• No se han encontrado resultados

Guía para Diseñar la Infraestructura de Seguridad de los Sistemas Computacionales en una Empresa-Edición Única

N/A
N/A
Protected

Academic year: 2017

Share "Guía para Diseñar la Infraestructura de Seguridad de los Sistemas Computacionales en una Empresa-Edición Única"

Copied!
203
0
0

Texto completo

(1)

BIBLIOTECAS DEL TECNOLÓGICO DE MONTERREY

PUBLICACIÓN DE TRABAJOS DE GRADO

Las Bibliotecas del Sistema Tecnológico de Monterrey son depositarias de los trabajos recepcionales y de grado que generan sus egresados. De esta manera, con el objeto de preservarlos y salvaguardarlos como parte del acervo bibliográfico del Tecnológico de Monterrey se ha generado una copia de las tesis en versión electrónica del tradicional formato impreso, con base en la Ley Federal del Derecho de Autor (LFDA).

Es importante señalar que las tesis no se divulgan ni están a disposición pública con fines de comercialización o lucro y que su control y organización únicamente se realiza en los Campus de origen.

Cabe mencionar, que la Colección de Documentos Tec, donde se encuentran las tesis, tesinas y

disertaciones doctorales, únicamente pueden ser consultables en pantalla por la comunidad del Tecnológico de Monterrey a través de Biblioteca Digital, cuyo acceso requiere cuenta y clave de acceso, para asegurar el uso restringido de dicha comunidad.

El Tecnológico de Monterrey informa a través de este medio a todos los egresados que tengan alguna inconformidad o comentario por la publicación de su trabajo de grado en la sección Colección de

Documentos Tec del Tecnológico de Monterrey deberán notificarlo por escrito a

(2)

Sistemas Computacionales en una Empresa-Edición Única

Title Guía para Diseñar la Infraestructura de Seguridad de los Sistemas Computacionales en una Empresa-Edición Única

Authors Ricardo Jiménez Torres Affiliation ITESM-Campus Monterrey

Issue Date 2000-12-01

Item type Tesis

Rights Open Access

Downloaded 19-Jan-2017 04:48:12

(3)
(4)

SUPERIORES DE MONTERREY

CAMPUS MONTERREY

DIVISIÓN DE COMPUTACIÓN, INFORMACIÓN Y COMUNICACIONES

PROGRAMA DE GRADUADOS EN ELECTRÓNICA, COMPUTACIÓN,

INFORMÁTICA Y COMUNICACIONES

PROYECTO DE TESIS

GUIA PARA DISEÑAR LA INFRAESTRUCTURA

DE SEGURIDAD DE LOS SISTEMAS

COMPUTAC1ONALES EN UNA EMPRESA

RICARDO JIMÉNEZ TORRES

(5)

INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE

MONTERREY

CAMPUS MONTERREY

DIVISIÓN DE COMPUTACIÓN, INFORMACIÓN Y COMUNICACIONES

PROGRAMA DE GRADUADOS EN ELECTRÓNICA, COMPUTACIÓN, INFORMÁTICA Y COMUNICACIONES

PROYECTO DE TESIS

GUÍA PARA DISEÑAR LA INFRAESTRUCTURA DE SEGURIDAD DE LOS SISTEMAS COMPUTACIONALES EN UNA EMPRESA

RICARDO JIMÉNEZ TORRES

(6)

DIVISIÓN DE COMPUTACIÓN, INFORMACIÓN Y COMUNICACIONES

PROGRAMA DE GRADUADOS EN ELECTRÓNICA, COMPUTACIÓN, INFORMÁTICA Y COMUNICACIONES

Los miembros del Comité de Tesis recomendamos que el presente proyecto de Tesis presentado por el Ing. Ricardo Jiménez Torres sea aceptado como requisito parcial para

obtener el grado académico de Maestría en Ciencias en Tecnología Informática con especialidad en:

Redes Computacionales

COMITÉ DE TESIS:

Ing. Renán Rafael Silva Rubio, MC ASESOR

Ing. Gustavo Cervantes Órnelas, MC SINODAL

Lic. Sergio T. Guimond Lanz SINODAL

Dr. Carlos Scheel Mayenberger

Director del Programa de Graduados en Electrónica, Computación, Información y Comunicaciones

(7)

DEDICATORIA

Esta investigación de tesis está dedicada a la Sra.

María Elena Torres Martínez,

...mi Madre.

Gracias a ti Mamá, hoy he llegado a mi objetivo,

Tu me haz mostrado como he de luchar diariamente,

Y a ti te dedico este logro,

Ser tu hijo es el mejor regalo que me ha dado la vida.

Te Quiero....

Ricardo Jiménez Torres

Diciembre de 2000

(8)

A mi Familia y Amigos,

A mis hermanas Elsa Elena y María Josefina, y a mi hermano Manuel Alejandro, les agradezco todos estos años que han convivido conmigo y me han apoyado hasta en los

momentos más difíciles. Ustedes también son parte de mi éxito.

A mi Abuelita Josefina y a mi Tía Lilia por todo su apoyo incondicional cuando lo he necesitado y por sus palabras de aliento.

A Libertad, porque los momentos que viví contigo se quedarán para siempre en mi memoria. Te llevo en mi corazón.

A mi Comité de Tesis,

Un agradecimiento muy especial al Ing. Renán Silva por su paciencia, sugerencias y valiosa información, y por todos los recursos que me proporcionó durante esta investigación.

Al Lic. Sergio Guimond y al Ing. Gustavo Cervantes por sus consejos y comentarios que se vieron reflejados en el desarrollo de esta investigación.

¡GRACIAS A TODOS!

(9)

ÍNDICE

PÁGINA

Dedicatoria I

Agradecimientos II índice III

Lista de Figuras V

Lista de Tablas VI Introducción VII

Capítulo 1 ­ Planteamiento del Problema 1

Hipótesis 2 Objetivo 2 Restricciones 3 Contribución de la Investigación 4 Planteamiento del Caso Práctico 5 Producto Final 5

Capítulo 2 ­ Marco Teórico 10

Análisis de los Procesos de la Empresa 11 Análisis del Sistema de Tecnología Informática 13 Identificación de Riesgos y Vulnerabilidades 15 Análisis de Riesgos y Vulnerabilidades 16 Desarrollo de la Propuesta de Seguridad 16 Análisis Costo - Beneficio 18

Capítulo 3 ­ Análisis de los Procesos de la Empresa 19

Nivel Deseado de Seguridad 20 Análisis de la Misión 21 Presentación de los Procesos de la Empresa 21 Resumen de Procesos 22 Identificación de los Procesos Críticos de la Empresa 22 Caso Práctico 24

Capítulo 4 ­ Análisis del Sistema de T.I 36

Revisión de los Sistemas Computacionales 37 Identificación de los Sist. Computacionales Críticos 41 Valoración de los Sistemas Computacionales 41 Caso Práctico 43

Capítulo 5 ­ Identificación de Riesgos y Vulnerabilidades 61

Matriz de Identificación y Análisis de Riesgos y Vulnerabilidades 62

(10)

Hallazgos de Seguridad 65 Técnica de Lluvia de Ideas 67 Caso Práctico 68 Capítulo 6 ­ Análisis de Riesgos y Vulnerabilidades 80 Reagrupación de Elementos Disgregados 81 Valoración de Riesgos y Vulnerabilidades 82 Impacto de los Problemas de Seguridad 84 Análisis General 84 Análisis sobre la Matriz de Riesgos y Vulnerabilidades 86 Caso Práctico 87 Capítulo 7 ­ Desarrollo de la Propuesta de Seguridad 98 Objetivo de la Propuesta de Seguridad 99 Herramientas de Seguridad y Control 99 Análisis de los Residuales Totales 102 Proponiendo Soluciones Integrales 104 Caso Práctico 105 Capítulo 8 ­ Análisis Costo ­ Beneficio 120 Recaudando el Costo de la Propuesta de Seguridad Integral 123 Valorando los Beneficios Tangibles e Intangibles 125 Caso Práctico 127 Capítulo 9 ­ Conclusiones Finales 135 Trabajos Futuros 136 Conclusiones de la Guía 137 Conclusiones del Caso Práctico 138 Conclusión Final 139

Apéndices 140 Apéndice A - Plantilla para el Análisis del sistema de T.I 141 Apéndice B - Convenio de Confidencialidad 161 Apéndice C - Lista de Riesgos y Vulnerabilidades 165 Apéndice D - Herramientas para la Identificación de Riesgos y Vulnerabilidades... 169 Apéndice E - Propuesta de Seguridad para el Caso Práctico 171 Apéndice F - Bibliografía y Referencias 186

Vita 190

(11)

LISTA DE FIGURAS

[image:11.611.85.509.92.530.2]

PÁGINA

[image:11.611.88.511.97.519.2]

Figura 0.1 Investigación realizada por el F.B.I. a empresas norteamericanas VII

Figura 1.1 Producto Final de la Guía 6

Figura 1.2 Modelo de Espiral 7

Figura 2.1 Definición de Proceso 12

Figura 3.1 Análisis de la Misión de la Empresa 21

Figura 3.2 Presentación de Procesos en Forma de Red 22

Figura 4.1 Red de Grupo Financiero AFIS 44

Figura 4.2 Red de Interconexión a Internet de Grupo Financiero AFIS 45

Figura 4.3 Acceso a Internet de Grupo Financiero AFIS 46

Figura 4.4 Red Proveedores de Grupo Financiero AFIS 47

Figura 4.5 Zona Desmilitarizada de Grupo Financiero AFIS 48

Figura 4.6 Red Switch de Grupo Financiero AFIS 49

Figura 4.7 Red AFIS 51

Figura 4.8 Red Producción de Grupo Financiero AFIS 52

Figura 5.1 Riesgos y Vulnerabilidades en Activos 64

Figura 6.1 Soporte de Sistemas Computacionales 84

Figura 6.2 Análisis de Riesgos y Vulnerabilidades Identificados 85 Figura 8.1 Análisis Costo - Beneficio 122

Figura 8.2 Punto de Equilibrio Costo- Beneficio 126

Figura E.l Propuesta de Firewall Interno 177

Ing. Ricardo Jiménez Torres

(12)
[image:12.613.83.517.94.469.2]

PÁGINA

Tabla 2.1 Categorización de Empresas 11

Tabla 3.1 Presentación de Procesos en Forma Matricial 22

Tabla3.2 Matriz Pair-Wise 23

Tabla 3.3 Evaluación de procesos 23

Tabla 4.1 Ponderación de Sistemas 42

Tabla 4.2 Análisis de Sistemas 42

Tabla 4.3 Aplicaciones de software del Grupo Financiero AFIS 53

Tabla 5.1 Matriz de Análisis de Riesgos y Vulnerabilidades 63

Tabla 6.1 Impacto del Hallazgo de Seguridad 83

Tabla 6.2 Tabla de Valoración de Riesgos y Vulnerabilidades 85

Tabla 6.3 Probabilidades de Seguridad 86

Tabla 7.1 Desarrollo de la Propuesta de Seguridad 100

Tabla7.3 Herramientas de Seguridad para el Grupo Financiero AFIS 119

Tabla 8.1 Valoración de Beneficios 126

Tabla 8.2 Costos para el Grupo Financiero AFIS 127

Tabla 8.3 Beneficios para el Grupo Financiero AFIS 127

Tabla E.l Tipos de Firewall 175

Ing. Ricardo Jiménez Torres

(13)

INTRODUCCIÓN

Con la globalización de la información, una empresa corre múltiples riesgos en sus sistemas computacionales. En un negocio, hay información importante, que en manos de la competencia o de criminales, puede significar pérdidas millonarias para los dueños.

El F.B.l. (Federal Bureau of investigation) [19] afirma que, en una investigación realizada en los E.E.U.U. afines de 1998 y a empresas que han sufrido ataques a sus sistemas de cómputo. 70% de esos ataques fueron perpetrados por personal interno, 10% fueron ataques de ex-empleados inconformes y 20% fueron ataques de externos Además, esta misma investigación, arrojó resultados sorprendentes en cuanto a la seguridad de los sistemas computacionales. referente a ios ataques detectados y reportados. El F.B.I [19]

demostró que la gran mayoría de las empresas son víctimas de ataques a sus sistemas de cómputo y pocas de estas detectan el ataque, como podemos ver en la Figura 0.1­ Y peor aún, de las empresas que detectan a intrusos, un porcentaje pequeño reporta el suceso a las autoridades competentes, por miedo al desprestigio.

88.9%

Empresas que...

Fueron atacadas, detectaron y reportaron el ataque Fueron atacadas, detectaron y no reportaron el ataque No fueron atacadas.

[image:13.619.76.514.419.547.2]

Fueron atacadas y no detectaron a tiempo el ataque.

Figura 0.1: Investigación realizada por el F.B.l. en 1998 a empresas norteamericanas.

Esto, a grandes luces, demuestra que las empresas modernas deben de incluir en la misión del negocio la seguridad de los sistemas de cómputo, no importa la magnitud de la organización y ni el giro de la empresa. En este proyecto de tesis se desarrollará una guía para implantar seguridad en los sistemas computacionales del negocio y así prevenir y detectar ataques y otros riesgos y vulnerabilidades computacionales.

(14)
(15)

CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA

HIPÓTESIS

Generalmente las decisiones de inversión en seguridad en los sistemas computacionales se hacen basándose en la búsqueda de cobertura de riesgos y vulnerabilidades genéricos relacionados con la operación de los sistemas computacionales. En esta investigación de tesis demostraremos que:

"Si los sistemas computacionales son diseñados mediante una guía basada en la visión y en las metas de la empresa, entonces se logran asegurar los objetos y la información crítica, al mejor costo y con un nivel de seguridad homogéneo y adecuado a los objetivos de la empresa."

OBJETIVO

Son dos los objetivos de éste proyecto de tesis:

1. Obtener una guía para implantar infraestructura de seguridad en los Sistemas Computacionales1, diseñada para analizar a la empresa desde sus procesos de operación, hasta llegar al detalle de las herramientas de seguridad y control, ofreciendo la visualización de esos procesos y de sus elementos, con identificación más clara de sus riesgos y vulnerabilidades computacionales.

2. Posteriormente, será necesario demostrar la aplicabilidad de esta guía en una empresa, diseñando una infraestructura de seguridad que proponga aplicar medidas de seguridad integrales y coherentes a sus procesos, con un costo acorde a los niveles de seguridad.

El término genérico Sistema Computacional es usado en este documento para referirse, ya

sea a una aplicación principal, o aun sistema general de soporte. Este concepto se explica

a detalle más adelante en el capítulo 2.

(16)

RESTRICCIONES

En este proyecto de tesis se propone una guía misma que se desarrolló contemplando algunas limitaciones que se comentan a continuación:

1. Esta guía está dirigida a la microempresa, a la pequeña empresa y a la mediana empresa2, específicamente a las dos últimas, ya que la gran empresa generalmente cuenta con un departamento de seguridad, con un CSO (Chief Security Officer) ó con un

CIO (Chief Information Officer), los cuales tienen dentro de sus responsabilidades la de

administrar la seguridad de la empresa según afirma CIO Magazine [11], y las micro, pequeñas y las medianas empresas no pueden solventar tales gastos. Sin embargo, para la gran empresa, esta guía representará un marco de referencia y análisis para la aplicación adecuada de seguridad a sus procesos.

2. Esta guía enfoca sus esfuerzos en analizar las necesidades de una empresa que tiene como estrategia corporativa el e­commerce y el e­bussiness, de tal manera que la empresa brinda servicios en línea a los clientes, a empleados y a los proveedores de la organización. Esta restricción se plantea así ya que es la tendencia de mercadeo que se espera a partir del año 2000 y con climax en el año 2005, según se ha comentado en las conferencias de Gartner Group [20] y Meta Group [23] del año 1999. Por tanto el

e-commerce y el e­bussiness serán parte importante para el desarrollo de una propuesta de seguridad de cualquier empresa en el futuro cercano, ya que la información estará virtualmente al alcance de todo público.

La categorización de pequeña y mediana empresa se basa en la definición que hace la

SECOFI (Secretaría de Comercio y Fomento Industrial). Más adelante en el capítulo 2 se

comentará sobre esta clasificación de empresas.

Ing. Ricardo Jiménez Torres Pag. 3

(17)

CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA

3. Durante el desarrollo de esta guía se han propuesto herramientas de segundad y control

para mitigar y/o eliminar riesgos y vulnerabilidades identificados. El alcance de esta guía es únicamente mencionar dichas herramientas, sin profundizar en detalles de las mismas, ni en el nombre comercial o el valor monetario. Sin embargo indica al lector donde encontrar el detalle de las herramientas aquí mencionados.

4. El segundo objetivo de este proyecto de tesis es la aplicación de la guía en un Caso Práctico. Para darle agilidad al avance de este proyecto de tesis, este objetivo fue cubierto aplicando la guía a una sola empresa.

CONTRIBUCIÓN DE LA INVESTIGACIÓN

La contribución de este proyecto de tesis es la guía para implantar seguridad a los sistemas computacionales de una empresa.

Actualmente existen metodologías separadas para efectuar procesos que en esta guía se comentan. Pero, no existe ninguna metodología, guía o procedimiento que integre a todas ellas, analizando a la empresa desde un punto de vista global y concluyendo con una propuesta para mitigar los huecos de seguridad, con la firme certeza de que esta, es la mejor opción desde el punto de vista técnico e inclusive en el aspecto económico.

Por tal motivo, la contribución principal de este proyecto de investigación es el integrar todas estas metodologías existentes, en una sola y corroborar su eficacia aplicándola a un caso práctico.

(18)

CASO PRÁCTICO

La empresa a la que nos enfocamos en este trabajo es un Grupo Financiero, mismo que desea habilitar los procesos de banca por Internet, en el corto plazo; y para lograr lo anterior debe establecer una infraestructura de seguridad que permita garantizar la confianza de sus procesos de negocios. La empresa que se va a analizar es: Grupo Financiero AFIS. El nombre de esta empresa es ficticio, sin embargo el caso es real.

El Grupo Financiero AFIS quiere realizar un proceso de seguridad que le asegure que, por lo menos, tiene el 80% de los riesgos y vulnerabilidades de seguridad cubiertos. Dentro de

los Capítulos 3 al 8 de esta tesis, se describen los puntos 6 que conforman la guía para

implantar seguridad a los sistemas de tecnología informática. Al final de cada uno de estos capítulos, se incluye una sección llamada Caso Práctico. En esta sección se desarrollará el

avance de la investigación en Grupo Financiero AFIS correspondiente al material expuesto en cada uno de los capítulos.

Cabe mencionar que, para el desarrollo de esta tesis, se firmó un Convenio de Confidencialidad con Grupo Financiero AFIS, mismo que se muestra parcialmente en el

APÉNDICE A. Por tal motivo, parte de la información obtenida de la investigación, se omite, proporcionando solo un reporte parcial al total de información obtenida.

PRODUCTO FINAL

El producto final es una guía para implantar una infraestructura de seguridad en una micro, una pequeña ó una mediana empresa, en la cual, una de sus estrategias corporativas sea el Comercio Electrónico. El producto final de la investigación es una guía con diagrama de flujo cíclico, como se muestra en la Figura 1.1. En esta figura se muestran los insumos para cada etapa de la guía.

Ing. Ricardo Jiménez Torres Pag. 5

(19)

CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA

GUÍA PARA IMPLANTAR SEGURIDAD A LOS SISTEMAS DE TI

Misión, Visión, Objetivos y Procesos

o Funciones del Negocio Procesos Críticos

Identificados

Sistemas Computacionales Críticos Identificados

Ái MJS1S t>BL:

DE LAi IMPRESA

Nivel de Seguridad "n" Deseado

Alternativa para el Sistema de TI con un nivel

de seguridad "k". Donde "k< n".

Aceptación "k>n"

Características Específicas del Sistema de T.I.

r

1

COSTO,-BENEFICIO Presupuesto Disponible Alternativa de Solución < Elementos y Componentes de Seguridad Rechazo de Alternativa

Lista de Riesgos y Vulnerabilidades

Genéricos

Probabilidades de que los riesgos ocurran y sus Efectos

Riesgos y Vulnerabilidades

Calificados y ^ 'riorizados

Riesgos y Vulnerabilidades

Identificadas

Figura 1.1:

Producto Final

Ing. Ricardo Jiménez Torres

[image:19.798.80.772.81.480.2]
(20)

El modelo de la Figura 1.1, es cíclico y se divide en seis etapas, mismas que también pueden ser representadas en una espiral con un eje coordenado asemejando la Metodología de Espiral para el desarrollo de aplicaciones de software que expone Pressman [8]. Esta representación se muestra en la figura 1.2.

Análisis de los Sistemas de Tecnología

Informática

Identificación de Riesgos y Vulnerabilidades

ENTRECABLE

Análisis de los Procesos de la

Empresa

Análisis de Riesgos y Vulnerabilidades

n

Análisis Costo • Beneficio

Desarrollo de la Propuesta de

[image:20.636.171.471.202.468.2]

Seguridad

Figura 1.2. Modelo de Espiral

El radio de la espiral representa el nivel de seguridad alcanzado hasta ese momento y los documentos entregables se generan al finalizar un ciclo de la espiral. Cada entregable es una propuesta para los sistemas de tecnología informática que garantiza un Nivel de Seguridad (n).

En este caso el documento entregable es la Propuesta de Seguridad. Para el Caso Práctico de esta investigación de tesis, la propuesta integral de seguridad para Grupo Financiero AFIS se muestra en el APÉNDICE E.

(21)

CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA

A continuación se describen brevemente los 6 puntos básicos de esta guía:

1. Análisis de los Procesos de la Empresa: En este punto se analizarán globalmente los procesos de la empresa, con el fin de identificar aquellos que más aportan a la realización de la misión y visión de la empresa, y especialmente se buscará identificar a los procesos en donde el buen funcionamiento de los sistemas computacionales es esencial. Con el fin de identificar los procesos críticos que manejan información crítica para el negocio, para cada proceso y sub-procesos trascendentes que lo conforman, se analizarán los flujos de información, así como su impacto hacia otros procesos.

2. Análisis del Sistema de Tecnología Informática: En este punto se recaudará toda la información referente a los sistemas computacionales de la empresa, esto con el fin de conocer sus características y poder iniciar la identificación de riesgos y vulnerabilidades. Al final se efectuará un análisis para descubrir a los sistemas computacionales críticos que más aportan la realización de la misión y visión del negocio.

3. Identificación de Riesgos y Vulnerabilidades Computacionales: Para lograr la identificación, se propondrán varia técnicas para analizar a cada uno de los sistemas computacionales críticos encontrando los riesgos y las vulnerabilidades que poseen.

4. Análisis de Riesgos y Vulnerabilidades Computacionales: Para cada riesgo y vulnerabilidad identificado se listarán y agruparán los riesgos y vulnerabilidades de cada sistema computacional; luego, se asignará una probabilidad de que el riesgo y/o vulnerabilidad ocurra y para cada uno de ellos se medirá el alcance de los daños si llegaran a ocurrir.

Ing. Ricardo Jiménez Torres Pag. 8

(22)

5. Desarrollo de la Propuesta de Seguridad: Partiendo del análisis de riesgos y vulnerabilidades, de acuerdo al impacto de cada uno de estos y al nivel de seguridad deseado, se desarrollará una propuesta de seguridad para los sistemas de tecnología informática de la empresa, identificando los objetos críticos a asegurar. En esta

propuesta se incluirán las herramientas de seguridad y control que mitiguen o eliminen

los riesgos y vulnerabilidades.

6. Análisis Costo ­ Beneficio de la Propuesta de Seguridad: En este punto se analizarán el costo de comprar e implementar las herramientas de seguridad y control resultado de la propuesta de seguridad, contra el costo de la pérdida o de la degradación de los

objetos críticos del sistema computacional, por causa de que algún riesgo o

vulnerabilidad se suscitó. Se compararán ambos costos y se aceptará o se rechazará la propuesta de seguridad, terminando el proceso, si hay algún beneficio significativo, ó regresando al punto anterior, en caso contrario.

Al final de haber finalizado los 6 puntos, se evaluará la propuesta elegida y se estimará el nivel de seguridad obtenido contra el deseado. El proceso podrá ser iterativo en caso de que el nivel de seguridad obtenido sea menor al deseado.

Ing. Ricardo Jiménez Torres Pag. 9

(23)

CAPITULO 2

(24)

Según lo comentado en el capítulo anterior, en este proyecto de tesis se propondrán 6 puntos básicos, con el fin de identificar, analizar y mitigar los riesgos y vulnerabilidades de los sistemas computacionales de una empresa. La guía se compone de los siguientes puntos:

1. Análisis de los procesos de la empresa.

2. Análisis del sistema de tecnología informática

3. Identificación de riesgos y vulnerabilidades computacionales. 4. Análisis de riesgos y vulnerabilidades computacionales. 5. Diagnóstico de seguridad.

6. Análisis costo-beneficio de la propuesta de seguridad.

Los conceptos usados en cada uno de estos puntos, son los que a continuación haremos referencia:

1. ANÁLISIS DE LOS PROCESOS DE LA EMPRESA.

De acuerdo a la SECOFI (Secretaría de Comercio y Fomento Industrial) de México [28], la cual es una secretaría gubernamental mexicana, "las empresas son las unidades de producción y comercialización de bienes y servicios. En la empresa se reúnen y organizan

los diversos factores económicos con la perspectiva de alcanzar determinados objetivos." De acuerdo al decreto en el Diario Oficial de la Federación, de fecha 30 de marzo de 1999, las empresas se clasifican únicamente por el número de empleados y no por el total de los ingresos anuales y es de la siguiente forma:

Clasificación Industria Comercio Servicio

Oa 30* 31 a 100* 101 a 500* 501 en Adelante*

Oa5* 6 a 20* 21 a 100" 101 en Adelante*

[image:24.631.124.524.565.637.2]

Oa20* 21 a 50* 51 a 100* 101 en Adelante*

Tabla 2.1: Categorización de Empresas

Empleados

(25)

CAPÍTULO 2 MARCO TEÓRICO

Una empresa tiene una visión, misión y objetivos. Armenia [3] comenta que, "La Misión de la Empresa son el conjunto de Objetivos trazados que deben estar enfocados a ayudara la compañía a lograr su Visión. La visión es algo a donde la empresa desea llegar a largo plazo. Una misión ayuda a lograr esa visión que la empresa pretende. Los Objetivos son aquellos los cuales están apoyados con las fuerzas de la empresa y están alineados con las oportunidades de la industria".

Ahora bien, según las restricciones mencionadas en el Capítulo 1, esta guía enfocará sus esfuerzos en analizar las necesidades de una empresa, que tiene como estrategia corporativa el e­commerce y el e­business. El sitio de Web Whatls.Com [30], define "e­commerce (electronic commerce) como la compra y venta de bienes y servicios usando Internet, especialmente el World Wide Web." De la misma fuente sabemos que, "e­business (electronic business), es el conducir los negocios de una empresa en Internet, no solo la venta y la compra, sino también el servicio a clientes y a proveedores, e inclusive la interacción con otros negocios."

Por otro lado, en este punto de la guía se analizarán globalmente los procesos de una empresa. Armenia [3] afirma que: "Un proceso es una serie de tareas o pasos que recibe entradas (materiales, información, gente, máquinas, métodos) y produce una salida (productos físicos, información o un servicio) diseñado para ser usado para un propósito en específico por el receptor para quien la salida es producida."

Entradas o Insumas

PROCESO A

[image:25.635.174.455.558.598.2]

Ejecución de la acción A I S SalLSalidas

Figura 2.1. Definición de Proceso

Armenia [3] asegura que, "un Proceso Crílico es aquel que aporta al producto final un valor y que ayuda a lograr la misión, siendo parte fundamental de su realización." En este

Ing. Ricardo Jiménez Torres Pag. 12

(26)

negocio. Sin embargo, como comenta Armenia [3], es conveniente marcar la diferencia entre un proceso y una tarea o función: "Un proceso es una serie de tareas o funciones que ocurren en secuencia para producir un producto o servicio de salida."

2. ANÁLISIS DEL SISTEMA DE TECNOLOGÍA INFORMÁTICA

Según el NIST (National Institute of Standards and Technology) [24], "El término genérico Sistema Computacional es usado en este documento para referirse ya sea a una

aplicación principal o aun sistema general de soporte."

Según la misma fuente, "Una Aplicación Principal son los sistemas que desempeñan funciones claramente definidas para las cuales hay necesidades y consideraciones de seguridad fácilmente identificables. Una aplicación principal debe comprender muchos programas individuales, hardware, software, y componentes de telecomunicaciones. Estos componentes pueden ser aplicaciones de software sencillas o una combinación de hardware/software enfocada en soportar una función específica."

De igual forma "Un Sistema General de Soporte son los recursos interconectados bajo el mismo medio de control directo que comparten funciones comunes. Un sistema general de soporte normalmente incluye hardware, software, información, datos, aplicaciones, comunicaciones, facilidades, y gente, además provee soporte a una variedad de usuarios y/o aplicaciones."

Una aplicación principal puede correr en un sistema general de soporte. Todas las aplicaciones y sistemas deben ser protegidos por propuestas de seguridad del sistema si están definidos como aplicación principal o sistema general de soporte. No se requieren

propuestas específicas de seguridad para otras aplicaciones ya que los sistemas generales de soporte en los cuales operan proveen controles de seguridad para esas aplicaciones menores.

Ing. Ricardo Jiménez Torres Pag. 13

(27)

CAPÍTULO 2 MARCO TEÓRICO

El NIST [24] también afirma que "El Propietario del Sistema es responsable de definir los parámetros de operación, funciones autorizadas, y requerimientos de seguridad del sistema. El Propietario del Sistema es responsable de asegurar que la propuesta de seguridad sea preparada e implementada efectivamente." La Propuesta de Seguridad deberá reflejar responsabilidades para varios individuos concernientes al sistema, incluyendo usuarios funcionales finales, Propietarios de la Información, el Administrador del Sistema, y el Administrador de la Seguridad del Sistema.

A continuación se lista una descripción de cada fase del Ciclo de Vida. Hay muchos modelos para el ciclo de vida de un sistema de tecnología informática, según Colouris [4], pero básicamente todos contienen las siguientes fases: Iniciación, desarrollo/adquisición, implementación, operación, y desecho.

• Fase de Iniciación: durante esta fase, se expresa la necesidad del sistema y se documenta su propósito. Se lleva a cabo una medición de la sensibilidad de la información que en el sistema será procesada y del sistema en sí.

• Fase de Desarrollo/Adquisición: en esta fase, se diseña el sistema, se compran sus componentes, se programan sus aplicaciones, se desarrolla en su totalidad, o en otras palabras se construye. Esta fase consiste en otros sub-ciclos, tales como ciclo de desarrollo del sistema y ciclo de adquisición.

• Fase de Implementación: en esta fase, se deben de instalar, configurar, habilitar y evaluar los elementos de seguridad del sistema.

• Fase de Operación/Mantenimiento: durante esta fase, el sistema desempeña su trabajo. El sistema es modificado frecuentemente debido al agregado de hardware y software, y por otro gran número de eventos.

• Fase de Desecho: La fase de desecho de un sistema de tecnología de información implica el desecho de información, hardware, y software.

(28)

3. IDENTIFICACIÓN DE RIESGOS Y VULNERABILIDADES COMPUTACIONALES.

Nos referimos a Activos del Sistema Computacional (hardware, software y datos), que son vulnerables o que corren riesgos dentro del sistema computacional y que tienen un valor importante ya que apoyan a la realización de una meta de la empresa dentro de un proceso crítico, de acuerdo a lo comentado en el sitio de Web del 14 [21].

Según el ASC (Área de Seguridad en Cómputo de la UNAM) [13], "un Riesgo es la posibilidad de que un intruso pueda tener éxito al tratar de accesar de manera ilegal un

activo del sistema computacional, o la posibilidad de que un sistema degrade su desempeño

en la operación, por causas no previstas."

Mientras que, de acuerdo al ASC [13], "una Vulnerabilidad esencialmente significa la forma de cuan protegida está el hardware, la red o la aplicación, de cualquier ataque externo para ganar acceso ilegal a ella, y de la forma de cuan protegida se encuentra de alguien dentro de la misma red que intencional o accidentalmente da la oportunidad de obtener acceso ilegal o causar cualquier otro daño."

Básicamente un riesgo es una posibilidad que siempre existirá y que únicamente podrá ser

mitigada; mientras que una vulnerabilidad es un problema específico del sistema

computacional que puede ser arreglado en su totalidad o parcialmente mediante métodos técnicos.

El ASC [13] por último hace la anotación que, también es útil identificar de que eventos debemos proteger a los datos:

• Actos Accidentales: Eventos no deseados (Errores y omisiones.)

• Actos Deliberados: Eventos no autorizados (Fraudes y abusos.)

Ing. Ricardo Jiménez Torres Pag. 15

(29)

CAPÍTULO 2 MARCO TEÓRICO

4. ANÁLISIS DE RIESGOS Y VULNERABILIDADES COMPUTACIONALES.

A continuación se explicarán los conceptos que ayudan a medir los riesgos y a evaluarlos según la Revista TSEPM [12], mismos que serán usados en lo que resta de esta sección:

. Probabilidad de Riesgo: es la probabilidad de que el riesgo ocurra. Esta tiene un rango teórico de R = (0,1), pero "O" y "1" no están considerados dentro de este rango.

 Impacto del Riesgo: es la consecuencia que tendrá un riesgo si ocurre. Este impacto puede ser expresado en varias formas, R = [O, 1], donde "1" es el máximo de los

impactos y "O" el mínimo de ellos.

 índice de Riesgo (R¡): es el producto de la probabilidad de que un riesgo ocurra y su

impacto sobre el sistema y el negocio.

D _ D * D

i impacto probabilidad

Ecuación 2.1: índice de Riesgo.

 Riesgo Total del Sistema: es la suma de los índices de riesgo para un área de la matriz de Riesgos o para el sistema en general.

R

sistema

Ecuación 2.2: Exposición a Riesgos.

5. DESARROLLO DE LA PROPUESTA DE SEGURIDAD.

Según Pfleeger [6], los Objetivos de Segundad a cubrir en toda propuesta de seguridad son tres, mismos que deben ser tomados en cuenta para efectuar un diagnóstico de seguridad. Estos objetivos aplican a datos y a servicios de acceso a recursos computacionales, y son los siguientes:

• Confidencialidad: Significa que los activos del sistema computacional solo son accesibles por las partes autorizadas. A la confidencialidad también se le llama secrecía o privacidad. Solo personal autorizado puede ver datos protegidos.

(30)

autorizadas o solo por los medios autorizados. Las modificaciones incluyen escritura, cambios, cambios de estatus, borrar y crear.

. Disponibilidad: Significa que los activos están accesibles por las partes autorizadas. A las partes autorizadas no se debe prevenir cuando accesen sus objetos si tienen derecho legítimo. La disponibilidad generalmente es conocida por su opuesto: daño de servicios (denial of services).

Según el NIST [24], "la Administración de Controles de Seguridad se enfoca en la gestión de la seguridad del sistema de cómputo y el manejo de los riesgos y vulnerabilidades del sistema. Los tipos de medidas de control deberán ser consistentes con la necesidad de proteger aplicaciones principales o sistemas generales de soporte". Los elementos a administrar son los activos del sistema computacional y las herramientas de seguridad y control. Por otro lado, una Herramienta de Seguridad y Control es aquel

elemento que ayuda a mitigar un riesgo y/o vulnerabilidad que afecta a algún activo del sistema computacional.

Sobre la base de los resultados del Análisis de Riesgos y Vulnerabilidades se debe identificar aquellos que exponen más al sistema de acuerdo a la valoración. Para mitigar y/o eliminar estos riesgos será necesario implementar controles. Según el EDS [18], una

Herramientas de Seguridad y Control podrán ser de dos tipos:

• Controles Operativos: éstos atañen métodos de seguridad que se enfocan en mecanismos que en esencia se implementan y ejecutan por personas (opuestamente a los sistemas.) Éstos se componen a su vez de procesos y políticas:

­ Procesos: Son el conjunto de acciones llevadas a cabo para dar mantenimiento al hardware y software de los sistemas, para hacer operaciones de respaldo y revisiones de seguridad.

­ Políticas: Son reglas de acción que especifican las metas de seguridad de la organización, según el Stanford Research Institute [28], en dónde recae la responsabilidad de la seguridad y dónde se localiza seguridad en la estructura

Ing. Ricardo Jiménez Torres Pag. 17

(31)

CAPÍTULO! MARCO TEÓRICO

organizacional. Estas políticas, además, deben especificar claramente a "quien" se le permite el acceso, a "que" recursos y "como" se regulará el acceso.

• Controles Técnicos: Son controles de seguridad que el sistema en sí ejecuta. Estos controles proveen protección automatizada a accesos no autorizados o a abusos, facilitan la detección de violaciones de seguridad, y soportan los requisitos de seguridad de las aplicaciones y los datos. La implementación de controles técnicos, de cualquier manera, siempre requiere de consideraciones operacionales significativas y deben de ser consistentes con el manejo de seguridad dentro de la organización.

6. ANÁLISIS COSTO ­ BENEFICIO DE LA PROPUESTA DE SEGURIDAD.

A continuación se listan los conceptos generales de un Análisis Costo - Beneficio (ACB.) Según el Center for Information Technology at the National Institutes of Health (CIT­ NIH) [16], " Los Costos son la cantidad de inversión monetaria requerida para adquirir las herramientas de Seguridad y Control, y el gasto medido en inversión monetaria y horas hombre necesario para implementar dichas herramientas en el sistema computadonal."

Por otro lado, el (CIT­NIH) [16] afirma que, "Los Beneficios son los servicios, capacidades, y calidades de cada alternativa de sistema, y puede ser visto como el retorno de la inversión. El periodo de retorno de la inversión en el sistema es de 10 años. Los beneficios que pueden ser evaluados con un valor actual o aproximados se llaman

beneficios tangibles. Los Beneficios que no pueden ser asignados a un valor monetario se llaman beneficios intangibles."

(32)
(33)

CAPÍTULOS ANÁLISIS DE LOS PROCESOS DE LA EMPRESA

Como ya se comentó en el Capítulo 1, en el Análisis de los Procesos de la Empresa se analizan globalmente los procesos, con el fin de identificar aquellos que son críticos, puesto que son esenciales para lograr las metas que conducirán a la empresa a lograr su misión. De tal manera que al identificar los procesos críticos, es posible enfocar los esfuerzos en el análisis de seguridad computacional de estos. Con el fin de identificar los procesos que manejan información crítica, se analizarán la visión, misión y los todos los procesos de la empresa.

NIVEL DESEADO DE SEGURIDAD (n)

Esta guía pretende mitigar o eliminar los riesgos y vulnerabilidades presentes en los sistemas de tecnología informática en un Nivel Deseado de Seguridad (n), mismo que

deberá estar en el rango de [0..1]. Este índice se deberá obtener de acuerdo a la criticidad de la información manejada en los sistemas de TI y a la misión de la empresa. Por ejemplo si la empresa quiere cubrir el 70% de los riesgos y vulnerabilidades presentes en su sistema, entonces n= 0.7. Recordando el Modelo de Seguridad en Espiral expuesto en el Capítulo 1, en cada iteración se pretenderá mejorar el valor de n obtenido en el ciclo anterior. Pero,

para la primera iteración, ya que desconocemos el nivel de seguridad de nuestro sistema de tecnología informática, será difícil valorar el nivel deseado de seguridad inicial. En este caso será válido comenzar con un valor de n pequeño, de tal manera que cualquier mejora al sistema satisfaga esta condición. Sin embargo, se recomienda que este índice no rebase el límite inferior del 0.6 (60% de Seguridad). Si se desea iterar nuevamente después de haber obtenido un entregable o Propuesta de Seguridad, el nivel de seguridad deseado deberá de ser necesariamente mayor al nivel deseado de la iteración anterior. Es decir, si estamos en la iteración número i:

nt­i< KÍ< Hi+1 P^a H¡ ~ 0.6

,donde i es el número de la iteración actual. Ecuación 3.1

Ing. Ricardo Jiménez Torres Pag. 20

(34)

ANÁLISIS DE LA MISIÓN

Ya que el único insumo que tenemos al inicio de esta guía es la Visión, será necesario realizar un Análisis de la Misión de la Empresa, esto con el fin de identificar a los procesos críticos de acuerdo a s aportación a la realización de la misión. Según se muestra en la Figura 3.1, la misión es dividida en impulsores, cada impulsor tiene sus propias metas, cada meta tiene sus objetivos y cada objetivo tiene registrados cuales procesos están involucrados, según comenta Armenia [3]. Con esta cadena se puede identificar la aportación de cada proceso para el logro de la misión de la empresa.

[image:34.633.158.499.297.400.2]

Misión ;>Impulsores> Metas > Objetivos^} Procesos

Figura 3.1: Análisis de la Misión de la Empresa

Para realizar esto es necesario, primeramente, detectar las grandes áreas en las que se divide la misión, mismas que definen a los impulsores. Los impulsores son los enunciados que definen a la misión. Cada uno de estos impulsores marca diferentes áreas de acción y como consecuencia diferentes metas a lograr. Cada meta a su vez, es alcanzada mediante la resolución de uno o varios objetivos. Y cada uno de estos objetivos es alcanzado mediante la ejecución de uno o varios procesos críticos. Por tal motivo, es necesario enunciar, la misión, sus impulsores, las metas de cada impulsor, los objetivos para cada meta y los procesos involucrados la resolución de cada objetivo.

PRESENTACIÓN DE LOS PROCESOS DE LA EMPRESA

Posteriormente será necesario hacer una Presentación de los Procesos de la Empresa. Esta presentación será en forma de red de procesos. De tal manera que la visualización de ellos sea más clara y fácil de analizar. Dentro de esta red se indicará la entrada y salida de

Ing. Ricardo Jiménez Torres

(35)

CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA

cada proceso. Para registrar la información se utilizará una matriz, esta matriz ayuda para el manejo de información y su almacenamiento.

Futrada PrwwHniicnlo Salida Proceso

Información • Tareas • Funciones

[image:35.624.100.552.134.256.2]

Producto Manufactura

Figura 3.2: Forma de Red Tabla 3.1: Forma Matricial

Esta es la forma en la que se pretende mostrar la conexión entre cada proceso. Cuando una información, dato, servicio, etc... se aplique dentro del proceso, y quien la genera, no está dentro de este proceso, su indicación se verá representada por medio de una nube. De la

misma forma se representará cuando la información que se genere sea transmitida hacia otro proceso.

RESUMEN DE PROCESOS

Para poder hacer un análisis completo de cada proceso es necesario tener toda la información acerca de él, haciendo un Resumen de Procesos. Esta información se obtiene de los análisis anteriormente hechos dentro del prototipo. Es importante dar la información precisa y real de cada proceso porque todo eso puede influir en un cambio, eliminación o unión con otro proceso. En el resumen de procesos se deben de cubrir las siguientes características: objetivos que los apoya, metas que ayuda a lograr, sus conexiones con otros procesos y su Valor Crítico.

IDENTIFICACIÓN DE PROCESOS CRÍTICOS DE LA EMPRESA

Enseguida, será necesario la Identificación de Procesos Críticos de la Empresa. Para esto usaremos una herramienta llamada Pair-Wise. La comparación "Pair-Wise", según Porter

(36)

[7], es una matriz en la cual los procesos se colocan en sus renglones y columnas, y en la esquina superior izquierda se coloca sobre qué se logrará la comparación. El proceso de comparación sigue el concepto de Análisis de Procesos Jerárquicos (Analytic Hierarchy Process) con respecto a su peso e intensidad. En la matriz, se inicia con el elemento de la

izquierda y se pregunta que tan importante es sobre el elemento listado en la columna de arriba. Cuando se compara con ellos mismos el rango siempre será uno. Cuando es comparado con otro elemento, y si este es más importante que el otro elemento, entonces tiene un valor entero sobre la escala 1-9 (ejemplo 3) y el otro tendrá un valor recíproco (ejemplo 1/3 = 0.333).

Misión

'Plf

i

0.1111

0.5

0.25 que KMayor

Tabla 3.2: Matriz "Pair-Wise"

Se establece un límite k, para los procesos cuya criticidad sea mayor a este valor, se

supondrá que son procesos críticos y el análisis se enfocará en ellos, descartando los el resto de los procesos (no críticos). La escala utilizada para la evaluación de procesos es definida en la tabla siguiente. Se describe el valor, su significado y una explicación breve.

Intensidad

déla Definición Explicación importancia 1 3 5 7 9 2,4,6,8 Recíprocos o números no ceros

Igual Importancia.

Moderada importancia de uno sobre otro.

Esencial o fuerte importancia

Importancia relevante

Extremadamente importante Valor intermedio entre los dos juicios

Si una actividad tiene el número entero (3) comparado con otra actividad, entonces la segunda actividad tiene el valor recíproco

(1/3) cuando es comparado con el primero.

Dos actividades contribuyen igualmente al objetivo

Experiencia y un ligero juicio a favor tiene una actividad sobre otra.

Experiencia y un fuerte juicio favorece y es dominante.

Es evidente que una actividad es fuertemente favorecida y es dominante. Es evidente que una actividad sobre otra es más alta.

Donde el compromiso en necesario.

Tabla 3.3: Evaluación de procesos

Ing. Ricardo Jiménez Torres

(37)

CAPÍTULOS ANÁLISIS DE LOS PROCESOS DE LA EMPRESA

CASO PRÁCTICO

• ANÁLISIS DE LOS PROCESOS DE GRUPO FINANCIERO AFIS

-Grupo Financiero AFIS, es una sociedad mexicana tenedora de las acciones de un grupo de empresas dedicadas a la prestación de servicios financieros, donde participa un grupo de accionistas con amplia experiencia financiera, industrial y comercial. Esta empresa, se integra formalmente en Octubre de 1993 en la ciudad de Monterrey, Nuevo León, México.

Grupo Financiero AFIS se compone de las siguientes entidades financieras:

 Factoraje AFIS, Empresa de Factoraje financiero, constituida formalmente en Diciembre de 1988.

 Almacenadora AFIS, Nace a fines de 1989 y, su actividad consiste en prestar servicios de almacenaje, guarda y conservación de bienes.

 Arrendadora AFIS, Conformada hacia fines de 1989, y su objeto radica en prestar servicios de arrendamiento financiero.

 Banca AFIS, Institución de Banca Múltiple, cuya incursión al sector de servicios financieros se inicia en Enero de 1995. En esta se constituye el eje operativo del grupo.

 Seguros AFIS, Es la entidad más joven del Grupo Financiero iniciando operaciones en Abril de 1998 en los ramos de daños y vida.

Nivel de Seguridad Deseado para los Sistemas de TI: Ya que no sabemos el nivel de seguridad del sistema y tomando en cuenta que es la primera iteración (i=l), suponemos

que se desea cubrir un 80% de los riesgos y vulnerabilidades presentes en su sistema de tecnología informática. Según nuestra metodología definimos:

n=0.8

Sin embargo, según el Bank Administration Institute [14], el nivel mínimo de seguridad recomendado para una institución financiera es de 99.5%. Así que, sobre la base de lo anteriormente visto, comenzaremos a analizar el caso de Grupo Financiero AFIS,

exponiendo al análisis su Visión y Misión Empresarial.

Ing. Ricardo Jiménez Torres Pag. 24

(38)

Visión de Grupo Financiero AFIS

Grupo Financie!o APIS con laTeosofía de brindar un servicio

extraordinario en tiempo y forma al ofrecer productos y servicios

financieros de la más alta calidad tecnológica, estará orientado a ampliar

día a día su base de clientes y posicionarse con firmeza en las regiones.

Grupo Financiero AFIS se encuentra respaldado por una estructura de accionistas, todos ellos empresarios comprometidos con México y con vocación de servicio; Diversificados en ramas o sectores económicos como: producción y distribución de acero y derivados, industria alimentaria, transportación, productos derivados del petróleo, industria de la construcción.

'^Misión de Grupo Financiero AFIS

Consolidar un mercado financiero que responda principalmente a las

necesidades de pequeños y medianos inversionistas, así como las personas

físicas, facilitando y administrando los recursos de manera eficiente y

personalizada y a través de Centros de Negocios se conduzca la confianza

depositada nacía la concretízación de créditos que seencuentten

distribuidos en sectores económicos estrábicos con una adecuada

diversificación de riesgos.

Ing. Ricardo Jiménez Torres Pag. 25

(39)

CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA

Análisis de la Misión de Grupo Financiero AFIS

Impulsores de la Misión: Analizando la Misión y Visión del Grupo Financiero AFIS,

nos damos cuenta que la empresa pretende ampliar su base de clientes y posicionarse con firmeza en las diversas regiones del país. Y que para lograr esto necesita consolidar un mercado financiero que responda a las necesidades de pequeños y medianos inversionistas, así como las personas físicas. Por tal motivo nos damos cuenta que el interés primordial de la empresa es, eventualmente, brindar servicios a un grupo de clientes más amplio que el actual, y que durante el desarrollo de la Misión se buscará mejorar la calidad y la rapidez en el servicio.

Metas Organizacionales de Grupo Financiero AFIS

Grupo Financiero AFIS desea habilitar los procesos de Banca por Internet en el corto plazo, para así buscar ampliar la cartera de clientes, brindando mejor calidad y rapidez en el servicio. Para lograr lo anterior debe establecer una arquitectura de seguridad que permita garantizar la confianza de sus procesos de negocios.

Grupo Financiero AFIS ha tomado la decisión de independizar su acceso a Internet del servicio que se le provee y al cual ha estado unido desde sus inicios mediante el sistema de TI.

Objetivos Organizacionales de Grupo Financiero AFIS: Como objetivos principales, las operaciones de Grupo Financiero AFIS se resumen en:

• Intensificar la consecución de metas en operaciones pasivas, centrando sus esfuerzos de promoción en el nicho de mercado definido y observando el otorgamiento de créditos, asegurando éstos contra cualquier contingencia razonable.

Ing. Ricardo Jiménez Torres Pag. 26

(40)

• En operaciones activas como pasivas, guardar una adecuada distribución de tamaños, valores y sectores económicos, para con ello mantener una razonable distribución de riesgos y buscando finalmente mantener la filosofía del Grupo: propiciar una relación a largo plazo con nuestros clientes.

• Habilitar los procesos de banca electrónica a través de Internet en el corto plazo, para así buscar ampliar la cartera de clientes, brindando mejor calidad y rapidez en el servicio.

• Hacer que los Sistemas de Tecnología Informática sean una herramienta que apoyan a mejorar la calidad y rapidez en el servicio.

A partir de 1997, Grupo Financiero AFIS realiza fuertes compromisos de crecimiento en la búsqueda por consolidar su mercado meta, haciendo presencia en las principales ciudades del país.

Ing. Ricardo Jiménez Torres Pag. 27

(41)

CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA

RESUMEN DE PROCESOS DE GRUPO FINANCIERO AFIS

Entrada Procedimiento Salida Proceso 1 • Información

otorgamiento de los diversos servicios. • Investigaciones de

mercado

• Información de la tesorería del grupo. • Datos para

presupuestos anuales. • Información

contable y financiera para la toma de decisiones.

• Solicitudes de crédito

• Documentos, contratos y

• Dirigir la promoción y concertación de las operaciones crediticias, de captación de recursos y otorgamiento de los diversos servicios. Así como la supervisión y control de centros de negocio

• Promover, realizar y controlar los diversos servicios fiduciarios. • Responsable de la promoción, concertación y servicios de la

arrendadora, factoraje, almacenadora y enlace comercial. Así como de las áreas de tarjeta de crédito, mercadotecnia, banca electrónica y demás áreas de negocio del grupo financiero.

• Promoción de los productos de Banca - Seguro.

• Administrar los flujos de la tesorería del grupo, estableciendo las políticas financieras para asegurar la correcta y rentable aplicación de los recursos y la toma de decisiones oportunas para el aprovechamiento de oportunidades de negocio financiero en todas las empresas del grupo.

• Controlar las operaciones de compraventa de divisas.

• Gestionar y formalizar el establecimiento de líneas de crédito y de operación con fondos de fomento e instituciones financieras nacionales y extranjeras.

• Información a autoridades, a las diferentes asociaciones y centros bancarios, a los comités internos y al consejo de administración. • Coordinar la elaboración de los presupuestos anuales y su

seguimiento.

• Elaborar la información contable y financiera necesaria para la toma de decisiones.

• Definir las políticas, procedimientos y reglas de operación que regulan el trámite y otorgamiento de los créditos a fin de mantener una cartera sana y rentable.

• Análisis y Evaluación de solicitudes de crédito y su

• Productos Bancarios. • Servicios

fiduciarios. • Servicios de la

arrendadora, factoraje, almacenadora y enlace comercial. • Servicio de

Administración de flujos de la

tesorería. • Servicio de

compraventa de divisas.

• Servicio de Información a autoridades. • Información

contable y

(42)

garantías de crédito. • Innovaciones tecnológicas sobre Informática y Telecomunicación es.

• Información sobre recursos Humanos. • Necesidades de

Recursos Materiales. • Normatividad de

Operaciones.

recomendación.

• Guardia y custodia de documentos, contratos y garantías de crédito. • Mesa de control de operaciones crediticias.

• Seguimiento y actualización del manual de crédito. • Recuperación extrajudicial y judicial del crédito.

• Elaborar y supervisar contratos, convenios y documentación donde se asuman derechos y obligaciones con terceros.

• Dictaminación de escrituras públicas y poderes.

• Atención de oficios de autoridades con características contenciosas. • Asesoría Jurídica interna y a terceros.

• Servicios empresariales corporativos a terceros en fusiones, adquisiciones y otros.

• Desarrollo de los nuevos productos que requiera el mercado.

• Supervisar la ejecución de las operaciones activas, pasivas, así como los procesos y procedimientos de operación de acuerdo a la normatividad oficial.

• Atender y dar cumplimiento a las obligaciones fiscales de las empresas del grupo y brindar la asesoría que requiera en materia fiscal.

• Asegurar que las empresas del grupo dispongan de los elementos necesarios como son: equipo de cómputo, soporte técnico, servicio de telecomunicaciones, etc.

• Selección, capacitación y administración de las relaciones laborales del personal.

• Administración de los recursos materiales y del mantenimiento a los inmuebles. Así como de las adecuaciones a los mismos de acuerdo a los criterios de imagen institucional.

• Servicios de Seguridad par salvaguardar al personal y bienes del grupo.

créditos.

• Manual de crédito. • Contratos, convenios y documentación de derechos y obligaciones con terceros.

• Escrituras públicas y poderes.

• Datos sobre productos que requiera el mercado. • Servicios de

Informática y telecomunicación

es.

• Recursos Humanos. • Servicios de

Seguridad par salvaguardar al personal y bienes del grupo.

(43)

CAPITULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA PRESENTACIÓN DE LOS PROCESOS DE GRUPO FINANCIERO AFIS

8

/PROCESO DE^v ^V NEGOCIOS )

I

1/5

CONTROL DE LOS CENTROS DE

NEGOCIO

CONTROL DE^X SERVICIOS ) FIDUCIARIOS J

/OPERACIONES^

^v CREDITICIAS )

/"SERVICIOS DELA^X ( ARRENDADORA Y }

V ENLACE J

^^^COMERCIAi.^^ CONTROL DE TARJETAS DE CRÉDITO CAPTACIÓN DE RECURSOS PROMOCIÓN DE PRODUCTOS DE BANCA

MERCADOTECNIA \ BANCA

ELECTRÓNICA oí. «I ROCESO DE FINANZAS Y PLANEACIÓN ce O Vi U U

§

a. /ADMINISTRACIÓNt\ V. DE FLUJOS DE LA )

\ _ T E S O R E R Í A ^ X

CONTROL DE COMPRA Y VENTA

DE DIVISAS

GESTIÓN DE LINEAS DE CRÉDITO

INFORMACIÓN A AUTORIDADES, COMITÉS INTERNOS Y CONSEJO DE

ADMINISTRACIÓN ELABORACIÓN Y SEGUIMIENTO DE PRESUPUESTO ANNUA1 Ing. Ricardo Jiménez Torres

(44)

PRESENTACIÓN DE LOS PROCESOS DE GRUPO FINANCIERO AFIS (2)

PROCESO DE CRÉDITO Y

JURÍDICO

CONTROL DE OPERACIONES CREDITICIAS

SEGUIMIENTO Y ACTUALIZACIÓN DEL

MANUALDE CRÉDITO ARCHIVO DE

DOCUMENTOS DE CRÉDITO

RECUPERACIÓN DE CRÉDITO OTORGAMIENTO

DE CRÉDITOS

ELABORACIÓN Y SUPERVISIÓN DE

CONTRATOS

ASESORÍA

JURÍDICA fI EMPRESARIALES SERVICIOS ^v )

PROCESO DE ADMINISTRACIÓN

( DESARROLLO DE ^v

I NUEVOS )

X ^ ^ P R O D U C T O S /

x^AD

( DE RECURSOS >v MATERIALES SUPERVISIÓN DE

OPERACIONES ACTIVAS Y PASIVAS

SERVICIO DE TELECOMUNICACIONES

E INFORMÁTICA

RECURSOS HUMANOS

(45)

Esta página no está disponible

Este mensaje se intercala en los documentos digitales donde el documento original en papel no contenía esta página por algún error de edición del documento.

Al momento los creadores de este documento no han localizado esta página.

Preguntas frecuentes:

¿Qué puedo hacer?

Ten por seguro que hemos informado al creador original del documento y estamos intentando reemplazar esta página.

¿Quién convierte estos documentos a formato digital?

Esta tarea se realiza por un grupo de personas que laboran en el proyecto de Biblioteca Digital. Nos esforzamos por convertir documentos originales a una versión digital fidedigna y comunicar a los creadores del documento original de estos problemas para solucionarlos. Puedes contactarnos visitando nuestra página principal en:

(46)

IDENTIFICACIÓN DE PROCESOS CRÍTICOS DE GRUPO FINANCIERO AFIS

Cabe mencionar que todo el análisis y ponderaciones que se muestran en esta sección fueron realizadas por personal de Grupo Financiero AFIS de acuerdo a las ponderaciones marcadas en la Tabla 3.1.

LISTA DE PROCESOS Y SUB­PROCESOS PROCESOS DE NEGOCIOS Pl P2 P3 P4 P5 P6 P7 P8 P9

CONTROL DE LOS CENTROS DE NEGOCIO CONTROL DE SERVICIOS FIDUCIARIOS OPERACIONES CREDITICIAS

CAPTACIÓN DE RECURSOS

PROMOCIÓN DE PRODUCTOS DE BANCA

SERVICIOS DE LA ARRENDADORA Y ENLACE COMERCIAL

CONTROL DE TARJETAS DE CRÉDITO MERCADOTECNIA

BANCA ELECTRÓNICA

PROCESO DE CRÉDITO Y JURÍDICO

P15 OTORGAMIENTO DE CRÉDITOS

P16 ARCHIVO DE DOCUMENTOS DE CRÉDITO P17 ELABORACIÓN Y SUPERVISIÓN DE CONTRATOS P18 CONTROL DE OPERACIONES CREDITICIAS P19 ASESORÍA JURÍDICA

P20 SEGUIMIENTO Y ACTUALIZACIÓN DEL MANUAL DE CRÉDITO

P21 SERVICIOS EMPRESARIALES P22 RECUPERACIÓN DE CRÉDITO

PROCESO DE FINANZAS Y PLANEACIÓN

PÍO ADMINISTRACIÓN DE FLUJOS DE LA TESORERÍA Pl 1 CONTROL DE COMPRA Y VENTA DE DIVISAS P12 GESTIÓN DE LINEAS DE CRÉDITO

P13 COMUNICACIÓN INTERNA

P14 ELABORACIÓN Y SEGUIMIENTO DE PRESUPUESTO ANNUAL

PROCESO DE ADMINISTRACIÓN

P23 DESARROLLO DE NUEVOS PRODUCTOS

P24 SUPERVISIÓN DE OPERACIONES ACTIVAS Y PASIVAS P25 SERVICIO DE TELECOMINICACIONES E INFORMÁTICA P26 RECURSOS HUMANOS

(47)

CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA

MATRIZ PAIR­WISE

(48)

PROCESOS CRÍTICOS IDENTIFICADOS PARA GRUPO FINANCIERO AFIS

Según la herramienta Pair­Wise, los procesos críticos son los que resaltan de la siguiente lista de procesos.

PROCESOS DE NEGOCIOS

Pl CONTROL DE LOS CENTROS DE NEGOCIO

P2 CONTROL DE SERVICIOS FIDUCIARIOS

P3 OPERACIONES CREDITICIAS P4 CAPTACIÓN DE RECURSOS

PS PROMOCIÓN DE PRODUCTOS DE BANCA SEGURA P6 SERVICIOS DB LA ARRENDADORA Y ENLACE COMERCIAL P7 CONTROL DE TARJETAS DE ("RÉDITO

P8 MERCADOTECNIA

i*> BANCA ELECTRONIC A

PROCESO DE FINANZAS Y PLANEACIÓN

PÍO ADMINISTRACIÓN DE FLUJOS DE LA TESORERÍA

Pi 1 CONTROL DE COMPRA V VENTA DE DIVISAS Pl 2 GESTIÓN DE LINEAS DE CRÉDITO

P13 INFORMACIÓN A AUTORIDADES, COMITÉS INTERNOS Y CONSEJO DE ADMINISTRACIÓN

P14 ELABORACIÓN Y SEGUIMIENTO DE PRESUPUESTO ANNUAL

PROCESO DE CRÉDITO Y JURÍDICO

P15 OTORGAMIENTO DE CRÉDITOS

Pió ARCHIVO DE DOCUMENTOS DECRÉDiTO P17 ELABORACIÓN Y SUPERVISIÓN DE CONTRATOS

P18 CONTROL DE OPERACIONES CREDITICIAS

P19 ASESORÍA JURÍDICA

P20 SEGUIMIENTO Y ACTUALIZACIÓN DEL MAN! ¡AL DE ('.'RÉDITO P:i SERVICIOS EMPRESARIALES

¥22 RECUPERACIÓN DE CRÉDITO PROCESO DE ADMINISTRACIÓN

P23 DESARROLLO DE NUEVOS PRODUCTOS

P24 SUPERVISIÓN DE OPERACIONES ACTIVAS Y PASIVAS P25 SERVICIO DE TELECOMUNICACIONES E INFORMÁTICA

P26 RECURSOS HUMANOS

Cabe destacar que el proceso 25, correspondiente a las operaciones de informática y telecomunicaciones es el proceso más crítico del Grupo Financiero AFIS, ya que soporta a todos los otros procesos de manera importante. Literalmente todos los procesos del grupo quedan paralizados sin el soporte de informática y las telecomunicaciones. También es importante observar que de acuerdo a los objetivos de la empresa, el proceso 1,

correspondiente al control de los centros de negocio, efectivamente resulta ser un proceso crítico. En cada proceso principal, se identifican los sub-procesos que lo soportan, resultando el PROCESO DE ADMINISTRACIÓN el proceso principal más critico, ya que contiene al proceso de telecomunicaciones e informática.

(49)

CAPITULO 4

Análisis del Sistema de

Tecnología Informática

(50)

REVISIÓN DE LOS SISTEMAS COMPUTACIONALES

En esta sección se realizará una exhaustiva revisión del sistema computacional en general, con el fin de hacer un diagnóstico de posibles riesgos y vulnerabilidades, y proponer un esquema de seguridad. Este análisis se guiará dependiendo de la etapa del ciclo de vida en que se encuentre el sistema. Aunque una propuesta de seguridad puede ser desarrollada para un sistema en cualquier punto de su ciclo de vida, lo que se recomienda es preparar un plan de seguridad desde el inicio del ciclo de vida. Como comentábamos en el Capítulo 2, en algunos casos, el sistema podrá estar al mismo tiempo en varias fases del ciclo de vida. En esta sección, se debe(n) determinar la(s) fase(s) del ciclo de vida del sistema, o de parte del sistema y se identifica como ha sido manejada la seguridad durante el ciclo de vida en curso.

Posteriormente, será necesario definir los Límites y la Categoría del Sistema. Un sistema, como lo definimos en esta guía, es identificado por límites lógicos que surgen alrededor de un conjunto de procesos, comunicaciones, medios de almacenamiento, y recursos relacionados. Los componentes del sistema no necesitan estar físicamente conectados. Los elementos dentro de estos límites constituyen un solo sistema que requiere una propuesta de seguridad. Cada elemento del sistema deberá:

• Estar bajo el mismo sistema de control directo; • Tener el mismo objetivo o misión de función;

• Tener esencialmente las mismas características de operación y necesidades de seguridad; y

• Residir en el mismo sistema operativo general.

El paso siguiente consiste en categorizar cada aplicación de software ya sea como

Aplicación Principal o como Sistema General de Soporte. Todas las aplicaciones deberán ser protegidas por una propuesta de seguridad. Las aplicaciones serán protegidas ya sea individualmente, en el caso de aplicaciones principales, o dentro de la propuesta de

(51)

CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN

seguridad del sistema general de soporte. Un sistema podrá ser categorizado como aplicación principal siempre y cuando sea soportado por un sistema que a su vez a sido previamente designado como sistema general de soporte.

Una vez reunida esta información, se procede con la Identifícación de cada Sistema. Para ambos tipos de sistemas las propuestas de seguridad deben contener descripciones generales con información respecto a quien es el responsable, el propósito, y el nivel de sensibilidad del sistema. Los datos que se deben de reunir son los siguientes:

• Nombre/Título del Sistema: La propuesta para el sistema en partículas debe listar el nombre y título del sistema o aplicación. A cada sistema/aplicación se le deberá asignar un nombre o identificador único. Asignar un identificador único a cada sistema ayuda a asegurar que los requerimientos de seguridad apropiados son implementados para cada sistema, y que todos los recursos asignados son apropiadamente aplicados. El identificador puede ser una combinación de caracteres numéricos y alfanuméricos, y puede ser similar al nombre del sistema. El nombre/identificador único deberá permanecer toda la vida del sistema para permitir monitorear la conclusión de los requerimientos de seguridad a tiempo.

• Asignación de Responsabilidades de Seguridad: Un individuo deberá ser asignado como responsable de llevar a cabo la implantación de la propuesta de seguridad en la aplicación o el sistema general de soporte. En el caso práctico de esta tesis los nombres de los responsables serán omitidos.

 Estatus Operacional del Sistema: Cada sistema se encuentra en uno o varios estatus operacionales. Si más de un estatus es seleccionado, se debe identificar que parte del sistema está en cierto estatus:

Operacional — el sistema está operando.

En desarrollo —el sistema está siendo diseñado, desarrollado o implementado.

En curso modificaciones sustanciales — el sistema está siendo modificado

sustancialmente o en transición.

Figure

Figura 0.1
Tabla 2.1 Categorización de Empresas
Figura 0.1: Investigación realizada por el F.B.l. en 1998 a empresas norteamericanas.
Figura  1.1: Producto Final
+7

Referencias

Documento similar

El contar con el financiamiento institucional a través de las cátedras ha significado para los grupos de profesores, el poder centrarse en estudios sobre áreas de interés

Debido al riesgo de producir malformaciones congénitas graves, en la Unión Europea se han establecido una serie de requisitos para su prescripción y dispensación con un Plan

Como medida de precaución, puesto que talidomida se encuentra en el semen, todos los pacientes varones deben usar preservativos durante el tratamiento, durante la interrupción

Abstract: This paper reviews the dialogue and controversies between the paratexts of a corpus of collections of short novels –and romances– publi- shed from 1624 to 1637:

Y tendiendo ellos la vista vieron cuanto en el mundo había y dieron las gracias al Criador diciendo: Repetidas gracias os damos porque nos habéis criado hombres, nos

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

Luis Miguel Utrera Navarrete ha presentado la relación de Bienes y Actividades siguientes para la legislatura de 2015-2019, según constan inscritos en el

Fuente de emisión secundaria que afecta a la estación: Combustión en sector residencial y comercial Distancia a la primera vía de tráfico: 3 metros (15 m de ancho)..