1. Seguridad Informática
Encriptación
IMPLEMENTACIÓN DE UN SISTEMA DE
ENCRIPTACIÓN PARA ASEGURAR EL
PROCESO DE INTERCOMUNICACIÓN ENTRE
LA EMPRESA MUNDIAL DE COBRANZAS E
INMOBILIARIAS Y LAS ENTIDADES
BANCARIAS.
3. Análisis del Problema
Misión: Ser la compañía líder en el mercado del
sector inmobiliario de Colombia. Ofreciendo a
nuestros clientes un servicio ágil y de calidad.
Visión: En el 2013 tener un portafolio de servicio que
nos permita cumplir con las expectativas de los
clientes de acuerdo a sus necesidades y garantizando
el servicio y respaldo de calidad, de manera que
aumentemos en un 20% los ingresos de la empresa.
5. Proceso Financiero
Control Jefe de
Gestionar conciliaciones contables y cierre.
Financiero Operaciones
Generar, convertir y consolidar los EEFF
Contable (CF) Contables
Control de
Jefe de Gestrion estudio de créditos, análisis de cobro y
Crédito y Cartera cartera de los clientes.
Cartera (CC)
Gestión
Coordinador Realizar declaración de impuestos y
Tributaria de Impuestos contribuciones
(GT)
Planeación Jefe de
Financiera Planeación Analizar, controlar y presentar los resultados.
(PF) Financiera
Gestión de
Pagos y Jefe Tesorería
Causar y Verificar facturas, realizar pago y
y Cuentas por
Tesorería Pagar.
registro de ingresos.
(GP)
6. Proceso Comercial
Gestión
Director Identificar las necesidades de los clientes
Comercial Comercial , realizar estudio de mercardo y factibilidad.
(GC)
Planeación
Demanda y Realizar monitoreo y pronosticos. Potencializar el
Jefe de
conocimiento del cliente, diseñando estrategias
Mercado Mercadeo
que creen fidelización.
(PD)
Gestion de Asegurar la calidad de los servicios , medir el
Jefe de
Imagen y Mercadeo
nivel de satisfacción del cliente y generar
Servcio (GI) estratgias de mejora continua.
7. Proceso Asuntos Legales
Gestion Asegurar la legalización de los contratos,
Jefe ofertas, modificaciones, cesiones y
Contractual Contratos liquidaciones dando cumplimiento a la
(JGC) obligaciones.
Gestion y Atender la solicitudes aplicando las normas.
Atención de Jefe Jurídico
Administrar de forma oportuna el
Procesos inicio, desarrollo y seguimiento de los proceso
(JGP) judiciales.
8. Proceso Administrativo
Gestión
Incorporación y Garantizar la adecuada vinculación laboral.
Direcctor RH Satisfacer de forma oportuna las necesidades de
Contratación talento humano.
(GIC)
Servicio Administratar y mantener la prestación de los
Coordinador servicios públicos, aseo, cafeteria, mantenimientos
Administrativos Adminitrativo locativos de la empresa e inmuebles. Adminitrar
(GSA) los registros de archivo.
Gestion de Proveer el soporte y mantenimiento de la
Jefe TIC plataforma tecnológica, para dar solucion a las
Tecnología necesidades de cada área.
9. Proceso Auditoria
Gestion Director Evaluar objetiva e independietemente el sisteam
de Contol Control
Organizacional
de control interno y los procosos, contribuyenco a
la mejora y eficacia de los mismos.
(GCI)
10. Proceso Financieros
Control Jefe de
Gestionar conciliaciones contables y cierre.
Financiero Operaciones
Generar, convertir y consolidar los EEFF
Contable (CF) Contables
Control de
Jefe de Gestrion estudio de créditos, análisis de cobro y
Crédito y Cartera cartera de los clientes.
Cartera (CC)
Gestión
Coordinador Realizar declaración de impuestos y
Tributaria de Impuestos contribuciones
(GT)
Planeación Jefe de
Financiera Planeación Analizar, controlar y presentar los resultados.
(PF) Financiera
Gestión de
Pagos y Jefe Tesorería
Causar y Verificar facturas, realizar pago y
y Cuentas por
Tesorería Pagar.
registro de ingresos.
(GP)
11. Proceso Seleccionado
Gestión de Pagos y Tesorería
Gestión de
Pagos y Jefe Tesorería
Causar y Verificar facturas, realizar pago y
y Cuentas por
Tesorería Pagar.
registro de ingresos.
(GP)
En el área financiera se manejan los pagos y recaudos
de los clientes, actualmente se utilizan métodos
convencionales para realizar las transacciones
financieras, como son consignaciones, transferencias
y pagos, efectuados en las sucursales de la entidades
bancarias o en efectivo en cada una de las sedes de la
empresa.
13. Problema
Debido al aumento en la cantidad de transacciones
financieras que se están realizando, el área de auditoría
ha sugerido que se deben implementar herramientas
para mejorar la seguridad de los movimientos, evitando
así fraudes y pérdidas de dinero.
Dentro de las solicitudes realizadas por auditoria se
encuentran: controles y documentación de todas las
transacciones, copias de respaldo, sistemas de
aprobaciones para autorizar o denegar unas
transacciones y la implementación de protocolos de
seguridad en las comunicaciones realizada.
14. Propuesta a la solución del problema
Para dar respuesta al problema planteado se requiere
implementar herramientas de banca electrónica, teniendo en
cuenta tanta las normas de seguridad como los protocolos
necesarios. Teniendo en cuenta lo anterior, los pasos a seguir
serian:
Realizar un inventario de los movimientos financieros que
realiza la inmobiliaria, tanto en pago como en recaudos y la
forma en que es realizado cada uno.
Identificar las entidades financieras con las cuales la
inmobiliaria tiene relación y realizar un levantamiento de
información en cada una, enumerando lo servicios que presta
cada medio de pago y recaudos electrónicos, sistema de
seguridad y lenguajes de encriptación que utiliza.
15. Propuesta a la solución del problema
Realizar un análisis de las herramientas informáticas con las
que cuenta la empresa inmobiliaria, identificando la
información que maneja, especificaciones técnicas que
permitan visualizar los requerimientos necesarios para la
generación de los datos y la implementación de un sistema con
las normas mínimas de seguridad.
Construir un listado de requerimientos con los elementos
identificados en los puntos anteriores, en donde se determine
la estimación de tiempos y recursos para necesarios la
implementación.
Hacer un análisis de costos - beneficios y factibilidad de la
implementación.
Desarrollar las adecuaciones necesarias a los sistemas de la
empresa para cumplir con los requerimientos.
17. Criptografía
La palabra criptografía “es un término genérico que
describe todas las técnicas que permiten cifrar mensajes
o hacerlos ininteligibles sin recurrir a una acción
específica. El verbo asociado es cifrar.
La criptografía se basa en la aritmética: En el caso de un
texto, consiste en transformar las letras que conforman el
mensaje en una serie de números (en forma de bits ya
que los equipos informáticos usan el sistema binario) y
luego realizar cálculos con estos números para:
modificarlos y hacerlos incomprensibles. El resultado de
esta modificación (el mensaje cifrado) se llama texto
cifrado, en contraste con el mensaje inicial, llamado
texto simple..
18. Criptografía – Uso y Características
Se encarga del estudio de los algoritmos, protocolos y sistemas
que se utilizan para dotar de seguridad a las comunicaciones,
a la información y a las entidades que se comunican.
El objetivo de la criptografía es diseñar, implementar,
implantar, y hacer uso de sistemas criptográficos para dotar
de alguna forma de seguridad.
La criptografía se ocupa de:
Confidencialidad. Garantiza que la información está
accesible únicamente a personal autorizado. Para conseguirlo
utiliza códigos y técnicas de cifrado.
19. Criptografía – Uso y Características
No repudio: Proporciona protección frente a que alguna de
las entidades implicadas en la comunicación, pueda negar
haber participado en toda o parte de la comunicación. Para
conseguirlo se puede usar por ejemplo firma digital.
Integridad: Garantiza la corrección y completitud de la
información. Para conseguirlo puede usar por ejemplo
funciones hash criptográficas MDC, protocolos de
compromiso de bit, o protocolos de notarización electrónica.
Autenticación: Proporciona mecanismos que permiten
verificar la identidad del comunicante. Para conseguirlo
puede usar por ejemplo función hash criptográfica MAC o
protocolo de conocimiento cero.
20. Criptografía – Ventajas
Un sistema criptográfico es seguro respecto a una tarea si
un adversario con capacidades especiales no puede
romper esa seguridad, es decir, el atacante no puede
realizar esa tarea específica.
La criptografía se usa no sólo para proteger la
confidencialidad de los datos, sino también para
garantizar su integridad y autenticidad.
La mayor ventaja de la criptografía es que la distribución
de claves es más fácil y segura ya que la clave que se
distribuye es la pública manteniéndose la privada para el
uso exclusivo del propietario
21. Criptografía – Desventajas
Para una misma longitud de clave y mensaje se necesita mayor
tiempo de proceso.
Las claves deben ser de mayor tamaño que las simétricas.
El mensaje cifrado ocupa más espacio que el original.
Los nuevos sistemas de clave asimétrica basado en curvas elípticas
tienen características menos costosas.
Herramientas como PGP, SSH o la capa de seguridad SSL para la
jerarquía de protocolos TCP/IP utilizan un híbrido formado por la
criptografía asimétrica para intercambiar claves de criptografía
simétrica, y la criptografía simétrica para la transmisión de la
información.
22. Criptografía – Aplicaciones y Usos
El uso de la criptografía es indispensable en la sociedad moderna.
Como usuarios de Internet, lo único que veremos son las pantallas
que presentamos y el candadito en la esquina inferior derecha, sin
embargo detrás de todo esto, hay toda una infraestructura que
debemos tener alguna idea de cómo funciona para poder estar
seguros de que nuestra información está en buenas manos.
Actualmente, existen muchos intentos de “robar” información
personal, así como números de tarjetas, cuentas de banco y
contraseñas para cuentas en servicios financieros o de compra en
línea.
Es importante mencionar que en muchos portales que ofrecen venta
en línea deben poseer un certificado válido (en especial las
instituciones bancarias) por lo que siempre debemos verificar que el
navegador no nos mande advertencias con respecto al certificado.
23. Criptografía – Aplicaciones y Usos
La información puede que sea uno de los bienes más preciados, o la
desinformación una de las peores armas con las que atacar a
alguien. Por lo que en la sociedad en la que vivimos se hace muy
necesario la seguridad en las comunicaciones, y como principal
exponente en Internet , ya que este método de comunicación es cada
vez más utilizado, no solo por estudiantes y comunidad
universitaria, sino por empresas, particulares, y cada vez para
realizar más cosas.
Con lo cual cabe pensar que el tema que hemos tratado será uno de los
claros exponentes a tener muy en cuenta en el futuro de la
informática, sobre todo a la velocidad que se implementan nuevas
tecnologías, las cuales permiten el envío de información más valiosa
y que puede comprometer mucho a los interlocutores en caso de que
sea interceptada por otras personas. La verdad que se trata de un
mundo muy fascinante y que tiene muchas posibilidades de
investigación.
24. Innovación
La aparición de las Tecnologías de la Información y la
Comunicación y el uso masivo de las comunicaciones
digitales han producido un número creciente de
problemas de seguridad. Las transacciones que se
realizan a través de la red pueden ser interceptadas.
La seguridad de esta información debe
garantizarse, la mejor forma es la de aplicar la
Criptografía.
26. Términos
Phishing: Phishing es un término informático que denomina un tipo
de delito encuadrado dentro del ámbito de las estafas cibernéticas, y
que se comete mediante el uso de un tipo de ingeniería social
caracterizado por intentar adquirir información confidencial de
forma fraudulenta (como puede ser una contraseña o información
detallada sobre tarjetas de crédito u otra información bancaria).
Llave Hasp: Se trata de un sistema de seguridad basado en
hardware que protege el software contra la piratería o el uso
ilegal, permitiendo el acceso y su ejecución únicamente cuando la
llave está conectada al PC. Las llaves HASP contienen un motor de
cifrado impenetrable y de alta seguridad. Durante la ejecución, el
software protegido envía secuencias cifradas a HASP que las
descifra produciendo una respuesta que no se puede emular. Si la
respuesta de HASP es correcta la aplicación sigue funcionando. Si
HASPno está conectada o la respuesta es incorrecta, la aplicación no
se ejecuta.
27. Términos
Riesgo: La noción de riesgo suele utilizarse como sinónimo de peligro. El
riesgo, sin embargo, está vinculado a la vulnerabilidad, mientras que el
peligro aparece asociado a la factibilidad del perjuicio o daño. Es posible
distinguir, por lo tanto, entre riesgo (la posibilidad de daño) y peligro (la
probabilidad de accidente o patología). En otras palabras, el peligro es una
causa del riesgo.
Protocolos o algoritmos de encriptación: son lo que se encargan de realizar
combinaciones, sustituciones y permutaciones entre el texto a cifrar y la
clave, asegurándose al mismo tiempo de que las operaciones puedan
realizarse en ambas direcciones (para el descifrado).
Medidas de control: Los controles son restricciones y otro tipo de medidas
impuestas a un usuario o sistema o que pueden utilizarse para proteger los
sistemas de los riesgos ya señalados, así como para paliar el daño causado a
sistemas, aplicaciones y datos.
28. Términos
Controles de acceso: Los controles de acceso son medidas para
asegurar que solo las personas autorizadas puedan acceder a una
computadora o red, o a ciertas aplicaciones, o datos. Una manera de
bloquear el acceso a una computadora es guardarla en una
instalación a la que sólo los usuarios autorizados accedan mediante
una clave o protegiéndola con una llave física.
Estándar ISO: En 1999, la Organización Internacional de
Estandarización (ISO) y la Comisión Electrotécnica Internacional
(IEC), que son organismos internacionales, publicaron el estándar
15408 de ISO/IEC llamado Criterios de evaluación de técnicas de
seguridad en tecnología de información para seguridad de
tecnología de información. El propósito del documento es
proporcionar “un conjunto estándar de requisitos para las funciones
de seguridad en productos y sistemas de tecnología de información
y para medidas de refuerzo aplicadas a ellas durante una
evaluación”.
29. Términos
Encriptación: Cuando se comunica información confidencial en una
red pública como Internet, las partes deben autentificarse entre sí y
mantener el mensaje en secreto. La autentificación es el proceso
mediante el cual se asegura que la persona que envía o recibe un
mensaje es en efecto la persona correcta. Puede realizarse entre
emisores y receptores que intercambian códigos solo conocidos por
ellos. Una vez establecida la autentificación, se puede mantener
secreto el mensaje al darle una forma que impida su lectura a quien
lo intercepte. A este tipo de codificación se le llama encriptación.
Los programas de encriptación se utilizan para “revolver” la
información transmitida por la red, de modo que un interceptor
reciba datos ilegibles. Al mensaje original se le llama texto simple; al
mensaje codificado se le llama texto codificado. La encriptación se
realiza aplicando un algoritmo matemático, que es una fórmula, y
una clave, es decir, una combinación de bits que debe utilizarse para
calcular la fórmula.
31. Partida
En el informe de auditoría entregado a la jefatura del área de Gestión de
Pagos y Tesorería, en la revisión del proceso de pagos y recaudos de
dineros, se registra un punto el cual se enfoca en la seguridad de las
transacciones que realiza la empresa de manera electrónica con las
diferentes entidades financiera con las que se tiene relación. En este punto
se evalúa la cantidad de transacciones que realiza Tesorería, los montos y
los medios por los cuales los ejecuta, encontrando que:
Se realizan pagos utilizando las páginas de los bancos o por servicios PSE.
Se envían archivos planos a las entidades bancarias para el pago o
consignación automática de dineros a los clientes, proveedores y
empleados de la empresa.
Se realizan trasferencias de dinero por medios electrónicos a cuentas de
clientes y agrupaciones de vivienda.
32. Supuestos
Realizando una evaluación de los riesgos y recomendaciones planteadas, entre la jefatura de
Tesorería y la coordinación del área de tecnología, se plantean dos planes de acción que
permiten minimizar los riesgos hallados.
El primer plan de acción va enfocado a dar solución a los puntos uno y tres del informe, el cual
consiste en la utilización de llaves Hasp de seguridad para el acceso a las páginas de los bancos.
Estas llaves deben ser suministradas por cada uno de los bancos y manejas por los usuarios
funcionales autorizados en la empresa. Estos dispositivos al utilizar un sistema automático de
encriptación, disminuirán el riesgo realizar phishing a los datos sensibles de la compañía, de
manera que se eviten estafas. Los tiempos de esta solución son menores, ya que no requieren de
desarrollo, ni de una gran implementación en software, por lo que la respuesta a la
recomendación puede ser casi que inmediata.
Para el segundo punto del informe, se determina implementar un sistema de encriptación de
archivos, el cual permita que la información generada en el sistema central de compañía sea la
misma procesada por cada banco. En este caso se debe realizar un estudio de la información
que se genera, la forma y medios de envío, los diferentes protocolos y mejores prácticas.
Además se realizará un proceso de acercamiento con cada una de las entidades bancarias, para
determinar las actividades que deben realizarse con cada una para la implementación de la
solución. El tiempo de implementación proyectado para esta implementación, oscila de tres a
cuatro meses.
33. Expectativas
Se espera mitigar los riesgos hacia la información el
cual se está presentando en estos momentos en la
empresa. Reducir el riesgo al realizar transacciones,
las cuales cesen sus operaciones. ¿Qué se busca?:
Mantener la confidencialidad de la información.
Asegurar la integridad y confiabilidad de los datos.
Asegurar la disponibilidad de los datos.
Asegurar el cumplimiento de las leyes de seguridad
nacionales y de las directivas y reglas de privacidad.
35. Justificación
Dentro del proceso anual de auditoría de la empresa, para este año surge una
necesidad para el mejoramiento del proceso de Tesorería en la implementación de
un sistema de encriptación para los archivos que se intercambia entre la empresa y
los bancos.
Aunque la criptografía ha existido hace muchos miles de años, a medida que los
sistemas informáticos han avanzado, la criptografía informática ha ido
evolucionando a grandes pasos. Por los cual en la última década se han mejorado los
protocolos de implementación haciéndolos más confiables y seguros.
La implementación del proceso criptográfico en los archivos enviados al banco, se
realizará en el transcurso de 4 meses a partir del inicio del proyecto.
Una vez levantados los requerimientos y teniendo claro cuáles son los procesos que se
deben encriptar el proceso se toma alrededor de 6 meses, debido a que se debe
presupuestar el tiempo de levantamiento detallado, el tiempo de desarrollo del
proceso, el tiempo de prueba, el tiempo de capacitación y la puesta en producción.
37. La Criptografía en la Ingeniería de Sistema
Debido a la masificación de las herramientas tecnológicas y su uso en el
comercio electrónico, se ha producido que por la red viaje información que
es importante para los interlocutores. Esta información generalmente
representa dinero y debido a que en su forma estándar, el viaje de la
información es plano, es decir, no tiene ningún nivel de seguridad, es fácil
de identificar, lo que lleva a un riesgo de seguridad altísimo.
Por eso es necesario tener adecuaciones que permitan seguir utilizando estos
medios, pero de manera segura.
La criptografía se convirtió en una aliada de la tecnología, al permitir proteger
la información que viaja en la red, haciendo que sea posible realizar
transacciones bancarias con total confianza, que la información llegará a su
destino igual a la enviada y que esta no podrá ser descifrada en el camino.
Así, la criptografía permite ser una herramienta más de la ingeniería, que da
apoyo o otras áreas y procesos de la vida.
39. Metodología
Para poder realizar la implementación de un método de
encriptación a los archivos que se intercambian con los
bancos, debemos realizar la siguientes actividades:
1. Verificación del estado actual de los sistema de la empresa y de los
bancos.
1.1. Identificación del sistema que genera los archivos planos.
1.2. Identificar los métodos de generación.
1.3. Identificar posibles formas de encriptación en el sistema actual.
1.4. Identificar los protocolos de encriptación utilizados por los
diferentes bancos con los que se intercambian archivos.
1.5. Identificar la estructura de los archivos.
1.6.Generar el algoritmo que se ajuste a lo requerido, teniendo en
cuanta los niveles de seguridad que se desean implementar
40. Metodología
2. Búsqueda y selección del proveedor del sistema de encriptación.
Para poder seleccionar el proveedor se debe como mínimo poner a competir a 3
proveedores y el que cumpla con:
Respaldo en el mercado
Expertis en la implementación de sistemas de criptografía
Garantía del trabajo
Tecnología, futurista, es decir que permita evolucionar en el tiempo.
Costos justos
Soporte durante y después de la implementación
3. Definir el protocolo estándar que va a implementarse con todos los bancos. Este
puede ser el protocolo que sugiero para tener en cuenta en la selección es el
algoritmos simétricos, o de clave secreta, se caracterizan por ser altamente
eficientes e impenetrables. Se les llama así porque se emplea la misma clave para
cifrar y para descifrar
41. Metodología
4. Realizar la implementación de software y hardware necesarios.
5. Realización de prueba en ambientes de calidad, con verificación y
aprobación de todas las áreas involucradas en el proceso, incluyendo el aval
tanto de auditoría como de los bancos.
6. Certificación de las llaves con la entidad certificadora correspondiente.
8. Capacitación del nuevo proceso a los usuarios funcionales del área.
9. Comunicación y alienación de las fechas de salida en vivo, tanto al interior
de la empresa como con los bancos.
9. Migración o puesta en productivo de los protocolos de encriptación.
10. Seguimiento post implementación.
43. Índice
Seguridad Informática Encriptación
Antecedentes
Análisis del problema
Organigrama
Procesos
Proceso seleccionado
Propósito u objeto de estudio
Problema
Propuesta a la solución del problema
Límites de estudio – Marco Teórico Práctico
Criptografía
Uso y características
Ventajas
Desventajas
Aplicaciones
Innovación
Definición de los términos
Supuestos y Expectativas
Partidas
Supuestos
Expectativas
Importancia del Estudio
Justificación
Aporte a la Ingeniería de Sistemas
Diseño de la Investigación
Metodología