Vista previa del material en texto
INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY CAMPUS MONTERREY DIVISIÓN DE COMPUTACIÓN, INFORMACIÓN Y COMUNICACIONES PROGRAMA DE GRADUADOS EN ELECTRÓNICA, COMPUTACIÓN, INFORMÁTICA Y COMUNICACIONES PROYECTO DE TESIS GUIA PARA DISEÑAR LA INFRAESTRUCTURA DE SEGURIDAD DE LOS SISTEMAS COMPUTAC1ONALES EN UNA EMPRESA RICARDO JIMÉNEZ TORRES MONTERREY, N. L. DICIEMBRE DEL 2000 INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY CAMPUS MONTERREY DIVISIÓN DE COMPUTACIÓN, INFORMACIÓN Y COMUNICACIONES PROGRAMA DE GRADUADOS EN ELECTRÓNICA, COMPUTACIÓN, INFORMÁTICA Y COMUNICACIONES PROYECTO DE TESIS GUÍA PARA DISEÑAR LA INFRAESTRUCTURA DE SEGURIDAD DE LOS SISTEMAS COMPUTACIONALES EN UNA EMPRESA RICARDO JIMÉNEZ TORRES MONTERREY, N. L. DICIEMBRE DE 2000 INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY CAMPUS MONTERREY DIVISIÓN DE COMPUTACIÓN, INFORMACIÓN Y COMUNICACIONES PROGRAMA DE GRADUADOS EN ELECTRÓNICA, COMPUTACIÓN, INFORMÁTICA Y COMUNICACIONES Los miembros del Comité de Tesis recomendamos que el presente proyecto de Tesis presentado por el Ing. Ricardo Jiménez Torres sea aceptado como requisito parcial para obtener el grado académico de Maestría en Ciencias en Tecnología Informática con especialidad en: Redes Computacionales COMITÉ DE TESIS: Ing. Renán Rafael Silva Rubio, MC ASESOR Ing. Gustavo Cervantes Órnelas, MC SINODAL Lic. Sergio T. Guimond Lanz SINODAL Dr. Carlos Scheel Mayenberger Director del Programa de Graduados en Electrónica, Computación, Información y Comunicaciones DICEMBRE DE 2000 DEDICATORIA Esta investigación de tesis está dedicada a la Sra. María Elena Torres Martínez, ...mi Madre. Gracias a ti Mamá, hoy he llegado a mi objetivo, Tu me haz mostrado como he de luchar diariamente, Y a ti te dedico este logro, Ser tu hijo es el mejor regalo que me ha dado la vida. Te Quiero.... Ricardo Jiménez Torres Diciembre de 2000 Pag. I AGRADECIMIENTOS A mi Familia y Amigos, A mis hermanas Elsa Elena y María Josefina, y a mi hermano Manuel Alejandro, les agradezco todos estos años que han convivido conmigo y me han apoyado hasta en los momentos más difíciles. Ustedes también son parte de mi éxito. A mi Abuelita Josefina y a mi Tía Lilia por todo su apoyo incondicional cuando lo he necesitado y por sus palabras de aliento. A Libertad, porque los momentos que viví contigo se quedarán para siempre en mi memoria. Te llevo en mi corazón. A mi Comité de Tesis, Un agradecimiento muy especial al Ing. Renán Silva por su paciencia, sugerencias y valiosa información, y por todos los recursos que me proporcionó durante esta investigación. Al Lic. Sergio Guimond y al Ing. Gustavo Cervantes por sus consejos y comentarios que se vieron reflejados en el desarrollo de esta investigación. ¡GRACIAS A TODOS! Pag. II ÍNDICE PÁGINA Dedicatoria I Agradecimientos II índice III Lista de Figuras V Lista de Tablas VI Introducción VII Capítulo 1 - Planteamiento del Problema 1 Hipótesis 2 Objetivo 2 Restricciones 3 Contribución de la Investigación 4 Planteamiento del Caso Práctico 5 Producto Final 5 Capítulo 2 - Marco Teórico 10 Análisis de los Procesos de la Empresa 11 Análisis del Sistema de Tecnología Informática 13 Identificación de Riesgos y Vulnerabilidades 15 Análisis de Riesgos y Vulnerabilidades 16 Desarrollo de la Propuesta de Seguridad 16 Análisis Costo - Beneficio 18 Capítulo 3 - Análisis de los Procesos de la Empresa 19 Nivel Deseado de Seguridad 20 Análisis de la Misión 21 Presentación de los Procesos de la Empresa 21 Resumen de Procesos 22 Identificación de los Procesos Críticos de la Empresa 22 Caso Práctico 24 Capítulo 4 - Análisis del Sistema de T.I 36 Revisión de los Sistemas Computacionales 37 Identificación de los Sist. Computacionales Críticos 41 Valoración de los Sistemas Computacionales 41 Caso Práctico 43 Capítulo 5 - Identificación de Riesgos y Vulnerabilidades 61 Matriz de Identificación y Análisis de Riesgos y Vulnerabilidades 62 Ing. Ricardo Jiménez Torres Pag. III Maestría en Tecnología Informática Diciembre de 2000 ÍNDICE Activos Computacionales 63 Hallazgos de Seguridad 65 Técnica de Lluvia de Ideas 67 Caso Práctico 68 Capítulo 6 - Análisis de Riesgos y Vulnerabilidades 80 Reagrupación de Elementos Disgregados 81 Valoración de Riesgos y Vulnerabilidades 82 Impacto de los Problemas de Seguridad 84 Análisis General 84 Análisis sobre la Matriz de Riesgos y Vulnerabilidades 86 Caso Práctico 87 Capítulo 7 - Desarrollo de la Propuesta de Seguridad 98 Objetivo de la Propuesta de Seguridad 99 Herramientas de Seguridad y Control 99 Análisis de los Residuales Totales 102 Proponiendo Soluciones Integrales 104 Caso Práctico 105 Capítulo 8 - Análisis Costo - Beneficio 120 Recaudando el Costo de la Propuesta de Seguridad Integral 123 Valorando los Beneficios Tangibles e Intangibles 125 Caso Práctico 127 Capítulo 9 - Conclusiones Finales 135 Trabajos Futuros 136 Conclusiones de la Guía 137 Conclusiones del Caso Práctico 138 Conclusión Final 139 Apéndices 140 Apéndice A - Plantilla para el Análisis del sistema de T.I 141 Apéndice B - Convenio de Confidencialidad 161 Apéndice C - Lista de Riesgos y Vulnerabilidades 165 Apéndice D - Herramientas para la Identificación de Riesgos y Vulnerabilidades... 169 Apéndice E - Propuesta de Seguridad para el Caso Práctico 171 Apéndice F - Bibliografía y Referencias 186 Vita 190 Ing. Ricardo Jiménez Torres Pag. IV Maestría en Tecnología Informática Diciembre de 2000 LISTA DE FIGURAS PÁGINA Figura 0.1 Investigación realizada por el F.B.I. a empresas norteamericanas VII Figura 1.1 Producto Final de la Guía 6 Figura 1.2 Modelo de Espiral 7 Figura 2.1 Definición de Proceso 12 Figura 3.1 Análisis de la Misión de la Empresa 21 Figura 3.2 Presentación de Procesos en Forma de Red 22 Figura 4.1 Red de Grupo Financiero AFIS 44 Figura 4.2 Red de Interconexión a Internet de Grupo Financiero AFIS 45 Figura 4.3 Acceso a Internet de Grupo Financiero AFIS 46 Figura 4.4 Red Proveedores de Grupo Financiero AFIS 47 Figura 4.5 Zona Desmilitarizada de Grupo Financiero AFIS 48 Figura 4.6 Red Switch de Grupo Financiero AFIS 49 Figura 4.7 Red AFIS 51 Figura 4.8 Red Producción de Grupo Financiero AFIS 52 Figura 5.1 Riesgos y Vulnerabilidades en Activos 64 Figura 6.1 Soporte de Sistemas Computacionales 84 Figura 6.2 Análisis de Riesgos y Vulnerabilidades Identificados 85 Figura 8.1 Análisis Costo - Beneficio 122 Figura 8.2 Punto de Equilibrio Costo- Beneficio 126 Figura E.l Propuesta de Firewall Interno 177 Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag.V LISTA DE TABLAS PÁGINA Tabla 2.1 Categorización de Empresas 11 Tabla 3.1 Presentación de Procesos en Forma Matricial 22 Tabla3.2 Matriz Pair-Wise 23 Tabla 3.3 Evaluación de procesos 23 Tabla 4.1 Ponderación de Sistemas 42 Tabla 4.2 Análisis de Sistemas 42 Tabla 4.3 Aplicaciones de software del Grupo Financiero AFIS 53 Tabla 5.1 Matriz de Análisis de Riesgos y Vulnerabilidades 63 Tabla 6.1 Impacto del Hallazgo de Seguridad 83 Tabla 6.2 Tabla de Valoración de Riesgos y Vulnerabilidades 85 Tabla 6.3 Probabilidades de Seguridad 86 Tabla 7.1 Desarrollo de la Propuesta de Seguridad 100 Tabla7.3 Herramientas de Seguridad para el Grupo Financiero AFIS 119 Tabla 8.1 Valoración de Beneficios 126 Tabla 8.2 Costos para el Grupo Financiero AFIS 127 Tabla 8.3 Beneficios para el Grupo Financiero AFIS 127 Tabla E.l Tipos de Firewall 175 Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. VI INTRODUCCIÓN Con la globalización de la información, una empresa corre múltiples riesgos en sus sistemas computacionales. En un negocio, hay información importante, que en manos de la competencia o de criminales, puede significar pérdidas millonarias para los dueños. El F.B.l. (Federal Bureau of investigation) [19] afirma que, en una investigación realizada en los E.E.U.U. afines de 1998 y a empresasque han sufrido ataques a sus sistemas de cómputo. 70% de esos ataques fueron perpetrados por personal interno, 10% fueron ataques de ex-empleados inconformes y 20% fueron ataques de externos Además, esta misma investigación, arrojó resultados sorprendentes en cuanto a la seguridad de los sistemas computacionales. referente a ios ataques detectados y reportados. El F.B.I [19] demostró que la gran mayoría de las empresas son víctimas de ataques a sus sistemas de cómputo y pocas de estas detectan el ataque, como podemos ver en la Figura 0.1- Y peor aún, de las empresas que detectan a intrusos, un porcentaje pequeño reporta el suceso a las autoridades competentes, por miedo al desprestigio. 88.9% Empresas que... Fueron atacadas, detectaron y reportaron el ataque Fueron atacadas, detectaron y no reportaron el ataque No fueron atacadas. Fueron atacadas y no detectaron a tiempo el ataque. Figura 0.1: Investigación realizada por el F.B.l. en 1998 a empresas norteamericanas. Esto, a grandes luces, demuestra que las empresas modernas deben de incluir en la misión del negocio la seguridad de los sistemas de cómputo, no importa la magnitud de la organización y ni el giro de la empresa. En este proyecto de tesis se desarrollará una guía para implantar seguridad en los sistemas computacionales del negocio y así prevenir y detectar ataques y otros riesgos y vulnerabilidades computacionales. Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Pag.VII CAPITULO 1 Planteamiento del Problema CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA HIPÓTESIS Generalmente las decisiones de inversión en seguridad en los sistemas computacionales se hacen basándose en la búsqueda de cobertura de riesgos y vulnerabilidades genéricos relacionados con la operación de los sistemas computacionales. En esta investigación de tesis demostraremos que: "Si los sistemas computacionales son diseñados mediante una guía basada en la visión y en las metas de la empresa, entonces se logran asegurar los objetos y la información crítica, al mejor costo y con un nivel de seguridad homogéneo y adecuado a los objetivos de la empresa." OBJETIVO Son dos los objetivos de éste proyecto de tesis: 1. Obtener una guía para implantar infraestructura de seguridad en los Sistemas Computacionales1, diseñada para analizar a la empresa desde sus procesos de operación, hasta llegar al detalle de las herramientas de seguridad y control, ofreciendo la visualización de esos procesos y de sus elementos, con identificación más clara de sus riesgos y vulnerabilidades computacionales. 2. Posteriormente, será necesario demostrar la aplicabilidad de esta guía en una empresa, diseñando una infraestructura de seguridad que proponga aplicar medidas de seguridad integrales y coherentes a sus procesos, con un costo acorde a los niveles de seguridad. El término genérico Sistema Computacional es usado en este documento para referirse, ya sea a una aplicación principal, o aun sistema general de soporte. Este concepto se explica a detalle más adelante en el capítulo 2. Ing. Ricardo Jiménez Torres Pag. 2 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA RESTRICCIONES En este proyecto de tesis se propone una guía misma que se desarrolló contemplando algunas limitaciones que se comentan a continuación: 1. Esta guía está dirigida a la microempresa, a la pequeña empresa y a la mediana empresa2, específicamente a las dos últimas, ya que la gran empresa generalmente cuenta con un departamento de seguridad, con un CSO (Chief Security Officer) ó con un CIO (Chief Information Officer), los cuales tienen dentro de sus responsabilidades la de administrar la seguridad de la empresa según afirma CIO Magazine [11], y las micro, pequeñas y las medianas empresas no pueden solventar tales gastos. Sin embargo, para la gran empresa, esta guía representará un marco de referencia y análisis para la aplicación adecuada de seguridad a sus procesos. 2. Esta guía enfoca sus esfuerzos en analizar las necesidades de una empresa que tiene como estrategia corporativa el e-commerce y el e-bussiness, de tal manera que la empresa brinda servicios en línea a los clientes, a empleados y a los proveedores de la organización. Esta restricción se plantea así ya que es la tendencia de mercadeo que se espera a partir del año 2000 y con climax en el año 2005, según se ha comentado en las conferencias de Gartner Group [20] y Meta Group [23] del año 1999. Por tanto el e- commerce y el e-bussiness serán parte importante para el desarrollo de una propuesta de seguridad de cualquier empresa en el futuro cercano, ya que la información estará virtualmente al alcance de todo público. La categorización de pequeña y mediana empresa se basa en la definición que hace la SECOFI (Secretaría de Comercio y Fomento Industrial). Más adelante en el capítulo 2 se comentará sobre esta clasificación de empresas. Ing. Ricardo Jiménez Torres Pag. 3 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA 3. Durante el desarrollo de esta guía se han propuesto herramientas de segundad y control para mitigar y/o eliminar riesgos y vulnerabilidades identificados. El alcance de esta guía es únicamente mencionar dichas herramientas, sin profundizar en detalles de las mismas, ni en el nombre comercial o el valor monetario. Sin embargo indica al lector donde encontrar el detalle de las herramientas aquí mencionados. 4. El segundo objetivo de este proyecto de tesis es la aplicación de la guía en un Caso Práctico. Para darle agilidad al avance de este proyecto de tesis, este objetivo fue cubierto aplicando la guía a una sola empresa. CONTRIBUCIÓN DE LA INVESTIGACIÓN La contribución de este proyecto de tesis es la guía para implantar seguridad a los sistemas computacionales de una empresa. Actualmente existen metodologías separadas para efectuar procesos que en esta guía se comentan. Pero, no existe ninguna metodología, guía o procedimiento que integre a todas ellas, analizando a la empresa desde un punto de vista global y concluyendo con una propuesta para mitigar los huecos de seguridad, con la firme certeza de que esta, es la mejor opción desde el punto de vista técnico e inclusive en el aspecto económico. Por tal motivo, la contribución principal de este proyecto de investigación es el integrar todas estas metodologías existentes, en una sola y corroborar su eficacia aplicándola a un caso práctico. Ing. Ricardo Jiménez Torres Pag. 4 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA CASO PRÁCTICO La empresa a la que nos enfocamos en este trabajo es un Grupo Financiero, mismo que desea habilitar los procesos de banca por Internet, en el corto plazo; y para lograr lo anterior debe establecer una infraestructura de seguridad que permita garantizar la confianza de sus procesos de negocios. La empresa que se va a analizar es: Grupo Financiero AFIS. El nombre de esta empresa es ficticio, sin embargo el caso es real. El Grupo Financiero AFIS quiere realizar un proceso de seguridad que le asegure que, por lo menos, tiene el 80% de los riesgos y vulnerabilidades de seguridad cubiertos. Dentro de los Capítulos 3 al 8 de esta tesis, se describen los puntos 6 que conforman la guía para implantar seguridad a los sistemas de tecnología informática. Al final de cada uno de estos capítulos, se incluye una sección llamada Caso Práctico. En esta sección se desarrollará el avance de la investigación en Grupo Financiero AFIS correspondiente al material expuesto en cada uno de los capítulos. Cabe mencionar que, para el desarrollo de esta tesis, se firmó un Convenio de Confidencialidad con Grupo Financiero AFIS, mismo que se muestra parcialmente en el APÉNDICE A. Por tal motivo, parte de la información obtenida de la investigación, se omite, proporcionando solo un reporte parcial al total de información obtenida. PRODUCTO FINAL El productofinal es una guía para implantar una infraestructura de seguridad en una micro, una pequeña ó una mediana empresa, en la cual, una de sus estrategias corporativas sea el Comercio Electrónico. El producto final de la investigación es una guía con diagrama de flujo cíclico, como se muestra en la Figura 1.1. En esta figura se muestran los insumos para cada etapa de la guía. Ing. Ricardo Jiménez Torres Pag. 5 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA GUÍA PARA IMPLANTAR SEGURIDAD A LOS SISTEMAS DE TI Misión, Visión, Objetivos y Procesos o Funciones del Negocio Procesos Críticos Identificados Sistemas Computacionales Críticos Identificados Ái MJS1S t>BL: DE LAi IMPRESA Nivel de Seguridad "n" Deseado Alternativa para el Sistema de TI con un nivel de seguridad "k". Donde "k< n". Aceptación "k>n" Características Específicas del Sistema de T.I. r1 COSTO,-BENEFICIO Presupuesto Disponible Alternativa de Solución < Elementos y Componentes de Seguridad Rechazo de Alternativa Lista de Riesgos y Vulnerabilidades Genéricos Probabilidades de que los riesgos ocurran y sus Efectos Riesgos y Vulnerabilidades Calificados y ^ 'riorizados Riesgos y Vulnerabilidades Identificadas Figura 1.1: Producto Final Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 6 CAPITULO 1 PLANTEAMIENTO DEL PROBLEMA El modelo de la Figura 1.1, es cíclico y se divide en seis etapas, mismas que también pueden ser representadas en una espiral con un eje coordenado asemejando la Metodología de Espiral para el desarrollo de aplicaciones de software que expone Pressman [8]. Esta representación se muestra en la figura 1.2. Análisis de los Sistemas de Tecnología Informática Identificación de Riesgos y Vulnerabilidades ENTRECABLE Análisis de los Procesos de la Empresa Análisis de Riesgos y Vulnerabilidades n Análisis Costo • Beneficio Desarrollo de la Propuesta de Seguridad Figura 1.2. Modelo de Espiral El radio de la espiral representa el nivel de seguridad alcanzado hasta ese momento y los documentos entregables se generan al finalizar un ciclo de la espiral. Cada entregable es una propuesta para los sistemas de tecnología informática que garantiza un Nivel de Seguridad (n). En este caso el documento entregable es la Propuesta de Seguridad. Para el Caso Práctico de esta investigación de tesis, la propuesta integral de seguridad para Grupo Financiero AFIS se muestra en el APÉNDICE E. Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 ,7 CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA A continuación se describen brevemente los 6 puntos básicos de esta guía: 1. Análisis de los Procesos de la Empresa: En este punto se analizarán globalmente los procesos de la empresa, con el fin de identificar aquellos que más aportan a la realización de la misión y visión de la empresa, y especialmente se buscará identificar a los procesos en donde el buen funcionamiento de los sistemas computacionales es esencial. Con el fin de identificar los procesos críticos que manejan información crítica para el negocio, para cada proceso y sub-procesos trascendentes que lo conforman, se analizarán los flujos de información, así como su impacto hacia otros procesos. 2. Análisis del Sistema de Tecnología Informática: En este punto se recaudará toda la información referente a los sistemas computacionales de la empresa, esto con el fin de conocer sus características y poder iniciar la identificación de riesgos y vulnerabilidades. Al final se efectuará un análisis para descubrir a los sistemas computacionales críticos que más aportan la realización de la misión y visión del negocio. 3. Identificación de Riesgos y Vulnerabilidades Computacionales: Para lograr la identificación, se propondrán varia técnicas para analizar a cada uno de los sistemas computacionales críticos encontrando los riesgos y las vulnerabilidades que poseen. 4. Análisis de Riesgos y Vulnerabilidades Computacionales: Para cada riesgo y vulnerabilidad identificado se listarán y agruparán los riesgos y vulnerabilidades de cada sistema computacional; luego, se asignará una probabilidad de que el riesgo y/o vulnerabilidad ocurra y para cada uno de ellos se medirá el alcance de los daños si llegaran a ocurrir. Ing. Ricardo Jiménez Torres Pag. 8 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA 5. Desarrollo de la Propuesta de Seguridad: Partiendo del análisis de riesgos y vulnerabilidades, de acuerdo al impacto de cada uno de estos y al nivel de seguridad deseado, se desarrollará una propuesta de seguridad para los sistemas de tecnología informática de la empresa, identificando los objetos críticos a asegurar. En esta propuesta se incluirán las herramientas de seguridad y control que mitiguen o eliminen los riesgos y vulnerabilidades. 6. Análisis Costo - Beneficio de la Propuesta de Seguridad: En este punto se analizarán el costo de comprar e implementar las herramientas de seguridad y control resultado de la propuesta de seguridad, contra el costo de la pérdida o de la degradación de los objetos críticos del sistema computacional, por causa de que algún riesgo o vulnerabilidad se suscitó. Se compararán ambos costos y se aceptará o se rechazará la propuesta de seguridad, terminando el proceso, si hay algún beneficio significativo, ó regresando al punto anterior, en caso contrario. Al final de haber finalizado los 6 puntos, se evaluará la propuesta elegida y se estimará el nivel de seguridad obtenido contra el deseado. El proceso podrá ser iterativo en caso de que el nivel de seguridad obtenido sea menor al deseado. Ing. Ricardo Jiménez Torres Pag. 9 Maestría en Tecnología Informática Diciembre de 2000 CAPITULO 2 Marco Teórico CAPÍTULO 2 MARCO TEÓRICO Según lo comentado en el capítulo anterior, en este proyecto de tesis se propondrán 6 puntos básicos, con el fin de identificar, analizar y mitigar los riesgos y vulnerabilidades de los sistemas computacionales de una empresa. La guía se compone de los siguientes puntos: 1. Análisis de los procesos de la empresa. 2. Análisis del sistema de tecnología informática 3. Identificación de riesgos y vulnerabilidades computacionales. 4. Análisis de riesgos y vulnerabilidades computacionales. 5. Diagnóstico de seguridad. 6. Análisis costo-beneficio de la propuesta de seguridad. Los conceptos usados en cada uno de estos puntos, son los que a continuación haremos referencia: 1. ANÁLISIS DE LOS PROCESOS DE LA EMPRESA. De acuerdo a la SECOFI (Secretaría de Comercio y Fomento Industrial) de México [28], la cual es una secretaría gubernamental mexicana, "las empresas son las unidades de producción y comercialización de bienes y servicios. En la empresa se reúnen y organizan los diversos factores económicos con la perspectiva de alcanzar determinados objetivos." De acuerdo al decreto en el Diario Oficial de la Federación, de fecha 30 de marzo de 1999, las empresas se clasifican únicamente por el número de empleados y no por el total de los ingresos anuales y es de la siguiente forma: Clasificación Industria Comercio Servicio Oa 30* 31 a 100* 101 a 500* 501 en Adelante* Oa5* 6 a 20* 21 a 100" 101 en Adelante* Oa20* 21 a 50* 51 a 100* 101 en Adelante* Tabla 2.1: Categorización de Empresas Empleados Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 11 CAPÍTULO 2 MARCO TEÓRICO Una empresa tiene una visión, misión y objetivos. Armenia [3] comenta que, "La Misión de la Empresa son el conjunto de Objetivos trazados que deben estar enfocados a ayudara la compañía a lograr su Visión. La visión es algo a donde la empresa desea llegar a largo plazo. Una misión ayuda a lograr esa visión que la empresa pretende. Los Objetivos son aquellos los cuales están apoyados con las fuerzas de la empresa y están alineados con las oportunidades de la industria". Ahora bien, segúnlas restricciones mencionadas en el Capítulo 1, esta guía enfocará sus esfuerzos en analizar las necesidades de una empresa, que tiene como estrategia corporativa el e-commerce y el e-business. El sitio de Web Whatls.Com [30], define "e-commerce (electronic commerce) como la compra y venta de bienes y servicios usando Internet, especialmente el World Wide Web." De la misma fuente sabemos que, "e-business (electronic business), es el conducir los negocios de una empresa en Internet, no solo la venta y la compra, sino también el servicio a clientes y a proveedores, e inclusive la interacción con otros negocios." Por otro lado, en este punto de la guía se analizarán globalmente los procesos de una empresa. Armenia [3] afirma que: "Un proceso es una serie de tareas o pasos que recibe entradas (materiales, información, gente, máquinas, métodos) y produce una salida (productos físicos, información o un servicio) diseñado para ser usado para un propósito en específico por el receptor para quien la salida es producida." Entradas o Insumas PROCESO A Ejecución de la acción A I S SalLSalidas Figura 2.1. Definición de Proceso Armenia [3] asegura que, "un Proceso Crílico es aquel que aporta al producto final un valor y que ayuda a lograr la misión, siendo parte fundamental de su realización." En este Ing. Ricardo Jiménez Torres Pag. 12 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 2 MARCO TEÓRICO caso nos enfocaremos a los procesos del negocio que aportan más a los objetivos del negocio. Sin embargo, como comenta Armenia [3], es conveniente marcar la diferencia entre un proceso y una tarea o función: "Un proceso es una serie de tareas o funciones que ocurren en secuencia para producir un producto o servicio de salida." 2. ANÁLISIS DEL SISTEMA DE TECNOLOGÍA INFORMÁTICA Según el NIST (National Institute of Standards and Technology) [24], "El término genérico Sistema Computacional es usado en este documento para referirse ya sea a una aplicación principal o aun sistema general de soporte." Según la misma fuente, "Una Aplicación Principal son los sistemas que desempeñan funciones claramente definidas para las cuales hay necesidades y consideraciones de seguridad fácilmente identificables. Una aplicación principal debe comprender muchos programas individuales, hardware, software, y componentes de telecomunicaciones. Estos componentes pueden ser aplicaciones de software sencillas o una combinación de hardware/software enfocada en soportar una función específica." De igual forma "Un Sistema General de Soporte son los recursos interconectados bajo el mismo medio de control directo que comparten funciones comunes. Un sistema general de soporte normalmente incluye hardware, software, información, datos, aplicaciones, comunicaciones, facilidades, y gente, además provee soporte a una variedad de usuarios y/o aplicaciones." Una aplicación principal puede correr en un sistema general de soporte. Todas las aplicaciones y sistemas deben ser protegidos por propuestas de seguridad del sistema si están definidos como aplicación principal o sistema general de soporte. No se requieren propuestas específicas de seguridad para otras aplicaciones ya que los sistemas generales de soporte en los cuales operan proveen controles de seguridad para esas aplicaciones menores. Ing. Ricardo Jiménez Torres Pag. 13 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 2 MARCO TEÓRICO El NIST [24] también afirma que "El Propietario del Sistema es responsable de definir los parámetros de operación, funciones autorizadas, y requerimientos de seguridad del sistema. El Propietario del Sistema es responsable de asegurar que la propuesta de seguridad sea preparada e implementada efectivamente." La Propuesta de Seguridad deberá reflejar responsabilidades para varios individuos concernientes al sistema, incluyendo usuarios funcionales finales, Propietarios de la Información, el Administrador del Sistema, y el Administrador de la Seguridad del Sistema. A continuación se lista una descripción de cada fase del Ciclo de Vida. Hay muchos modelos para el ciclo de vida de un sistema de tecnología informática, según Colouris [4], pero básicamente todos contienen las siguientes fases: Iniciación, desarrollo/adquisición, implementación, operación, y desecho. • Fase de Iniciación: durante esta fase, se expresa la necesidad del sistema y se documenta su propósito. Se lleva a cabo una medición de la sensibilidad de la información que en el sistema será procesada y del sistema en sí. • Fase de Desarrollo/Adquisición: en esta fase, se diseña el sistema, se compran sus componentes, se programan sus aplicaciones, se desarrolla en su totalidad, o en otras palabras se construye. Esta fase consiste en otros sub-ciclos, tales como ciclo de desarrollo del sistema y ciclo de adquisición. • Fase de Implementación: en esta fase, se deben de instalar, configurar, habilitar y evaluar los elementos de seguridad del sistema. • Fase de Operación/Mantenimiento: durante esta fase, el sistema desempeña su trabajo. El sistema es modificado frecuentemente debido al agregado de hardware y software, y por otro gran número de eventos. • Fase de Desecho: La fase de desecho de un sistema de tecnología de información implica el desecho de información, hardware, y software. Ing. Ricardo Jiménez Torres Pag. 14 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 2 MARCO TEÓRICO 3. IDENTIFICACIÓN DE RIESGOS Y VULNERABILIDADES COMPUTACIONALES. Nos referimos a Activos del Sistema Computacional (hardware, software y datos), que son vulnerables o que corren riesgos dentro del sistema computacional y que tienen un valor importante ya que apoyan a la realización de una meta de la empresa dentro de un proceso crítico, de acuerdo a lo comentado en el sitio de Web del 14 [21]. Según el ASC (Área de Seguridad en Cómputo de la UNAM) [13], "un Riesgo es la posibilidad de que un intruso pueda tener éxito al tratar de accesar de manera ilegal un activo del sistema computacional, o la posibilidad de que un sistema degrade su desempeño en la operación, por causas no previstas." Mientras que, de acuerdo al ASC [13], "una Vulnerabilidad esencialmente significa la forma de cuan protegida está el hardware, la red o la aplicación, de cualquier ataque externo para ganar acceso ilegal a ella, y de la forma de cuan protegida se encuentra de alguien dentro de la misma red que intencional o accidentalmente da la oportunidad de obtener acceso ilegal o causar cualquier otro daño." Básicamente un riesgo es una posibilidad que siempre existirá y que únicamente podrá ser mitigada; mientras que una vulnerabilidad es un problema específico del sistema computacional que puede ser arreglado en su totalidad o parcialmente mediante métodos técnicos. El ASC [13] por último hace la anotación que, también es útil identificar de que eventos debemos proteger a los datos: • Actos Accidentales: Eventos no deseados (Errores y omisiones.) • Actos Deliberados: Eventos no autorizados (Fraudes y abusos.) Ing. Ricardo Jiménez Torres Pag. 15 Maestría en Tecnología Informática Diciembre de 2000 5 81 8 6 B CAPÍTULO 2 MARCO TEÓRICO 4. ANÁLISIS DE RIESGOS Y VULNERABILIDADES COMPUTACIONALES. A continuación se explicarán los conceptos que ayudan a medir los riesgos y a evaluarlos según la Revista TSEPM [12], mismos que serán usados en lo que resta de esta sección: . Probabilidad de Riesgo: es la probabilidad de que el riesgo ocurra. Esta tiene un rango teórico de R = (0,1), pero "O" y "1" no están considerados dentro de este rango. • Impacto del Riesgo: es la consecuencia que tendrá un riesgo si ocurre. Este impacto puede ser expresado en varias formas, R = [O, 1], donde "1" es el máximo de los impactos y "O" el mínimo de ellos. • índice de Riesgo (R¡): es el producto de la probabilidad de que un riesgo ocurra y su impacto sobre el sistema y el negocio. D _ D * D i impacto probabilidad Ecuación 2.1:índice de Riesgo. • Riesgo Total del Sistema: es la suma de los índices de riesgo para un área de la matriz de Riesgos o para el sistema en general. Rsistema Ecuación 2.2: Exposición a Riesgos. 5. DESARROLLO DE LA PROPUESTA DE SEGURIDAD. Según Pfleeger [6], los Objetivos de Segundad a cubrir en toda propuesta de seguridad son tres, mismos que deben ser tomados en cuenta para efectuar un diagnóstico de seguridad. Estos objetivos aplican a datos y a servicios de acceso a recursos computacionales, y son los siguientes: • Confidencialidad: Significa que los activos del sistema computacional solo son accesibles por las partes autorizadas. A la confidencialidad también se le llama secrecía o privacidad. Solo personal autorizado puede ver datos protegidos. Ing. Ricardo Jiménez Torres Pag. 16 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO! MARCO TEÓRICO . Integridad: Significa que los activos pueden ser modificados solo por las partes autorizadas o solo por los medios autorizados. Las modificaciones incluyen escritura, cambios, cambios de estatus, borrar y crear. . Disponibilidad: Significa que los activos están accesibles por las partes autorizadas. A las partes autorizadas no se debe prevenir cuando accesen sus objetos si tienen derecho legítimo. La disponibilidad generalmente es conocida por su opuesto: daño de servicios (denial of services). Según el NIST [24], "la Administración de Controles de Seguridad se enfoca en la gestión de la seguridad del sistema de cómputo y el manejo de los riesgos y vulnerabilidades del sistema. Los tipos de medidas de control deberán ser consistentes con la necesidad de proteger aplicaciones principales o sistemas generales de soporte". Los elementos a administrar son los activos del sistema computacional y las herramientas de seguridad y control. Por otro lado, una Herramienta de Seguridad y Control es aquel elemento que ayuda a mitigar un riesgo y/o vulnerabilidad que afecta a algún activo del sistema computacional. Sobre la base de los resultados del Análisis de Riesgos y Vulnerabilidades se debe identificar aquellos que exponen más al sistema de acuerdo a la valoración. Para mitigar y/o eliminar estos riesgos será necesario implementar controles. Según el EDS [18], una Herramientas de Seguridad y Control podrán ser de dos tipos: • Controles Operativos: éstos atañen métodos de seguridad que se enfocan en mecanismos que en esencia se implementan y ejecutan por personas (opuestamente a los sistemas.) Éstos se componen a su vez de procesos y políticas: - Procesos: Son el conjunto de acciones llevadas a cabo para dar mantenimiento al hardware y software de los sistemas, para hacer operaciones de respaldo y revisiones de seguridad. - Políticas: Son reglas de acción que especifican las metas de seguridad de la organización, según el Stanford Research Institute [28], en dónde recae la responsabilidad de la seguridad y dónde se localiza seguridad en la estructura Ing. Ricardo Jiménez Torres Pag. 17 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO! MARCO TEÓRICO organizacional. Estas políticas, además, deben especificar claramente a "quien" se le permite el acceso, a "que" recursos y "como" se regulará el acceso. • Controles Técnicos: Son controles de seguridad que el sistema en sí ejecuta. Estos controles proveen protección automatizada a accesos no autorizados o a abusos, facilitan la detección de violaciones de seguridad, y soportan los requisitos de seguridad de las aplicaciones y los datos. La implementación de controles técnicos, de cualquier manera, siempre requiere de consideraciones operacionales significativas y deben de ser consistentes con el manejo de seguridad dentro de la organización. 6. ANÁLISIS COSTO - BENEFICIO DE LA PROPUESTA DE SEGURIDAD. A continuación se listan los conceptos generales de un Análisis Costo - Beneficio (ACB.) Según el Center for Information Technology at the National Institutes of Health (CIT- NIH) [16], " Los Costos son la cantidad de inversión monetaria requerida para adquirir las herramientas de Seguridad y Control, y el gasto medido en inversión monetaria y horas hombre necesario para implementar dichas herramientas en el sistema computadonal." Por otro lado, el (CIT-NIH) [16] afirma que, "Los Beneficios son los servicios, capacidades, y calidades de cada alternativa de sistema, y puede ser visto como el retorno de la inversión. El periodo de retorno de la inversión en el sistema es de 10 años. Los beneficios que pueden ser evaluados con un valor actual o aproximados se llaman beneficios tangibles. Los Beneficios que no pueden ser asignados a un valor monetario se llaman beneficios intangibles." Ing. Ricardo Jiménez Torres Pag. 18 Maestría en Tecnología Informática Diciembre de 2000 CAPITULO 3 Análisis de los Procesos de la Empresa CAPÍTULOS ANÁLISIS DE LOS PROCESOS DE LA EMPRESA Como ya se comentó en el Capítulo 1, en el Análisis de los Procesos de la Empresa se analizan globalmente los procesos, con el fin de identificar aquellos que son críticos, puesto que son esenciales para lograr las metas que conducirán a la empresa a lograr su misión. De tal manera que al identificar los procesos críticos, es posible enfocar los esfuerzos en el análisis de seguridad computacional de estos. Con el fin de identificar los procesos que manejan información crítica, se analizarán la visión, misión y los todos los procesos de la empresa. NIVEL DESEADO DE SEGURIDAD (n) Esta guía pretende mitigar o eliminar los riesgos y vulnerabilidades presentes en los sistemas de tecnología informática en un Nivel Deseado de Seguridad (n), mismo que deberá estar en el rango de [0..1]. Este índice se deberá obtener de acuerdo a la criticidad de la información manejada en los sistemas de TI y a la misión de la empresa. Por ejemplo si la empresa quiere cubrir el 70% de los riesgos y vulnerabilidades presentes en su sistema, entonces n= 0.7. Recordando el Modelo de Seguridad en Espiral expuesto en el Capítulo 1, en cada iteración se pretenderá mejorar el valor de n obtenido en el ciclo anterior. Pero, para la primera iteración, ya que desconocemos el nivel de seguridad de nuestro sistema de tecnología informática, será difícil valorar el nivel deseado de seguridad inicial. En este caso será válido comenzar con un valor de n pequeño, de tal manera que cualquier mejora al sistema satisfaga esta condición. Sin embargo, se recomienda que este índice no rebase el límite inferior del 0.6 (60% de Seguridad). Si se desea iterar nuevamente después de haber obtenido un entregable o Propuesta de Seguridad, el nivel de seguridad deseado deberá de ser necesariamente mayor al nivel deseado de la iteración anterior. Es decir, si estamos en la iteración número i: nt-i< KÍ< Hi+1 P^a H¡ ~ 0.6 ,donde i es el número de la iteración actual. Ecuación 3.1 Ing. Ricardo Jiménez Torres Pag. 20 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA ANÁLISIS DE LA MISIÓN Ya que el único insumo que tenemos al inicio de esta guía es la Visión, será necesario realizar un Análisis de la Misión de la Empresa, esto con el fin de identificar a los procesos críticos de acuerdo a s aportación a la realización de la misión. Según se muestra en la Figura 3.1, la misión es dividida en impulsores, cada impulsor tiene sus propias metas, cada meta tiene sus objetivos y cada objetivo tiene registrados cuales procesos están involucrados, según comenta Armenia [3]. Con esta cadena se puede identificar la aportación de cada proceso para el logro de la misión de la empresa. Misión ;>Impulsores> Metas > Objetivos^} Procesos Figura 3.1: Análisis de la Misión de la Empresa Para realizar esto es necesario, primeramente, detectar las grandes áreas en las que se divide la misión, mismas que definen a los impulsores. Los impulsores son los enunciados que definen a la misión. Cada uno de estos impulsores marca diferentes áreas deacción y como consecuencia diferentes metas a lograr. Cada meta a su vez, es alcanzada mediante la resolución de uno o varios objetivos. Y cada uno de estos objetivos es alcanzado mediante la ejecución de uno o varios procesos críticos. Por tal motivo, es necesario enunciar, la misión, sus impulsores, las metas de cada impulsor, los objetivos para cada meta y los procesos involucrados la resolución de cada objetivo. PRESENTACIÓN DE LOS PROCESOS DE LA EMPRESA Posteriormente será necesario hacer una Presentación de los Procesos de la Empresa. Esta presentación será en forma de red de procesos. De tal manera que la visualización de ellos sea más clara y fácil de analizar. Dentro de esta red se indicará la entrada y salida de Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 21 CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA cada proceso. Para registrar la información se utilizará una matriz, esta matriz ayuda para el manejo de información y su almacenamiento. Futrada PrwwHniicnlo Salida Proceso Información • Tareas • Funciones Producto Manufactura Figura 3.2: Forma de Red Tabla 3.1: Forma Matricial Esta es la forma en la que se pretende mostrar la conexión entre cada proceso. Cuando una información, dato, servicio, etc... se aplique dentro del proceso, y quien la genera, no está dentro de este proceso, su indicación se verá representada por medio de una nube. De la misma forma se representará cuando la información que se genere sea transmitida hacia otro proceso. RESUMEN DE PROCESOS Para poder hacer un análisis completo de cada proceso es necesario tener toda la información acerca de él, haciendo un Resumen de Procesos. Esta información se obtiene de los análisis anteriormente hechos dentro del prototipo. Es importante dar la información precisa y real de cada proceso porque todo eso puede influir en un cambio, eliminación o unión con otro proceso. En el resumen de procesos se deben de cubrir las siguientes características: objetivos que los apoya, metas que ayuda a lograr, sus conexiones con otros procesos y su Valor Crítico. IDENTIFICACIÓN DE PROCESOS CRÍTICOS DE LA EMPRESA Enseguida, será necesario la Identificación de Procesos Críticos de la Empresa. Para esto usaremos una herramienta llamada Pair-Wise. La comparación "Pair-Wise", según Porter Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 22 CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA [7], es una matriz en la cual los procesos se colocan en sus renglones y columnas, y en la esquina superior izquierda se coloca sobre qué se logrará la comparación. El proceso de comparación sigue el concepto de Análisis de Procesos Jerárquicos (Analytic Hierarchy Process) con respecto a su peso e intensidad. En la matriz, se inicia con el elemento de la izquierda y se pregunta que tan importante es sobre el elemento listado en la columna de arriba. Cuando se compara con ellos mismos el rango siempre será uno. Cuando es comparado con otro elemento, y si este es más importante que el otro elemento, entonces tiene un valor entero sobre la escala 1-9 (ejemplo 3) y el otro tendrá un valor recíproco (ejemplo 1/3 = 0.333). Misión 'Plf i 0.1111 0.5 0.25 Mayor que K Tabla 3.2: Matriz "Pair-Wise" Se establece un límite k, para los procesos cuya criticidad sea mayor a este valor, se supondrá que son procesos críticos y el análisis se enfocará en ellos, descartando los el resto de los procesos (no críticos). La escala utilizada para la evaluación de procesos es definida en la tabla siguiente. Se describe el valor, su significado y una explicación breve. Intensidad déla Definición Explicación importancia 1 3 5 7 9 2,4,6,8 Recíprocos o números no ceros Igual Importancia. Moderada importancia de uno sobre otro. Esencial o fuerte importancia Importancia relevante Extremadamente importante Valor intermedio entre los dos juicios Si una actividad tiene el número entero (3) comparado con otra actividad, entonces la segunda actividad tiene el valor recíproco (1/3) cuando es comparado con el primero. Dos actividades contribuyen igualmente al objetivo Experiencia y un ligero juicio a favor tiene una actividad sobre otra. Experiencia y un fuerte juicio favorece y es dominante. Es evidente que una actividad es fuertemente favorecida y es dominante. Es evidente que una actividad sobre otra es más alta. Donde el compromiso en necesario. Tabla 3.3: Evaluación de procesos Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 23 CAPÍTULOS ANÁLISIS DE LOS PROCESOS DE LA EMPRESA CASO PRÁCTICO • ANÁLISIS DE LOS PROCESOS DE GRUPO FINANCIERO AFIS - Grupo Financiero AFIS, es una sociedad mexicana tenedora de las acciones de un grupo de empresas dedicadas a la prestación de servicios financieros, donde participa un grupo de accionistas con amplia experiencia financiera, industrial y comercial. Esta empresa, se integra formalmente en Octubre de 1993 en la ciudad de Monterrey, Nuevo León, México. Grupo Financiero AFIS se compone de las siguientes entidades financieras: • Factoraje AFIS, Empresa de Factoraje financiero, constituida formalmente en Diciembre de 1988. • Almacenadora AFIS, Nace a fines de 1989 y, su actividad consiste en prestar servicios de almacenaje, guarda y conservación de bienes. • Arrendadora AFIS, Conformada hacia fines de 1989, y su objeto radica en prestar servicios de arrendamiento financiero. • Banca AFIS, Institución de Banca Múltiple, cuya incursión al sector de servicios financieros se inicia en Enero de 1995. En esta se constituye el eje operativo del grupo. • Seguros AFIS, Es la entidad más joven del Grupo Financiero iniciando operaciones en Abril de 1998 en los ramos de daños y vida. Nivel de Seguridad Deseado para los Sistemas de TI: Ya que no sabemos el nivel de seguridad del sistema y tomando en cuenta que es la primera iteración (i=l), suponemos que se desea cubrir un 80% de los riesgos y vulnerabilidades presentes en su sistema de tecnología informática. Según nuestra metodología definimos: n=0.8 Sin embargo, según el Bank Administration Institute [14], el nivel mínimo de seguridad recomendado para una institución financiera es de 99.5%. Así que, sobre la base de lo anteriormente visto, comenzaremos a analizar el caso de Grupo Financiero AFIS, exponiendo al análisis su Visión y Misión Empresarial. Ing. Ricardo Jiménez Torres Pag. 24 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA Visión de Grupo Financiero AFIS Grupo Financie!o APIS con laTeosofía de brindar un servicio extraordinario en tiempo y forma al ofrecer productos y servicios financieros de la más alta calidad tecnológica, estará orientado a ampliar día a día su base de clientes y posicionarse con firmeza en las regiones. Grupo Financiero AFIS se encuentra respaldado por una estructura de accionistas, todos ellos empresarios comprometidos con México y con vocación de servicio; Diversificados en ramas o sectores económicos como: producción y distribución de acero y derivados, industria alimentaria, transportación, productos derivados del petróleo, industria de la construcción. '̂ Misión de Grupo Financiero AFIS Consolidar un mercado financiero que responda principalmente a las necesidades de pequeños y medianos inversionistas, así como las personas físicas, facilitando y administrando los recursos de manera eficiente y personalizada y a través de Centros de Negocios se conduzca la confianza depositada nacía la concretízación de créditos que seencuentten distribuidos en sectores económicos estrábicos con una adecuada diversificación de riesgos. Ing. Ricardo Jiménez Torres Pag. 25 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA Análisis de la Misión de Grupo Financiero AFIS Impulsores de la Misión: Analizando la Misión y Visión del Grupo Financiero AFIS, nosdamos cuenta que la empresa pretende ampliar su base de clientes y posicionarse con firmeza en las diversas regiones del país. Y que para lograr esto necesita consolidar un mercado financiero que responda a las necesidades de pequeños y medianos inversionistas, así como las personas físicas. Por tal motivo nos damos cuenta que el interés primordial de la empresa es, eventualmente, brindar servicios a un grupo de clientes más amplio que el actual, y que durante el desarrollo de la Misión se buscará mejorar la calidad y la rapidez en el servicio. Metas Organizacionales de Grupo Financiero AFIS Grupo Financiero AFIS desea habilitar los procesos de Banca por Internet en el corto plazo, para así buscar ampliar la cartera de clientes, brindando mejor calidad y rapidez en el servicio. Para lograr lo anterior debe establecer una arquitectura de seguridad que permita garantizar la confianza de sus procesos de negocios. Grupo Financiero AFIS ha tomado la decisión de independizar su acceso a Internet del servicio que se le provee y al cual ha estado unido desde sus inicios mediante el sistema de TI. Objetivos Organizacionales de Grupo Financiero AFIS: Como objetivos principales, las operaciones de Grupo Financiero AFIS se resumen en: • Intensificar la consecución de metas en operaciones pasivas, centrando sus esfuerzos de promoción en el nicho de mercado definido y observando el otorgamiento de créditos, asegurando éstos contra cualquier contingencia razonable. Ing. Ricardo Jiménez Torres Pag. 26 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA • En operaciones activas como pasivas, guardar una adecuada distribución de tamaños, valores y sectores económicos, para con ello mantener una razonable distribución de riesgos y buscando finalmente mantener la filosofía del Grupo: propiciar una relación a largo plazo con nuestros clientes. • Habilitar los procesos de banca electrónica a través de Internet en el corto plazo, para así buscar ampliar la cartera de clientes, brindando mejor calidad y rapidez en el servicio. • Hacer que los Sistemas de Tecnología Informática sean una herramienta que apoyan a mejorar la calidad y rapidez en el servicio. A partir de 1997, Grupo Financiero AFIS realiza fuertes compromisos de crecimiento en la búsqueda por consolidar su mercado meta, haciendo presencia en las principales ciudades del país. Ing. Ricardo Jiménez Torres Pag. 27 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA RESUMEN DE PROCESOS DE GRUPO FINANCIERO AFIS Entrada Procedimiento Salida Proceso 1 • Información otorgamiento de los diversos servicios. • Investigaciones de mercado • Información de la tesorería del grupo. • Datos para presupuestos anuales. • Información contable y financiera para la toma de decisiones. • Solicitudes de crédito • Documentos, contratos y • Dirigir la promoción y concertación de las operaciones crediticias, de captación de recursos y otorgamiento de los diversos servicios. Así como la supervisión y control de centros de negocio • Promover, realizar y controlar los diversos servicios fiduciarios. • Responsable de la promoción, concertación y servicios de la arrendadora, factoraje, almacenadora y enlace comercial. Así como de las áreas de tarjeta de crédito, mercadotecnia, banca electrónica y demás áreas de negocio del grupo financiero. • Promoción de los productos de Banca - Seguro. • Administrar los flujos de la tesorería del grupo, estableciendo las políticas financieras para asegurar la correcta y rentable aplicación de los recursos y la toma de decisiones oportunas para el aprovechamiento de oportunidades de negocio financiero en todas las empresas del grupo. • Controlar las operaciones de compraventa de divisas. • Gestionar y formalizar el establecimiento de líneas de crédito y de operación con fondos de fomento e instituciones financieras nacionales y extranjeras. • Información a autoridades, a las diferentes asociaciones y centros bancarios, a los comités internos y al consejo de administración. • Coordinar la elaboración de los presupuestos anuales y su seguimiento. • Elaborar la información contable y financiera necesaria para la toma de decisiones. • Definir las políticas, procedimientos y reglas de operación que regulan el trámite y otorgamiento de los créditos a fin de mantener una cartera sana y rentable. • Análisis y Evaluación de solicitudes de crédito y su • Productos Bancarios. • Servicios fiduciarios. • Servicios de la arrendadora, factoraje, almacenadora y enlace comercial. • Servicio de Administración de flujos de la tesorería. • Servicio de compraventa de divisas. • Servicio de Información a autoridades. • Información contable y financiera para la toma de decisiones. • Políticas, procedimientos y reglas de operación de PROCESO DE NEGOCIOS PROCESO DE FINANZAS Y PLANEACIÓN PROCESO DE CRÉDITO Y TRÁMITES JURÍDICOS Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Pag. 28 CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA garantías de crédito. • Innovaciones tecnológicas sobre Informática y Telecomunicación es. • Información sobre recursos Humanos. • Necesidades de Recursos Materiales. • Normatividad de Operaciones. recomendación. • Guardia y custodia de documentos, contratos y garantías de crédito. • Mesa de control de operaciones crediticias. • Seguimiento y actualización del manual de crédito. • Recuperación extrajudicial y judicial del crédito. • Elaborar y supervisar contratos, convenios y documentación donde se asuman derechos y obligaciones con terceros. • Dictaminación de escrituras públicas y poderes. • Atención de oficios de autoridades con características contenciosas. • Asesoría Jurídica interna y a terceros. • Servicios empresariales corporativos a terceros en fusiones, adquisiciones y otros. • Desarrollo de los nuevos productos que requiera el mercado. • Supervisar la ejecución de las operaciones activas, pasivas, así como los procesos y procedimientos de operación de acuerdo a la normatividad oficial. • Atender y dar cumplimiento a las obligaciones fiscales de las empresas del grupo y brindar la asesoría que requiera en materia fiscal. • Asegurar que las empresas del grupo dispongan de los elementos necesarios como son: equipo de cómputo, soporte técnico, servicio de telecomunicaciones, etc. • Selección, capacitación y administración de las relaciones laborales del personal. • Administración de los recursos materiales y del mantenimiento a los inmuebles. Así como de las adecuaciones a los mismos de acuerdo a los criterios de imagen institucional. • Servicios de Seguridad par salvaguardar al personal y bienes del grupo. créditos. • Manual de crédito. • Contratos, convenios y documentación de derechos y obligaciones con terceros. • Escrituras públicas y poderes. • Datos sobre productos que requiera el mercado. • Servicios de Informática y telecomunicación es. • Recursos Humanos. • Servicios de Seguridad par salvaguardar al personal y bienes del grupo. • Políticas de operación y registro. PROCESO DE ADMINISTRACIÓN Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 29 CAPITULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA PRESENTACIÓN DE LOS PROCESOS DE GRUPO FINANCIERO AFIS 8 /PROCESO DE^v ^V NEGOCIOS ) I 1/5 CONTROL DE LOS CENTROS DE NEGOCIO CONTROL DE^X SERVICIOS ) FIDUCIARIOS J /OPERACIONES^ ^v CREDITICIAS ) /"SERVICIOS DELA^X ( ARRENDADORA Y } V ENLACE J ^^^COMERCIAi.̂ ^ CONTROL DE TARJETAS DE CRÉDITO CAPTACIÓN DE RECURSOS PROMOCIÓN DE PRODUCTOS DE BANCA MERCADOTECNIA \ BANCA ELECTRÓNICA oí. «I ROCESO DE FINANZAS Y PLANEACIÓN ce O Vi U U §a. /ADMINISTRACIÓNt\ V. DE FLUJOS DE LA ) \_TESORERÍA^X CONTROL DE COMPRA Y VENTA DE DIVISAS GESTIÓN DE LINEAS DE CRÉDITO INFORMACIÓN A AUTORIDADES, COMITÉS INTERNOS Y CONSEJO DE ADMINISTRACIÓN ELABORACIÓN Y SEGUIMIENTO DE PRESUPUESTO ANNUA1Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 30 CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA PRESENTACIÓN DE LOS PROCESOS DE GRUPO FINANCIERO AFIS (2) PROCESO DE CRÉDITO Y JURÍDICO CONTROL DE OPERACIONES CREDITICIAS SEGUIMIENTO Y ACTUALIZACIÓN DEL MANUALDE CRÉDITO ARCHIVO DE DOCUMENTOS DE CRÉDITO RECUPERACIÓN DE CRÉDITO OTORGAMIENTO DE CRÉDITOS ELABORACIÓN Y SUPERVISIÓN DE CONTRATOS ASESORÍA JURÍDICA f SERVICIOS ^v I EMPRESARIALES ) PROCESO DE ADMINISTRACIÓN ( DESARROLLO DE ̂ v I NUEVOS ) X^^PRODUCTOS/ x^AD ( DE RECURSOS >v MATERIALES SUPERVISIÓN DE OPERACIONES ACTIVAS Y PASIVAS SERVICIO DE TELECOMUNICACIONES E INFORMÁTICA RECURSOS HUMANOS Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 31 Esta página no está disponible Este mensaje se intercala en los documentos digitales donde el documento original en papel no contenía esta página por algún error de edición del documento. Al momento los creadores de este documento no han localizado esta página. Preguntas frecuentes: ¿Qué puedo hacer? Ten por seguro que hemos informado al creador original del documento y estamos intentando reemplazar esta página. ¿Quién convierte estos documentos a formato digital? Esta tarea se realiza por un grupo de personas que laboran en el proyecto de Biblioteca Digital. Nos esforzamos por convertir documentos originales a una versión digital fidedigna y comunicar a los creadores del documento original de estos problemas para solucionarlos. Puedes contactarnos visitando nuestra página principal en: http://biblioteca.itesm.mx CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA IDENTIFICACIÓN DE PROCESOS CRÍTICOS DE GRUPO FINANCIERO AFIS Cabe mencionar que todo el análisis y ponderaciones que se muestran en esta sección fueron realizadas por personal de Grupo Financiero AFIS de acuerdo a las ponderaciones marcadas en la Tabla 3.1. LISTA DE PROCESOS Y SUB-PROCESOS PROCESOS DE NEGOCIOS Pl P2 P3 P4 P5 P6 P7 P8 P9 CONTROL DE LOS CENTROS DE NEGOCIO CONTROL DE SERVICIOS FIDUCIARIOS OPERACIONES CREDITICIAS CAPTACIÓN DE RECURSOS PROMOCIÓN DE PRODUCTOS DE BANCA SERVICIOS DE LA ARRENDADORA Y ENLACE COMERCIAL CONTROL DE TARJETAS DE CRÉDITO MERCADOTECNIA BANCA ELECTRÓNICA PROCESO DE CRÉDITO Y JURÍDICO P15 OTORGAMIENTO DE CRÉDITOS P16 ARCHIVO DE DOCUMENTOS DE CRÉDITO P17 ELABORACIÓN Y SUPERVISIÓN DE CONTRATOS P18 CONTROL DE OPERACIONES CREDITICIAS P19 ASESORÍA JURÍDICA P20 SEGUIMIENTO Y ACTUALIZACIÓN DEL MANUAL DE CRÉDITO P21 SERVICIOS EMPRESARIALES P22 RECUPERACIÓN DE CRÉDITO PROCESO DE FINANZAS Y PLANEACIÓN PÍO ADMINISTRACIÓN DE FLUJOS DE LA TESORERÍA Pl 1 CONTROL DE COMPRA Y VENTA DE DIVISAS P12 GESTIÓN DE LINEAS DE CRÉDITO P13 COMUNICACIÓN INTERNA P14 ELABORACIÓN Y SEGUIMIENTO DE PRESUPUESTO ANNUAL PROCESO DE ADMINISTRACIÓN P23 DESARROLLO DE NUEVOS PRODUCTOS P24 SUPERVISIÓN DE OPERACIONES ACTIVAS Y PASIVAS P25 SERVICIO DE TELECOMINICACIONES E INFORMÁTICA P26 RECURSOS HUMANOS P27 ADMINISTRACIÓN DE RECURSOS MATERIALES Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Pag. 33 CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA MATRIZ PAIR-WISE * Los Procesos que logren un índice mayor que (k =) 80 unidades se considerarán procesos críticos. Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Pag. 34 CAPÍTULO 3 ANÁLISIS DE LOS PROCESOS DE LA EMPRESA PROCESOS CRÍTICOS IDENTIFICADOS PARA GRUPO FINANCIERO AFIS Según la herramienta Pair-Wise, los procesos críticos son los que resaltan de la siguiente lista de procesos. PROCESOS DE NEGOCIOS Pl CONTROL DE LOS CENTROS DE NEGOCIO P2 CONTROL DE SERVICIOS FIDUCIARIOS P3 OPERACIONES CREDITICIAS P4 CAPTACIÓN DE RECURSOS PS PROMOCIÓN DE PRODUCTOS DE BANCA SEGURA P6 SERVICIOS DB LA ARRENDADORA Y ENLACE COMERCIAL P7 CONTROL DE TARJETAS DE ("RÉDITO P8 MERCADOTECNIA i*> BANCA ELECTRONIC A PROCESO DE FINANZAS Y PLANEACIÓN PÍO ADMINISTRACIÓN DE FLUJOS DE LA TESORERÍA Pi 1 CONTROL DE COMPRA V VENTA DE DIVISAS Pl 2 GESTIÓN DE LINEAS DE CRÉDITO P13 INFORMACIÓN A AUTORIDADES, COMITÉS INTERNOS Y CONSEJO DE ADMINISTRACIÓN P14 ELABORACIÓN Y SEGUIMIENTO DE PRESUPUESTO ANNUAL PROCESO DE CRÉDITO Y JURÍDICO P15 OTORGAMIENTO DE CRÉDITOS Pió ARCHIVO DE DOCUMENTOS DECRÉDiTO P17 ELABORACIÓN Y SUPERVISIÓN DE CONTRATOS P18 CONTROL DE OPERACIONES CREDITICIAS P19 ASESORÍA JURÍDICA P20 SEGUIMIENTO Y ACTUALIZACIÓN DEL MAN! ¡AL DE ('.'RÉDITO P:i SERVICIOS EMPRESARIALES ¥22 RECUPERACIÓN DE CRÉDITO PROCESO DE ADMINISTRACIÓN P23 DESARROLLO DE NUEVOS PRODUCTOS P24 SUPERVISIÓN DE OPERACIONES ACTIVAS Y PASIVAS P25 SERVICIO DE TELECOMUNICACIONES E INFORMÁTICA P26 RECURSOS HUMANOS Cabe destacar que el proceso 25, correspondiente a las operaciones de informática y telecomunicaciones es el proceso más crítico del Grupo Financiero AFIS, ya que soporta a todos los otros procesos de manera importante. Literalmente todos los procesos del grupo quedan paralizados sin el soporte de informática y las telecomunicaciones. También es importante observar que de acuerdo a los objetivos de la empresa, el proceso 1, correspondiente al control de los centros de negocio, efectivamente resulta ser un proceso crítico. En cada proceso principal, se identifican los sub-procesos que lo soportan, resultando el PROCESO DE ADMINISTRACIÓN el proceso principal más critico, ya que contiene al proceso de telecomunicaciones e informática. Ing. Ricardo Jiménez Torres Pag. 35 Maestría en Tecnología Informática Diciembre de 2000 CAPITULO 4 Análisis del Sistema de Tecnología Informática f e CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN REVISIÓN DE LOS SISTEMAS COMPUTACIONALES En esta sección se realizará una exhaustiva revisión del sistema computacional en general, con el fin de hacer un diagnóstico de posibles riesgos y vulnerabilidades, y proponer un esquema de seguridad. Este análisis se guiará dependiendo de la etapa del ciclo de vida en que se encuentre el sistema. Aunque una propuesta de seguridad puede ser desarrollada para un sistema en cualquier punto de su ciclo de vida, lo que se recomienda es preparar un plan de seguridad desde el inicio del ciclo de vida. Como comentábamos en el Capítulo 2, en algunos casos, el sistema podrá estar al mismo tiempo en varias fases del ciclo de vida. En esta sección, se debe(n) determinar la(s) fase(s) del ciclo de vida del sistema, o de parte del sistema y se identifica como ha sido manejada la seguridad durante el ciclo de vida en curso. Posteriormente, será necesario definir los Límites y la Categoría del Sistema. Un sistema, como lo definimos en esta guía, es identificado por límites lógicos que surgen alrededor de un conjunto de procesos, comunicaciones, medios de almacenamiento, y recursos relacionados. Los componentes del sistema no necesitan estar físicamente conectados. Los elementos dentro de estos límites constituyen un solo sistema que requiere una propuesta de seguridad. Cada elemento del sistema deberá: • Estar bajo el mismo sistema de control directo; • Tener el mismo objetivo o misión de función; • Tener esencialmente las mismas características de operación y necesidades de seguridad; y • Residir en el mismo sistema operativo general. El paso siguiente consiste en categorizar cada aplicación de software ya sea como Aplicación Principal o como Sistema General de Soporte. Todas las aplicaciones deberán ser protegidas por una propuesta de seguridad. Las aplicaciones serán protegidas ya sea individualmente, en el caso de aplicaciones principales, o dentro de la propuesta de Ing. Ricardo Jiménez Torres Pag. 37 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN seguridad del sistema general de soporte. Un sistema podrá ser categorizado como aplicación principal siempre y cuando sea soportado por un sistema que a su vez a sido previamentedesignado como sistema general de soporte. Una vez reunida esta información, se procede con la Identifícación de cada Sistema. Para ambos tipos de sistemas las propuestas de seguridad deben contener descripciones generales con información respecto a quien es el responsable, el propósito, y el nivel de sensibilidad del sistema. Los datos que se deben de reunir son los siguientes: • Nombre/Título del Sistema: La propuesta para el sistema en partículas debe listar el nombre y título del sistema o aplicación. A cada sistema/aplicación se le deberá asignar un nombre o identificador único. Asignar un identificador único a cada sistema ayuda a asegurar que los requerimientos de seguridad apropiados son implementados para cada sistema, y que todos los recursos asignados son apropiadamente aplicados. El identificador puede ser una combinación de caracteres numéricos y alfanuméricos, y puede ser similar al nombre del sistema. El nombre/identificador único deberá permanecer toda la vida del sistema para permitir monitorear la conclusión de los requerimientos de seguridad a tiempo. • Asignación de Responsabilidades de Seguridad: Un individuo deberá ser asignado como responsable de llevar a cabo la implantación de la propuesta de seguridad en la aplicación o el sistema general de soporte. En el caso práctico de esta tesis los nombres de los responsables serán omitidos. • Estatus Operacional del Sistema: Cada sistema se encuentra en uno o varios estatus operacionales. Si más de un estatus es seleccionado, se debe identificar que parte del sistema está en cierto estatus: • Operacional — el sistema está operando. • En desarrollo —el sistema está siendo diseñado, desarrollado o implementado. • En curso modificaciones sustanciales — el sistema está siendo modificado sustancialmente o en transición. Ing. Ricardo Jiménez Torres Pag. 38 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN • Descripción del Propósito General: es necesario presentar una descripción breve de la función y propósito del sistema. Si el sistema es un sistema general de soporte, se debe listar todas las aplicaciones soportadas por el sistema general de soporte. Especificar si la aplicación es o no una aplicación principal e incluir un nombre/identificador único, cuando se aplique. Es necesario también describir cada función de la aplicación y la información que procesa. Incluir una lista de usuarios que accesan la aplicación, internos y externos al sistema, y una descripción general del tipo de información y procesamiento que se le aplica. • Entorno del Sistema: Provee una descripción técnica, breve y general del sistema. Incluye factores ambientales o técnicos que implican riesgos, como por ejemplo: o ¿El sistema está conectado a Internet?, o ¿El software reside en una red abierta usada por el público en general?, o ¿La aplicación es procesada por una facilidad fuera del control de la organización?, o o ¿El mainframe general tiene líneas dial-up?. • Interconexión del Sistema /Compartimiento de Información: es la conexión directa de sistemas con el propósito de compartir recursos de información. La interconexión del sistema, si no es apropiadamente protegida, puede comprometer a todos los sistemas interconectados y a los datos que ahí se almacenen, procesen o transmitan. La propuesta de seguridad sirve como un mecanismo para proteger el intercambio de información y permitir la administración de los recursos reduciendo riesgos sin comprometer la disponibilidad. • Sensibilidad de la Información Manejada: En esta sección se documentan los tipos de información manejada por el sistema y un análisis de la información crítica. La sensibilidad y criticidad de la información almacenada, procesada, o transmitida por un sistema provee una base del valor del sistema y es uno de los principales factores en él. • Manejo de Riesgos: Se debe de especificar si existe algún esquema de manejo y respuesta a riesgos y/o vulnerabilidades de seguridad, y como fue desarrollado. Ing. Ricardo Jiménez Torres Pag. 39 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN • Controles Operativos: En esta sección se deben identificar los controles operativos o normativos que se implementan en cada sistema de manera formal. Es decir que se aplican, no de manera empírica, sino que este proceso esta documentado, en operación y en auditoría frecuente. Algunas de estos controles incluyen los siguientes rubros: 1. Administración de Cambios: La administración de cambios es el proceso para planificar, calendarizar, aplicar y dar seguimiento a todo tipo de cambio que se realicen en el ambiente de producción. 2. Administración de Problemas: El objetivo es garantizar que un problema de carácter técnico sea comunicado adecuadamente para obtener una solución oportuna. 3. Control de Inventarios: Es un procedimiento en el cual se mantiene una base de datos, de tal manera que en cualquier momento se puede saber exactamente cuantos equipos se tienen en el sistema y de que tipo son cada uno de ellos. 4. Controles de Aplicaciones de Software: Estos controles son usados para asegurarse que las aplicaciones sean desarrolladas siguiendo metodologías certificadas de Ingeniería de Software. Y para asegurar que el mantenimiento frecuente tanto de las aplicaciones propietarias como de las adquiridas. 5. Plan de Concientización: Este plan está dirigido a los empleados y tiene el objetivo de hacer conciencia en los usuarios y propietarios de información crítica de la enorme responsabilidad que se les está encomendando. 6. Plan de Contingencia y de Recuperación ante Desastres: Son procedimientos que permiten al sistema continuar sus operaciones, aún y cuando ocurra un evento inesperado. 7. Protección del Medio Ambiente Físico: Los controles para proteger el medio ambiente físico son implementados para proteger el área física de los recursos del sistema, a los recursos en sí, y a las facilidades usadas para soportar la operación del mismo. 8. Respaldos de Servidores: Es necesario respaldar automáticamente los directorios vitales para la restauración del servidor en caso de una falla crítica. Entre otros... Ing. Ricardo Jiménez Torres Pag. 40 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN IDENTIFICACIÓN DE LOS SISTEMAS COMPUTACIONALES CRÍTICOS Para identificar los riesgos y vulnerabilidades presentes en los Sistemas Computacionales (punto que se cubre en el siguiente capítulo) se debe partir analizando los Sistemas Computacionales Críticos de acuerdo a su aportación a la misión de la empresa. Para obtener los sistemas de IT críticos se debe iniciar del análisis de cada Proceso Crítico obtenido del Análisis de los Procesos de la Empresa del Capítulo 3. Cada uno de estos procesos críticos, mismos que apoyan al logro de la Misión de la Empresa, deberá ser asociado al o a los sistemas Computacionales que lo soportan para su ejecución. VALORACIÓN DE LOS SISTEMAS COMPUTACIONALES Para cada Proceso Crítico se listarán los sistemas Computacionales que lo soportan evaluando el impacto de cada uno de estos sistemas sobre el proceso correspondiente. Esta valoración se hará basándose en los siguientes lincamientos: 1. Para cada Proceso Crítico se evaluarán los sistemas Computacionales que lo soportan indicando, con una escala porcentual, cual de ellos aporta más al logro del objetivo de ese proceso. 2. Los valores serán números reales y deberán estar dentro del rango de [0..1]. 3. No podrán existir valores iguales dentro de un mismo renglón correspondiente a los sistemas que soportan a un proceso en específico. 4. Los valores deberán ser un consenso departamental entre los usuarios, los operadores y los responsables del mismo sistema computacional. Por ejemplo, para el caso hipotético de una empresa, cuyos objetivos selogran realizando desde el Proceso A hasta el Proceso Z, mediante los Sistemas Computacionales X, Y y Z. Para el Proceso A, el Sistema X influye en un 50% (Ax= 0.5) en su logro, el Sistema Y influye en un 30% (Ay= 0.3) y el Sistema Z influye en un 20% (Az= 0.2). Ing. Ricardo Jiménez Torres Pag. 41 Maestría en Tecnología Informática Diciembre de 2000 CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN De tal forma que Ax+Ay+Az= 1, según se muestra en la Tabla 4.1 (Esta tabla se omite en el Caso Práctico.). Sistema Sistema X PROCESO A Porcentaje de 50% Sistema Y Sistema Z 30% 20% 0.50 0.30 0.2 Sumatoria = 1.0 Tabla 4.1: Ponderación de Sistemas. Por otro lado, de acuerdo al análisis de los procesos de la empresa (capítulo 3), el Proceso A obtuvo un índice (k ó w según la Tabla 4.2) en relación con los otros procesos. Usando estos datos se pondera para llenar la siguiente matriz de procesos contra sistemas de computo, donde cada casilla contendrá el porcentaje en que el sistema aporta a la realización del proceso, multiplicado por la criticidad del mismo (valor de casilla = Az* K): Criticidad PROCESO del Sistema X Sistema Y Sistema Z Proceso •-3SO A Proceso Z ... liíw 0.50k O.SOw ZSumatoria 0.30R 0.15w Siumatoria 0.20k O.OSw SSumatoria Tabla 4.2: Análisis de Sistemas Se establece un límite L para identificar los Sistemas Computacionales Críticos, los cuales se identificarán si rebasan este límite en las sumatorias del último renglón de la matriz anterior. El resto de los sistemas computacionales quedan fuera de este análisis. Ing. Ricardo Jiménez Torres Maestría en Tecnología informática Diciembre de 2000 Pag. 42 CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN CASO PRÁCTICO • Análisis del Sistema de TI de Grupo Financiero AFIS - Durante el período de elaboración de esta investigación de tesis, el sistema de tecnología informática del Grupo Financiero AFIS, fue modificado continuamente, ya que se deseaban habilitar los procesos de Banca por Internet en el corto plazo, y además se pretendía hacer que el sistema computacional fuese una herramienta que apoyara a la mejora de la calidad y la rapidez en el servicio de la empresa. Además, se desea incrementar el nivel de seguridad del sistema de TI agregando componentes y políticas de seguridad al sistema. Debido a que la red del Grupo Financiero AFIS se encuentra en un continuo cambio debido a la implementación del nuevo servicio de Banca por Internet, el Ciclo de Vida para cada uno de los sistemas de computo del grupo no es el mismo. Los sistemas que apoyan a los procesos de Banca por Internet a través de Internet se encuentran cada uno de ellos en diversas fases del ciclo de vida (Iniciación, Desarrollo, Implementación, Operación y Desecho). NOTA IMPORTANTE Por razones de seguridad en este punto se omitirán datos confidenciales, pero cuando se realice la investigación aplicando esta guía, esta información deberá de ser incluida. Los datos omitidos son: • Nombres de los Propietarios de cada Sistema. • Direcciones de IP homologadas y no-homologadas de los servidores. • Nombres reales de los servidores. • Localización geográfica real de los sistemas. Ing. Ricardo Jiménez Torres Pag. 43 Maestría en Tecnología Informática Diciembre de 2000 CAPITULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN La red de comunicaciones del grupo está formada por segmentos que dividen a la red en zonas de distinto nivel de acceso; estos niveles de red se establecen a través de listas de control de acceso de los ruteadores o a través de firewalls. La red de comunicaciones se muestra en la siguiente figura: Red Proveedores Red Switch Switch Producción Servidor Producción Red Producción | Servidor Servidor WWW SMTP DMZ APIS 01 AFIS 02 Servidor Consola Servidor FiíewaU eIDS Red AFIS RACAL RACAL Producción Respaldo Sucursales Figura 4.1: Red de Grupo financiero AFIS Las redes que forman la arquitectura de seguridad de Grupo Financiero AFIS son analizadas a continuación. Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 44 CAPITULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN IDENTIFICACIÓN DE CADA SISTEMA COMPUTACIONAL Acceso a Internet para Grupo Financiero AFIS Propósito General: Esta zona consiste en varias conexiones TCP/IP que son encargadas de establecer el enlace entre Internet y la red de Grupo Financiero AFIS; para el acceso de los usuarios internos a Internet se habilita NAT (Network Address Translation) y PAT (Port Address Translation) en el ruteador (Cisco 2514). Etapa del ciclo de vida: En operación y en modificación. Interconexión del Sistema / Compartimiento de Información: En esta zona se encuentran varios enlaces de TCP/IP con los distintos socios de negocios (clientes y proveedores) de Grupo Financiero AFIS. Sensibilidad de la Información: Flujo de información confidencial entre proveedores y socios de negocio. Manejo de Riesgos de Seguridad: Es importante mencionar que existe un Firewall y una lista de control de accesos en el ruteador de entrada, que protegen a las distintas redes internas. Sin embargo, hasta la conclusión de esta investigación de tesis, el Grupo Financiero AFIS se encontraba compartiendo su acceso a Internet con otras empresas según se muestra en la Figura 4.2. Otras empresas que comparten el acceso * a Internet NodoB Red de Grupo Financiero AFIS Nodo A-2 Nodo C-2 Figura 4.2: Red de Interconexión a Internet Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 45 CAPITULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN Es importante mencionar que las otras empresas, con las que comparte el acceso a Internet, son de diverso giro cada una de ellas, y se unen por medio de una LAN de varios nodos, y aunque Grupo Financiero AFIS no esta incluida en esta LAN, si comparte el acceso a Internet. De tal manera que comparten la zona desmilitarizada y las políticas de control de acceso del Firewall que regulan el flujo de peticiones a y desde Internet. Revisemos ahora de cuentos sistemas se compone la Red de Comunicaciones de Grupo Financiero AFIS. Redes Internas de Otras Empresas V Firewall Redes Internas a G.F. AFIS DMZ Red Producción Red Proveedores Red Switch Red AFIS Figura 4.3: Acceso a Internet Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 46 CAPÍTULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN Red de Proveedores • Propósito General: Red TCP/IP en la cual se establece el enlace con proveedores y socios de negocios de Grupo Financiero AFIS. • Etapa del ciclo de vida: En operación y en modificación. • Interconexión del Sistema / Compartimiento de Información: En esta zona se encuentran varios enlaces de TCP/IP con los distintos socios de negocios (clientes y proveedores) de Grupo Financiero AFIS. • Sensibilidad de la Información: Flujo de información confidencial entre proveedores y socios de negocio. • Manejo de Riesgos de Seguridad: Uso de Firewall y Lista de control de accesos en el ruteador. TCP/IP Firewall Figura 4.4: Red Proveedores Ing. Ricardo Jiménez Torres Maestría en Tecnología Informática Diciembre de 2000 Pag. 47 CAPITULO 4 ANÁLISIS DEL SISTEMA DE TECNOLOGÍA DE INFORMACIÓN Zona Desmilitarizada (DMZ • Propósito General: Agrupar los servidores de acceso publico externo a la intranet de Grupo Financiero AFIS, la cual se encuentran todos los servidores que ofrecen servicios al público en general como: • World Wide Web • Domain Ñame System • Correo Electrónico • World Wide Web Seguro • Etapa del ciclo de vida: En operación y en modificación. • Sensibilidad de la Información: Crítica, ya que aquí se sustenta el proceso de Banca por Internet el cual es un proceso que contribuye directamente al cumplimiento de la misión de la empresa. • Manejo de Riesgos de Seguridad: Esta zona es una red TCP/IP de acceso público protegida