Seguridad Informática y Autenticación

Caso: Aplicación de la Metodología MAGERIT en una empresa de

Servicio de Mensajería y Paquetería.

Sara Diago GonzalvoJuan Sebastián Bejarano B.

Docente:Ramón García.

Objetivos.o Analizar riesgos y amenazas de una de las sucursales sin un departamento de

las TIC.o Identificar los riesgos y amenazas que existen en las sucursales de la empresa y

en el área de las TIC, utilizando la metodología MAGERIT.o Encontrar las prevenciones ante los riesgos y amenazas para cada activo.

Definición Del ProblemaEn el presente trabajo se identifica los diferentes departamentos que contiene las sucursales, analizando primero sus riesgos y amenazas para después palmarlo con un área de las TIC que se incluirá, para así implementarlo con la Metodología MAGERIT, usando el software Pilar.

Analizaremos los siguientes puntos:o Funcionamiento de la empresa

o Descripción de las diferentes áreas

o Funciones de los cargos relevantes de las áreas.

o Activos de la empresa dirigido a la Seguridad Informática.

Actividad de la EmpresaLa empresa se llama SESA y esta dedicada al servicio y distribución de mensajería y paquetería. Esta empresa busca realizar un buen uso de sus servicios para que el cliente se sienta satisfecho teniendo puntos de entrega y/o recogiendo encomiendas en domicilios en acuerdo con el cliente.

SESA, se encarga de recibir y entregar mensajes y paquetes de forma segura y rápida. Esta empresa cuenta con dos sucursales por lo pronto; Estas sucursales están constituidas por 4 áreas: Marketing, Comercial, Producción y Administración. Las

2

Tecnologías de la Información y Comunicaciones son fundamentales para el desarrollo del negocio.

La empresa consta de 50 empleados que hacen que su funcionamiento sea el mas eficaz y adecuado a pesar de que conste de 2 sucursales, pero éste no es impedimento de su buen funcionamiento de sus servicios. Esta empresa se encuentra ubicada en Valencia España y su mercado esta dirigido a todo el publico. Ya que su nicho es apto para todo publico.

SESA tiene cuatro departamentos que tienen roles importantes para el funcionamiento de la compañía. La parte Administrativa se encarga del buen funcionamiento y movimiento general de la compañía. La parte Comercial que es la que se encarga del canal de distribución de mensajería y paquetería y el buen trato con los clientes, como el control de rutas y horarios de entrega teniendo presente la puntualidad. La parte Marketing que se enfoca del movimiento apropiado de la imagen de la compañía, usando grandes herramientas que permite que la empresa se encuentre bien posicionada por su servicios. Por ultimo tenemos el departamento de Producción que se encarga de sellamiento y empaquetamiento con etiquetas respectivas de su origen, destino, remitente y destinatario. Organizando su área y horario de entrega conjunto al área comercial.

“La empresa que hemos elegido para realizar el análisis con las herramientas planteadas en el supuesto es X. La actividad comercial de la misma se basa en el transporte urgente de paquetería y documentación a nivel nacional. Para nuestro estudio vamos a especificar, de forma analítica, primeramente una de las sucursales de que consta la empresa y cuáles son sus requerimientos respecto a los departamentos necesarios para llegar a operar y la tecnología necesaria para cada uno de ellos.

Puesto que para realizar nuestro estudio tenemos la necesidad de crear dos sucursales claramente diferenciadas, en la primera de ellas no se contará un departamento TIC, y para el segundo supuesto tendremos un departamento TIC de nivel global.

En este caso, los departamentos necesarios para su actividad empresarial son cuatro: administración, marketing, comercial y producción. En cada uno de ellos detallaremos el personal necesario y las funciones específicas para cada unidad de negocio”.

3

Estructura Organizativa de la Empresa

4

Proveedores de Infraestructura y Servicios de la EmpresaEntre los proveedores que tiene SESA, se encuentra un proveedor de servicios de Internet, donde se firman clausulas de un buen servicio y una estabilidad de este servicio por parte del proveedor. La compañía cuenta con un proveedor de Seguridad y Vigilancia el cual provee Cámaras, DVR’s, entre otros dispositivos. Estos dispositivos se encuentran ubicados en puntos esenciales de la compañía para dar seguridad a mensajes/paquetes, clientes, empleados y terceros. El proveedor de Seguridad y Vigilancia se hace responsable del buen uso de estos y de su mantenimiento. SESA cuenta con un proveedor de Renting de Coches para la transportación de mensajería y paquetería, operados por personal calificado de la compañía por medio del uso de PDA para la coordinación de la entrega y recogida de los mensajes y paquetes. Existe un proveedor indispensable para el buen funcionamiento de la compañía y es el proveedor de materiales de embalajes y envasado, proporcionando diferentes tamaños con un material resistente para cualquier paquete que desee el cliente enviar. Este proveedor proporcionara también el material de sellamiento y etiquetado. Entre otros proveedores se encuentra el encargado del Sistema de Gestión integral (ERP) para crear una comunicación entre departamentos y sucursales de la misma sucursal y entre sucursales.

Cada sucursal cuenta con un establecimiento en donde se encuentran basculas para conocer el peso de cada paquete, Equipos informáticos, organizadores y demás materiales que son indispensables para la compañía.

Para el supuesto uno. Se hace el análisis de los servicios que contienen ya que no cuenta con el departamento de las Tecnología de información y Comunicación. Cada departamento con sus empleados son responsables por el uso adecuado de las instalaciones y equipos informáticos.

5

Para el segundo supuesto, el Departamento de las Tecnologías de la Información y Comunicación, se encargaran de funciones que estaban controladas por los proveedores como el manejo de la seguridad y vigilancia y gestionaran el actual ERP. El Departamento TIC se enfocara en crear avances que harán posible el progreso de la Empresa teniendo en claro la Seguridad Informática.

Se encargaran de realizar y administrar la pagina Web de la compañía en donde se dispondrá información de la compañía, solicitud del servicio a domicilio y también un soporte en línea para que los clientes se sientan a gusto del buen servicio acompañado de la buena seguridad de la información.

Este departamento abarcara el control y el buen uso de los dispositivos que son propios de la compañía, para el buen rendimiento por parte de los operarios en la administración de los mensajes y paquetes.

6

Gerente General

Sucursal 1

Comercial

Marketing Administración

Produccion

Sucursal 2

Comercial

Marketing Administración

Producción

Servicios y responsabilidad de las sucursales y sus Deptos.

Servicios del Departamento de las TIC

7

Gerente General

Sucursal 1

ComercialMarketing

AdministraciónProduccion

Departamento de las TIC Sucursal 2

Comercial Marketing

Administración Producción

Servicio de mantenimiento de Equipos.

Servicio de Sistematización de la información de la empresa.

Servicio al cliente. Administración y soporte de la

pagina Web Administración y soporte a

Servicios de las Sucursales por Departamentos de Paquetes y Mensajerías

Fuentes de DatosLa empresa X trata información que vamos a catalogar según las fuentes de

obtención de la misma:

8

Servicio de mantenimiento de Equipos.

Servicio de Sistematización de la información de la empresa.

Servicio al cliente. Administración y soporte de la

pagina Web Administración y soporte a

Administración de los Paquetes y servicios.

Gestión de transporte de paquetes y mensajerías.

Contabilidad y Administración. Servicios de RRHH. Confidencialidad de la información

que maneja las sucursales. Mecanismos de coordinación y

control para el correcto funcionamiento de todos los departamentos de la empresa (Auditorias).

Responsabilidades sobre el manejo de los dispositivos y sistemas informáticos.

-Clientes: Este campo aborda toda la información relativa a los clientes. Aquí tenemos que realizar una diferenciación por la dualidad de los mismos; trataremos de una parte, y de forma diferenciada, los clientes finales, que son los receptores de la mercancía, y de los cuales tendremos bases de datos que contengan una serie de datos personales, tales como nombre; apellidos; identificación; domicilio y teléfono. Por otro lado, tenemos los clientes a los cuales prestamos el servicio fruto de nuestra empresa, y que son aquellos que nos depositan sus paquetes para que puedan ser entregados a los clientes finales. De éstos últimos, mantendremos una base de datos que contenga la siguiente información: nombre; apellidos; razón social, en su caso; identificación fiscal; domicilio; teléfono; correo electrónico y datos bancarios.

-Pedidos: En este ámbito tendremos una base de datos que contenga información sobre todos los pedidos realizados, tales como cliente que envía y cliente que recibe; fecha, tanto de envío como de recepción; dimensiones; peso; y código localizador que se generará a través del sistema informático con el que opere la empresa y que arroje todos los datos mencionados anteriormente.

-Vehículos: Puesto que nuestra empresa tiene un contrato de alquiler de los vehículos con los que operan los transportistas, también necesitamos información sobre los mismos, tal como, matrícula; modelo; características técnicas; número de bastidor; kilómetros; fecha adquisición; próximas revisiones; averías; y transportista que lleva el vehículo.

-Recursos Humanos: La empresa contará con todos los datos personales de sus empleados (nombre; apellidos; identificación; domicilio; teléfono; correo electrónico personal y profesional…), además esta base de datos contendrá los datos relativos a la relación profesional entre cada uno de ellos y la empresa, esto es, tipo de contrato; duración; salario establecido; horas extras, en su caso; vacaciones y demás permisos. Además este departamento gestionará directamente con la compañía aseguradora la prevención de riesgos de nuestra empresa y hará constar en un registro todos los accidentes laborales de los trabajadores.

-Contabilidad: Este departamento llevará un control de los cobros y pagos en los que incurra la empresa, y será una buena fuente de información sobre el

9

funcionamiento de la compañía en cada momento y ofrecerá una imagen fiel de la situación económica de la misma.

Flujo de InformaciónNuestra empresa mantiene un flujo de información, tanto de entrada como de salida, constante por las necesidades de nuestra actividad empresarial. Por lo tanto, podemos estar hablando del papel dual que tiene la compañía respecto de la información, por una parte como demandante de la misma para llevar a cabo su cometido, y por otro lado, como fuente generadora de información. También nos toca diferenciar en este caso los usuarios de la información en internos y externos, tanto por la generación como por el uso de la misma.

Recogida de información (Entrada)

La corporación recoge información y datos personales de clientes, tanto primarios como finales, que deben ser tratados con un alto grado de seguridad por la confidencialidad de los datos que se están tratando y que han sido comentados anteriormente. Los datos que se recogen de todos los clientes tienen que ser unidos con los datos que la empresa va a generar sobre cada unos de los pedidos emitidos, tales como códigos de barras para su posterior localización, los datos del transporte, y tanto los datos del cliente primario como del cliente final.

La empresa también recoge información personal de sus empleados, que será tratada con el mismo rigor, respecto de la seguridad, que la de los clientes de la corporación.

Además de todo lo anterior, cabe destacar que tal y como resulta evidente, la empresa genera información contable que vierte una imagen fiel de la situación económica de la empresa en cada momento, y que ésta debe ser tratada con seguridad por la peligrosidad que supone si es filtrada al exterior o utilizada de forma tendenciosa.

El destino para el consumo de la mayor parte de esta información que genera la empresa es interno, puesto que la creación y gestión de las bases de datos de clientes y mercancías es propia y para el uso profesional. Podemos estar hablando entonces que la utilización de estos datos es llevada a cabo por usuarios internos de la empresa,

10

Entrada de información

Clientes

RRHH

Contabilidad

Ventas

teniendo en cuenta que a través del ERP creado para la empresa, los empleados sólo tendrán acceso a la información que tenga relevancia para el desempeño de su puesto de trabajo; y los únicos con acceso a todo el sistema serán los gerentes de la sucursal.

Extracción de información (Salida)

Como flujo principal de salida de información y que ésta va a ser consumida por agentes externos a la empresa cabe señalar que, puesto que la empresa dispone de un sistema informatizado de localización de los paquetes como valor añadido al servicio con el cliente, también los clientes, tanto primarios como finales, pueden acceder a la información sobre el seguimiento de los envíos realizados. Por tanto, la corporación tendrá que disponer de una plataforma segura que muestre los datos relativos a cada paquete para garantizar la confidencialidad de la información.

Además de éste, otro punto a considerar como posible salida de información de la empresa sería a través del proveedor del ERP que necesita acceder a datos que componen el sistema de gestión de la corporación para solucionar posibles errores o introducir mejoras en el mismo.

11

Software EmpleadoEl software empleado en la compañía será el que emplee el departamento de las TIC. Siendo un software libre cuyo modelo esté a medida para que los cargos de las empresas tengan un buen dominio de éste y así haya una comunicación y coordinación por medio de un sistema integrado para el funcionamiento correcto de la empresa. El software estará implementado en todos los ordenadores con sus respectivas licencias y permisos para el uso y supervisión adecuado.

Entre los Software que se emplearan en la compañía SESA por medio del departamento de las Tecnologías de la Información se pueden citar las siguientes.

Software de Contabilidad (Cobros y pagos): Este software se encargara de llevar un control y un orden en los cobros de los servicios prestados como el de los pagos a empleados y proveedores, y también el de los cobros de clientes.

12

Salida de informació

n

ClientesPlataforma de localización

Proveedores de sistema

ERP

Éste será común en las dos sucursales y llevará el control de las mismas y de la empresa en general.

Software de Facturación : Este software está empleado para el uso tanto de los operarios que trabajan en las sucursales como los pagos en línea, en donde los clientes hacen uso de los productos que tiene la empresa de mensajería y paquetería. Es de uso exclusivo de los operarios encargados de las facturaciones. La información que se les entrega a los operarios por parte del software de facturación es exclusivo y restringido para que realicen lanzamientos de campañas publicitarias a usuarios específicos.

Software de Inventario : Este software está enfocado en la administración y control de los embalajes y etiquetado donde se organizaran los pedidos para ser enviados, siempre supervisados de un buen manejo y enfocándose en la información propicia como la localidad de la zona a entregar, horario y dirección, para coordinar sus entregas. Además está conectado con el sistema de pedidos de nuestro proveedor de materiales de embalajes, envasado y etiquetado, por lo que los pedidos se producen de forma automatizada, una vez se haya llegado al stock mínimo.

Software de Rutas : Este software va dirigido al control y localización de cada uno de los equipos de transportadores para dar información de paquetes entregados y los que queden por entregar, pudiendo en cada momento conocer la localización exacta del transporte y de cada uno de los paquetes con las horas previstas de entrega. Sirve para control interno de la compañía.

Entre las aplicaciones que se emplearan en la empresa SESA, por medio del departamento de las TIC, se puede citar la siguiente.

App Localización de paquetes : Esta Aplicación contara de forma precisa la ubicación de los transportistas, paquetes y mensajes para que los clientes puedan conocer el estado de sus encomiendas. La empresa puede conocer por medio de la aplicación las debilidades de rutas y así pre-ajustar horarios de envíos que tarden o se congestionen en llegar más de lo acordado con el cliente.

Como parte de los programas adquiridos están:

Gestor de Correos Electrónicos : El Gestor de correos electrónicos es utilizado por todos los empleados de la compañía que tengan a su disposición

13

un ordenador. Para así crear una comunicación inmediata con los diferentes departamentos o entre las sucursales.

Gestor de Bases de Datos : Este software es utilizado para poder interconectar el software de todos los departamentos, y recolectar información de los clientes para lanzar campañas de marketing adaptadas a las necesidades de cada uno de ellos según la facturación.

Gestor de ERP: Este software es un modelo de gestión integral capaz de coordinar todas las áreas de actividad de la empresa, interconectado las estrategias que se vayan a adoptar para el correcto funcionamiento y aportando una única herramienta capaz de dar soporte tanto a los directivos mediante la emisión de informes y estadísticas sobre el funcionamiento de la corporación, como a los empleados para el desempeño de su actividad profesional.

Puntos Críticos de InformaciónTodas las bases de datos que maneja la empresa son importantes para el correcto funcionamiento de la corporación pero si tenemos que señalar aquellas que tienen más relevancia por la clase de datos que manejan serían las que están relacionadas con los clientes y con los empleados de la corporación. Estas bases de datos se gestionan mediante un ERP, software que permite dar apoyo a las relaciones con cliente y posee varias funcionalidades para la gestión de clientes, ventas, marketing y almacén de

14

datos, que es el encargado de establecer las relaciones y puntos de actuación entre las diferentes áreas de la empresa. Por tanto, dentro del programa de PILAR vamos a seleccionar estas bases de datos como activos esenciales, por su carácter crítico en caso de ataques contra la seguridad.

Vías de Entrada y Salida de la Información

15