérdidas de cañerías hidráulicas.

Revisar los planos de las oficinas para localizar salidas de emergencia y dispositivos de prevención de incendios y verificar que cumplan con las normas de seguridad necesarias. Analizar la localización de los activos de alto valor de la empresa y verificar que se encuentren en áreas de acceso restringido.

Relevancia de los activos para los Resultados

En el análisis de riesgo se sugiere la valoración de la relevancia del proceso de negocio. Esta valoración permite tener una idea del impacto que un incidente de seguridad puede causar al proceso de negocio, al llevar en consideración el valor estratégico que posee para la organización como un todo.
Cuanta mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso.
La consideración de la relevancia también permite que sean dirigidas acciones de corrección de problemas en los activos de mayor prioridad en el momento del análisis, pues son parte de procesos de negocio de alta relevancia.

Los resultados del análisis de riesgos

Una vez que se realiza el análisis de riesgos, la organización tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.
Cuando se sabe que las innovaciones tecnológicas son cada vez más recuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos. Una vez que se tienen las recomendaciones, se inician las acciones de distribución de ellas para corregir el entorno y reducir los riesgos a que está sometida la infraestructura humana, tecnológica, de procesos y física que respalda a uno o más procesos de negocio de una organización. De esa manera es posible implementar en los activos analizados, y también en los activos de mismas características que los analizados, las medidas de corrección y tratamiento de las vulnerabilidades.
Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad para corrección de las vulnerabilidades.
El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.
Comprender la importancia real del análisis de riesgos con el primer paso en la implementación de seguridad, al permitir que se conozca todo el entorno en que se realiza un proceso de negocio del punto de vista procesal, físico, humano y tecnológico.
A partir de este diagnóstico, tanto de las vulnerabilidades como del impacto que ellas pueden traer al negocio (obtenido con la puntuación de la relevancia de los procesos de negocio y sus activos) es posible implementar medidas correctivas, preventivas y de detección que se hagan necesarios para el alcance de los objetivos de la organización.