UNIVERSIDAD CATÓLICA ANDRÉS BELLO FACULTAD DE INGENIERÍA ESCUELA DE INGENIERÍA INFORMÁTICA DESARROLLO DE UN SISTEMA DE SEGURIDAD INTEGRADA PARA LAS APLICACIONES DE SOFTWARE DE UNA EMPRESA DE VENEZUELA REALIZADO POR: Carlos Alberto Da Silva TUTOR : Hector Osman Rivas FECHA: Caracas, Noviembre de 2002 1
Resumen El objetivo general que persigue este Trabajo Especial de Grado es Desarrollar un Sistema Informático de Seguridad Integrada para las aplicaciones de software de una Empresa de Venezuela. Todo Trabajo Especial de Grado debe regirse a través de una metodología seleccionada, para llevar un orden lógico y así cumplir con el objetivo esperado. En este trabajo se aplicó el Modelo del Ciclo de Vida del Desarrollo de Software expuesto por Pressman en 1998, porque permite la evolución del proyecto a través de una secuencia ordenada de una etapa a otra, siguiendo un orden lineal. El sistema desarrollado integra la administración de la seguridad y del control de acceso de OneWorld y Maximo esto se logró manteniendo la sincronización e integridad entre las aplicaciones y el nuevo sistema. Por tal motivo, se creó una base de datos de integración en Oracle donde se mantienen un registro de las aplicaciones que conforman el sistema y a su vez los diferentes accesos que posee un determinado usuario. El sistema está conformado por tres aplicaciones, que son: Modulo_Administrador_Acceso, Modulo_Administrador_Usuario y Modulo_Auditoria, que interactúan con la base de datos de integración y con las diferentes bases de datos de las aplicaciones. Uno de los aspectos a nivel informático que más preocupa a las empresas es la administración de acceso por ser la llave de entrada a las aplicaciones. Al controlar éste tipo de situación se minimiza los riesgos que ponen en peligro la data del negocio. Una de las soluciones a este problema es la creación de un Sistema de Seguridad Integrada, en donde la administración de acceso se realice de manera centralizada y controlada. 2
OBJETIVO GENERAL Desarrollar un Sistema Informático de Seguridad Integrada para las aplicaciones de software de una Empresa de Venezuela OBJETIVOS ESPECÍFICOS Realizar el levantamiento de información necesaria para conocer los procesos relacionados a la seguridad de cada una de las aplicaciones de una Empresa de Venezuela. Manejar y aplicar los principios básicos, estándares y procedimientos de una Empresa a lo largo del desarrollo del Sistema de Seguridad Integrada para las aplicaciones, garantizando así la cohesión entre el nuevo sistema y los estándares de la empresa. Evaluar los riesgos y consecuencias existentes al no contar con un Sistema de Seguridad Integrada para las aplicaciones de una Empresa. Diseñar y desarrollar un Sistema informático de Seguridad Integrada para minimizar los riesgos de las aplicaciones, basándose en los requerimientos y necesidades de la empresa. (Ver las limitaciones y alcance del sistema). Realizar un Análisis de Riesgo al nuevo Sistema de Seguridad Integrada para las aplicaciones, basado en la metodología ISRMP de una Empresa. 3
Aplicar medidas de control para minimizar los riesgos encontrados al realizar un Risk Assessment (análisis de riesgo) al nuevo Sistema de Seguridad Integrada para las aplicaciones, basado en la metodología ISRMP de una Empresa. Realizar las pruebas del nuevo sistema, para garantizar el buen funcionamiento. Implantar el Sistema Informático de Seguridad Integrada para las aplicaciones de software de una Empresa de Venezuela. (Ver las limitaciones y alcance del sistema). LIMITACIONES Y ALCANCE Limitaciones Actualmente existen cerca de veinte (20) aplicaciones dentro de una Empresa de Venezuela. El sistema a diseñar y desarrollar no cubrirá todas las aplicaciones, sino sólo dos (2) de ellas, éstas serán: OneWorld y Maximo. El módulo podrá ser extendido en otro proyecto futuro para las demás aplicaciones de la Empresa. El Sistema de Seguridad Integrada para las aplicaciones de la Empresa contará con el módulo integrado de cambio de password y el módulo de monitoreo del sistema integrado. Es importante destacar que las características básicas del módulo de sincronización y estandarización de los UserID (nombre de usuario) y password, se encuentran regidas bajo las políticas de seguridad de la Empresa, descritas en el Naming Conventions. 4
El Sistema de Seguridad Integrada para las aplicaciones de una Empresa contará, adicionalmente a lo ya mencionado, con las funcionalidades básicas del módulo de auditoría (log s), donde se registran actividades, tales como: creación de usuario, intentos fallidos y login a los sistemas. El Sistema de Seguridad Integrada para las aplicaciones será implementado sólo en la sede de Caracas de una Empresa de Venezuela. Al aplicar las medidas de control para minimizar los riesgos en el Sistema de Seguridad Integrada para las aplicaciones, se puede encontrar riesgos residuales, considerados como aquellos riesgos permanentes en las aplicaciones que, a pesar de implementar medidas de control, siguen activos. Alcance: La implementación sólo cubrirá el diseño y desarrollo del módulo de cambio de password efectuado por el usuario, módulo de monitoreo del sistema y las funcionalidades básicas de los módulos de auditoría (log s de auditoría), sincronización y estandarización de los UserId (nombre de usuario) y password. El sistema a diseñar y desarrollar abarcará sólo dos (2) aplicaciones: OneWorld y Maximo (ambos son sistemas ERP 1 ) 1 ERP: es un sistema de gestión de información estructurado, diseñado para satisfacer soluciones de gestión empresarial. Los "softwares ERP tienen como finalidad integrar todas las áreas y funciones de la organización en un solo sistema que pueda cubrir las diferentes necesidades de cada departamento, es decir, que le permita tanto al área financiera como de recursos humanos el tomar decisiones basadas en la información relevante de la empresa. 5