Universidad para la Cooperación Internacional (UCI)

Transcripción

1 Universidad para la Cooperación Internacional (UCI) Plan de proyecto para la Implementación de una solución tipo single sign on en el Instituto nacional de Seguros para las plataformas os/400, WINDOWS Y AIX Lcda. Yorleny Retana Mejía Proyecto Final de graduación presentando como requisito parcial para optar por el título de máster en administración de proyectos San José, abril, 2008 I

2 Universidad para la Cooperación Internacional Este Proyecto Final de Graduación fue aprobado por la Universidad como requisito parcial para optar por el grado de Máster en Administración de Proyectos Lic. OSCAR ESQUIVEL BARQUERO, MAT Map. Ericka gonzalez map. Juan carlos navarro Lcda. Yorleny Retana Mejía Sustentante II

3 DEDICATORIA A mi madre, por ser el soporte y la razón por la cual hoy cumplo una nueva meta profesional en mi vida. A mi abuelita Carmen, por alentarme siempre a ser mejor. III

4 RECONOCIMIENTO A Dios, mi todo, mi razón de ser, por hacerme creer en mí misma y en los logros que puedo alcanzar. A mi madre, por todos los sacrificios hechos para hacer de mí una profesional. Al INS por permitirme en 11 años, alcanzar muchas metas; esta es una más de las que espero lograr dentro de esta noble empresa. A los compañeros de los Departamentos de Gestión de Servicios de Tecnología y Telecomunicaciones y Mantenimiento de Sistemas, por ser un apoyo tan importante para la finalización de este proyecto, el cual espero se haga una realidad. IV

5 INDICE DE CONTENIDO 1 INTRODUCCIÓN Antecedentes Dirección de Informática Departamento de Operación y Soporte Técnico Problemática que da origen al PFG Justificación del proyecto Objetivos del proyecto Objetivo General Objetivos específicos MARCO TEÓRICO MARCO INSTITUCIONAL Reseña Histórica del Instituto Nacional de Seguros Las Direcciones y sus funciones El negocio de los Seguros La Dirección de Modernización e Informática MARCO CONCEPTUAL Conceptos básicos sobre Sistemas de Información Datos Sistema Sistemas de Información Ciclo de Vida de un Sistema de Información V

6 Interfaces Interface de Usuario Usuarios Expertos o Usuarios Finales Plataformas Plataforma de Software iseries Plataforma OS/ Pseries o RS/ Plataforma pseries Seguridad de los Sistemas de Información Términos relacionados con la seguridad informática Políticas de Seguridad Claves de Acceso Métodos de autenticación de usuarios Soluciones tipo Single Sign On Que es el Single Sign On Arquitecturas Teoría de la Administración de Proyectos Marco Conceptual de la Administración de Proyectos Qué es un Proyecto Qué es la Dirección de Proyectos La Administración de Proyectos Ciclo de vida de los Proyectos VI

7 Características del Ciclo de Vida de un Proyecto Interesados en el Proyecto Procesos de Dirección de proyectos para un proyecto Procesos de Dirección de Proyectos Grupos de procesos de Dirección de Proyectos Correspondencia de los procesos de dirección de Proyectos Áreas de Conocimiento de la Administración de Proyectos MARCO METODOLÓGICO Descripción de la Metodología Descripción del método de investigación Tipo de investigación Fuentes de Información Descripción de las Herramientas Declaración del Alcance EDT (Estructura de Desglose de Trabajo) Diccionario de la EDT Programa del Proyecto Ruta Crítica Diagrama organizacional del Proyecto Matriz de Roles y Responsabilidades Matriz de involucrados o interesados Matriz de comunicación VII

8 Informes de Seguimiento del Proyecto Juicio Experto Sistema de Control de Cambios Reuniones Minutas Diagrama de Gantt Matriz de evaluación de Alternativas Lecciones Aprendidas Investigación de mercado Definición de Requerimientos Cartel Acta de cierre administrativo del proyecto Acta de cierre de entregables Acta de comunicación de Cierre Herramientas de Software Microsoft Project Microsoft WBS Chart Pro Editor de Texto Microsoft Word Hoja de Cálculo Microsoft Excel Lotus Notes DESARROLLO Ciclo de Vida del Proyecto VIII

9 4.1.1 Descripción de Fases del Proyecto Plan de Gestión del Alcance del Proyecto Planificación del Alcance Definición del Alcance Objetivo del proyecto Alcance Entregables Mediciones Exclusiones Restricciones Supuestos Estructura de Desglose del Trabajo Plan de Gestión del tiempo del Proyecto Definición de Actividades Secuencia y Dependencia de las actividades Estimación de las duraciones de las actividades Plan de Gestión de Recursos Humanos Organización del Proyecto Estructura del equipo de Trabajo Roles y responsabilidades del equipo de proyecto Matriz de Roles y Responsabilidades Responsabilidades y obligaciones Entregables del Proyecto Plan de Comunicaciones IX

10 4.5.1 Herramientas de Comunicación Gestión de las Adquisiciones Planificación de la Adquisición Identificación de la Necesidad Presupuesto Planificación de la contratación Elaboración del Pliego de Condiciones Encabezado del Cartel Capítulo Uno de la licitación Capítulo Dos de la Contratación Seguimiento y Control Herramientas de Seguimiento y Control del Proyecto Lecciones Aprendidas Cierre del Proyecto Conclusiones Recomendaciones BIBLIOGRAFÍA ANEXOS PERFIL DE PROYECTO WBS PROPUESTO CRONOGRAMA DE PROYECTO Matriz de Comunicaciones Estatus Semanal X

11 8.6 Minutas Entradas de Reunión Solicitud de Cambio Aprobación de Criterios de Aceptación Acta de Aceptación de entregables Acta de Cierre Administrativo Acta de Comunicación de Cierre Lecciones Aprendidas ENTREGABLES Portada Investigación de mercado Soluciones Tipo Single Sign On Objetivo principal Soluciones Tipo Single Sign - On existentes en el Mercado Nacional Empresa GBM de Costa Rica Producto: IBM Tivoli Access Manager for Enterprise Single Sign - On V 5.0 (TAM E-SSO) Empresa CR Conectividad Producto: Citrix Password Manager Identificación de Requerimientos Identificación de Sistemas por Plataforma Esquema de Seguridad Active Directory XI

12 Esquema de Autenticación del Active Directory Esquema de Alta Disponibilidad del Active Directory Estudio de Factibilidad Estudio Técnico Antecedentes Finalidad Pública que se pretende satisfacer con el concurso Estudio costo beneficio Beneficios de adquirir una solución Single Sign On Cartel XII

13 INDICE DE ILUSTRACIONES Figura No 1 Organigrama del Instituto Nacional de Seguros (Dpto. Planificación del INS, 2007)... 8 Figura No 2. Organigrama Estructura Funcional Dirección de Modernización e Informática. (Manual General de Organización y Funciones, 2005) Figura No 3 Actividades del ciclo de vida clásico de desarrollo de sistemas (Senn, 1992) Figura No 4 Plataforma de Software básica (Morfeo, 2007) Figura No 5 Modelo iseries IBM System itm 595. (System Support,2007) Figura No 6 Servidor psereis IBM (Redsis,2007) Figura No 7. Arquitectura Password Vault Figura No 8. Administración centralizada con almacenamiento local de credenciales Figura No 9. Administración y almacenamiento de credenciales centralizados Figura No 10. Arquitectura SSO totalmente distribuida Figura No 11. Administración y almacenamiento de credenciales centralizados con esquema de alta disponibilidad y redundancia Figura No 12 Fases del ciclo de vida de un proyecto, PMI, Figura No 13. Estructura del equipo de Trabajo Figura No 14 WBS del Proyecto Figura No 15 Cronograma del Proyecto Figura No 16 Plantilla de Estatus Semanal.. 96 Figura No 17 Plantilla de minuta de reunión 97 Figura No 18 Plantilla de Entrada de Reunión XIII

14 Figura No 19 Plantilla de Solicitud de Cambio Figura No 21 Plantilla de Acta de aceptación de entregables Figura No 22 Plantilla de Acta de Cierre Administrativo del Proyecto Figura No 23 Plantilla de Acta de comunicación de Cierre Figura No 24 Diseño del Directorio Activo del INS XIV

15 INDICE DE CUADROS Cuadro No 1 Correspondencia de los Procesos de Dirección de Proyectos a los Grupos de Proceso (PMI, 2004). Adaptación de Yorleny Retana, Cuadro No 2. Patrocinador del Proyecto Cuadro No 3. Gerente del Proyecto Cuadro No 4. Consultores Externos Cuadro No 5. Grupo de Apoyo al Proyecto Cuadro No 6 Matriz de Roles y Funciones del Proyecto Cuadro No 7 Desglose del Plan de Entregables Cuadro No 8 Información principal y autorización del Proyecto Cuadro No 9 Declaración del Alcance del Proyecto Cuadro No 10 Matriz de Comunicaciones del Proyecto Cuadro No 11 Características, ventajas y beneficios de IBM Tivoli Access Manager Cuadro No 12. Cuadro comparativo, bondades Password Manager según licenciamiento Cuadro No 13 Usuarios por Plataforma AS/ Cuadro No 14 Usuarios por Plataforma AIX Cuadro No 15 Usuarios por Plataforma Windows Cuadro No 16 Otras herramientas de uso Administrativo Cuadro No 17 Versiones S.O y Esquema de autenticación Plataforma AS/400 por Aplicación Cuadro No 18 Versiones S.O y Esquema de autenticación Plataforma AIX por Aplicación XV

16 Cuadro No 19 Versiones S.O y Esquema de autenticación Plataforma Windows por Aplicación Cuadro No 20 Otras herramientas de Uso Administrativo XVI

17 INDICE DE ABREVIACIONES ABREVIATURAS Y TÉRMINOS IMPORTANTES PMI Instituto de Administración de Proyectos (Project Management Institute) EDT Estructura detallada del trabajo TI Tecnología de la información Microsoft Office Herramienta de Software utilizada para crear y editar documentos. Microsoft Project Herramienta de software utilizada para controlar las actividades, costos y tiempo de los proyectos. WBS Chart Pro Herramientas de software para diseño de diagramas EDT OS/400 UNIX Windows EAI SSO R.T Plataforma de Servidores de la tecnología AS/400 Sistema operativo AIX Sistema Operativo. Enterprise Application Integration Single Sign On Riesgos del Trabajo. XVII

18 Resumen Ejecutivo El Instituto Nacional de Seguros fue creado mediante la ley No 12, del 30 de Octubre de 1924, con el propósito de responder a las necesidades de protección de los costarricenses. Desde esa fecha y hasta el día de hoy, el INS ha evolucionado respecto a los productos que ofrece a sus clientes, de acuerdo al incremento poblacional y entorno ambiental, social y económico del país. Actualmente, se ofrecen una serie de pólizas para proteger al ciudadano de distintos riesgos, como pólizas de vida, Automóviles, R.T, pólizas estudiantiles, de Incendio, Robo y otras. En la década de los 90 s, el INS inicia una transformación de sus plataformas tecnológicas, adquiriendo la Plataforma OS/400 y posteriormente las Plataforma Windows y UNIX, las cuales albergan aproximadamente el 80% del negocio institucional. En los últimos 5 años, el INS ha transformado también su estructura funcional, creando Plataformas de Servicios. A través de estas, un funcionario de atención al público puede brindar a su cliente un servicio que permite, que en un solo lugar, una persona pueda adquirir distintas pólizas según sean sus necesidades de protección. A pesar de lo anterior, las pólizas son albergadas en distintos sistemas, lo que significa que un usuario maneja alrededor de 5 claves diferentes de acceso para las distintas gestiones de aseguramiento. A raíz de ello, la Dirección de Informática del INS, ha considerado la necesidad de buscar una herramienta que permita mediante un acceso único, acceder a todas las aplicaciones requeridas por los usuarios de las Plataformas, y así reducir problemas tales como administración de claves, Recurso Humano dedicado en más de un 50% a labores de administración de claves, usuarios finales ejerciendo una inadecuada administración de claves, deterioro en el servicio al cliente, además de una reducción significativa de los costos de administración de usuarios. Dentro de las herramientas que el mercado ofrece se encuentra el Single Sign - On que es un método de autenticación que habilita al usuario para acceder a varios sistemas con una sola instancia de identificación. El objetivo principal del presente documento es, servir como guía para el Departamento de Gestión de Servicios de Tecnología y Telecomunicaciones, en la planificación, ejecución y seguimiento de los proyectos gestados en dicha instancia. Para este proyecto en particular, se definió como objetivo general desarrollar un Plan de Proyecto para la Implementación de una solución tipo Single Sign On en el Instituto Nacional de Seguros para su Plataforma Tecnológica, y como objetivos específicos, desarrollar un análisis de mercado que sirva como marco de XVIII

19 referencia para la evaluación de soluciones de este tipo, definir los requerimientos del INS para la eventual implementación de una solución tipo Single Sign On, desarrollar un estudio de factibilidad a partir del análisis de mercado, que justifique la necesidad de implementar la solución en el INS y confeccionar un Cartel con los servicios requeridos para la adquisición de licencias Single Sign On. El presente Plan de Proyecto considera el uso de 5 áreas de conocimiento: alcance, tiempo, recursos humanos, comunicaciones y adquisiciones. Esta última únicamente para las etapas de planificación de la adquisición y planificación de la contratación. Además, los procesos de iniciación, planificación, ejecución y control. No se consideró la gestión de los costos ya que éste proyecto no implica ninguna erogación adicional para el INS. Gran parte del Proyecto fue desarrollado mediante la investigación y coordinación de reuniones con los proveedores cuyas soluciones Single Sign - On fueron seleccionadas para su investigación. Dichas reuniones sirvieron para generar la documentación necesaria que definiera las bondades de los productos investigados, considerando los costos por la adquisición del producto y licenciamiento de éste. Tal documentación sirvió como marco de referencia para la definición de un estudio costo beneficio y la generación de un cartel con los requerimientos necesarios para adquirir una solución Single Sign On. De igual forma, este proyecto se apoyó en la información de las aplicaciones albergadas en las plataformas OS/400, AIX y Windows así como el esquema de autenticación de cada aplicación para definir los requerimientos de la Organización al momento de adquirir e implementar la solución precitada. A partir de la adjudicación del cartel propuesto, se pretende en el menor tiempo posible implementar la solución en el INS y de esta forma reducir significativamente las debilidades derivadas de la utilización de múltiples claves de acceso. Finalmente, este Plan de Proyecto servirá de apoyo al momento de realizar tal implementación para la cual se considerará la inclusión del Plan de Costos, Calidad y Riesgos. Como recomendaciones a realizar, se espera generar un Plan de Calidad y Riesgos que complementen el Proyecto y le permitan llevar la implementación de la solución a un completamiento exitoso. XIX

20 1 INTRODUCCIÓN 1.1 Antecedentes El Instituto Nacional de Seguros se creó mediante la Ley No.12, del 30 de octubre de 1924 con el propósito de responder a las necesidades de protección de la sociedad costarricense. Inició sus operaciones como Banco de Seguros y, en 1948, cambió el nombre a INSTITUTO NACIONAL DE SEGUROS. El 05 de noviembre de 1925 se pone a la venta la primera póliza: el Seguro de Vida. El 17 de febrero de 1926, se autoriza al Banco a manejar el Seguro de Incendio y en junio de ese mismo año, asume la administración del Seguro sobre Accidente de Trabajo, logrando ofrecer los tres primeros productos en materia de seguros. Hasta el día de hoy, el INS continúa evolucionando al ritmo del tiempo y de la nueva tecnología, ofreciendo a todos los habitantes del país una amplia gama de productos y servicios entre los que se destacan seguros de: Responsabilidad Civil, Seguros de Vida, Seguros de Riesgos del Trabajo, Seguro Obligatorio Automotor, Seguros de Automóviles, Seguros de Incendio, Seguro Estudiantil y otros.. La Institución realiza su labor enmarcada dentro de un arduo e intenso proceso de modernización en todas las estructuras, con el fuerte propósito de adecuar sus actividades a los requerimientos del Tercer Milenio. Con más de 80 años de existencia, el INS tiene muy clara su misión de satisfacer las necesidades aseguradoras de sus clientes. Además de vender seguros, se administra el Cuerpo de Bomberos y se brinda servicios de salud, por medio de INS- Salud, un gran complejo médico, al que se le suman una red de servicios médicos en todo el país. 1

21 1.1.1 Dirección de Informática La Dirección de Informática del Instituto Nacional de Seguros es una instancia, cuyo primordial objetivo es proveer a la organización, de tecnología de punta, con el fin soportar las diversas plataformas con que se cuenta, permitiendo de esta forma, administrar eficientemente cada una de las aplicaciones y datos que conforman el negocio de los seguros. La Dirección está conformada por los departamentos de Control y Gestión de TI, Mantenimiento de Sistemas, Proyectos Nuevos y Operación y Soporte Técnico Departamento de Operación y Soporte Técnico El Departamento de Operación y Soporte técnico es una entidad que coadyuva a la Dirección de Informática en la investigación constante de nuevas tecnologías que soporten el negocio de la organización de manera eficiente y óptima. Es en esta área, donde se gestan proyectos de evaluación e implementación de soluciones tecnológicas, de cara a la optimización de la actual plataforma tecnológica del INS. 1.2 Problemática que da origen al PFG Para administrar los distintos productos de su cartera, el INS cuenta con varias aplicaciones distribuidas en diversas Plataformas entre las que se destacan OS/400, UNIX y WINDOWS. Actualmente, aproximadamente un 70% del negocio institucional se encuentra residente en la Plataforma OS/400. Entre los sistemas soportados por esta, se encuentran el Sistema de Automóviles, el Sistema de Vida en todas sus modalidades, el Sistema de Riesgos del Trabajo y el Sistema de Incendio. El INS cuenta con 20 SEDES y 17 puntos de venta además de una plataforma de servicio al intermediario y otros departamentos de producción, desde donde el usuario final debe manejar al menos 4 claves distintas para acceder a dichas 2

22 aplicaciones de manera simultánea, según la cantidad y diversidad de pólizas, y los trámites a efectuar para cada una de ellas de acuerdo a las necesidades y requerimientos de los clientes. Dado lo anterior, la Institución se enfrenta a varios problemas entre los que se destacan: 1. Incurrir en altos costos por concepto de reactivación de claves de usuario. 2. Recurso Humano dedicado en más de un 50% a labores de administración de claves. 3. Usuarios finales ejerciendo una inadecuada administración de claves desde el punto de vista de seguridad. 4. Deterioro en el servicio al cliente debido a los tiempos requeridos para ingresar a cada Sistema. En promedio, un usuario puede solicitar la reactivación de una o todas sus claves, al menos 3 veces en una semana. Tomando en consideración que el personal tanto de los departamentos de producción como las SEDES y puntos de venta, dedicados a la labor de inclusión y administración de pólizas puede alcanzar los 400 funcionarios a lo largo del territorio nacional, podrían requerir reactivarse hasta 1200 claves en una semana además de la labor de creación de nuevas claves y desactivación de éstas cuando el funcionario se separa de su puesto. 1.3 Justificación del proyecto Con el fin de reducir significativamente los actuales problemas que enfrenta la Institución a raíz de la diversidad de aplicaciones y manejo de claves para cada una de ellas, se desea implementar una solución del tipo Single Sign On para las plataformas OS/400, AIX y WINDOWS permitiendo a través de ello: Reducir significativamente los costos en los que actualmente incurre la organización por concepto de reactivación de claves. 3

23 Agilizar considerablemente los tiempos de acceso a varias aplicaciones según lo requiera el usuario final. Aprovechar el recurso humano técnico que actualmente se destina a la labor de reactivación de claves, en proyectos de mayor envergadura para la Institución. Mejorar la atención al cliente. Reducir considerablemente los problemas existentes actualmente, en relación a la forma de administración de claves por parte del usuario final. 1.4 Objetivos del proyecto Los objetivos del presente proyecto se definen de la siguiente forma: Objetivo General Diseñar un Plan de Proyecto para la implementación de una solución tipo Single Sign - On en el Instituto Nacional de Seguros para las plataformas OS/400, WINDOWS Y AIX considerando las áreas de conocimiento de la Administración de Proyectos Objetivos específicos Desarrollar un análisis de mercado que sirva como marco de referencia para la evaluación de soluciones de este tipo, existentes en el mercado nacional. Definir los requerimientos del INS para la eventual implementación de una solución tipo Single Sign - On. Desarrollar un estudio de factibilidad a partir del análisis de mercado, para justificar la necesidad de implementar la solución en el INS. Confeccionar un Cartel con los servicios requeridos para la adquisición de licencias Single Sign On para el Instituto Nacional de Seguros. 4

24 Desarrollar el Proyecto dentro de una metodología de Administración de Proyectos que sirva como guía para durante su ejecución. 5

25 2 MARCO TEÓRICO 2.1 MARCO INSTITUCIONAL Reseña Histórica del Instituto Nacional de Seguros. El Banco de Seguros entró en operación el 5 de noviembre de El 28 de noviembre de ese año se emitió la primera póliza de vida por la suma de 2000 y desde ese momento su objetivo primordial ha sido brindar protección y servicio al pueblo costarricense (INS-cr.com, 2007). A mediados de 1926, el Banco Nacional de Seguros ya era capaz de ofrecer tres líneas de seguros, convirtiéndose en un instrumento de cambio socioeconómico para el país. En 1948 deja de llamarse Banco Nacional de Seguros para convertirse en el Instituto Nacional de Seguros. Hoy el INS, es una institución que crece y se proyecta, evoluciona al ritmo del tiempo y de la nueva tecnología, sólida y confiable, para satisfacer las expectativas de generaciones futuras y del nuevo consumidor de seguros Las Direcciones y sus funciones El INS se divide en las siguientes direcciones: 1. Dirección Administrativa: Encargada de atender el área de Recursos Humanos y evaluar las políticas necesarias para el suministro de recursos materiales e institucionales a la administración general. 2. Dirección de Planificación: Vela porque los planes, objetivos, estrategias y políticas de la empresa se cumplan y guarden coherencia con el Plan Estratégico Institucional, así como por la asignación y evaluación del uso eficiente de los recursos. 3. Dirección de Reaseguros: Le corresponde proteger las fluctuaciones, en los resultados y eventos catastróficos, estabilidad financiera y económica de la empresa. 6

26 4. Dirección financiera: Satisface los requerimientos de información financiero contable, manejo de efectivo e inversiones inmobiliarias, evaluación y financiamiento de proyectos de inversión e intermediación bursátil. 5. Dirección de Modernización e Informática: Le corresponde coordinar y supervisar el desarrollo de la tecnología de información en el INS, además de velar por la suplencia de sistemas y equipos a las dependencias. 6. Dirección de Mercadeo y Ventas: Tiene como obligación, promover el desarrollo del mercado nacional y regional de seguros, y la confección, diseño, coordinación y ejecución del Plan de Mercadeo, Ventas y Publicidad de los productos que el INS comercializa. 7. Dirección de Seguros Generales: Tiene como tarea, dotar a la organización de los mejores esquemas técnicos en materia de seguros y administración de riesgos, a las necesidades de los clientes, para cimentar la rentabilidad de la gestión. 8. Dirección de Seguros Personales: Le corresponde dotar al INS de productos de calidad para la protección de la vida y protección de las personas, administrar técnicamente esta línea de seguros y fomentar el ahorro entre los asegurados. 9. Dirección de Seguros Solidarios: Le corresponde satisfacer las necesidades de los clientes y trabajadores asegurados en cuanto a este tipo de seguros, con servicios de atención integral en asistencia médica, rehabilitación y reinserción familiar, laboral y comunal. 10. Dirección de Servicios Regionales: a. Sucursales: Administra la red de Sucursales del INS en todo el país, brindando atención a las necesidades de los clientes y de la Fuerza de Ventas locales en cada zona. b. INS Salud: Brinda atención médica a todas las personas aseguradas con los Seguros Obligatorio Automotor, Riesgos del Trabajo y Seguro Estudiantil, en sus instalaciones médicas ubicadas en todo el país. 7

27 11. Dirección Jurídica: Se encarga de atender las necesidades de la empresa en materia jurídica y legal, convirtiéndose además, en una unidad asesora de las otras direcciones y dependencias. 12. Dirección de Bomberos: Es la coordinadora de todas las acciones y de la operación general del Benemérito Cuerpo de Bomberos. Su misión es brindar prevención, protección y mitigación de emergencias a toda la población (Intranet INS, 2007). Seguros La figura No 1 muestra el organigrama general del Instituto Nacional de Simbología Unidad organizativa formal Instituto Nacional de Seguros Organigrama Estructural Funcional Noviembre, 2005 Linea de autoridad formal JUNTA DIRECTIVA Linea de Asesoría o Staff Linea de desconcentración administrativa y regional Auditoría PRESIDENCIA EJECUTIVA Secretaría de Actas Nivel Político Directivo Linea de autoridad política "n" Estaciones de Bomberos Regionales Desconcentradas Dirección de Planificación ESTACIONES C. DE SALUD Casa de Salud y Albergue y "n" Dispensarios Regionales/Desconcentrados Contraloría Servicios Comunicacion Institucional Unidad Informal GERENCIA Sucursales Sucursales Dirección Reaseguros Consejo Gerencial Dirección Jurídica Unidad Salud Ocupacional Dirección de Informática Departamento Investigaciones Dirección Seguros Personales Dirección Seguros Generales Dirección Seguros Solidarios Dirección de Bomberos Dirección Financiera Dirección Administrativa Dir. Mercadeo y Ventas Direcciones Subdirec. Seg. Patrimoniales Subdirec. Seg. Automóviles Subdirec.- Prest. Sanitar. Subdirección Sucursales Subdirec. Administrativa Subdirec. Operaciones ACTUARIAL INT.COMER CIALIZAC Subdirecciones VIDA SELEC. RIESGOS AGRIC. Y PECUARIO ASEGURA- MIENTO COBRANZA PROV.SOLID CASA SALUD Y ALB TEMP. PREST.. SANITAR. INGENIERIA CONTABI LIDAD TESORERIA RECURSOS HUMANOS PROVEE DURIA ADMINIST. VENTAS PROM. VENTAS Departamentos ACC. SALUD MAR. Y DIVERSOS INCENDIO R/C RECLAMOS G. EMP. SO RIESGOS TRABAJO PREST. SALUD DISP. CONSULT. MEDI. EMP. EDUC. PREVENC. BOMB. VOLUNTAR CREDITOS COBROS SERVICIOS GENERAL RECURSOS MATERIALE SEGUROS ESTADO TELEINS SOA CENTROS DE SALUD SUCURSALES ESTACIONES Estaciones, Dispensarios, Serv. Salud y Sucursales Figura No 1 Organigrama del Instituto Nacional de Seguros (Dpto. Planificación del INS, 2007) Este organigrama, permite tener un panorama general de la jerarquía institucional actual que se gesta desde la Junta Directiva, ente patrocinador de todos los 8

28 proyectos ligados a las estrategias institucionales y a partir de ésta, todas la Direcciones y Departamentos asociados El negocio de los Seguros Según documento recopilatorio confeccionado por el Departamento de Comunicación institucional del Instituto Nacional de Seguros (2007), el INS es uno de los grandes oferentes universales, dada la gran variedad de pólizas de seguros que tiene a su disposición, tanto para personas físicas como jurídicas. Actualmente, la Institución ofrece al mercado aproximadamente, 50 productos, agrupados en tres grandes Líneas: 1. Seguros Generales: Esta línea se enfoca en proteger los bienes patrimoniales, así como aquellos riesgos que surgen de las actividades de personas o empresas. De esta línea se desprenden: a. Seguros Agropecuarios b. Seguros Diversos y Marítimo c. Seguros de incendio d. Seguro Voluntario de Automóviles 2. Seguros Personales: Estos seguros se orientan a las necesidades de aseguramiento y protección de las personas. De esta línea se desprenden: a. Seguros de Vida b. Seguros de Accidentes c. Seguros para Gastos Médicos d. Seguros para viajeros 3. Seguros Solidarios: Estos seguros amparan aquellos seguros que son obligatorios por Ley para todos los habitantes de la República, los mismos se dividen en dos: a. Riesgos del Trabajo 9

29 b. Seguro Obligatorio Automotor La Dirección de Modernización e Informática Debido a la presencia del INS en el ámbito nacional se hace indispensable mantener una excelente comunicación y abastecimiento de información en cada una de sus dependencias. Por esta razón, la Dirección de Modernización e Informática ha velado por proveer a cada una de sus áreas comerciales herramientas óptimas para el procesamiento y administración de datos, todo esto con el fin de aumentar la eficiencia en sus tiempos de respuesta hacia los clientes. La Figura No 2 muestra el organigrama de la estructura funcional de la Dirección de Modernización e Informática del INS definida en el año ORGANIGRAMA ESTRUCTURAL FUNCIONAL DIRECCIÓN DE MODERNIZACIÓN E INFORMATICA 2005 INSTITUTO NACIONAL DE SEGUROS DIRECCIÓN DE MODERNIZACIÓN E INFORMÁTICA SUBDIRECCIÓN DE INFORMÁTICA AREA DE APOYO ADMINISTRATIVO DEPARTAMENTO DE CONTROL Y GESTION DE TI DEPARTAMENTO DE NUEVOS PROYECTOS DEPARTAMENTO DE MANTENIMIENTO DEPARTAMENTO DE OPERACIÓN Y SOPORTE TECNICO Figura No 2. Organigrama Estructura Funcional Dirección de Modernización e Informática. (Manual General de Organización y Funciones, 2005) 10

30 2.2 MARCO CONCEPTUAL En la actualidad para muchas organizaciones, los sistemas de información basados en computadoras son el corazón de las actividades cotidianas y objeto de gran consideración en la toma de decisiones. El gran volumen de transacciones precisas, asociado con el nivel operativo de una organización y la capacidad de los administradores para desarrollar procedimientos específicos para manejarlos, conduce con bastante frecuencia a la implantación de un sistema de información. El desarrollo de sistemas de información involucra tanto a los analistas programadores como a todos aquellos que harán uso de las aplicaciones que se desarrollen, es decir, los usuarios finales. Sin embargo, para que el lector tenga un mayor conocimiento de los sistemas de información se detalla el siguiente apartado Conceptos básicos sobre Sistemas de Información Los sistemas de información basados en computadora sirven para diversas finalidades que van desde el procesamiento de las transacciones de una empresa hasta proveer la información necesaria para decidir sobre los asuntos que se presentan con frecuencia, asistencia a los altos funcionarios con la formulación de estrategias difíciles y la vinculación entre la información de las oficinas y los datos de toda la corporación Datos Senn (1992) define el elemento dato como los bloques básicos para todos los demás datos del sistema e indica que los datos por sí mismos no conllevan suficiente significado para ningún usuario. Generalmente, los términos información y datos se utilizan indiscriminadamente, sin embargo, Davis y Olson (1987) definen la información como aquellos datos que tienen significado o utilidad para el receptor. Por lo tanto, los datos elementales son la materia prima para producir la información. 11

31 Sistema En informática, el concepto Sistema se utiliza en varios contextos. Una computadora es el Sistema formado tanto por Hardware como por Software y su Sistema Operativo. Sistema se refiere también a cualquier colección de programas, procedimientos y datos utilizados en el procesamiento de información, que dan como resultado Sistemas de Contabilidad, Facturación, Gestión de Base de Datos y otros. El concepto de sistema en general está sustentado sobre el hecho de que ningún sistema puede existir aislado completamente y siempre tendrá factores externos que lo rodean y pueden afectar. Según Senn (1992) un Sistema es un conjunto de componentes que interacciona entre sí para lograr un objetivo común. Existen varios tipos de Sistemas, entre ellos: 1.) Sistemas organizacionales: Su finalidad es producir un producto que satisfaga las demandas del mercado. 2.) Sistemas de Información: Su finalidad es a través de diversas entradas como datos relacionados con la organización obtener salidas como reportes y otros Sistemas de Información Un Sistema de Información es un conjunto de recursos que permiten recoger, gestionar, controlar y difundir la información de una Organización. Un Sistema de Información está formado por los siguientes componentes: 1.) Hardware. Los requerimientos de información de los usuarios guían la selección del hardware computacional, el medio de almacenamiento de datos y cualquier software en paquete. La página de la Universidad Autónoma de Ciudad Juárez (2007), define el Hardware como todos aquellos componentes 12

32 físicos de una computadora, todo lo visible y tangible. El Hardware realiza las actividades fundamentales: entrada, procesamiento, salida y almacenamiento secundario. 2.) Software. La página de Canalhanoi (2007), indica que el software es el conjunto de instrucciones que las computadoras emplean para manipular datos. Al cargar los programas en una computadora, la máquina actuará como si recibiera a una educación instantánea; de pronto "sabe" cómo pensar y cómo operar. La misma página define Software como un conjunto de programas, documentos, procedimientos, y rutinas asociados con la operación de un sistema de cómputo, distinguiéndose de los componentes físicos llamados hardware. El software asegura que el programa o sistema cumpla por completo con sus objetivos, opere con eficiencia, esté adecuadamente documentado, y suficientemente sencillo de operar. 3.) El Sistema Gestor de Base de Datos (SGBD). Es un software que maneja la organización, localización, catalogación, almacenamiento, recuperación y mantenimiento de datos en una base de datos. 4.) Recurso Humano: El recurso humano asignado a un determinado proyecto debe ser seleccionado por su competencia y compatibilidad, La administración de tiempo y recursos es gestionada por el Director de proyectos asignado. Los Analistas programadores se encargan de realizar el análisis y desarrollo de los requerimientos definidos por el usuario y los Usuarios finales son aquellos que definen los requerimientos y utilizan el Sistema. 5.) Información: Conjunto de datos los cuales pueden recuperarse de acuerdo con la necesidad del usuario Ciclo de Vida de un Sistema de Información Senn (1992), define el desarrollo de sistemas como un proceso formado por etapas de análisis y diseño que inicia cuando la administración o algunos miembros del personal encargado de desarrollar sistemas, detectan un sistema de 13

33 la empresa que necesita mejoras. Esto es lo que se denomina el método del ciclo de vida para desarrollo de sistemas (SDLC). Al ciclo de vida de los Sistemas de Información también se le denomina Ciclo de Vida Clásico del Desarrollo de Sistemas. El mismo autor establece las siguientes fases: (Senn, 1992). 1.) Investigación preliminar: El desarrollo de sistemas es un proceso formado por las etapas de análisis y diseño, comienza cuando la administración o alguno de los miembros del personal encargado de desarrollar sistemas, detectan un sistema de la empresa que necesitan mejoras. El analista en conjunto con este personal identifican los problemas principales que presenta la organización. De igual forma, el analista, identificará las oportunidades que la organización obtendrá mediante el Sistema de Información. Esta fase contempla a su vez, tres partes: Aclaración de la solicitud: Se examina la solicitud para determinar con precisión lo que el solicitante desea.. Estudio de factibilidad: La cual se relaciona con factibilidad técnica ( Puede desarrollarse con el equipo o tecnología actual?, Se necesita nueva tecnología?, si es así: Cuál es la posibilidad de desarrollarla?), económica ( Se obtendrán suficientes beneficios para aceptar los costos?) y operacional (si se implanta el proyecto Será utilizado el sistema?, Existirá resistencia al cambio por parte de los usuarios que provoque la disminución de los posibles beneficios de la aplicación?). Aprobación de la solicitud: No todos los proyectos solicitados son deseables o factibles. En algunos casos el desarrollo puede comenzar inmediatamente, aunque lo común es que los miembros del equipo de sistemas se encuentren ocupados con otros proyectos. 14

34 2.) Determinación de los requerimientos del sistema: En esta fase, es imprescindible comprender todas las facetas importantes de la parte de la empresa que se encuentra en estudio. 3.) Diseño del sistema: En esta fase, los Analistas usan la información recolectada previamente para realizar el diseño lógico del Sistema de Información. El diseño lógico permite diseñar la interfaz del usuario, la cual corresponde a un programa que permite conectar al usuario con el Sistema. 4.) Desarrollo de software: En esta fase, el analista trabaja con los programadores para determinar el lenguaje en el que será desarrollado dicho sistema, se produce el desarrollo de la aplicación, o bien, si el software es comprado a terceros se modifica e instala o podría darse el caso de adquirir una aplicación a la medida, la elección depende del costo de cada alternativa, del tiempo y disponibilidad del desarrollador. 5.) Prueba de sistemas: Antes de ser usado, el sistema de información debe ser probado o utilizado en forma experimental con el fin de determinar si existe algún problema de ejecución. En muchas organizaciones las pruebas son conducidas por personas ajenas a los analistas programadores originales; con la finalidad de asegurar que las pruebas sean completas e imparciales y que el software sea más confiable. 6.) Implantación y evaluación: La implantación es el proceso de verificar e instalar nuevo equipo, entrenar a los usuarios, instalar la aplicación y construir todos lo archivos de datos necesarios para utilizarla. Una vez instaladas, las aplicaciones se emplean durante muchos años; sin embargo, las organizaciones y los usuarios cambian a través del tiempo. Por consiguiente, al ser un proceso en constante evolución, se realizará una evaluación periódica para identificar puntos débiles y fuertes. 15

35 La Figura No 3, muestra las actividades del ciclo de vida clásico de desarrollo de sistemas definido por James Senn en su libro Análisis y Diseño de Sistemas de Información (1992): Implantación Investigación preliminar Prueba del sistema Determinación de requerimientos Desarrollo del sistema Diseño del sistema Figura No 3 Actividades del ciclo de vida clásico de desarrollo de sistemas (Senn, 1992) Interfaces Según un artículo de la Enciclopedia Encarta 2006, una Interfaz es el punto en el que se establece una conexión entre dos elementos, que les permite trabajar juntos. En el campo de la informática se distinguen diversos tipos de interfaces que actúan a diversos niveles, desde las interfaces claramente visibles, que permiten a las personas comunicarse con los programas, hasta las imprescindibles interfaces hardware, a menudo invisibles, que conectan entre sí los dispositivos y componentes dentro de los ordenadores o computadoras. Las interfaces de usuario cuentan con el diseño gráfico, los comandos, mensajes y otros elementos que permiten a un usuario comunicarse con un programa. 16

36 Interface de Usuario Según el diccionario de la Real Academia, una interfase es una conexión física y funcional entre dos aparatos o sistemas independientes. La página Galileo (2007) menciona seis principios de interfaces de usuario: 1.) Familiaridad para usuarios: La interfaz debe usar los términos y conceptos que son obtenidos de la experiencia de las personas que van a utilizar con mayor frecuencia el sistema. 2.) Consistencia: La interfaz debe ser consistente, esto quiere decir que, las operaciones comparables deben ser activadas en la misma manera. 3.) Sorpresa mínima: Los usuarios nunca deben ser sorprendidos por el sistema. 4.) Recuperabilidad: La interfaz debe incluir mecanismos para permitir a que los usuarios puedan recuperar de los errores. 5.) Orientación de los usuarios: La interfaz debe proveer retroalimentación significativa cuando los errores ocurren y proveer las facilidades de ayuda sensibles al contexto. 6.) Diversidad de usuarios: La interfaz debe proveer facilidades apropiadas de interacción para diferentes tipos de usuario del sistema. En síntesis, una interfaz de usuario debe permitir a los diferentes usuarios interactuar con el Sistema de manera sencilla, para esto, la interfaz debe utilizar títulos significativos que identifiquen el propósito de la salida, debe tener instrucciones que sean fáciles de seguir, los campos deben estar agrupados de forma lógica, los nombres de los campos deben ser significativos y deben existir mensajes ya sea de precaución, error o finalización satisfactoria de la transacción que se está realizando Usuarios Expertos o Usuarios Finales Los usuarios expertos o usuarios finales no son especialistas en sistemas de información pero utilizan las computadoras para desempeñar su trabajo. Tal y como menciona Senn (1992), existen cuatro tipos de usuarios: 17

37 1.) Usuarios primarios: interactúan con el sistema, alimentan el sistema con datos o reciben salidas, quizá por medio de una terminal. Ej.: Agentes de reservación de vuelos. 2.) Usuarios indirectos: se benefician de los resultados o reportes generados por estos sistemas pero que no interactúan de manera directa con el hardware o software. Ejemplo: Gerentes de Mercadotecnia. 3.) Usuarios gerentes: poseen responsabilidades administrativas en los sistemas de aplicación. Utilizan en gran medida los sistemas de información y supervisan la inversión en el desarrollo o uso del sistema. 4.) Usuarios directivos: toman cada vez mayor responsabilidad en el desarrollo de las aplicaciones, incorporan los usos estratégicos y competitivos de los sistemas de información en los planes y estrategias de la organización. Evalúan los riesgos a los cuales se expone la organización originados por fallas en los sistemas. Los usuarios finales deben estar familiarizados con el software que emplean, generalmente se espera de ellos que utilicen el equipo de cómputo. Otra definición de Usuario Final es la que expresa González (2000), quién indica que el usuario Final es la persona más importante de quienes tienen relación con una base de datos. Así, es él quien determina el éxito de la base de datos, según la utilización que haga de la misma y si realmente se adapta a sus necesidades Plataformas En informática, una plataforma es el principio, ya sea de hardware o software, sobre el cual un programa puede ejecutarse Plataforma de Software Según la página Morfeo (2007), el concepto de Plataforma de Software ha ido evolucionando a lo largo de la historia, proporcionando en cada momento una abstracción cada vez mayor de las capacidades sobre las que cualquier aplicación 18

38 software se apoya, ya sea en el ámbito de los Sistemas de Información o en el ámbito de los Servicios de Telecomunicaciones. Estas capacidades son: Capacidad de procesamiento: la plataforma proporcionará un modelo que establezca que entidades componen una aplicación y como se gestiona su ciclo de vida (creación, arranque/activación, ejecución, parada/desactivación y destrucción). Capacidad de almacenamiento: la plataforma proporcionará un modelo que establezca como guardar, recuperar y administrar datos que representen el estado de las entidades de aplicación o que dichas entidades deban manejar. Capacidad de conectividad: la plataforma proporcionará un modelo que establezca tanto la forma de localizar entidades de aplicación en un entorno distribuido, como la forma en que dichas entidades pueden comunicarse y cooperar con el objetivo de implementar la funcionalidad de la aplicación. Capacidad de interacción con el usuario final: la plataforma proporcionará un modelo que establezca canales de acceso a la funcionalidad de la aplicación por parte del usuario a través de distintos tipos de terminales. Aunado a lo anterior, el concepto de Plataforma Software también engloba aquellos componentes de aplicación que puedan reutilizarse de una aplicación a otra. Morfeo (2007) indica, que el concepto de Plataforma de Software se encuentra en constante evolución. Nuevos componentes se incorporan a la plataforma ofreciendo un mayor nivel de abstracción respecto a las capacidades antes mencionadas, apoyándose en funcionalidad de componentes ya existentes. La plataforma software básica incluye componentes que van desde el Sistema Operativo situado al nivel más básico, hasta componentes situados en el nivel de aplicación (un módulo de gestión de usuarios, por ejemplo) pasando por niveles intermedios donde se inscribirían componentes relacionados con middleware, bases de datos, etc. 19

39 El objetivo último de cualquier plataforma es facilitar la construcción de aplicaciones, minimizando plazos y costes de desarrollo, así como proporcionar un entorno de ejecución robusto y eficiente. La Figura No 4, muestra tecnologías y componentes que, en la actualidad, se consideran englobados dentro del concepto de Plataforma Software Básica. Figura No 4 Plataforma de Software básica (Morfeo, 2007) iseries Según la página Ecom.chaco referente a la historia de los equipos iseries, más comúnmente denominados AS/400, estos son equipos que siguen la línea del S/32,S/34, S/36. En un cambio de filosofía, IBM saca al mercado el S/38, el padre del AS/400, (sistema que no estuvo mucho tiempo en el mercado, al menos en el local). Básicamente, el cambio de filosofía de funcionamiento es que el sistema operativo esta ligado a la base de datos, donde cada Objeto de los diferentes que existen en el AS/400 tienen sus propiedades (atributos). Es un Sistema muy dúctil y que insumen un mínimo de mantenimiento, permitiendo con las mismas herramientas 20

40 (Comandos, Programas y demás) crear procesamientos para salvar un sin fin de requerimientos que otros (también llamados sistemas operativos) no lo permiten. Soporta la posibilidad de que las aplicaciones anteriores sigan funcionando a pesar de que sean cambiados tanto software de base o hardware Plataforma OS/400 Según la página de Internet de la empresa System Support (2007), la Plataforma AS/400, conocida actualmente como iseries es la plataforma más robusta en el mundo a nivel de computadores de rango medio; actualmente iseries utiliza tecnología y confiabilidad que solo estaba disponible en los Mainframes, debido a esto, su utilización se ha vuelto tan importante y creciente en las pequeñas empresas, medianas y grandes en los diversos sectores que requieren La figura No 5 muestra un equipo iseries cuyo último modelo es el IBM System i TM 595 Figura No 5 Modelo iseries IBM System itm 595. (System Support,2007) 21

41 Pseries o RS/6000 La página Babilón (2007), define a IBM pseries, anteriormente denominado RS/6000, como una línea de ordenadores del tipo estaciones de trabajo RISC/UNIX de IBM. Anunciado en 1990, la RS/6000 remplazó a la antigua RT-PC y opera con el Sistema Operativo AIX Plataforma pseries La página Redsis (2007), especifica que la plataforma tecnológica pseries - RS/6000 proporciona, a los usuarios UNIX, en todos los modelos de la familia la mejor alternativa de rapidez, flexibilidad, compatibilidad y funcionalidad de procesos con la mas avanzada tecnología disponible. La familia de productos pseries está actualmente conformada por varios modelos diferentes basados en tecnología RISC POWERPC 604e de 32 bits y POWER 3-II y POWER 4 de 64 bits. El Sistema Operativo AIX para pseries esta diseñado para optimizar el rendimiento con el hardware de un pseries y proveer al usuario un ambiente que soporte los estándares de los sistemas abiertos. AIX ha sido calificado a nivel internacional como el mejor UNIX de la industria, tanto por el cumplimiento de todos los estándares de sistemas abiertos de la industria y compatibilidad, como por su solidez y madurez. La figura No 6 muestra un Servidor pseries de última tecnología, ofrecido por su proveedor oficial IBM 22

42 Figura No 6 Servidor psereis IBM (Redsis,2007) Seguridad de los Sistemas de Información Según la página Tramullas (2007), la Seguridad informática consiste generalmente en asegurar que los recursos del Sistema de Información de una organización sean utilizados de la manera que se decidió y que la información que se considera importante no sea fácil de acceder por cualquier persona que no se encuentra acreditada Términos relacionados con la seguridad informática La página Tramullas (2007) define los siguientes términos relacionados con la seguridad informática: Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Amenaza: es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. 23

43 Impacto: consecuencia de la materialización de una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización. Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio. Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían englobar un mismo concepto, una definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad está ligada a una Amenaza y el Riesgo a un Impacto Políticas de Seguridad Generalmente, se ocupa exclusivamente asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores, técnicos o usuarios finales de los sistemas tienen sólo los permisos que se les dio y que estrictamente requieren. Los derechos de acceso deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad. 24

44 Claves de Acceso Según lo expuesto en la página Cybsec (1996), las claves de acceso son la barrera más común en contra de accesos no autorizados a un sistema y prácticamente hoy en día son la única barrera, por esta razón debe darse un tratamiento de seguridad especial según las necesidades del negocio y la aplicación a la cual están asociadas Métodos de autenticación de usuarios Soluciones tipo Single Sign On Que es el Single Sign On Según un estudio realizado por los especialistas Iván Caballero y Jeimy Cano, publicado en la página criptored.upm (2006), el concepto Single Sign-On se refiere al acceso a múltiples recursos por medio de un único acceso. Gran cantidad de las arquitecturas implementadas en diferentes organizaciones han sido diseñadas con el objeto de dar acceso a los usuarios a múltiples servicios Web y/o aplicaciones. En la mayoría de los casos, cada uno de los servicios o aplicaciones cuenta con su propio componente de seguridad, lo cual generalmente compromete la seguridad de todo el sistema. Una de las posibles soluciones a este problema es implementar la estrategia Single Sign-On. Esta estrategia contempla cuatro arquitecturas que permiten implementar el SSO; Password Vault, la Administración centralizada con almacenamiento local de credenciales, la Administración y almacenamiento de credenciales centralizados y la Arquitectura SSO totalmente distribuida. El principal objetivo de una arquitectura que implemente Single Sign-On es transferir la funcionalidad y complejidad de todos los componentes de seguridad a un solo servicio de Single Sign-On (SSO). En una arquitectura SSO, todos los mecanismos de seguridad se encuentran concentrados en el SSO, siendo éste el único punto de autenticación y registro en el sistema. Otro beneficio de una arquitectura con estas características, es que los usuarios deben hacer el proceso 25

45 de ingreso una sola vez, a pesar de que continúan interactuando con múltiples componentes de seguridad en el sistema. El concepto de Single Sign-On no necesariamente se refiere a una sincronización de claves de acceso, ya que en ese caso todas las aplicaciones y servicios funcionan con un mismo acceso. Aunque una sincronización de claves de acceso le permite al usuario experimentar las ventajas del SSO, ésta no puede considerarse una implementación real, ya que en lugar de fortalecer las características de seguridad del sistema, éstas se estarían debilitando, pues todas las aplicaciones o servicios utilizan un único acceso, corriéndose el riesgo de que si un intruso logra conseguir el password de una de las aplicaciones o servicios, inmediatamente tendrá acceso a todas ellas. Una implementación real de SSO, debería contar con un agente SSO que se encargue de almacenar en una base de datos o directorio protegido, los accesos que le permiten al usuario acceder a cada una de las aplicaciones o servicios, en el momento que lo desee, ya que el proceso de login se realiza de manera transparente para el usuario, una vez que éste ha sido autenticado por medio de la arquitectura SSO. A pesar de que en una verdadera implementación existe una clave de acceso que permite el ingreso a todas las aplicaciones o servicios, esta aparente debilidad se soluciona sometiendo al usuario a un proceso de autenticación fuerte en el momento de hacer el ingreso, logrando que la arquitectura SSO aumente el nivel de seguridad del sistema completo, en lugar de disminuirlo. Autenticación fuerte se refiere al proceso de autenticación en sistemas que requieren múltiples factores para realizar la identificación del usuario, los cuales utilizan tecnología avanzada como contraseñas dinámicas o certificados digitales. 26

46 Arquitecturas Existen diferentes tipos de arquitecturas que permiten implementar SSO. Cada una de ellas posee características que la hace más apropiada para algún tipo de organización. La decisión de adoptar una u otra arquitectura básicamente depende de los recursos computacionales y/o económicos disponibles, y las decisiones de diseño establecidas por el equipo del proyecto. Las diferentes arquitecturas SSO están compuestas por tres componentes básicos: 1. Interface: El modo en que el SSO interactúa con una determinada aplicación. Usualmente reside en el cliente, y es conocido como Agente SSO. 2. Administración: El mecanismo que permite configurar, mantener y monitorear el proceso de SSO. 3. Credenciales: Cada aplicación a la que se accede requiere información confidencial (nombre de usuario, contraseña, etc.), que agrupada recibe el nombre de credenciales. Las credenciales deben almacenarse de manera protegida para que sea únicamente el agente SSO quien pueda acceder a ellas Password vault Se trata de la configuración más básica para implementar SSO utilizando credenciales. En este caso los tres elementos de la arquitectura se encuentran ubicados en el cliente y, por lo tanto, es justamente allí desde donde se accede a las aplicaciones, para lo cual se deben previamente almacenar las credenciales correspondientes, para que puedan ser suministradas a las aplicaciones cuando sea necesario, esto se ilustra en la figura No 7. 27

47 Figura No 7. Arquitectura Password Vault Administración centralizada con almacenamiento local de credenciales Con el propósito de solucionar los principales inconvenientes que presenta la arquitectura Password Vault, surge la Administración centralizada con almacenamiento local de credenciales, ofreciendo un mecanismo para controlar y supervisar el proceso de ingreso, y eliminando la necesidad de configurar el SSO en cada uno de los clientes. Esta arquitectura se ilustra en la figura No 8. Figura No 8. Administración centralizada con almacenamiento local de credenciales 28