SlideShare una empresa de Scribd logo

Tc2 15

C
claoeusse
1 de 17
Descargar para leer sin conexión
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGIAS E INGENIERÍA UNIDAD DE CIENCIAS BÁSICAS ACT. 10 TRABAJO COLABORATIVO 2 INTEGRANTES MÓNICA AMPARO NAVARRO COD. 52425635 CLAUDIA PATRICIA ROMERO E. COD. 52440394 ALEXANDRA FONSECA MOJICA COD. 52368318 GRUPO: 201014_15 TUTOR CARMEN ADRIANA AGUIRRE CABRERA Bogotá D. C, 13 Noviembre 2012
INTRODUCCION Dentro de las diferentes carreras de estudio que ofrece la UNAD, se encuentra la Ingeniería de sistemas, ubicada dentro de la ECBIT (Escuela de Ciencias Básicas, Tecnología e Ingeniería), con la modalidad de educación a distancia, promoviendo la investigación, la proyección social, estrategias educativas y organizacionales innovadoras, con la ayuda de las tecnologías de la información y las comunicaciones, con la Misión de formar profesionales íntegros y de calidad. Lo anterior como preámbulo para el desarrollo y enfoque de la razón de ser de esta actividad, debido a que como estudiantes de la UNAD, debemos seguir la misión de la universidad, de tal forma que con integridad y en las diferentes actividades en las que nos desenvolvamos la representemos con verdaderos profesionales. Para el desarrollo de lo anterior es necesario, dar solución a una problemática del entorno, de tal forma que llevemos a la realidad y a la práctica los conocimientos adquiridos durante el estudio de nuestra carrera. Como se menciono en el trabajo colaborativo uno, nos vamos a enfocar en el problema planteado por nuestra compañera Mónica Navarro Varón, quien nos planteaba una falla en el registro y control de los pagos y recaudos de los clientes en la empresa Mundial de Cobranzas e Inmobiliaria. En el desarrollo de la actividad vamos a profundizar en cada aspecto que debemos tener en cuenta, en la elaboración del proyecto. La alteración o destrucción de datos suele ser producto de un acto de perversidad. Desde que las empresas empezaron a colocar páginas Web en internet, muchas se han llevado una sorpresa desagradable: algunas personas han encontrado formas de acceder a los servidores y alterar páginas principales y de otro tipo. Para evitar dicho vandalismo electrónico se utilizan hardware y software especiales. Es por ello, que se propone un segundo trabajo colaborativo que responde a la revisión de la unidad 2, con una propuesta metodológica que plantea la realización de unas actividades individuales y grupales. Este trabajo se compone de tres puntos: Inicialmente tomaremos el problema planteado en el trabajo colaborativo No. 1 haciendo una descripción más amplia del problema de investigación, que para nuestro caso estaremos realizando una revisión y mejora de seguridad a uno de los procesos de la empresa Mundial de Cobranzas e Inmobiliaria. En esta fase también se realizará un planteamiento claro y específico de la situación, en donde se contextualizará y documentara el problema que se presenta, su importancia y el impacto que genera actualmente.
En este trabajo es importante identificar el propósito que se pretende obtenerse al final del proceso investigación, así como los resultados esperados. Durante el proceso será necesario realizar preguntas que ayuden a analizar todos los aspecto que deben ser tenidos en cuenta en el desarrollo e la investigación, En una segunda fase, se realizará una contextualización sobre la tecnología innovadora que se va a utilizar para mejorar el proceso de seguridad informática en el manejo de transacciones bancarias de la compañía, La Criptografía. Para este fin utilizaremos una presentación dinámica en la cual se mostrarán los temas más importantes de la herramienta. Finalmente utilizando el Decálogo de Bernal, contestando cada uno de sus preguntas, se mostrará la planeación de la solución.
OBJETIVO GENERAL Implementación de herramientas, teniendo en cuenta las normas de seguridad para proteger la información de la empresa. OBJETIVOS ESPECIFICOS Implementación de un buen sistema para minimizar riesgos en cada uno de los procesos que se efectúa. Mejorar la seguridad para el cargue de archivos y evitar sean modificados. Generar aportes significativos al entorno en el que nos desempeñamos, como en nuestro trabajo, gracias a los conocimientos adquiridos en el transcurso del estudio de nuestra carrera.
Desarrollo de la Actividad A. Para la problemática descrita en el trabajo colaborativo 1: i. Describir el problema de investigación: Puede ser una situación concreta que dificulta la marcha normal de una organización o el manejo de una tecnología dentro de esta. También puede ser una situación susceptible de revisión o de mejoramiento. En la Organización Mundial de Cobranzas e Inmobiliaria se cuenta con la gerencia Financiera, dentro de la cual se tiene conformada el área de Gestión de Pagos y Tesorería. Esta jefatura es la encargada analizar, controlar y ejecutar la causación y verificación de facturas, la realización de los pagos y el registro de los ingresos de la compañía. El proceso de pagos y recaudos implica la realización de transacciones financiaras como son: pagos de recaudos de arriendos a los propietarios de los inmuebles, recaudos y pagos de la compra y venta de inmuebles, pagos de servicios públicos y administraciones de los inmuebles propios o en custodia, pago a los proveedores de servicios para el mantenimiento de los inmuebles, pago de los costos administrativos y comerciales derivados del funcionamiento de la empresa, entre otros. Este tipo de movimientos se realizan en diferentes entidades financieras o en las cajas de cada uno de las sucursales de la compañía. Aunque dentro del área, existen procesos y controles, como la aplicación de segregación de funciones para la realización de las actividades que hoy hace que el proceso funcione, en la última revisión realizada por el área de auditoría interna de la empresa encontró que, debido al aumento de las transacciones y montos que está realizando la empresa los controles que se ejercen actualmente no son suficientes y pueden existir riesgos en la perdida de dinero o de información financiera clave que requiere mayor seguridad; por lo cual ellos entregaron en el informe una recomendación para mejorar el proceso. ii. Plantear el problema: Indicar cuál es el problema de investigación. Hacer un planteamiento en forma clara y específica de la situación que se va a investigar. La existencia del problema se debe sustentar con base en observación directa, documentos publicados, resultados de otras investigaciones, opiniones con expertos, etc. Es necesario describir la importancia de apropiar este problema y el impacto que puede darse con una optima solución que se plantee. Se debe describir las características del entorno para el cual es importante dar solución a la problemática. De igual manera describir la factibilidad para realizar el proceso de investigación.
En el informe de auditoría entregado a la jefatura del área de Gestión de Pagos y Tesorería, en la revisión del proceso de pagos y recaudos de dineros, se registra un punto el cual se enfoca en la seguridad de las transacciones que realiza la empresa de manera electrónica con las diferentes entidades financiera con las que se tiene relación. En este punto se evalúa la cantidad de transacciones que realiza Tesorería, los montos y los medios por los cuales los ejecuta, encontrando que: - Se realizan pagos utilizando las páginas de los bancos o por servicios PSE. - Se envían archivos planos a las entidades bancarias para el pago o consignación automática de dineros a los clientes, proveedores y empleados de la empresa. - Se realizan trasferencias de dinero por medios electrónicos a cuentas de clientes y agrupaciones de vivienda. Los puntos a tener en cuenta del informe de auditoría son los siguientes:
Proceso Validado Hallazgo / Riesgo Recomendación Pagos realizados en páginas de Los pagos se realizan ingresando a cada Se debe implementar un sistema de entidades bancarias. una de las páginas de los bancos y el medio autentificación más seguro, que minimice el de autenticación utilizado, solo registrando riesgo para que los intrusos puedan acceder a los usuarios y contraseñas asignadas por el las claves y usuarios de acceso a las cuentas banco. bancarias. Riesgo: Existe posibilidad de robo de información utilizando phishing. Cargue de archivos planos en El usuario funcional encargado, genera los Se debe implementar un sistema de seguridad bancos para programación de archivos planos en el sistema central de la en el cargue de los archivos para evitar que pagos. empresa, los cuales quedan almacenados sean modificados. en una ubicación local del equipo del usuario. Luego este debe cargar el archivo en la página de cada banco. Riesgo: Existe una gran posibilidad de vulneración de los archivos antes de ser cargados en el banco, permitiendo hacer pagos a cuentas o por valores no reales. Registros de transferencias a Los registros de transferencias de dinero se Se debe implementar un sistema de clientes y agrupaciones. realizan ingresando a cada una de las autentificación más seguro, que minimice el páginas de los bancos y el medio de riesgo para que los intrusos puedan acceder a autenticación utilizado, solo registrando los las claves y usuarios de acceso a las cuentas usuarios y contraseñas asignadas por el bancarias. banco. Tabla No.1 Apartado Tesorería - Informe de Auditoría Interna
Realizando una evaluación de los riesgos y recomendaciones planteadas, entre la jefatura de Tesorería y la coordinación del área de tecnología, se plantean dos planes de acción que permiten minimizar los riesgos hallados. El primer plan de acción va enfocado a dar solución a los puntos uno y tres del informe, el cual consiste en la utilización de llaves Hasp de seguridad para el acceso a las páginas de los bancos. Estas llaves deben ser suministradas por cada uno de los bancos y manejas por los usuarios funcionales autorizados en la empresa. Estos dispositivos al utilizar un sistema automático de encriptación, disminuirán el riesgo realizar phishing a los datos sensibles de la compañía, de manera que se eviten estafas. Los tiempos de esta solución son menores, ya que no requieren de desarrollo, ni de una gran implementación en software, por lo que la respuesta a la recomendación puede ser casi que inmediata. Para el segundo punto del informe, se determina implementar un sistema de encriptación de archivos, el cual permita que la información generada en el sistema central de compañía sea la misma procesada por cada banco. En este caso se debe realizar un estudio de la información que se genera, la forma y medios de envío, los diferentes protocolos y mejores prácticas. Además se realizará un proceso de acercamiento con cada una de las entidades bancarias, para determinar las actividades que deben realizarse con cada una para la implementación de la solución. El tiempo de implementación proyectado para esta implementación, oscila de tres a cuatro meses. iii. Describir el propósito de la investigación: Se debe explicar el tipo de resultados que se esperan obtener y de qué manera pueden ser útiles para la organización o el entorno. Se trata entonces de explicar la naturaleza del tipo de resultados que se espera obtener. Se espera mitigar los riesgos hacia la información el cual se está presentando en estos momentos en la empresa. Reducir el riesgo al realizar transacciones, las cuales cesen sus operaciones. ¿Qué se busca?: Mantener la confidencialidad de la información. Asegurar la integridad y confiabilidad de los datos. Asegurar la disponibilidad de los datos. Asegurar el cumplimiento de las leyes de seguridad nacionales y de las directivas y reglas de privacidad.
iv. Generar las preguntas de investigación: Las preguntas de investigación tienen que ver con los aspectos específicos que se van a investigar y analizar. Tienen que ver igualmente con los interrogantes que se esperan resolver con el desarrollo de la investigación. Se debe apuntar a preguntas con soluciones posibles, aquellas que realmente se puedan investigar. Para determinar las preguntas de investigación relevantes y que nos permitan resolver los aspectos importantes de la investigación, es posible clasificarlas según el entorno correspondiente. Como primera medida es necesario conocer el estado actual del proceso en la empresa, para lo cual se podría realizar una encuesta con la siguiente información: ¿Qué información contienen los archivos planos? ¿Existe un solo tipo de archivo? Si existen varios, ¿en que se difiere uno del otro? ¿Qué usuarios son los autorizados para generar los archivos? ¿En qué lugar se almacenan los archivos antes de ser enviados al banco? ¿En qué sistema (s) se generan los archivos planos? ¿Cómo es el proceso actual de generación de los archivos? ¿Con qué entidades bancarias realiza intercambio de información por medio de archivos planos? ¿Con qué periodicidad se generan los archivos? ¿Para todas las entidades es igual? ¿El sistema en que se generan los archivos actualmente, posee alguna herramienta que permita el proceso de encriptación? Si la respuesta es afirmativa, ¿qué protocolo utiliza? ¿Con qué recursos (dinero, personal técnico y funcional, tiempo) cuenta la empresa para este proceso? Se requiere identificar que sistemas de encriptación utilizan las entidades bancarias con las que la compañía realiza este proceso. En un segundo entorno se hace necesario averiguar por las posibles soluciones que hoy existen para poder implementarse, por lo cual se requiere contestar a las siguientes inquietudes. ¿Qué protocolos de encriptación existen actualmente en el mercado? ¿En qué difieren cada uno de los protocolos? (Ventajas y Desventajas) ¿Cuáles de estos protocolos son los más indicados para implementar en transacciones financieras? ¿Cuáles de estos protocolos son los más utilizados en entidades financieras en Colombia? ¿Se puede definir un estándar? ¿Qué sistemas existen actualmente que manejen estos protocolos? (Ventajas y Desventajas) ¿Qué proveedores se encuentran disponibles para la implementación de las soluciones? ¿Qué requerimientos de hardware y software requiere cada solución? ¿Qué riesgos pueden presentarse con los sistemas estudiados? ¿Estos pueden minimizarse? ¿Qué costos de implementación promedio se lleva? ¿Qué tiempos de implementación promedio se lleva?
¿Es necesario realizar algún tipo de personalización o implementación adicional a las soluciones encontradas? Finalmente debe realizarse un estudio de la información recolectada para poder tomar una decisión de que solución va a implementarse. En este punto del proceso se deberá constituir un cronograma de actividades que permita realizar seguimiento y control a la implementación. v. Definir la terminología a utilizar: Aquí se definen términos específicos que tienen que ver o que son propios de la investigación a realizar. - Phishing: Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). - Llave Hasp: Se trata de un sistema de seguridad basado en hardware que protege el software contra la piratería o el uso ilegal, permitiendo el acceso y su ejecución únicamente cuando la llave está conectada al PC. Las llaves HASP contienen un motor de cifrado impenetrable y de alta seguridad. Durante la ejecución, el software protegido envía secuencias cifradas a HASP que las descifra produciendo una respuesta que no se puede emular. Si la respuesta de HASP es correcta la aplicación sigue funcionando. Si HASPno está conectada o la respuesta es incorrecta, la aplicación no se ejecuta. - Riesgo: La noción de riesgo suele utilizarse como sinónimo de peligro. El riesgo, sin embargo, está vinculado a la vulnerabilidad, mientras que el peligro aparece asociado a la factibilidad del perjuicio o daño. Es posible distinguir, por lo tanto, entre riesgo (la posibilidad de daño) y peligro (la probabilidad de accidente o patología). En otras palabras, el peligro es una causa del riesgo. - Protocolos o algoritmos de encriptación: son lo que se encargan de realizar combinaciones, sustituciones y permutaciones entre el texto a cifrar y la clave, asegurándose al mismo tiempo de que las operaciones puedan realizarse en ambas direcciones (para el descifrado). - Medidas de control: Los controles son restricciones y otro tipo de medidas impuestas a un usuario o sistema o que pueden utilizarse para proteger los sistemas de los riesgos ya señalados, así como para paliar el daño causado a sistemas, aplicaciones y datos. - Controles de acceso: Los controles de acceso son medidas para asegurar que solo las personas autorizadas puedan acceder a una computadora o red, o a ciertas aplicaciones, o datos. Una manera de bloquear el acceso a una computadora es guardarla en una instalación a la que sólo los usuarios autorizados accedan mediante una clave o protegiéndola con una llave física. - Estándar ISO: En 1999, la Organización Internacional de Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), que son organismos internacionales, publicaron el estándar 15408 de ISO/IEC llamado Criterios de evaluación de técnicas
de seguridad en tecnología de información para seguridad de tecnología de información. El propósito del documento es proporcionar “un conjunto estándar de requisitos para las funciones de seguridad en productos y sistemas de tecnología de información y para medidas de refuerzo aplicadas a ellas durante una evaluación”. - Encriptación: Cuando se comunica información confidencial en una red pública como Internet, las partes deben autentificarse entre sí y mantener el mensaje en secreto. La autentificación es el proceso mediante el cual se asegura que la persona que envía o recibe un mensaje es en efecto la persona correcta. Puede realizarse entre emisores y receptores que intercambian códigos solo conocidos por ellos. Una vez establecida la autentificación, se puede mantener secreto el mensaje al darle una forma que impida su lectura a quien lo intercepte. A este tipo de codificación se le llama encriptación. Los programas de encriptación se utilizan para “revolver” la información transmitida por la red, de modo que un interceptor reciba datos ilegibles. Al mensaje original se le llama texto simple; al mensaje codificado se le llama texto codificado. La encriptación se realiza aplicando un algoritmo matemático, que es una fórmula, y una clave, es decir, una combinación de bits que debe utilizarse para calcular la fórmula. C. Planeación de la solución: Para realizar esta actividad, se sugiere utilizar el Decálogo de Bernal. Se debe diligenciar el siguiente cuadro para adjuntarlo a la primera actividad: Concepto Descripción Cronología - Dentro del proceso anual de auditoría de la empresa, para este año Cuándo? surge una necesidad para el mejoramiento del proceso de Tesorería en la implementación de un sistema de encriptación para los archivos que se intercambia entre la empresa y los bancos. Aunque la criptografía ha existido hace muchos miles de años, a medida que los sistemas informáticos han avanzado, la criptografía informática ha ido evolucionando a grandes pasos. Por los cual en la última década se han mejorado los protocolos de implementación haciéndolos más confiables y seguros. La implementación del proceso criptográfico en los archivos enviados al banco, se realizará en el transcurso de 4 meses a partir del inicio del proyecto. Una vez levantados los requerimientos y teniendo claro cuáles son los procesos que se deben encriptar el proceso se toma alrededor de 6 meses, debido a que se debe presupuestar el tiempo de levantamiento detallado, el tiempo de desarrollo del proceso, el tiempo de prueba, el tiempo de capacitación y la puesta en producción.
Axiomas - Para el proceso de implementación es necesario contar con cuatro Quién? elementos: - La empresa Compañía Mundial de Cobranzas e Inmobiliaria, quien debe ser la encargada de proveer los recursos necesarios para todo el proceso y la que conoce el negocio y la forma de realizar los procedimientos. Es necesario realizar una lista completa de las aéreas de la empresa que están involucradas en el proceso, es un punto muy importante para que no se quede ninguna parte del proceso por fuera. - El proveedor de la aplicación de encriptación, quien será el encargado de realizar la implementación en la parte técnica de protocolo y firmas. El proveedor deberá generar los tiempos que se tomara levantando cada requerimiento con las diferentes áreas, generara el tiempo de desarrollo, espacio de pruebas y capacitación, este punto especialmente, debe contar con el usuario o usuarios expertos que serán los que realizaran el proceso o velaran porque el mismo se esté efectuado según lo requerido. - Autoridades de Certificación, quien se encargará de vincular la clave pública y la privada de la empresa y de la entidad bancaría para crear el círculo de confianza. En este punto se debe involucrara al área de auditoría quien es el ente veedor para que los procesos se realicen correctamente y no afecten al usuario final. - Entidades Financieras, quien entregarán la información necesaria o realizaran ajustes a sus implementaciones actuales de sistema de encriptación. Como usuarios finales don los involucrados desde el inicio del proceso y a través de las pruebas certificaran que cumplen con lo requerido Método - Para poder realizar la implementación de un método de encriptación a los Cómo? archivos que se intercambian con los bancos, debemos realizar la siguientes actividades: 1. Verificación del estado actual de los sistema de la empresa y de los bancos. 1.1. Identificación del sistema que genera los archivos planos. 1.2. Identificar los métodos de generación. 1.3. Identificar posibles formas de encriptación en el sistema actual. 1.4. Identificar los protocolos de encriptación utilizados por los diferentes bancos con los que se intercambian archivos. 1.5. Identificar la estructura de los archivos. Generar el algoritmo que se ajuste a lo requerido, teniendo en cuanta los niveles de seguridad que se desean implementar
2. Búsqueda y selección del proveedor del sistema de encriptación. Para poder seleccionar el proveedor se debe como mínimo poner a competir a 3 proveedores y el que cumpla con: Respaldo en el mercado Expertis en la implementación de sistemas de criptografía Garantía del trabajo Tecnología, futurista, es decir que permita evolucionar en el tiempo. Costos justos Soporte durante y después de la implementación 3. Definir el protocolo estándar que va a implementarse con todos los bancos. Este puede ser el protocolo que sugiero para tener en cuenta en la selección es el algoritmos simétricos, o de clave secreta, se caracterizan por ser altamente eficientes e impenetrables. Se les llama así porque se emplea la misma clave para cifrar y para descifrar 4. Realizar la implementación de software y hardware necesarios. 6. Realización de prueba en ambientes de calidad, con verificación y aprobación de todas las áreas involucradas en el proceso, incluyendo el aval tanto de auditoría como de los bancos. 7. Certificación de las llaves con la entidad certificadora correspondiente. 8. Capacitación del nuevo proceso a los usuarios funcionales del área. 9. Comunicación y alienación de las fechas de salida en vivo, tanto al interior de la empresa como con los bancos. 9. Migración o puesta en productivo de los protocolos de encriptación. 10. Seguimiento post implementación. Ontología - Implementación de un sistema de encriptación para los archivos planos Qué? que se intercambian entra la empresa y las entidades bancarias, asegurando confiabilidad y seguridad en la información enviada para pagos y transacciones financieras. Teniendo en cuenta que la criptografía utilizada actualmente son los algoritmos simétricos, por la fortaleza que tiene utilizando la misma clave para cifras y para descifrar
Tecnología Utilizando una gran herramienta, que en la últimas décadas ha - Con qué? madurado y se consolidado en el mercado, como es la criptografía, se minimizará el riesgo de modificación a los archivos planos enviados al banco. Actualmente los protocolos de encriptación más utilizados para esta actividad son PGP y SET ( sistemas complejos y flexibles muy amistososy mas utilizados actualmente) o SSL y SHTTP (transacciones que el usuario ni siquiera se da cuenta que usa), pero la decisión de cuál debe ser implementado, debe ser tomada según el estándar de las entidades financieras. Como estudiantes de la UNAD, específicamente del Ingeniería de sistemas tenemos la facultad de asesorar a la empresa en la toma de la decisión buscan la mejor opción. Una parte imprescindible en cualquier sistema de seguridad es el mecanismo de autentificación que permita a las máquinas el reconocimiento del usuario. Teleología - Hacer que con la llaves Hasp y el sistema de encriptación disminuyan los Para qué? riesgos en la empresa; garantizando que la información y los programas sean seguros, haya Confidencialidad, Integridad y Disponibilidad de la Información con estas técnicas de codificación evita que las personas accedan a ellos sin autorización; " Es muy importante tener claro: Toda herramienta de seguridad útil para el administrador es también útil para un atacante, y toda herramienta de seguridad disponible para un administrador se debe asumir que está también disponible para un atacante." El sistema Hasp, contiene servidor SQL Express, este es un punto a tener en cuenta, debido a que este es el sistema básico de SQL y en ocasiones se limita un poco, por lo cual se debe contemplar la actualización de la versión. Topología - En el momento el proyecto se desarrollara en la ciudad de Bogotá, para Dónde? la empresa " Mundial de Cobranzas e Inmobiliaria." Ubicada en la dirección Cl 14 12-50 Of 324, Ecología - Actualmente este proyecto no influye físicamente con el medio ambiente Contra qué? ya que su desarrollo es Intangible "No hay contaminación". Etiología - ¿La empresa: Mundial de Cobranzas e Inmobiliaria de Bogotá cuenta con Por qué? buenas herramientas para la integridad de la información?
No, el desarrollo del proyecto es hacer uso de la implementación de nuevas herramientas para la mejora de autenticación y el sistema de seguridad en el cargue de los archivos. Experiencia A medida del desarrollo del proyecto se hará la cuantificación y la - Cuándo? cualificación del impacto que este obtuvo según los objetivos planteados al inicio. Tengo como observación y la experiencia que se debe generar un cronograma inicial que nos permita trabajar con metas claras, esto no quiere decir que se pueda ajustar.
CONCLUSIONES • Con el planteamiento de nuestro proyecto buscamos la integridad de los datos; la cual se refiere a la seguridad de que la información no ha sido alterada, borrada, reordenada, copiada, etc., durante el proceso de transmisión en los archivos. Es un riesgo común que el atacante al no pueda descifrar un paquete de información y, sabiendo que es importante, simplemente lo intercepte y lo borre. • Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicación de los datos. • Al utilizar la llave HASP emplea el algoritmo de cifrado AES de 128 bits. Este algoritmo crea un resistente vínculo entre la aplicación de software y la llave de protección de HASP (que evita la piratería del software y garantiza el uso autorizado del software). • Dentro de la protección software, el sistema Hasp SRM, dispone de una potente herramienta de Marketing, denominada Trialware; este módulo nos permite generar versiones de demostración o de prueba, concebido para la súper distribución; mientras el acceso al software de prueba se limita a cada usuario. • Podemos dar opiniones y aportes significativos a la empresa, además del acompañamiento de la implementación del sistema de criptografía, gracias a los conocimientos adquiridos en nuestro aprendizaje profesional, específicamente en asignaturas como Ingeniera de las telecomunicaciones.
FUENTES ELECTRÓNICAS • http://cursoadministracion1.blogspot.com/2008/07/riesgos-y-seguridad-en- datos.html • http://www.mkm-pi.com/isv-magazine/proteccion-de-codigo-llaves-hasp-srm/

Recomendados

Trabajo colaborativo 1
Trabajo colaborativo 1Trabajo colaborativo 1
Trabajo colaborativo 1Juan David Taborda
 
Trabajo colaborativo 1 proyectode_grado
Trabajo colaborativo 1 proyectode_gradoTrabajo colaborativo 1 proyectode_grado
Trabajo colaborativo 1 proyectode_gradoJuan David Taborda
 
Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Tlaca3lt
 
Administracion de riesgos si4002
Administracion de riesgos si4002Administracion de riesgos si4002
Administracion de riesgos si4002Maestros Online
 
Proyecto sicas sena
Proyecto sicas senaProyecto sicas sena
Proyecto sicas senaDiana Ruiz
 
Presentación tesis
Presentación tesisPresentación tesis
Presentación tesisangelbecerra56
 
Presentación tesis 2011
Presentación tesis 2011Presentación tesis 2011
Presentación tesis 2011Feibert Alirio Guzmán Pérez
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJesenia Ocaña Escobar
 

Recomendados

Trabajo colaborativo 1
Trabajo colaborativo 1Trabajo colaborativo 1
Trabajo colaborativo 1Juan David Taborda
 
Trabajo colaborativo 1 proyectode_grado
Trabajo colaborativo 1 proyectode_gradoTrabajo colaborativo 1 proyectode_grado
Trabajo colaborativo 1 proyectode_gradoJuan David Taborda
 
Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Presentacion tarea 211 final id 207712
Presentacion tarea 211 final id 207712Tlaca3lt
 
Administracion de riesgos si4002
Administracion de riesgos si4002Administracion de riesgos si4002
Administracion de riesgos si4002Maestros Online
 
Proyecto sicas sena
Proyecto sicas senaProyecto sicas sena
Proyecto sicas senaDiana Ruiz
 
Presentación tesis
Presentación tesisPresentación tesis
Presentación tesisangelbecerra56
 
Presentación tesis 2011
Presentación tesis 2011Presentación tesis 2011
Presentación tesis 2011Feibert Alirio Guzmán Pérez
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJesenia Ocaña Escobar
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
Seguridad en redes ii
Seguridad en redes iiSeguridad en redes ii
Seguridad en redes iiMaestros Online
 
Niveles de servicio y el soporte que ofrece el CENAM
Niveles de servicio y el soporte que ofrece el CENAMNiveles de servicio y el soporte que ofrece el CENAM
Niveles de servicio y el soporte que ofrece el CENAMJazmin Glez.
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadClinica Internacional
 
Defensa de tesis
Defensa de tesisDefensa de tesis
Defensa de tesisJac Ayala
 
Perfil Proyecto de Grado (Informática)
Perfil Proyecto de Grado (Informática)Perfil Proyecto de Grado (Informática)
Perfil Proyecto de Grado (Informática)J Arze
 
Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...
Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...
Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...Jose Hernandez
 
mineria de datos aplicada a inventarios
mineria de datos aplicada a inventariosmineria de datos aplicada a inventarios
mineria de datos aplicada a inventariosMary Fernandez
 
Ficha #2 version final
Ficha #2 version finalFicha #2 version final
Ficha #2 version finalthyago1211
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Presentacion de daisy 21 05
Presentacion de daisy 21 05Presentacion de daisy 21 05
Presentacion de daisy 21 05rennycastillo
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta GerenciaFabián Descalzo
 
Diapositivas de la tesis[1]
Diapositivas de la tesis[1]Diapositivas de la tesis[1]
Diapositivas de la tesis[1]Mileida De Hammett
 
ca-css-upaep_101014_cs_esp-hr
ca-css-upaep_101014_cs_esp-hrca-css-upaep_101014_cs_esp-hr
ca-css-upaep_101014_cs_esp-hrJavier Corte
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Auditoria luisanny quintero
Auditoria luisanny quinteroAuditoria luisanny quintero
Auditoria luisanny quinteroluisatero
 
PERFIL DE PROYECTO DE GRADO
PERFIL DE PROYECTO DE GRADOPERFIL DE PROYECTO DE GRADO
PERFIL DE PROYECTO DE GRADODiego Armando
 
Anteproyecto Liliana cujar
Anteproyecto Liliana cujarAnteproyecto Liliana cujar
Anteproyecto Liliana cujarclemencia buitrago
 
Proyecto de calidad de software
Proyecto de calidad de softwareProyecto de calidad de software
Proyecto de calidad de softwareYessenia I. Martínez M.
 
Prototipo
PrototipoPrototipo
PrototipoAndreina_24
 
Proyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docxProyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docxTOMASCORONEL3
 
Desarrollo y sistematizacion de creditos del banco caja mundial2
Desarrollo y sistematizacion de creditos del banco caja mundial2Desarrollo y sistematizacion de creditos del banco caja mundial2
Desarrollo y sistematizacion de creditos del banco caja mundial2Daniel A. Lopez Ch.
 

Más contenido relacionado

La actualidad más candente

Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
Niveles de servicio y el soporte que ofrece el CENAM
Niveles de servicio y el soporte que ofrece el CENAMNiveles de servicio y el soporte que ofrece el CENAM
Niveles de servicio y el soporte que ofrece el CENAMJazmin Glez.
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadClinica Internacional
 
Defensa de tesis
Defensa de tesisDefensa de tesis
Defensa de tesisJac Ayala
 
Perfil Proyecto de Grado (Informática)
Perfil Proyecto de Grado (Informática)Perfil Proyecto de Grado (Informática)
Perfil Proyecto de Grado (Informática)J Arze
 
Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...
Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...
Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...Jose Hernandez
 
mineria de datos aplicada a inventarios
mineria de datos aplicada a inventariosmineria de datos aplicada a inventarios
mineria de datos aplicada a inventariosMary Fernandez
 
Ficha #2 version final
Ficha #2 version finalFicha #2 version final
Ficha #2 version finalthyago1211
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Presentacion de daisy 21 05
Presentacion de daisy 21 05Presentacion de daisy 21 05
Presentacion de daisy 21 05rennycastillo
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta GerenciaFabián Descalzo
 
ca-css-upaep_101014_cs_esp-hr
ca-css-upaep_101014_cs_esp-hrca-css-upaep_101014_cs_esp-hr
ca-css-upaep_101014_cs_esp-hrJavier Corte
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Auditoria luisanny quintero
Auditoria luisanny quinteroAuditoria luisanny quintero
Auditoria luisanny quinteroluisatero
 
PERFIL DE PROYECTO DE GRADO
PERFIL DE PROYECTO DE GRADOPERFIL DE PROYECTO DE GRADO
PERFIL DE PROYECTO DE GRADODiego Armando
 

La actualidad más candente (19)

Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
 
Seguridad en redes ii
Seguridad en redes iiSeguridad en redes ii
Seguridad en redes ii
 
Niveles de servicio y el soporte que ofrece el CENAM
Niveles de servicio y el soporte que ofrece el CENAMNiveles de servicio y el soporte que ofrece el CENAM
Niveles de servicio y el soporte que ofrece el CENAM
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridad
 
Defensa de tesis
Defensa de tesisDefensa de tesis
Defensa de tesis
 
Perfil Proyecto de Grado (Informática)
Perfil Proyecto de Grado (Informática)Perfil Proyecto de Grado (Informática)
Perfil Proyecto de Grado (Informática)
 
Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...
Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...
Tesis "Sistema de Arbitraje bajo entorno Web para la inscripción y arbitraje ...
 
mineria de datos aplicada a inventarios
mineria de datos aplicada a inventariosmineria de datos aplicada a inventarios
mineria de datos aplicada a inventarios
 
Ficha #2 version final
Ficha #2 version finalFicha #2 version final
Ficha #2 version final
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoría
 
Presentacion de daisy 21 05
Presentacion de daisy 21 05Presentacion de daisy 21 05
Presentacion de daisy 21 05
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia
 
Diapositivas de la tesis[1]
Diapositivas de la tesis[1]Diapositivas de la tesis[1]
Diapositivas de la tesis[1]
 
ca-css-upaep_101014_cs_esp-hr
ca-css-upaep_101014_cs_esp-hrca-css-upaep_101014_cs_esp-hr
ca-css-upaep_101014_cs_esp-hr
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
 
Auditoria luisanny quintero
Auditoria luisanny quinteroAuditoria luisanny quintero
Auditoria luisanny quintero
 
PERFIL DE PROYECTO DE GRADO
PERFIL DE PROYECTO DE GRADOPERFIL DE PROYECTO DE GRADO
PERFIL DE PROYECTO DE GRADO
 
Anteproyecto Liliana cujar
Anteproyecto Liliana cujarAnteproyecto Liliana cujar
Anteproyecto Liliana cujar
 
Proyecto de calidad de software
Proyecto de calidad de softwareProyecto de calidad de software
Proyecto de calidad de software
 

Similar a Tc2 15

Proyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docxProyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docxTOMASCORONEL3
 
Desarrollo y sistematizacion de creditos del banco caja mundial2
Desarrollo y sistematizacion de creditos del banco caja mundial2Desarrollo y sistematizacion de creditos del banco caja mundial2
Desarrollo y sistematizacion de creditos del banco caja mundial2Daniel A. Lopez Ch.
 
Propuesta de Auditoria en Informatica
Propuesta de Auditoria en InformaticaPropuesta de Auditoria en Informatica
Propuesta de Auditoria en Informaticayolimardorante
 
Ponencia: Criptografía en la seguridad bancaria
Ponencia: Criptografía en la seguridad bancariaPonencia: Criptografía en la seguridad bancaria
Ponencia: Criptografía en la seguridad bancariaclaoeusse
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&nluis villacis
 
Diseño y construcción de un software para una tienda
Diseño y construcción de un software para una tiendaDiseño y construcción de un software para una tienda
Diseño y construcción de un software para una tiendaOscar Hernando Sanchez Roa
 
Evidencias 2 yesid manzur
Evidencias 2 yesid manzurEvidencias 2 yesid manzur
Evidencias 2 yesid manzuryessidmanzur
 
sistema COBIT en los procesos de auditoría informática para.pdf
sistema COBIT en los procesos de auditoría informática para.pdfsistema COBIT en los procesos de auditoría informática para.pdf
sistema COBIT en los procesos de auditoría informática para.pdfJhonVenegas4
 
Recuperación de desastres evaluación del proceso del negocio y administración
Recuperación de desastres evaluación del proceso del negocio y administraciónRecuperación de desastres evaluación del proceso del negocio y administración
Recuperación de desastres evaluación del proceso del negocio y administraciónMaestros en Linea MX
 
Zariangi paola ocanto colmenarez
Zariangi paola ocanto colmenarezZariangi paola ocanto colmenarez
Zariangi paola ocanto colmenarezgarcia Rea
 
Zariangi paola ocanto colmenarez
Zariangi paola ocanto colmenarezZariangi paola ocanto colmenarez
Zariangi paola ocanto colmenarezgarcia Rea
 
Recuperación de desastres evaluación del proceso del negocio y administración
Recuperación de desastres evaluación del proceso del negocio y administraciónRecuperación de desastres evaluación del proceso del negocio y administración
Recuperación de desastres evaluación del proceso del negocio y administraciónMaestros Online
 
Tecnologías de la información en secciones, microfinanzas y banca ética
Tecnologías de la información en secciones, microfinanzas y banca éticaTecnologías de la información en secciones, microfinanzas y banca ética
Tecnologías de la información en secciones, microfinanzas y banca éticaValencia Gregal
 
Requisitos funcionales del sistema
Requisitos funcionales del sistemaRequisitos funcionales del sistema
Requisitos funcionales del sistemafanyto
 

Similar a Tc2 15 (20)

Prototipo
PrototipoPrototipo
Prototipo
 
Proyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docxProyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docx
 
Desarrollo y sistematizacion de creditos del banco caja mundial2
Desarrollo y sistematizacion de creditos del banco caja mundial2Desarrollo y sistematizacion de creditos del banco caja mundial2
Desarrollo y sistematizacion de creditos del banco caja mundial2
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcial
 
Propuesta de Auditoria en Informatica
Propuesta de Auditoria en InformaticaPropuesta de Auditoria en Informatica
Propuesta de Auditoria en Informatica
 
Ponencia: Criptografía en la seguridad bancaria
Ponencia: Criptografía en la seguridad bancariaPonencia: Criptografía en la seguridad bancaria
Ponencia: Criptografía en la seguridad bancaria
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&n
 
Diseño y construcción de un software para una tienda
Diseño y construcción de un software para una tiendaDiseño y construcción de un software para una tienda
Diseño y construcción de un software para una tienda
 
Evidencias 2 yesid manzur
Evidencias 2 yesid manzurEvidencias 2 yesid manzur
Evidencias 2 yesid manzur
 
sistema COBIT en los procesos de auditoría informática para.pdf
sistema COBIT en los procesos de auditoría informática para.pdfsistema COBIT en los procesos de auditoría informática para.pdf
sistema COBIT en los procesos de auditoría informática para.pdf
 
Recuperación de desastres evaluación del proceso del negocio y administración
Recuperación de desastres evaluación del proceso del negocio y administraciónRecuperación de desastres evaluación del proceso del negocio y administración
Recuperación de desastres evaluación del proceso del negocio y administración
 
Wbank
WbankWbank
Wbank
 
Forense Digital Ofensivo
Forense Digital OfensivoForense Digital Ofensivo
Forense Digital Ofensivo
 
Zariangi paola ocanto colmenarez
Zariangi paola ocanto colmenarezZariangi paola ocanto colmenarez
Zariangi paola ocanto colmenarez
 
Zariangi paola ocanto colmenarez
Zariangi paola ocanto colmenarezZariangi paola ocanto colmenarez
Zariangi paola ocanto colmenarez
 
Recuperación de desastres evaluación del proceso del negocio y administración
Recuperación de desastres evaluación del proceso del negocio y administraciónRecuperación de desastres evaluación del proceso del negocio y administración
Recuperación de desastres evaluación del proceso del negocio y administración
 
Diagramas
DiagramasDiagramas
Diagramas
 
CONTROL INTERNO
CONTROL INTERNOCONTROL INTERNO
CONTROL INTERNO
 
Tecnologías de la información en secciones, microfinanzas y banca ética
Tecnologías de la información en secciones, microfinanzas y banca éticaTecnologías de la información en secciones, microfinanzas y banca ética
Tecnologías de la información en secciones, microfinanzas y banca ética
 
Requisitos funcionales del sistema
Requisitos funcionales del sistemaRequisitos funcionales del sistema
Requisitos funcionales del sistema
 

Más de claoeusse

Trab ii Punto_i
Trab ii Punto_iTrab ii Punto_i
Trab ii Punto_iclaoeusse
 
Trab .II punto i
Trab .II punto iTrab .II punto i
Trab .II punto iclaoeusse
 
Trab.II punto iii
Trab.II punto iiiTrab.II punto iii
Trab.II punto iiiclaoeusse
 
Trab. II punto ii Proyectos informáticos
Trab. II punto ii Proyectos informáticosTrab. II punto ii Proyectos informáticos
Trab. II punto ii Proyectos informáticosclaoeusse
 
Trabajo colaborativo II punto B
Trabajo colaborativo II punto BTrabajo colaborativo II punto B
Trabajo colaborativo II punto Bclaoeusse
 
Act 6 trabajo I
Act 6 trabajo IAct 6 trabajo I
Act 6 trabajo Iclaoeusse
 
Quiz Proyecto de Grado
Quiz Proyecto de GradoQuiz Proyecto de Grado
Quiz Proyecto de Gradoclaoeusse
 
Leccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de gradoLeccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de gradoclaoeusse
 
Proyecto Final Diseño de Proyectos
Proyecto Final Diseño de ProyectosProyecto Final Diseño de Proyectos
Proyecto Final Diseño de Proyectosclaoeusse
 

Más de claoeusse (10)

Tc2 15
Tc2 15Tc2 15
Tc2 15
 
Trab ii Punto_i
Trab ii Punto_iTrab ii Punto_i
Trab ii Punto_i
 
Trab .II punto i
Trab .II punto iTrab .II punto i
Trab .II punto i
 
Trab.II punto iii
Trab.II punto iiiTrab.II punto iii
Trab.II punto iii
 
Trab. II punto ii Proyectos informáticos
Trab. II punto ii Proyectos informáticosTrab. II punto ii Proyectos informáticos
Trab. II punto ii Proyectos informáticos
 
Trabajo colaborativo II punto B
Trabajo colaborativo II punto BTrabajo colaborativo II punto B
Trabajo colaborativo II punto B
 
Act 6 trabajo I
Act 6 trabajo IAct 6 trabajo I
Act 6 trabajo I
 
Quiz Proyecto de Grado
Quiz Proyecto de GradoQuiz Proyecto de Grado
Quiz Proyecto de Grado
 
Leccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de gradoLeccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de grado
 
Proyecto Final Diseño de Proyectos
Proyecto Final Diseño de ProyectosProyecto Final Diseño de Proyectos
Proyecto Final Diseño de Proyectos
 

Tc2 15

  • 1. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGIAS E INGENIERÍA UNIDAD DE CIENCIAS BÁSICAS ACT. 10 TRABAJO COLABORATIVO 2 INTEGRANTES MÓNICA AMPARO NAVARRO COD. 52425635 CLAUDIA PATRICIA ROMERO E. COD. 52440394 ALEXANDRA FONSECA MOJICA COD. 52368318 GRUPO: 201014_15 TUTOR CARMEN ADRIANA AGUIRRE CABRERA Bogotá D. C, 13 Noviembre 2012
  • 2. INTRODUCCION Dentro de las diferentes carreras de estudio que ofrece la UNAD, se encuentra la Ingeniería de sistemas, ubicada dentro de la ECBIT (Escuela de Ciencias Básicas, Tecnología e Ingeniería), con la modalidad de educación a distancia, promoviendo la investigación, la proyección social, estrategias educativas y organizacionales innovadoras, con la ayuda de las tecnologías de la información y las comunicaciones, con la Misión de formar profesionales íntegros y de calidad. Lo anterior como preámbulo para el desarrollo y enfoque de la razón de ser de esta actividad, debido a que como estudiantes de la UNAD, debemos seguir la misión de la universidad, de tal forma que con integridad y en las diferentes actividades en las que nos desenvolvamos la representemos con verdaderos profesionales. Para el desarrollo de lo anterior es necesario, dar solución a una problemática del entorno, de tal forma que llevemos a la realidad y a la práctica los conocimientos adquiridos durante el estudio de nuestra carrera. Como se menciono en el trabajo colaborativo uno, nos vamos a enfocar en el problema planteado por nuestra compañera Mónica Navarro Varón, quien nos planteaba una falla en el registro y control de los pagos y recaudos de los clientes en la empresa Mundial de Cobranzas e Inmobiliaria. En el desarrollo de la actividad vamos a profundizar en cada aspecto que debemos tener en cuenta, en la elaboración del proyecto. La alteración o destrucción de datos suele ser producto de un acto de perversidad. Desde que las empresas empezaron a colocar páginas Web en internet, muchas se han llevado una sorpresa desagradable: algunas personas han encontrado formas de acceder a los servidores y alterar páginas principales y de otro tipo. Para evitar dicho vandalismo electrónico se utilizan hardware y software especiales. Es por ello, que se propone un segundo trabajo colaborativo que responde a la revisión de la unidad 2, con una propuesta metodológica que plantea la realización de unas actividades individuales y grupales. Este trabajo se compone de tres puntos: Inicialmente tomaremos el problema planteado en el trabajo colaborativo No. 1 haciendo una descripción más amplia del problema de investigación, que para nuestro caso estaremos realizando una revisión y mejora de seguridad a uno de los procesos de la empresa Mundial de Cobranzas e Inmobiliaria. En esta fase también se realizará un planteamiento claro y específico de la situación, en donde se contextualizará y documentara el problema que se presenta, su importancia y el impacto que genera actualmente.
  • 3. En este trabajo es importante identificar el propósito que se pretende obtenerse al final del proceso investigación, así como los resultados esperados. Durante el proceso será necesario realizar preguntas que ayuden a analizar todos los aspecto que deben ser tenidos en cuenta en el desarrollo e la investigación, En una segunda fase, se realizará una contextualización sobre la tecnología innovadora que se va a utilizar para mejorar el proceso de seguridad informática en el manejo de transacciones bancarias de la compañía, La Criptografía. Para este fin utilizaremos una presentación dinámica en la cual se mostrarán los temas más importantes de la herramienta. Finalmente utilizando el Decálogo de Bernal, contestando cada uno de sus preguntas, se mostrará la planeación de la solución.
  • 4. OBJETIVO GENERAL Implementación de herramientas, teniendo en cuenta las normas de seguridad para proteger la información de la empresa. OBJETIVOS ESPECIFICOS Implementación de un buen sistema para minimizar riesgos en cada uno de los procesos que se efectúa. Mejorar la seguridad para el cargue de archivos y evitar sean modificados. Generar aportes significativos al entorno en el que nos desempeñamos, como en nuestro trabajo, gracias a los conocimientos adquiridos en el transcurso del estudio de nuestra carrera.
  • 5. Desarrollo de la Actividad A. Para la problemática descrita en el trabajo colaborativo 1: i. Describir el problema de investigación: Puede ser una situación concreta que dificulta la marcha normal de una organización o el manejo de una tecnología dentro de esta. También puede ser una situación susceptible de revisión o de mejoramiento. En la Organización Mundial de Cobranzas e Inmobiliaria se cuenta con la gerencia Financiera, dentro de la cual se tiene conformada el área de Gestión de Pagos y Tesorería. Esta jefatura es la encargada analizar, controlar y ejecutar la causación y verificación de facturas, la realización de los pagos y el registro de los ingresos de la compañía. El proceso de pagos y recaudos implica la realización de transacciones financiaras como son: pagos de recaudos de arriendos a los propietarios de los inmuebles, recaudos y pagos de la compra y venta de inmuebles, pagos de servicios públicos y administraciones de los inmuebles propios o en custodia, pago a los proveedores de servicios para el mantenimiento de los inmuebles, pago de los costos administrativos y comerciales derivados del funcionamiento de la empresa, entre otros. Este tipo de movimientos se realizan en diferentes entidades financieras o en las cajas de cada uno de las sucursales de la compañía. Aunque dentro del área, existen procesos y controles, como la aplicación de segregación de funciones para la realización de las actividades que hoy hace que el proceso funcione, en la última revisión realizada por el área de auditoría interna de la empresa encontró que, debido al aumento de las transacciones y montos que está realizando la empresa los controles que se ejercen actualmente no son suficientes y pueden existir riesgos en la perdida de dinero o de información financiera clave que requiere mayor seguridad; por lo cual ellos entregaron en el informe una recomendación para mejorar el proceso. ii. Plantear el problema: Indicar cuál es el problema de investigación. Hacer un planteamiento en forma clara y específica de la situación que se va a investigar. La existencia del problema se debe sustentar con base en observación directa, documentos publicados, resultados de otras investigaciones, opiniones con expertos, etc. Es necesario describir la importancia de apropiar este problema y el impacto que puede darse con una optima solución que se plantee. Se debe describir las características del entorno para el cual es importante dar solución a la problemática. De igual manera describir la factibilidad para realizar el proceso de investigación.
  • 6. En el informe de auditoría entregado a la jefatura del área de Gestión de Pagos y Tesorería, en la revisión del proceso de pagos y recaudos de dineros, se registra un punto el cual se enfoca en la seguridad de las transacciones que realiza la empresa de manera electrónica con las diferentes entidades financiera con las que se tiene relación. En este punto se evalúa la cantidad de transacciones que realiza Tesorería, los montos y los medios por los cuales los ejecuta, encontrando que: - Se realizan pagos utilizando las páginas de los bancos o por servicios PSE. - Se envían archivos planos a las entidades bancarias para el pago o consignación automática de dineros a los clientes, proveedores y empleados de la empresa. - Se realizan trasferencias de dinero por medios electrónicos a cuentas de clientes y agrupaciones de vivienda. Los puntos a tener en cuenta del informe de auditoría son los siguientes:
  • 7. Proceso Validado Hallazgo / Riesgo Recomendación Pagos realizados en páginas de Los pagos se realizan ingresando a cada Se debe implementar un sistema de entidades bancarias. una de las páginas de los bancos y el medio autentificación más seguro, que minimice el de autenticación utilizado, solo registrando riesgo para que los intrusos puedan acceder a los usuarios y contraseñas asignadas por el las claves y usuarios de acceso a las cuentas banco. bancarias. Riesgo: Existe posibilidad de robo de información utilizando phishing. Cargue de archivos planos en El usuario funcional encargado, genera los Se debe implementar un sistema de seguridad bancos para programación de archivos planos en el sistema central de la en el cargue de los archivos para evitar que pagos. empresa, los cuales quedan almacenados sean modificados. en una ubicación local del equipo del usuario. Luego este debe cargar el archivo en la página de cada banco. Riesgo: Existe una gran posibilidad de vulneración de los archivos antes de ser cargados en el banco, permitiendo hacer pagos a cuentas o por valores no reales. Registros de transferencias a Los registros de transferencias de dinero se Se debe implementar un sistema de clientes y agrupaciones. realizan ingresando a cada una de las autentificación más seguro, que minimice el páginas de los bancos y el medio de riesgo para que los intrusos puedan acceder a autenticación utilizado, solo registrando los las claves y usuarios de acceso a las cuentas usuarios y contraseñas asignadas por el bancarias. banco. Tabla No.1 Apartado Tesorería - Informe de Auditoría Interna
  • 8. Realizando una evaluación de los riesgos y recomendaciones planteadas, entre la jefatura de Tesorería y la coordinación del área de tecnología, se plantean dos planes de acción que permiten minimizar los riesgos hallados. El primer plan de acción va enfocado a dar solución a los puntos uno y tres del informe, el cual consiste en la utilización de llaves Hasp de seguridad para el acceso a las páginas de los bancos. Estas llaves deben ser suministradas por cada uno de los bancos y manejas por los usuarios funcionales autorizados en la empresa. Estos dispositivos al utilizar un sistema automático de encriptación, disminuirán el riesgo realizar phishing a los datos sensibles de la compañía, de manera que se eviten estafas. Los tiempos de esta solución son menores, ya que no requieren de desarrollo, ni de una gran implementación en software, por lo que la respuesta a la recomendación puede ser casi que inmediata. Para el segundo punto del informe, se determina implementar un sistema de encriptación de archivos, el cual permita que la información generada en el sistema central de compañía sea la misma procesada por cada banco. En este caso se debe realizar un estudio de la información que se genera, la forma y medios de envío, los diferentes protocolos y mejores prácticas. Además se realizará un proceso de acercamiento con cada una de las entidades bancarias, para determinar las actividades que deben realizarse con cada una para la implementación de la solución. El tiempo de implementación proyectado para esta implementación, oscila de tres a cuatro meses. iii. Describir el propósito de la investigación: Se debe explicar el tipo de resultados que se esperan obtener y de qué manera pueden ser útiles para la organización o el entorno. Se trata entonces de explicar la naturaleza del tipo de resultados que se espera obtener. Se espera mitigar los riesgos hacia la información el cual se está presentando en estos momentos en la empresa. Reducir el riesgo al realizar transacciones, las cuales cesen sus operaciones. ¿Qué se busca?: Mantener la confidencialidad de la información. Asegurar la integridad y confiabilidad de los datos. Asegurar la disponibilidad de los datos. Asegurar el cumplimiento de las leyes de seguridad nacionales y de las directivas y reglas de privacidad.
  • 9. iv. Generar las preguntas de investigación: Las preguntas de investigación tienen que ver con los aspectos específicos que se van a investigar y analizar. Tienen que ver igualmente con los interrogantes que se esperan resolver con el desarrollo de la investigación. Se debe apuntar a preguntas con soluciones posibles, aquellas que realmente se puedan investigar. Para determinar las preguntas de investigación relevantes y que nos permitan resolver los aspectos importantes de la investigación, es posible clasificarlas según el entorno correspondiente. Como primera medida es necesario conocer el estado actual del proceso en la empresa, para lo cual se podría realizar una encuesta con la siguiente información: ¿Qué información contienen los archivos planos? ¿Existe un solo tipo de archivo? Si existen varios, ¿en que se difiere uno del otro? ¿Qué usuarios son los autorizados para generar los archivos? ¿En qué lugar se almacenan los archivos antes de ser enviados al banco? ¿En qué sistema (s) se generan los archivos planos? ¿Cómo es el proceso actual de generación de los archivos? ¿Con qué entidades bancarias realiza intercambio de información por medio de archivos planos? ¿Con qué periodicidad se generan los archivos? ¿Para todas las entidades es igual? ¿El sistema en que se generan los archivos actualmente, posee alguna herramienta que permita el proceso de encriptación? Si la respuesta es afirmativa, ¿qué protocolo utiliza? ¿Con qué recursos (dinero, personal técnico y funcional, tiempo) cuenta la empresa para este proceso? Se requiere identificar que sistemas de encriptación utilizan las entidades bancarias con las que la compañía realiza este proceso. En un segundo entorno se hace necesario averiguar por las posibles soluciones que hoy existen para poder implementarse, por lo cual se requiere contestar a las siguientes inquietudes. ¿Qué protocolos de encriptación existen actualmente en el mercado? ¿En qué difieren cada uno de los protocolos? (Ventajas y Desventajas) ¿Cuáles de estos protocolos son los más indicados para implementar en transacciones financieras? ¿Cuáles de estos protocolos son los más utilizados en entidades financieras en Colombia? ¿Se puede definir un estándar? ¿Qué sistemas existen actualmente que manejen estos protocolos? (Ventajas y Desventajas) ¿Qué proveedores se encuentran disponibles para la implementación de las soluciones? ¿Qué requerimientos de hardware y software requiere cada solución? ¿Qué riesgos pueden presentarse con los sistemas estudiados? ¿Estos pueden minimizarse? ¿Qué costos de implementación promedio se lleva? ¿Qué tiempos de implementación promedio se lleva?
  • 10. ¿Es necesario realizar algún tipo de personalización o implementación adicional a las soluciones encontradas? Finalmente debe realizarse un estudio de la información recolectada para poder tomar una decisión de que solución va a implementarse. En este punto del proceso se deberá constituir un cronograma de actividades que permita realizar seguimiento y control a la implementación. v. Definir la terminología a utilizar: Aquí se definen términos específicos que tienen que ver o que son propios de la investigación a realizar. - Phishing: Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). - Llave Hasp: Se trata de un sistema de seguridad basado en hardware que protege el software contra la piratería o el uso ilegal, permitiendo el acceso y su ejecución únicamente cuando la llave está conectada al PC. Las llaves HASP contienen un motor de cifrado impenetrable y de alta seguridad. Durante la ejecución, el software protegido envía secuencias cifradas a HASP que las descifra produciendo una respuesta que no se puede emular. Si la respuesta de HASP es correcta la aplicación sigue funcionando. Si HASPno está conectada o la respuesta es incorrecta, la aplicación no se ejecuta. - Riesgo: La noción de riesgo suele utilizarse como sinónimo de peligro. El riesgo, sin embargo, está vinculado a la vulnerabilidad, mientras que el peligro aparece asociado a la factibilidad del perjuicio o daño. Es posible distinguir, por lo tanto, entre riesgo (la posibilidad de daño) y peligro (la probabilidad de accidente o patología). En otras palabras, el peligro es una causa del riesgo. - Protocolos o algoritmos de encriptación: son lo que se encargan de realizar combinaciones, sustituciones y permutaciones entre el texto a cifrar y la clave, asegurándose al mismo tiempo de que las operaciones puedan realizarse en ambas direcciones (para el descifrado). - Medidas de control: Los controles son restricciones y otro tipo de medidas impuestas a un usuario o sistema o que pueden utilizarse para proteger los sistemas de los riesgos ya señalados, así como para paliar el daño causado a sistemas, aplicaciones y datos. - Controles de acceso: Los controles de acceso son medidas para asegurar que solo las personas autorizadas puedan acceder a una computadora o red, o a ciertas aplicaciones, o datos. Una manera de bloquear el acceso a una computadora es guardarla en una instalación a la que sólo los usuarios autorizados accedan mediante una clave o protegiéndola con una llave física. - Estándar ISO: En 1999, la Organización Internacional de Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), que son organismos internacionales, publicaron el estándar 15408 de ISO/IEC llamado Criterios de evaluación de técnicas
  • 11. de seguridad en tecnología de información para seguridad de tecnología de información. El propósito del documento es proporcionar “un conjunto estándar de requisitos para las funciones de seguridad en productos y sistemas de tecnología de información y para medidas de refuerzo aplicadas a ellas durante una evaluación”. - Encriptación: Cuando se comunica información confidencial en una red pública como Internet, las partes deben autentificarse entre sí y mantener el mensaje en secreto. La autentificación es el proceso mediante el cual se asegura que la persona que envía o recibe un mensaje es en efecto la persona correcta. Puede realizarse entre emisores y receptores que intercambian códigos solo conocidos por ellos. Una vez establecida la autentificación, se puede mantener secreto el mensaje al darle una forma que impida su lectura a quien lo intercepte. A este tipo de codificación se le llama encriptación. Los programas de encriptación se utilizan para “revolver” la información transmitida por la red, de modo que un interceptor reciba datos ilegibles. Al mensaje original se le llama texto simple; al mensaje codificado se le llama texto codificado. La encriptación se realiza aplicando un algoritmo matemático, que es una fórmula, y una clave, es decir, una combinación de bits que debe utilizarse para calcular la fórmula. C. Planeación de la solución: Para realizar esta actividad, se sugiere utilizar el Decálogo de Bernal. Se debe diligenciar el siguiente cuadro para adjuntarlo a la primera actividad: Concepto Descripción Cronología - Dentro del proceso anual de auditoría de la empresa, para este año Cuándo? surge una necesidad para el mejoramiento del proceso de Tesorería en la implementación de un sistema de encriptación para los archivos que se intercambia entre la empresa y los bancos. Aunque la criptografía ha existido hace muchos miles de años, a medida que los sistemas informáticos han avanzado, la criptografía informática ha ido evolucionando a grandes pasos. Por los cual en la última década se han mejorado los protocolos de implementación haciéndolos más confiables y seguros. La implementación del proceso criptográfico en los archivos enviados al banco, se realizará en el transcurso de 4 meses a partir del inicio del proyecto. Una vez levantados los requerimientos y teniendo claro cuáles son los procesos que se deben encriptar el proceso se toma alrededor de 6 meses, debido a que se debe presupuestar el tiempo de levantamiento detallado, el tiempo de desarrollo del proceso, el tiempo de prueba, el tiempo de capacitación y la puesta en producción.
  • 12. Axiomas - Para el proceso de implementación es necesario contar con cuatro Quién? elementos: - La empresa Compañía Mundial de Cobranzas e Inmobiliaria, quien debe ser la encargada de proveer los recursos necesarios para todo el proceso y la que conoce el negocio y la forma de realizar los procedimientos. Es necesario realizar una lista completa de las aéreas de la empresa que están involucradas en el proceso, es un punto muy importante para que no se quede ninguna parte del proceso por fuera. - El proveedor de la aplicación de encriptación, quien será el encargado de realizar la implementación en la parte técnica de protocolo y firmas. El proveedor deberá generar los tiempos que se tomara levantando cada requerimiento con las diferentes áreas, generara el tiempo de desarrollo, espacio de pruebas y capacitación, este punto especialmente, debe contar con el usuario o usuarios expertos que serán los que realizaran el proceso o velaran porque el mismo se esté efectuado según lo requerido. - Autoridades de Certificación, quien se encargará de vincular la clave pública y la privada de la empresa y de la entidad bancaría para crear el círculo de confianza. En este punto se debe involucrara al área de auditoría quien es el ente veedor para que los procesos se realicen correctamente y no afecten al usuario final. - Entidades Financieras, quien entregarán la información necesaria o realizaran ajustes a sus implementaciones actuales de sistema de encriptación. Como usuarios finales don los involucrados desde el inicio del proceso y a través de las pruebas certificaran que cumplen con lo requerido Método - Para poder realizar la implementación de un método de encriptación a los Cómo? archivos que se intercambian con los bancos, debemos realizar la siguientes actividades: 1. Verificación del estado actual de los sistema de la empresa y de los bancos. 1.1. Identificación del sistema que genera los archivos planos. 1.2. Identificar los métodos de generación. 1.3. Identificar posibles formas de encriptación en el sistema actual. 1.4. Identificar los protocolos de encriptación utilizados por los diferentes bancos con los que se intercambian archivos. 1.5. Identificar la estructura de los archivos. Generar el algoritmo que se ajuste a lo requerido, teniendo en cuanta los niveles de seguridad que se desean implementar
  • 13. 2. Búsqueda y selección del proveedor del sistema de encriptación. Para poder seleccionar el proveedor se debe como mínimo poner a competir a 3 proveedores y el que cumpla con: Respaldo en el mercado Expertis en la implementación de sistemas de criptografía Garantía del trabajo Tecnología, futurista, es decir que permita evolucionar en el tiempo. Costos justos Soporte durante y después de la implementación 3. Definir el protocolo estándar que va a implementarse con todos los bancos. Este puede ser el protocolo que sugiero para tener en cuenta en la selección es el algoritmos simétricos, o de clave secreta, se caracterizan por ser altamente eficientes e impenetrables. Se les llama así porque se emplea la misma clave para cifrar y para descifrar 4. Realizar la implementación de software y hardware necesarios. 6. Realización de prueba en ambientes de calidad, con verificación y aprobación de todas las áreas involucradas en el proceso, incluyendo el aval tanto de auditoría como de los bancos. 7. Certificación de las llaves con la entidad certificadora correspondiente. 8. Capacitación del nuevo proceso a los usuarios funcionales del área. 9. Comunicación y alienación de las fechas de salida en vivo, tanto al interior de la empresa como con los bancos. 9. Migración o puesta en productivo de los protocolos de encriptación. 10. Seguimiento post implementación. Ontología - Implementación de un sistema de encriptación para los archivos planos Qué? que se intercambian entra la empresa y las entidades bancarias, asegurando confiabilidad y seguridad en la información enviada para pagos y transacciones financieras. Teniendo en cuenta que la criptografía utilizada actualmente son los algoritmos simétricos, por la fortaleza que tiene utilizando la misma clave para cifras y para descifrar
  • 14. Tecnología Utilizando una gran herramienta, que en la últimas décadas ha - Con qué? madurado y se consolidado en el mercado, como es la criptografía, se minimizará el riesgo de modificación a los archivos planos enviados al banco. Actualmente los protocolos de encriptación más utilizados para esta actividad son PGP y SET ( sistemas complejos y flexibles muy amistososy mas utilizados actualmente) o SSL y SHTTP (transacciones que el usuario ni siquiera se da cuenta que usa), pero la decisión de cuál debe ser implementado, debe ser tomada según el estándar de las entidades financieras. Como estudiantes de la UNAD, específicamente del Ingeniería de sistemas tenemos la facultad de asesorar a la empresa en la toma de la decisión buscan la mejor opción. Una parte imprescindible en cualquier sistema de seguridad es el mecanismo de autentificación que permita a las máquinas el reconocimiento del usuario. Teleología - Hacer que con la llaves Hasp y el sistema de encriptación disminuyan los Para qué? riesgos en la empresa; garantizando que la información y los programas sean seguros, haya Confidencialidad, Integridad y Disponibilidad de la Información con estas técnicas de codificación evita que las personas accedan a ellos sin autorización; " Es muy importante tener claro: Toda herramienta de seguridad útil para el administrador es también útil para un atacante, y toda herramienta de seguridad disponible para un administrador se debe asumir que está también disponible para un atacante." El sistema Hasp, contiene servidor SQL Express, este es un punto a tener en cuenta, debido a que este es el sistema básico de SQL y en ocasiones se limita un poco, por lo cual se debe contemplar la actualización de la versión. Topología - En el momento el proyecto se desarrollara en la ciudad de Bogotá, para Dónde? la empresa " Mundial de Cobranzas e Inmobiliaria." Ubicada en la dirección Cl 14 12-50 Of 324, Ecología - Actualmente este proyecto no influye físicamente con el medio ambiente Contra qué? ya que su desarrollo es Intangible "No hay contaminación". Etiología - ¿La empresa: Mundial de Cobranzas e Inmobiliaria de Bogotá cuenta con Por qué? buenas herramientas para la integridad de la información?
  • 15. No, el desarrollo del proyecto es hacer uso de la implementación de nuevas herramientas para la mejora de autenticación y el sistema de seguridad en el cargue de los archivos. Experiencia A medida del desarrollo del proyecto se hará la cuantificación y la - Cuándo? cualificación del impacto que este obtuvo según los objetivos planteados al inicio. Tengo como observación y la experiencia que se debe generar un cronograma inicial que nos permita trabajar con metas claras, esto no quiere decir que se pueda ajustar.
  • 16. CONCLUSIONES • Con el planteamiento de nuestro proyecto buscamos la integridad de los datos; la cual se refiere a la seguridad de que la información no ha sido alterada, borrada, reordenada, copiada, etc., durante el proceso de transmisión en los archivos. Es un riesgo común que el atacante al no pueda descifrar un paquete de información y, sabiendo que es importante, simplemente lo intercepte y lo borre. • Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicación de los datos. • Al utilizar la llave HASP emplea el algoritmo de cifrado AES de 128 bits. Este algoritmo crea un resistente vínculo entre la aplicación de software y la llave de protección de HASP (que evita la piratería del software y garantiza el uso autorizado del software). • Dentro de la protección software, el sistema Hasp SRM, dispone de una potente herramienta de Marketing, denominada Trialware; este módulo nos permite generar versiones de demostración o de prueba, concebido para la súper distribución; mientras el acceso al software de prueba se limita a cada usuario. • Podemos dar opiniones y aportes significativos a la empresa, además del acompañamiento de la implementación del sistema de criptografía, gracias a los conocimientos adquiridos en nuestro aprendizaje profesional, específicamente en asignaturas como Ingeniera de las telecomunicaciones.
  • 17. FUENTES ELECTRÓNICAS • http://cursoadministracion1.blogspot.com/2008/07/riesgos-y-seguridad-en- datos.html • http://www.mkm-pi.com/isv-magazine/proteccion-de-codigo-llaves-hasp-srm/