37 minute read
PAULATINE DEVELOPMENT OF THE MIPYME IN THE AGRICULTURAL SECTOR. A CASE STUDY OF: “GRANJA ACUÍCOLA LOS TULES
from Testlapalli número 6
by omar24_ga
MIPYMES
PAULATINE DEVELOPMENT OF THE MIPYME IN THE AGRICULTURAL SECTOR. A CASE STUDY OF: “GRANJA ACUÍCOLA LOS TULES”
Advertisement
DESARROLLO PAULATINO DE LAS MIPYME DEL SECTOR AGROPECUARIO. CASO: “GRANJA ACUÍCOLA LOS TULES”
foto: www.pexels.com
A.L. Guzmán-Elizalde 1* M.G. Alvarado Reséndiz 1 D. Galindo Herrera 1
1 Instituto de Ciencias Agropecuarias, Universidad Autónoma del Estado de Hidalgo, Av. Universidad Km 1, Ex-Hda. deAquetzalpa, C.P. 43600, Tulancingo, Hidalgo, México. * Autor de correspondencia. E-mail: ana_guzman@uaeh.edu.mx
Fecha de envío 23 de enero de 2018
ABSTRACT
The MiPymes of the aquaculture sector in Hidalgo State, face a marketing problem with regard to the promotion of trout consumption. In this study, we focus on “Los Tules”, an Aquaculture Farm, where Rainbow Trout (Oncorhynchusmykiss) is fattened and commercialized in a restaurant located on the same premises. Through market research carried out in 2015,and an advertising plan made in 2016, strategies for the farm were determined, to maximize trout consumption among the patrons that visit the Laguna de San Juan Hueyapan (located in the municipality of Cuautepec de Hinojosa, Hidalgo). In 2017, an impact evaluation of the market study and the advertising plan was made. Keywords: Oncorhynchus Mykiss, market research, segmentation, advertising plan
RESUMEN Las MiPymes del sector acuícola en el estado de Hidalgo, enfrentan un problema mercadológico para propiciar el consumo de trucha. En esta investigación nos enfocamos a la Granja Acuícola Los Tules donde se engorda y comercializa la Trucha Arcoíris (Oncorhynchusmykiss), a través del restaurante creado en el mismo predio de producción. Por medio de un estudio de mercado realizado en 2015 y un plan de publicidad realizado en 2016 se determinaron estrategias para la granja, con el fin de potencializar el consumo de trucha entre el turismo que visita la Laguna de San Juan Hueyapan, ubicada en el municipio de Cuautepec de Hinojosa, Hidalgo. Para 2017 se hizo una evaluación del impacto que ha tenido el estudio de mercado y el plan de publicidad antes propuesto. Palabras clave: OncorhynchusMykiss, Estudio de Mercado, segmentación, Plan Publicitario.
1. INTRODUCCIÓN Dentro del Plan nacional de desarrollo (2013-2018), se propone en la estrategia 4.1.0.4 Impulsar el aprovechamiento sustentable de los recursos naturales del país, a través de la línea de acción de impulsar prácticas sustentables en las actividades agrícola, pecuaria, pesquera y acuícola (Gobierno de la República, 2013). La visión nacional que se tiene del sistema pecuario es que sea un subsector competitivo y sustentable que permita la seguridad alimentaria, a través de productos de alto contenido nutrimental, calidad y a precios accesibles. Para lograr lo anterior, se requiere de implementar procesos de producción donde se considere la inocuidad del producto y la distribución del mismo conforme a las normatividades vigentes (normas mexicanas, leyes de sanidad animal, sistemas de calidad y sistemas económicos de competencia perfecta). Esto nos lleva a capacitar a los productores en cuestiones de producción, administración y comercialización; principalmente. Como parte de la administración se considera la financiación de proyectos a través de programas gubernamentales y de la iniciativa privada, donde los productores puedan invertir en tecnología para mejorar y sistema
tizar sus procesos, así como lograr certificaciones que validen la calidad de su producto, tanto en el mercado nacional como en el internacional. En el estado de Hidalgo se tienen registradas 969 Unidades de Producción Acuícola y 97 embalses donde se desarrolla la pesca; con lo cual se estima que en promedio más de 5 mil 600 hidalguenses se dedican a esta actividad en 75 de los 84 municipios que conforman la entidad. (SAGARPA, 2017) Existen 28 diferentes especies cultivadas que están sujetas al manejo acuícola pesquero, entre estas el género Cyprinussp (carpa) con 4 especies diferentes, el género Oreochromis (tilapia) con 3 especies, el Ictaluruspunctatus (bagre), la OncorhynchusMykiss (trucha arcoíris), la MicropterusSalmoides (lobina), el Chirostoma (charal), la Macrobrachiumcarcinus (acamaya) y el Litopenaeusvannamei (camarón blanco). El reto en el sector Acuícola es la comercialización del producto trucha, basada en la estrategia de mercado de cada UPA (diferenciación o bajo costo). (Gobierno de la República, 2013)
2. ANTECEDENTES En 2015 Se entrevistó al administrador general de la Granja “Los Tules” ubicado en la Laguna de San Juan Hueyapan en el municipio de Cuautepec de Hinojosa, Hidalgo, para obtener información de sus estrategias comerciales, siendo la principal el restaurante. En este primer acercamiento también se realizó un recorrido de reconocimiento por los estanques de producción y a las instalaciones del restaurante. Una vez conocidas las instalaciones de la granja acuícola, se procedió a realizar un estudio de mercado con el objetivo de conocer la preferencia gastronómica y de servicios que son atractivos para las personas de los municipios de Tulancingo de Bravo, y Cuautepec de Hinojosa, ambos del estado de Hidalgo, y así lograr una mayor afluencia en el restaurante “Los Tules”. El segmento de mercado al cual se dirigió el estudio, comprendía a la población de los municipios de Tulancingo de Bravo y Cuautepec de Hinojosa, de ambos sexos, con intervalos de en una edad de 30- 60 años, con ocupación principalmente de empleados, con una clase social C- (Clase Media), con un número de al menos dos integrantes en la familia,
estado civil indistinto, con gusto por la convivencia familiar, y el consumo de alimentos en restaurantes ubicados en lugares naturales. El instrumento utilizado para el estudio de mercado fue una encuesta en la que se solicitaban datos generales como: 1) sexo, 2) lugar de residencia, 3) edad, 4) estado civil, 5) actividades que acostumbra realizar los fines de semana, 6) frecuencia con la que visita restaurantes, 7) alimentos que consume en un restaurante, 8) si consume pescado, 9) el pescado que prefiere consumir, 10) interés en visitar un restaurante especializado en platillos de trucha, carpa y tilapia, 11) servicios adicionales a los gastronómicos que les gustaría encontrar en un restaurante, 12) el promedio de consumo en cada visita a un restaurante, 13) las variables que considera para frecuentar un restaurante, 14) medio de comunicación más confiable para hacer publicidad, 15) tiempo de traslado para asistir a un restaurante, 16) ubicación preferente de un restaurante. La aplicación se hizo en lugares públicos y centros comerciales con previa permiso de las autoridades correspondientes. Los resultados obtenidos fueron: 1) El 31% de los encuestados visita restaurantes con su familia. 2) el 57% de los encuestados frecuenta semanalmente un restaurante. 3) El 38% de los encuestados tienen preferencia por consumir pescados y mariscos en un restaurante. 4) El 21% de los que consumen pescados y mariscos, prefieren la trucha. 5) En cuanto a publicidad se obtuvo que la radio es el principal medio de comunicación con el 38%, seguido de la televisión con el 32%, periódico con el 16%, redes sociales con el 10%, perifoneo con el 3% y volantes con el 1%. En 2016 se realizó para “Los Tules” un plan de publicidad que consistió en direccionar la página de Facebook que tenía creada la empresa para publicar eventos en los que participa la Granja y para promocionar a través de la fotografía las diferentes presentaciones culinarias de trucha que se preparan en el restaurante, y por último para promover el turismo en La Laguna de San Juan Hueyapan. También se propuso el diseño de lonas para indicar la ruta para llegar al restaurante “Los Tules”, ya que dentro de la misma Laguna se ubican diversos restaurantes. Por otro lado, se sugirió sacar impresión de nuevas cartas que reflejen un servicio profesional y por último una lona con la impresión y logotipo del restaurante. Cabe mencionar, que pese a que
en el estudio de mercado los encuestados preferían la radio y televisión para tener información publicitaria, no se utilizaron estos medios como parte del plan de mercadotecnia, debido a los costos que representaban a la empresa.
3. METODOLOGÍA En la actualidad la publicidad es una acción que está al alcance de todas las empresas, y que dependiendo del segmento de mercado al que se quiera dirigir, al tipo de publicidad que se elija y la buena administración que se le dé puede generar un alto impacto en el mercado a un bajo costo. Para realizar la evaluación de la publicidad online que ha trabajado “Los Tules” (Los Tules, 2015), se analizaron los siguientes puntos:
3.1 Revisión de Línea de Tiempo de publicaciones Para mantener una excelente comunicación con los seguidores de redes sociales, en donde también encontramos inmerso una parte de los consumidores, es importante generar de forma continua información relevante sobre las actividades que realiza la granja y el restaurante como son: eventos internos, participación en eventos externos, modificaciones o adquisición de nueva infraestructura, nuevos menús, etc.
3.2 Tiempo de Respuesta Para los seguidores de alguna página de redes sociales es indispensable obtener una pronta respuesta a las preguntas o dudas que exponen, esto es parte del “Servicio al Cliente”; en este aspecto Los Tules están etiquetados con nivel de respuesta alto.
3.3 Número de Seguidores Se dice que entre más seguidores tengas eres más conocido; este es un dato donde los números nos pueden engañar, ya que tener miles de seguidores, no garantiza que esas personas te conozcan o peor aún que se interesen por lo que publicas; por ello, en las empresas el número de seguidores tiene impacto siempre y cuando lo que se publique lo vean, lo compartan y mejor aún asistan a los eventos que organiza la empresa o en los que participa.
3.4 Likes Las publicaciones se miden principalmente por número de likes, aunque también es importante verificar cuantos comentan y comparten la publicación.
4. RESULTADOS Y DISCUSIÓN De acuerdo a estudios de la Asociación Mexicana de Internet (AMIPCI, 2014), las empresas que contaban con página en facebook estaban posteando en promedio 7 veces a la semana; mientras que en twitter llegaban hasta los 21 tweets por semana. Los contenidos más publicados son imágenes en facebook y texto en twitter, así mismo se detecta que existe mayor interacción de los seguidores con los contenidos en facebook que en twitter, siendo los likes el 90% que representa dicha interacción. En Los Tules hace falta difundir la página de Facebook, que si bien está red social es la preferida por los mexicanos y tiene millones de personas registradas, el único beneficio que les da a las empresas es en el corto tiempo llegar a un mercado masivo; sin embargo, hay que saber estimular a las personas que hacen uso de las redes sociales para que se vean atraídas por las publicaciones que se hacen, ya que después de hacer el análisis del sitio Los Tules se encontró que en promedio hacen una publicación al mes, algunos meses cuentan con hasta con 8 publicaciones como fue el mes de diciembre donde estuvieron publicando las actividades realizadas en la 5ta feria de la Trucha, donde además se participó en el 2do Concurso Gastronómico, donde obtuvieron el 3er lugar. Actualmente Los Tules tiene 289 seguidores, los cuales ha adquirido del 16 de marzo del 2015 a diciembre 2017, lo que representa en promedio 9 seguidores por mes. Los comentarios a sus publicaciones y la compartición de las mismas es muy baja, obteniendo entre 5 y 9 likes de los 289 seguidores que tiene, lo que puede ser un indicador de que la información que publican no es de mucho interés o bien los seguidores no frecuentan la página Los Tules, quizás por el mismo desinterés.
5. CONCLUSIONES Conforme al histórico que ha tenido este proyecto y la información analizada, se tiene que la producción acuícola tiene un crecimiento favorable por la acep
tación de las personas en el consumo de carne de pescado que ofrece mayores ventajas en la salud. Para lograr un desarrollo económico más favorable para las MiPymes de este sector, es importante que trabajen constantemente, no solo en la capacitación técnica que les exigen algunas instituciones gubernamentales para mantener y/o mejorar la calidad de producción; si no que también se capaciten en estrategias comerciales, servicio al cliente, mercadotecnia y publicidad para que, a través de este desarrollo puedan posicionarse en el mercado como productos estrella, y además generar un repunte en el promedio de vida de las Micros, pequeñas y medianas empresas que se crean en nuestro país; por ello es importante dar seguimiento a estas empresas e ir monitoreando en cada nueva propuesta el impacto que va teniendo sobre el crecimiento de estas MiPymes, que en su mayoría son familiares y representan un autoempleo, y posibles ofertas de trabajo para otros.
6. AGRADECIMIENTOS
Se agradece a Granja Acuícola “Los Tules”, por su accesibilidad para continuar esta investigación que al paso del tiempo se enriquece tanto como el crecimiento de la misma Granja.
7. REFERENCIAS BIBLIOGRÁFICAS
1. AMIPCI. (2014). AMIPCI. Recuperado el 08 de febrero de 2018, de https://www.asociaciondeinternet.mx/es/estudios
2. Gobierno de la República. (2013). Recuperado el 14 de diciembre de 2017
3. Los Tules. (2015). Facebook. Recuperado el 2017 de diciembre de 14, de https://www.facebook. com/LosTULESHIDALGO/?fref=ts
4. SAGARPA. (17 de octubre de 2017). Recuperado el 14 de diciembre de 2017, de http://www.sagarpa.gob.mx/Delegaciones/hidalgo/boletines/ Paginas/2017B080.aspx
TECNOLOGÍAS DE LA INFORMACIÓN
ADMINISTRACIÓN DEL RIESGO Y TECNOLOGÍAS DE LA INFORMACIÓN: UNA PERSPECTIVA CRÍTICA
foto: www.pexels.com
Omar Alberto Jacinto-Pérez 1 A. Nayelli Gutiérrez-Cruz 1 A. Israel Vásquez-Tapia 1 Ezequiel Alpuche 1 *
1 Tecnológico de Estudios Superiores de Chimalhuacán. Calle Primavera S/N, Sta. María Nativitas, 56330 Chimalhuacán.
Fecha de envío: 12, abril, 2019
ABSTRACT: The objective of this article is to analyze the effects of risk management in the use of information technologies, this will allow the identification of priority assets, threats and vulnerabilities, in order to establish prevention and protection controls that will result in result in mitigating risk, reducing threats and raising the level of security of assets. The theoretical perspective used is the information age: the network society. The method or approach used is the qualitative one, since it highlights the main qualities of the phenomenon, the study is descriptive, and the work consists of a review of the literature. Keywords: risk management, decision making, information technology, critical perspective.
RESUMEN: El objetivo de este artículo es analizar los efectos de la administración del riesgo en el uso de las tecnologías de la información, esto permitirá la identificación de activos prioritarios, amenazas y vulnerabilida-
des, con la finalidad de establecer los controles de prevención y protección que dé como resultado la mitigación del riesgo, disminución de amenazas y elevar el nivel de seguridad de los activos. La perspectiva teórica utilizada es la era de la información: la sociedad red. El método o enfoque utilizado es el cualitativo, ya que destaca las principales cualidades del fenómeno, el estudio es descriptivo y el trabajo consiste en una revisión de la literatura. Palabras clave: administración del riesgo, toma de decisiones, tecnologías de la información, perspectiva crítica.
La administración del riesgo es verificar las amenazas potenciales que se encuentran presentes en las tecnologías y, de esa manera, hallar los mecanismos para mitigarlas, mediante el uso de una apropiada toma de decisiones en la organización o en una o varias áreas funcionales de la misma. Así, lo que se pretende es evitar la fuga de información y tener un mejor aprovechamiento de los dispositivos tecnológicos en la empresa. Siguiendo el orden de las ideas,
“Tecnología significa aplicación sistemática del conocimiento científico (u otro conocimiento organizado) a tareas prácticas. Su consecuencia más importante, al menos por lo que hace a la economía, es una función de la división y subdivisión de cada una de esas tareas en partes o fases componentes. De este modo, y sólo de este modo, puede conseguirse que el conocimiento organizado tenga una influencia en el rendimiento” (Galbraith, 1984, págs. 59-60).
La tecnología es el conjunto de avances científicos aplicados a alguna herramienta física, tales como: dispositivos, materiales, mercancías, en cuanto a los bienes se refiere; pero también los encontramos en los servicios, es decir, en los intangibles: servicios financieros, servicios educativos, servicios de salud, telecomunicaciones, entre otros. En ese sentido, hacer uso de la tecnología, conlleva riesgos inherentes y, por esa razón, es necesario gestionar el riesgo en las organizaciones. Así,
“Denominamos gestión del riesgo a la aplicación sistemática de políticas, procedimientos y prácticas de gestión a la tarea de identificar, analizar, evaluar, tratar y controlar los riesgos. Naturalmente, lo primero que es preciso señalar es que un medio libre de riesgos no existe, y que todos los procesos de cambio, al realizar cosas nuevas, implican más riesgos que los procesos habituales, aunque no es menos cierto que cada vez más el mayor riesgo es no hacer cambios. Además, a la hora de administrar el riesgo hay que encontrar el equilibrio entre los costes y los beneficios. Por tanto, es preciso definir qué nivel de riesgo es aceptable para una organización” (Varela Orol, 2009, p. 32; citado por Corda, et. al., 2017, págs. 4-5).
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad (Areíto, 2008). El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas y no sólo en medios informáticos. Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura (Areíto, 2008). El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, para nuestro caso la especialidad en el análisis y evaluación de riesgos en tecnologías de información, entre otros (Olguín, 2007). La seguridad de la información significa cuidar nuestros activos. Esto es, protegernos de los atacantes que invaden nuestras redes, desastres naturales, condiciones ambientales adversas, fallas en el suministro de energía, robo o vandalismo, u otro estado no deseable. Al final, intentamos asegurarnos de cualquier forma indeseable de ataque.
Los sistemas y la información que éstos guardan, debe estar protegida y preservada, para ello es necesario hacer un estudio real de las amenazas y de las formas en que las mismas pueden ser reducidas, por esta razón, el presente trabajo tiene como una de sus metas primordiales el orientar, sobre los aspectos importantes que se deben considerar en un Análisis y Evaluación de Riesgos en Tecnologías de Información de cualquier empresa u organización. Por ello, es necesaria una evaluación de los riesgos de seguridad a los que cada empresa u organización está expuesta; así como su correcta mitigación de acuerdo a los resultados obtenidos en el análisis de los datos recolectados durante las diferentes fases del proyecto de evaluación de riesgos de seguridad, que debe ser aplicado a todo tipo de entidades que manejen Tecnologías de Información a cualquier nivel (Ferrer, 2006). Debido a la trascendencia de los controles de seguridad y contramedidas que ameriten ser implementadas en la mitigación de los riesgos, este trabajo pretende enfatizar la importancia de la Administración de Riesgos en Tecnologías de Información, por ello se ha bosquejado una temática amplia y diversa en un lenguaje sencillo que resalta el qué y cómo se debe hacer. Actualmente, las organizaciones dependen en su totalidad de tener la información exacta en el momento preciso; las compañías que no son capaces de alcanzar esto, están en peligro de extinción, porque con el paso de los años, la información se ha convertido en el elemento de mayor importancia para la toma de decisiones. Y es aquí donde radica la prioridad de desarrollar nuevas tecnologías que permitan tener la información requerida y oportuna para ser utilizada. Sin embargo, la mayoría de las empresas han fallado al no aprovechar el ambiente existente e implementar ideas innovadoras para mejorar el papel que juegan las tecnologías de información dentro de sus organizaciones. La información contenida en los sistemas de cada empresa debe ser protegida y preservada, para ello es necesario hacer un estudio real de las amenazas y de las formas en que las mismas pueden ser reducidas para una metodología que cubra los aspectos fundamentales que se deben considerar en el análisis, evaluación y administración de riesgos de Tecnologías de Información en todas las empresas.
Una evaluación de riesgos toma muchos nombres y puede variar conforme a los términos del método utilizado, dependiendo el rigor con el que es realizado y el alcance de dicha evaluación, pero el objetivo principal es siempre el mismo: evaluar los riesgos de seguridad que ponen en peligro los activos de información de la organización. La información obtenida por esta evaluación, es usada para determinar de qué manera atenuar los riesgos de Seguridad, encontrados y preservados, logrando, así, de la mejor forma el objetivo de la organización. Los beneficios que presenta una evaluación de riesgos de seguridad en Tecnologías de Información son los siguientes:
“Definición de la situación actual. Una evaluación de riesgos proporciona a la organización el estado actual de la protección de sus activos de información, que servirá como base para iniciar trabajos adicionales a fin de proteger dichos activos. En esta evaluación, el trabajo del administrador de seguridad de la información y el grupo de operaciones de seguridad serán revisados por un grupo externo, el cual tendrá como objetivo el determinar la precisión del programa de seguridad y hacer ver las áreas de mejora. Revisiones periódicas: El programa de seguridad de información diseñado de la manera más cuidadosa requiere de revisiones periódicas. Estas revisiones proveen un porcentaje de la efectividad del programa ya implementado dentro de la compañía y dan la información necesaria para ajustarlo a las cambiantes amenazas a las que está expuesta la organización” (Carballo, 1981).
La administración del riesgo en las organizaciones, desde nuestra perspectiva, debe consistir en procesos participativos, abiertos, democráticos y debe centrarse en las capacidades y necesidades de los participantes. La especialización y el expertise juegan un papel importante en todo el proceso: a mayores niveles de aprendizaje y conocimiento, mayor adaptación de la organización al medio ambiente. Las turbulencias del entorno se ven mitigadas con una adecuada planeación y gestión de los procesos de administración del riesgo, así como asegurar el resguardo de los activos prioritarios. Garantizar la seguridad de la información es crucial, pero el riesgo tiene sus costos y minimizarlos es prioritario para la organización. En esos términos,
“Costo del Riesgo. La asignación de los recursos al programa de seguridad puede basarse en los riesgos de seguridad de los activos encontrados en la evaluación. Las organizaciones generalmente cuentan con recursos limitados para asignarlos a los problemas que surjan en la seguridad de la información, de no realizarse una evaluación de riesgos, éstas no tendrán el conocimiento de las amenazas en los activos de información. Requerimientos legales o de operación. Una evaluación de riesgos de seguridad en una institución privada o gubernamental, es un requerimiento necesario que se aplica para que dicha organización trabaje bajo ciertas normas legales o de operación de seguridad” (Carballo, 1981).
El riesgo es una situación que se presenta en la toma de decisiones que se puede probabilizar y prevenir, dentro de los acotados márgenes humanos de la racionalidad limitada (Simon, 1982), y los modelos mentales falibles (Ostrom, 2015). Otro concepto importante que se deriva de una adecuada administración del riesgo y de las turbulencias del ambiente, es el de incertidumbre que, a nuestro juicio, constituye un problema y se desconocen los métodos para afrontarlo, es decir, no hay certeza de los resultados de una determinada acción o no podemos saber anticipadamente lo que pueda pasar. En ese sentido,
“La incertidumbre es la diferencia entre la información que tiene la organización y la que necesita. A medida que aumenta la incertidumbre más información se necesitará para tomar las decisiones; información que no siempre será fácil de obtener … A medida que aumenta la incertidumbre, dice Galbraith, las organizaciones enfrentan dos alternativas: (1) reducir la necesidad de procesamiento de información o (2) aumentar su capacidad para procesar información. Las organizaciones pueden reducir el procesamiento de información creando recursos holgados o estableciendo unidades autosuficientes que puedan trabajar en forma independiente” (Galbraith, 1977).
Con el paso del tiempo, una tecnología se ve desplazada por otra más innovadora, más reciente y se espera sea más redituable, más práctica y que aporte mayores beneficios sociales. Al proceso antes descrito se le conoce como la “destrucción creativa” propuesto por Schumpeter (1961), sin embargo, una crítica que vale señalar para este caso es que, aunque la tecnología avanza a pasos agigantados, los beneficios no son para todos los miembros de la sociedad, puesto que, a nuestro juicio, la tecnología expresa relaciones de poder (Foucault, 1990), además, los beneficios que representa la tecnología (acceso a la información, almacenamiento de datos, rapidez en la transmisión de información, facilita las transacciones, etc.) no llegan a todas las personas, es decir, hay asimetrías en el acceso a las tecnologías de la información.
Objetivo general del análisis de riesgo El objetivo general del análisis de riesgo es evaluar la efectividad de los controles de seguridad, que protegen a los activos de la empresa y determinar la probabilidad de pérdida. El análisis de riesgos investiga las amenazas dentro de una organización: el valor de los activos, la criticidad de los sistemas, las vulnerabilidades en los controles de la seguridad y el impacto posible por la pérdida; además recomienda controles adicionales para reducir el riesgo a un nivel aceptable.
2. LAS TECNOLOGÍAS DE LA INFORMACIÓN: UNA MIRADA CRÍTICA El avance tecnológico resulta satisfactorio para un sector de la sociedad: una clase ociosa que tiene ciertos hábitos de consumo (Veblen, 1974) y que, además, ejerce un poder (supervisión y vigilancia) hacia la clase trabajadora. Además, vivimos en la era de la información (Castells, 2000), en la cual debemos tener la capacidad de discernir entre lo “bueno” y lo “malo”, es decir, debemos quedarnos con la información que tiene utilidad para nuestro propósito y desechar la que no nos ofrece beneficio alguno, es decir, debemos ser selectivos con la información (Luhmann, 2005). En nuestra opinión, los beneficios de la tecnología no le llegan a todas las personas, se sigue incrementando la brecha entre los que tienen acceso a la tecnología y los que han quedado excluidos. El tener definido el objetivo del análisis y la evaluación de riesgos, es decantar el uso apropiado de la información para satisfacer un conjunto específico de necesidades de los usuarios.
“Principales aplicaciones. Requieren una atención especial por el riesgo o daño, en caso de una pérdida, mal uso, acceso no autorizado o alteración de la información en la aplicación. Soporte general: son un conjunto interconectado de recursos de información con el mismo control de gestión para su funcionalidad” (Vidalina, 2009).
Las tecnologías están ampliamente relacionadas con los dispositivos tales como: celulares, computadoras, tabletas, relojes, pantallas, memorias usb, discos duros, mp3, automóviles, entre otros, es decir, existe una amplia gama de dispositivos de acuerdo a la rama del conocimiento especializado del que se trate: hay también una diferencia entre herramientas, aparatos, dispositivos y máquinas. Así,
“La tecnología es el conocimiento, las herramientas y las técnicas para transformar los insumos en productos” (Rivas, 2016, p. 75).
Por otra parte, identificar los activos por proteger es un punto clave para la preparación de la evaluación de seguridad, ya que es necesario con objeto de comprender el riesgo total de estos activos. Identificar los activos que requieren protección puede resultar una tarea fácil si se toma en cuenta la disponibilidad de los controles de seguridad; sin embargo, puede resultar un proceso complicado si se requieren: inventarios, revisión de documentos legales o identificar los activos intangibles, como el prestigio de la organización. Derivado de lo anterior,
“Los datos de la organización son activos que requieren protección y es prudente clasificarlos, para determinar la protección que requieren y la vulnerabilidad que pudieran tener.
Las organizaciones tienen diferentes razones para proteger sus datos, con privacidad de los datos personales de los empleados, los datos de propiedad en los precios de los productos, etc. En consecuencia, para llevar a cabo la evaluación de seguridad es conveniente determinar si la información es sensible o no, ya que los datos sensibles requieren protección y los datos públicos no. La información es un recurso valioso en la organización y su administración, gestión y uso adecuados requiere poner la mayor atención a cada uno de los detalles para asegurar su salvaguarda y que única
mente las personas autorizadas puedan acceder a la misma. La información se compone de datos cualitativos y cuantitativos que tienen per se un valor adjudicado para la organización: solamente se resguarda el stock de información que tiene un valor significativo para la organización y sus grupos de interés. A guisa de ejemplo se puede mencionar los datos públicos y los datos privados,
“Son los datos que contienen información privada de la salud de los empleados o la información no pública de algún cliente de una entidad financiera.
Registros médicos, información de seguro social, estados de cuenta, informes de crédito, etc. Datos Públicos es la información que se encuentra pública, por ejemplo, en el sitio Web de la empresa, sitio web, información de marketing, etcétera” (Castro, Guzmán y Casado, 2007).
Valoración de activos La valoración de los activos es un elemento importante para la planificación y contabilidad de la organización. Esta valoración puede ser realizada por diversas razones tales como el cumplimiento de funciones de los activos, la elaboración de presupuestos, la clasificación de información y la determinación de criticidad de éstos. Podemos identificar cuatro enfoques cualitativos para valorar los activos:
“Valoración de activos binarios. Esta valoración se aplica a situaciones en las que se requieren controles específicos de seguridad para activos definidos como muy importantes. Valoración de activos por valor. Este enfoque agrupa los activos de acuerdo a la importancia que tengan en la organización. Valoración por rango. Este enfoque valora los activos respecto a los que ya se han identificados y valorados. Valoración por aprobación. Determina el valor de los activos a partir de la ayuda y el criterio de un grupo de expertos” (Gurdián, 2001).
La valoración de los activos tiene, en nuestra opinión, dos lecturas importantes: en primer lugar, el análisis de la gestión del riesgo para tener un panorama claro que nos permita tomar las decisiones adecuadas en tiempo real, preservando los activos y maximizando los beneficios de la empresa. En se-
gundo lugar, las tecnologías de la información nos permiten valorar qué tipo de activos tenemos en la organización, la tecnología disponible por la organización, la actualización y obsolescencia de los activos, el potencial generador de eficiencia en la organización y para ello, es necesario identificar las posibles amenazas y sus efectos demoledores, en otras palabras,
“El siguiente paso para el equipo de evaluación de seguridad es identificar las amenazas a las que están expuestos los sistemas de la organización, se considera un paso importante ya que limita el daño que se puede ocasionar a la empresa” (Romaní, 2011). Las potenciales amenazas a las que se encuentra sujetos los sistemas de información en la organización son, a nuestro juicio, tanto internos como externos: por un lado, en el ámbito interno se puede mencionar como uno de los más importantes el hecho de que la información pueda caer en manos de personas no facultadas para su uso o que siendo facultadas puedan difundirla sin autorización de la organización. Asimismo, hay amenazas externas como por ejemplo el espionaje informático (hackers) que puedan obtener la información de manera ilegal y dañar los activos de la organización. Se debe tomar muy en serio la gravedad de las amenazas, en ese sentido,
“Una amenaza se describe como un evento con un impacto no deseado sobre los activos de la organización, está compuesta por un agente amenazante y un evento adverso. Agente amenazante es la entidad que puede provocar que la amenaza ocurra, por ejemplo, un terremoto. Evento adverso, es el evento no deseado inducido por el agente de amenaza y se considera indeseable cuando pone en peligro los bienes de la organización, estos eventos incluyen: daño a las personas, la destrucción de los equipos, la falta de disponibilidad de recursos, etc.” (Camargo, 1990).
Se recomienda que para esta etapa se listen las posibles amenazas a las que está expuesta la organización, en algunas ocasiones esta lista puede haber sido limitada en la fase de definición del proyecto, en donde, por ejemplo, se pueden considerar sólo más amenazas externas. En esta etapa, el equipo de evaluación de seguridad debe tener un claro entendimiento de los objetivos de la empresa, los activos a proteger y las amenazas correspondientes a dichos activos. Esta información
es necesaria para determinar los requisitos de seguridad y los controles previstos para la organización. Las computadoras son dispositivos que han revolucionado el mundo de la transmisión de información, permite procesar la información de manera muy rápida, agilizar las transacciones e incrementar exponencialmente el volumen de operaciones. Así,
“Los activos protegidos, en especial los sistemas de computadoras y sus componentes, necesitan ser salvaguardados de condiciones climáticas adversas para asegurar su operación continua. La principal preocupación en aquellas áreas que albergan equipos de cómputo, es el monitoreo y control de las condiciones ambientales, tales como la humedad y la temperatura, así como el suministro de energía eléctrica regulada” (González, 2009).
Energía eléctrica regulada Dado que todos los sistemas críticos dependen de energía eléctrica regulada y de la existencia de transitorios, los siguientes riesgos deben ser considerados:
“Pérdida de energía. Muchos factores, incluyendo el clima, sabotaje y fallas del equipo pueden ocasionar pérdida de energía. Suministro de energía con voltaje reducido. Otros factores, como el clima, las fallas en el equipo o cargas de energía pueden causar caídas momentáneas de voltaje. Suministro de energía con alto voltaje. Otro tipo de problemas es cuando se entrega un alto voltaje a las instalaciones; esto puede ser causado debido a diversos factores tales como inducciones por relámpagos y fallas en los equipos. Acciones preventivas. Las organizaciones deberán considerar las acciones siguientes: Reguladores de voltaje. Proveen una salida constante de voltaje, independiente de: la entrada del mismo, la carga de salida o la temperatura. Supresores de picos. Este sistema provee protección contra voltajes temporales excesivos. Acondicionadores de línea. Estos sistemas regulan, filtran, y suprimen el ruido en fuentes de poder de AC.
Sistemas de fuerza ininterrumpible (SFI o UPS o No Brake). Estos dispositivos suministran energía eléctrica de respaldo mediante un banco de baterías. Plantas generadoras de energía eléctrica de emergencia. Estas son motores a gasolina o diésel, que tienen acoplado un generador de energía eléctrica para proveen energía, en caso de falta del suministro por la compañía encargada de ello y también cuando el tiempo de suministro de baterías se agote posterior a una falla por el suministro” (Trierauf, 1990).
Las condiciones ambientales y la temperatura deben estar acondicionadas especialmente para el óptimo funcionamiento de los dispositivos en los centros de cómputo al contener equipos que generan calor, deben estas diseñados para regular las condiciones ambientales que se requieran. Para ello, deberá considerarse lo siguiente:
“Alarmas de temperatura. HVAC (Heating, Ventilating and Air Conditioning, Sistemas de aire acondiconado, ventilación y temperatura). Registros de temperatura. Si existen tales registros, estos deben ser revisados 90 días previos a la evaluación” (Moreira, 2010).
El factor humedad es fundamental y se debe poner especial atención, debido a que los ambientes de alta humedad pueden incrementar el riesgo de corrosión en equipos que pueden ser sensibles a ello. La baja humedad incrementa la posibilidad de generación de estática y descargas. Estas pueden dañar o resetear equipos de cómputo sensibles. En esos términos,
“Para ello las medidas de seguridad, deben incluir: Humidificadores/Deshumidificadores. Es un componente que se instala en el sistema que maneja el aire acondicionado y sirve para añadir o quitar la humedad al aire. Alarmas de humedad. Registros de humedad. En caso de existir también deben ser revisados, mínimo 90 días previos a la evaluación” (Morrissey, 2009).
Los incendios son eventos desfavorables que pueden dañar el patrimonio de la empresa y pueden poner en riesgo la vida de las personas, por esta razón el daño provocado por un incendio puede ser limitado o evitado si los controles del edificio son
capaces de realizar una detección temprana del fuego, para esto se debe considerar que la organización tenga instalados los siguientes controles:
“Detectores de humo. Alarmas contra incendio” (Sunkel y Trucco, 2010).
Se recomienda la revisión al personal antes de que se incorpore a las instalaciones de la organización, dicha revisión puede tomar en cuenta: pruebas de identidad, antecedentes, penales, ciudadanía, referencias, y cumplimiento de obligaciones civiles como el servicio militar. Además, conocer sus antecedentes familiares y sociales, su historia laboral, definir un perfil psicológico del participante y tener un registro del personal que forma parte de la organización. Adicionalmente, se podrán establecer las siguientes medidas físicas:
“Barreras físicas. Deben ser usadas para controlar, limitar o excluir el acceso a las instalaciones físicas Puertas. Con objeto de mejorar la efectividad de las puertas, deberán tomarse en cuenta las siguientes medidas: Apertura en caso de emergencia. Este tipo de cierre es esencial para asegurar la seguridad y desalojo del personal en caso de evacuación, la puerta se abre con facilidad al suceder el evento. Apertura facilitada en caso de evento. Este tipo de cierre, asegura la apertura de los seguros de la puerta, pero no se abre” (Soto, Senra, y Neira, 2009).
Por lo que respecta a las cerraduras, éstas deben estar a cargo de personal especializado y para uso exclusivo del personal autorizado en la empresa. En lo concerniente al alumbrado, se debe verificar que no haya fallas en el suministro de la energía eléctrica. Los sistemas de detección de intrusos también conocidos como sistemas de seguridad electrónica, deben estar implementados para detectar, retrasar y responder a las actividades de intrusos. Personas que no tengan autorización de acceso a los sistemas, son peligro para la seguridad y un riesgo para los activos de la organización. Es recomendable revisar los siguientes controles,
“Controles físicos de acceso. Tales como barreras perimetrales, o cerraduras adicionales. Prevención de entradas no autorizadas. Métodos de identificación. Tales como alguno(s) de los siguientes: lectores de tarjetas, sistemas de cre-
denciales, digitación de claves con contraseñas, controles biométricos, etc.” (Areíto, 2008).
Existen numerosas amenazas a la seguridad física, se han descrito las amenazas generales de seguridad física y contramedidas, así como un proceso de información en cuanto a la adecuación de los mecanismos de seguridad física. Los datos técnicos son relevantes en la seguridad de la información y el control de riesgos, debido a que nos suministran información valiosa: vida útil del dispositivo, contraseñas de seguridad, su vulnerabilidad a las amenazas tanto internas como externas, sobre el manejo adecuado de los dispositivos, su estado de ralentización, permite identificar alcances y limitaciones del equipo. Asimismo, si la etapa anterior se cubre adecuadamente, tendremos el control de la información por parte del personal autorizado, única y exclusivamente por ellos. Esto nos permitirá implementar las medidas correctivas en caso de fallas e implementar planes de acción para asegurar el adecuado funcionamiento de los dispositivos y la seguridad en el tratamiento de la información.
CONCLUSIONES En México existe una carencia y deficiencia en la difusión, capacitación y fomento de la seguridad en el manejo de la información, desde la organización misma hasta los empleados. Esto tiene como consecuencia estar en desventaja frente a los riesgos más comunes, concentrándose especialmente en los virus y hackers, dejando en segundo término la planeación de la seguridad, las políticas y procedimientos, la capacitación y educación, la disponibilidad de los sistemas, así como las auditorías y evaluaciones de riesgos. Hoy en día las organizaciones son conscientes de la necesidad de identificar los riesgos asociados a TI, es por esta razón que además de conocer estándares, normas y regulaciones, es importante llevar a cabo una metodología de análisis y evaluación de riesgos que identifique claramente las directrices estratégicas para mitigar, aceptar, reducir o transferir dichos riesgos, para proteger los activos más valiosos de las empresas u organizaciones, frente a posibles amenazas permanentes en el medio. La Administración de Riesgos son las técnicas y procedimientos usados para el análisis, identificación, evaluación y control de los aquellos efectos adversos consecuencia de los riesgos o eventualidades a los que se expone una empresa u organización, de esta manera lograr reducirlos, evitarlos, retenerlos o transferirlos. La Gestión del Riesgo es la orientación estructurada para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades humanas que incluyen la identificación, el análisis y la evaluación de riesgo, para luego establecer las estrategias para su tratamiento, utilizando recursos gerenciales. Las Tecnologías de la información se refieren a una aplicación de ordenadores y equipos de telecomunicación para almacenar, recuperar, transmitir y manipular datos, con frecuencia utilizada en el contexto de los negocios u otras organizaciones. Toda la humanidad está concernida con la tecnología desde el principio de nuestra historia: el hombre ha ido creando técnicas para mejorar la forma de trabajo en las cuales se realizan preguntas concretas, poseemos una mentalidad inquieta, preguntándonos cada día el porqué de las cosas y buscando mejorar en las técnicas y procedimientos en la identificación, evaluación y control de los riesgos.
BIBLIOGRAFÍA
Areíto, J. (2008). Seguridad de la Información. Madrid: Paraninfo. Camargo, A. (1990). Metodología para auditar la seguridad operativa de instalaciones, Hardware y Software en centros de cómputo en México. Universidad Iberoamericana. Carballo, R. (1981). Auditoría en sistemas. México: Universidad Iberoamericana. Castells, M. (2000). La era de la información: economía, sociedad y cultura vol. I “La Sociedad Red. Madrid: Alianza. Castro, S., Guzmán, B., y Casado, D. (2007). “Las TIC en los procesos de enseñanza y aprendizaje”, en Laurus, 13 (23). pp. 213-234.
Corda, M. C., Viñas, M., y Coria, M. K. (2017). “Gestión del riesgo tecnológico y bibliotecas: una mirada transdisciplinar para su abordaje”, en Palabra Clave (La Plata), vol. 7, núm. 1. Buenos Aires: Universidad Nacional de La Plata. pp. 1-18. Ferrer, R. (2006). Metodología de Análisis de Riesgo. Bogotá: SISTESEG. Foucault, M. (1990). Vigilar y castigar. El nacimiento de la prisión. México: Siglo XXI. Galbraith, J. (1977). Organization Design. Boston, MA: Addison-Wesley. Galbraith, J. K. (1984). El nuevo estado industrial. Madrid: SARPE. Gurdián, A. (2001). Las nuevas tecnologías de la información y de la comunicación. San Pedro de Montes de Oca, Costa Rica: LIMEC. González, C. (2009). “TIC y la transformación de la práctica educativa en el contexto de las sociedades del conocimiento”, en Didáctica, Innovación y Multimedia pp. 21-22. Huatuco, R., & Velásquez, L. (2009). El uso de las TIC en la enseñanza profesional. Ind. data, 12(2), 61- 67. Luhmann, N. (2005). Organización y decisión: autopoiesis, acción y entendimiento comunicativo. México: Universidad Iberoamericana / Anthropos. Moreira, M. A. (2010). “El proceso de integración y uso pedagógico de las TIC en los centros educativos. Un estudio de caso”, en The process of integration and the pedagogical use of ICT in schools Revista de educación, 352. pp. 77-97. Morrissey, J. (2009). “El uso de TIC en la enseñanza y el aprendizaje: cuestiones y desafíos”. Ponencias del Seminario Internacional de cómo las TIC transforman las escuelas, 82-83. Olguín, H. (2011). Una metodología de ayuda para auditar Tecnologías de Información. México: Facultad de Ingeniería, UNAM. Ostrom, E. (2015). Comprender la diversidad institucional. México: Fondo de Cultura Económica / Universidad Autónoma Metropolitana. Rivas, L. A. (2016). Dirección Estratégica: el proceso de la organización en el siglo XXI. México: Trillas. Romaní, J. C. (2011). “El concepto de tecnologías de la información. Benchmarking sobre las definiciones de las TIC en la sociedad del conocimiento”, en Zer-Revista de Estudios de Comunicación, 14 (27). Schumpeter, J. A. (1961). Capitalismo, socialismo e democracia. Río de Janeiro: Fundo de Cultura. Simon, H. A. (1982). El comportamiento administrativo. Un estudio de los procesos de adopción de decisiones en la organización administrativa. Buenos Aires: Aguilar. Soto, C. A., Senra, A. I., y Neira, M. D. (2009). “Ventajas del uso de las TICs en el proceso de enseñanza-aprendizaje desde la óptica de los docentes universitarios españoles”, en EDUTEC: Revista electrónica de tecnología educativa, 5 (29). Sunkel, G., y Trucco, D. (2010). “TIC para la Educación en América Latina. Riesgos y oportunidades” Serie Políticas, No. 167. Trierauf, R. (1990). Auditoría Administrativa. México: McGraw-Hill / Universidad Iberoamericana. Veblen, T. (1974). La Teoría de la Clase Ociosa. México: Fondo de cultura Económica. Vidalina, F. (2004). Análisis y evaluación del riesgo de la información. Maracaibo: versión impresa ISSN 1690-7515.
