Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIVERSIDAD ICESI
FACULTAD DE INGENIERA
DEPARTAMENTO DE TECNOLOGAS DE INFORMACIN
Y COMUNICACIONES
SANTIAGO DE CALI
2011
Director
ANDRS NAVARRO CADAVID
Ph.D. Director Grupo de Informtica y Telecomunicaciones, i2T
UNIVERSIDAD ICESI
FACULTAD DE INGENIERA
DEPARTAMENTO DE TECNOLOGAS DE INFORMACIN
Y COMUNICACIONES
SANTIAGO DE CALI
2011
CONTENIDO
Pg.
GLOSARIO DE TRMINOS
RESUMEN
1. INTRODUCCIN
11
1.3. OBJETIVOS
11
11
11
12
14
2. MARCO TERICO
17
17
20
20
21
28
28
36
3.1. INTRODUCCIN
36
37
37
3.2.2. Stakeholders
41
44
44
49
50
51
59
60
61
91
91
94
4. ANLISIS DE RESULTADOS
98
102
BIBLIOGRAFA
104
ANEXOS
106
LISTA DE TABLAS
Pg.
Tabla 1. Caracterizacin del Modelo de evaluacin del Software
13
25
37
42
43
45
49
51
52
60
61
62
68
73
88
93
LISTA DE FIGURAS
Pg.
Figura 1. Resultados del proceso de evaluacin de la Plataforma IAM
16
23
24
26
27
29
90
92
94
97
GLOSARIO DE TRMINOS
RFI - request for information: Proceso estndar de negocio que permite a las
organizaciones recolectar informacin en el mercado, para identificar bondades y
requerimientos que puedan suplir una necesidad de negocio.
RFP - request for proposal: Proceso estndar de negocio, el cual permite a las
organizaciones adelantar procesos licitatorios de una manera estructurada y
organizada. El cual dar como resultado la identificacin, calificacin y seleccin
del oferente que califique como la mejor opcin segn los criterios de seleccin
establecidos por la empresa, para el cubrimiento de una necesidad.
RESUMEN
1. INTRODUCCIN
10
1.3. OBJETIVOS
11
12
GENERALES RFP
EMPRESA
FUNCIONALES
Generales
Modelo de Operacin
Econmico
Administracin de Acceso
Administracin de Identidades
Administracin de Eventos y Seguridad de
Informacin
Generales
Generales
TCNICOS
Restricciones de Tecnologa
QAs
Telecomunicaciones e Infraestructura
Administracin de Usuarios
Seguridad
Licenciamiento
Soporte y Garanta
Administracin del aplicativo
Normatividad
5
1
3
3
5
3
5
4
4
9
4
13
24
3
3
3
3
2
2
3
1
4
107
13
14
Finalmente del resultado del proceso se logr obtener una calificacin consolidada
de las soluciones evaluadas, lo cual permiti a la organizacin determinar cul de
las soluciones era la que mejor se adaptaba a las necesidades y expectativas del
negocio.
15
EMPRESA
IBM
ORACLE
NOVELL
%
CALIFICACIN CUMPLIMIENTO
4,15
3,48
4,47
83%
70%
89%
META
60%
60%
60%
16
2. MARCO TERICO
Bajo esta situacin las organizaciones han comenzado a tomar medidas urgentes
para adoptar mejores prcticas que permitan implementar polticas de Gobierno de
TI. Segn el OECD (Organization for Economic Co-operation and Development) se
define el Gobierno Corporativo como El sistema con el cual las corporaciones y
sus negocios, son dirigidos y controlados, lo que quiere decir, que cada
organizacin tambin debera determinar de qu manera asegura el Gobierno de
la Informacin y sus tecnologas, en las cuales se da la alineacin de las
estrategias del Negocio y el modelo del negocio.
17
A pesar que muchas empresas, piensan que sus sistemas de informacin son
seguros, la cruda realidad es que no lo son, esto se observa diariamente en
diarios y peridicos donde se hace evidente el aumento de casos tpicos como:
ataque de piratas informticos (Hackers), ciber crmenes, virus informticos,
fraudes internos o externos, los cuales pueden ser generados desde las
aplicaciones o servicios expuestos en la Internet. Lo que finalmente repercute de
manera directa en problemas conocidos como la cada o lentitud de las
aplicaciones, denegaciones de servicios y finalmente la perdida de disponibilidad,
integridad y confidencialidad (CID) de la informacin.
18
Luego se hace muy relevante que los procesos de las organizaciones sean
diseados, implementados y apropiados acordes al entorno empresarial y clima
organizacional, esto segn Alan Calder y Steven Warthinks deberan reflejarse en
los siguientes aspectos (1 - Pg.6):
- Los procesos y procedimientos que sean adoptados deben reflejar los riesgos y
sus valoracin propia de la corporacin
19
INFORMATION WEEK. The Business Value of Technology. Steven Marlin Information Week
June 17, 2005. 06:00 PM. http://www.informationweek.com/news/164900904.
2 The Wall Street Journal. Digital Network. Oct. 2008.
http://www.secureidentityssystem.com/assets/files/Oct-WSJ-IDtheftConcern.pdf.
3 ConsumerAffairs.com Jun 2008.
http://www.consumeraffairs.com/news04/2008/10/nc_mellon_corp.html
4 CNET.com. Exclusive:Third attack against Sony planned. May 2011. http://news.cnet.com/830131021_3-20060227-260.html.
20
En particular este ltima noticia causa curiosidad puesto que se da bajo la cuna de
la aparicin de organizaciones que se han llamado legiones las cuales dicen
defender la libertad de la informacin y el no a la censura en Internet; al mismo
tiempo que ocurre con la prohibicin en ciertos pases del acceso a sitios como
WikiLeaks (http://www.wikileaks.ch), el surgimiento del grupo Anonymous y en
particular en Colombia el desarrollo de leyes como la denominada Ley Lleras proyecto de ley que busca regular la propiedad intelectual en internet en
Colombia, demuestra que el tema de las seguridad informtica en los sistemas
de informacin no es despreciable en un mercado global de las corporaciones,
donde las aplicaciones empresariales poco a poco han migrado de la plataforma
cliente - servidor y sus confiables zonas desmilitarizadas DMZ, hacia un mundo
de comunicaciones globales y plataformas tipo WEB; en donde se da un
intercambio de servicios a travs de Web Services que son consumidos por otras
empresas o usuarios y en donde de una u otra forma los riesgos de las
aplicaciones y la informacin que circula a travs de estas, se incrementan por la
desproteccin y exposicin de servicios a la red de redes - Internet.
Toda esta armona fue irrumpida en el momento en que algunas personas cayeron
en cuenta del poder de la informacin que corra o flua por todos estos medios o
sistemas de informacin; el primer caso documentado por la comunidad como
violacin a un sistema de informacin, fue presentado en el libro The Cuckoo's
Egg por el autor Cliff Stoll en el ao 1989 5, en este libro el autor relata cmo
descubre un aparente error contable en los sistemas de informacin de la
compaa, donde al parecer haba una diferencia de 75 centavos de dlar en
ciertas transacciones, por lo cual comienza a investigar y cae en cuenta que
alguien se ha introducido en sus sistemas y ha robado los accesos del sper
usuario (root), de esta forma inicia un seguimiento detallado de las actividades del
intruso, en lo que es considerado el primer caso documentado de una persecucin
a un cracker.
STOLL, Cliff. The Cuckoo-s Egg: Tracking a Spy Through the Maze of Computer Espionage.
Estados Unidos, 1989. ISBN 0-385-24946-2.
21
J.P. Anderson. Computer Security Threat Monitoring and Surveillance. Technical Report
Washington, PA, April 1980.
7
Ibid. p. 15.
22
Fuente: J.P. Anderson. Computer security threat monitoring and surveillance. Technical Report
Technical Report. Washington, Pag 8.
En cada una de estos componentes o capas se dan una serie de amenazas que
pueden atravesar todo el modelo OSI, entre las amenazas ms conocidas se
referencia roles de personas como los Crackers y Phreakers, temas culturales
denominados Ingeniera Social, hasta las tcnicas de la informtica como:
Scanning, Smurf o broadcast storm, Sniffing, Spoofing, Virus Troyanos, Exploits,
Denegacin de Servicios, Bombardeo de Email (SPAM), Phishing, Inyeccin SQL,
entre otros. Este tipo de amenazas y que parte del modelo OSI es la ms
impactada por la relacin fehaciente sobre las vulnerabilidades encontradas, se
observa en la figura 3.
23
Fuente: http://www.sans.org/top-cyber-security-risks/trends.php
24
Fuente: http://www.iso.org
25
Para los siguientes aos se dio la evolucin de ese primer concepto asociado a la
administracin del ciclo de vida de la identidad de las personas el cual se conoci
como single sign on, en ese momento se hizo evidente y necesario la
incorporacin de los factores de gobernabilidad, riesgo y cumplimiento
26
27
Piotr Pacyna, Anthony Rutkowski, Amardeo Sarma & Kenji Takahasi. Trusted Identit y for All:
Toward Interoperable Trusted Identit y Management Systems, COMPUTER IEEE Computer
Society, 0018-9162/09/$25.00 2009 IEEE.
9
Ibid.
28
Estudios adelantados por la empresa Deloitte, indican que el adecuado manejo del
riesgo, gobernabilidad y el cumplimiento puede llegar a producir valor para la
organizacin ya que para las empresas el cumplimiento debe ser uno de los
drivers principales para que las corporaciones inviertan en soluciones de
identidad, puesto que va directamente relacionado con variables crticas para el
negocio como son10 .
10
29
Motivacin empresarial:
Mejorar la productividad: Optimizacin, estabilidad, flexibilidad.
Seguridad: Riesgo y cumplimiento
Motivacin legal:
Incremento en la cantidad de normas regulatorias (Circular 052, SOX, PCI, etc.)
Minimizacin del riesgo operativo en los informes financieros, deben ser
veraces y certificables, que es el caso de la regulacin SOX aplicada en los
Estados Unidos.
Las auditoras internas y externas estn cada vez ms centradas en el control
de los procesos de TI.
Mayor responsabilidad legal de las personas responsables de ejecutar y
garantizar los mecanismos de control. Como es el caso de los representantes
legales de las empresas (usualmente los gerentes).
Segn el autor Axel Larsson, una plataforma de este tipo obliga a las
organizaciones a reemplazar las conexiones mltiples ad-hoc que se solan hacer
entre distintos sistemas y aplicaciones, a un solo puente hacia el sistema de
gestin de identidades y accesos, lo cual impacta al reducir los costos operativos
y administrativos y adems permite que se puedan soportar ms aplicaciones, al
aumentar la longevidad y la utilidad de los sistemas de informacin
(administrativos) tipo legacy, as como la informacin albergada en las mismas11.
Ver figura 7.
LARSSON, Alex. LARSSON, Axel. Drew University. A Case Study: Implementing Novell Identity
Management at Drew University, Drew University, 2003.
30
Fuente: A10 Networks WhitePaper, Identity Management and Sarbanes-Oxley Compliance, Pg 9 Sep 2005. http://frwebgate.access.gpo.gov
31
La cual para estructurarse de una manera adecuada, puede utilizar una serie de
plantillas en los cuales se consideran los elementos claves para el desarrollo de
un documento que describe la arquitectura del sistema o el software (SAD),
elementos que de manera resumida se especifican a continuacin.
12
32
33
Paso 1
Paso 2
Paso 3
Paso 4
Paso 5
Paso 6
Paso 7
Definir:
Alcance
Contexto
Restricciones
Lnea base
Principios de la arquitectura
Documentar la arquitectura
Validar la arquitectura
Fuente: Detalles del proceso referirse al captulo 7, pgina 73, Rozanski, Nick y Woods, Eoin.
Software systems architecture
34
35
3.1. INTRODUCCIN
13
36
Solicitudes del
usuario
Descripcin
Func.
Conectores
Aplicaciones
37
Arq. Sig.
X
X
Eficiencia
Id
Solicitudes del
usuario
Pantallas
de
usuario final (Portal
de autoservicio)
Compatibilidad con
dispositivos
Plataforma abierta
Alta disponibilidad
10 Flexibilidad de la
Plataforma
11
Sincronizacin
conciliacin
repositorios
y
de
12 Sincronizacin
efectiva y eficiente
13 Storage On-line y
esquema
de
backup
14 Esquemas
de
seguridad de la
plataforma: Perfiles
de Acceso
Descripcin
solucin (administracin,
configuracin, parametrizacin de
nuevos servicios).
El sistema debe permitir mediante una
interfaz web el ingreso de los usuarios
finales, para poder auto gestionar
algunos servicios propios de su
identidad (Mecanismos de
autoservicio) como el cambio y
recordacin de clave, actualizacin de
datos generales, etc.).
El sistema debe permitir que el portal
de autogestin pueda ser accedido
desde dispositivos mviles (Celulares,
eBooks, Palms, etc)
La plataforma debe ser abierta en el
sentido que pueda correr en
diferentes Sistemas Operativos y/o
arquitectura de servidores donde se
vaya a desplegar
El sistema debe garantizar esquemas
de alta disponibilidad continuidad
tecnolgica en caso de un incidente
y/o problema
El sistema debe ser fcilmente
adaptable a nuevas plataformas,
aplicaciones y/o servicios que sean
implementados o desplegados
El sistema debe permitir la
sincronizacin y actualizacin de los
mltiples repositorios en un tiempo no
mayor a 5 minutos
El sistema debe soportar un promedio
de 10000 usuarios diarios, con una
proyeccin estimada de un 10% por
cada ao
El sistema debe permitir configurar la
informacin transaccional on-line y
definir cual se almacena mediante un
proceso de backup.
El sistema debe garantizar que los
accesos a las distintas aplicaciones
y/o servicios, sean otorgados segn
los lineamientos de seguridad y
perfilizacin establecidos en las
matrices de perfiles.
38
Func.
Arq. Sig.
X
Mantenimie
nto
X
Fiabilidad
X
Mantenimie
nto
X
Eficiencia
X
Mantenimie
nto
X
X
Seguridad
Id
Solicitudes del
usuario
Descripcin
15 Esquemas
de El sistema debe permitir definir
seguridad de la estndares para el nombramiento de
plataforma:
usuarios y contraseas que sern
Nombramiento
y sincronizadas con los diferentes
contraseas
aplicativos o servicios
16 Esquemas
de El sistema debe contar con
seguridad de la mecanismos de autenticacin de
plataforma:
doble y triple factor (token, huella
Mecanismos
de digital, iris, etc.) para controlar el
autenticacin
acceso a servicios crticos definidos
por la organizacin
17 Esquemas
de El sistema debe permitir generar
seguridad de la informes programados y en tiempo
plataforma:
real para conocer el comportamiento
Informes
de de los usuarios sobre las aplicaciones
auditoria
y servicios habilitados
18 Esquemas
de El sistema debe permitir configurar
seguridad de la alertas sobre eventos extraos
plataforma:
definidos por los administradores de
Correlacin
de seguridad
eventos
19 Conectores
de El sistema debe permitir conectarse
Aplicaciones
con Sistemas ERP y CRM, definidos
por la organizacin
20 Diseo de flujos de El sistema debe permitir el diseo e
trabajo
implementacin de flujos de trabajo
(workflows) a travs de la herramienta
de administracin web
21 Simulacin de
La solucin debe contar con
ambientes
herramientas de diseo y simulacin
de modelos de aprovisionamiento
antes de la implementacin
22 Mdulos del
La solucin debe contar con mdulos
sistema
independientes de administracin
como:
- Administracin de identidad
- Administracin del Acceso
- Administracin de Eventos y
seguridad de informacin
- Gobernabilidad
23 Arquitectura
La solucin debe basar su
basada en eventos arquitectura a travs del manejo de
eventos disparados por las distintas
aplicaciones, repositorios o
plataformas.
39
Func.
Arq. Sig.
X
Seguridad
X
Mantenimie
nto
X
Id
Solicitudes del
usuario
24 Arquitectura
basada en
conciliacin
25 Diseo de reglas
de negocio
26 Arquitectura
basada en Meta
Directorios
27 Pantallas
y
visualizacin de la
plataforma
28 Granularidad sobre
la plataforma
29 Eventos reportados
desde el sistema
de
Gestin
Humana
30 Crecimiento de la
solucin
32 Mecanismos
Federados
Descripcin
Func.
40
Arq. Sig.
X
X
X
X
X
Seguridad
X
Mantenimie
nto
Id
Solicitudes del
usuario
Descripcin
Func.
Arq. Sig.
X
X
Customer
Application software
developers
Infrastructure
software developers
End users
Application system
engineers
Application hardware
engineers
Project manager
Communications
engineers
Chief Engineer/Chief
Scientist
Program
management
System and software
integration and test
engineers
Safety engineers and
certifiers
41
External
organizations
Operational system
managers
Trainers
Maintainers
Auditors
Security engineers
and certifiers
Equipo de Proyecto
Ingenieros de Riesgo y
Seguridad informtica
Gestin Humana
Gerencia General
Desarrolladores
Gerencia Financiera
Descripcin
Equipo de personas encargado de recibir, atender
y/o re direccionar todas las solicitudes de los
usuarios y/o clientes, en un primer nivel de
conocimiento tcnico.
Miembros del equipo del proyecto de Gestin de
Identidades
Grupo de ingenieros responsables por definir,
estandarizar y ejecutar polticas relacionadas con
la seguridad de la informacin.
Grupo de personas responsables por la seleccin,
administracin,
bienestar,
capacitacin
y
entrenamiento de los empleados.
Persona responsable de administrar los elementos
de ingresos y costos de una compaa y de la
definicin de estrategias a corto, mediano y largo
plazo.
Chief information officer (CIO) o Gerente de
Tecnologa es la persona responsable por el
gerenciamiento de las TICs (Tecnologas de
informacin
y Telecomunicaciones)
y
su
alineamiento a las estrategias y objetivos
empresariales.
Ingeniero responsable por la administracin y
configuracin de la plataforma tecnolgica
Ingeniero responsables por la Gestin de la
Seguridad de la Informacin de la compaa
Empleados, contratistas y terceros
Persona responsable por la administracin y
cumplimiento de los objetivos del proyecto
Clientes externos que pueden ser inversionistas,
interesados o entes externos
Grupo de personas encargadas de revisar,
examinar y evaluar los resultados de la gestin
administrativa y financiera de una dependencia o
entidad, con el propsito de informar, recomendar
o dictaminar acerca de ellas.
Equipo de ingenieros responsables de analizar,
disear e implementar aplicaciones informticas.
rea responsable por la administracin financiera
de la compaa.
42
Stakeholder
Mesa de Ayuda
Mesa de Ayuda
Gerente General - CIO
Auditores, Ingenieros de
Seguridad de la Informacin
CIO, Auditores, Ingenieros de
Seguridad de la Informacin
CIO
Expectativas
Disminuir los tiempos de soporte requeridos por la
Mesa de Ayuda, Gestin de Clientes y Seguridad
Informtica para la atencin de solicitudes de
creacin, actualizacin, perfilizacin o eliminacin
de usuarios, cambio de contraseas y eventos
relacionados con el servicio
Disminuir en el nmero de requerimientos a la
Mesa de Ayuda relacionados con tareas de
administracin de usuarios y/o perfiles.
Ahorros econmicos a corto y mediano plazo
gracias a la disminucin en el nmero de
solicitudes y soporte requerido con los procesos
de administracin de usuarios (menos personal
necesario, mayor productividad)
Disminuir los riesgo de pago de multas o
sanciones econmicas por incumplimiento de
regulaciones o polticas internas relacionadas con
procesos de administracin de usuarios
Fortalecer las polticas de seguridad asociadas a
los procesos de administracin de usuarios y
aplicaciones
Tener mejores tiempos de respuesta en la
asignacin, retiro o cambio de los accesos a las
aplicaciones o servicios de los Colaboradores
durante el tiempo en la organizacin.
Contar con un mtodo estndar de autenticacin,
autorizacin y auditoria para el control de los
permisos de acceso a los servicios o aplicaciones
Garantizar que con la solucin se pueda dar el
cumplimiento de requerimientos regulatorios
relacionados con la administracin de usuarios en
los sistemas (Circular 052, PCI, etc.).
Aumentar la productividad de las personas
encargadas de las tareas administrativas
relacionadas con el servicio de provisin de
usuarios, puesto que al automatizar este proceso
podrn participan en otras tareas o proyectos
Mejorar la seguridad de los servicios ofrecidos, ya
que se espera contar con puntos centrales para la
definicin y administracin de perfiles y roles de
acceso a los servicios.
43
Stakeholder
Desarrolladores
CIO
CISO
CIO - CISO
Expectativas
Ofrecer mecanismos de integracin rpida y
flexible para la administracin y autenticacin de
usuarios, en los nuevos desarrollos
Ofrezca esquemas de licenciamiento flexibles y de
fcil implementacin, especialmente por el
crecimiento en el nmero de usuarios que
demandarn el servicio.
Proceso de instalacin y despliegue rpido y
sencillo.
Permitir que un evento tal como la salida de un
empleado pueda disparar una alarma en tiempo
real que permita modificar los derechos de acceso
en todos los sistemas en cuestin de minutos
Contar con un sistema analizador de eventos de
seguridad que permite la captura, almacenamiento
y explotacin de los registros de operaciones que
ocurren a lo largo de la infraestructura, esto
permite reaccionar ante amenazas y establecer
procesos de remediacin y notificacin ante
potenciales brechas en las polticas de seguridad
implementadas.
En un mediano plazo ayudar al cumplimiento de la
norma ISO 27001, gracias a la implementacin de
una solucin que permita asegurar de manera
clara y coherente el manejo del proceso de
Gestin de seguridad e identidad.
En un futuro la solucin debe permitir el
crecimiento y expansin del aprovisionamiento de
usuarios a todas las comunidades externas como
proveedores, terceros, accionistas y asociados. Se
estima que las comunidades externas puedan
llegar a sumar un 3000% de los usuarios
inicialmente contemplados.
44
45
con el Negocio
Ubicacin en el
Portafolio del
negocio
46
Generar
ahorros
econmicos
mediante
la
ahorros implementacin de una Plataforma que permita evitar el
crecimiento de personal al disminuir el nmero de
solicitudes y soporte requerido con los procesos de
administracin de usuarios.
Medida del Impacto
Reporte mensual sobre cantidad de casos registrados por Mesa de Ayuda en temas
de administracin de usuarios, respecto a los meses y aos pasados.
Rangos
Cota Mnima
Cota Mxima
Ninguno
500
400
Bajo
400
300
Moderado
300
200
Fuerte
100
50
Muy Fuerte
50
Menor
Definido Por:
Gerencia General
Asociacin del Motivador
Ejecutado Por:
Proveedor
con el Negocio
Ubicacin en el
Generacin de ahorros mediante
Portafolio del
la optimizacin de procesos
negocio
Generar
econmicos
la
la
el
y
47
Cota Mnima
Cota Mxima
0
0
1
4
4
8
8
12
12
Mayor
Definido Por:
CISO, Auditores
Ejecutado Por:
Proveedor
Ubicacin en el
Disminucin del riesgo
Portafolio del
negocio
48
ID Restriccin
2
Descripcin:
Establecida por:
Alternativas:
Observaciones:
ID Restriccin
3
Descripcin:
Establecida por:
Alternativas:
Observaciones:
ID Restriccin
4
Descripcin:
Establecida por:
Alternativas:
Observaciones:
Tipo:
Nombre
Integracin Active Directory
Tecnologa (x )
Negocio ( )
El sistema debe integrarse con repositorio Active Directory de la
plataforma Microsoft
Gerencia de Tecnologa
Ninguna
Este se ha definido como el repositorio por defecto para el
holding empresarial
Tipo:
Nombre
Integracin LDAP
Tecnologa (x)
Negocio ( )
El sistema debe integrarse con repositorios abiertos tipo LDAP
Gerencia de Tecnologa
Algn otro repositorio abierto donde se pueda migrar la
informacin actualmente almacenada en el LDAP
Actualmente es el repositorio establecido para todos los usuarios
externos (asociados, comunidades, afiliados, etc.)
Tipo:
Nombre
Integracin Plataforma de Correo
Tecnologa (x)
Negocio ( )
El sistema debe soportar integracin Nativa con plataformas de
Correo tipo Exchange Server de Microsoft y Linux tipo Qmail
Gerencia de Tecnologa
Ninguna
Actualmente son las dos plataformas de correo utilizadas por el
Grupo Empresarial.
Tipo:
Nombre
Integracin Sistema de Recurso
Tecnologa (x )
Humanos
Negocio ( )
La plataforma debe permitir integrarse con el sistema de
Recursos Humanos y el repositorio de usuarios definido para
contratistas y/o terceros.
Gerencia de Gestin Humana
Ninguna
Desde el sistema principal de Gestin Humana, se deben
disparar todos los eventos relacionados con los empleados,
temporales y contratistas.
49
ID Restriccin
1
Descripcin:
Establecida por:
Alternativas:
Observaciones:
ID Restriccin
2
Descripcin:
Establecida por:
Alternativas:
Observaciones:
ID Restriccin
3
Descripcin:
Establecida por:
Alternativas:
Observaciones:
Tipo:
Nombre
Tecnologa ( )
Modalidad Servicio o Compra directa
Negocio (x)
El proponente debe presentar la propuesta de solucin
considerando una alternativa en modalidad de servicio
(infraestructura, servidor, hardware y software como SaaS) o en
modalidad de compra directa donde se adquirir cada
componente de la plataforma.
Gerencia Financiera
Ninguna, se debe ofertar bajo estos dos modelos
Tipo:
Nombre
Tecnologa ( )
Costos y valores estimados de la solucin
Negocio (x )
Para el proyecto el Grupo Empresarial cuenta con un
presupuesto aprobado de US$1000.000 los cuales deben ser
ejecutados a tres aos, para una fase inicial donde se
contemplan 10.000 empleados directos e indirectos.
Gerencia General
Ninguna
Desde el sistema principal de Gestin Humana, se deben
disparar todos los eventos relacionados con los empleados,
temporales y contratistas.
Tipo:
Nombre
Tecnologa ( )
Etapas de implementacin
Negocio (x )
La solucin y presupuesto aprobado sern ejecutado por fases,
es decir, la fase inicial solo contemplara aplicaciones o servicios
compartidos por todo el Grupo Empresarial (ejemplo: Correo
Electrnico, Directorio Activo, etc.) y algunas otras del Core
propio de cada negocio. En adelante, el esquema y etapas
subsiguientes sern considerados como fases adicionales (sub
proyectos) donde cada empresa del grupo analizara y
presupuestara el plan de expansin para el cubrimiento de sus
aplicaciones o servicios que cada una defina.
Gerente de Proyecto
Ninguna
Desde el sistema principal de Gestin Humana, se deben
disparar todos los eventos relacionados con los empleados,
temporales y contratistas.
50
M4
M5
Atributo de Calidad:
Integridad
ID
Integralidad de
S1
las identidades
Confidencialidad
Perfiles de
acceso
S2
Llaves y tokens
S3
Eficiencia
Descripcin
El sistema debe garantizar la sincronizacin y
actualizacin de los mltiples repositorios en un tiempo
no mayor a 5 minutos, bajo una operacin normal del
servicio los 365 das del ao.
Fiabilidad
Descripcin
El sistema estar en capacidad de responder las
peticiones de acceso de los usuarios y distintas
aplicaciones en un 95% ante una falla o incidente sobre
la plataforma principal y en un periodo no superior a 10
minutos.
Mantenimiento
Descripcin
La plataforma debe asegurar su implementacin en
distintos sistemas operativos, arquitecturas de servidores
y motores de bases de datos
El sistema debe garantizar la integracin y adaptabilidad
a nuevas aplicaciones, appliance y en general nuevos
servicios desplegados por el negocio.
El sistema debe garantizar el crecimiento estimado de un
10% en usuarios por ao (10.000 Iniciales:: 1000
adicionales por ao)
El sistema debe garantizar el crecimiento estimado de 10
aplicaciones por ao las cuales ingresaran a la
plataforma centralizada de IAM.
El sistema debe garantizar el desarrollo de conectores
nativos, los cuales permitan la inclusin y despliegue de
nuevos servicios de manera oportuna y fcilmente
implementable
Seguridad
Descripcin
El sistema debe asegurar la integralidad de cada uno de
los repositorios interconectados, de manera que el 100%
de los usuarios parametrizados cuenten con los accesos
y atributos adecuados.
El sistema garantizara el acceso adecuado del 100% de
los usuarios autorizados, con los servicios y opciones
que se hayan definido en los perfiles de acceso.
El sistema permitir la configuracin de usuarios VIP que
51
de acceso
Granularidad de
Accesos
Auditoria
Reportes y
cumplimiento
Registro Logs y
transacciones
S4
S5
S6
E1
Stakeholder:
Eficiencia
Fuente
Estmulo
Artefacto
Ambiente
Operacin Normal
Justificacin
Respuesta
Medida de la
Respuesta
52
Escenario de
F1
Stakeholder:
CISO
Calidad #
Atributo de Calidad Fiabilidad
El servicio debe contar con un esquema de alta disponibilidad,
que ante un incidente, problema o riesgo materializado pueda
Justificacin
asegurar la continuidad tecnolgica de la operacin de la
plataforma
Fuente
Incidente o problema que afecte la plataforma
Estmulo
Artefacto
Sistema
Ambiente
Operacin Normal
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
Stakeholder:
CIO
Mantenimiento
Fuente
Estmulo
Artefacto
Sistema
Ambiente
Operacin Normal
Respuesta
Medida de la
Respuesta
Justificacin
53
Escenario de
Calidad #
Atributo de
Calidad
M2
Stakeholder:
CIO
Mantenimiento
Fuente
Estmulo
Artefacto
Sistema
Ambiente
Operacin Normal
Justificacin
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
M3
Stakeholder:
CIO
Mantenimiento
Fuente
Estmulo
Artefacto
Ambiente
Operacin Normal
Respuesta
Medida de la
Respuesta
Justificacin
54
Escenario de
Calidad #
Atributo de
Calidad
Justificacin
Fuente
Estmulo
Artefacto
Ambiente
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
M4
Stakeholder:
CIO
Mantenimiento
El sistema y su infraestructura, debe estar diseado de manera
que soporte un crecimiento estimado de 10 aplicaciones o
nuevos servicios por ao para todo el Grupo Empresarial
Nuevas aplicaciones o servicios a desplegar
Incremento en el nmero de aplicaciones soportadas por la
plataforma
Mdulo de administracin de identidades y administracin del
acceso
Operacin Normal
La solucin permite la adicin, integracin y sincronizacin de
los nuevos repositorios de acceso de las aplicaciones
desplegadas sin afectar el desempeo de la solucin.
Cantidad de nuevas aplicaciones desplegada efectivamente
sobre la plataforma
M5
Stakeholder:
Mantenimiento
Fuente
Estmulo
Artefacto
Sistema
Ambiente
Operacin Normal
Respuesta
Medida de la
Respuesta
Justificacin
55
Escenario de
Calidad #
Atributo de
Calidad
S1
Stakeholder:
CIO - CISO
Seguridad
Fuente
Estmulo
Artefacto
Ambiente
Operacin Normal
Justificacin
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
Stakeholder:
CIO - CISO
Seguridad
Fuente
Estmulo
Artefacto
Ambiente
Operacin Normal
Respuesta
Medida de la
Respuesta
Justificacin
56
Escenario de
Calidad #
Atributo de
Calidad
S3
Stakeholder:
CIO - CISO
Seguridad
Fuente
Estmulo
Proceso de autenticacin
Artefacto
Ambiente
Operacin Normal
Justificacin
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
Justificacin
Fuente
Estmulo
Stakeholder:
CIO - CISO
Seguridad
Teniendo en cuenta que el Grupo Empresarial por exigencia,
normatividad o decisiones de cada negocio, requieren perfilizar
opciones y/o funciones propias de la plataforma IAM, se hace
necesario poder dar granularidad de los accesos hasta en un
mnimo detalle de la plataforma
Parametrizacin de la plataforma
Configuracin de usuarios, grupos y opciones propios del
sistema IAM
Artefacto
Ambiente
Operacin Normal
Respuesta
Medida de la
Respuesta
57
Escenario de
Calidad #
Atributo de
Calidad
S5
Stakeholder:
Seguridad
Fuente
Estmulo
Artefacto
Ambiente
Operacin Normal
Justificacin
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
S6
Stakeholder:
Seguridad
Fuente
Estmulo
Generacin de reportes
Artefacto
Ambiente
Operacin Normal
Respuesta
Justificacin
Medida de la
Respuesta
58
las
las
la
los
en
Partiendo del resultado del ejercicio anterior, en cual se considera como insumo
principal el resultado de la construccin del documento que describe la
arquitectura del sistema, SAD. Tambin se tendr en cuenta para la construccin
del modelo una serie de variables que se identificaron dentro del ejercicio, las
cuales se pueden definir como requerimientos propios del proyecto y del negocio,
que para el caso de estudio se tendr en cuenta temas como: Fases de ejecucin
del proyecto, tiempos de entrega, presupuesto, tipo de oferta (servicios, compra
directa), esquemas de implementacin y soporte, adems de algunas otras
restricciones propias del negocio.
59
GENERALES RFP
EMPRESA
FUNCIONALES
Generales
Modelo de Operacin
Econmico
Administracin de Acceso
Administracin de Identidades
Administracin de Eventos y Seguridad de
Informacin
Generales
Generales
TCNICOS
Restricciones de Tecnologa
QAs
Telecomunicaciones e Infraestructura
Administracin de Usuarios
Seguridad
Licenciamiento
Soporte y Garanta
Administracin del aplicativo
Normatividad
5
1
3
3
5
3
5
Tipo de Pregunta
Texto
Texto
Texto
Texto
Texto
Seleccin Mltiple
Seleccin Mltiple
4 Seleccin Mltiple
4 Seleccin Mltiple
9
4
13
24
3
3
3
3
2
2
3
Seleccin Mltiple
Seleccin Mltiple
Seleccin Mltiple
Texto / Seleccin Mltiple
Seleccin Mltiple
Texto
Texto
Texto
Texto
Texto
Texto
1 Texto
4 Seleccin Mltiple
107
60
Puntaje
5
3
2
1
Id
Descripcin
El
sistema
debe
soportar conectores a
aplicaciones
desarrolladas In house
en JAVA, Proccesss
Server, PHP, . NET,
Cobol
El
sistema
debe
soportar
integracin
Nativa con motores de
Bases de Datos tipo
Oracle, Sybase, DB2,
SQL Server
El
sistema
debe
integrar los distintos
usuarios y generar un
nico ID (nico usuario
y clave de acceso)
para
los
distintos
accesos
a
las
aplicaciones
y/o
servicios
El
Sistema
debe
sincronizar y actualizar
la informacin con los
distintos repositorios en
cada momento y hora
del da sin restriccin
de horario (7 x 24 x
365 das)
El
sistema
debe
permitir mediante una
interfaz web el ingreso
y administracin de
cada uno de los
componentes
que
conformen la solucin
(administracin,
configuracin,
parametrizacin
de
nuevos servicios).
El
sistema
debe
permitir mediante una
interfaz web el ingreso
de los usuarios finales,
para
poder
auto
gestionar
algunos
Funcionales
Modulo
Funcional
Arq.
Significantes
Atributo de
Calidad
Map
eo
QAs
Eficiencia
E1 S1
Administracin
de Acceso
Administracin
de
Identidades
Administracin
de
Identidades
62
Id
Descripcin
Funcionales
Modulo
Funcional
servicios propios de su
identidad (Mecanismos
de autoservicio) como
el
cambio
y
recordacin de clave,
actualizacin de datos
generales, etc.).
El
sistema
debe
permitir que el portal de
autogestin pueda ser
7 accedido
desde
dispositivos
mviles
(Celulares,
eBooks,
Palms, etc.)
La plataforma debe ser
abierta en el sentido
que pueda correr en
diferentes
Sistemas
8
Operativos
y/o
arquitectura
de
servidores donde se
vaya a desplegar
El
sistema
debe
garantizar esquemas
de alta disponibilidad (
9
continuidad tecnolgica
en
caso
de
un
incidente y/o problema
El sistema debe ser
fcilmente adaptable a
nuevas
plataformas,
10 aplicaciones
y/o
servicios que sean
implementados
o
desplegados
El
sistema
debe
permitir
la
sincronizacin
y
11 actualizacin de los
mltiples repositorios
en un tiempo no mayor
a 5 minutos
El
sistema
debe
soportar un promedio
de 10000 usuarios
12 diarios,
con
una
proyeccin
estimada
de un 10% por cada
ao
Atributo de
Calidad
Map
eo
QAs
Mantenimiento
M1
Fiabilidad
F1
Mantenimiento
M2
Eficiencia
E1
Mantenimiento
M3
Arq.
Significantes
63
Id
13
14
15
16
17
18
Descripcin
El
sistema
debe
permitir configurar la
informacin
transaccional on-line y
definir
cual
se
almacena mediante un
proceso de backup
El
sistema
debe
garantizar
que
los
accesos a las distintas
aplicaciones
y/o
servicios,
sean
otorgados segn los
lineamientos
de
seguridad
y
perfilizacin
establecidos en las
matrices de perfiles.
El
sistema
debe
permitir
definir
estndares para el
nombramiento
de
usuarios y contraseas
que
sern
sincronizadas con los
diferentes aplicativos o
servicios
El sistema debe contar
con mecanismos de
autenticacin de doble
y triple factor (token,
huella digital, iris, etc.)
para
controlar
el
acceso a servicios
crticos definidos por la
organizacin
El
sistema
debe
permitir
generar
informes programados
y en tiempo real para
conocer
el
comportamiento de los
usuarios sobre las
aplicaciones y servicios
habilitados
El
sistema
debe
permitir
configurar
alertas sobre eventos
extraos definidos por
los administradores de
Funcionales
Modulo
Funcional
Atributo de
Calidad
Map
eo
QAs
Seguridad
S2
Seguridad
S3
Arq.
Significantes
Administracin
de Acceso
Administracin
de Eventos y
Seguridad de
Informacin
Administracin
de Eventos y
Seguridad de
Informacin
64
Id
Descripcin
Funcionales
Modulo
Funcional
Arq.
Significantes
Atributo de
Calidad
Map
eo
QAs
Mantenimiento
M5
seguridad
19
20
21
22
23
24
25
El
sistema
debe
permitir conectarse con
Sistemas ERP y CRM,
definidos
por
la
organizacin
El sistema debe
permitir el diseo e
implementacin de
flujos de trabajo
(workflows) a travs de
la herramienta de
administracin web
La solucin debe
contar con
herramientas de diseo
y simulacin de
modelos de
aprovisionamiento
antes de la
implementacin
La solucin debe
contar con mdulos
independientes de
administracin como:
- Administracin de
identidad
- Administracin del
Acceso
- Administracin de
Eventos y seguridad de
la Informacin
- Gobernabilidad
La solucin debe basar
su arquitectura a travs
del manejo de eventos
disparados por las
distintas aplicaciones,
repositorios
o
plataformas.
o por conciliacin de
repositorios
El
sistema
debe
permitir
definir
y
administrar reglas de
negocio, roles y perfiles
Administracin
de
Identidades
Administracin
de
Identidades
Generales
Administracin
de
Identidades
65
Id
Descripcin
Funcionales
Modulo
Funcional
Arq.
Significantes
Atributo de
Calidad
Map
eo
QAs
Seguridad
S4
Mantenimiento
M5
organizacionales.
26
27
28
29
30
31
La
solucin
debe
contar
con
Meta
Directorios para el
manejo e integracin
de repositorios
La solucin debe ser
100% Web-Enabled en
todos
sus
componentes
de
administracin
El
sistema
debe
permitir
la
configuracin de roles,
perfiles y usuarios de
administracin
de
manera granular por
las distintas opciones
de la solucin
El
sistema
debe
recepcionar
de
manera
automtica,
todos los eventos o
novedades
presentadas
en
el
sistema
de
administracin
de
gestin
humana
(ingreso de personal,
promociones,
vacaciones,
retiros,
etc.)
La
solucin
debe
garantizar el desarrollo
o disponibilidad de
conectores
nativos
adicionales, los cuales
permitan la integracin
a nuevas plataformas,
aplicaciones, sistemas
operativos, sistemas de
correo
electrnico,
mainframes, lenguajes
de programacin o de
scripting, PBX, bases
de datos y otros.
La plataforma debe
contar con un mdulo
para la configuracin
Generales
66
Id
32
33
34
35
36
Descripcin
de aplicaciones que
requieran tener acceso
Web Single Sign-On
(Web-SSO)
El sistema debe contar
con mecanismos de
identidad
federada
para
conexiones
futuras a sistemas de
otras empresas del
grupo o aquellas donde
se tenga algn tipo de
participacin
o
convenio
El sistema debe tener
un mdulo para el
diseo, personalizacin
y
generacin
de
reportes de acuerdo a
las necesidades del
negocio.
El sistema debe contar
con rastros de auditora
que permitan identificar
los cambios en los
accesos
de
los
usuarios,
sus
privilegios y dems
funcionalidades,
realizadas
por
los
Administradores de la
plataforma.
El
sistema
debe
soportar varios idiomas
(ingls, espaol, etc.)
El
sistema
debe
soportar
la
configuracin
y
parametrizacin
de
distintas empresas.
Funcionales
Modulo
Funcional
Administracin
de Acceso
Administracin
de Eventos y
Seguridad de
Informacin
Administracin
de Eventos y
Seguridad de
Informacin
Generales
Generales
Arq.
Significantes
Atributo de
Calidad
Map
eo
QAs
67
CISO
Fiabilidad
CIO
Mantenimi
ento
CIO
Mantenimi
ento
Ambie
nte
Operaci
n
Normal
Fuente
Estmulo
Artefacto
El sistema debe
garantizar la
sincronizacin y
actualizacin de
los distintos
repositorios a su
directorio
central, con el
fin de garantizar
una correcta
operacin de
todos sus
componentes en
un tiempo
adecuado
Sistema
Proceso
de
actualizaci
n y/o
conciliaci
n
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
Activar el
sistema
de alta
disponibili
dad y/o
contingen
cia
Sistema
Desarrollo
y
adaptabili
dad de
nuevos
componen
tes
Sistema
Operaci
n
Normal
La solucin
permite la
integracin
de la nueva
arquitectura
tecnolgica,
sin afectar
los
component
es ya
existentes
Implementaci
n adecuada
del nuevo
componente
o adaptador
desarrollado
Desarrollo
y
adaptabili
dad de
nuevos
componen
tes
Sistema
Operaci
n
Normal
La solucin
permite la
integracin
del nueva
servicio, sin
afectar los
component
es ya
existentes
Implementaci
n adecuada
del nuevo
servicio o
conector
desarrollado
68
Respuesta
Medida de la
Respuesta
La
sincronizaci
n de
aproximadam
ente 10.000
cuentas,
debe
ejecutarse en
un tiempo no
superior a los
5 minutos.
Justificacin
El sistema
informa al
administrad
or de la
plataforma,
que el
proceso de
sincronizaci
n se
ejecut con
xito o con
errores,
generando
adems un
log sobre el
reporte de
la actividad.
Operaci El sistema
n
levanta o
Normal
inicia de
manera
automtica
la
contingenci
a de la
plataforma
El tiempo en
el cual el
sistema
restablece
operacin a
un porcentaje
mnimo del
95% de su
operacin
normal, no es
superior a 10
minutos
Stake
holder
Atributo
de Calidad
Justificacin
Ambie
nte
Fuente
Estmulo
Artefacto
Nuevos
usuarios
Increment
o en el
nmero de
Identidade
s Digitales
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
Operaci
n
Normal
Nuevas
aplicacio
nes o
servicios
a
desplega
r
Increment
o en el
nmero de
aplicacion
es
soportada
s por la
plataforma
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
Operaci
n
Normal
Nuevos
servicios
de las
Empresa
s del
grupo
Desarrollo
y
adaptabili
dad
NATIVA
de nuevos
componen
tes
Sistema
Respuesta
Medida de la
Respuesta
appliance y en
general nuevos
servicios.
CIO
Mantenimi
ento
CIO
Mantenimi
ento
Administra
dor del
Sistema
Mantenimi
ento
El sistema y su
infraestructura,
debe estar
diseado de
manera que sea
capaz de
soportar un
crecimiento
estimado por
ao de 1000
usuarios (10%)
para todo el
Grupo
Empresarial
El sistema y su
infraestructura,
debe estar
diseado de
manera que
soporte un
crecimiento
estimado de 10
aplicaciones o
nuevos servicios
por ao para
todo el Grupo
Empresarial
El sistema debe
ser altamente
adaptable en su
arquitectura y
componentes,
puesto que las
distintas
empresas del
grupo adquieren
continuamente
una variedad de
plataformas o
arquitecturas de
ltima
tecnologa
69
La solucin
permite el
ingreso y
registro de
nuevos
usuarios,
sin afectar
el
desempeo
de la
aplicacin
El nuevo
usuario se
registra y
sincroniza en
los mltiples
repositorios
en un tiempo
no mayor 2
Minutos
La solucin Cantidad de
permite la
nuevas
adicin,
aplicaciones
integracin
desplegada
y
efectivamente
sincronizaci
sobre la
n de los
plataforma
nuevos
repositorios
de acceso
de las
aplicacione
s
desplegada
s sin afectar
el
desempeo
de la
solucin.
Operaci La solucin Implementaci
n
permite la
n adecuada
Normal adaptabilida
del nuevo
d NATIVA servicio en un
de los
tiempo no
nuevos
superior a
servicios,
dos das
sin afectar
los
component
es ya
existentes
Stake
holder
CIO CISO
Atributo
de Calidad
Seguridad
CIO CISO
Seguridad
CIO CISO
Seguridad
Justificacin
Fuente
Estmulo
Artefacto
El sistema al
contar con una
cantidad
importante de
aplicaciones y
por ende
repositorios de
autenticacin
(11 en una
etapa inicial) es
vital para el
Negocio,
asegurar que
todos las
Identidades
Digitales se
encuentren
totalmente
sincronizadas
en cada uno de
estos
repositorios
Sistema
Proceso
de
actualizaci
n y/o
conciliaci
n
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
El sistema debe
garantizar el
acceso
adecuado de
cada una de las
identidades,
segn los
perfiles, roles y
accesos
especificados
para cada uno
los usuarios y
en cada una de
las aplicaciones
o servicios que
se encuentre
matriculados.
Teniendo en
cuenta que el
Grupo
Empresarial
cuenta con
usuarios
definidos como
VIP (Gerentes,
Directores,
Oficiales de
Cumplimiento,
etc.) se hace
necesario contar
con
mecanismos
adicionales de
autenticacin(to
kens) sobre los
servicios
accedidos
Usuario
Proceso
autentic
de
ndose
autenticaci
n y/o
conciliaci
n
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
Usuario
Proceso
VIP
de
autentic autenticaci
ndose
n
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
70
Ambie
nte
Operaci
n
Normal
Respuesta
Medida de la
Respuesta
Sincronizaci
ne
integralidad
de la
informacin
en un 100%
de todas las
identidades
digitales.
El sistema
informa al
administrad
or de la
plataforma,
que el
proceso de
sincronizaci
n se
ejecut con
xito o con
errores
indicando
cuales
identidades
no fueron
exitosament
e
sincronizad
as y el
detalle del
fallo en el
proceso
Operaci El sistema
El 100% de
n
permite el los usuarios y
Normal
ingreso
sus
correcto del
respectivas
usuario,
identidades
segn los
se
accesos y
encuentran
perfiles
correctament
parametriza
e
dos
autenticadas
Operaci
n
Normal
El sistema
permite el
ingreso
correcto del
usuario
VIP,
autenticand
o con los
tokens o
llaves
adicionales
establecida
s para el
usuario.
El 100% de
los usuarios y
sus
respectivas
identidades
se
encuentran
correctament
e
autenticadas
Stake
holder
CIO CISO
Atributo
de Calidad
Seguridad
Gerencia
General,
CIO,
CISO,
Auditor
Seguridad
CIO CISO
Seguridad
Ambie
nte
Operaci
n
Normal
Fuente
Estmulo
Artefacto
Teniendo en
cuenta que el
Grupo
Empresarial por
exigencia,
normatividad o
decisiones de
cada negocio,
requieren
perfilizar
opciones y/o
funciones
propias de la
plataforma IAM,
se hace
necesario poder
dar granularidad
de los accesos
hasta en un
mnimo detalle
de la plataforma
Cada una de las
empresas que
conforman el
Holding
Empresarial
pueden o deben
cumplir ciertos
requerimientos
de ley y/o
normatividad
vigente , luego
se hace
necesario contar
con reportes
prediseados
para SOX,
Circular 052,
PCI, entre otros;
adems contar
con
herramientas de
diseo para
usuario final que
permitan la
actualizacin y
configuracin de
nuevos reportes
Por
normatividad y
cumplimiento,
es necesario
que las
empresas
puedan
consultar los
LOGS
generados en
las
transacciones
realizadas por
los
administradores
de la
plataforma, para
Parametr
izacin
de la
plataform
a
Configura
cin de
usuarios,
grupos y
opciones
propios
del
sistema
IAM
Mdulo de
administra
cin del
acceso
Normativi
dad,
regulaci
ny
requerimi
entos de
ley
Generaci
ny
configurac
in de
reportes
Mdulo
administra
cin de
eventos y
seguridad
de
informaci
n
Operaci
n
Normal
El sistema
permite la
configurar
nuevos
reportes y
generar los
definidos
bajo la
normativida
d aplicada
Implementaci
n adecuada
del nuevo
reporte en un
tiempo no
superior a
dos das
- 100% de los
Reportes
prediseados
ejecutados
segn la
normatividad
vigente
Usuario
Autorizad
o Solicita
Bitcora
Generaci
n de
reportes
Mdulo
administra
cin de
eventos y
seguridad
de
informaci
n
Operaci
n
Normal
El sistema
genera
reporte
segn los
criterios y
filtros
establecido
s
100% de los
reportes
generados
con xito
71
Respuesta
Medida de la
Respuesta
El 100% de
los usuarios
finales,
cuenta con
los accesos
definidos
para el perfil
Justificacin
El sistema
permite
configurar
un usuario
final o
grupo de
usuarios,
con la
granularida
d esperada
Stake
holder
Atributo
de Calidad
Justificacin
Fuente
Estmulo
Artefacto
Ambie
nte
Respuesta
Medida de la
Respuesta
poder identificar
y hacer
trazabilidad
sobre los
cambios que
realicen. Esta
informacin
debe
consultarse en
lnea y a travs
de un sitio web
72
Aspecto
No
1
2
3
GENERALES RFP
GENERALES
ECONMICA
tem
NOMBRE PROVEEDOR
Respuesta
Indique el nombre de la
compaa, la direccin y
telfonos de contacto.
Indique el esquema de
capacitacin al personal
tcnico y funcional
Indique el esquema de
compra o contratacin.
Mencione casos de
xito
Nacionales
e
Internacionales
en
implementacin
de
soluciones IAM (Identity
and
Access
Management)
Relacione las empresas
cliente que se puedan
visitar en caso de
requerirse ampliacin o
verificacin en prctica
de
la
informacin
suministrada.
Indique
el
valor
aproximado
de
la
solucin en modalidad
de compra y/o de
servicio (indicando con
base en que variable se
calculara) y el esquema
que
el
proponente
estime sea el ms
conveniente de acuerdo
al alcance solicitado.
73
Observacin
Adicional
Aspecto
No
7
8
Generales
9
EMPRESA
10
Modelo de
Operacin
11
12
Econmico
13
tem
NOMBRE PROVEEDOR
Respuesta
En qu pases tiene
operaciones
la
empresa?
En qu ciudades de
Colombia tiene oficinas?
Cul es la mayor
instalacin en Colombia
y/o
el
exterior?
Cuntas
identidades
digitales se lograron
estandarizar?
Describa
la
figura
comercial en caso de
que usted no sea el
fabricante;
anexe
certificados
del
fabricante
que
lo
acrediten como canal
oficial.
Posee un esquema de
servicio de atencin y
manejo
de
reclamaciones? Cul
es? Cules son los
horarios? Qu medios
emplea?
Indique evidencias de
resultados de tasa de
usabilidad obtenidos en
las
soluciones
implementadas basados
en los procesos y
servicios
impactados
por la solucin.
Qu tipo de costos
adicionales
a
la
implantacin se deben
contemplar
con
su
solucin
74
Observacin
Adicional
Aspecto
No
14
15
16
FUNCIONALES
17
18
Administraci
n de Acceso
19
tem
NOMBRE PROVEEDOR
Respuesta
(capacitaciones,
herramientas
de
gestin, generadores de
reportes, manutencin,
viajes, etc.)?
Cmo
sera
el
esquema de costos para
un servicio integral de
este tipo?
Montada la solucin, en
caso de requerirse una
customizacin
particular, Con base en
que se cotizara y de
quien
sera
su
propiedad?
Si su solucin tiene
esquema
de
contingencia, Cul es
su costo?
Segn la informacin
suministrada,
Cul
puede ser el tiempo
promedio
de
implantacin de una
solucin de este tipo?
El sistema integra los
distintos
usuarios y
genera un nico ID
(nico usuario y clave
de acceso) para los
distintos accesos a las
aplicaciones
y/o
servicios?
El sistema permite
definir estndares para
el nombramiento de
usuarios y contraseas
que sern sincronizadas
75
Observacin
Adicional
Aspecto
No
tem
Respuesta
con
los
diferentes
aplicativos o servicios?
20
21
Administraci
n de
Identidades
22
23
NOMBRE PROVEEDOR
76
Observacin
Adicional
Aspecto
No
24
25
26
Administraci
n de Eventos
y Seguridad
de
Informacin
27
28
29
tem
NOMBRE PROVEEDOR
Respuesta
flujos
de
trabajo
(workflows) a travs de
la
herramienta
de
administracin web?
La solucin cuenta con
herramientas de diseo
y simulacin de modelos
de aprovisionamiento?
El sistema permite
definir y administrar
reglas de negocio, roles
y
perfiles
organizacionales?
El sistema permite
generar
informes
programados
y
en
tiempo
real
para
conocer
el
comportamiento de los
usuarios
sobre
las
aplicaciones y servicios
habilitados?
El sistema permite
configurar alertas sobre
eventos
extraos
definidos
por
los
administradores
de
seguridad?
El sistema cuenta con
un mdulo para el
diseo, personalizacin
y
generacin
de
reportes de acuerdo a
las necesidades del
negocio?
El sistema cuenta con
rastros de auditora que
permitan identificar los
cambios en los accesos
77
Observacin
Adicional
Aspecto
No
30
Generales
31
32
TCNICOS
33
34
Generales
35
tem
NOMBRE PROVEEDOR
Respuesta
78
Observacin
Adicional
Aspecto
No
36
37
38
39
40
41
tem
NOMBRE PROVEEDOR
Respuesta
Sybase,
DB2,
SQL
Server?
El sistema permite que
el portal de autogestin
pueda ser accedido
desde
dispositivos
mviles
(Celulares,
eBooks, Palms, etc.)?
El sistema permite
configurar la informacin
transaccional on-line y
permite definir cual se
almacena mediante un
proceso de backup?
La solucin basa su
arquitectura a travs del
manejo
de
eventos
disparados
por
las
distintas
aplicaciones,
repositorios
o
plataformas?
La solucin basa su
arquitectura mediante la
conciliacin
de
repositorios?
La solucin cuenta con
Meta Directorios para
el manejo e integracin
de repositorios?
El
sistema
"recepciona de manera
automtica, todos los
eventos o novedades
presentadas
en
el
sistema
de
administracin
de
gestin
humana
(ingreso de personal,
promociones,
79
Observacin
Adicional
Aspecto
No
tem
Respuesta
vacaciones,
etc.)?
42
43
44
Restricciones
de Tecnologa
45
46
Qas
Escenarios
de Calidad
47
48
49
50
51
52
53
NOMBRE PROVEEDOR
retiros,
La plataforma cuenta
con un mdulo para la
configuracin
de
aplicaciones
que
requieran tener acceso
Web Single Sign-On
(Web-SSO)?
El sistema se integra
con el repositorio Active
Directory
de
la
plataforma Microsoft?
El sistema se integra
con repositorios abiertos
tipo LDAP?
El sistema soporta
integracin Nativa con
plataformas de Correo
tipo Exchange Server de
Microsoft y Linux tipo
Qmail?
La
plataforma
se
integra con el sistema
de Recursos Humanos y
el
repositorio
de
usuarios definido para
contratistas
y/o
terceros?
E1
F1
M1
M2
M3
M4
M5
80
Observacin
Adicional
Aspecto
No
tem
54
55
56
57
58
59
S1
S2
S3
S4
S5
S6
Cul es el consumo de
ancho de banda por
cliente que se requiere?
Si la solucin es Web
enabled. Relacione los
navegadores (con su
versin) con los cuales
trabaja la solucin.
Describa
la
adaptabilidad
para
mltiples arquitecturas
de red y plataformas:
cliente/servidor, Intranet,
etc.
Especifique sobre que
plataforma de sistema
operativo y motor de
base de datos la
solucin
presenta
mejores rendimientos.
Sobre qu sistemas
operativos a nivel de
clientes
trabaja
la
solucin ofrecida?
Presente el Esquema
General
de
la
Plataforma
(diagrama
de
despliegue),
incluyendo
los
diferentes componentes
tcnicos
(servidores,
impresoras, etc.)
60
61
62
Telecomunica
ciones e
Infraestructur
a
63
64
65
NOMBRE PROVEEDOR
Respuesta
81
Observacin
Adicional
Aspecto
No
66
67
68
69
70
71
72
73
tem
NOMBRE PROVEEDOR
Respuesta
Con qu frecuencia
actualizan las versiones
del Software a nivel de
servidores y clientes?
Cmo es el manejo del
log de eventos de los
equipos? Descrbalo
Los Logs de eventos
de la infraestructura
(Hardware y Software)
se
integran
con
sistemas de monitoreo
tales como Tivoli y HP
BAC?
Suministre
las
caractersticas tcnicas
de las estaciones de
trabajo y dispositivos de
usuario
final
que
requiere la solucin
propuesta.
La solucin propuesta
se
integra
con
aplicaciones
de
productividad como (MS
Office, MS Exchange),
aplicaciones ERP, etc.?
La solucin cuenta con
algn
esquema
de
contingencia,
alta
disponibilidad y/o DRP?
Describa
el
dimensionamiento
de
servidores de Aplicacin
y Base de datos
La solucin incluye
servidores o stos los
debe
asumir
la
Empresa?
82
Observacin
Adicional
Aspecto
No
74
75
76
77
78
79
80
81
82
tem
NOMBRE PROVEEDOR
Respuesta
83
Observacin
Adicional
Aspecto
No
83
84
Administraci
n de Usuarios
85
86
87
88
Seguridad
89
tem
NOMBRE PROVEEDOR
Respuesta
negocio?
Cules son los web
service del aplicativo?
La solucin cuenta con
usuarios
o
roles
preestablecidos
(permisos
sobre
funciones del aplicativo)
que se autentiquen con
contraseas?
La solucin genera
reportes que permitan
verificar las operaciones
realizadas discriminadas
por usuario?
La interfaz de usuario,
tiene mens sencillos y
claros, ventanas con
reas
de
trabajo
amplias,
colores
amigables
que
no
saturen la visin o
distraigan el proceso?
Especificar
qu
mecanismos de control
y de seguridad utiliza el
software.
Qu
nivel
de
confidencialidad
maneja, es decir la
informacin slo puede
ser accedida por las
personas autorizadas?
Su empresa cuenta o
contempla un Sistema
de
Gestin
de
Seguridad
de
la
Informacin? Cuenta
con
certificados
al
84
Observacin
Adicional
Aspecto
No
tem
Respuesta
respecto?
90
Licenciamient
o
91
92
93
Soporte y
Garanta
94
95
NOMBRE PROVEEDOR
Observacin
Adicional
Aspecto
Administraci
n del
aplicativo
No
96
97
98
Normatividad
99
100
DESCRIPCIN DEL
101
SOFTWARE
102
IMPLEMENTACIN
103
PROYECTO
RESTRICCIONES
DEL NEGOCIO
104
tem
NOMBRE PROVEEDOR
Respuesta
86
Observacin
Adicional
Aspecto
No
tem
NOMBRE PROVEEDOR
Respuesta
La
propuesta
es
inferior
o
igual
US$1000.000
considerando
una
105 ejecucin a tres aos y
con una fase inicial que
contempla
10.000
empleados directos e
indirectos?
La
propuesta
considera
etapas
subsiguientes o fases
adicionales
(sub
proyectos) donde cada
empresa
del
grupo
106
analizara
y
presupuestara el plan
de expansin para el
cubrimiento
de
sus
aplicaciones o servicios
que defina?
La
propuesta
se
contempl en fases,
donde la fase inicial solo
contemplara
aplicaciones o servicios
compartidos por todo el
107
Grupo
Empresarial
(ejemplo:
Correo
Electrnico, Directorio
Activo, etc.) y algunas
otras del Core propio de
cada negocio?
87
Observacin
Adicional
GENERAL
ES RFP
Aspecto
GENERALES
ECONMICA
EMPRESA
Generales
Modelo de
Operacin
Econmico
No
Calificacin Calificacin
4
Pr
ov
ee
d
or
3
Pr
ov
ee
d
or
2
or
Pr
ov
ee
d
or
Pr
ov
ee
d
Calificacin
Calificacin
10
11
12
13
14
15
16
17
EMPRESA
IBM
ORACLE
NOVELL
4,50
3,50
4,50
90%
70%
90%
META
100%
100%
100%
5,00
120%
4,00
100%
3,00
PRORRATEO
2,00
1,00
33%
IBM
ORACLE
NOVELL
0,00
88%
65%
89%
%
CUMPLIMIENTO
40%
META
0%
IBM
ORACLE
NOVELL
PRORRATEO TOTAL
%
CALIFICACIN CUMPLIMIENTO PRORRATEO
4,40
3,23
4,47
60%
20%
EMPRESA
CALIFICACIN
80%
5,00
100%
4,00
80%
3,00
60%
2,00
40%
1,00
20%
CALIFICACIN
%
CUMPLIMIENTO
META
100%
0,00
0%
IBM
ORACLE
NOVELL
Para el caso de estudio no se utilizo la columna prorrateo puesto que todos los
valores fueron analizados como un promedio, sin dar mayor valor a ninguna de la
categoras analizadas, luego se defini como meta el valor de 60% a nivel general
para el totalizado de respuestas y cada uno de los grupos, el cual surge del
establecimiento de un valor definido como aceptable segn los Criterios de
89
EMPRESA
PROVEEDOR 1
PROVEEDOR 2
PROVEEDOR 3
PROVEEDOR 4
%
CALIFICACIN CUMPLIMIENTO
4,15
3,48
4,47
1,00
83%
70%
89%
20%
META
60%
60%
60%
60%
TEMA
GENERALES RFP
EMPRESA
PROVEEDOR 1
PROVEEDOR 2
PROVEEDOR 3
PROVEEDOR 4
%
CALIFICACIN CUMPLIMIENTO
4,33
3,17
4,67
1,00
87%
63%
93%
20%
META
60%
60%
60%
60%
90
91
92
USUARIOS
DA
62
24
%
0,64
0,25
1337
5390
887
13,8
55,65
9,16
678
105
7
1,08
34
35
481
113
182
54
130
0,35
0,36
4,97
1,17
1,88
0,56
1,34
173
9685
1,79
100
93
94
Cada una de estas empresas fue invitada a participar del proceso de evaluacin
de su respectiva herramienta, a partir de la convocatoria va correo electrnico y
previo al contacto telefnico, con cada uno de los representantes de estas firmas.
Todas las empresas aceptaron participar del proceso, razn por la cual fue
enviado a cada una los documentos desarrollados en el proceso de licitacin del
RFP, ms la matriz con la definicin de la arquitectura del sistema segn lo
propuesto en el captulo 3 de este documento.
95
96
Invitacin a Proveedores
posicionados en Soluciones
IAM
El proveedor
acepta participar
del proceso?
SI
Envi de Documentacin
Electrnica al proveedor
Entrego
documentacin
diligenciada?
SI
Revisin y calificacin de
respuestas entregadas
Consolidacin de resultados y envi
del reporte final del proceso
FIN
97
4. ANLISIS DE RESULTADOS
EMPRESA
%
CALIFICACIN CUMPLIMIENTO
META
IBM
4,33
87%
60%
ORACLE
3,17
63%
60%
NOVELL
4,67
93%
60%
Para esta categora se puede afirmar que las soluciones ofrecidas y su respectivo
fabricante, brindan en trminos generales buenas garantas y confiabilidad, en
cuanto a su representacin, conocimiento y posicionamiento en el mercado
Colombiano e Internacional. Sin embargo la disminucin del promedio del caso
Oracle bsicamente se da por factores econmicos de la solucin, lo cual ya es
conocido a nivel general por la industria y el mercado de las TI.
Categoria 2 Empresa
TEMA
EMPRESA
EMPRESA
IBM
ORACLE
NOVELL
%
CALIFICACIN CUMPLIMIENTO
4,00
2,64
3,91
80%
53%
78%
META
60%
60%
60%
98
TEMA
FUNCIONALES
EMPRESA
IBM
ORACLE
NOVELL
%
CALIFICACIN CUMPLIMIENTO
4,38
4,06
4,75
88%
81%
95%
META
60%
60%
60%
IBM
ORACLE
NOVELL
%
CALIFICACIN CUMPLIMIENTO
4,03
3,59
4,47
81%
72%
89%
META
60%
60%
60%
99
EMPRESA
IBM
ORACLE
NOVELL
%
CALIFICACIN CUMPLIMIENTO
5,00
2,00
4,50
100%
40%
90%
META
60%
60%
60%
Bajo este tema se podra afirmar que todas las soluciones estn bien
documentadas y soportadas tcnicamente y funcionalmente. Sin embargo la baja
calificacin de uno de los proveedores radica en un comportamiento ms de ndole
de presentacin. Lo cual indica la importancia de que en este tipo de procesos se
relacionen todos y cada uno de los entregables asociados, ya que el jurado
calificador someter a su juicio, la manera misma sobre como los oferentes
manejan el proceso licitatorio.
Categoria 7 Restricciones del Negocio
TEMA
RESTRICCIONES DEL NEGOCIO
EMPRESA
IBM
ORACLE
NOVELL
%
CALIFICACIN CUMPLIMIENTO
4,50
3,50
4,50
90%
70%
90%
META
100%
100%
100%
En esta categora se puede observar que la meta definida es el 100%, ya que bajo
la misma se esquematizaron las preguntas relacionadas a restricciones propias
del Negocio, las cuales deben cumplirse en su totalidad y por ende su alta
penalizacin. Al analizar los resultados se reafirma el hecho que la solucin
ofrecida por Oracle supera el presupuesto asignado para el proyecto, lo cual sera
un factor decisivo y prepondrate para el Negocio, al momento de seleccionar la
plataforma final de la solucin.
100
EMPRESA
IBM
ORACLE
NOVELL
%
CALIFICACIN CUMPLIMIENTO
4,15
3,48
4,47
83%
70%
89%
META
60%
60%
60%
101
102
103
BIBLIOGRAFA
CLIFF Stoll, The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer
Espionage. Estados Unidos, 1989, ISBN 0-385-24946-2.
planned,
May
ConsumerAffairs.com,
Jun
http://www.consumeraffairs.com/news04/2008/10/nc_mellon_corp.html
2011,
2008,
DELOITTE,
Markus
Bonner.
http://www.oracle.com/global/hu/events/20070215_SecurityBB/01%20Deloitte%20
eloadas%20%20Compliance%20Governance%20Risk%20in%20Identity%20and%20Access%
20Management.pdf
104
NETEGRITY WHITE PAPER: Identity and Access Management: The Promise and
the Payoff - How An Identity and Access Management Solution Can Generate
Triple-digit ROI, Pag-2, Jun 2008
PIOTR PACYNA, Anthony Rutkowski, Amardeo Sarma & Kenji Takahashi. Trusted
Identit y for All: Toward Interoperable Trusted Identit y Management Systems,
COMPUTER - IEEE Computer Society, 0018-9162/09/$25.00 2009 IEEE
http://es.scribd.com/doc/44594204/JARC-ARQSW-DocumentoArquitecturaSw-v-50
106
ANEXOS
107