Lic. Ariadne López Riojas (M.

1690497)
Maestría de Criminología en Seguridad Empresarial (2do Semestre)
Amenazas que se pueden presentar en una Empresa de Servicio de
Marketing y Call Center.

Lluvia de ideas

Catástrofes naturales como

Condiciones lluvias, huracanes, tormentas
atmosféricas o temblores.
Daño en equipos y/o sistemas
Robo de información
Robo de datos personales
Falsificación de datos
Seguridad de Robo de base de datos de
la clientes
Información Pérdida de la información o
datos
Compartir información
confidencial

Mediante malware tales como

virus, gusanos, troyanos, etc
para un fin específico como
robo de información
Ataques Mediante vulneración de
Informáticos aplicacciones.
Uso de la ingeniería social
Phishing, adware, spyware,
DoS

Faltas de probidad
Pérdida de datos por mal
manejo de los sistemas
Falta de Falsear información o
Capacitación confundir al cliente
Mal uso de la base de datos
Malas prácticas

1
Lic. Ariadne López Riojas (M. 1690497)
Maestría de Criminología en Seguridad Empresarial (2do Semestre)
Al tratarse de una empresa que gira sobre las nuevas tecnologías (el uso del
teléfono, computadoras, tablets, redes e internet) aparecen amenazas que
anteriormente no se consideraban de prioridad por el tipo de trabajo que se
realizaba, sin embargo, tras versar las actividades en un nuevo mundo
tecnológico, comienzan a haber nuevos riesgos a los cuales pueden estar sujetas
cualquier empresa. En este caso, tomando en cuenta 4 grupos importantes
hablamos de:
 Condiciones atmosféricas:
Las actividades principalmente recaen en los recursos electrónicos y
tecnológicos, por lo cual, las condiciones atmosféricas como lluvias,
huracanes, tormentas, temblores o inundaciones, son amenazas para una
empresa de servicios de marketing y call center, porque si no se tienen los
recursos adecuados para hacerles frente, como plantas de emergencia,
cuando ocurra dicho fenómeno natural, se tendrá una amenaza a que se
corte la luz, se pierda comunicación, no cuenten con internet y por lo tanto
el trabajo no se podrá realizar adecuadamente e incluso se puede dar la
pérdida de información o invalidación de equipos y sistemas.

 Seguridad de la Información:
Entendemos por seguridad de la información todas aquellas estrategias y
herramientas que sirvan para salvaguardar 3 principios, la disponibilidad,
confidencialidad y accesibilidad de la información, por ende, la amenaza
que se tiene en primera instancia es el robo, puede ser de la información,
bases de datos, identidad, contraseñas, datos personales, etc. Así mismo,
se encuentra la violación a la confidencialidad, mediante malas practicas
por parte de los empleados que compartan información de procesos o
vendan información de los clientes o de la misma empresa. Aquí tomamos
en cuenta las amenazas tanto internas como externas que se puedan
desarrollar en contra de la empresa, con la finalidad de vulnerar la
disponibilidad, confidencialidad o accesibilidad de la información.

 Ataques informáticos:
Este grupo de amenazas va muy de la mano con la seguridad de la
información, ya que aquí entran todas aquellas amenazas informáticas que
busquen comprometer un equipo o sistema con la finalidad de obtener
acceso a la información deseada. El uso de malware, como virus, troyanos,
gusanos, los cuales infectan el sistema ya sea mediante ataques como el
phishing o simplemente conectando un aparto externo a un equipo del
trabajo, son ejemplos de ataques informáticos. De ahí, también se derivan
los ataques más especializados o dirigidos por parte de hackers o
exempleados que se hayan quedado en descontento con la empresa, en

2
Lic. Ariadne López Riojas (M. 1690497)
Maestría de Criminología en Seguridad Empresarial (2do Semestre)
donde podemos encontrar el Ransomware (secuestro de la información),
denegación de servicio, etc.
 Falta de capacitación:
Cuando no existe un buen programa de capacitación en donde se enseñen
los debidos procesos, reglamentos internos, valores, misión y visión de la
empresa, se puede caer en malas prácticas y faltas de probidad por parte
de los empleados, poniendo en riesgo la información a la que ellos tienen
acceso, así como la que otorgan a los clientes, en este caso por estar
relacionados al área comercial pueden dar datos erróneos de los servicios
que ofrecen o de los productos que se venden, comprometiendo a la
empresa a una pérdida monetaria o en los peores casos, una demanda
legal.
¿Cómo tratar estos riesgos y amenazas?
Para poder prevenir estos riesgos y amenazas, se requiere de un trabajo en
conjunto de tres departamentos o enfoques (en caso de una empresa pequeña)
principalmente, los cuales son el departamento de tecnologías de la información o
sistemas, el departamento legal y el área comercial o administrativo, aunado a
ellos sin duda alguna se debe de trabajar con el área de seguridad, la cual debería
de mediar las acciones, procesos y procedimientos, así como herramientas para
poder prevenir cada riesgo y amenaza, ejecutando análisis de riesgos, auditorías a
procesos y procedimientos tanto de forma individual a cada área así como del
trabajo en conjunto que se desarrolle por las estrategias comerciales o de venta
que se ofrezcan a los clientes. Cada departamento o área debe de ser capaz de
aplicar los procesos que ya estén definidos y estar actualizándose en información,
herramientas y procesos nuevos, así como posibles amenazas.
Al contar con un departamento de seguridad bien desarrollado, se pueden prevenir
todas las amenazas anteriormente descritas, y en caso de que ocurran, se puede
contar con su intervención para una reacción óptima que permita el
restablecimiento operativo de la empresa con la menor pérdida posible, ya que no
solo se trata de desarrollar medidas preventivas, si no también, de establecer
estrategias y medidas que sean efectivas así como eficientes para la atención de
estos riesgos, añadiendo así mismo, el análisis posterior para mantener una
mejora continua.
Principalmente el departamento de TI debe de mantener de forma constante la
actualización de los sistemas y equipos, así como las herramientas de software
que se empleen para proteger la información, como los antivirus, antimalware, etc.
Así mismo restringir el acceso a los equipos por externos, a la información ya sea
en los equipos o de la nube mediante el uso de contraseñas fuertes u otras
herramientas y el acceso físico a los lugares de mayor pérdida de información, es
decir, donde se encuentren los equipos que respalden toda la base de datos y
operatividad de la empresa.

3
Lic. Ariadne López Riojas (M. 1690497)
Maestría de Criminología en Seguridad Empresarial (2do Semestre)
De igual forma, el departamento de recursos humanos debe de estar presente
como apoyo para cada área que cuente la empresa, ya que ellos son el primer
eslabón de vínculo entre la empresa-empleado, por lo cual, la responsabilidad
hacia ellos recae principalmente la capacitación correcta y efectiva del personal,
pero también, la atención de problemas de cada empleado para generar un
sentido de pertenencia hacia la empresa y poder prevenir faltas de probidad o
riesgos posteriores como exempleados.

¿Cómo regresar a la operatividad normal?

Una vez que se ha sido víctima de cualquier amenaza, es imperante saber cómo
reaccionar y qué hacer después de que ha sucedido, para poder volver al trabajo
normal con el menor número de pérdidas hacia la empresa. Para poder efectuar
este retorno efectivo, es necesario contar con protocolos que establezcan el
procedimiento a seguir, durante y después de una amenaza o riesgo, los cuales
definen hacia quiénes van a ir dirigidos, qué hacer, dónde dirigirse o donde
emplear el protocolo.
En primera instancia se debe de contener o eliminar la amenaza o riesgo,
empleando las medidas y herramientas necesarias para que no genere una
pérdida, por ejemplo, si hablamos en cuestión de amenazas informáticas, se
ejecutará un análisis que detecte un malware y se combatirá con las herramientas
necesarias para eliminarlo del sistema; en caso de la pérdida de energía o de luz
por una tormenta, se deberá accionar la planta de emergencia (en dicho caso
debe ser su arranque automático) y respaldar toda la información presente
necesaria.
Después se debe de realizar un análisis detallado de las pérdidas o daños que se
hayan tenido, esto para poder descartar otras amenazas o riesgos y evaluar
correctamente la situación, por ejemplo, en caso de un malware, ejecutar un
análisis con los antivirus correspondientes, analizar los documentos, ver si se
encuentran modificaciones o han sido eliminados, etc. Así mismo como un robo,
conocer las consecuencias de lo que ha sucedido, avisar a los clientes afectados
si es el caso o tomar medidas legales de ser requerido. También es importante
que, una vez efectuado esta evaluación, se realice un informe detallado en donde
se explicará que fue lo que sucedió, que se hizo al respecto, que daños hubo, etc;
el cual servirá para las mejoras de los procedimientos y el análisis de
vulnerabilidades.
De existir daños o pérdidas, se deben de efectuar acciones para contrarrestarlos,
es decir, recuperar información, generar sanciones, efectuar respaldos de
información, reparar daños físicos o de equipos, medidas legales, modificación de
herramientas de protección, etc.

4
Lic. Ariadne López Riojas (M. 1690497)
Maestría de Criminología en Seguridad Empresarial (2do Semestre)
Finalmente, una vez que se ha contenido, analizado y se ha podido contrarrestar
el daño, es posible volver a las actividades normales ya que no generaría ninguna
otra amenaza, porque ya se ha evaluado el daño y la situación en concreto, para
evitar un riesgo mayor.