Diseño e implementación de un sistema seguro para la automatización de procesos centralizados y en campo, de un segmento de pymes
BENEFICIARIO
Las pymes
INTEGRANTES
- John Orlando Hurtado Restrepo
Pedro Alejandro Vacca Castro
AÑO
2021
PALABRAS CLAVE
Pymes, Integridad, Autenticidad, Confidencialidad, Soporte seguro a operaciones de venta en campo
CONTEXTO
En la actualidad, las Pymes y MiPymes de
Colombia son aproximadamente 2.540.953, lo que representa un 90% de las
empresas del país, según los datos tomados del Ministerio de Trabajo. De este
total, hay aproximadamente 300.000 pymes que son clientes de un operador móvil particular, y se estableció que el 25% de ellas (75000) necesitan una
solución de fuerza de ventas con tres condiciones: automatizada, en la nube y
segura.
Un análisis de operatividad y seguridad para las Pymes con la necesidad identificada encontró :
- Las Pymes en estudio tienen fuerza de ventas y/o procesos logísticos en campo. Por ejemplo, ventas, inventarios y análisis de competencia.
- La operación de la fuerza de ventas y procesos logísticos se hacen manualmente.
- Las pymes segmentadas para este caso no tienen ningún esquema de seguridad de la información.
- Ninguna tiene soluciones en la nube.
Para adelantar los procesos de fuerza de ventas, cada empleado procesa la información manualmente, tomando datos desde un celular con hojas de cálculo o enviándolas directo por mensajería hacia un coordinador de la empresa, que se encarga de recibir la información, clasificarla y recopilarla en Excel en un computador personal.
Las pymes identificadas presentan una vulnerabilidad que permite el robo de información, porque los empleados hacen el proceso de registro de información en hojas de cálculo almacenadas localmente, lo cual permite alterar la información y realizar copias de la misma para el robo de ésta. Adicionalmente, un hacker puede acceder a la infraestructura (computador local), para robar la información.
Con base en esta información, diseñamos una
solución que las Pymes pueden usar para soportar el registro y gestión de la información garantizando un mayor nivel de confidencialidad e integridad, así como autenticación.
PROPUESTA
Diseñar
e implementar un sistema seguro que permita automatizar los procesos que
realizan los funcionarios en campo y los procesos centralizados. El sistema debe
proteger la información que intercambian los funcionarios en campo y la
central, y adicionalmente debe ser diseñado de forma segura.
A continuación, se listan las funciones que debe cumplir la solución:
- Diseñar e implementar un sistema que permita la integridad de los datos.
- En el diseño se debe validar la autenticidad de las personas que pretendan hacer transacciones con el sistema.
- La confidencialidad de la información es otro factor que debe estar presente en el diseño tanto en la aplicación de mensajería, como en la solución propuesta.
- Adelantar un análisis de vulnerabilidades y plantear un plan para evitarlas y/o resolverlas.
- Permitir que los empleados de las Pymes utilicen una aplicación de mensajería pública que cumpla con los principios básicos de seguridad de la información (autenticidad, integridad, confidencialidad) y que permitan que cada mensaje sea cifrado extremo a extremo con claves diferentes con la propiedad criptográfica “secreto perfecto hacia adelante (perfect forward secrecy)”.
- Garantizar los empleados de las Pymes puedan seguir usando el sistema, aún si se acaban el plan de datos.
- Garantizar
a los empleados de las Pymes, a los que se les pierda o les roben el celular,
no perder la información y seguir trabajando con la misma información al tener
otro celular.
RESULTADOS
Se implementó una aplicación que cumple con los requerimientos identificados y se
hicieron operaciones reales con 194 usuarios distribuidos geográficamente por toda Colombia, desde el 2 de
septiembre hasta el 12 de octubre del 2021, generando un total de 11.418
registros.
Se encontró:
- La aplicación rechaza conexiones desde celulares que no están registrados.
- La aplicación rechaza formularios cuando quien genera y quien envía no son la misma persona.
- La aplicación rechaza solicitudes que no cumplen con los patrones de entradas autorizados (Input Sanitization).
- La aplicación no expone puertos en internet, así que las herramientas tradicionales de escaneo de puertos no son aptas para generar ataques o hacer análisis de vulnerabilidades.
Se preparó un robot de envío de mensajes cada segundo al celular de la solución y el sistema lo bloqueó en el primer intento ya que en la implementación bloquea celulares que no están registrados.
Se aclara que el
alcance de la seguridad no llega hasta la protección del celular de cada
usuario, por lo tanto, si un atacante hace transacciones desde un celular registrado, el sistema aceptará las transacciones. Ante robo o pérdida se espera que el usuario
avise inmediatamente para que el celular sea
bloqueado.