LABORATORIOS FARMA, S.A.

PLAN DE GESTIÓN DE SEGURIDAD DE ACTIVOS DE

INFORMACIÓN
CASO ESTUDIO: LABORATORIOS FARMA, S.A

Rossiveth Alejandra, Medina Materan

ASESOR EMPRESARIAL: Díaz, Carlos.
CONSULTOR ACADÉMICO: Blanco, Elizabeth
UNIVERSIDAD TECNOLÓGICA DEL CENTRO
Guacara, Julio 2016
 PLAN DE GESTIÓN DE SEGURIDAD DE ACTIVOS DE INFORMACION.

Autor. Medina Materan, Rossiveth Alejandra

Universidad Tecnológica del Centro.

Email. Ross-iv001@hotmail.com

Resumen

La presente investigación tuvo como finalidad la propuesta de un plan de gestión de seguridad

de activos de información orientado a la capacitación de los usuarios pertenecientes a Laboratorios
Farma, S.A., definiéndose como una herramienta que permitirá promover una conducta segura y ayudar
a generar conciencia de mantener segura la información de amenazas que puedan causar daños a corto
o largo plazo. Los resultados de este plan están basados en la reducción de tiempo de respuesta ante
cualquier ataque interno o externo y la toma de medidas de prevención a tiempo. En cuanto a las
conclusiones, se pudo evidenciar que la seguridad de la información tiene un gran impacto para la
organización ya que permite minimizar en lo más mínimo las fallas y vulnerabilidades que pueda tener
cualquier activo de información .

Palabras Clave: activos de información, seguridad de la información, capacitación.

Introducción

Laboratorios Farma, S.A, es una empresa dedicada a la producción y comercialización de

fármacos, especializada en productos OTC (de promoción en medios) y OTX (de promoción en medios
y a médicos). En el tiempo se ha consolidado en el mercado nacional, ocupando en la actualidad el
liderazgo en la venta de productos farmacológicos. Razón por la cual se encuentran bajo un constante
incremento en la información que manejan, que a su vez resulta de vital importancia para las
operaciones y/o procesos que se llevan a cabo, cualquier persona que haga uso de la información de
manera incorrecta estará siendo afectada, esto se debe a que no tienen el conocimiento de la
información e aplicaciones que manejan diariamente. Como lo menciona Aguirre, J; Aristizabal, C
(2013) en su trabajo de grado Diseño Del Sistema De Gestión De Seguridad De La Información Para
El Grupo Empresarial La Ofrenda.
 “Actualmente la información y los datos poseen una importancia
decisiva en la gran mayoría de organizaciones, convirtiéndose así en
su activo más importante. Es por esto que el personal debe entender
la importancia que tienen las políticas de seguridad y procedimientos
de seguridad de información.”

La siguiente investigación tiene como propósito el diseño de un plan de gestión de seguridad de

activos de información orientado a la capacitación de los usuarios. El cual permitirá generar una
conducta segura en los mismos, debido a que se promueve la adopción de medidas que darán prioridad
a soluciones en lugar de limitarse a registrar los peligros, a su vez ayudará a la empresa a tener y/o
generar conciencia permanente de mantener segura la información de riesgos y amenazas que pueden
ocasionar grandes daños tal como lo expone Carazo, O (2013) en su trabajo de grado Elaboración De
Un Plan De Seguridad De La Información.

“La confección de un plan de seguridad, es la base del proceso de

mejora continua en materia de seguridad para una empresa y las
actividades que desarrolla en ella. Permitiendo conocer el estado de
la misma y plantear las acciones necesarias para minimizar el
impacto de los riesgos potenciales a los que se encuentran expuesta.”

La puesta en marcha de un plan y/o un sistema bajo la metodología adecuada añade grandes
ventajas ya que como lo explica Barrantes, C; Hugo, J (2012) en su trabajo de grado Diseño E
Implementación De Un Sistema De Gestión De Seguridad De Información En Procesos Tecnológicos.

“En la actualidad, muchas empresas en el ámbito financiero tienen

problemas para resguardar la seguridad de su información, en
consecuencia corren riesgos al igual que sus activos. El propósito de
dicho trabajo se centró en la implementación de un sistema de
gestión de seguridad de información (SGSI), bajo una metodología
de análisis y evaluación de riesgos; usando como referencia las
normas ISO 27001:2005 e ISO 17799:2005.”
 Ya que al conocer los principales factores de riesgos que afectan los activos de información se
disminuye el tiempo de respuesta ante a un ataque interno o externo y se toman medidas de prevención
a tiempo.

Desarrollo teórico

Dada la naturaleza de la investigación realizada, la principal herramienta para la recolección de

datos fueron la observación directa del método de trabajo y la entrevista no estructurada ya que
permiten determinar de manera rápida y precisa los procedimientos que llevan a cabo, el tiempo de
respuesta y como se está realizando lo que permite agilizar el desarrollo de la investigación.

El principal objetivo de la investigación fue proponer una serie de recomendaciones orientados

al cumplimiento de normas, procedimientos y estándares informáticos, con el fin de crear una cultura
de seguridad en toda la organización, mejorando o proponiendo nuevos estándares de seguridad para
salvaguardar la integridad de la información. De la misma forma dar a entender que las tecnologías de
la información son fundamentales para el desarrollo y superación de cualquier organización.

Métodos, Instrumentos y Herramientas

En cuanto a los instrumentos de recolección de datos, se utilizó la observación directa y la

entrevista no estructurada, debido a que permiten evidenciar todas las fases del proceso en cuestión,
brindándole al investigador la oportunidad de identificar las fallas que presentan y de igual manera
posibilita la formulación de posibles soluciones a la problemática y evaluar el impacto que tienen las
mismas.

En relación a las herramientas necesarias para la elaboración del proyecto, fueron de fácil
acceso ya que se encontraban dentro de la empresa y fueron suministradas por el área de soporte
técnico. Las herramientas suministradas fueron docs., gmail, hojas de cálculo, drive que ayudaron
como soporte para plasmar las ideas del investigador, de igual forma acceso a internet para el envío y
búsqueda de información referente a la investigación

Resultados

Fase I: Diagnóstico de la situación actual de la empresa.

Actividad I: Observación del Método de trabajo actual

 Con la grata aceptación del
Tabla 1 Estado Civil y familias consituido por las pioneras de la psicologia estadounidense.
departamento y una dedicada observación al mismo, se pudo recolectar distintos resultados y
conclusiones como lo son:
 No existe una conducta segura por parte de los usuarios hacia la seguridad de los activos
de información.
 No se evalúa integralmente y de manera previa el impacto de los cambios.
 Interrupciones del servicio y re-trabajo por cambios no exitosos.
 Escaso adiestramiento sobre el uso y la importancia de las aplicaciones e información
que los usuarios manejan.

Actividad II: Realizar entrevistas no estructurada a las personas del departamento que se
involucra en el proceso.

Se entrevistó a una persona responsable, los resultados de dicha entrevista fueron positivos
Laboratorios Farma, S.A está abierto al cambio y gestión del mismo. Se llegó a la conclusión que
implementando un proceso de capacitación se pueden llegar a beneficios tales como:

 Aumento del conocimiento por parte de los usuarios.

 Aprovechamiento correcto de las aplicaciones e información.
 Desarrollo del sentido de responsabilidad a través de una mayor competitividad y
conocimientos apropiados.
 Mantener permanentemente actualizado a los usuarios frente a cambios tecnológicos que
se generen.

Fase II: Determinación de las estrategias que contribuyan para solventar o minimizar las
debilidades detectadas.

Actividad I: Elaboración de Cuadro FODA.

Por medio de investigación y observación en conjunto con Laboratorios Farma, S.A, se realizó
un cuadro FODA, donde se indica con más profundidad las oportunidades, amenazas, debilidades y
fortalezas que tiene actualmente el departamento.
 Cuadro N°1:

Cuadro FODA. Fuente: Medina, R (2016)

Fortalezas Oportunidades
- Personal capacitado para atender las - Aprovechamiento del capital intelectual
necesidades del área de del personal
- soporte. - Visión enfocada en la innovación de
- Equipos y sistemas de información sistemas de información y tecnología
modernos.

Debilidades Amenazas
- Ausencia de un sistema de respaldo de - Poco personal para atender todas las
información. demandas y desarrollos.
- Carencia de un plan de capacitación
para los usuarios.
Cuadro N°1. Cuadro FODA. Elaborado por: Medina, R (2016). Sujeto: Área de Soporte Técnico de Laboratorios Farma,
S.A.

Actividad II: Aplicación de Matriz DOFA

 Se realizó una matriz DOFA para determinar las estrategias que ayudarían en el diseño del plan
de gestión de seguridad de activos de información.

Cuadro N°2:

Matriz DOFA. Fuente: Medina, R (2016)

Fortalezas Oportunidades
Personal capacitado para Visión enfocada en la
atender las necesidades del innovación de sistemas de
área de soporte. información y tecnología

Debilidades Estrategia FD Estrategia OD

Carencia de un plan de Diseño de un plan de gestión Adquisición de un sistema
capacitación para los de seguridad de activos de de backup que permita
usuarios. información haciendo uso resguardar la información

Ausencia de un sistema de del personal del de los usuarios.

respaldo de información. departamento de soporte

técnico con el fin de lograr
una conducta segura en los
usuarios.
Cuadro N°2. Matriz DOFA. Elaborado por: Medina, R (2016).

Fase III: Diseño de un plan de gestión de seguridad de activos de información.

Se busca elaborar de manera efectiva el diseño de la propuesta de capacitación de usuarios, para

que en un futuro cercano pueda ser implementada con las herramientas planteadas

Actividades:

 Diseñar una serie de recomendaciones basado en la capacitación de usuarios, que

permitirá a Laboratorios Farma, S.A aplicarlo eficiente y eficazmente.
 Finalmente, se diseñaron las recomendaciones que traerá a Laboratorios Farma, S.A beneficios muy
importantes ya que generará conciencia, sensibilización y una conducta segura en todos los usuarios y a
su vez establecer o mejorar las políticas de seguridad alineadas con las estrategias organizacionales,
determinando las vulnerabilidades de la misma y desarrollando planes de contingencia que ayuden a
velar por la seguridad de su información.

- Adoptar una serie de medidas de seguridad suficientes con el fin de que los datos, información,
sistemas estén protegidos.
- Hacer copias de seguridad de todos los datos empresariales importantes ya sea de forma manual
en las que los usuarios determinen la información y periodicidad para llevar a cabo el respaldo o
de forma automática mediante herramientas de software.
- Establecer tiempos de respaldo, con el fin de que la información se mantenga constantemente
actualizada, es recomendable hacer dos copias de seguridad por día dependiendo de la
información que se maneja y lo critico que sea la misma para el desarrollo de la organización.
- Seleccionar y dividir la información, de manera que no exista confusión al momento de ser
guardada en los medios de almacenamiento, es recomendable dividirlas en dos grupos:
información de menor importancia y de mayor importancia.
- El monitoreo y la evaluación continua deben ser parte integral de un buen plan de gestión de
seguridad de activos de información en donde se lleve a cabo evaluaciones de riesgos, escaneo
de vulnerabilidad periódicamente y programando auditorias menor o igual a tres meses para
obtener visibilidad continua de las brechas de seguridad y las actividades de corrección.
- Realización de charlas y/o talleres, ya que una gestión adecuada de la seguridad no solo se
centran en hacer uso de sistemas informáticos, sino que se debe aumentar la conciencia de los
usuarios de las diferentes áreas de la empresa sobre los riesgos existentes y los cuidados que
deben tener con la información que manejan. Con esto se quiere lograr que el principal riesgos
que es la falta de conducta segura se transformé en una oportunidad.
- Es recomendable determinar un periodo no mayor de un mes en donde cada usuario deba
cambiar su contraseña con el fin de mantener más segura su información, en el cual hagan uso
de: letras mayúsculas, minúsculas, números y símbolos del teclado.
- Hacer más de un respaldo de la información ya que no basta con tener uno debido a que los
respaldos también son susceptibles a factores externos o fallas a la hora de la restauración,
 haciendo uso de las mejores alternativas de almacenamiento que cumplan con los objetivos y/o
principios de la organización.

Conclusiones

1. La seguridad de la información es un compromiso de todos los niveles de la empresa. El

progreso de la tecnología y del conocimiento de los usuarios ya sean utilizadas con buena o
mala intención, vuelven más vulnerable a la información exponiéndola a diversas amenazas
tanto internas como externas y convirtiendo a la misma poco confiable.

2. La seguridad de la información no depende única y exclusivamente del Diseño del Plan de

Gestión de Riesgos Informáticos, faltaría la implantación, evaluación y mejoras a dicho
plan.

3. El fin de este trabajo es el de promover una cultura de seguridad en todos aquellos usuarios
que hagan uso de la información e aplicaciones que maneja Laboratorios Farma, S.A.

Referencias

Aguilar, J. (2010). El diagnóstico de capacitación. Network de psicología. [Libro en Línea]. Disponible

en: http://es.slideshare.net/J0R6454ND0V4L/diagnosticos-denecesidadesdecapacitacion [Consulta: 25
de mayo de 2016].

Aguirre, J; Aristizabal, C. (2013). Diseño del sistema de gestión de seguridad de la información para el
grupo empresarial la ofrenda. [Tesis en Línea]. Disponible en:
http://repositorio.utp.edu.co/dspace/bitstream/11059/4117/1/0058A284.pdf [Consulta: 22 de mayo de
2016].

Alegsa, L. (2010). ¿Qué significa aplicación? Disponible en:

http://www.alegsa.com.ar/Dic/aplicacion.php [Consulta: 25 de mayo de 2016].
Barrantes, C; Hugo, J. (2012). Diseño e implementación de un sistema de gestión de seguridad de
información en procesos tecnológicos. [Tesis en Línea]. Disponible en:
http://www.repositorioacademico.usmp.edu.pe/bitstream/usmp/609/3/barrantes_ce.pdf [Consulta: 22 de
mayo de 2016].

Carazo, O. (2013). Elaboración De Un Plan De Seguridad De La Información. [Tesis en Línea].

Disponible en:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23004/6/ocarazotTFM0613memoria.pdf
[Consulta: 22 de mayo de 2016].

Ficem. (2014). ISO 55000 Gestión de activos. Disponible en:

http://ficem.org/boletines/boletines2014/BOLETIN_DE_RESULTADOS_CT_2014_/PRESENTACIO
NES_CT_2014/3_MANTENIMIENTO/1_CARLOS%20MARIO
%20BEDOYA_ARGOS/GESTION_ACTIVOS_APORTE_MTTO_2014_V4.pdf [Consulta: 25 de
mayo de 2016].

Mifsud, E. (2012). MONOGRÁFICO: Introducción a la seguridad informática - Seguridad de la

información / Seguridad informática. Observatorio Tecnológico. [Revista en Línea]. Disponible en:
http://recursostic.educacion.es/observatorio/web/ca/software/software-general/1040-introduccion-a-la-
seguridad-informatica?start=1 [Consulta: 25 de mayo de 2016].

Mifsud, E. (2012). MONOGRÁFICO: Introducción a la seguridad informática - Políticas de seguridad.

Observatorio Tecnológico. [Revista en Línea]. Disponible en:
http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-introduccion-a-la-
seguridad-informatica?start=4 [Consulta: 25 de mayo de 2016].

Muños, C. (2010). ¿Qué es un activo de información? Disponible en:

https://camiloangel.wordpress.com/2010/09/03/%C2%BFque-es-un-activo-de-informacion/ [Consulta:
25 de mayo de 2016].

Téllez, J. (1988). Contratos informáticos. [Libro en Línea]. México. Disponible en:

https://books.google.co.ve/books?id=m-
MwmFPGCxQC&pg=PA33&dq=definicion+de+riesgo+informatico&hl=es&sa=X&ved=0ahUKEwiq
kPn29JrNAhUEHB4KHThiAHAQ6AEIGjAA#v=onepage&q=definicion%20de%20riesgo
%20informatico&f=false [Consulta: 25 de mayo de 2016].

Thompson, I. (2008). ¿Qué es la información? Disponible en:

http://www.promonegocios.net/mercadotecnia/que-es-informacion.html [Consulta: 25 de mayo de
2016].