La empresa y sus situaciones de riesgo inherente

...

Plan estratégico de la empresa

A tratarse de una empresa de la que se pretende conservar su confidencialidad, su plan estratégico el cual es público y visible desde internet, se modificara para evitar la relación directa de cuál es la empresa de la que se habla.

Misión: “Ser un Laboratorio Farmacéutico que genere y ofrezca avances médicos para mantener con salud a la sociedad, garantizando la excelencia en investigación, desarrollo, producción y comercialización.

Ser reconocidos por nuestros socios, clientes, competidores y público en general, como una empresa socialmente comprometida y apegada a los más altos principios éticos”.

Visión: “Llegar a ser uno de los Laboratorios farmacéuticos más reconocidos a nivel mundial por sus avances y aportaciones a nivel mundial, así como por su responsabilidad social, además ser líderes en cada área terapéutica donde participemos y convertirnos en una de las mejores empresas para trabajar e invertir”.

2- Lo que se resolverá / mitigará, los controles que se implementarán y el riesgo residual que quedará ======================================

La empresa “Laboratorio Farmacéutico” cuenta con una gran cantidad de empleados distribuidos entre las distintas áreas de investigación , todos comparten un dominio entre sí, una misma intranet y dependiendo del área en la que laboren tienen acceso a información específica de cada área clasificada como confidencial y que es propiedad de la empresa, esta puede ir desde en itinerarios de personal, estados financieros, nominas, información personal de los empleados, claves de acceso, permisos de acceso a diferentes áreas, expedientes, avances de investigación, recetas, patentes, entre otros.

Como es de esperar, ninguna empresa por mayor normatividad en seguridad que ejerza sobre los trabajadores, las estrictas políticas y restricciones de seguridad a las que pueda recurrir puede garantizar que no existan factores que supongan un riesgo real para la organización, supongamos: puede darse el caso de personal inconforme que, debido a falta de prestaciones a las que se tiene derecho , un sueldo insuficiente, gran demanda de trabajo, falta de gratitud por parte de la empresa o incluso hasta por desacuerdo de cómo opera la empresa o por cosas que no le parezcan de ella, puede revelar datos internos de forma anónima a terceros que puede repercutir en la obtención de información confidencial que genere una entrada o vulnerabilidad para ataques futuros.

Otro factor que mencionaremos más adelante es que la posible falta de concientización por parte del personal sobre las medidas de seguridad que no puede estar considerando como que siempre debe de eliminar de su cuenta de correo los correos que contengan información sensible que pudiera ser recuperada, copiada o visualizada en un futuro por personas que no sean destinatarios o no estén autorizados para acceder a esa información en su lugar.

También puede darse el caso de que personal de un área que no esté instruida o capacitada para detectar y contrarrestar ataques de ingeniería social y que de este modo pueda revelar información confidencial, conceder accesos o realizar acciones que favorezcan al atacante sin darse cuenta, por medio del engaño, influencia o abuso de confianza al ser una empresa que posee una gran cantidad de información sensible de la que se pueden obtener beneficios económicos, al tratarse de la industria del entretenimiento y que relativamente todo lo que salga de ahí, puede ser de interés público.

Lo primero que intentaremos mitigar es otra intrusión en la intranet de la empresa, para ello lo primero que deberemos de incluir como medidas de seguridad es ofrecer una capacitación a toda persona que esté involucrada en el directorio activo del dominio sobre las posibles acciones que pueden generar vulnerabilidades sin que nos demos cuenta, los métodos que pueden utilizar los atacantes, y de esta forma poder ayudar a que los asociados tengan presente como es que piensan este tipo de personas maliciosas y de este modo poder contrarrestar estas acciones, de igual modo se debe de incorporar nuevas políticas, restricciones y control de acceso en permisos para poder administrar el sistema por parte del área de sistemas.

De igual forma también se debe de monitorear constantemente al personal del área de sistema para evitar posibles filtraciones de información, asegurar que no hay personas que puedan tener acceso directo y puedan estar involucradas en ataques, programar constantemente pruebas de penetración, auditorias, configurar correctamente el firewall, los puertos y demás servicios. La mejor forma para mantener el control del área de sistemas sería por medio de auditorías por una empresa de consultoría de seguridad independiente, Así como la implementación de sistemas distribuidos multiplataforma, para de este modo tener un acceso limitado a la infraestructura de telecomunicaciones.

Entre el riesgo residual que se puede encontrar seria que la empresa de consultoría externa acceda a información sensible sobre la empresa para el trabajo de auditoria como el tipo de infraestructura de la intranet, el tipo de cifrado que se utiliza, la tecnología que aplica, las puertas traseras que se pudieran estar generando para poder realizar las pruebas de penetración entre otros datos que pueden generar un perfil para futuros ataques externos o poder vender esa información a la competencia.

Otro de los factores de riesgo a los que se está expuesto y que se intentara mitigar es que el personal para su identificación y control de acceso utiliza credenciales inteligentes basadas en un ID, que contiene los datos del empleado, el nivel dentro de la organización, y el área a la que está apoyando, de forma que puede como lo dijimos anteriormente poder tener apertura a diversas áreas específicas que están restringidas para un grupo selecto y que puede generar libertades dentro de la empresa para acceder o interactuar tanto con el sistema, el acceso a contraseñas, códigos de seguridad y contraseñas, ya que al tener por radiofrecuencia todo un perfil se puede llegar a burlar el sistema y proceder con una suplantación de identidad en caso de robo del identificador personal.

3- Problemática con los niveles organizacionales (directivo, gerencial y

operativo) ===================================================

Es por esto que como medida de prevención, se deberá de contar con una triple autenticación, la cual consta del registro físico con los elementos de seguridad para poder