Resumen Capitulo 9: Obtención de la excelencia operacional e intimidad con el cliente: aplicaciones empresariales

RESUMEN CAPITULO 9

SISTEMAS DE INFORMACIÓN GERENCIAL

CAPITULO 9: Obtención de la excelencia operacional e intimidad con el cliente: aplicaciones empresariales

9.1 SISTEMAS EMPRESARIALES

¿QUÉ SON LOS SISTEMAS EMPRESARIALES?

También conocidos como sistema de planificación de recursos empresariales (ERP), que se basan en una suite de módulos de software integrados y una base de datos central común que permite compartir datos entre muchos procesos de negocios y áreas funcionales diferentes en toda la empresa.

SOFTWARE EMPRESARIAL

El software empresarial se basa en los miles de procesos de negocios predefinidos que reflejan las mejores prácticas.

TABLA 9-1 PRINCIPALES PROCESOS DE NEGOCIOS SOPORTADOS POR SOFTWARE EMPRESARIAL

Procesos financieros y contables, entre ellos libros de contabilidad, cuentas por pagar, cuentas por cobrar, activos fijos, administración de efectivo y pronósticos, contabilidad por costos de producción, contabilidad de activos, contabilidad fiscal, administración de créditos e informes financieros.

Procesos de recursos humanos como administración de personal, contabilidad del tiempo, nóminas, planificación y desarrollo de personal, rastreo de solicitantes, administración del tiempo, compensación, planificación de la fuerza de trabajo, administración del desempeño e informes sobre los gastos de viajes.

Procesos de manufactura y producción, implica adquisiciones, administración del inventario, compras, envíos, planificación de la producción, programación de la producción, planificación de requerimientos de materiales, control de calidad, distribución, ejecución de transporte y mantenimiento tanto de plantas como de equipo.

Procesos de ventas y marketing, comprende procesamiento de pedidos, cotizaciones, contratos, configuración de productos, precios, facturación, verificación de créditos, administración de incentivos y comisiones, y planificación de ventas.

VALOR DE NEGOCIOS DE LOS SISTEMAS EMPRESARIALES

Los sistemas empresariales proveen valor, tanto al incrementar la eficiencia operacional como al proporcionar información a nivel empresarial para ayudar a los gerentes a tomar mejores decisiones. Las grandes compañías con muchas unidades de operación en distintas ubicaciones han utilizado sistemas empresariales para cumplir con las prácticas y datos estándar, de modo que todos realicen sus negocios en la misma forma a nivel mundial.

Los sistemas empresariales ayudan a las firmas a responder con rapidez a las solicitudes de los clientes en cuanto a información o productos. Como el sistema integra los datos sobre pedidos, manufactura y entrega, el departamento de manufactura está mejor informado para producir sólo lo que los clientes han ordenado, y adquiere únicamente la cantidad correcta de componentes o materias primas para surtir los pedidos reales, organizar la producción y minimizar el tiempo de permanencia de los componentes o productos terminados en el inventario.

Los sistemas empresariales proveen mucha información valiosa para mejorar la toma de decisiones gerencial.

9.2 SISTEMAS DE ADMINISTRACIÓN DE LA CADENA DE SUMINISTRO

Los sistemas de administración de la cadena de suministro son una respuesta a estos problemas de complejidad y escala de la cadena de suministro.

LA CADENA DE SUMINISTRO

La cadena de suministro es una red de organizaciones y procesos de negocios para adquirir materias primas, transformar estos materiales en productos intermedios y terminados, y distribuir los productos terminados a los clientes. Enlaza proveedores, plantas de manufactura, centros de distribución, puntos de venta al menudeo y clientes para proveer bienes y servicios desde el origen hasta el consumo.

Los materiales, la información y los pagos fluyen por la cadena de suministro en ambas direcciones. Los bienes empiezan como materias primas y, a medida que avanzan por la cadena de suministro, se transforman en productos intermedios (también conocidos como componentes o piezas) para convertirse al último en productos terminados. Estos productos terminados se envían a los centros de distribución y, desde ahí, a los vendedores minoristas y los consumidores. Los artículos devueltos fluyen en dirección inversa, desde el comprador hasta el vendedor.

La porción ascendente de la cadena de suministro: proveedores de la compañía, los proveedores de esos proveedores y los procesos para administrar las relaciones con ellos.

La porción descendente consiste en las organizaciones y procesos para distribuir y ofrecer productos a los clientes finales.

SISTEMAS DE INFORMACIÓN Y ADMINISTRACIÓN DE LA CADENA DE SUMINISTRO

Estrategia justo a tiempo

Saber cuántas unidades exactas de producto desean los clientes, en qué momento las desean y en dónde se pueden producir.

Muchas veces no es posible por la incertidumbre:

·         Eventos que no se pueden prever

·         Demanda incierta de productos

·         Envíos tardíos de los proveedores

·         Piezas o materia prima con defectos

·         Interrupciones en el proceso de producción.

Para satisfacer a los clientes y lidiar con dichas incertidumbres e imprevistos, es común que los fabricantes mantengan más material o productos en inventario del que piensan que van a necesitar en realidad. La reserva de seguridad actúa como un almacén de reserva para compensar la falta de flexibilidad en la cadena de suministro.

Efecto látigo:

Problema recurrente en la administración de la cadena de suministro donde la información sobre la demanda de un producto se distorsiona a medida que pasa de una entidad a la otra en la cadena de suministro.

SOFTWARE DE ADMINISTRACIÓN DE LA CADENA DE SUMINISTRO

Se clasifica como software para ayudar a las empresas a planear sus cadenas de suministro (planificación de la cadena de suministro) o como software para ayudarles a ejecutar los pasos de la cadena de suministro (ejecución de la cadena de suministro).

Permiten:

·         Modelar su cadena de suministro existente

·         Generar pronósticos de la demanda de los productos y

·         Desarrollar planes óptimos de abastecimiento y fabricación.

Ayudan en la tomar mejores decisiones:

·         Determinar cuánto hay que fabricar de un producto específico en un periodo de tiempo dado;

·         Establecer niveles de inventario para las materias primas, los productos intermedios y los productos terminados;

·         Determinar en dónde almacenar los productos terminados, e identificar el modo de transporte a usar para la entrega de los productos.

Planificación de la demanda:

Una de las funciones más importantes (y complejas) de la planificación de la cadena de suministro ya que determina la cantidad de producto que necesita fabricar una empresa para satisfacer todas las demandas de sus clientes.

Los sistemas de ejecución de la cadena de suministro

·         Administran el flujo de productos por medio de los centros de distribución y almacenes para asegurar que los productos se entreguen en las ubicaciones correctas y en la forma más eficiente.

·         Rastrean el estado físico de los productos, la administración de materiales, las operaciones de almacén y transporte, y la información financiera que involucra a todas las partes.

CADENAS DE SUMINISTRO GLOBALES E INTERNET

Los sistemas de administración de la cadena de suministro y los sistemas empresariales mejorados con la tecnología de Internet proveen integración de:

·         Coordinación de la cadena de suministro

·         Información para que fluya de manera uniforme a lo largo de los sistemas de la cadena de suministro (procesos de compras, administración de materiales, manufactura y distribución).

·         Compartir información con los socios de la cadena de suministro externa (Compatibilidad en tecnología de los sistemas y plataformas)

Uso de interfaz Web para entrar en los sistemas de los proveedores, determinar si el inventario y las capacidades de producción coinciden con la demanda.

Uso de herramientas basadas en Web para colaborar en línea con los pronósticos.

Acceso de ventas para monitorear el estado de los pedidos de los clientes.

Aspectos sobre la cadena de suministro global

Cada vez más compañías entran a los mercados internacionales, subcontratan las operaciones de manufactura y obtienen provisiones de otros países, además de vender en el extranjero. Sus cadenas de suministro se extienden a través de varios países y regiones.

Por lo general, las cadenas de suministro globales abarcan distancias geográficas y diferencias de tiempo mayores que las cadenas de suministro nacionales, además de tener participantes de varios países distintos.

Factores a tomar en cuenta:

·         Precio de compra de productos en el extranjero

·         Costos adicionales de transporte e inventario

·         Impuestos o cuotas locales.

·         Los estándares de desempeño pueden variar de una región a otra, o de una nación a otra.

·         Regulaciones gubernamentales del extranjero

·         Diferencias culturales.

 Todos estos factores generan un impacto en la forma en que una compañía recibe los pedidos, planea la distribución, ajusta el tamaño de sus almacenes y administra la logística tanto entrante como saliente a lo largo de los mercados globales a los que da servicio.

Internet ayuda a las compañías a administrar muchos aspectos de sus cadenas de suministro globales, como lo son: el abastecimiento, el transporte, las comunicaciones y las finanzas internacionales.

Además de la manufactura por contrato, la globalización ha fomentado la subcontratación de la administración de los almacenes, el transporte y las operaciones relacionadas con proveedores de logísticas compuestos por terceros.

Cadenas de suministro orientadas a la demanda: de la manufactura de inserción (push) a la de extracción (pull) y la respuesta eficiente a los clientes.

Los sistemas de administración de la cadena de suministro facilitan la respuesta eficiente a los clientes, lo cual permite que el funcionamiento de la empresa se oriente más a la demanda de los clientes.

En un modelo basado en inserción (push), los programas maestros de producción se basan en pronósticos o en las mejores suposiciones de la demanda de los productos, los cuales se ofrecen a los clientes sin que éstos los soliciten. Con los nuevos flujos de información que son posibles gracias a las herramientas basadas en Web, la administración de la cadena de suministro puede seguir con más facilidad un modelo basado en extracción.

En un modelo basado en extracción (pull), también conocido como modelo orientado a la demanda o de fabricación bajo pedido (build-to-order), los pedidos o las compras reales de los clientes desencadenan eventos en la cadena de suministro. Las transacciones para producir y entregar sólo lo que han pedido los clientes avanzan hacia arriba por la cadena de suministro, desde los vendedores minoristas a los distribuidores, luego a los fabricantes y por último a los proveedores. Sólo los productos para surtir estos pedidos bajan por la cadena de suministro hasta llegar al vendedor minorista. Los fabricantes sólo utilizan la información actual sobre la demanda de sus pedidos para controlar sus programas de producción y la adquisición de componentes o materias primas-

Internet y su tecnología hacen que sea posible cambiar de las cadenas de suministro secuenciales, en donde la información y los materiales fluyen de manera secuencial de una compañía a otra, a las cadenas de suministro concurrentes, en donde la información fluye en muchas direcciones al mismo tiempo entre los miembros de una red de cadenas de suministro. Las redes de suministro complejas de fabricantes, proveedores de logística, fabricantes subcontratados, vendedores minoristas y distribuidores son capaces de ajustarse de inmediato a los cambios en los programas o pedidos. En última instancia, Internet podría crear un “sistema nervioso de logística digital” a lo largo de la cadena de suministro.

9.3 SISTEMAS DE ADMINISTRACIÓN DE RELACIONES CON EL CLIENTE

¿QUÉ ES LA ADMINISTRACIÓN DE RELACIONES CON EL CLIENTE?

Saber con exactitud quiénes son los clientes, cómo se pueden contactar, si es costoso o no darles servicio y venderles productos, los tipos de productos y servicios en los que están interesados y qué tanto dinero invierten

Es conveniente conocer bien a cada uno de los clientes y hacerlos sentir especiales.

Los sistemas de administración de relaciones con el cliente (CRM):

·         Capturan e integran los datos de los clientes de todas partes de la organización, los consolidan, los analizan y después distribuyen los resultados a varios sistemas y puntos de contacto con los clientes en toda la empresa. Un punto de contacto es un método de interacción con el cliente, como el teléfono, correo electrónico, departamento de soporte técnico, correo convencional, sitio Web, dispositivo inalámbrico o tienda de ventas al menudeo.

·         Proveen una sola vista empresarial de los clientes, la cual es útil para mejorar tanto las ventas como el servicio al cliente.

·         Proveen datos y herramientas analíticas para conocer algunos datos como:

§  Cuál es el valor de un cliente específico para la firma durante su tiempo de vida

§  Quiénes son nuestros clientes más leales

§  Quiénes son nuestros clientes más rentables

§  Qué desean comprar

·         Gestiona adquirir nuevos clientes, proporcionar un mejor servicio y apoyo a los clientes existentes, personalizar sus ofrecimientos de una manera más precisa según las preferencias de los clientes y proveer un valor continuo para retener a los clientes rentables.

SOFTWARE DE ADMINISTRACIÓN DE RELACIONES CON EL CLIENTE

El CRM pueden ser de varios tipos: las herramientas de nicho que realizan funciones limitadas, la personalización de sitios Web para clientes específicos y las aplicaciones empresariales de gran escala que capturan una multitud de interacciones con los clientes, las analizan con herramientas para informes sofisticados y las vinculan con otras aplicaciones empresariales importantes, como los sistemas de administración de la cadena de suministro y los sistemas empresariales.

Pueden contener varios módulos especializados:

Módulos para la administración de relaciones con los socios (PRM).

·         Utiliza muchos de los mismos datos, herramientas y sistemas que la administración de las relaciones con el cliente para mejorar la colaboración entre una compañía y sus socios de ventas.

·         Ofrece a una compañía y a sus socios de ventas la habilidad de intercambiar información y distribuir las iniciativas y datos sobre los clientes.

·         Provee Las herramientas para evaluar los desempeños de sus socios.

Módulo para la administración de relaciones con los empleados (ERM)

·         Se encarga de los aspectos de los empleados que están muy relacionados con el software CRM, como el establecimiento de objetivos, la administración del desempeño de los empleados, la compensación basada en el desempeño y la capacitación de los empleados.

Herramientas y software en línea para ventas, servicio al cliente y marketing.

Automatización de la fuerza de ventas (SFA)

·         Estos módulos ayudan al personal de ventas a incrementar su productividad, al enfocar los esfuerzos de ventas en los clientes más rentables, aquellos que son buenos candidatos para ventas y servicios.

·         Ofrecen información sobre prospectos de ventas y de contacto, información de productos, herramientas para configurar productos y para generación de cotizaciones de ventas.

·         Permite a los departamentos de ventas, marketing y entregas compartir con facilidad la información sobre clientes y prospectos.

·         Incrementa la eficiencia de cada vendedor al reducir el costo por venta, así como el costo de adquirir nuevos clientes y retener a los anteriores.

·         Pronósticos de ventas, administración de territorios y ventas en equipo.

Servicio al cliente

·         Proveen información y herramientas para incrementar la eficiencia de los centros de llamadas, los departamentos de soporte técnico y el personal de soporte al cliente.

·         Tienen herramientas para asignar y administrar las solicitudes de servicio de los clientes (servicio telefónico)

·         Herramientas de autoservicio basadas en Web. El sitio Web de la compañía se puede configurar para proveer información de soporte personalizada a los clientes que lo requieran, así como la opción de contactar al personal de servicio al cliente por teléfono para obtener asistencia adicional.

Marketing

·         Herramientas para capturar los datos de prospectos y clientes, para proveer información de productos y servicios, para clasificar las iniciativas para el marketing dirigido y para programar y rastrear los correos de marketing directo o el correo electrónico

·         Cuentan con herramientas para analizar los datos de marketing y de los clientes, identificar a los clientes rentables y no rentables, diseñar productos y servicios para satisfacer las necesidades e intereses específicos de los clientes, e identificar las oportunidades de venta cruzada (productos complementarios)

·         Ayudan a administrar y ejecutar las campañas de marketing en todas las etapas, desde la planificación hasta la determinación de la tasa de éxito para cada campaña.

·         Asignar a cada cliente una puntuación con base en el valor de esa persona y su lealtad para la compañía, y proveer esa información para ayudar a los call center a canalizar la solicitud de servicio de cada cliente a los agentes que puedan manejar de la mejor manera las necesidades de ese cliente.

CRM OPERACIONAL Y ANALÍTICO

El CRM operacional

Integra las aplicaciones que interactúan de manera directa con el cliente, como las herramientas para la automatización de la fuerza de ventas, el call center y el soporte de servicio al cliente, y la automatización de marketing.

El CRM analítico

Tiene aplicaciones que analizan los datos de los clientes generados por las aplicaciones CRM operacionales, para proveer información que ayude a mejorar el desempeño de la empresa. Se basan en los almacenes de datos que consolidan la información a partir de los sistemas CRM operacionales y los puntos de contacto de los clientes, para usarlos con el procesamiento analítico en línea (OLAP), la minería de datos y otras técnicas de análisis de datos. Dichos datos se analizan para identificar patrones de negocios, crear segmentos para el marketing dirigido y señalar a los clientes tanto rentables como no rentables.

Brinda como resultado el Valor del Tiempo de Vida del Cliente (CLTV), el cual se basa en la relación entre los ingresos producidos por un cliente específico, los gastos incurridos en adquirir y dar servicio a ese cliente, y la vida esperada de la relación entre el cliente y la compañía.

VALOR DE NEGOCIOS DE LOS SISTEMAS DE ADMINISTRACIÓN DE RELACIONES CON EL CLIENTE             

La administración de relaciones con el cliente logra muchos beneficios:

·         Aumentar la satisfacción de los clientes,

·         Reducir los costos del marketing directo,

·         Marketing más efectivo

·         Menores costos en cuanto a la adquisición y retención de los clientes.

·         La información incrementa los ingresos de las ventas al identificar a los clientes y segmentos más rentables

·         La cancelación de los clientes se reduce a medida que las ventas, los servicios y el marketing responden mejor a las necesidades de los clientes.

9.4 APLICACIONES EMPRESARIALES: NUEVAS OPORTUNIDADES Y DESAFÍOS

Los sistemas empresariales y sistemas para la administración de la cadena de suministro y la administración de relaciones con el cliente, son instrumentos muy poderosos para obtener la excelencia operacional y mejorar la toma de decisiones. Estas poderosas herramientas cambian la forma en que funciona la organización, representan un desafío a la hora de su implementación.

DESAFÍOS DE LAS APLICACIONES EMPRESARIALES.

Los sistemas empresariales basan su atractivo en:

·         Promesas de reducciones en los costos de inventario,

·         Tiempo que transcurre desde la realización del pedido hasta su entrega,

·         Respuesta más eficiente al cliente

·         Mayor rentabilidad tanto en los productos como en el cliente

Esto implica grandes cambios y retos en la empresa:

·         Alto costo para comprar  e implementar piezas complejas de software para aplicaciones empresariales.

·         Implementación de software, herramientas de bases de datos, honorarios de consultoría, los costos de personal, la capacitación y tal vez los costos de hardware.

·         Las aplicaciones empresariales requieren una transformación tecnológica profunda y cambios fundamentales en la forma en que operan las empresas.

·         Se deben realizar cambios radicales en sus procesos de negocios para trabajar con el software.

·         Los empleados deben aceptar nuevas funciones y responsabilidades de trabajo. Deben comprender cómo es que la información que introducen en el sistema

·         Requiere un nuevo aprendizaje organizacional.

·         Requiere que varias organizaciones compartan información y procesos de negocios.

·         Puede requerir cambios en algunos de sus procesos y la forma en que utiliza la información para crear un sistema que dé un mejor servicio a la cadena de suministro en general.

·         Asumir costos por cambiar

·         Actualizaciones de producto y mantenimiento a su instalación.

·         Por lo general, los sistemas CRM requieren cierto trabajo de limpieza de los datos.

APLICACIONES EMPRESARIALES DE LA PRÓXIMA GENERACIÓN

Las nuevas aplicaciones empresariales ofrecen más valor al ser más flexibles, tener capacidad Web y ser capaces de integrarse con otros sistemas.

Los principales distribuidores de software empresarial han creado lo que se conoce como soluciones empresariales, suites empresariales o suites de negocios electrónicos.

Los principales distribuidores de aplicaciones empresariales también ofrecen porciones de sus productos que trabajan en dispositivos móviles de bolsillo.

Los distribuidores de aplicaciones empresariales también han reforzado sus características de inteligencia de negocios para ayudar a los gerentes a obtener información más significativa de las cantidades masivas de datos generados por estos sistemas. En vez de requerir que los usuarios salgan de una aplicación e inicien herramientas separadas de informes y análisis, los distribuidores están empezando a incrustar los análisis dentro del contexto de la misma aplicación.

SAP Business Suite

Las aplicaciones empresariales de la próxima generación de SAP se basan en su arquitectura empresarial orientada al servicio. Ésta incorpora estándares de arquitectura orientada al servicio (SOA) y usa su herramienta NetWeaver como una plataforma de integración que vincula las propias aplicaciones de SAP con los servicios Web desarrollados por distribuidores de software independientes.

SAP ofrece cerca de 500 servicios Web por medio de su sitio Web.

SAP ofrece una solución de software empresarial bajo demanda conocida como Business ByDesign, para pequeñas y medianas empresas en ciertos países.

Ofrece productos de análisis complementarios, como SAP Business Objects.

Oracle e-Business Suite

Oracle también ha incluido herramientas de SOA y de administración de procesos de negocios en sus productos de middleware Fusion. Las empresas pueden usar las herramientas de Oracle para personalizar las aplicaciones de Oracle sin quebrantar toda la aplicación.

También están ofreciendo productos de análisis complementarios, como Oracle Business Intelligence Enterprise Edition.

Soluciones de código fuente abierto y bajo demanda

Los productos de código fuente abierto como Compiere, Apache Open for Business (OFBiz) y Openbravo no son tan maduros, además de que no proveen tanto soporte e comparación con el software de aplicaciones empresariales comercial.

Suite Microsoft Dynamics.

Orientada a compañías medianas

Salesforce.com y Oracle han agregado herramientas Web 2.0 que permiten a las organizaciones identificar las nuevas ideas con más rapidez, mejorar la productividad en equipo y profundizar en las interacciones con los clientes.

Dell Computer implementó esta tecnología como Dell IdeaStorm (dellideastorm.com) para animar a sus clientes a sugerir y votar sobre nuevos conceptos y cambios de características en los productos Dell.

Plataformas de servicio

Las plataformas de servicio integran datos y procesos de las diversas aplicaciones empresariales (sistemas empresariales, de administración de la relación con el cliente y de administración de la cadena de suministro), así como de distintas aplicaciones heredadas dispares para crear nuevos procesos de negocios compuestos. Los servicios Web enlazan varios sistemas entre sí. Los nuevos servicios se ofrecen a través de portales empresariales, los cuales pueden integrar aplicaciones dispares de modo que la información parezca provenir de una sola fuente. Algunos de estos productos están empezando a ofrecer versiones de código fuente abierto, móviles y en la nube.

Resumen Capitulo 8: Seguridad en los sistemas de información

RESUMEN CAPITULO 8

SISTEMAS DE INFORMACIÓN GERENCIAL

CAPITULO 8: Seguridad en los sistemas de información

8.1 VULNERABILIDAD Y ABUSO DE LOS SISTEMASTENDENCIAS DE REDES Y COMUNICACIÓN

El uso de los sistemas de información de un negocio debe ser seguro.

La seguridad se refiere a las políticas, procedimientos y medidas técnicas para evitar el acceso sin autorización, la alteración, el robo o el daño físico a los sistemas de información. Los controles son métodos, políticas y procedimientos organizacionales que refuerzan la seguridad de los activos de la organización; la precisión y confiabilidad de sus registros, y la adherencia operacional a los estándares gerenciales.

POR QUÉ SON VULNERABLES LOS SISTEMAS

Acceso sin autorización, abuso o fraude puede ocurrir en cualquier punto de la red, debido a accesos sin permiso o mala manipulación.

Vulnerabilidades de Internet

Las redes públicas grandes, como Internet, son más vulnerables que las internas, ya que están abiertas para casi cualquiera.

Conexiones constantes a Internet mediante módems de cable o líneas de suscriptor digitales (DSL) son más propensas a que se infiltren personas externas debido a que usan direcciones de Internet fijas

El servicio telefónico basado en la tecnología de Internet es más vulnerable a la intercepción ya que la mayoría no es cifrado.

La vulnerabilidad también ha aumentado debido al extenso uso del correo electrónico, la mensajería instantánea (IM) y los programas de compartición de archivos de igual a igual.

Desafíos de seguridad inalámbrica

Las redes Bluetooth y Wi-Fi son susceptibles a la piratería informática por parte de intrusos que pueden infiltrarse con facilidad en las redes de área local (LAN). Los hackers utilizan herramientas para detectar redes no protegidas, monitorear el tráfico de red y, en algunos casos, obtener acceso a Internet o a redes corporativas.

La técnica de war driving la usan los espías que conducen cerca de edificios o se estacionan afuera de éstos y tratan de interceptar el tráfico de la red inalámbrica.

WEP (Privacidad Equivalente Alámbrica): el primer estándar de seguridad desarrollado por Wi-Fi no es muy efectivo como punto de acceso y todos los usuarios comparten la misma contraseña.

SOFTWARE MALICIOSO: VIRUS, GUSANOS, CABALLOS DE TROYA Y SPYWARE

Malware: software malicioso que variedad de amenazas, como virus de computadora, gusanos y caballos de Troya.

·         Virus de computadora

Programa de software malintencionado al que se adjunta a sí misma a otros programas o archivos de datos La carga útil puede ser relativamente benigna o ser sumamente destructiva

·         Gusanos:

Programas independientes que se copian a sí mismos en la computadora a través de una red.

Los virus y gusanos se están esparciendo desde:

ü  Archivos de software descargado

ü  Archivos adjuntos de correo electrónico

ü  Mensajes comprometidos de correo electrónico o mensajería instantánea

ü  Discos o computadoras infectadas

·         Caballo de Troya

Programa de software que aparenta ser benigno pero que hace algo distinto a lo esperado. No se replica pero con frecuencia constituye una manera para que los virus y otro código malicioso sean introducidos en un sistema de cómputo

·         Spyware

Pequeños programas que se instalan subrepticiamente a sí mismos en las computadoras para vigilar las actividades de navegación del usuario en la Web y presentar publicidad.

·         Keyloggers

Registran cada tecleo ingresado en una computadora. Roban números seriales o contraseñas

LOS HACKERS Y LOS DELITOS COMPUTACIONALES

·         Hacker: Individuo que intenta obtener acceso sin autorización a un sistema computacional.

·         Cracker: hacker con intención criminal.

·         Cibervandalismo: interrupción, desfiguración o destrucción intencional de un sitio Web o sistema de información corporativo.

Spoofing y Sniffing

·         Spoofing: Distorsión, por ej.: utilizando direcciones de correo falsas o redireccionando hacia sitios Web falsos

·         Sniffer: Programa de espionaje que vigila la información que viaja a través de una red.

Ataques de negación de servicio

·         Ataques de negación del servicio (DoS): Inundación de red o de servidores Web con miles de solicitudes de servicios falsas para que la red deje de funcionar

·         Ataque distribuido de negación del servicio (DDoS): Utiliza cientos o incluso miles de computadoras para inundar y agobiar la red desde numerosos puntos de lanzamiento

·         Botnet (red de robots): Colección de PCs “zombies” infectadas con software malicioso sin el conocimiento de sus propietarios y utilizados para lanzar Ddos o perpetrar otros crímenes

Delitos por computadora

El delito por computadora se define en el Departamento de Justicia de Estados Unidos como “cualquier violación a la ley criminal que involucra el conocimiento de una tecnología de computadora para su perpetración, investigación o acusación”.

TABLA 8-2 EJEMPLOS DE DELITOS POR COMPUTADORA

COMPUTADORAS COMO BLANCOS DE DELITOS

·         Violar la confidencialidad de los datos computarizados protegidos

·         Acceder a un sistema computacional sin autorización

·         Acceder de manera intencional a una computadora protegida para cometer fraude

·         Acceder de manera intencional una computadora protegida y causar daño, ya sea por negligencia o de forma deliberada

·         Transmitir conscientemente un programa, código de programa o comando que provoque daños intencionales a una computadora protegida

·         Amenazar con provocar daños a una computadora protegida

COMPUTADORAS COMO INSTRUMENTOS DE DELITOS

·         Robo de secretos comerciales

·         Copia sin autorización de software o propiedad intelectual protegida por derechos de autor, como artículos, libros, música y video

·         Ideas para defraudar

·         Uso del correo electrónico para amenazas o acoso

·         Tratar de manera intencional de interceptar comunicaciones electrónicas

·         Acceder de manera ilegal a las comunicaciones electrónicas almacenadas, como el correo electrónico y el correo de voz

·         Transmitir o poseer pornografía infantil mediante el uso de una computadora

Robo de identidad

Usar fracciones de información personal clave (número de identificación del seguro social, números de licencia de conducir o número de tarjeta de crédito) con el propósito de hacerse pasar por alguien más.

·         Phishing: Establecimiento de sitios Web falsos o el envío de mensajes de correo electrónico semejantes a los de las empresas auténticas para solicitar a los usuarios datos personales confidenciales

·         Evil twins: Redes inalámbricas que fingen ofrecer conexiones e intentan capturar contraseñas o números de tarjeta de crédito.

·         Pharming: Redirige a los usuarios a una página Web falsa, aún cuando éstos ingresen la dirección correcta de la página

Fraude informático y Ley de abuso (1986): Esta ley hace ilegal el acceso a un sistema de cómputo sin autorización.

Fraude del clic

Ocurre cuando un individuo o un programa de computadora hace clic de manera fraudulenta en un anuncio en línea sin la intención de conocer más sobre el anunciante o de realizar una compra.

Amenazas globales: ciberterrorismo y ciberguerra

Las actividades cibercriminales no tienen fronteras. Se cree que por lo menos 20 países (uno de ellos China) están desarrollando capacidades ofensivas y defensivas de ciberguerra.

AMENAZAS INTERNAS: LOS EMPLEADOS

Los empleados de una empresa plantean serios problemas de seguridad

·         Acceso a  información privilegiada –como los códigos de seguridad y contraseñas

·         Son capaces de vagar por los sistemas de una organización sin dejar rastro.

La falta de conocimiento de los usuarios: principal causa individual de las brechas de seguridad en las redes

·         Contraseñas olvidadas o uso compartido.

·         Ingeniería social: intrusos maliciosos que buscan acceder al sistema engañan a los empleados para que revelen sus contraseñas al pretender ser miembros legítimos de la compañía que necesitan información.

Errores introducidos en el software por:

·         Ingreso de datos erróneos, mal uso del sistema

·         Errores al programar, diseño de sistema

VULNERABILIDAD DEL SOFTWARE

Errores de software son una amenaza constante para los sistemas de información

Cuestan 59,600 millones de dólares anuales a la economía de Estados Unidos

La complejidad y el tamaño cada vez mayores de los programas, dan al malware la oportunidad de superar las defensas de los antivirus

Bugs:

Defectos de código del programa. Los estudios han demostrado que es casi imposible eliminar todos los bugs de programas grandes. La principal fuente de los bugs es la complejidad del código de toma de decisiones. Para corregir las fallas en el software una vez identificadas, el distribuidor del software crea pequeñas piezas de software llamadas parches para reparar las fallas sin perturbar la operación apropiada del software.

8.2 VALOR DE NEGOCIOS DE LA SEGURIDAD Y EL CONTROL

Proteger los sistemas de información es algo imprescindible para la operación de la empresa.

Los sistemas alojan información confidencial sobre los impuestos de las personas, los activos financieros, los registros médicos y las revisiones del desempeño en el trabajo.

También pueden contener información sobre operaciones corporativas; secretos de estado, planes de desarrollo de nuevos productos y estrategias de marketing. Los sistemas gubernamentales pueden almacenar información sobre sistemas de armamento, operaciones de inteligencia y objetivos militares.

Un control y seguridad inadecuados pueden provocar una responsabilidad legal grave, ya que deben proteger la información de sus clientes, empleados y socios de negocios (exposición o robo de datos):

Acciones protectoras para evitar la pérdida de información confidencial, la corrupción de datos o la fuga de privacidad.

REQUERIMIENTOS LEGALES Y REGULATORIOS PARA LA ADMINISTRACIÓN DE REGISTROS DIGITALES

Obligaciones de las compañías sobre la seguridad y el control para proteger los datos contra el abuso, la exposición y el acceso sin autorización. Las firmas se enfrentan a nuevas obligaciones legales en cuanto a la a la retención, el almacenaje de registros electrónicos y la protección de la privacidad.

·         HIPAA

Reglas y procedimientos sobre la seguridad y privacidad médicas

·         Ley de Gramm-Leach-Bliley

Requiere que las instituciones financieras garanticen la seguridad y confidencialidad de los datos de sus clientes

·         Ley Sarbanes-Oxley

Impone responsabilidad a las empresas y sus administraciones de salvaguardar la exactitud e integridad de la información financiera que se maneja de manera interna y que se emite al exterior.

EVIDENCIA ELECTRÓNICA Y ANÁLISIS FORENSE DE SISTEMAS

Hoy en día, los juicios se apoyan cada vez más en pruebas en forma de datos digitales. El correo electrónico es el tipo más común de evidencia electrónica.

Las cortes imponen ahora multas financieras severas e incluso penas judiciales por la destrucción inapropiada de documentos electrónicos, anomalías en la generación de registros y fallas en el almacenamiento adecuado de registros.

El uso de información digital puede usarse como evidencia para el análisis forense de sistemas : proceso de recolectar, examinar, autenticar, preservar y analizar de manera científica los datos retenidos o recuperados de medios de almacenamiento de computadora, de tal forma que la información se pueda utilizar como evidencia en un juzgado.

Se encarga de los siguientes problemas:

·         Recuperar datos de las computadoras y preservar al mismo tiempo la integridad evidencial

·         Almacenar y manejar con seguridad los datos electrónicos recuperados

·         Encontrar información importante en un gran volumen de datos electrónicos

·         Presentar la información a un juzgado

8.3 ESTABLECIMIENTO DE UN MARCO DE TRABAJO PARA LA SEGURIDAD Y EL CONTROL

Desarrollo de una política de seguridad y planes para mantener su empresa en operación, en caso de que sus sistemas de información no estén funcionando.

Los controles de los sistemas de información pueden ser manuales y automatizados; consisten tanto de controles generales como de aplicación.

CONTROLES DE LOS SISTEMAS DE INFORMACIÓN

Controles generales:

·         Gobiernan el diseño, la seguridad y el uso de los programas de computadora, además de la seguridad de los archivos de datos en general, en toda la infraestructura de tecnología de la información de la organización.

·         Consisten en una combinación de hardware, software y procedimientos manuales.

Los controles de aplicación:

·         Controles específicos únicos para cada aplicación computarizada, como nómina o procesamiento de pedidos.

·         Aseguran que la aplicación procese de una forma completa y precisa sólo los datos autorizados.

·         Se pueden clasificar como

§  (1) controles de entrada: verifican la precisión e integridad de los datos cuando éstos entran al sistema.

§  (2) controles de procesamiento: establecen que los datos sean completos y precisos durante la actualización.

§  (3) controles de salida: aseguran que los resultados del procesamiento de computadora sean precisos, completos y se distribuyan de manera apropiada.

EVALUACIÓN DEL RIESGO

Determina el nivel de riesgo para la firma si no se controla una actividad o proceso específico de manera apropiada. No todos los riesgos se pueden anticipar o medir, pero la mayoría de las empresas podrán adquirir cierta comprensión de los riesgos a los que se enfrentan.

·         Valor de los activos de información

·         Puntos de vulnerabilidad

·         Frecuencia probable de un problema

·         Daños potenciales

Una vez que se han evaluado los riesgos, los desarrolladores de sistemas se concentrarán en los puntos de control que tengan la mayor vulnerabilidad y potencial de pérdida

POLÍTICA DE SEGURIDAD

Enunciados que clasifican los riesgos de información, identifican los objetivos de seguridad aceptables y también los mecanismos para lograr estos objetivos. Controla las políticas que determinan el uso aceptable de los recursos de información de la firma y qué miembros de la compañía tienen acceso a sus activos de información.

Política de uso aceptable (AUP): define los usos admisibles de los recursos de información y el equipo de cómputo de la firma, que incluye las computadoras laptop y de escritorio, los dispositivos inalámbricos e Internet.

Una buena AUP define los actos aceptables e inaceptables para cada usuario y especifica las consecuencias del incumplimiento.

Administración de identidad: consiste en los procesos de negocios y las herramientas de software para identificar a los usuarios válidos de un sistema, y para controlar su acceso a los recursos del mismo.

PLANIFICACIÓN DE RECUPERACIÓN DE DESASTRES Y PLANIFICACIÓN DE LA CONTINUIDAD DE NEGOCIOS

Planificación de recuperación de desastres:

•          Restauración de los servicios de cómputo y comunicaciones después de un temblor o inundación, etc.

•          Pueden contratar compañías para la recuperación de desastres

•          Mantener los sistemas en funcionamiento.

•          Saber que archivos respaldar.

Planeación para la continuidad del negocio:

•          Restaurar las operaciones de negocios después de que ocurre un desastre.

•          Identifica los procesos de negocios críticos y determina los planes de acción para manejar las funciones de misión crítica si se caen los sistemas

Análisis de impacto en el negocio

•          Identifica los sistemas más críticos para la empresa y el impacto que tendría en el negocio

LA FUNCIÓN DE LA AUDITORÍA

•          Auditoría MIS: examina el entorno de seguridad general de la empresa así como los controles que rigen los sistemas de información individuales. También puede examinar la calidad de los datos.

•          Auditoría de seguridad: revisan tecnologías, procedimientos, documentación, capacitación y personal. Puede incluso simular un ataque o desastre para evaluar la respuesta.

•          Auditorías:

•          Enlista y clasifica todas las debilidades de control

•          Calcula la probabilidad de ocurrencia.

•          Evalúa el impacto financiero y organizacional de cada amenaza

8.4 TECNOLOGÍAS Y HERRAMIENTAS PARA PROTEGER LOS RECURSOS DE INFORMACIÓN

Herramientas para administrar las identidades de los usuarios, evitar el acceso no autorizado a los sistemas y datos, asegurar la disponibilidad del sistema y asegurar la calidad del software.

ADMINISTRACIÓN DE LA IDENTIDAD Y LA AUTENTICACIÓN

Software de administración de identidad automatiza el proceso de llevar el registro de todos estos usuarios y sus privilegios de sistemas.

La autenticación:

Habilidad de saber que una persona es  quien dice ser. La forma más común de establecer la autenticación es mediante el uso de contraseñas que sólo conocen los usuarios autorizados.

Nuevas tecnologías de autenticación:

o   Token: Dispositivo físico diseñado para demostrar la identidad de un solo usuario, tipo llaveros y muestran códigos de contraseña que cambian con frecuencia.

o   Tarjeta inteligente: Dispositivo con un tamaño aproximado al de una tarjeta de crédito, que contiene un chip formateado con permiso de acceso y otros datos mediante un lectos.

o   Autenticación biométrica: Sistemas que leen e interpretan rasgos humanos individuales (huellas digitales, el iris de los ojos y las voces) para poder otorgar o negar el acceso.

FIREWALLS, SISTEMAS DE DETECCIÓN DE INTRUSOS Y SOFTWARE ANTIVIRUS

Combinación de hardware y software que controla el flujo del tráfico que entra y sale de una red. Previene accesos no autorizados

Tecnologías de rastreo:

•          Filtrado de paquetes

•          Inspección completa del estado

•          Traducción de Direcciones de Red (NAT)

•          Filtrado proxy de aplicación

Sistemas de detección de intrusos

•          Proteger contra el tráfico de red sospechoso y los intentos de acceder a los archivos y las bases de datos.

•          Herramientas de monitoreo de tiempo completo que se colocan en los puntos más vulnerables.

•          Genera una alarma si encuentra un evento sospechoso o anormal.

•          Busca patrones que indiquen métodos conocidos de ataques por computadora, como malas contraseñas, verifica que no se hayan eliminado o modificado archivos importantes, y envía advertencias de vandalismo o errores de administración de sistemas.

Software antivirus y antispyware

•          Está diseñado para revisar los sistemas computacionales y las unidades en busca de la presencia de virus de computadora.

•          Para seguir siendo efectivo, el software antivirus debe actualizarse continuamente

•          Herramientas de software antispyware:  Los principales fabricantes de software antivirus incluyen protección contra spyware (Ad-Aware, Spybot)

Sistemas de administración unificada de amenazas (UTM)

Paquetes que combinan varias herramientas de seguridad en un solo paquete, que ofrece firewalls, redes privadas virtuales, sistemas de detección de intrusos y software de filtrado de contenido Web y antispam.

SEGURIDAD EN LAS REDES INALÁMBRICAS

•          WEP: proporciona un pequeño margen de seguridad si está activo

•          Tecnología VPN: puede ser utilizada por las corporaciones para ayudar a la seguridad

La especificación 802.11i: incluye medidas de seguridad para las LANs inalámbricas

•          Reemplaza las claves de encriptación estáticas

•          Servidor de autenticación central

•          Autenticación mutua

La seguridad inalámbrica debe ir acompañada de políticas y procedimientos apropiados para el uso seguro de los dispositivos inalámbricos

CIFRADO E INFRAESTRUCTURA DE CLAVE PÚBLICA

•          Transforma texto o datos comunes en texto cifrado, utilizando una clave de encriptación

•          El receptor tiene que desencriptar el mensaje

Dos métodos para cifrar el tráfico de red en Web

•          El protocolo de Capa de Protección Segura (SSL) /Seguridad de la Capa de Transporte (TLS)

§  Establece una conexión segura entre cliente / servidor

•          El protocolo de Transferencia de Hipertexto Seguro (S-HTTP)

§  Encripta mensajes individuales

Existen dos métodos alternativos de cifrado:

•          Encriptación de clave simétrica

•          Compartida, clave de encriptación única enviada al receptor

•          Encriptación de clave pública

•          Utiliza dos claves, una compartida o pública y una totalmente privada

•          Para enviar y recibir mensajes, los comunicadores primero crean pares separados de claves privadas y públicas

Certificados digitales:

•          Archivos de datos utilizados para establecer la identidad de usuarios y activos electrónicos para la protección de las transacciones en línea

•          Recurre a un tercero confiable, conocido como autoridad de certificación (CA), para validar la identidad de un usuario

Infraestructura de clave pública (PKI)

•          Uso de la criptografía de clave pública para trabajar con una CA, en la actualidad se utiliza mucho para el comercio electrónico.

ASEGURAMIENTO DE LA DISPONIBILIDAD DEL SISTEMA

Procesamiento de transacciones en línea: la computadora procesa de inmediato las transacciones que se realizan en línea. Los cambios multitudinarios en las bases de datos, los informes y las solicitudes de información ocurren a cada instante.

•          Sistemas de computadora tolerantes a fallas:

o   Provee un servicio continuo sin interrupciones.

o   Utilizan rutinas especiales de software o lógica de autocomprobación integrada

o   Detectan fallas de hardware y cambian de manera automática a un dispositivo de respaldo. Las piezas de estas computadoras se pueden quitar y reparar sin interrupciones en el sistema computacional.

•          Computación de alta disponibilidad

o   Ayuda a las firmas a recuperarse con rapidez de un desastre en el sistema.

o   Requiere servidores de respaldo, la distribución del procesamiento entre varios servidores, almacenamiento de alta capacidad y planes convenientes de recuperación de desastres y continuidad de negocios.

o   La plataforma debe ser en extremo robusta, con capacidad de escalar el poder de procesamiento, el almacenamiento y el ancho de banda.

•          Computación orientada a la recuperación.

o   Sistemas que se recuperan con más rapidez cuando ocurran percances.

o   implementación de capacidades y herramientas para ayudar a los operadores a señalar los orígenes de las fallas

o   corregir sus errores con facilidad.

Control del tráfico de red: inspección profunda de paquetes (DPI)

Uso de la red para descargar música o ver YouTube, consumiendo ancho de banda, obstruyendo y reduciendo  la velocidad de las redes corporativas, lo cual degrada su desempeño.

DPI examina los archivos de datos y ordena el material en línea de baja prioridad mientras asigna mayor prioridad a los archivos críticos para la empresa. Con base en las prioridades establecidas por los operadores de una red, decide si un paquete de datos específico puede continuar hacia su destino, o si hay que bloquearlo o retrasarlo mientras avanza el tráfico más importante.

Subcontratación (outsourcing) de la seguridad

Subcontratar muchas funciones de seguridad con proveedores de servicios de seguridad administrados (MSSP), quienes monitorean la actividad de la red y realizan pruebas de vulnerabilidad, además de detección de intrusos.

ASPECTOS DE SEGURIDAD PARA LA COMPUTACIÓN EN LA NUBE Y LA PLATAFORMA DIGITAL MÓVIL

Seguridad en la nube

•          El proveedor de la nube debe almacenar y procesar los datos en jurisdicciones específicas, de acuerdo con las reglas de privacidad de esas jurisdicciones.

•          Prueba de que los mecanismos de cifrado son sólidos.

•          cómo responderá el proveedor de la nube si ocurre un desastre, si el proveedor podrá restaurar por completo sus datos y qué tanto tiempo tardaría.

•          los proveedores estarían dispuestos a someterse a auditorías y certificaciones de seguridad externas.

Estos tipos de controles se pueden escribir en el acuerdo de nivel de servicio (SLA) antes de firmar con un proveedor de la nube.

Seguridad en las plataformas móviles

Los dispositivos móviles necesitan estar protegidos de igual forma que las computadoras de escritorio y laptops contra malware, robo, pérdida accidental, acceso sin autorización y hackers.

Los dispositivos móviles que acceden a los sistemas y datos corporativos requieren protección especial.

ASEGURAMIENTO DE LA CALIDAD DEL SOFTWARE

La métrica de software consiste en las evaluaciones de los objetivos del sistema en forma de medidas cuantificadas.

Permite al departamento de sistemas de información y a los usuarios finales medir en conjunto el desempeño del sistema, e identificar los problemas a medida que ocurren.

Algunas métricas de software son:

•          El número de transacciones que se pueden procesar en una unidad de tiempo específica,

•          el tiempo de respuesta en línea,

•          la cantidad de cheques de nómina impresos en una hora

•          el número de errores conocidos por cada 100 líneas de código de programa.

La métrica debe diseñarse con cuidado, ser formal y objetiva; hay que utilizarla de manera consistente.