Sep 04 2013

“Budgetting” de la Seguridad (Parte 2: Evaluar los costes de la no-seguridad)

image_pdfimage_print

budgeting-e1312944911279-300x257En este segundo post  presentaremos la forma de valorar las consecuencias de la inexistencia de medidas de seguridad que protejan la integridad de nuestros activos de información. Cuantificar este tipo de consecuencias es básico para poder establecer el desembolso que la compañía habría de realizar para solventarla, y este es un ejercicio que no está muy lejos del que realizaría un actuario de seguros para establecer y determinar la prima a abonar en una póliza para mitigar las consecuencias de un desastre en cualquier otro ámbito empresarial.

Consideraciones

Este proceso se compone de dos partes bien diferenciadas: La primera de ellas requiere de valorar el coste de recuperación o de reparación del activo. Y a continuación se debe estimar la posibilidad de que se produzca un evento que traiga esa situación como resultado. Y para ello hay que aislar los riesgos a los que está sometido y  la probabilidad de que se concreten. No está de mas hacer notar que:

  • Para actuar de una forma lógica y como paso inicial, fijaremos las posibles consecuencias de los riesgos y focalizaremos la valoración de los costes directos de reparación y/o de reposición de los activos de información, excluyendo otro tipo de consecuencias.
  • La estimación probabilística está cien por cien condicionada por una adecuada realización del análisis de riesgos. Es más, sin éste, el proceso que proponemos puede resultar poco adecuado para valorar el coste real de una ruptura de la seguridad.
  • Muchos de los importes a estimar en esta fase de elaboración habrán de ser – necesariamente – especulativos. No podemos disponer (a diferencia de otros sectores) de estadísticas que los concreten y – además – los activos y sus empleos son bien diferentes unos de otros como para poder estandarizar
  • La periodificación y proyección en el futuro de alguno de estos conceptos está en directa relación con las tasas de crecimiento del activo. De todas formas y pese a que es posible estimar ese valor de una forma objetiva (seguramente bastaría proyectar estadísticamente los tamaños de períodos anteriores) , ese puede ser un dato poco fiable, ya que habitualmente se acumulan datos no útiles u obsoletos. En realidad, la valoración debería hacerse partiendo de las cantidades de información “viva”, sin considerar registros que deberían haber desaparecido como consecuencia de procesos habituales de limpieza.

Método para evaluar el coste de reparación o de reposición

Nos hemos de situar en la hipótesis (según el caso) de que el correspondiente activo

  • Se ha perdido total o parcialmente y que – como consecuencia – no es utilizable por parte de la línea de negocio que los emplea
  • Ha sufrido un acceso y/o se ha producido un uso no autorizado de la misma que puede afectar sensiblemente los ingresos de la línea de negocio correspondiente

… valorando los siguientes conceptos de forma diferenciada para cada una de las posibles circunstancias

  1. Costes de investigación que habrían de permitir la identificación de las causas, el alcance y las consecuencias del incidente (habitualmente valorables en horas de trabajo o facturas de compañías consultoras de seguridad)
  2. Costes de resolución y recuperación de la información perdida o comprometida (deben concretarse también en horas de trabajo, pero pueden incorporar alquileres o adquisiciones de equipos, empleo de redes de comunicaciones o servicios externos de consultoría)
  3. Costes derivados de las secuelas de tipo legal del incidente, incluyendo los de difusión a través de los medios, comunicación a las autoridades y/o a los afectados de la exposición de información confidencial (en caso de que sea necesario), los resultado de sanciones administrativas, tasas judiciales o reparación a los afectados.
  4. Costes derivados de la repercusión a nivel negocio y esencialmente de disminuciones o pérdidas de ingresos debidos a: a) la imposibilidad de realizar transacciones; b) la pérdida de confianza o reputación de la corporación y sus productos y servicios en el mercado o en la opinión pública; c) la desventaja competitiva que pudiera ser resultado de una exposición no autorizada o inadecuada de datos técnicos, administrativos o financieros internos

Procedimiento para calcular la probabilidad de que se produzca un incidente

Aunque este es un tema que entra totalmente dentro de la Gestión de Riesgos – y hemos tratado extensamente esta temática en otros artículos, haremos únicamente una pequeña incursión para poder mantener la coherencia de esta comunicación. Esencialmente, el procedimiento habrá de consistir en:

  1. Identificar los riesgos que pueden amenazarlo, provenientes de (y esta es una lista no exhaustiva en la que únicamente hemos incluido conceptos de muy alto nivel)
    1. Catástrofes naturales (terremoto, inundación, …)
    2. Siniestros (incendio, …)
    3. Fallos de las plataformas de proceso (hardware, aplicaciones, …) o en las comunicaciones
    4. Errores en la operación de los sistemas de información
    5. Problemas de suministro
    6. Virus o intrusiones
    7. Acciones o amenazas de tipo vandálico o terrorista
    8. Fraude, Suplantación de identidad
    9. Espionaje
    10. Exposición pública de la información
  2. Estimar el impacto que – sobre el activo correspondiente – puede representar el que el riesgo mencionado se concrete. Habitualmente se evalúan tres escalones: Alto (100%), Medio (50%) y Bajo (10%), aunque pueden establecerse – naturalmente – gradaciones mucho más finas.
  3. Determinar la probabilidad de que la incidencia se produzca (y si se estima que puede presentarse en varias ocasiones a lo largo de un período de tiempo, matizar esta cantidad con el empleo de dicho coeficiente). De forma paralela a la variable anterior, en muchas ocasiones se catalogan empleando una graduación a tres valores: Alta (100%), Media (50%) y Baja (10%), aunque es posible refinar este escalonado a gusto del consumidor.

Ejemplo

Veamos la estimación realizada para calcular las consecuencias de un incidente sobre el activo Datos de Clientes de la compañía Farma, S.A.

  Tabla2

 Y el análisis de riesgos (Nota: La columna “Repetición” refleja el número de incidentes de ese tipo por año que pueden registrarse, de forma que 1 implica que se estima que puede producirse anualmente, pero 0,25 significa que se cree que se producirá uno cada cuatro años)

Tabla3

En el próximo artículo de esta serie concretaremos el uso a hacer de cada uno de los valores para conseguir la finalidad que nos hemos propuesto.

[contact-form-7 404 "Not Found"]

Enlace permanente a este artículo: http://www.ingelan.com/?p=2341

Ago 29 2013

Soporte a la determinación de objetivos 2014 (Sector Farmacéutico)

image_pdfimage_print

presupuestoLas medidas de contención de la factura farmacéutica, con cambios legislativos clave en los últimos años, han provocado un impacto relevante en la estructura de rentabilidad del sector: El descenso progresivo del gasto en farmacia (y en concreto del importe medio por receta), el retraso en el pago de las Administraciones y el efecto de la crisis económica general, está dibujando un nuevo marco de referencia que obliga a una necesaria reflexión sobre el modelo a futuro.

Puesto que – tras la I+D – la fuerza de ventas constituye la segunda mayor partida presupuestaria de las empresas farmacéuticas, maximizar su eficacia es uno de los grandes retos para la competitividad.

Bajo presión, los mercados crean oportunidades. Pero para poder aprovecharlas han de ser identificadas.

Como responsable de una red de ventas compleja y extensa… ¿Está usted seguro de que está obteniendo de cada territorio el fruto adecuado? ¿Cree que la carga de trabajo, los objetivos y la aportación de cada uno de los delegados es correcta, adecuada al territorio, realista y factible?¿Se obtiene la rentabilidad deseable por cada visita?

Y la evolución es tan rápida que conviene cada ciclo comprobar que las bases de partida son adecuadas. Desde Ingelan hemos ayudado a diversas empresas del sector farma en la tarea de identificar nichos, áreas de mejora y proveer la información para racionalizar y reestructurar la acción de ventas. Y hemos “paquetizado” el servicio para acortar y abaratarlo. Con ello, nuestros clientes han obtenido en épocas de recesión notables aumentos en sus ingresos.

Lea en el folleto anexo cuál es el planteamiento que podemos efectuar para que Usted lo consiga también.

BotonDescarga

 

[contact-form-7 404 "Not Found"]

 

Enlace permanente a este artículo: http://www.ingelan.com/?p=2115

Ago 25 2013

“Budgetting” de la Seguridad (Parte 1: Valorar los activos)

image_pdfimage_print

dollarsignspileJustificar costes y establecer presupuestos destinados a mantener la seguridad de datos es – sin dudarlo – una árdua tarea y un dolor de cabeza para los CISO de las compañías. Porque, como en el caso de los seguros, es un coste o una inversión que solo se justifica (o cuya utilidad únicamente se hace tangible) en el momento en el que se produce un incidente. Y aún es en ese instante en el que se identifican las carencias (si ha habido incidente es porque no se habían establecido los mecanismos de protección correctos), no los aciertos.

Salvo en contados casos, la Alta Dirección puede considerar altas o excesivas las cantidades destinadas a este propósito. Los responsables de IT acostumbran también a opinar que se destina mucho dinero a proteger cosas que no tienen un significativo valor mientras que se invierte poco en proteger activos críticos. Seguramente – y en general – es porque se desconoce el valor real de la información, y de lo que su sustracción o pérdida puede suponer en términos económicos, es decir: No existe o no se ha establecido un alineamiento real de los datos con el negocio.

Consideraciones:

Disponer de medios, criterios y mecanismos que permitan plasmar esta realidad ha de ser – por tanto – un primer paso para valorar la seguridad necesaria en cada punto y disponer de esta forma de criterios que permitan una distribución adecuada de las inversiones. Comienzan a aflorar modelos que están en esta línea y que parten de las siguientes premisas:

  • No hay que hablar de ficheros, ni de bases de datos, sino de activos de información, que permiten a las empresas funcionar de la misma forma que lo hacen otro tipo de activos, como la maquinaria o las instalaciones.
  • Estos activos de información influencian y participan de algún modo bien en la “top line” (los ingresos), bien en la “bottom line” (gastos) de la compañía, y por tanto sus resultados económicos. Y lo hacen tanto a día de hoy como en el futuro. Este hecho debería proporcionarnos un criterio objetivo para atribuir a cada uno de ellos un valor alineado con el negocio.
  • Del mismo modo que protegemos o aseguramos otros activos (capital, instalaciones, …) deberíamos establecer medios que nos permitieran activar mecanismos de protección proporcionados al valor que cada uno representa para la compañía, determinando prioridades y órdenes de magnitud claros y objetivos.

Método:

Aplicar este tipo de algoritmos es – muy posiblemente al lector pueda parecer – algo arbitrario. Pero no está exento de una cierta sensatez científica. Y es muy viable que, al adoptarlo y con el tiempo, tanto el modelo como los criterios se afinen y puedan acercarse mucho mejor a la realidad, retratando de forma fidedigna la valía de cada activo de información.ActivoIT

… Pero hagamos una primera aproximación teórica (y muy simple si observan los ejemplos que anexamos a continuación):

  1. Identifiquemos los activos de información relevantes dentro de nuestra compañía. Podemos dar ese nombre a conjuntos homogéneos de información (datos de personal, datos de clientes, expedientes de I+D, información económico/financiera, información de tarjetas de crédito, logs de producción, programas de los robots de fabricación, …) que se empleen en algún punto de los procesos empresariales. No nos referimos aquí a estructuras de información desde el punto de vista IT (aplicaciones, bases de datos), sino vistos con el foco de los procesos empresariales. Es posible que inicialmente establezcamos agregaciones de gran tamaño: No importa. Con el tiempo estaremos en condiciones de segmentarla o disgregarla en agrupaciones menores para afinar la técnica.
  2. Intentemos atribuir a los activos identificados las líneas o los procedimientos de negocio en los que participan. Lo sensato es – para conseguir un alineamiento adecuado – hacerlo respecto de las funciones a las que se haya atribuido presupuesto u objetivos diferenciados, de forma que se pueda establecer entre ellos una clara relación. Un mismo activo puede – obviamente – emplearse en dos o más líneas (la información de clientes se utiliza en ventas pero también en marketing), con lo que tiene valor para ambos desempeños.
  3. Establezcamos en base a la planificación estratégica de la compañía las cifras de negocio atribuidas (o que se espera genere) cada función en los próximos períodos. Obviamente, la precisión con la que podamos evaluar nuestros activos estará en función del nivel de detalle o agregación de cifras del que se disponga.
  4. De la misma forma en la que es posible atribuir un porcentaje de dichos ingresos a factores tales como los recursos humanos (cosa que se reconoce a través de bonus o comisiones), el marketing, la publicidad o la manufactura, es muy posible que seamos capaces de asignar a los activos de información una participación (porcentual) en los ingresos de forma periodificada. Porque ni los ingresos han de ser estables en el tiempo, ni la aportación del activo ha de ser – necesariamente – la misma a lo largo del tiempo. Aplicando este (estos) porcentajes a los ingresos de las diversas líneas estaremos en condiciones y sumando los diferentes resultados, estaremos en condiciones de atribuir un valor – por muy artificioso que pueda parecer – a cada activo de información.

Ejemplo: Valoración del activo Datos Identificación de Clientes.

En la compañía Farma S.A., ese conjunto de datos (que es único para todas las líneas de negocio) se emplea en el desarrollo de la acción comercial tanto de los productos genéricos y OTC, que se comercializan a través de mayoristas, y de los éticos, en los que el protagonismo lo tienen los visitadores. Marketing, además, tiene atribuidos ingresos suplementarios en concepto de promociones a realizar. El aspecto que podría tener el cuadro de valoración podría ser el siguiente:

 

Valoracion activo informacion

Obviamente es el caso mas sencillo posible y que está directamente afectando a la “top line”. Porque en otros casos esta atribución no es tan simple: Puede ocurrir que el activo no tenga (o no exista una clara línea de dependencia) relación con los ingresos. Por tanto, es preciso acudir a alguna sofisticación que nos haga posible incluirlos en el modelo de forma simple.

Lo clarificaremos en un próximo post.

 

[contact-form-7 404 "Not Found"]

Enlace permanente a este artículo: http://www.ingelan.com/?p=1952

Ago 18 2013

Categorización de Clientes y Gestión Territorial

image_pdfimage_print

crm20Con independencia del sector en el que su compañía se encuentre, su negocio y la rentabilidad que pueda obtener queda definida por unos pocos clientes. La mayoría, sin ser marginales, únicamente añaden complejidad a sus procesos de venta y a su cadena de suministros. Es una realidad que se ajusta a la famosa y reconocida ley del 80/20 o principio de Pareto: El 20 por ciento de sus clientes suponen el 80 por ciento de su negocio, mientras que el restante 80 por ciento de clientes únicamente le aporta un 20 por ciento de sus ingresos. En resumen: no todos los clientes son igualmente importantes para su negocio. Y su acción comercial debe dirigirse principalmente a prestar más soporte y atención a quienes – de una forma significativa – le dan continuidad.

En la gestación y realización de una acción de marketing o de venta a clientes finales o al canal, el éxito dependerá de la preparación, de la elección de los interlocutores y de focalizar los esfuerzos en atender a aquéllos que puedan presentar mayor potencial de prescripción o de compra (y por tanto, volumen de negocio inmediato o futuro)

Decidir dónde realizar el mayor esfuerzo no debería ser una tarea subjetiva, dependiente del apego emocional, de la historia, de impresiones, de opiniones o del foco de la competencia. El desconocimiento o la falta de cercanía no nos debe privar de una visión global adecuada a nuestras pretensiones.

Para que sean rentables, las campañas promocionales han de dirigirse a un colectivo adecuado. El lanzamiento de un nuevo producto debe prepararse informando y motivando a los grupos de opinión que estén en condiciones de recomendarlo. Y para alcanzar y mantener el éxito debe organizarse de forma adecuada la fuerza de ventas. Determinar objetivos  de venta adecuados, realizables y homogéneos. Equilibrar áreas y territorios para que se esté en condiciones de responder a las necesidades de cada cliente.

Vea en el documento anexado cómo en Ingelan afrontamos ese tipo de procesos, que han ayudado a nuestros clientes a incementar sensiblemente la eficacia y focalización de su fuerza de ventas

 

[contact-form-7 404 "Not Found"]

Enlace permanente a este artículo: http://www.ingelan.com/?p=2063