Guia para Segurança de Sistemas

Vista previa del material en texto

INSTITUTO TECNOLÓGICO Y DE ESTUDIOS
SUPERIORES DE MONTERREY
CAMPUS MONTERREY
DIVISIÓN DE COMPUTACIÓN, INFORMACIÓN Y COMUNICACIONES
PROGRAMA DE GRADUADOS EN ELECTRÓNICA, COMPUTACIÓN,
INFORMÁTICA Y COMUNICACIONES
PROYECTO DE TESIS
GUIA PARA DISEÑAR LA INFRAESTRUCTURA
DE SEGURIDAD DE LOS SISTEMAS
COMPUTAC1ONALES EN UNA EMPRESA
RICARDO JIMÉNEZ TORRES
MONTERREY, N. L. DICIEMBRE DEL 2000
INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE
MONTERREY
CAMPUS MONTERREY
DIVISIÓN DE COMPUTACIÓN, INFORMACIÓN Y COMUNICACIONES
PROGRAMA DE GRADUADOS EN ELECTRÓNICA, COMPUTACIÓN,
INFORMÁTICA Y COMUNICACIONES
PROYECTO DE TESIS
GUÍA PARA DISEÑAR LA INFRAESTRUCTURA DE SEGURIDAD DE LOS
SISTEMAS COMPUTACIONALES EN UNA EMPRESA
RICARDO JIMÉNEZ TORRES
MONTERREY, N. L. DICIEMBRE DE 2000
INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE
MONTERREY
CAMPUS MONTERREY
DIVISIÓN DE COMPUTACIÓN, INFORMACIÓN Y COMUNICACIONES
PROGRAMA DE GRADUADOS EN ELECTRÓNICA, COMPUTACIÓN,
INFORMÁTICA Y COMUNICACIONES
Los miembros del Comité de Tesis recomendamos que el presente proyecto de Tesis
presentado por el Ing. Ricardo Jiménez Torres sea aceptado como requisito parcial para
obtener el grado académico de Maestría en Ciencias en Tecnología Informática con
especialidad en:
Redes Computacionales
COMITÉ DE TESIS:
Ing. Renán Rafael Silva Rubio, MC
ASESOR
Ing. Gustavo Cervantes Órnelas, MC
SINODAL
Lic. Sergio T. Guimond Lanz
SINODAL
Dr. Carlos Scheel Mayenberger
Director del Programa de Graduados en Electrónica, Computación,
Información y Comunicaciones
DICEMBRE DE 2000
DEDICATORIA
Esta investigación de tesis está dedicada a la Sra.
María Elena Torres Martínez,
...mi Madre.
Gracias a ti Mamá, hoy he llegado a mi objetivo,
Tu me haz mostrado como he de luchar diariamente,
Y a ti te dedico este logro,
Ser tu hijo es el mejor regalo que me ha dado la vida.
Te Quiero....
Ricardo Jiménez Torres
Diciembre de 2000
Pag. I
AGRADECIMIENTOS
A mi Familia y Amigos,
A mis hermanas Elsa Elena y María Josefina, y a mi hermano Manuel Alejandro, les
agradezco todos estos años que han convivido conmigo y me han apoyado hasta en los
momentos más difíciles. Ustedes también son parte de mi éxito.
A mi Abuelita Josefina y a mi Tía Lilia por todo su apoyo incondicional cuando lo he
necesitado y por sus palabras de aliento.
A Libertad, porque los momentos que viví contigo se quedarán para siempre en mi
memoria. Te llevo en mi corazón.
A mi Comité de Tesis,
Un agradecimiento muy especial al Ing. Renán Silva por su paciencia, sugerencias y valiosa
información, y por todos los recursos que me proporcionó durante esta investigación.
Al Lic. Sergio Guimond y al Ing. Gustavo Cervantes por sus consejos y comentarios que
se vieron reflejados en el desarrollo de esta investigación.
¡GRACIAS A TODOS!
Pag. II
ÍNDICE
PÁGINA
Dedicatoria I
Agradecimientos II
índice III
Lista de Figuras V
Lista de Tablas VI
Introducción VII
Capítulo 1 - Planteamiento del Problema 1
Hipótesis 2
Objetivo 2
Restricciones 3
Contribución de la Investigación 4
Planteamiento del Caso Práctico 5
Producto Final 5
Capítulo 2 - Marco Teórico 10
Análisis de los Procesos de la Empresa 11
Análisis del Sistema de Tecnología Informática 13
Identificación de Riesgos y Vulnerabilidades 15
Análisis de Riesgos y Vulnerabilidades 16
Desarrollo de la Propuesta de Seguridad 16
Análisis Costo - Beneficio 18
Capítulo 3 - Análisis de los Procesos de la Empresa 19
Nivel Deseado de Seguridad 20
Análisis de la Misión 21
Presentación de los Procesos de la Empresa 21
Resumen de Procesos 22
Identificación de los Procesos Críticos de la Empresa 22
Caso Práctico 24
Capítulo 4 - Análisis del Sistema de T.I 36
Revisión de los Sistemas Computacionales 37
Identificación de los Sist. Computacionales Críticos 41
Valoración de los Sistemas Computacionales 41
Caso Práctico 43
Capítulo 5 - Identificación de Riesgos y Vulnerabilidades 61
Matriz de Identificación y Análisis de Riesgos y Vulnerabilidades 62
Ing. Ricardo Jiménez Torres Pag. III
Maestría en Tecnología Informática
Diciembre de 2000
ÍNDICE
Activos Computacionales 63
Hallazgos de Seguridad 65
Técnica de Lluvia de Ideas 67
Caso Práctico 68
Capítulo 6 - Análisis de Riesgos y Vulnerabilidades 80
Reagrupación de Elementos Disgregados 81
Valoración de Riesgos y Vulnerabilidades 82
Impacto de los Problemas de Seguridad 84
Análisis General 84
Análisis sobre la Matriz de Riesgos y Vulnerabilidades 86
Caso Práctico 87
Capítulo 7 - Desarrollo de la Propuesta de Seguridad 98
Objetivo de la Propuesta de Seguridad 99
Herramientas de Seguridad y Control 99
Análisis de los Residuales Totales 102
Proponiendo Soluciones Integrales 104
Caso Práctico 105
Capítulo 8 - Análisis Costo - Beneficio 120
Recaudando el Costo de la Propuesta de Seguridad Integral 123
Valorando los Beneficios Tangibles e Intangibles 125
Caso Práctico 127
Capítulo 9 - Conclusiones Finales 135
Trabajos Futuros 136
Conclusiones de la Guía 137
Conclusiones del Caso Práctico 138
Conclusión Final 139
Apéndices 140
Apéndice A - Plantilla para el Análisis del sistema de T.I 141
Apéndice B - Convenio de Confidencialidad 161
Apéndice C - Lista de Riesgos y Vulnerabilidades 165
Apéndice D - Herramientas para la Identificación de Riesgos y Vulnerabilidades... 169
Apéndice E - Propuesta de Seguridad para el Caso Práctico 171
Apéndice F - Bibliografía y Referencias 186
Vita 190
Ing. Ricardo Jiménez Torres Pag. IV
Maestría en Tecnología Informática
Diciembre de 2000
LISTA DE FIGURAS
PÁGINA
Figura 0.1 Investigación realizada por el F.B.I. a empresas norteamericanas VII
Figura 1.1 Producto Final de la Guía 6
Figura 1.2 Modelo de Espiral 7
Figura 2.1 Definición de Proceso 12
Figura 3.1 Análisis de la Misión de la Empresa 21
Figura 3.2 Presentación de Procesos en Forma de Red 22
Figura 4.1 Red de Grupo Financiero AFIS 44
Figura 4.2 Red de Interconexión a Internet de Grupo Financiero AFIS 45
Figura 4.3 Acceso a Internet de Grupo Financiero AFIS 46
Figura 4.4 Red Proveedores de Grupo Financiero AFIS 47
Figura 4.5 Zona Desmilitarizada de Grupo Financiero AFIS 48
Figura 4.6 Red Switch de Grupo Financiero AFIS 49
Figura 4.7 Red AFIS 51
Figura 4.8 Red Producción de Grupo Financiero AFIS 52
Figura 5.1 Riesgos y Vulnerabilidades en Activos 64
Figura 6.1 Soporte de Sistemas Computacionales 84
Figura 6.2 Análisis de Riesgos y Vulnerabilidades Identificados 85
Figura 8.1 Análisis Costo - Beneficio 122
Figura 8.2 Punto de Equilibrio Costo- Beneficio 126
Figura E.l Propuesta de Firewall Interno 177
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag.V
LISTA DE TABLAS
PÁGINA
Tabla 2.1 Categorización de Empresas 11
Tabla 3.1 Presentación de Procesos en Forma Matricial 22
Tabla3.2 Matriz Pair-Wise 23
Tabla 3.3 Evaluación de procesos 23
Tabla 4.1 Ponderación de Sistemas 42
Tabla 4.2 Análisis de Sistemas 42
Tabla 4.3 Aplicaciones de software del Grupo Financiero AFIS 53
Tabla 5.1 Matriz de Análisis de Riesgos y Vulnerabilidades 63
Tabla 6.1 Impacto del Hallazgo de Seguridad 83
Tabla 6.2 Tabla de Valoración de Riesgos y Vulnerabilidades 85
Tabla 6.3 Probabilidades de Seguridad 86
Tabla 7.1 Desarrollo de la Propuesta de Seguridad 100
Tabla7.3 Herramientas de Seguridad para el Grupo Financiero AFIS 119
Tabla 8.1 Valoración de Beneficios 126
Tabla 8.2 Costos para el Grupo Financiero AFIS 127
Tabla 8.3 Beneficios para el Grupo Financiero AFIS 127
Tabla E.l Tipos de Firewall 175
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. VI
INTRODUCCIÓN
Con la globalización de la información, una empresa corre múltiples riesgos en sus sistemas
computacionales. En un negocio, hay información importante, que en manos de la
competencia o de criminales, puede significar pérdidas millonarias para los dueños.
El F.B.l. (Federal Bureau of investigation) [19] afirma que, en una investigación
realizada en los E.E.U.U. afines de 1998 y a empresasque han sufrido ataques a sus
sistemas de cómputo. 70% de esos ataques fueron perpetrados por personal interno, 10%
fueron ataques de ex-empleados inconformes y 20% fueron ataques de externos Además,
esta misma investigación, arrojó resultados sorprendentes en cuanto a la seguridad de los
sistemas computacionales. referente a ios ataques detectados y reportados. El F.B.I [19]
demostró que la gran mayoría de las empresas son víctimas de ataques a sus sistemas de
cómputo y pocas de estas detectan el ataque, como podemos ver en la Figura 0.1- Y peor
aún, de las empresas que detectan a intrusos, un porcentaje pequeño reporta el suceso a las
autoridades competentes, por miedo al desprestigio.
88.9%
Empresas que...
Fueron atacadas, detectaron y reportaron el ataque
Fueron atacadas, detectaron y no reportaron el ataque
No fueron atacadas.
Fueron atacadas y no detectaron a tiempo el ataque.
Figura 0.1: Investigación realizada por el F.B.l. en 1998 a empresas norteamericanas.
Esto, a grandes luces, demuestra que las empresas modernas deben de incluir en la misión
del negocio la seguridad de los sistemas de cómputo, no importa la magnitud de la
organización y ni el giro de la empresa. En este proyecto de tesis se desarrollará una guía
para implantar seguridad en los sistemas computacionales del negocio y así prevenir y
detectar ataques y otros riesgos y vulnerabilidades computacionales.
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Pag.VII
CAPITULO 1
Planteamiento del
Problema
CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA
HIPÓTESIS
Generalmente las decisiones de inversión en seguridad en los sistemas computacionales se
hacen basándose en la búsqueda de cobertura de riesgos y vulnerabilidades genéricos
relacionados con la operación de los sistemas computacionales. En esta investigación de
tesis demostraremos que:
"Si los sistemas computacionales son diseñados mediante una guía basada en la visión y en
las metas de la empresa, entonces se logran asegurar los objetos y la información crítica, al
mejor costo y con un nivel de seguridad homogéneo y adecuado a los objetivos de la
empresa."
OBJETIVO
Son dos los objetivos de éste proyecto de tesis:
1. Obtener una guía para implantar infraestructura de seguridad en los Sistemas
Computacionales1, diseñada para analizar a la empresa desde sus procesos de
operación, hasta llegar al detalle de las herramientas de seguridad y control, ofreciendo
la visualización de esos procesos y de sus elementos, con identificación más clara de
sus riesgos y vulnerabilidades computacionales.
2. Posteriormente, será necesario demostrar la aplicabilidad de esta guía en una empresa,
diseñando una infraestructura de seguridad que proponga aplicar medidas de seguridad
integrales y coherentes a sus procesos, con un costo acorde a los niveles de seguridad.
El término genérico Sistema Computacional es usado en este documento para referirse, ya
sea a una aplicación principal, o aun sistema general de soporte. Este concepto se explica
a detalle más adelante en el capítulo 2.
Ing. Ricardo Jiménez Torres Pag. 2
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA
RESTRICCIONES
En este proyecto de tesis se propone una guía misma que se desarrolló contemplando
algunas limitaciones que se comentan a continuación:
1. Esta guía está dirigida a la microempresa, a la pequeña empresa y a la mediana
empresa2, específicamente a las dos últimas, ya que la gran empresa generalmente
cuenta con un departamento de seguridad, con un CSO (Chief Security Officer) ó con un
CIO (Chief Information Officer), los cuales tienen dentro de sus responsabilidades la de
administrar la seguridad de la empresa según afirma CIO Magazine [11], y las micro,
pequeñas y las medianas empresas no pueden solventar tales gastos. Sin embargo, para
la gran empresa, esta guía representará un marco de referencia y análisis para la
aplicación adecuada de seguridad a sus procesos.
2. Esta guía enfoca sus esfuerzos en analizar las necesidades de una empresa que tiene
como estrategia corporativa el e-commerce y el e-bussiness, de tal manera que la
empresa brinda servicios en línea a los clientes, a empleados y a los proveedores de la
organización. Esta restricción se plantea así ya que es la tendencia de mercadeo que se
espera a partir del año 2000 y con climax en el año 2005, según se ha comentado en las
conferencias de Gartner Group [20] y Meta Group [23] del año 1999. Por tanto el e-
commerce y el e-bussiness serán parte importante para el desarrollo de una propuesta
de seguridad de cualquier empresa en el futuro cercano, ya que la información estará
virtualmente al alcance de todo público.
La categorización de pequeña y mediana empresa se basa en la definición que hace la
SECOFI (Secretaría de Comercio y Fomento Industrial). Más adelante en el capítulo 2 se
comentará sobre esta clasificación de empresas.
Ing. Ricardo Jiménez Torres Pag. 3
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA
3. Durante el desarrollo de esta guía se han propuesto herramientas de segundad y control
para mitigar y/o eliminar riesgos y vulnerabilidades identificados. El alcance de esta
guía es únicamente mencionar dichas herramientas, sin profundizar en detalles de las
mismas, ni en el nombre comercial o el valor monetario. Sin embargo indica al lector
donde encontrar el detalle de las herramientas aquí mencionados.
4. El segundo objetivo de este proyecto de tesis es la aplicación de la guía en un Caso
Práctico. Para darle agilidad al avance de este proyecto de tesis, este objetivo fue
cubierto aplicando la guía a una sola empresa.
CONTRIBUCIÓN DE LA INVESTIGACIÓN
La contribución de este proyecto de tesis es la guía para implantar seguridad a los sistemas
computacionales de una empresa.
Actualmente existen metodologías separadas para efectuar procesos que en esta guía se
comentan. Pero, no existe ninguna metodología, guía o procedimiento que integre a todas
ellas, analizando a la empresa desde un punto de vista global y concluyendo con una
propuesta para mitigar los huecos de seguridad, con la firme certeza de que esta, es la mejor
opción desde el punto de vista técnico e inclusive en el aspecto económico.
Por tal motivo, la contribución principal de este proyecto de investigación es el integrar
todas estas metodologías existentes, en una sola y corroborar su eficacia aplicándola a un
caso práctico.
Ing. Ricardo Jiménez Torres Pag. 4
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA
CASO PRÁCTICO
La empresa a la que nos enfocamos en este trabajo es un Grupo Financiero, mismo que
desea habilitar los procesos de banca por Internet, en el corto plazo; y para lograr lo
anterior debe establecer una infraestructura de seguridad que permita garantizar la
confianza de sus procesos de negocios. La empresa que se va a analizar es: Grupo
Financiero AFIS. El nombre de esta empresa es ficticio, sin embargo el caso es real.
El Grupo Financiero AFIS quiere realizar un proceso de seguridad que le asegure que, por
lo menos, tiene el 80% de los riesgos y vulnerabilidades de seguridad cubiertos. Dentro de
los Capítulos 3 al 8 de esta tesis, se describen los puntos 6 que conforman la guía para
implantar seguridad a los sistemas de tecnología informática. Al final de cada uno de estos
capítulos, se incluye una sección llamada Caso Práctico. En esta sección se desarrollará el
avance de la investigación en Grupo Financiero AFIS correspondiente al material
expuesto en cada uno de los capítulos.
Cabe mencionar que, para el desarrollo de esta tesis, se firmó un Convenio de
Confidencialidad con Grupo Financiero AFIS, mismo que se muestra parcialmente en el
APÉNDICE A. Por tal motivo, parte de la información obtenida de la investigación, se
omite, proporcionando solo un reporte parcial al total de información obtenida.
PRODUCTO FINAL
El productofinal es una guía para implantar una infraestructura de seguridad en una
micro, una pequeña ó una mediana empresa, en la cual, una de sus estrategias corporativas
sea el Comercio Electrónico. El producto final de la investigación es una guía con diagrama
de flujo cíclico, como se muestra en la Figura 1.1. En esta figura se muestran los insumos
para cada etapa de la guía.
Ing. Ricardo Jiménez Torres Pag. 5
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA
GUÍA PARA IMPLANTAR SEGURIDAD A LOS SISTEMAS DE TI
Misión, Visión, Objetivos y Procesos
o Funciones del Negocio Procesos Críticos
Identificados
Sistemas Computacionales
Críticos Identificados
Ái MJS1S t>BL:
DE LAi IMPRESA
Nivel de Seguridad
"n" Deseado
Alternativa para el
Sistema de TI con un nivel
de seguridad "k".
Donde "k< n".
Aceptación
"k>n"
Características Específicas del
Sistema de T.I.
r1
COSTO,-BENEFICIO
Presupuesto
Disponible
Alternativa de
Solución
<
Elementos y
Componentes de
Seguridad
Rechazo de
Alternativa
Lista de Riesgos y
Vulnerabilidades
Genéricos
Probabilidades de que
los riesgos ocurran
y sus Efectos
Riesgos y
Vulnerabilidades
Calificados y ^
'riorizados
Riesgos y
Vulnerabilidades
Identificadas
Figura 1.1: Producto Final
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 6
CAPITULO 1 PLANTEAMIENTO DEL PROBLEMA
El modelo de la Figura 1.1, es cíclico y se divide en seis etapas, mismas que también
pueden ser representadas en una espiral con un eje coordenado asemejando la Metodología
de Espiral para el desarrollo de aplicaciones de software que expone Pressman [8]. Esta
representación se muestra en la figura 1.2.
Análisis de los
Sistemas de Tecnología
Informática
Identificación de
Riesgos y
Vulnerabilidades
ENTRECABLE
Análisis de los
Procesos de la
Empresa
Análisis de
Riesgos y
Vulnerabilidades
n
Análisis Costo •
Beneficio
Desarrollo de la
Propuesta de
Seguridad
Figura 1.2. Modelo de Espiral
El radio de la espiral representa el nivel de seguridad alcanzado hasta ese momento y los
documentos entregables se generan al finalizar un ciclo de la espiral. Cada entregable es
una propuesta para los sistemas de tecnología informática que garantiza un Nivel de
Seguridad (n).
En este caso el documento entregable es la Propuesta de Seguridad. Para el Caso Práctico
de esta investigación de tesis, la propuesta integral de seguridad para Grupo Financiero
AFIS se muestra en el APÉNDICE E.
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
,7
CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA
A continuación se describen brevemente los 6 puntos básicos de esta guía:
1. Análisis de los Procesos de la Empresa: En este punto se analizarán globalmente los
procesos de la empresa, con el fin de identificar aquellos que más aportan a la
realización de la misión y visión de la empresa, y especialmente se buscará identificar a
los procesos en donde el buen funcionamiento de los sistemas computacionales es
esencial. Con el fin de identificar los procesos críticos que manejan información crítica
para el negocio, para cada proceso y sub-procesos trascendentes que lo conforman, se
analizarán los flujos de información, así como su impacto hacia otros procesos.
2. Análisis del Sistema de Tecnología Informática: En este punto se recaudará toda la
información referente a los sistemas computacionales de la empresa, esto con el fin de
conocer sus características y poder iniciar la identificación de riesgos y
vulnerabilidades. Al final se efectuará un análisis para descubrir a los sistemas
computacionales críticos que más aportan la realización de la misión y visión del
negocio.
3. Identificación de Riesgos y Vulnerabilidades Computacionales: Para lograr la
identificación, se propondrán varia técnicas para analizar a cada uno de los sistemas
computacionales críticos encontrando los riesgos y las vulnerabilidades que poseen.
4. Análisis de Riesgos y Vulnerabilidades Computacionales: Para cada riesgo y
vulnerabilidad identificado se listarán y agruparán los riesgos y vulnerabilidades de
cada sistema computacional; luego, se asignará una probabilidad de que el riesgo y/o
vulnerabilidad ocurra y para cada uno de ellos se medirá el alcance de los daños si
llegaran a ocurrir.
Ing. Ricardo Jiménez Torres Pag. 8
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA
5. Desarrollo de la Propuesta de Seguridad: Partiendo del análisis de riesgos y
vulnerabilidades, de acuerdo al impacto de cada uno de estos y al nivel de seguridad
deseado, se desarrollará una propuesta de seguridad para los sistemas de tecnología
informática de la empresa, identificando los objetos críticos a asegurar. En esta
propuesta se incluirán las herramientas de seguridad y control que mitiguen o eliminen
los riesgos y vulnerabilidades.
6. Análisis Costo - Beneficio de la Propuesta de Seguridad: En este punto se analizarán
el costo de comprar e implementar las herramientas de seguridad y control resultado de
la propuesta de seguridad, contra el costo de la pérdida o de la degradación de los
objetos críticos del sistema computacional, por causa de que algún riesgo o
vulnerabilidad se suscitó. Se compararán ambos costos y se aceptará o se rechazará la
propuesta de seguridad, terminando el proceso, si hay algún beneficio significativo, ó
regresando al punto anterior, en caso contrario.
Al final de haber finalizado los 6 puntos, se evaluará la propuesta elegida y se estimará el
nivel de seguridad obtenido contra el deseado. El proceso podrá ser iterativo en caso de que
el nivel de seguridad obtenido sea menor al deseado.
Ing. Ricardo Jiménez Torres Pag. 9
Maestría en Tecnología Informática
Diciembre de 2000
CAPITULO 2
Marco Teórico
CAPÍTULO 2 MARCO TEÓRICO
Según lo comentado en el capítulo anterior, en este proyecto de tesis se propondrán 6
puntos básicos, con el fin de identificar, analizar y mitigar los riesgos y vulnerabilidades de
los sistemas computacionales de una empresa. La guía se compone de los siguientes puntos:
1. Análisis de los procesos de la empresa.
2. Análisis del sistema de tecnología informática
3. Identificación de riesgos y vulnerabilidades computacionales.
4. Análisis de riesgos y vulnerabilidades computacionales.
5. Diagnóstico de seguridad.
6. Análisis costo-beneficio de la propuesta de seguridad.
Los conceptos usados en cada uno de estos puntos, son los que a continuación haremos
referencia:
1. ANÁLISIS DE LOS PROCESOS DE LA EMPRESA.
De acuerdo a la SECOFI (Secretaría de Comercio y Fomento Industrial) de México [28],
la cual es una secretaría gubernamental mexicana, "las empresas son las unidades de
producción y comercialización de bienes y servicios. En la empresa se reúnen y organizan
los diversos factores económicos con la perspectiva de alcanzar determinados objetivos."
De acuerdo al decreto en el Diario Oficial de la Federación, de fecha 30 de marzo de
1999, las empresas se clasifican únicamente por el número de empleados y no por el total
de los ingresos anuales y es de la siguiente forma:
Clasificación Industria Comercio Servicio
Oa 30*
31 a 100*
101 a 500*
501 en Adelante*
Oa5*
6 a 20*
21 a 100"
101 en Adelante*
Oa20*
21 a 50*
51 a 100*
101 en Adelante*
Tabla 2.1: Categorización de Empresas
Empleados
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 11
CAPÍTULO 2 MARCO TEÓRICO
Una empresa tiene una visión, misión y objetivos. Armenia [3] comenta que, "La Misión
de la Empresa son el conjunto de Objetivos trazados que deben estar enfocados a ayudara
la compañía a lograr su Visión. La visión es algo a donde la empresa desea llegar a largo
plazo. Una misión ayuda a lograr esa visión que la empresa pretende. Los Objetivos son
aquellos los cuales están apoyados con las fuerzas de la empresa y están alineados con las
oportunidades de la industria".
Ahora bien, segúnlas restricciones mencionadas en el Capítulo 1, esta guía enfocará sus
esfuerzos en analizar las necesidades de una empresa, que tiene como estrategia corporativa
el e-commerce y el e-business. El sitio de Web Whatls.Com [30], define "e-commerce
(electronic commerce) como la compra y venta de bienes y servicios usando Internet,
especialmente el World Wide Web." De la misma fuente sabemos que, "e-business
(electronic business), es el conducir los negocios de una empresa en Internet, no solo la
venta y la compra, sino también el servicio a clientes y a proveedores, e inclusive la
interacción con otros negocios."
Por otro lado, en este punto de la guía se analizarán globalmente los procesos de una
empresa. Armenia [3] afirma que: "Un proceso es una serie de tareas o pasos que recibe
entradas (materiales, información, gente, máquinas, métodos) y produce una salida
(productos físicos, información o un servicio) diseñado para ser usado para un propósito en
específico por el receptor para quien la salida es producida."
Entradas o
Insumas
PROCESO A
Ejecución de la acción A I S SalLSalidas
Figura 2.1. Definición de Proceso
Armenia [3] asegura que, "un Proceso Crílico es aquel que aporta al producto final un
valor y que ayuda a lograr la misión, siendo parte fundamental de su realización." En este
Ing. Ricardo Jiménez Torres Pag. 12
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 2 MARCO TEÓRICO
caso nos enfocaremos a los procesos del negocio que aportan más a los objetivos del
negocio. Sin embargo, como comenta Armenia [3], es conveniente marcar la diferencia
entre un proceso y una tarea o función: "Un proceso es una serie de tareas o funciones que
ocurren en secuencia para producir un producto o servicio de salida."
2. ANÁLISIS DEL SISTEMA DE TECNOLOGÍA INFORMÁTICA
Según el NIST (National Institute of Standards and Technology) [24], "El término
genérico Sistema Computacional es usado en este documento para referirse ya sea a una
aplicación principal o aun sistema general de soporte."
Según la misma fuente, "Una Aplicación Principal son los sistemas que desempeñan
funciones claramente definidas para las cuales hay necesidades y consideraciones de
seguridad fácilmente identificables. Una aplicación principal debe comprender muchos
programas individuales, hardware, software, y componentes de telecomunicaciones. Estos
componentes pueden ser aplicaciones de software sencillas o una combinación de
hardware/software enfocada en soportar una función específica."
De igual forma "Un Sistema General de Soporte son los recursos interconectados bajo el
mismo medio de control directo que comparten funciones comunes. Un sistema general de
soporte normalmente incluye hardware, software, información, datos, aplicaciones,
comunicaciones, facilidades, y gente, además provee soporte a una variedad de usuarios
y/o aplicaciones."
Una aplicación principal puede correr en un sistema general de soporte. Todas las
aplicaciones y sistemas deben ser protegidos por propuestas de seguridad del sistema si
están definidos como aplicación principal o sistema general de soporte. No se requieren
propuestas específicas de seguridad para otras aplicaciones ya que los sistemas generales de
soporte en los cuales operan proveen controles de seguridad para esas aplicaciones
menores.
Ing. Ricardo Jiménez Torres Pag. 13
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 2 MARCO TEÓRICO
El NIST [24] también afirma que "El Propietario del Sistema es responsable de definir
los parámetros de operación, funciones autorizadas, y requerimientos de seguridad del
sistema. El Propietario del Sistema es responsable de asegurar que la propuesta de
seguridad sea preparada e implementada efectivamente." La Propuesta de Seguridad deberá
reflejar responsabilidades para varios individuos concernientes al sistema, incluyendo
usuarios funcionales finales, Propietarios de la Información, el Administrador del Sistema,
y el Administrador de la Seguridad del Sistema.
A continuación se lista una descripción de cada fase del Ciclo de Vida. Hay muchos
modelos para el ciclo de vida de un sistema de tecnología informática, según Colouris [4],
pero básicamente todos contienen las siguientes fases: Iniciación, desarrollo/adquisición,
implementación, operación, y desecho.
• Fase de Iniciación: durante esta fase, se expresa la necesidad del sistema y se
documenta su propósito. Se lleva a cabo una medición de la sensibilidad de la
información que en el sistema será procesada y del sistema en sí.
• Fase de Desarrollo/Adquisición: en esta fase, se diseña el sistema, se compran sus
componentes, se programan sus aplicaciones, se desarrolla en su totalidad, o en otras
palabras se construye. Esta fase consiste en otros sub-ciclos, tales como ciclo de
desarrollo del sistema y ciclo de adquisición.
• Fase de Implementación: en esta fase, se deben de instalar, configurar, habilitar y
evaluar los elementos de seguridad del sistema.
• Fase de Operación/Mantenimiento: durante esta fase, el sistema desempeña su
trabajo. El sistema es modificado frecuentemente debido al agregado de hardware y
software, y por otro gran número de eventos.
• Fase de Desecho: La fase de desecho de un sistema de tecnología de información
implica el desecho de información, hardware, y software.
Ing. Ricardo Jiménez Torres Pag. 14
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 2 MARCO TEÓRICO
3. IDENTIFICACIÓN DE RIESGOS Y VULNERABILIDADES
COMPUTACIONALES.
Nos referimos a Activos del Sistema Computacional (hardware, software y datos), que
son vulnerables o que corren riesgos dentro del sistema computacional y que tienen un
valor importante ya que apoyan a la realización de una meta de la empresa dentro de un
proceso crítico, de acuerdo a lo comentado en el sitio de Web del 14 [21].
Según el ASC (Área de Seguridad en Cómputo de la UNAM) [13], "un Riesgo es la
posibilidad de que un intruso pueda tener éxito al tratar de accesar de manera ilegal un
activo del sistema computacional, o la posibilidad de que un sistema degrade su desempeño
en la operación, por causas no previstas."
Mientras que, de acuerdo al ASC [13], "una Vulnerabilidad esencialmente significa la
forma de cuan protegida está el hardware, la red o la aplicación, de cualquier ataque
externo para ganar acceso ilegal a ella, y de la forma de cuan protegida se encuentra de
alguien dentro de la misma red que intencional o accidentalmente da la oportunidad de
obtener acceso ilegal o causar cualquier otro daño."
Básicamente un riesgo es una posibilidad que siempre existirá y que únicamente podrá ser
mitigada; mientras que una vulnerabilidad es un problema específico del sistema
computacional que puede ser arreglado en su totalidad o parcialmente mediante métodos
técnicos.
El ASC [13] por último hace la anotación que, también es útil identificar de que eventos
debemos proteger a los datos:
• Actos Accidentales: Eventos no deseados (Errores y omisiones.)
• Actos Deliberados: Eventos no autorizados (Fraudes y abusos.)
Ing. Ricardo Jiménez Torres Pag. 15
Maestría en Tecnología Informática
Diciembre de 2000 5 81 8 6 B
CAPÍTULO 2 MARCO TEÓRICO
4. ANÁLISIS DE RIESGOS Y VULNERABILIDADES COMPUTACIONALES.
A continuación se explicarán los conceptos que ayudan a medir los riesgos y a evaluarlos
según la Revista TSEPM [12], mismos que serán usados en lo que resta de esta sección:
. Probabilidad de Riesgo: es la probabilidad de que el riesgo ocurra. Esta tiene un rango
teórico de R = (0,1), pero "O" y "1" no están considerados dentro de este rango.
• Impacto del Riesgo: es la consecuencia que tendrá un riesgo si ocurre. Este impacto
puede ser expresado en varias formas, R = [O, 1], donde "1" es el máximo de los
impactos y "O" el mínimo de ellos.
• índice de Riesgo (R¡): es el producto de la probabilidad de que un riesgo ocurra y su
impacto sobre el sistema y el negocio.
D _ D * D
i impacto probabilidad
Ecuación 2.1:índice de Riesgo.
• Riesgo Total del Sistema: es la suma de los índices de riesgo para un área de la matriz
de Riesgos o para el sistema en general.
Rsistema
Ecuación 2.2: Exposición a Riesgos.
5. DESARROLLO DE LA PROPUESTA DE SEGURIDAD.
Según Pfleeger [6], los Objetivos de Segundad a cubrir en toda propuesta de seguridad
son tres, mismos que deben ser tomados en cuenta para efectuar un diagnóstico de
seguridad. Estos objetivos aplican a datos y a servicios de acceso a recursos
computacionales, y son los siguientes:
• Confidencialidad: Significa que los activos del sistema computacional solo son
accesibles por las partes autorizadas. A la confidencialidad también se le llama secrecía
o privacidad. Solo personal autorizado puede ver datos protegidos.
Ing. Ricardo Jiménez Torres Pag. 16
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO! MARCO TEÓRICO
. Integridad: Significa que los activos pueden ser modificados solo por las partes
autorizadas o solo por los medios autorizados. Las modificaciones incluyen escritura,
cambios, cambios de estatus, borrar y crear.
. Disponibilidad: Significa que los activos están accesibles por las partes autorizadas. A
las partes autorizadas no se debe prevenir cuando accesen sus objetos si tienen derecho
legítimo. La disponibilidad generalmente es conocida por su opuesto: daño de servicios
(denial of services).
Según el NIST [24], "la Administración de Controles de Seguridad se enfoca en la
gestión de la seguridad del sistema de cómputo y el manejo de los riesgos y
vulnerabilidades del sistema. Los tipos de medidas de control deberán ser consistentes con
la necesidad de proteger aplicaciones principales o sistemas generales de soporte". Los
elementos a administrar son los activos del sistema computacional y las herramientas de
seguridad y control. Por otro lado, una Herramienta de Seguridad y Control es aquel
elemento que ayuda a mitigar un riesgo y/o vulnerabilidad que afecta a algún activo del
sistema computacional.
Sobre la base de los resultados del Análisis de Riesgos y Vulnerabilidades se debe
identificar aquellos que exponen más al sistema de acuerdo a la valoración. Para mitigar y/o
eliminar estos riesgos será necesario implementar controles. Según el EDS [18], una
Herramientas de Seguridad y Control podrán ser de dos tipos:
• Controles Operativos: éstos atañen métodos de seguridad que se enfocan en
mecanismos que en esencia se implementan y ejecutan por personas (opuestamente a
los sistemas.) Éstos se componen a su vez de procesos y políticas:
- Procesos: Son el conjunto de acciones llevadas a cabo para dar mantenimiento al
hardware y software de los sistemas, para hacer operaciones de respaldo y
revisiones de seguridad.
- Políticas: Son reglas de acción que especifican las metas de seguridad de la
organización, según el Stanford Research Institute [28], en dónde recae la
responsabilidad de la seguridad y dónde se localiza seguridad en la estructura
Ing. Ricardo Jiménez Torres Pag. 17
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO! MARCO TEÓRICO
organizacional. Estas políticas, además, deben especificar claramente a "quien" se
le permite el acceso, a "que" recursos y "como" se regulará el acceso.
• Controles Técnicos: Son controles de seguridad que el sistema en sí ejecuta. Estos
controles proveen protección automatizada a accesos no autorizados o a abusos,
facilitan la detección de violaciones de seguridad, y soportan los requisitos de seguridad
de las aplicaciones y los datos. La implementación de controles técnicos, de cualquier
manera, siempre requiere de consideraciones operacionales significativas y deben de ser
consistentes con el manejo de seguridad dentro de la organización.
6. ANÁLISIS COSTO - BENEFICIO DE LA PROPUESTA DE SEGURIDAD.
A continuación se listan los conceptos generales de un Análisis Costo - Beneficio (ACB.)
Según el Center for Information Technology at the National Institutes of Health (CIT-
NIH) [16], " Los Costos son la cantidad de inversión monetaria requerida para adquirir las
herramientas de Seguridad y Control, y el gasto medido en inversión monetaria y horas
hombre necesario para implementar dichas herramientas en el sistema computadonal."
Por otro lado, el (CIT-NIH) [16] afirma que, "Los Beneficios son los servicios,
capacidades, y calidades de cada alternativa de sistema, y puede ser visto como el retorno
de la inversión. El periodo de retorno de la inversión en el sistema es de 10 años. Los
beneficios que pueden ser evaluados con un valor actual o aproximados se llaman
beneficios tangibles. Los Beneficios que no pueden ser asignados a un valor monetario se
llaman beneficios intangibles."
Ing. Ricardo Jiménez Torres Pag. 18
Maestría en Tecnología Informática
Diciembre de 2000
CAPITULO 3
Análisis de los Procesos de
la Empresa
CAPÍTULOS ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
Como ya se comentó en el Capítulo 1, en el Análisis de los Procesos de la Empresa se
analizan globalmente los procesos, con el fin de identificar aquellos que son críticos, puesto
que son esenciales para lograr las metas que conducirán a la empresa a lograr su misión. De
tal manera que al identificar los procesos críticos, es posible enfocar los esfuerzos en el
análisis de seguridad computacional de estos. Con el fin de identificar los procesos que
manejan información crítica, se analizarán la visión, misión y los todos los procesos de la
empresa.
NIVEL DESEADO DE SEGURIDAD (n)
Esta guía pretende mitigar o eliminar los riesgos y vulnerabilidades presentes en los
sistemas de tecnología informática en un Nivel Deseado de Seguridad (n), mismo que
deberá estar en el rango de [0..1]. Este índice se deberá obtener de acuerdo a la criticidad de
la información manejada en los sistemas de TI y a la misión de la empresa. Por ejemplo si
la empresa quiere cubrir el 70% de los riesgos y vulnerabilidades presentes en su sistema,
entonces n= 0.7. Recordando el Modelo de Seguridad en Espiral expuesto en el Capítulo
1, en cada iteración se pretenderá mejorar el valor de n obtenido en el ciclo anterior. Pero,
para la primera iteración, ya que desconocemos el nivel de seguridad de nuestro sistema de
tecnología informática, será difícil valorar el nivel deseado de seguridad inicial. En este
caso será válido comenzar con un valor de n pequeño, de tal manera que cualquier mejora
al sistema satisfaga esta condición. Sin embargo, se recomienda que este índice no rebase el
límite inferior del 0.6 (60% de Seguridad). Si se desea iterar nuevamente después de haber
obtenido un entregable o Propuesta de Seguridad, el nivel de seguridad deseado deberá de
ser necesariamente mayor al nivel deseado de la iteración anterior. Es decir, si estamos en
la iteración número i:
nt-i< KÍ< Hi+1 P^a H¡ ~ 0.6
,donde i es el número de la iteración actual.
Ecuación 3.1
Ing. Ricardo Jiménez Torres Pag. 20
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
ANÁLISIS DE LA MISIÓN
Ya que el único insumo que tenemos al inicio de esta guía es la Visión, será necesario
realizar un Análisis de la Misión de la Empresa, esto con el fin de identificar a los
procesos críticos de acuerdo a s aportación a la realización de la misión. Según se muestra
en la Figura 3.1, la misión es dividida en impulsores, cada impulsor tiene sus propias
metas, cada meta tiene sus objetivos y cada objetivo tiene registrados cuales procesos están
involucrados, según comenta Armenia [3]. Con esta cadena se puede identificar la
aportación de cada proceso para el logro de la misión de la empresa.
Misión ;>Impulsores> Metas > Objetivos^} Procesos
Figura 3.1: Análisis de la Misión de la Empresa
Para realizar esto es necesario, primeramente, detectar las grandes áreas en las que se divide
la misión, mismas que definen a los impulsores. Los impulsores son los enunciados que
definen a la misión. Cada uno de estos impulsores marca diferentes áreas deacción y como
consecuencia diferentes metas a lograr. Cada meta a su vez, es alcanzada mediante la
resolución de uno o varios objetivos. Y cada uno de estos objetivos es alcanzado mediante
la ejecución de uno o varios procesos críticos. Por tal motivo, es necesario enunciar, la
misión, sus impulsores, las metas de cada impulsor, los objetivos para cada meta y los
procesos involucrados la resolución de cada objetivo.
PRESENTACIÓN DE LOS PROCESOS DE LA EMPRESA
Posteriormente será necesario hacer una Presentación de los Procesos de la Empresa.
Esta presentación será en forma de red de procesos. De tal manera que la visualización de
ellos sea más clara y fácil de analizar. Dentro de esta red se indicará la entrada y salida de
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 21
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
cada proceso. Para registrar la información se utilizará una matriz, esta matriz ayuda para el
manejo de información y su almacenamiento.
Futrada PrwwHniicnlo Salida Proceso
Información • Tareas
• Funciones
Producto Manufactura
Figura 3.2: Forma de Red Tabla 3.1: Forma Matricial
Esta es la forma en la que se pretende mostrar la conexión entre cada proceso. Cuando una
información, dato, servicio, etc... se aplique dentro del proceso, y quien la genera, no está
dentro de este proceso, su indicación se verá representada por medio de una nube. De la
misma forma se representará cuando la información que se genere sea transmitida hacia
otro proceso.
RESUMEN DE PROCESOS
Para poder hacer un análisis completo de cada proceso es necesario tener toda la
información acerca de él, haciendo un Resumen de Procesos. Esta información se obtiene
de los análisis anteriormente hechos dentro del prototipo. Es importante dar la información
precisa y real de cada proceso porque todo eso puede influir en un cambio, eliminación o
unión con otro proceso. En el resumen de procesos se deben de cubrir las siguientes
características: objetivos que los apoya, metas que ayuda a lograr, sus conexiones con otros
procesos y su Valor Crítico.
IDENTIFICACIÓN DE PROCESOS CRÍTICOS DE LA EMPRESA
Enseguida, será necesario la Identificación de Procesos Críticos de la Empresa. Para esto
usaremos una herramienta llamada Pair-Wise. La comparación "Pair-Wise", según Porter
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 22
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
[7], es una matriz en la cual los procesos se colocan en sus renglones y columnas, y en la
esquina superior izquierda se coloca sobre qué se logrará la comparación. El proceso de
comparación sigue el concepto de Análisis de Procesos Jerárquicos (Analytic Hierarchy
Process) con respecto a su peso e intensidad. En la matriz, se inicia con el elemento de la
izquierda y se pregunta que tan importante es sobre el elemento listado en la columna de
arriba. Cuando se compara con ellos mismos el rango siempre será uno. Cuando es
comparado con otro elemento, y si este es más importante que el otro elemento, entonces
tiene un valor entero sobre la escala 1-9 (ejemplo 3) y el otro tendrá un valor recíproco
(ejemplo 1/3 = 0.333).
Misión
'Plf i
0.1111
0.5
0.25
Mayor
que K
Tabla 3.2: Matriz "Pair-Wise"
Se establece un límite k, para los procesos cuya criticidad sea mayor a este valor, se
supondrá que son procesos críticos y el análisis se enfocará en ellos, descartando los el
resto de los procesos (no críticos). La escala utilizada para la evaluación de procesos es
definida en la tabla siguiente. Se describe el valor, su significado y una explicación breve.
Intensidad
déla Definición Explicación
importancia
1
3
5
7
9
2,4,6,8
Recíprocos o
números no ceros
Igual Importancia.
Moderada importancia de uno sobre otro.
Esencial o fuerte importancia
Importancia relevante
Extremadamente importante
Valor intermedio entre los dos juicios
Si una actividad tiene el número entero (3) comparado con otra
actividad, entonces la segunda actividad tiene el valor recíproco
(1/3) cuando es comparado con el primero.
Dos actividades contribuyen igualmente al
objetivo
Experiencia y un ligero juicio a favor tiene
una actividad sobre otra.
Experiencia y un fuerte juicio favorece y es
dominante.
Es evidente que una actividad es
fuertemente favorecida y es dominante.
Es evidente que una actividad sobre otra es
más alta.
Donde el compromiso en necesario.
Tabla 3.3: Evaluación de procesos
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 23
CAPÍTULOS ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
CASO PRÁCTICO
• ANÁLISIS DE LOS PROCESOS DE GRUPO FINANCIERO AFIS -
Grupo Financiero AFIS, es una sociedad mexicana tenedora de las acciones de un grupo
de empresas dedicadas a la prestación de servicios financieros, donde participa un grupo de
accionistas con amplia experiencia financiera, industrial y comercial. Esta empresa, se
integra formalmente en Octubre de 1993 en la ciudad de Monterrey, Nuevo León, México.
Grupo Financiero AFIS se compone de las siguientes entidades financieras:
• Factoraje AFIS, Empresa de Factoraje financiero, constituida formalmente en
Diciembre de 1988.
• Almacenadora AFIS, Nace a fines de 1989 y, su actividad consiste en prestar servicios
de almacenaje, guarda y conservación de bienes.
• Arrendadora AFIS, Conformada hacia fines de 1989, y su objeto radica en prestar
servicios de arrendamiento financiero.
• Banca AFIS, Institución de Banca Múltiple, cuya incursión al sector de servicios
financieros se inicia en Enero de 1995. En esta se constituye el eje operativo del grupo.
• Seguros AFIS, Es la entidad más joven del Grupo Financiero iniciando operaciones en
Abril de 1998 en los ramos de daños y vida.
Nivel de Seguridad Deseado para los Sistemas de TI: Ya que no sabemos el nivel de
seguridad del sistema y tomando en cuenta que es la primera iteración (i=l), suponemos
que se desea cubrir un 80% de los riesgos y vulnerabilidades presentes en su sistema de
tecnología informática. Según nuestra metodología definimos:
n=0.8
Sin embargo, según el Bank Administration Institute [14], el nivel mínimo de seguridad
recomendado para una institución financiera es de 99.5%. Así que, sobre la base de lo
anteriormente visto, comenzaremos a analizar el caso de Grupo Financiero AFIS,
exponiendo al análisis su Visión y Misión Empresarial.
Ing. Ricardo Jiménez Torres Pag. 24
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
Visión de Grupo Financiero AFIS
Grupo Financie!o APIS con laTeosofía de brindar un servicio
extraordinario en tiempo y forma al ofrecer productos y servicios
financieros de la más alta calidad tecnológica, estará orientado a ampliar
día a día su base de clientes y posicionarse con firmeza en las regiones.
Grupo Financiero AFIS se encuentra respaldado por una estructura de accionistas, todos
ellos empresarios comprometidos con México y con vocación de servicio; Diversificados
en ramas o sectores económicos como: producción y distribución de acero y derivados,
industria alimentaria, transportación, productos derivados del petróleo, industria de la
construcción.
'̂ Misión de Grupo Financiero AFIS
Consolidar un mercado financiero que responda principalmente a las
necesidades de pequeños y medianos inversionistas, así como las personas
físicas, facilitando y administrando los recursos de manera eficiente y
personalizada y a través de Centros de Negocios se conduzca la confianza
depositada nacía la concretízación de créditos que seencuentten
distribuidos en sectores económicos estrábicos con una adecuada
diversificación de riesgos.
Ing. Ricardo Jiménez Torres Pag. 25
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
Análisis de la Misión de Grupo Financiero AFIS
Impulsores de la Misión: Analizando la Misión y Visión del Grupo Financiero AFIS,
nosdamos cuenta que la empresa pretende ampliar su base de clientes y posicionarse con
firmeza en las diversas regiones del país. Y que para lograr esto necesita consolidar un
mercado financiero que responda a las necesidades de pequeños y medianos inversionistas,
así como las personas físicas. Por tal motivo nos damos cuenta que el interés primordial de
la empresa es, eventualmente, brindar servicios a un grupo de clientes más amplio que el
actual, y que durante el desarrollo de la Misión se buscará mejorar la calidad y la rapidez en
el servicio.
Metas Organizacionales de Grupo Financiero AFIS
Grupo Financiero AFIS desea habilitar los procesos de Banca por Internet en el corto
plazo, para así buscar ampliar la cartera de clientes, brindando mejor calidad y rapidez en el
servicio. Para lograr lo anterior debe establecer una arquitectura de seguridad que permita
garantizar la confianza de sus procesos de negocios.
Grupo Financiero AFIS ha tomado la decisión de independizar su acceso a Internet del
servicio que se le provee y al cual ha estado unido desde sus inicios mediante el sistema de
TI.
Objetivos Organizacionales de Grupo Financiero AFIS: Como objetivos principales, las
operaciones de Grupo Financiero AFIS se resumen en:
• Intensificar la consecución de metas en operaciones pasivas, centrando sus esfuerzos de
promoción en el nicho de mercado definido y observando el otorgamiento de créditos,
asegurando éstos contra cualquier contingencia razonable.
Ing. Ricardo Jiménez Torres Pag. 26
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
• En operaciones activas como pasivas, guardar una adecuada distribución de tamaños,
valores y sectores económicos, para con ello mantener una razonable distribución de
riesgos y buscando finalmente mantener la filosofía del Grupo: propiciar una relación a
largo plazo con nuestros clientes.
• Habilitar los procesos de banca electrónica a través de Internet en el corto plazo, para
así buscar ampliar la cartera de clientes, brindando mejor calidad y rapidez en el
servicio.
• Hacer que los Sistemas de Tecnología Informática sean una herramienta que apoyan a
mejorar la calidad y rapidez en el servicio.
A partir de 1997, Grupo Financiero AFIS realiza fuertes compromisos de crecimiento en
la búsqueda por consolidar su mercado meta, haciendo presencia en las principales
ciudades del país.
Ing. Ricardo Jiménez Torres Pag. 27
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
RESUMEN DE PROCESOS DE GRUPO FINANCIERO AFIS
Entrada Procedimiento Salida Proceso 1
• Información
otorgamiento de los
diversos servicios.
• Investigaciones de
mercado
• Información de la
tesorería del grupo.
• Datos para
presupuestos
anuales.
• Información
contable y
financiera para la
toma de decisiones.
• Solicitudes de
crédito
• Documentos,
contratos y
• Dirigir la promoción y concertación de las operaciones crediticias,
de captación de recursos y otorgamiento de los diversos servicios.
Así como la supervisión y control de centros de negocio
• Promover, realizar y controlar los diversos servicios fiduciarios.
• Responsable de la promoción, concertación y servicios de la
arrendadora, factoraje, almacenadora y enlace comercial. Así como
de las áreas de tarjeta de crédito, mercadotecnia, banca electrónica
y demás áreas de negocio del grupo financiero.
• Promoción de los productos de Banca - Seguro.
• Administrar los flujos de la tesorería del grupo, estableciendo las
políticas financieras para asegurar la correcta y rentable aplicación
de los recursos y la toma de decisiones oportunas para el
aprovechamiento de oportunidades de negocio financiero en todas
las empresas del grupo.
• Controlar las operaciones de compraventa de divisas.
• Gestionar y formalizar el establecimiento de líneas de crédito y de
operación con fondos de fomento e instituciones financieras
nacionales y extranjeras.
• Información a autoridades, a las diferentes asociaciones y centros
bancarios, a los comités internos y al consejo de administración.
• Coordinar la elaboración de los presupuestos anuales y su
seguimiento.
• Elaborar la información contable y financiera necesaria para la
toma de decisiones.
• Definir las políticas, procedimientos y reglas de operación que
regulan el trámite y otorgamiento de los créditos a fin de mantener
una cartera sana y rentable.
• Análisis y Evaluación de solicitudes de crédito y su
• Productos
Bancarios.
• Servicios
fiduciarios.
• Servicios de la
arrendadora,
factoraje,
almacenadora y
enlace comercial.
• Servicio de
Administración de
flujos de la
tesorería.
• Servicio de
compraventa de
divisas.
• Servicio de
Información a
autoridades.
• Información
contable y
financiera para la
toma de
decisiones.
• Políticas,
procedimientos y
reglas de
operación de
PROCESO
DE
NEGOCIOS
PROCESO
DE
FINANZAS
Y
PLANEACIÓN
PROCESO
DE
CRÉDITO
Y
TRÁMITES
JURÍDICOS
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Pag. 28
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
garantías de crédito.
• Innovaciones
tecnológicas sobre
Informática y
Telecomunicación
es.
• Información sobre
recursos Humanos.
• Necesidades de
Recursos
Materiales.
• Normatividad de
Operaciones.
recomendación.
• Guardia y custodia de documentos, contratos y garantías de crédito.
• Mesa de control de operaciones crediticias.
• Seguimiento y actualización del manual de crédito.
• Recuperación extrajudicial y judicial del crédito.
• Elaborar y supervisar contratos, convenios y documentación donde
se asuman derechos y obligaciones con terceros.
• Dictaminación de escrituras públicas y poderes.
• Atención de oficios de autoridades con características contenciosas.
• Asesoría Jurídica interna y a terceros.
• Servicios empresariales corporativos a terceros en fusiones,
adquisiciones y otros.
• Desarrollo de los nuevos productos que requiera el mercado.
• Supervisar la ejecución de las operaciones activas, pasivas, así
como los procesos y procedimientos de operación de acuerdo a la
normatividad oficial.
• Atender y dar cumplimiento a las obligaciones fiscales de las
empresas del grupo y brindar la asesoría que requiera en materia
fiscal.
• Asegurar que las empresas del grupo dispongan de los
elementos necesarios como son: equipo de cómputo, soporte
técnico, servicio de telecomunicaciones, etc.
• Selección, capacitación y administración de las relaciones laborales
del personal.
• Administración de los recursos materiales y del mantenimiento a
los inmuebles. Así como de las adecuaciones a los mismos de
acuerdo a los criterios de imagen institucional.
• Servicios de Seguridad par salvaguardar al personal y bienes
del grupo.
créditos.
• Manual de crédito.
• Contratos,
convenios y
documentación de
derechos y
obligaciones con
terceros.
• Escrituras públicas
y poderes.
• Datos sobre
productos que
requiera el
mercado.
• Servicios de
Informática y
telecomunicación
es.
• Recursos
Humanos.
• Servicios de
Seguridad par
salvaguardar al
personal y bienes
del grupo.
• Políticas de
operación y
registro.
PROCESO
DE
ADMINISTRACIÓN
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 29
CAPITULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
PRESENTACIÓN DE LOS PROCESOS DE GRUPO FINANCIERO AFIS
8 /PROCESO DE^v
^V NEGOCIOS )
I
1/5
CONTROL DE LOS
CENTROS DE
NEGOCIO
CONTROL DE^X
SERVICIOS )
FIDUCIARIOS J
/OPERACIONES^
^v CREDITICIAS )
/"SERVICIOS DELA^X
( ARRENDADORA Y }
V ENLACE J
^^^COMERCIAi.̂ ^
CONTROL DE
TARJETAS DE
CRÉDITO
CAPTACIÓN
DE RECURSOS
PROMOCIÓN DE
PRODUCTOS DE
BANCA
MERCADOTECNIA \ BANCA
ELECTRÓNICA
oí.
«I
ROCESO DE
FINANZAS Y
PLANEACIÓN
ce
O
Vi
U
U
§a.
/ADMINISTRACIÓNt\
V. DE FLUJOS DE LA )
\_TESORERÍA^X
CONTROL DE
COMPRA Y VENTA
DE DIVISAS
GESTIÓN DE LINEAS
DE CRÉDITO
INFORMACIÓN A
AUTORIDADES, COMITÉS
INTERNOS Y CONSEJO DE
ADMINISTRACIÓN
ELABORACIÓN Y
SEGUIMIENTO DE
PRESUPUESTO
ANNUA1Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 30
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
PRESENTACIÓN DE LOS PROCESOS DE GRUPO FINANCIERO AFIS (2)
PROCESO DE
CRÉDITO Y
JURÍDICO
CONTROL DE
OPERACIONES
CREDITICIAS
SEGUIMIENTO Y
ACTUALIZACIÓN DEL
MANUALDE
CRÉDITO
ARCHIVO DE
DOCUMENTOS DE
CRÉDITO
RECUPERACIÓN
DE CRÉDITO
OTORGAMIENTO
DE CRÉDITOS
ELABORACIÓN Y
SUPERVISIÓN DE
CONTRATOS
ASESORÍA
JURÍDICA
f SERVICIOS ^v
I EMPRESARIALES )
PROCESO DE
ADMINISTRACIÓN
( DESARROLLO DE ̂ v
I NUEVOS )
X^^PRODUCTOS/
x^AD
( DE RECURSOS
>v MATERIALES
SUPERVISIÓN DE
OPERACIONES
ACTIVAS Y PASIVAS
SERVICIO DE
TELECOMUNICACIONES
E INFORMÁTICA
RECURSOS
HUMANOS
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 31
Esta página no está disponible 
 
Este mensaje se intercala en los documentos 
digitales donde el documento original en papel no 
contenía esta página por algún error de edición del 
documento. 
 
Al momento los creadores de este documento no 
han localizado esta página. 
 
 
Preguntas frecuentes: 
 
¿Qué puedo hacer? 
 
Ten por seguro que hemos informado al creador original del documento y estamos intentando reemplazar esta página. 
 
¿Quién convierte estos documentos a formato digital? 
 
Esta tarea se realiza por un grupo de personas que laboran en el proyecto de Biblioteca Digital. Nos esforzamos por convertir 
documentos originales a una versión digital fidedigna y comunicar a los creadores del documento original de estos problemas para 
solucionarlos. Puedes contactarnos visitando nuestra página principal en: 
 
 
 http://biblioteca.itesm.mx 
 
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
IDENTIFICACIÓN DE PROCESOS CRÍTICOS DE GRUPO FINANCIERO AFIS
Cabe mencionar que todo el análisis y ponderaciones que se muestran en esta sección fueron realizadas por personal de Grupo
Financiero AFIS de acuerdo a las ponderaciones marcadas en la Tabla 3.1.
LISTA DE PROCESOS Y SUB-PROCESOS
PROCESOS DE NEGOCIOS
Pl
P2
P3
P4
P5
P6
P7
P8
P9
CONTROL DE LOS CENTROS DE NEGOCIO
CONTROL DE SERVICIOS FIDUCIARIOS
OPERACIONES CREDITICIAS
CAPTACIÓN DE RECURSOS
PROMOCIÓN DE PRODUCTOS DE BANCA
SERVICIOS DE LA ARRENDADORA Y ENLACE
COMERCIAL
CONTROL DE TARJETAS DE CRÉDITO
MERCADOTECNIA
BANCA ELECTRÓNICA
PROCESO DE CRÉDITO Y JURÍDICO
P15 OTORGAMIENTO DE CRÉDITOS
P16 ARCHIVO DE DOCUMENTOS DE CRÉDITO
P17 ELABORACIÓN Y SUPERVISIÓN DE CONTRATOS
P18 CONTROL DE OPERACIONES CREDITICIAS
P19 ASESORÍA JURÍDICA
P20 SEGUIMIENTO Y ACTUALIZACIÓN DEL MANUAL DE
CRÉDITO
P21 SERVICIOS EMPRESARIALES
P22 RECUPERACIÓN DE CRÉDITO
PROCESO DE FINANZAS Y PLANEACIÓN
PÍO ADMINISTRACIÓN DE FLUJOS DE LA TESORERÍA
Pl 1 CONTROL DE COMPRA Y VENTA DE DIVISAS
P12 GESTIÓN DE LINEAS DE CRÉDITO
P13 COMUNICACIÓN INTERNA
P14 ELABORACIÓN Y SEGUIMIENTO DE PRESUPUESTO
ANNUAL
PROCESO DE ADMINISTRACIÓN
P23 DESARROLLO DE NUEVOS PRODUCTOS
P24 SUPERVISIÓN DE OPERACIONES ACTIVAS Y PASIVAS
P25 SERVICIO DE TELECOMINICACIONES E INFORMÁTICA
P26 RECURSOS HUMANOS
P27 ADMINISTRACIÓN DE RECURSOS MATERIALES
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Pag. 33
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
MATRIZ PAIR-WISE
* Los Procesos que logren un índice mayor que (k =) 80 unidades se considerarán procesos críticos.
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Pag. 34
CAPÍTULO 3 ANÁLISIS DE LOS
PROCESOS DE LA EMPRESA
PROCESOS CRÍTICOS IDENTIFICADOS PARA GRUPO FINANCIERO AFIS
Según la herramienta Pair-Wise, los procesos críticos son los que resaltan de la siguiente
lista de procesos.
PROCESOS DE NEGOCIOS
Pl CONTROL DE LOS CENTROS DE NEGOCIO
P2 CONTROL DE SERVICIOS FIDUCIARIOS
P3 OPERACIONES CREDITICIAS
P4 CAPTACIÓN DE RECURSOS
PS PROMOCIÓN DE PRODUCTOS DE BANCA SEGURA
P6 SERVICIOS DB LA ARRENDADORA Y ENLACE COMERCIAL
P7 CONTROL DE TARJETAS DE ("RÉDITO
P8 MERCADOTECNIA
i*> BANCA ELECTRONIC A
PROCESO DE FINANZAS Y PLANEACIÓN
PÍO ADMINISTRACIÓN DE FLUJOS DE LA TESORERÍA
Pi 1 CONTROL DE COMPRA V VENTA DE DIVISAS
Pl 2 GESTIÓN DE LINEAS DE CRÉDITO
P13 INFORMACIÓN A AUTORIDADES, COMITÉS INTERNOS Y CONSEJO DE ADMINISTRACIÓN
P14 ELABORACIÓN Y SEGUIMIENTO DE PRESUPUESTO ANNUAL
PROCESO DE CRÉDITO Y JURÍDICO
P15 OTORGAMIENTO DE CRÉDITOS
Pió ARCHIVO DE DOCUMENTOS DECRÉDiTO
P17 ELABORACIÓN Y SUPERVISIÓN DE CONTRATOS
P18 CONTROL DE OPERACIONES CREDITICIAS
P19 ASESORÍA JURÍDICA
P20 SEGUIMIENTO Y ACTUALIZACIÓN DEL MAN! ¡AL DE ('.'RÉDITO
P:i SERVICIOS EMPRESARIALES
¥22 RECUPERACIÓN DE CRÉDITO
PROCESO DE ADMINISTRACIÓN
P23 DESARROLLO DE NUEVOS PRODUCTOS
P24 SUPERVISIÓN DE OPERACIONES ACTIVAS Y PASIVAS
P25 SERVICIO DE TELECOMUNICACIONES E INFORMÁTICA
P26 RECURSOS HUMANOS
Cabe destacar que el proceso 25, correspondiente a las operaciones de informática y
telecomunicaciones es el proceso más crítico del Grupo Financiero AFIS, ya que soporta
a todos los otros procesos de manera importante. Literalmente todos los procesos del grupo
quedan paralizados sin el soporte de informática y las telecomunicaciones. También es
importante observar que de acuerdo a los objetivos de la empresa, el proceso 1,
correspondiente al control de los centros de negocio, efectivamente resulta ser un proceso
crítico. En cada proceso principal, se identifican los sub-procesos que lo soportan,
resultando el PROCESO DE ADMINISTRACIÓN el proceso principal más critico, ya
que contiene al proceso de telecomunicaciones e informática.
Ing. Ricardo Jiménez Torres Pag. 35
Maestría en Tecnología Informática
Diciembre de 2000
CAPITULO 4
Análisis del Sistema de
Tecnología Informática
f e
CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
REVISIÓN DE LOS SISTEMAS COMPUTACIONALES
En esta sección se realizará una exhaustiva revisión del sistema computacional en general,
con el fin de hacer un diagnóstico de posibles riesgos y vulnerabilidades, y proponer un
esquema de seguridad. Este análisis se guiará dependiendo de la etapa del ciclo de vida en
que se encuentre el sistema. Aunque una propuesta de seguridad puede ser desarrollada
para un sistema en cualquier punto de su ciclo de vida, lo que se recomienda es preparar un
plan de seguridad desde el inicio del ciclo de vida. Como comentábamos en el Capítulo 2,
en algunos casos, el sistema podrá estar al mismo tiempo en varias fases del ciclo de vida.
En esta sección, se debe(n) determinar la(s) fase(s) del ciclo de vida del sistema, o de parte
del sistema y se identifica como ha sido manejada la seguridad durante el ciclo de vida en
curso.
Posteriormente, será necesario definir los Límites y la Categoría del Sistema. Un sistema,
como lo definimos en esta guía, es identificado por límites lógicos que surgen alrededor de
un conjunto de procesos, comunicaciones, medios de almacenamiento, y recursos
relacionados. Los componentes del sistema no necesitan estar físicamente conectados. Los
elementos dentro de estos límites constituyen un solo sistema que requiere una propuesta de
seguridad. Cada elemento del sistema deberá:
• Estar bajo el mismo sistema de control directo;
• Tener el mismo objetivo o misión de función;
• Tener esencialmente las mismas características de operación y necesidades de
seguridad; y
• Residir en el mismo sistema operativo general.
El paso siguiente consiste en categorizar cada aplicación de software ya sea como
Aplicación Principal o como Sistema General de Soporte. Todas las aplicaciones
deberán ser protegidas por una propuesta de seguridad. Las aplicaciones serán protegidas
ya sea individualmente, en el caso de aplicaciones principales, o dentro de la propuesta de
Ing. Ricardo Jiménez Torres Pag. 37
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
seguridad del sistema general de soporte. Un sistema podrá ser categorizado como
aplicación principal siempre y cuando sea soportado por un sistema que a su vez a sido
previamentedesignado como sistema general de soporte.
Una vez reunida esta información, se procede con la Identifícación de cada Sistema. Para
ambos tipos de sistemas las propuestas de seguridad deben contener descripciones
generales con información respecto a quien es el responsable, el propósito, y el nivel de
sensibilidad del sistema. Los datos que se deben de reunir son los siguientes:
• Nombre/Título del Sistema: La propuesta para el sistema en partículas debe listar el
nombre y título del sistema o aplicación. A cada sistema/aplicación se le deberá asignar
un nombre o identificador único. Asignar un identificador único a cada sistema ayuda a
asegurar que los requerimientos de seguridad apropiados son implementados para cada
sistema, y que todos los recursos asignados son apropiadamente aplicados. El
identificador puede ser una combinación de caracteres numéricos y alfanuméricos, y
puede ser similar al nombre del sistema. El nombre/identificador único deberá
permanecer toda la vida del sistema para permitir monitorear la conclusión de los
requerimientos de seguridad a tiempo.
• Asignación de Responsabilidades de Seguridad: Un individuo deberá ser asignado
como responsable de llevar a cabo la implantación de la propuesta de seguridad en la
aplicación o el sistema general de soporte. En el caso práctico de esta tesis los nombres
de los responsables serán omitidos.
• Estatus Operacional del Sistema: Cada sistema se encuentra en uno o varios estatus
operacionales. Si más de un estatus es seleccionado, se debe identificar que parte del
sistema está en cierto estatus:
• Operacional — el sistema está operando.
• En desarrollo —el sistema está siendo diseñado, desarrollado o implementado.
• En curso modificaciones sustanciales — el sistema está siendo modificado
sustancialmente o en transición.
Ing. Ricardo Jiménez Torres Pag. 38
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
• Descripción del Propósito General: es necesario presentar una descripción breve de la
función y propósito del sistema. Si el sistema es un sistema general de soporte, se debe
listar todas las aplicaciones soportadas por el sistema general de soporte. Especificar si
la aplicación es o no una aplicación principal e incluir un nombre/identificador único,
cuando se aplique. Es necesario también describir cada función de la aplicación y la
información que procesa. Incluir una lista de usuarios que accesan la aplicación,
internos y externos al sistema, y una descripción general del tipo de información y
procesamiento que se le aplica.
• Entorno del Sistema: Provee una descripción técnica, breve y general del sistema.
Incluye factores ambientales o técnicos que implican riesgos, como por ejemplo:
o ¿El sistema está conectado a Internet?,
o ¿El software reside en una red abierta usada por el público en general?,
o ¿La aplicación es procesada por una facilidad fuera del control de la organización?, o
o ¿El mainframe general tiene líneas dial-up?.
• Interconexión del Sistema /Compartimiento de Información: es la conexión directa
de sistemas con el propósito de compartir recursos de información. La interconexión del
sistema, si no es apropiadamente protegida, puede comprometer a todos los sistemas
interconectados y a los datos que ahí se almacenen, procesen o transmitan. La propuesta
de seguridad sirve como un mecanismo para proteger el intercambio de información y
permitir la administración de los recursos reduciendo riesgos sin comprometer la
disponibilidad.
• Sensibilidad de la Información Manejada: En esta sección se documentan los tipos
de información manejada por el sistema y un análisis de la información crítica. La
sensibilidad y criticidad de la información almacenada, procesada, o transmitida por un
sistema provee una base del valor del sistema y es uno de los principales factores en él.
• Manejo de Riesgos: Se debe de especificar si existe algún esquema de manejo y
respuesta a riesgos y/o vulnerabilidades de seguridad, y como fue desarrollado.
Ing. Ricardo Jiménez Torres Pag. 39
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
• Controles Operativos: En esta sección se deben identificar los controles operativos o
normativos que se implementan en cada sistema de manera formal. Es decir que se
aplican, no de manera empírica, sino que este proceso esta documentado, en operación
y en auditoría frecuente. Algunas de estos controles incluyen los siguientes rubros:
1. Administración de Cambios: La administración de cambios es el proceso para
planificar, calendarizar, aplicar y dar seguimiento a todo tipo de cambio que se
realicen en el ambiente de producción.
2. Administración de Problemas: El objetivo es garantizar que un problema de
carácter técnico sea comunicado adecuadamente para obtener una solución
oportuna.
3. Control de Inventarios: Es un procedimiento en el cual se mantiene una base de
datos, de tal manera que en cualquier momento se puede saber exactamente cuantos
equipos se tienen en el sistema y de que tipo son cada uno de ellos.
4. Controles de Aplicaciones de Software: Estos controles son usados para
asegurarse que las aplicaciones sean desarrolladas siguiendo metodologías
certificadas de Ingeniería de Software. Y para asegurar que el mantenimiento
frecuente tanto de las aplicaciones propietarias como de las adquiridas.
5. Plan de Concientización: Este plan está dirigido a los empleados y tiene el
objetivo de hacer conciencia en los usuarios y propietarios de información crítica de
la enorme responsabilidad que se les está encomendando.
6. Plan de Contingencia y de Recuperación ante Desastres: Son procedimientos
que permiten al sistema continuar sus operaciones, aún y cuando ocurra un evento
inesperado.
7. Protección del Medio Ambiente Físico: Los controles para proteger el medio
ambiente físico son implementados para proteger el área física de los recursos del
sistema, a los recursos en sí, y a las facilidades usadas para soportar la operación del
mismo.
8. Respaldos de Servidores: Es necesario respaldar automáticamente los directorios
vitales para la restauración del servidor en caso de una falla crítica.
Entre otros...
Ing. Ricardo Jiménez Torres Pag. 40
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
IDENTIFICACIÓN DE LOS SISTEMAS COMPUTACIONALES CRÍTICOS
Para identificar los riesgos y vulnerabilidades presentes en los Sistemas Computacionales
(punto que se cubre en el siguiente capítulo) se debe partir analizando los Sistemas
Computacionales Críticos de acuerdo a su aportación a la misión de la empresa. Para
obtener los sistemas de IT críticos se debe iniciar del análisis de cada Proceso Crítico
obtenido del Análisis de los Procesos de la Empresa del Capítulo 3. Cada uno de estos
procesos críticos, mismos que apoyan al logro de la Misión de la Empresa, deberá ser
asociado al o a los sistemas Computacionales que lo soportan para su ejecución.
VALORACIÓN DE LOS SISTEMAS COMPUTACIONALES
Para cada Proceso Crítico se listarán los sistemas Computacionales que lo soportan
evaluando el impacto de cada uno de estos sistemas sobre el proceso correspondiente. Esta
valoración se hará basándose en los siguientes lincamientos:
1. Para cada Proceso Crítico se evaluarán los sistemas Computacionales que lo soportan
indicando, con una escala porcentual, cual de ellos aporta más al logro del objetivo de
ese proceso.
2. Los valores serán números reales y deberán estar dentro del rango de [0..1].
3. No podrán existir valores iguales dentro de un mismo renglón correspondiente a los
sistemas que soportan a un proceso en específico.
4. Los valores deberán ser un consenso departamental entre los usuarios, los operadores y
los responsables del mismo sistema computacional.
Por ejemplo, para el caso hipotético de una empresa, cuyos objetivos selogran realizando
desde el Proceso A hasta el Proceso Z, mediante los Sistemas Computacionales X, Y y Z.
Para el Proceso A, el Sistema X influye en un 50% (Ax= 0.5) en su logro, el Sistema Y
influye en un 30% (Ay= 0.3) y el Sistema Z influye en un 20% (Az= 0.2).
Ing. Ricardo Jiménez Torres Pag. 41
Maestría en Tecnología Informática
Diciembre de 2000
CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
De tal forma que Ax+Ay+Az= 1, según se muestra en la Tabla 4.1 (Esta tabla se omite en el
Caso Práctico.).
Sistema
Sistema X
PROCESO A
Porcentaje de
50%
Sistema Y
Sistema Z
30%
20%
0.50
0.30
0.2
Sumatoria = 1.0
Tabla 4.1: Ponderación de Sistemas.
Por otro lado, de acuerdo al análisis de los procesos de la empresa (capítulo 3), el Proceso
A obtuvo un índice (k ó w según la Tabla 4.2) en relación con los otros procesos. Usando
estos datos se pondera para llenar la siguiente matriz de procesos contra sistemas de
computo, donde cada casilla contendrá el porcentaje en que el sistema aporta a la
realización del proceso, multiplicado por la criticidad del mismo (valor de casilla = Az* K):
Criticidad
PROCESO del Sistema X Sistema Y Sistema Z
Proceso
•-3SO A
Proceso Z
...
liíw
0.50k
O.SOw
ZSumatoria
0.30R
0.15w
Siumatoria
0.20k
O.OSw
SSumatoria
Tabla 4.2: Análisis de Sistemas
Se establece un límite L para identificar los Sistemas Computacionales Críticos, los cuales
se identificarán si rebasan este límite en las sumatorias del último renglón de la matriz
anterior. El resto de los sistemas computacionales quedan fuera de este análisis.
Ing. Ricardo Jiménez Torres
Maestría en Tecnología informática
Diciembre de 2000
Pag. 42
CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
CASO PRÁCTICO
• Análisis del Sistema de TI de Grupo Financiero AFIS -
Durante el período de elaboración de esta investigación de tesis, el sistema de tecnología
informática del Grupo Financiero AFIS, fue modificado continuamente, ya que se
deseaban habilitar los procesos de Banca por Internet en el corto plazo, y además se
pretendía hacer que el sistema computacional fuese una herramienta que apoyara a la
mejora de la calidad y la rapidez en el servicio de la empresa.
Además, se desea incrementar el nivel de seguridad del sistema de TI agregando
componentes y políticas de seguridad al sistema. Debido a que la red del Grupo
Financiero AFIS se encuentra en un continuo cambio debido a la implementación del
nuevo servicio de Banca por Internet, el Ciclo de Vida para cada uno de los sistemas de
computo del grupo no es el mismo.
Los sistemas que apoyan a los procesos de Banca por Internet a través de Internet se
encuentran cada uno de ellos en diversas fases del ciclo de vida (Iniciación, Desarrollo,
Implementación, Operación y Desecho).
NOTA IMPORTANTE
Por razones de seguridad en este punto se omitirán datos confidenciales, pero cuando se
realice la investigación aplicando esta guía, esta información deberá de ser incluida. Los
datos omitidos son:
• Nombres de los Propietarios de cada Sistema.
• Direcciones de IP homologadas y no-homologadas de los servidores.
• Nombres reales de los servidores.
• Localización geográfica real de los sistemas.
Ing. Ricardo Jiménez Torres Pag. 43
Maestría en Tecnología Informática
Diciembre de 2000
CAPITULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
La red de comunicaciones del grupo está formada por segmentos que dividen a la red en
zonas de distinto nivel de acceso; estos niveles de red se establecen a través de listas de
control de acceso de los ruteadores o a través de firewalls. La red de comunicaciones se
muestra en la siguiente figura:
Red Proveedores
Red Switch
Switch
Producción
Servidor
Producción
Red Producción |
Servidor Servidor
WWW SMTP
DMZ
APIS 01 AFIS 02
Servidor Consola Servidor
FiíewaU
eIDS
Red AFIS
RACAL RACAL
Producción Respaldo
Sucursales
Figura 4.1: Red de Grupo financiero AFIS
Las redes que forman la arquitectura de seguridad de Grupo Financiero AFIS son
analizadas a continuación.
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 44
CAPITULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
IDENTIFICACIÓN DE CADA SISTEMA COMPUTACIONAL
Acceso a Internet para Grupo Financiero AFIS
Propósito General: Esta zona consiste en varias conexiones TCP/IP que son
encargadas de establecer el enlace entre Internet y la red de Grupo Financiero AFIS;
para el acceso de los usuarios internos a Internet se habilita NAT (Network Address
Translation) y PAT (Port Address Translation) en el ruteador (Cisco 2514).
Etapa del ciclo de vida: En operación y en modificación.
Interconexión del Sistema / Compartimiento de Información: En esta zona se
encuentran varios enlaces de TCP/IP con los distintos socios de negocios (clientes y
proveedores) de Grupo Financiero AFIS.
Sensibilidad de la Información: Flujo de información confidencial entre
proveedores y socios de negocio.
Manejo de Riesgos de Seguridad: Es importante mencionar que existe un Firewall y
una lista de control de accesos en el ruteador de entrada, que protegen a las distintas
redes internas. Sin embargo, hasta la conclusión de esta investigación de tesis, el
Grupo Financiero AFIS se encontraba compartiendo su acceso a Internet con otras
empresas según se muestra en la Figura 4.2.
Otras empresas que
comparten el acceso *
a Internet
NodoB
Red de Grupo
Financiero AFIS
Nodo A-2
Nodo C-2
Figura 4.2: Red de Interconexión a Internet
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 45
CAPITULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
Es importante mencionar que las otras empresas, con las que comparte el acceso a
Internet, son de diverso giro cada una de ellas, y se unen por medio de una LAN de
varios nodos, y aunque Grupo Financiero AFIS no esta incluida en esta LAN, si
comparte el acceso a Internet. De tal manera que comparten la zona desmilitarizada y las
políticas de control de acceso del Firewall que regulan el flujo de peticiones a y desde
Internet. Revisemos ahora de cuentos sistemas se compone la Red de Comunicaciones de
Grupo Financiero AFIS.
Redes Internas de
Otras Empresas
V
Firewall
Redes Internas a G.F. AFIS
DMZ
Red Producción
Red Proveedores
Red Switch
Red AFIS
Figura 4.3: Acceso a Internet
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 46
CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
Red de Proveedores
• Propósito General: Red TCP/IP en la cual se establece el enlace con proveedores y
socios de negocios de Grupo Financiero AFIS.
• Etapa del ciclo de vida: En operación y en modificación.
• Interconexión del Sistema / Compartimiento de Información: En esta zona se
encuentran varios enlaces de TCP/IP con los distintos socios de negocios (clientes y
proveedores) de Grupo Financiero AFIS.
• Sensibilidad de la Información: Flujo de información confidencial entre
proveedores y socios de negocio.
• Manejo de Riesgos de Seguridad: Uso de Firewall y Lista de control de accesos en
el ruteador.
TCP/IP
Firewall
Figura 4.4: Red Proveedores
Ing. Ricardo Jiménez Torres
Maestría en Tecnología Informática
Diciembre de 2000
Pag. 47
CAPITULO 4 ANÁLISIS DEL SISTEMA DE
TECNOLOGÍA DE INFORMACIÓN
Zona Desmilitarizada (DMZ
• Propósito General: Agrupar los servidores de acceso publico externo a la intranet de
Grupo Financiero AFIS, la cual se encuentran todos los servidores que ofrecen
servicios al público en general como:
• World Wide Web
• Domain Ñame System
• Correo Electrónico
• World Wide Web Seguro
• Etapa del ciclo de vida: En operación y en modificación.
• Sensibilidad de la Información: Crítica, ya que aquí se sustenta el proceso de Banca
por Internet el cual es un proceso que contribuye directamente al cumplimiento de la
misión de la empresa.
• Manejo de Riesgos de Seguridad: Esta zona es una red TCP/IP de acceso público
protegida