IMPLEMENTACIÓN DE UN SISTEMA DE ENCRIPTACIÓN PARA ASEGURAR EL PROCESO DE INTERCOMUNICACIÓN

ENTRE LA EMPRESA MUNDIAL DE COBRANZAS E INMOBILIARIAS Y LAS

ENTIDADES BANCARIAS.

Seguridad Informática Encriptación

Antecedentes

Análisis del Problema

Misión: Ser la compañía líder en el mercado del sector inmobiliario de Colombia. Ofreciendo a nuestros clientes un servicio ágil y de calidad.

Visión: En el 2013 tener un portafolio de servicio que nos permita cumplir con las expectativas de los clientes de acuerdo a sus necesidades y garantizando el servicio y respaldo de calidad, de manera que aumentemos en un 20% los ingresos de la empresa.

Organigrama

Presidencia

Auditoria

FinancieraAsuntos Legales

ComercialAdministrat

ivo

Proceso Financiero

Control Financiero Contable (CF) Jefe de Operaciones Contables Gestionar conciliaciones contables y cierre. Generar, convertir y consolidar los EEFF

Control de Crédito y Cartera (CC) Jefe de Cartera Gestrion estudio de créditos, análisis de cobro y cartera de los clientes.

Gestión Tributaria (GT) Coordinador de Impuestos Realizar declaración de impuestos y contribuciones

Planeación Financiera (PF) Jefe de Planeación Financiera Analizar, controlar y presentar los resultados.

Gestión de Pagos y Tesorería (GP) Jefe Tesorería y Cuentas por Pagar. Causar y Verificar facturas, realizar pago y registro de ingresos.

Proceso Comercial

Gestión Comercial (GC) Director Comercial

Identificar las necesidades de los clientes , realizar estudio de mercardo y factibilidad.

Planeación Demanda y Mercado (PD)

Jefe de MercadeoRealizar monitoreo y pronosticos. Potencializar el conocimiento del cliente, diseñando estrategias que

creen fidelización.

Gestion de Imagen y Servcio (GI)

Jefe de MercadeoAsegurar la calidad de los servicios ,

medir el nivel de satisfacción del cliente y generar estratgias de

mejora continua.

Proceso Asuntos Legales

Gestion Contractual (JGC)

Jefe Contratos

Asegurar la legalización de los contratos, ofertas,

modificaciones, cesiones y liquidaciones dando cumplimiento a la

obligaciones.

Gestion y Atención de Procesos (JGP)

Jefe Jurídico

Atender la solicitudes aplicando las normas. Administrar de forma

oportuna el inicio, desarrollo y seguimiento de los proceso

judiciales.

Proceso Administrativo

Gestión Incorporación y Contratación (GIC)

Direcctor RHGarantizar la adecuada vinculación

laboral. Satisfacer de forma oportuna las necesidades de talento

humano.

Servicio Administrativos (GSA)

Coordinador Adminitrativo

Administratar y mantener la prestación de los servicios públicos, aseo, cafeteria,

mantenimientos locativos de la empresa e inmuebles. Adminitrar los registros de

archivo.

Gestion de Tecnología Jefe TICProveer el soporte y mantenimiento de la plataforma tecnológica, para dar solucion a las necesidades de

cada área.

Proceso Auditoria

Gestion de Contol (GCI)

Director

Control Organizaciona

l

Evaluar objetiva e

independietemente el

sisteam de control

interno y los procosos,

contribuyenco a la mejora y

eficacia de los mismos.

Proceso Financieros

Control Financiero Contable (CF) Jefe de Operaciones Contables Gestionar conciliaciones contables y cierre. Generar, convertir y consolidar los EEFF

Control de Crédito y Cartera (CC) Jefe de Cartera Gestrion estudio de créditos, análisis de cobro y cartera de los clientes.

Gestión Tributaria (GT) Coordinador de Impuestos Realizar declaración de impuestos y contribuciones

Planeación Financiera (PF) Jefe de Planeación Financiera Analizar, controlar y presentar los resultados.

Gestión de Pagos y Tesorería (GP) Jefe Tesorería y Cuentas por Pagar.Causar y Verificar facturas, realizar

pago y registro de ingresos.

Proceso SeleccionadoGestión de Pagos y Tesorería

En el área financiera se manejan los pagos y recaudos de los clientes, actualmente se utilizan métodos convencionales para realizar las transacciones financieras, como son consignaciones, transferencias y pagos, efectuados en las sucursales de la entidades bancarias o en efectivo en cada una de las sedes de la empresa.

Gestión de Pagos y

Tesorería (GP)

Jefe Tesorería y Cuentas por

Pagar.

Causar y Verificar facturas, realizar pago y registro de ingresos.

Propósito u objetivo de estudio

Problema

Debido al aumento en la cantidad de transacciones financieras que se están realizando, el área de auditoría ha sugerido que se deben implementar herramientas para mejorar la seguridad de los movimientos, evitando así fraudes y pérdidas de dinero.

Dentro de las solicitudes realizadas por auditoria se encuentran: controles y documentación de todas las transacciones, copias de respaldo, sistemas de aprobaciones para autorizar o denegar unas transacciones y la implementación de protocolos de seguridad en las comunicaciones realizada.

Propuesta a la solución del problema

Para dar respuesta al problema planteado se requiere implementar herramientas de banca electrónica, teniendo en cuenta tanta las normas de seguridad como los protocolos necesarios. Teniendo en cuenta lo anterior, los pasos a seguir serian:

Realizar un inventario de los movimientos financieros que realiza la inmobiliaria, tanto en pago como en recaudos y la forma en que es realizado cada uno.

Identificar las entidades financieras con las cuales la inmobiliaria tiene relación y realizar un levantamiento de información en cada una, enumerando lo servicios que presta cada medio de pago y recaudos electrónicos, sistema de seguridad y lenguajes de encriptación que utiliza.

Propuesta a la solución del problema

Realizar un análisis de las herramientas informáticas con las que cuenta la empresa inmobiliaria, identificando la información que maneja, especificaciones técnicas que permitan visualizar los requerimientos necesarios para la generación de los datos y la implementación de un sistema con las normas mínimas de seguridad.

Construir un listado de requerimientos con los elementos identificados en los puntos anteriores, en donde se determine la estimación de tiempos y recursos para necesarios la implementación.

Hacer un análisis de costos - beneficios y factibilidad de la implementación.

Desarrollar las adecuaciones necesarias a los sistemas de la empresa para cumplir con los requerimientos.

Límites de estudioMarco teórico - Práctico

Criptografía

La palabra criptografía “es un término genérico que describe todas las técnicas que permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción específica. El verbo asociado es cifrar.

La criptografía se basa en la aritmética: En el caso de un texto, consiste en transformar las letras que conforman el mensaje en una serie de números (en forma de bits ya que los equipos informáticos usan el sistema binario) y luego realizar cálculos con estos números para: modificarlos y hacerlos incomprensibles. El resultado de esta modificación (el mensaje cifrado) se llama texto cifrado, en contraste con el mensaje inicial, llamado texto simple..

Criptografía – Uso y Características

Se encarga del estudio de los algoritmos, protocolos y sistemas que se utilizan para dotar de seguridad a las comunicaciones, a la información y a las entidades que se comunican.

El objetivo de la criptografía es diseñar, implementar, implantar, y hacer uso de sistemas criptográficos para dotar de alguna forma de seguridad.

La criptografía se ocupa de:

Confidencialidad. Garantiza que la información está accesible únicamente a personal autorizado. Para conseguirlo utiliza códigos y técnicas de cifrado.

Criptografía – Uso y Características

No repudio: Proporciona protección frente a que alguna de las entidades implicadas en la comunicación, pueda negar haber participado en toda o parte de la comunicación. Para conseguirlo se puede usar por ejemplo firma digital.

Integridad: Garantiza la corrección y completitud de la información. Para conseguirlo puede usar por ejemplo funciones hash criptográficas MDC, protocolos de compromiso de bit, o protocolos de notarización electrónica.

Autenticación: Proporciona mecanismos que permiten verificar la identidad del comunicante. Para conseguirlo puede usar por ejemplo función hash criptográfica MAC o protocolo de conocimiento cero.

Criptografía – Ventajas

Un sistema criptográfico es seguro respecto a una tarea si un adversario con capacidades especiales no puede romper esa seguridad, es decir, el atacante no puede realizar esa tarea específica.

La criptografía se usa no sólo para proteger la confidencialidad de los datos, sino también para garantizar su integridad y autenticidad.

La mayor ventaja de la criptografía es que la distribución de claves es más fácil y segura ya que la clave que se distribuye es la pública manteniéndose la privada para el uso exclusivo del propietario

Criptografía – Desventajas

Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.

Las claves deben ser de mayor tamaño que las simétricas.

El mensaje cifrado ocupa más espacio que el original.

Los nuevos sistemas de clave asimétrica basado en curvas elípticas tienen características menos costosas.

Herramientas como PGP, SSH o la capa de seguridad SSL para la jerarquía de protocolos TCP/IP utilizan un híbrido formado por la criptografía asimétrica para intercambiar claves de criptografía simétrica, y la criptografía simétrica para la transmisión de la información.

Criptografía – Aplicaciones y Usos

El uso de la criptografía es indispensable en la sociedad moderna. Como usuarios de Internet, lo único que veremos son las pantallas que presentamos y el candadito en la esquina inferior derecha, sin embargo detrás de todo esto, hay toda una infraestructura que debemos tener alguna idea de cómo funciona para poder estar seguros de que nuestra información está en buenas manos.

Actualmente, existen muchos intentos de “robar” información personal, así como números de tarjetas, cuentas de banco y contraseñas para cuentas en servicios financieros o de compra en línea.

Es importante mencionar que en muchos portales que ofrecen venta en línea deben poseer un certificado válido (en especial las instituciones bancarias) por lo que siempre debemos verificar que el navegador no nos mande advertencias con respecto al certificado.

Criptografía – Aplicaciones y Usos

La información puede que sea uno de los bienes más preciados, o la desinformación una de las peores armas con las que atacar a alguien. Por lo que en la sociedad en la que vivimos se hace muy necesario la seguridad en las comunicaciones, y como principal exponente en Internet , ya que este método de comunicación es cada vez más utilizado, no solo por estudiantes y comunidad universitaria, sino por empresas, particulares, y cada vez para realizar más cosas.

Con lo cual cabe pensar que el tema que hemos tratado será uno de los claros exponentes a tener muy en cuenta en el futuro de la informática, sobre todo a la velocidad que se implementan nuevas tecnologías, las cuales permiten el envío de información más valiosa y que puede comprometer mucho a los interlocutores en caso de que sea interceptada por otras personas. La verdad que se trata de un mundo muy fascinante y que tiene muchas posibilidades de investigación.

Innovación

La aparición de las Tecnologías de la Información y la Comunicación y el uso masivo de las comunicaciones digitales han producido un número creciente de problemas de seguridad. Las transacciones que se realizan a través de la red pueden ser interceptadas. La seguridad de esta información debe garantizarse, la mejor forma es la de aplicar la Criptografía.

Definición de los términos

Términos

Phishing: Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).

Llave Hasp: Se trata de un sistema de seguridad basado en hardware que protege el software contra la piratería o el uso ilegal, permitiendo el acceso y su ejecución únicamente cuando la llave está conectada al PC. Las llaves HASP contienen un motor de cifrado impenetrable y de alta seguridad. Durante la ejecución, el software protegido envía secuencias cifradas a HASP que las descifra produciendo una respuesta que no se puede emular. Si la respuesta de HASP es correcta la aplicación sigue funcionando. Si HASPno está conectada o la respuesta es incorrecta, la aplicación no se ejecuta.

Términos

Riesgo: La noción de riesgo suele utilizarse como sinónimo de peligro. El riesgo, sin embargo, está vinculado a la vulnerabilidad, mientras que el peligro aparece asociado a la factibilidad del perjuicio o daño. Es posible distinguir, por lo tanto, entre riesgo (la posibilidad de daño) y peligro (la probabilidad de accidente o patología). En otras palabras, el peligro es una causa del riesgo.

Protocolos o algoritmos de encriptación: son lo que se encargan de realizar combinaciones, sustituciones y permutaciones entre el texto a cifrar y la clave, asegurándose al mismo tiempo de que las operaciones puedan realizarse en ambas direcciones (para el descifrado).

Medidas de control: Los controles son restricciones y otro tipo de medidas impuestas a un usuario o sistema o que pueden utilizarse para proteger los sistemas de los riesgos ya señalados, así como para paliar el daño causado a sistemas, aplicaciones y datos.

Términos

Controles de acceso: Los controles de acceso son medidas para asegurar que solo las personas autorizadas puedan acceder a una computadora o red, o a ciertas aplicaciones, o datos. Una manera de bloquear el acceso a una computadora es guardarla en una instalación a la que sólo los usuarios autorizados accedan mediante una clave o protegiéndola con una llave física.

Estándar ISO: En 1999, la Organización Internacional de Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), que son organismos internacionales, publicaron el estándar 15408 de ISO/IEC llamado Criterios de evaluación de técnicas de seguridad en tecnología de información para seguridad de tecnología de información. El propósito del documento es proporcionar “un conjunto estándar de requisitos para las funciones de seguridad en productos y sistemas de tecnología de información y para medidas de refuerzo aplicadas a ellas durante una evaluación”.

Términos

Encriptación: Cuando se comunica información confidencial en una red pública como Internet, las partes deben autentificarse entre sí y mantener el mensaje en secreto. La autentificación es el proceso mediante el cual se asegura que la persona que envía o recibe un mensaje es en efecto la persona correcta. Puede realizarse entre emisores y receptores que intercambian códigos solo conocidos por ellos. Una vez establecida la autentificación, se puede mantener secreto el mensaje al darle una forma que impida su lectura a quien lo intercepte. A este tipo de codificación se le llama encriptación.

Los programas de encriptación se utilizan para “revolver” la información transmitida por la red, de modo que un interceptor reciba datos ilegibles. Al mensaje original se le llama texto simple; al mensaje codificado se le llama texto codificado. La encriptación se realiza aplicando un algoritmo matemático, que es una fórmula, y una clave, es decir, una combinación de bits que debe utilizarse para calcular la fórmula.

Supuestos y Expectativas

Partida

En el informe de auditoría entregado a la jefatura del área de Gestión de Pagos y Tesorería, en la revisión del proceso de pagos y recaudos de dineros, se registra un punto el cual se enfoca en la seguridad de las transacciones que realiza la empresa de manera electrónica con las diferentes entidades financiera con las que se tiene relación. En este punto se evalúa la cantidad de transacciones que realiza Tesorería, los montos y los medios por los cuales los ejecuta, encontrando que:

Se realizan pagos utilizando las páginas de los bancos o por servicios PSE.

Se envían archivos planos a las entidades bancarias para el pago o consignación automática de dineros a los clientes, proveedores y empleados de la empresa.

Se realizan trasferencias de dinero por medios electrónicos a cuentas de clientes y agrupaciones de vivienda.

Supuestos

Realizando una evaluación de los riesgos y recomendaciones planteadas, entre la jefatura de Tesorería y la coordinación del área de tecnología, se plantean dos planes de acción que permiten minimizar los riesgos hallados.

El primer plan de acción va enfocado a dar solución a los puntos uno y tres del informe, el cual consiste en la utilización de llaves Hasp de seguridad para el acceso a las páginas de los bancos. Estas llaves deben ser suministradas por cada uno de los bancos y manejas por los usuarios funcionales autorizados en la empresa. Estos dispositivos al utilizar un sistema automático de encriptación, disminuirán el riesgo realizar phishing a los datos sensibles de la compañía, de manera que se eviten estafas. Los tiempos de esta solución son menores, ya que no requieren de desarrollo, ni de una gran implementación en software, por lo que la respuesta a la recomendación puede ser casi que inmediata.

Para el segundo punto del informe, se determina implementar un sistema de encriptación de archivos, el cual permita que la información generada en el sistema central de compañía sea la misma procesada por cada banco. En este caso se debe realizar un estudio de la información que se genera, la forma y medios de envío, los diferentes protocolos y mejores prácticas. Además se realizará un proceso de acercamiento con cada una de las entidades bancarias, para determinar las actividades que deben realizarse con cada una para la implementación de la solución. El tiempo de implementación proyectado para esta implementación, oscila de tres a cuatro meses.

Expectativas

Se espera mitigar los riesgos hacia la información el cual se está presentando en estos momentos en la empresa. Reducir el riesgo al realizar transacciones, las cuales cesen sus operaciones. ¿Qué se busca?:

Mantener la confidencialidad de la información. Asegurar la integridad y confiabilidad de los datos. Asegurar la disponibilidad de los datos. Asegurar el cumplimiento de las leyes de seguridad

nacionales y de las directivas y reglas de privacidad.

Importancia del Estudio(Justificación)

Justificación

Dentro del proceso anual de auditoría de la empresa, para este año surge una necesidad para el mejoramiento del proceso de Tesorería en la implementación de un sistema de encriptación para los archivos que se intercambia entre la empresa y los bancos.

Aunque la criptografía ha existido hace muchos miles de años, a medida que los sistemas informáticos han avanzado, la criptografía informática ha ido evolucionando a grandes pasos. Por los cual en la última década se han mejorado los protocolos de implementación haciéndolos más confiables y seguros.

La implementación del proceso criptográfico en los archivos enviados al banco, se realizará en el transcurso de 4 meses a partir del inicio del proyecto.

Una vez levantados los requerimientos y teniendo claro cuáles son los procesos que se deben encriptar el proceso se toma alrededor de 6 meses, debido a que se debe presupuestar el tiempo de levantamiento detallado, el tiempo de desarrollo del proceso, el tiempo de prueba, el tiempo de capacitación y la puesta en producción.

Aporte a la Ingeniería de Sistema

La Criptografía en la Ingeniería de Sistema

Debido a la masificación de las herramientas tecnológicas y su uso en el comercio electrónico, se ha producido que por la red viaje información que es importante para los interlocutores. Esta información generalmente representa dinero y debido a que en su forma estándar, el viaje de la información es plano, es decir, no tiene ningún nivel de seguridad, es fácil de identificar, lo que lleva a un riesgo de seguridad altísimo.

Por eso es necesario tener adecuaciones que permitan seguir utilizando estos medios, pero de manera segura.

La criptografía se convirtió en una aliada de la tecnología, al permitir proteger la información que viaja en la red, haciendo que sea posible realizar transacciones bancarias con total confianza, que la información llegará a su destino igual a la enviada y que esta no podrá ser descifrada en el camino.

Así, la criptografía permite ser una herramienta más de la ingeniería, que da apoyo o otras áreas y procesos de la vida.

Diseño de la Investigación

Metodología

Para poder realizar la implementación de un método de encriptación a los archivos que se intercambian con los bancos, debemos realizar la siguientes actividades:

1. Verificación del estado actual de los sistema de la empresa y de los bancos.

1.1. Identificación del sistema que genera los archivos planos. 1.2. Identificar los métodos de generación. 1.3. Identificar posibles formas de encriptación en el sistema

actual. 1.4. Identificar los protocolos de encriptación utilizados por los

diferentes bancos con los que se intercambian archivos. 1.5. Identificar la estructura de los archivos. 1.6.Generar el algoritmo que se ajuste a lo requerido, teniendo en

cuanta los niveles de seguridad que se desean implementar

Metodología

2. Búsqueda y selección del proveedor del sistema de encriptación.

Para poder seleccionar el proveedor se debe como mínimo poner a competir a 3 proveedores y el que cumpla con:

Respaldo en el mercado Expertis en la implementación de sistemas de criptografía Garantía del trabajo Tecnología, futurista, es decir que permita evolucionar en el tiempo. Costos justos Soporte durante y después de la implementación

3. Definir el protocolo estándar que va a implementarse con todos los bancos. Este puede ser el protocolo que sugiero para tener en cuenta en la selección es el algoritmos simétricos, o de clave secreta, se caracterizan por ser altamente eficientes e impenetrables. Se les llama así porque se emplea la misma clave para cifrar y para descifrar

Metodología

4. Realizar la implementación de software y hardware necesarios.

5. Realización de prueba en ambientes de calidad, con verificación y aprobación de todas las áreas involucradas en el proceso, incluyendo el aval tanto de auditoría como de los bancos.

6. Certificación de las llaves con la entidad certificadora correspondiente.

8. Capacitación del nuevo proceso a los usuarios funcionales del área.

9. Comunicación y alienación de las fechas de salida en vivo, tanto al interior de la empresa como con los bancos.

9. Migración o puesta en productivo de los protocolos de encriptación.

10. Seguimiento post implementación.

Índice Esquemático

Índice

Seguridad Informática Encriptación Antecedentes

Análisis del problema Organigrama Procesos Proceso seleccionado

Propósito u objeto de estudio Problema Propuesta a la solución del problema

Límites de estudio – Marco Teórico Práctico Criptografía

Uso y características Ventajas Desventajas Aplicaciones Innovación

Definición de los términos Supuestos y Expectativas

Partidas Supuestos Expectativas

Importancia del Estudio Justificación

Aporte a la Ingeniería de Sistemas Diseño de la Investigación

Metodología

Apoyo Bibliográfico

Referencias

http://cursoadministracion1.blogspot.com/2008/07/riesgos-y-seguridad-en-datos.html

http://www.mkm-pi.com/isv-magazine/proteccion-de-codigo-llaves-hasp-srm/

http://www.taringa.net/posts/info/4030740/Seguridad-Informatica___Criptografia.html

http://www.pcactual.com/articulo/laboratorio/especiales/9394/analizamos_aplicaciones_gratuitas_cifrado_archivos.html

http://www.javeriana.edu.co/biblos/tesis/derecho/dere6/DEFINITIVA/TESIS22.pdf