Mecanismos de control y seguridad

para el proyecto de formación

AUTOMATIZACION DE LOS PROCESOS DE GESTION DOCUMENTAL A NIVEL

ORGANIZACIONAL " MULTISERVICIO Y MANTENIMIENTO JUFERLO"

Por:
Jhon James Arboleda Tobar
Johanna Milena Jerez Bejarano
Bayron Rafael Araujo Campo
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

Tabla de Contenido

INTRODUCCIÓN 3

1. REQUERIMIENTOS NO FUNCIONALES PARA LA SEGURIDAD DEL

SISTEMA 4

2. DISEÑO DE AUTORIZACIÓN 4
2.1 SEGMENTACIÓN DE PROCESOS 4
2.2 PERFILES Y ROLES 5

3. DISEÑO DE AUTENTICACIÓN 6
3.1 MECANISMOS DE AUTENTICACIÓN 7
3.1.1 Características de las contraseñas 8
3.1.2 Uso temporal de contraseñas 8
3.1.3 Suspensión de contraseñas 9

4. DISEÑO DE LOS MENSAJES DE ERROR Y ADVERTENCIA 9

5. DISEÑO DE MECANISMOS DE PROTECCIÓN DE DATOS 10

5.1 ALGORITMO PARA CIFRADO DE DATOS 10

BIBLIOGRAFIA 13

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 2 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

INTRODUCCIÓN

Con la puesta en marcha de la Ley 1581 de 2012 y el Decreto reglamentario 1377 de

2013 las organizaciones deben garantizar la protección de los datos personales y el
cumplimiento de los derechos al Habeas Data (conocer, analizar y rectificar los datos
personales que se tengan de ellas en las bases de datos) y a la información.

Teniendo en cuenta lo mencionado con antelación y las características de la empresa

Multiservicios y Mantenimiento Juferlo se requiere un sistema de información que
garantice por medio de mecanismos de control y seguridad cumplir con el marco legal al
respecto y brindar a sus usuarios la tranquilidad del manejo de sus datos personales con
confidencialidad, integridad y disponibilidad.

En el presente documento desarrollaremos los mecanismos de control y seguridad del

software Juferlo ERP.

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 3 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

1. REQUERIMIENTOS NO FUNCIONALES PARA LA SEGURIDAD DEL SISTEMA

En etapas anteriores del proceso de formación se estableció los siguientes

requerimientos no funcionales de seguridad para el sistema de información de Juferlo
Erp.

REQUERIMIENTOS NO FUNCIONALES PARA LA SEGURIDAD

Se debe utilizar sesión de usuario con su respectiva

SP-013 SEGURIDAD contraseña y con funciones restringidas de acuerdo con el
rol de cada uno

2. DISEÑO DE AUTORIZACIÓN

El diseño de autorización para el software Juferlo Erp se ha elaborado teniendo en cuenta

los roles y perfiles de los usuarios del sistema así como la intervención de estos en cada
uno de los procesos y los permisos que tendrán de intervención.

2.1 SEGMENTACIÓN DE PROCESOS

La segmentación de los procesos que se ejecutan en la empresa y para los cuales debe
estar preparado el sistema de información son los siguientes:

 Proceso de apoyo o sistema de recursos en donde intervienen los empleados

quienes ejecutan las labores para dar cumplimiento con los servicios contratados
por el cliente generando satisfacción y por ende crecimiento y fortalecimiento de
la empresa.
 Proceso misional o de sistema operativo en el que intervienen los clientes con la
solicitud y contratación de los servicios, los proveedores con la cotización y

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 4 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

suministro de los materiales y equipos para el funcionamiento de la organización.

 Proceso estratégico o sistema administrativo en el que interviene el administrador
de la empresa quien lidera la organización y los procesos que en ella se
desarrollan.

2.2 PERFILES Y ROLES

Los roles en el sistema de información permiten organizar e identificar los usuarios que
accederán y los perfiles dan a conocer las autorizaciones que estos tendrán y para el
caso de Juferlo Erp son:

ROL PERFIL PERMISOS

Administrador Administrador de la empresa  Ver, crear, editar, borrar y
almacenar documentos de
cualquiera de los usuarios
 Administrar el acceso y las
autorizaciones de los
usuarios al sistema
Clientes Usuario que hace solicitud y  Ver y comentar e imprimir
contratación del servicio documentos y avances
suministrados por el
administrador
Proveedores Contratista que suministra  Ver, comentar e imprimir
los materiales y equipos documentos suministrados
para desarrollo de las por el administrador
labores contratadas  Adjunta documentos para
verificación por el
administrador
Empleados Trabajadores de la empresa  Editar los avances de las

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 5 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

que ejecutan la labor actividades para las que son

contratada contratados

3. DISEÑO DE AUTENTICACIÓN

La forma como los usuarios se identifican en el sistema se denomina sistema de

autenticación y permite a su vez definir los accesos a los recursos definidos para cada
uno de los roles establecidos.

De acuerdo con los diferentes tipos de mecanismos de autenticación que existen como:

CONTRASEÑAS TOKEN

BIOMÉTRICOS

Que son tipos de autenticación seguros para implementar en un software y permite una
garantía y más seguridad cuando se combinan dos formas de autenticación como
contraseñas y biométricos lector huella dactilar.

Algunos mecanismos de autenticación suelen ser caros para implementar como los
sistemas de autenticación biométricos ejemplos.
LECTOR DE HUELLA DACTILAR ESCÁNER RETINA

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 6 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

RECONOCIMIENTO FACIAL

Estos sistemas tienen ventajas en incrementar la seguridad del sistema, pero por otro
lado los datos obtenidos pueden generar muchos números de falsos positivos ejemplo.

Un usuario autentico puede ser rechazado como tal siendo positivo y un usuario impostor
puede ser autentificado siendo negativo.

3.1 MECANISMOS DE AUTENTICACIÓN

En nuestro sistema de información y de acuerdo con los requerimientos del sistema y

sabiendo que la protección un sistema comienza con la autenticación de quien va a
solicitar un recurso e interactuar con el mismo implementaremos el mecanismo de
autenticación de contraseñas.

Este es un tipo de autentificación clásica donde cada usuario posee un nombre de

entrada al sistema o logan y una clave o password este mecanismo es fácil de
implementar ya que su uso generalizado permite a las personas entender su utilización
y se puede dar a conocer si tiene pocos caracteres y si son utilizados en muchos sitios y
algunos de ellos son comprometidos.

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 7 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

El usuario corresponderá al número de documento de identificación y la contraseña será

establecida por cada usuario.

3.1.1 Características de las contraseñas

Como sugerencias para el establecimiento de las contraseñas se indicará al usuario los

siguientes requerimientos básicos:

 Debe tener mínimo 6 caracteres

 Debe utilizar combinación de mayúsculas y minúsculas
 Debe incluir números
 Incluir caracteres especiales
 No tener espacios en blanco

3.1.2 Uso temporal de contraseñas

Como seguridad informática, se implementará el uso y cambio de contraseña en

determinados lapsos, esto con el fin de brindar un mejor mecanismo de protección
(Password). La idea básica de este mecanismo es proteger los password de los usuarios
dándoles un determinado periodo de vida: una contraseña sólo va a ser válida durante
un cierto tiempo, pasado este tiempo expirará y el usuario deberá modificarla
obligatoriamente para su respectivo uso. El mismo sistema irá alertando y dando las
instrucciones para cambiar la contraseña.

3.1.3 Suspensión de contraseñas

Como otro método de seguridad se ha establecido la “suspensión de contraseñas”

cuando los usuarios intenten ingresar más de 3 veces seguidas de una manera errada.

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 8 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

Su password será bloqueado inmediatamente, pero con opciones de recuperar la clave

a través de su correo electrónico o brindado la información necesaria para recordarla o
crear una nueva clave.

Tanto el usuario como la contraseña en el caso de los clientes, los empleados y los
proveedores estarán habilitadas siempre y cuando exista relación contractual con la
empresa.

Cuando por condiciones ajenas al sistema, el usuario no acceda de manera periódica su

ingreso estará suspendido en tanto este se comunique con el administrador y solicite su
activación.

4. DISEÑO DE LOS MENSAJES DE ERROR Y ADVERTENCIA

Dentro del sistema Juferlo Erp se diseñarán los mensajes de error y advertencia que
permitan a los usuarios identificar de manera clara ¿qué ha pasado? O donde reside el
error, ¿cuál es la causa del error? y que puede hacer el usuario para conseguir su
objetivo.

Estos mensajes mostraran ingresos y funciones inhabilitadas así como variables,

atributos, características o condiciones no disponibles.

5. DISEÑO DE MECANISMOS DE PROTECCIÓN DE DATOS

Para garantizar el cumplimiento la ley 1581 de 2012 de protección de datos personales

(Habeas data) y del decreto 1377 de 2013 que la reglamenta parcialmente, se establece
para el sistema Juferlo Erp y los usuarios que en ella intervienen una política de
obligatorio cumplimiento que incluya el compromiso de la confidencialidad, integridad y

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 9 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

la disponibilidad de la información a la que tengan acceso.

5.1 ALGORITMO PARA CIFRADO DE DATOS

En el caso del Juferlo Erp haremos uso del algoritmo de hashing MD5 para garantizar la
confidencialidad y la integridad de la información que se maneje entre cada uno de los
actores del sistema.

El algoritmo generado es:

public static void main(String[] args) {

// TODO code application logic here
Scanner sc = new Scanner (System. in);
System.out.print("Ingrese su usuario: ");
String nombre= sc.next();

System.out.print("Ingrese su contraseña: ");

String contraseña= sc.next();

String ConEncriptada= DigestUtils.md5Hex(contraseña);

System.out.print("La contraseña encriptada es: " + ConEncriptada);

Al ejecutarlo haciendo uso de la herramienta Netbeans se ingresa el usuario y la

contraseña y esta será encriptada por el sistema como lo muestran las siguientes
imágenes:

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 10 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 11 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

BIBLIOGRAFIA

Características de una contraseña segura, tomado de:

www13.ufasta.edu.ar/serviciosweb/ayuda_pass.htm

Certicamara, ABC para proteger los datos personales, Ley 1581 de 2012 Decreto 1377
de 2013, tomado de https://colombiadigital.net/actualidad/articulos-
informativos/item/5543-abc-para-proteger-los-datos-personales-ley-1581-de-2012-
decreto-1377-de-2013.html

Gestiopolis, Diseño e implementación de sistemas informáticos en una empresa, tomado

de https://www.gestiopolis.com/diseno-e-implementacion-de-sistemas-informaticos--en-
una-empresa/

Junoy, Josep, Mensajes del sistema:¿Cómo deben redactarse?, consultado en

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 12 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

https://www.alzado.org/articulo.php?id_art=460

Descifrar MD5, https://www.md5online.es

Gaspar, Castellanos Sergio, Cómo encriptar contraseñas en JAVA-MD5 y SHA1, en

http://www.youtube.com/watch?v=fvbMnUEVkIY

Duarte, Eugenio, Seguridad-Diferencias entre cifrado simétrico, asimétrico y Hashing,

consultado en blog.capacityacademy.com/2013/08/16/seguridad-informatica-cifrado-
simetrico-asimetrico-hashing/

Rodríguez, García Elías, Cómo funciona el cifrado de Pordede y qué ocurrió en su

hackeo de http://omicrono.elespanol.com/2017/07/como-funciona-cifrado-md5/

Monsalve, Jhon Edwin, Encriptación MD5- JAVA Netbeans, en

http://www.youtube.com/watch?v=mLOxm20qqME

Yo el programador, Cómo encriptar contraseñas en MD5 en Java?, en

www.yoelprogramador.com/como-encriptar-contrasenas-en-md5-en-java/

Silva, Diego, Apuntes Java, Contraseñas encriptadas con Java,

https://www.apuntesdejava.com/2011/06/contrasenas-encriptadas-con-java.html

Apache commons códec, commons-codec-1.11-src.zip, en

http://commons.apache.org/proper/commons-codec/download_codec.cgi

Documentos SENA, fase 3, Diseñar los mecanismos de seguridad y control

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 13 de 14
Confidencial
 <Nombre del Proyecto>
Documento: Mecanismos de control y seguridad para el proyecto de formación Versión 1.0
Clave: MTS-07 Fecha: 18/11/2018

Documento: Modelo relacional de la base de datos del proyecto de formación  <Empresa>, 2018 Página 14 de 14
Confidencial