SlideShare una empresa de Scribd logo

Implementación de encriptación para pagos seguros

Descargar como PPTX, PDF
C
claoeusse

Punto iii

1 de 45
Seguridad Informática Encriptación IMPLEMENTACIÓN DE UN SISTEMA DE ENCRIPTACIÓN PARA ASEGURAR EL PROCESO DE INTERCOMUNICACIÓN ENTRE LA EMPRESA MUNDIAL DE COBRANZAS E INMOBILIARIAS Y LAS ENTIDADES BANCARIAS.
Antecedentes
Análisis del Problema  Misión: Ser la compañía líder en el mercado del sector inmobiliario de Colombia. Ofreciendo a nuestros clientes un servicio ágil y de calidad.  Visión: En el 2013 tener un portafolio de servicio que nos permita cumplir con las expectativas de los clientes de acuerdo a sus necesidades y garantizando el servicio y respaldo de calidad, de manera que aumentemos en un 20% los ingresos de la empresa.
Organigrama Presidencia Auditoria Asuntos Financiera Comercial Administrativo Legales
Proceso Financiero Control Jefe de Gestionar conciliaciones contables y cierre. Financiero Operaciones Generar, convertir y consolidar los EEFF Contable (CF) Contables Control de Jefe de Gestrion estudio de créditos, análisis de cobro y Crédito y Cartera cartera de los clientes. Cartera (CC) Gestión Coordinador Realizar declaración de impuestos y Tributaria de Impuestos contribuciones (GT) Planeación Jefe de Financiera Planeación Analizar, controlar y presentar los resultados. (PF) Financiera Gestión de Pagos y Jefe Tesorería Causar y Verificar facturas, realizar pago y y Cuentas por Tesorería Pagar. registro de ingresos. (GP)
Proceso Comercial Gestión Director Identificar las necesidades de los clientes Comercial Comercial , realizar estudio de mercardo y factibilidad. (GC) Planeación Demanda y Realizar monitoreo y pronosticos. Potencializar el Jefe de conocimiento del cliente, diseñando estrategias Mercado Mercadeo que creen fidelización. (PD) Gestion de Asegurar la calidad de los servicios , medir el Jefe de Imagen y Mercadeo nivel de satisfacción del cliente y generar Servcio (GI) estratgias de mejora continua.
Proceso Asuntos Legales Gestion Asegurar la legalización de los contratos, Jefe ofertas, modificaciones, cesiones y Contractual Contratos liquidaciones dando cumplimiento a la (JGC) obligaciones. Gestion y Atender la solicitudes aplicando las normas. Atención de Jefe Jurídico Administrar de forma oportuna el Procesos inicio, desarrollo y seguimiento de los proceso (JGP) judiciales.
Proceso Administrativo Gestión Incorporación y Garantizar la adecuada vinculación laboral. Direcctor RH Satisfacer de forma oportuna las necesidades de Contratación talento humano. (GIC) Servicio Administratar y mantener la prestación de los Coordinador servicios públicos, aseo, cafeteria, mantenimientos Administrativos Adminitrativo locativos de la empresa e inmuebles. Adminitrar (GSA) los registros de archivo. Gestion de Proveer el soporte y mantenimiento de la Jefe TIC plataforma tecnológica, para dar solucion a las Tecnología necesidades de cada área.
Proceso Auditoria Gestion Director Evaluar objetiva e independietemente el sisteam de Contol Control Organizacional de control interno y los procosos, contribuyenco a la mejora y eficacia de los mismos. (GCI)
Proceso Financieros Control Jefe de Gestionar conciliaciones contables y cierre. Financiero Operaciones Generar, convertir y consolidar los EEFF Contable (CF) Contables Control de Jefe de Gestrion estudio de créditos, análisis de cobro y Crédito y Cartera cartera de los clientes. Cartera (CC) Gestión Coordinador Realizar declaración de impuestos y Tributaria de Impuestos contribuciones (GT) Planeación Jefe de Financiera Planeación Analizar, controlar y presentar los resultados. (PF) Financiera Gestión de Pagos y Jefe Tesorería Causar y Verificar facturas, realizar pago y y Cuentas por Tesorería Pagar. registro de ingresos. (GP)
Proceso Seleccionado Gestión de Pagos y Tesorería Gestión de Pagos y Jefe Tesorería Causar y Verificar facturas, realizar pago y y Cuentas por Tesorería Pagar. registro de ingresos. (GP) En el área financiera se manejan los pagos y recaudos de los clientes, actualmente se utilizan métodos convencionales para realizar las transacciones financieras, como son consignaciones, transferencias y pagos, efectuados en las sucursales de la entidades bancarias o en efectivo en cada una de las sedes de la empresa.
Propósito u objetivo de estudio
Problema Debido al aumento en la cantidad de transacciones financieras que se están realizando, el área de auditoría ha sugerido que se deben implementar herramientas para mejorar la seguridad de los movimientos, evitando así fraudes y pérdidas de dinero. Dentro de las solicitudes realizadas por auditoria se encuentran: controles y documentación de todas las transacciones, copias de respaldo, sistemas de aprobaciones para autorizar o denegar unas transacciones y la implementación de protocolos de seguridad en las comunicaciones realizada.
Propuesta a la solución del problema Para dar respuesta al problema planteado se requiere implementar herramientas de banca electrónica, teniendo en cuenta tanta las normas de seguridad como los protocolos necesarios. Teniendo en cuenta lo anterior, los pasos a seguir serian:  Realizar un inventario de los movimientos financieros que realiza la inmobiliaria, tanto en pago como en recaudos y la forma en que es realizado cada uno.  Identificar las entidades financieras con las cuales la inmobiliaria tiene relación y realizar un levantamiento de información en cada una, enumerando lo servicios que presta cada medio de pago y recaudos electrónicos, sistema de seguridad y lenguajes de encriptación que utiliza.
Propuesta a la solución del problema  Realizar un análisis de las herramientas informáticas con las que cuenta la empresa inmobiliaria, identificando la información que maneja, especificaciones técnicas que permitan visualizar los requerimientos necesarios para la generación de los datos y la implementación de un sistema con las normas mínimas de seguridad.  Construir un listado de requerimientos con los elementos identificados en los puntos anteriores, en donde se determine la estimación de tiempos y recursos para necesarios la implementación.  Hacer un análisis de costos - beneficios y factibilidad de la implementación.  Desarrollar las adecuaciones necesarias a los sistemas de la empresa para cumplir con los requerimientos.
Límites de estudio Marco teórico - Práctico
Criptografía La palabra criptografía “es un término genérico que describe todas las técnicas que permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción específica. El verbo asociado es cifrar. La criptografía se basa en la aritmética: En el caso de un texto, consiste en transformar las letras que conforman el mensaje en una serie de números (en forma de bits ya que los equipos informáticos usan el sistema binario) y luego realizar cálculos con estos números para: modificarlos y hacerlos incomprensibles. El resultado de esta modificación (el mensaje cifrado) se llama texto cifrado, en contraste con el mensaje inicial, llamado texto simple..
Criptografía – Uso y Características Se encarga del estudio de los algoritmos, protocolos y sistemas que se utilizan para dotar de seguridad a las comunicaciones, a la información y a las entidades que se comunican. El objetivo de la criptografía es diseñar, implementar, implantar, y hacer uso de sistemas criptográficos para dotar de alguna forma de seguridad. La criptografía se ocupa de:  Confidencialidad. Garantiza que la información está accesible únicamente a personal autorizado. Para conseguirlo utiliza códigos y técnicas de cifrado.
Criptografía – Uso y Características  No repudio: Proporciona protección frente a que alguna de las entidades implicadas en la comunicación, pueda negar haber participado en toda o parte de la comunicación. Para conseguirlo se puede usar por ejemplo firma digital.  Integridad: Garantiza la corrección y completitud de la información. Para conseguirlo puede usar por ejemplo funciones hash criptográficas MDC, protocolos de compromiso de bit, o protocolos de notarización electrónica.  Autenticación: Proporciona mecanismos que permiten verificar la identidad del comunicante. Para conseguirlo puede usar por ejemplo función hash criptográfica MAC o protocolo de conocimiento cero.
Criptografía – Ventajas  Un sistema criptográfico es seguro respecto a una tarea si un adversario con capacidades especiales no puede romper esa seguridad, es decir, el atacante no puede realizar esa tarea específica.  La criptografía se usa no sólo para proteger la confidencialidad de los datos, sino también para garantizar su integridad y autenticidad.  La mayor ventaja de la criptografía es que la distribución de claves es más fácil y segura ya que la clave que se distribuye es la pública manteniéndose la privada para el uso exclusivo del propietario
Criptografía – Desventajas  Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.  Las claves deben ser de mayor tamaño que las simétricas.  El mensaje cifrado ocupa más espacio que el original.  Los nuevos sistemas de clave asimétrica basado en curvas elípticas tienen características menos costosas.  Herramientas como PGP, SSH o la capa de seguridad SSL para la jerarquía de protocolos TCP/IP utilizan un híbrido formado por la criptografía asimétrica para intercambiar claves de criptografía simétrica, y la criptografía simétrica para la transmisión de la información.
Criptografía – Aplicaciones y Usos  El uso de la criptografía es indispensable en la sociedad moderna. Como usuarios de Internet, lo único que veremos son las pantallas que presentamos y el candadito en la esquina inferior derecha, sin embargo detrás de todo esto, hay toda una infraestructura que debemos tener alguna idea de cómo funciona para poder estar seguros de que nuestra información está en buenas manos.  Actualmente, existen muchos intentos de “robar” información personal, así como números de tarjetas, cuentas de banco y contraseñas para cuentas en servicios financieros o de compra en línea.  Es importante mencionar que en muchos portales que ofrecen venta en línea deben poseer un certificado válido (en especial las instituciones bancarias) por lo que siempre debemos verificar que el navegador no nos mande advertencias con respecto al certificado.
Criptografía – Aplicaciones y Usos La información puede que sea uno de los bienes más preciados, o la desinformación una de las peores armas con las que atacar a alguien. Por lo que en la sociedad en la que vivimos se hace muy necesario la seguridad en las comunicaciones, y como principal exponente en Internet , ya que este método de comunicación es cada vez más utilizado, no solo por estudiantes y comunidad universitaria, sino por empresas, particulares, y cada vez para realizar más cosas. Con lo cual cabe pensar que el tema que hemos tratado será uno de los claros exponentes a tener muy en cuenta en el futuro de la informática, sobre todo a la velocidad que se implementan nuevas tecnologías, las cuales permiten el envío de información más valiosa y que puede comprometer mucho a los interlocutores en caso de que sea interceptada por otras personas. La verdad que se trata de un mundo muy fascinante y que tiene muchas posibilidades de investigación.
Innovación La aparición de las Tecnologías de la Información y la Comunicación y el uso masivo de las comunicaciones digitales han producido un número creciente de problemas de seguridad. Las transacciones que se realizan a través de la red pueden ser interceptadas. La seguridad de esta información debe garantizarse, la mejor forma es la de aplicar la Criptografía.
Definición de los términos
Términos  Phishing: Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).  Llave Hasp: Se trata de un sistema de seguridad basado en hardware que protege el software contra la piratería o el uso ilegal, permitiendo el acceso y su ejecución únicamente cuando la llave está conectada al PC. Las llaves HASP contienen un motor de cifrado impenetrable y de alta seguridad. Durante la ejecución, el software protegido envía secuencias cifradas a HASP que las descifra produciendo una respuesta que no se puede emular. Si la respuesta de HASP es correcta la aplicación sigue funcionando. Si HASPno está conectada o la respuesta es incorrecta, la aplicación no se ejecuta.
Términos  Riesgo: La noción de riesgo suele utilizarse como sinónimo de peligro. El riesgo, sin embargo, está vinculado a la vulnerabilidad, mientras que el peligro aparece asociado a la factibilidad del perjuicio o daño. Es posible distinguir, por lo tanto, entre riesgo (la posibilidad de daño) y peligro (la probabilidad de accidente o patología). En otras palabras, el peligro es una causa del riesgo.  Protocolos o algoritmos de encriptación: son lo que se encargan de realizar combinaciones, sustituciones y permutaciones entre el texto a cifrar y la clave, asegurándose al mismo tiempo de que las operaciones puedan realizarse en ambas direcciones (para el descifrado).  Medidas de control: Los controles son restricciones y otro tipo de medidas impuestas a un usuario o sistema o que pueden utilizarse para proteger los sistemas de los riesgos ya señalados, así como para paliar el daño causado a sistemas, aplicaciones y datos.
Términos  Controles de acceso: Los controles de acceso son medidas para asegurar que solo las personas autorizadas puedan acceder a una computadora o red, o a ciertas aplicaciones, o datos. Una manera de bloquear el acceso a una computadora es guardarla en una instalación a la que sólo los usuarios autorizados accedan mediante una clave o protegiéndola con una llave física.  Estándar ISO: En 1999, la Organización Internacional de Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), que son organismos internacionales, publicaron el estándar 15408 de ISO/IEC llamado Criterios de evaluación de técnicas de seguridad en tecnología de información para seguridad de tecnología de información. El propósito del documento es proporcionar “un conjunto estándar de requisitos para las funciones de seguridad en productos y sistemas de tecnología de información y para medidas de refuerzo aplicadas a ellas durante una evaluación”.
Términos  Encriptación: Cuando se comunica información confidencial en una red pública como Internet, las partes deben autentificarse entre sí y mantener el mensaje en secreto. La autentificación es el proceso mediante el cual se asegura que la persona que envía o recibe un mensaje es en efecto la persona correcta. Puede realizarse entre emisores y receptores que intercambian códigos solo conocidos por ellos. Una vez establecida la autentificación, se puede mantener secreto el mensaje al darle una forma que impida su lectura a quien lo intercepte. A este tipo de codificación se le llama encriptación. Los programas de encriptación se utilizan para “revolver” la información transmitida por la red, de modo que un interceptor reciba datos ilegibles. Al mensaje original se le llama texto simple; al mensaje codificado se le llama texto codificado. La encriptación se realiza aplicando un algoritmo matemático, que es una fórmula, y una clave, es decir, una combinación de bits que debe utilizarse para calcular la fórmula.
Supuestos y Expectativas
Partida  En el informe de auditoría entregado a la jefatura del área de Gestión de Pagos y Tesorería, en la revisión del proceso de pagos y recaudos de dineros, se registra un punto el cual se enfoca en la seguridad de las transacciones que realiza la empresa de manera electrónica con las diferentes entidades financiera con las que se tiene relación. En este punto se evalúa la cantidad de transacciones que realiza Tesorería, los montos y los medios por los cuales los ejecuta, encontrando que:  Se realizan pagos utilizando las páginas de los bancos o por servicios PSE.  Se envían archivos planos a las entidades bancarias para el pago o consignación automática de dineros a los clientes, proveedores y empleados de la empresa.  Se realizan trasferencias de dinero por medios electrónicos a cuentas de clientes y agrupaciones de vivienda.
Supuestos Realizando una evaluación de los riesgos y recomendaciones planteadas, entre la jefatura de Tesorería y la coordinación del área de tecnología, se plantean dos planes de acción que permiten minimizar los riesgos hallados. El primer plan de acción va enfocado a dar solución a los puntos uno y tres del informe, el cual consiste en la utilización de llaves Hasp de seguridad para el acceso a las páginas de los bancos. Estas llaves deben ser suministradas por cada uno de los bancos y manejas por los usuarios funcionales autorizados en la empresa. Estos dispositivos al utilizar un sistema automático de encriptación, disminuirán el riesgo realizar phishing a los datos sensibles de la compañía, de manera que se eviten estafas. Los tiempos de esta solución son menores, ya que no requieren de desarrollo, ni de una gran implementación en software, por lo que la respuesta a la recomendación puede ser casi que inmediata. Para el segundo punto del informe, se determina implementar un sistema de encriptación de archivos, el cual permita que la información generada en el sistema central de compañía sea la misma procesada por cada banco. En este caso se debe realizar un estudio de la información que se genera, la forma y medios de envío, los diferentes protocolos y mejores prácticas. Además se realizará un proceso de acercamiento con cada una de las entidades bancarias, para determinar las actividades que deben realizarse con cada una para la implementación de la solución. El tiempo de implementación proyectado para esta implementación, oscila de tres a cuatro meses.
Expectativas Se espera mitigar los riesgos hacia la información el cual se está presentando en estos momentos en la empresa. Reducir el riesgo al realizar transacciones, las cuales cesen sus operaciones. ¿Qué se busca?:  Mantener la confidencialidad de la información.  Asegurar la integridad y confiabilidad de los datos.  Asegurar la disponibilidad de los datos.  Asegurar el cumplimiento de las leyes de seguridad nacionales y de las directivas y reglas de privacidad.
Importancia del Estudio (Justificación)
Justificación Dentro del proceso anual de auditoría de la empresa, para este año surge una necesidad para el mejoramiento del proceso de Tesorería en la implementación de un sistema de encriptación para los archivos que se intercambia entre la empresa y los bancos. Aunque la criptografía ha existido hace muchos miles de años, a medida que los sistemas informáticos han avanzado, la criptografía informática ha ido evolucionando a grandes pasos. Por los cual en la última década se han mejorado los protocolos de implementación haciéndolos más confiables y seguros. La implementación del proceso criptográfico en los archivos enviados al banco, se realizará en el transcurso de 4 meses a partir del inicio del proyecto. Una vez levantados los requerimientos y teniendo claro cuáles son los procesos que se deben encriptar el proceso se toma alrededor de 6 meses, debido a que se debe presupuestar el tiempo de levantamiento detallado, el tiempo de desarrollo del proceso, el tiempo de prueba, el tiempo de capacitación y la puesta en producción.
Aporte a la Ingeniería de Sistema
La Criptografía en la Ingeniería de Sistema Debido a la masificación de las herramientas tecnológicas y su uso en el comercio electrónico, se ha producido que por la red viaje información que es importante para los interlocutores. Esta información generalmente representa dinero y debido a que en su forma estándar, el viaje de la información es plano, es decir, no tiene ningún nivel de seguridad, es fácil de identificar, lo que lleva a un riesgo de seguridad altísimo. Por eso es necesario tener adecuaciones que permitan seguir utilizando estos medios, pero de manera segura. La criptografía se convirtió en una aliada de la tecnología, al permitir proteger la información que viaja en la red, haciendo que sea posible realizar transacciones bancarias con total confianza, que la información llegará a su destino igual a la enviada y que esta no podrá ser descifrada en el camino. Así, la criptografía permite ser una herramienta más de la ingeniería, que da apoyo o otras áreas y procesos de la vida.
Diseño de la Investigación
Metodología  Para poder realizar la implementación de un método de encriptación a los archivos que se intercambian con los bancos, debemos realizar la siguientes actividades: 1. Verificación del estado actual de los sistema de la empresa y de los bancos. 1.1. Identificación del sistema que genera los archivos planos. 1.2. Identificar los métodos de generación. 1.3. Identificar posibles formas de encriptación en el sistema actual. 1.4. Identificar los protocolos de encriptación utilizados por los diferentes bancos con los que se intercambian archivos. 1.5. Identificar la estructura de los archivos. 1.6.Generar el algoritmo que se ajuste a lo requerido, teniendo en cuanta los niveles de seguridad que se desean implementar
Metodología 2. Búsqueda y selección del proveedor del sistema de encriptación. Para poder seleccionar el proveedor se debe como mínimo poner a competir a 3 proveedores y el que cumpla con: Respaldo en el mercado Expertis en la implementación de sistemas de criptografía Garantía del trabajo Tecnología, futurista, es decir que permita evolucionar en el tiempo. Costos justos Soporte durante y después de la implementación 3. Definir el protocolo estándar que va a implementarse con todos los bancos. Este puede ser el protocolo que sugiero para tener en cuenta en la selección es el algoritmos simétricos, o de clave secreta, se caracterizan por ser altamente eficientes e impenetrables. Se les llama así porque se emplea la misma clave para cifrar y para descifrar
Metodología 4. Realizar la implementación de software y hardware necesarios. 5. Realización de prueba en ambientes de calidad, con verificación y aprobación de todas las áreas involucradas en el proceso, incluyendo el aval tanto de auditoría como de los bancos. 6. Certificación de las llaves con la entidad certificadora correspondiente. 8. Capacitación del nuevo proceso a los usuarios funcionales del área. 9. Comunicación y alienación de las fechas de salida en vivo, tanto al interior de la empresa como con los bancos. 9. Migración o puesta en productivo de los protocolos de encriptación. 10. Seguimiento post implementación.
Índice Esquemático
Índice  Seguridad Informática Encriptación  Antecedentes  Análisis del problema  Organigrama  Procesos  Proceso seleccionado  Propósito u objeto de estudio  Problema  Propuesta a la solución del problema  Límites de estudio – Marco Teórico Práctico  Criptografía  Uso y características  Ventajas  Desventajas  Aplicaciones  Innovación  Definición de los términos  Supuestos y Expectativas  Partidas  Supuestos  Expectativas  Importancia del Estudio  Justificación  Aporte a la Ingeniería de Sistemas  Diseño de la Investigación  Metodología
Apoyo Bibliográfico
Referencias  http://cursoadministracion1.blogspot.com/2008/07/rie sgos-y-seguridad-en-datos.html  http://www.mkm-pi.com/isv-magazine/proteccion-de- codigo-llaves-hasp-srm/  http://www.taringa.net/posts/info/4030740/Seguridad- Informatica___Criptografia.html  http://www.pcactual.com/articulo/laboratorio/especiale s/9394/analizamos_aplicaciones_gratuitas_cifrado_arc hivos.html  http://www.javeriana.edu.co/biblos/tesis/derecho/dere 6/DEFINITIVA/TESIS22.pdf

Recomendados

INFORME SIG
INFORME SIGINFORME SIG
INFORME SIGealejandra
 
Plan de Semestre
Plan de SemestrePlan de Semestre
Plan de SemestreLiella Rivera
 
Trabajocajatrujillo
TrabajocajatrujilloTrabajocajatrujillo
Trabajocajatrujilloealejandra
 
Ficha tecnica
Ficha tecnicaFicha tecnica
Ficha tecnicavictor_alonso
 
Taller i modelos
Taller i modelosTaller i modelos
Taller i modelosysancler
 
Manual de procedimientos de facturación y cobranza
Manual de procedimientos de facturación y cobranzaManual de procedimientos de facturación y cobranza
Manual de procedimientos de facturación y cobranzaGerardo Chavez
 
Encriptación
EncriptaciónEncriptación
EncriptaciónWilliam Devia
 
MéTodos De EncriptacióN
MéTodos De EncriptacióNMéTodos De EncriptacióN
MéTodos De EncriptacióNRaque Pérez
 

Recomendados

INFORME SIG
INFORME SIGINFORME SIG
INFORME SIGealejandra
 
Plan de Semestre
Plan de SemestrePlan de Semestre
Plan de SemestreLiella Rivera
 
Trabajocajatrujillo
TrabajocajatrujilloTrabajocajatrujillo
Trabajocajatrujilloealejandra
 
Ficha tecnica
Ficha tecnicaFicha tecnica
Ficha tecnicavictor_alonso
 
Taller i modelos
Taller i modelosTaller i modelos
Taller i modelosysancler
 
Manual de procedimientos de facturación y cobranza
Manual de procedimientos de facturación y cobranzaManual de procedimientos de facturación y cobranza
Manual de procedimientos de facturación y cobranzaGerardo Chavez
 
Encriptación
EncriptaciónEncriptación
EncriptaciónWilliam Devia
 
MéTodos De EncriptacióN
MéTodos De EncriptacióNMéTodos De EncriptacióN
MéTodos De EncriptacióNRaque Pérez
 
Globus brochure
Globus brochureGlobus brochure
Globus brochureLuis Garate
 
Presentacion lanzamiento [modo de compatibilidad]
Presentacion lanzamiento [modo de compatibilidad]Presentacion lanzamiento [modo de compatibilidad]
Presentacion lanzamiento [modo de compatibilidad]aprofex
 
Gerencia.yosse
Gerencia.yosseGerencia.yosse
Gerencia.yosseyossein21
 
proyecto de gerencia
proyecto de gerencia proyecto de gerencia
proyecto de gerencia Keitsy Piñero
 
proyecto de gerencia
proyecto de gerenciaproyecto de gerencia
proyecto de gerenciaKeitsy Piñero
 
Fabiana ilarraz 2016
Fabiana ilarraz 2016Fabiana ilarraz 2016
Fabiana ilarraz 2016Maria Fabiana Ilarraz
 
"Las nuevas tendencias, DE centros de contacto A Centros de Servicios"
"Las nuevas tendencias, DE centros de contacto A Centros de Servicios""Las nuevas tendencias, DE centros de contacto A Centros de Servicios"
"Las nuevas tendencias, DE centros de contacto A Centros de Servicios"TELEACCION
 
Tn asistencia administrativa_122121_v2_(2) (2) - copia
Tn asistencia administrativa_122121_v2_(2) (2) - copiaTn asistencia administrativa_122121_v2_(2) (2) - copia
Tn asistencia administrativa_122121_v2_(2) (2) - copiaLuzpalo5
 
Proyecto ERP
Proyecto ERPProyecto ERP
Proyecto ERPAGEXPORT
 
Cuestionario23102015
Cuestionario23102015Cuestionario23102015
Cuestionario23102015Karina Jaramillo
 
Imagestion Cloud v4.0
Imagestion Cloud v4.0Imagestion Cloud v4.0
Imagestion Cloud v4.0imaginexti
 
Tdr asistente administrativo
Tdr asistente administrativoTdr asistente administrativo
Tdr asistente administrativofundemas
 
Sistemas de la_administ_publica_cefic 28-feb-2013
Sistemas de la_administ_publica_cefic 28-feb-2013Sistemas de la_administ_publica_cefic 28-feb-2013
Sistemas de la_administ_publica_cefic 28-feb-2013CEFIC
 
Adempiere
AdempiereAdempiere
AdempiereAndriani Lee Consultores
 
Exposición turismo
Exposición turismoExposición turismo
Exposición turismoJesuUs CarRera
 
07 caracterización de gestión financiera
07 caracterización de gestión financiera07 caracterización de gestión financiera
07 caracterización de gestión financierabuenasnuevascbi
 
Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...
Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...
Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...Aracelly Mera
 
Contabilidad
Contabilidad Contabilidad
Contabilidad Ricardo Parra
 
C O N T R A L O R O U T S O U R C I N G
C O N T R A L O R O U T S O U R C I N GC O N T R A L O R O U T S O U R C I N G
C O N T R A L O R O U T S O U R C I N GDanilo Verastegui
 
Portafolio confias
Portafolio confiasPortafolio confias
Portafolio confiasJBONILLAL
 
Tc2 15
Tc2 15Tc2 15
Tc2 15claoeusse
 
Tc2 15
Tc2 15Tc2 15
Tc2 15claoeusse
 

Más contenido relacionado

Similar a Implementación de encriptación para pagos seguros

Presentacion lanzamiento [modo de compatibilidad]
Presentacion lanzamiento [modo de compatibilidad]Presentacion lanzamiento [modo de compatibilidad]
Presentacion lanzamiento [modo de compatibilidad]aprofex
 
Gerencia.yosse
Gerencia.yosseGerencia.yosse
Gerencia.yosseyossein21
 
"Las nuevas tendencias, DE centros de contacto A Centros de Servicios"
"Las nuevas tendencias, DE centros de contacto A Centros de Servicios""Las nuevas tendencias, DE centros de contacto A Centros de Servicios"
"Las nuevas tendencias, DE centros de contacto A Centros de Servicios"TELEACCION
 
Tn asistencia administrativa_122121_v2_(2) (2) - copia
Tn asistencia administrativa_122121_v2_(2) (2) - copiaTn asistencia administrativa_122121_v2_(2) (2) - copia
Tn asistencia administrativa_122121_v2_(2) (2) - copiaLuzpalo5
 
Proyecto ERP
Proyecto ERPProyecto ERP
Proyecto ERPAGEXPORT
 
Imagestion Cloud v4.0
Imagestion Cloud v4.0Imagestion Cloud v4.0
Imagestion Cloud v4.0imaginexti
 
Tdr asistente administrativo
Tdr asistente administrativoTdr asistente administrativo
Tdr asistente administrativofundemas
 
Sistemas de la_administ_publica_cefic 28-feb-2013
Sistemas de la_administ_publica_cefic 28-feb-2013Sistemas de la_administ_publica_cefic 28-feb-2013
Sistemas de la_administ_publica_cefic 28-feb-2013CEFIC
 
07 caracterización de gestión financiera
07 caracterización de gestión financiera07 caracterización de gestión financiera
07 caracterización de gestión financierabuenasnuevascbi
 
Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...
Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...
Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...Aracelly Mera
 
C O N T R A L O R O U T S O U R C I N G
C O N T R A L O R O U T S O U R C I N GC O N T R A L O R O U T S O U R C I N G
C O N T R A L O R O U T S O U R C I N GDanilo Verastegui
 
Portafolio confias
Portafolio confiasPortafolio confias
Portafolio confiasJBONILLAL
 

Similar a Implementación de encriptación para pagos seguros (20)

Globus brochure
Globus brochureGlobus brochure
Globus brochure
 
Presentacion lanzamiento [modo de compatibilidad]
Presentacion lanzamiento [modo de compatibilidad]Presentacion lanzamiento [modo de compatibilidad]
Presentacion lanzamiento [modo de compatibilidad]
 
Gerencia.yosse
Gerencia.yosseGerencia.yosse
Gerencia.yosse
 
proyecto de gerencia
proyecto de gerencia proyecto de gerencia
proyecto de gerencia
 
proyecto de gerencia
proyecto de gerenciaproyecto de gerencia
proyecto de gerencia
 
Fabiana ilarraz 2016
Fabiana ilarraz 2016Fabiana ilarraz 2016
Fabiana ilarraz 2016
 
"Las nuevas tendencias, DE centros de contacto A Centros de Servicios"
"Las nuevas tendencias, DE centros de contacto A Centros de Servicios""Las nuevas tendencias, DE centros de contacto A Centros de Servicios"
"Las nuevas tendencias, DE centros de contacto A Centros de Servicios"
 
Tn asistencia administrativa_122121_v2_(2) (2) - copia
Tn asistencia administrativa_122121_v2_(2) (2) - copiaTn asistencia administrativa_122121_v2_(2) (2) - copia
Tn asistencia administrativa_122121_v2_(2) (2) - copia
 
Proyecto ERP
Proyecto ERPProyecto ERP
Proyecto ERP
 
Cuestionario23102015
Cuestionario23102015Cuestionario23102015
Cuestionario23102015
 
Imagestion Cloud v4.0
Imagestion Cloud v4.0Imagestion Cloud v4.0
Imagestion Cloud v4.0
 
Tdr asistente administrativo
Tdr asistente administrativoTdr asistente administrativo
Tdr asistente administrativo
 
Sistemas de la_administ_publica_cefic 28-feb-2013
Sistemas de la_administ_publica_cefic 28-feb-2013Sistemas de la_administ_publica_cefic 28-feb-2013
Sistemas de la_administ_publica_cefic 28-feb-2013
 
Adempiere
AdempiereAdempiere
Adempiere
 
Exposición turismo
Exposición turismoExposición turismo
Exposición turismo
 
07 caracterización de gestión financiera
07 caracterización de gestión financiera07 caracterización de gestión financiera
07 caracterización de gestión financiera
 
Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...
Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...
Enfoque de auditoria para la revisión de operaciones de ciclos transaccionale...
 
Contabilidad
Contabilidad Contabilidad
Contabilidad
 
C O N T R A L O R O U T S O U R C I N G
C O N T R A L O R O U T S O U R C I N GC O N T R A L O R O U T S O U R C I N G
C O N T R A L O R O U T S O U R C I N G
 
Portafolio confias
Portafolio confiasPortafolio confias
Portafolio confias
 

Más de claoeusse

Trab ii Punto_i
Trab ii Punto_iTrab ii Punto_i
Trab ii Punto_iclaoeusse
 
Trab .II punto i
Trab .II punto iTrab .II punto i
Trab .II punto iclaoeusse
 
Trab. II punto ii Proyectos informáticos
Trab. II punto ii Proyectos informáticosTrab. II punto ii Proyectos informáticos
Trab. II punto ii Proyectos informáticosclaoeusse
 
Trabajo colaborativo II punto B
Trabajo colaborativo II punto BTrabajo colaborativo II punto B
Trabajo colaborativo II punto Bclaoeusse
 
Act 6 trabajo I
Act 6 trabajo IAct 6 trabajo I
Act 6 trabajo Iclaoeusse
 
Quiz Proyecto de Grado
Quiz Proyecto de GradoQuiz Proyecto de Grado
Quiz Proyecto de Gradoclaoeusse
 
Leccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de gradoLeccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de gradoclaoeusse
 
Ponencia: Criptografía en la seguridad bancaria
Ponencia: Criptografía en la seguridad bancariaPonencia: Criptografía en la seguridad bancaria
Ponencia: Criptografía en la seguridad bancariaclaoeusse
 
Proyecto Final Diseño de Proyectos
Proyecto Final Diseño de ProyectosProyecto Final Diseño de Proyectos
Proyecto Final Diseño de Proyectosclaoeusse
 

Más de claoeusse (11)

Tc2 15
Tc2 15Tc2 15
Tc2 15
 
Tc2 15
Tc2 15Tc2 15
Tc2 15
 
Trab ii Punto_i
Trab ii Punto_iTrab ii Punto_i
Trab ii Punto_i
 
Trab .II punto i
Trab .II punto iTrab .II punto i
Trab .II punto i
 
Trab. II punto ii Proyectos informáticos
Trab. II punto ii Proyectos informáticosTrab. II punto ii Proyectos informáticos
Trab. II punto ii Proyectos informáticos
 
Trabajo colaborativo II punto B
Trabajo colaborativo II punto BTrabajo colaborativo II punto B
Trabajo colaborativo II punto B
 
Act 6 trabajo I
Act 6 trabajo IAct 6 trabajo I
Act 6 trabajo I
 
Quiz Proyecto de Grado
Quiz Proyecto de GradoQuiz Proyecto de Grado
Quiz Proyecto de Grado
 
Leccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de gradoLeccion Evaluativa Proyecto de grado
Leccion Evaluativa Proyecto de grado
 
Ponencia: Criptografía en la seguridad bancaria
Ponencia: Criptografía en la seguridad bancariaPonencia: Criptografía en la seguridad bancaria
Ponencia: Criptografía en la seguridad bancaria
 
Proyecto Final Diseño de Proyectos
Proyecto Final Diseño de ProyectosProyecto Final Diseño de Proyectos
Proyecto Final Diseño de Proyectos
 

Implementación de encriptación para pagos seguros

  • 1. Seguridad Informática Encriptación IMPLEMENTACIÓN DE UN SISTEMA DE ENCRIPTACIÓN PARA ASEGURAR EL PROCESO DE INTERCOMUNICACIÓN ENTRE LA EMPRESA MUNDIAL DE COBRANZAS E INMOBILIARIAS Y LAS ENTIDADES BANCARIAS.
  • 3. Análisis del Problema  Misión: Ser la compañía líder en el mercado del sector inmobiliario de Colombia. Ofreciendo a nuestros clientes un servicio ágil y de calidad.  Visión: En el 2013 tener un portafolio de servicio que nos permita cumplir con las expectativas de los clientes de acuerdo a sus necesidades y garantizando el servicio y respaldo de calidad, de manera que aumentemos en un 20% los ingresos de la empresa.
  • 4. Organigrama Presidencia Auditoria Asuntos Financiera Comercial Administrativo Legales
  • 5. Proceso Financiero Control Jefe de Gestionar conciliaciones contables y cierre. Financiero Operaciones Generar, convertir y consolidar los EEFF Contable (CF) Contables Control de Jefe de Gestrion estudio de créditos, análisis de cobro y Crédito y Cartera cartera de los clientes. Cartera (CC) Gestión Coordinador Realizar declaración de impuestos y Tributaria de Impuestos contribuciones (GT) Planeación Jefe de Financiera Planeación Analizar, controlar y presentar los resultados. (PF) Financiera Gestión de Pagos y Jefe Tesorería Causar y Verificar facturas, realizar pago y y Cuentas por Tesorería Pagar. registro de ingresos. (GP)
  • 6. Proceso Comercial Gestión Director Identificar las necesidades de los clientes Comercial Comercial , realizar estudio de mercardo y factibilidad. (GC) Planeación Demanda y Realizar monitoreo y pronosticos. Potencializar el Jefe de conocimiento del cliente, diseñando estrategias Mercado Mercadeo que creen fidelización. (PD) Gestion de Asegurar la calidad de los servicios , medir el Jefe de Imagen y Mercadeo nivel de satisfacción del cliente y generar Servcio (GI) estratgias de mejora continua.
  • 7. Proceso Asuntos Legales Gestion Asegurar la legalización de los contratos, Jefe ofertas, modificaciones, cesiones y Contractual Contratos liquidaciones dando cumplimiento a la (JGC) obligaciones. Gestion y Atender la solicitudes aplicando las normas. Atención de Jefe Jurídico Administrar de forma oportuna el Procesos inicio, desarrollo y seguimiento de los proceso (JGP) judiciales.
  • 8. Proceso Administrativo Gestión Incorporación y Garantizar la adecuada vinculación laboral. Direcctor RH Satisfacer de forma oportuna las necesidades de Contratación talento humano. (GIC) Servicio Administratar y mantener la prestación de los Coordinador servicios públicos, aseo, cafeteria, mantenimientos Administrativos Adminitrativo locativos de la empresa e inmuebles. Adminitrar (GSA) los registros de archivo. Gestion de Proveer el soporte y mantenimiento de la Jefe TIC plataforma tecnológica, para dar solucion a las Tecnología necesidades de cada área.
  • 9. Proceso Auditoria Gestion Director Evaluar objetiva e independietemente el sisteam de Contol Control Organizacional de control interno y los procosos, contribuyenco a la mejora y eficacia de los mismos. (GCI)
  • 10. Proceso Financieros Control Jefe de Gestionar conciliaciones contables y cierre. Financiero Operaciones Generar, convertir y consolidar los EEFF Contable (CF) Contables Control de Jefe de Gestrion estudio de créditos, análisis de cobro y Crédito y Cartera cartera de los clientes. Cartera (CC) Gestión Coordinador Realizar declaración de impuestos y Tributaria de Impuestos contribuciones (GT) Planeación Jefe de Financiera Planeación Analizar, controlar y presentar los resultados. (PF) Financiera Gestión de Pagos y Jefe Tesorería Causar y Verificar facturas, realizar pago y y Cuentas por Tesorería Pagar. registro de ingresos. (GP)
  • 11. Proceso Seleccionado Gestión de Pagos y Tesorería Gestión de Pagos y Jefe Tesorería Causar y Verificar facturas, realizar pago y y Cuentas por Tesorería Pagar. registro de ingresos. (GP) En el área financiera se manejan los pagos y recaudos de los clientes, actualmente se utilizan métodos convencionales para realizar las transacciones financieras, como son consignaciones, transferencias y pagos, efectuados en las sucursales de la entidades bancarias o en efectivo en cada una de las sedes de la empresa.
  • 12. Propósito u objetivo de estudio
  • 13. Problema Debido al aumento en la cantidad de transacciones financieras que se están realizando, el área de auditoría ha sugerido que se deben implementar herramientas para mejorar la seguridad de los movimientos, evitando así fraudes y pérdidas de dinero. Dentro de las solicitudes realizadas por auditoria se encuentran: controles y documentación de todas las transacciones, copias de respaldo, sistemas de aprobaciones para autorizar o denegar unas transacciones y la implementación de protocolos de seguridad en las comunicaciones realizada.
  • 14. Propuesta a la solución del problema Para dar respuesta al problema planteado se requiere implementar herramientas de banca electrónica, teniendo en cuenta tanta las normas de seguridad como los protocolos necesarios. Teniendo en cuenta lo anterior, los pasos a seguir serian:  Realizar un inventario de los movimientos financieros que realiza la inmobiliaria, tanto en pago como en recaudos y la forma en que es realizado cada uno.  Identificar las entidades financieras con las cuales la inmobiliaria tiene relación y realizar un levantamiento de información en cada una, enumerando lo servicios que presta cada medio de pago y recaudos electrónicos, sistema de seguridad y lenguajes de encriptación que utiliza.
  • 15. Propuesta a la solución del problema  Realizar un análisis de las herramientas informáticas con las que cuenta la empresa inmobiliaria, identificando la información que maneja, especificaciones técnicas que permitan visualizar los requerimientos necesarios para la generación de los datos y la implementación de un sistema con las normas mínimas de seguridad.  Construir un listado de requerimientos con los elementos identificados en los puntos anteriores, en donde se determine la estimación de tiempos y recursos para necesarios la implementación.  Hacer un análisis de costos - beneficios y factibilidad de la implementación.  Desarrollar las adecuaciones necesarias a los sistemas de la empresa para cumplir con los requerimientos.
  • 16. Límites de estudio Marco teórico - Práctico
  • 17. Criptografía La palabra criptografía “es un término genérico que describe todas las técnicas que permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción específica. El verbo asociado es cifrar. La criptografía se basa en la aritmética: En el caso de un texto, consiste en transformar las letras que conforman el mensaje en una serie de números (en forma de bits ya que los equipos informáticos usan el sistema binario) y luego realizar cálculos con estos números para: modificarlos y hacerlos incomprensibles. El resultado de esta modificación (el mensaje cifrado) se llama texto cifrado, en contraste con el mensaje inicial, llamado texto simple..
  • 18. Criptografía – Uso y Características Se encarga del estudio de los algoritmos, protocolos y sistemas que se utilizan para dotar de seguridad a las comunicaciones, a la información y a las entidades que se comunican. El objetivo de la criptografía es diseñar, implementar, implantar, y hacer uso de sistemas criptográficos para dotar de alguna forma de seguridad. La criptografía se ocupa de:  Confidencialidad. Garantiza que la información está accesible únicamente a personal autorizado. Para conseguirlo utiliza códigos y técnicas de cifrado.
  • 19. Criptografía – Uso y Características  No repudio: Proporciona protección frente a que alguna de las entidades implicadas en la comunicación, pueda negar haber participado en toda o parte de la comunicación. Para conseguirlo se puede usar por ejemplo firma digital.  Integridad: Garantiza la corrección y completitud de la información. Para conseguirlo puede usar por ejemplo funciones hash criptográficas MDC, protocolos de compromiso de bit, o protocolos de notarización electrónica.  Autenticación: Proporciona mecanismos que permiten verificar la identidad del comunicante. Para conseguirlo puede usar por ejemplo función hash criptográfica MAC o protocolo de conocimiento cero.
  • 20. Criptografía – Ventajas  Un sistema criptográfico es seguro respecto a una tarea si un adversario con capacidades especiales no puede romper esa seguridad, es decir, el atacante no puede realizar esa tarea específica.  La criptografía se usa no sólo para proteger la confidencialidad de los datos, sino también para garantizar su integridad y autenticidad.  La mayor ventaja de la criptografía es que la distribución de claves es más fácil y segura ya que la clave que se distribuye es la pública manteniéndose la privada para el uso exclusivo del propietario
  • 21. Criptografía – Desventajas  Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.  Las claves deben ser de mayor tamaño que las simétricas.  El mensaje cifrado ocupa más espacio que el original.  Los nuevos sistemas de clave asimétrica basado en curvas elípticas tienen características menos costosas.  Herramientas como PGP, SSH o la capa de seguridad SSL para la jerarquía de protocolos TCP/IP utilizan un híbrido formado por la criptografía asimétrica para intercambiar claves de criptografía simétrica, y la criptografía simétrica para la transmisión de la información.
  • 22. Criptografía – Aplicaciones y Usos  El uso de la criptografía es indispensable en la sociedad moderna. Como usuarios de Internet, lo único que veremos son las pantallas que presentamos y el candadito en la esquina inferior derecha, sin embargo detrás de todo esto, hay toda una infraestructura que debemos tener alguna idea de cómo funciona para poder estar seguros de que nuestra información está en buenas manos.  Actualmente, existen muchos intentos de “robar” información personal, así como números de tarjetas, cuentas de banco y contraseñas para cuentas en servicios financieros o de compra en línea.  Es importante mencionar que en muchos portales que ofrecen venta en línea deben poseer un certificado válido (en especial las instituciones bancarias) por lo que siempre debemos verificar que el navegador no nos mande advertencias con respecto al certificado.
  • 23. Criptografía – Aplicaciones y Usos La información puede que sea uno de los bienes más preciados, o la desinformación una de las peores armas con las que atacar a alguien. Por lo que en la sociedad en la que vivimos se hace muy necesario la seguridad en las comunicaciones, y como principal exponente en Internet , ya que este método de comunicación es cada vez más utilizado, no solo por estudiantes y comunidad universitaria, sino por empresas, particulares, y cada vez para realizar más cosas. Con lo cual cabe pensar que el tema que hemos tratado será uno de los claros exponentes a tener muy en cuenta en el futuro de la informática, sobre todo a la velocidad que se implementan nuevas tecnologías, las cuales permiten el envío de información más valiosa y que puede comprometer mucho a los interlocutores en caso de que sea interceptada por otras personas. La verdad que se trata de un mundo muy fascinante y que tiene muchas posibilidades de investigación.
  • 24. Innovación La aparición de las Tecnologías de la Información y la Comunicación y el uso masivo de las comunicaciones digitales han producido un número creciente de problemas de seguridad. Las transacciones que se realizan a través de la red pueden ser interceptadas. La seguridad de esta información debe garantizarse, la mejor forma es la de aplicar la Criptografía.
  • 25. Definición de los términos
  • 26. Términos  Phishing: Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).  Llave Hasp: Se trata de un sistema de seguridad basado en hardware que protege el software contra la piratería o el uso ilegal, permitiendo el acceso y su ejecución únicamente cuando la llave está conectada al PC. Las llaves HASP contienen un motor de cifrado impenetrable y de alta seguridad. Durante la ejecución, el software protegido envía secuencias cifradas a HASP que las descifra produciendo una respuesta que no se puede emular. Si la respuesta de HASP es correcta la aplicación sigue funcionando. Si HASPno está conectada o la respuesta es incorrecta, la aplicación no se ejecuta.
  • 27. Términos  Riesgo: La noción de riesgo suele utilizarse como sinónimo de peligro. El riesgo, sin embargo, está vinculado a la vulnerabilidad, mientras que el peligro aparece asociado a la factibilidad del perjuicio o daño. Es posible distinguir, por lo tanto, entre riesgo (la posibilidad de daño) y peligro (la probabilidad de accidente o patología). En otras palabras, el peligro es una causa del riesgo.  Protocolos o algoritmos de encriptación: son lo que se encargan de realizar combinaciones, sustituciones y permutaciones entre el texto a cifrar y la clave, asegurándose al mismo tiempo de que las operaciones puedan realizarse en ambas direcciones (para el descifrado).  Medidas de control: Los controles son restricciones y otro tipo de medidas impuestas a un usuario o sistema o que pueden utilizarse para proteger los sistemas de los riesgos ya señalados, así como para paliar el daño causado a sistemas, aplicaciones y datos.
  • 28. Términos  Controles de acceso: Los controles de acceso son medidas para asegurar que solo las personas autorizadas puedan acceder a una computadora o red, o a ciertas aplicaciones, o datos. Una manera de bloquear el acceso a una computadora es guardarla en una instalación a la que sólo los usuarios autorizados accedan mediante una clave o protegiéndola con una llave física.  Estándar ISO: En 1999, la Organización Internacional de Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), que son organismos internacionales, publicaron el estándar 15408 de ISO/IEC llamado Criterios de evaluación de técnicas de seguridad en tecnología de información para seguridad de tecnología de información. El propósito del documento es proporcionar “un conjunto estándar de requisitos para las funciones de seguridad en productos y sistemas de tecnología de información y para medidas de refuerzo aplicadas a ellas durante una evaluación”.
  • 29. Términos  Encriptación: Cuando se comunica información confidencial en una red pública como Internet, las partes deben autentificarse entre sí y mantener el mensaje en secreto. La autentificación es el proceso mediante el cual se asegura que la persona que envía o recibe un mensaje es en efecto la persona correcta. Puede realizarse entre emisores y receptores que intercambian códigos solo conocidos por ellos. Una vez establecida la autentificación, se puede mantener secreto el mensaje al darle una forma que impida su lectura a quien lo intercepte. A este tipo de codificación se le llama encriptación. Los programas de encriptación se utilizan para “revolver” la información transmitida por la red, de modo que un interceptor reciba datos ilegibles. Al mensaje original se le llama texto simple; al mensaje codificado se le llama texto codificado. La encriptación se realiza aplicando un algoritmo matemático, que es una fórmula, y una clave, es decir, una combinación de bits que debe utilizarse para calcular la fórmula.
  • 31. Partida  En el informe de auditoría entregado a la jefatura del área de Gestión de Pagos y Tesorería, en la revisión del proceso de pagos y recaudos de dineros, se registra un punto el cual se enfoca en la seguridad de las transacciones que realiza la empresa de manera electrónica con las diferentes entidades financiera con las que se tiene relación. En este punto se evalúa la cantidad de transacciones que realiza Tesorería, los montos y los medios por los cuales los ejecuta, encontrando que:  Se realizan pagos utilizando las páginas de los bancos o por servicios PSE.  Se envían archivos planos a las entidades bancarias para el pago o consignación automática de dineros a los clientes, proveedores y empleados de la empresa.  Se realizan trasferencias de dinero por medios electrónicos a cuentas de clientes y agrupaciones de vivienda.
  • 32. Supuestos Realizando una evaluación de los riesgos y recomendaciones planteadas, entre la jefatura de Tesorería y la coordinación del área de tecnología, se plantean dos planes de acción que permiten minimizar los riesgos hallados. El primer plan de acción va enfocado a dar solución a los puntos uno y tres del informe, el cual consiste en la utilización de llaves Hasp de seguridad para el acceso a las páginas de los bancos. Estas llaves deben ser suministradas por cada uno de los bancos y manejas por los usuarios funcionales autorizados en la empresa. Estos dispositivos al utilizar un sistema automático de encriptación, disminuirán el riesgo realizar phishing a los datos sensibles de la compañía, de manera que se eviten estafas. Los tiempos de esta solución son menores, ya que no requieren de desarrollo, ni de una gran implementación en software, por lo que la respuesta a la recomendación puede ser casi que inmediata. Para el segundo punto del informe, se determina implementar un sistema de encriptación de archivos, el cual permita que la información generada en el sistema central de compañía sea la misma procesada por cada banco. En este caso se debe realizar un estudio de la información que se genera, la forma y medios de envío, los diferentes protocolos y mejores prácticas. Además se realizará un proceso de acercamiento con cada una de las entidades bancarias, para determinar las actividades que deben realizarse con cada una para la implementación de la solución. El tiempo de implementación proyectado para esta implementación, oscila de tres a cuatro meses.
  • 33. Expectativas Se espera mitigar los riesgos hacia la información el cual se está presentando en estos momentos en la empresa. Reducir el riesgo al realizar transacciones, las cuales cesen sus operaciones. ¿Qué se busca?:  Mantener la confidencialidad de la información.  Asegurar la integridad y confiabilidad de los datos.  Asegurar la disponibilidad de los datos.  Asegurar el cumplimiento de las leyes de seguridad nacionales y de las directivas y reglas de privacidad.
  • 34. Importancia del Estudio (Justificación)
  • 35. Justificación Dentro del proceso anual de auditoría de la empresa, para este año surge una necesidad para el mejoramiento del proceso de Tesorería en la implementación de un sistema de encriptación para los archivos que se intercambia entre la empresa y los bancos. Aunque la criptografía ha existido hace muchos miles de años, a medida que los sistemas informáticos han avanzado, la criptografía informática ha ido evolucionando a grandes pasos. Por los cual en la última década se han mejorado los protocolos de implementación haciéndolos más confiables y seguros. La implementación del proceso criptográfico en los archivos enviados al banco, se realizará en el transcurso de 4 meses a partir del inicio del proyecto. Una vez levantados los requerimientos y teniendo claro cuáles son los procesos que se deben encriptar el proceso se toma alrededor de 6 meses, debido a que se debe presupuestar el tiempo de levantamiento detallado, el tiempo de desarrollo del proceso, el tiempo de prueba, el tiempo de capacitación y la puesta en producción.
  • 36. Aporte a la Ingeniería de Sistema
  • 37. La Criptografía en la Ingeniería de Sistema Debido a la masificación de las herramientas tecnológicas y su uso en el comercio electrónico, se ha producido que por la red viaje información que es importante para los interlocutores. Esta información generalmente representa dinero y debido a que en su forma estándar, el viaje de la información es plano, es decir, no tiene ningún nivel de seguridad, es fácil de identificar, lo que lleva a un riesgo de seguridad altísimo. Por eso es necesario tener adecuaciones que permitan seguir utilizando estos medios, pero de manera segura. La criptografía se convirtió en una aliada de la tecnología, al permitir proteger la información que viaja en la red, haciendo que sea posible realizar transacciones bancarias con total confianza, que la información llegará a su destino igual a la enviada y que esta no podrá ser descifrada en el camino. Así, la criptografía permite ser una herramienta más de la ingeniería, que da apoyo o otras áreas y procesos de la vida.
  • 39. Metodología  Para poder realizar la implementación de un método de encriptación a los archivos que se intercambian con los bancos, debemos realizar la siguientes actividades: 1. Verificación del estado actual de los sistema de la empresa y de los bancos. 1.1. Identificación del sistema que genera los archivos planos. 1.2. Identificar los métodos de generación. 1.3. Identificar posibles formas de encriptación en el sistema actual. 1.4. Identificar los protocolos de encriptación utilizados por los diferentes bancos con los que se intercambian archivos. 1.5. Identificar la estructura de los archivos. 1.6.Generar el algoritmo que se ajuste a lo requerido, teniendo en cuanta los niveles de seguridad que se desean implementar
  • 40. Metodología 2. Búsqueda y selección del proveedor del sistema de encriptación. Para poder seleccionar el proveedor se debe como mínimo poner a competir a 3 proveedores y el que cumpla con: Respaldo en el mercado Expertis en la implementación de sistemas de criptografía Garantía del trabajo Tecnología, futurista, es decir que permita evolucionar en el tiempo. Costos justos Soporte durante y después de la implementación 3. Definir el protocolo estándar que va a implementarse con todos los bancos. Este puede ser el protocolo que sugiero para tener en cuenta en la selección es el algoritmos simétricos, o de clave secreta, se caracterizan por ser altamente eficientes e impenetrables. Se les llama así porque se emplea la misma clave para cifrar y para descifrar
  • 41. Metodología 4. Realizar la implementación de software y hardware necesarios. 5. Realización de prueba en ambientes de calidad, con verificación y aprobación de todas las áreas involucradas en el proceso, incluyendo el aval tanto de auditoría como de los bancos. 6. Certificación de las llaves con la entidad certificadora correspondiente. 8. Capacitación del nuevo proceso a los usuarios funcionales del área. 9. Comunicación y alienación de las fechas de salida en vivo, tanto al interior de la empresa como con los bancos. 9. Migración o puesta en productivo de los protocolos de encriptación. 10. Seguimiento post implementación.
  • 43. Índice  Seguridad Informática Encriptación  Antecedentes  Análisis del problema  Organigrama  Procesos  Proceso seleccionado  Propósito u objeto de estudio  Problema  Propuesta a la solución del problema  Límites de estudio – Marco Teórico Práctico  Criptografía  Uso y características  Ventajas  Desventajas  Aplicaciones  Innovación  Definición de los términos  Supuestos y Expectativas  Partidas  Supuestos  Expectativas  Importancia del Estudio  Justificación  Aporte a la Ingeniería de Sistemas  Diseño de la Investigación  Metodología
  • 45. Referencias  http://cursoadministracion1.blogspot.com/2008/07/rie sgos-y-seguridad-en-datos.html  http://www.mkm-pi.com/isv-magazine/proteccion-de- codigo-llaves-hasp-srm/  http://www.taringa.net/posts/info/4030740/Seguridad- Informatica___Criptografia.html  http://www.pcactual.com/articulo/laboratorio/especiale s/9394/analizamos_aplicaciones_gratuitas_cifrado_arc hivos.html  http://www.javeriana.edu.co/biblos/tesis/derecho/dere 6/DEFINITIVA/TESIS22.pdf