Modelo Evalucion Software

MODELO PARA LA EVALUACIN Y SELECCIN DE UN SOFTWARE DE
SEGURIDAD PARA CONTROLAR EL CICLO DE VIDA DE LA IDENTIDAD

DIGITAL
GUILLERMO ANDRS VELASCO BURBANO
UNIVERSIDAD ICESI
FACULTAD DE INGENIERA
DEPARTAMENTO DE TECNOLOGAS DE INFORMACIN
Y COMUNICACIONES
SANTIAGO DE CALI
2011
MODELO PARA LA EVALUACIN Y SELECCIN DE UN SOFTWARE DE

SEGURIDAD PARA CONTROLAR EL CICLO DE VIDA DE LA IDENTIDAD
DIGITAL
GUILLERMO ANDRS VELASCO BURBANO
Trabajo de grado Tipo: Solucin de un problema concreto
Director
ANDRS NAVARRO CADAVID
Ph.D. Director Grupo de Informtica y Telecomunicaciones, i2T
UNIVERSIDAD ICESI
FACULTAD DE INGENIERA
DEPARTAMENTO DE TECNOLOGAS DE INFORMACIN
Y COMUNICACIONES
SANTIAGO DE CALI
2011
CONTENIDO
Pg.
GLOSARIO DE TRMINOS
RESUMEN
1. INTRODUCCIN
1.1. CONTEXTO DE TRABAJO
1.2. PLANTEAMIENTO DEL PROBLEMA
11
1.3. OBJETIVOS
11
1.3.1 Objetivo general.
11
1.3.2. Objetivos Especficos
11
1.4. RESUMEN DE ESTRATEGIA Y MODELO PROPUESTO
12
1.5. RESUMEN DE RESULTADOS OBTENIDOS
14
2. MARCO TERICO
17
2.1. GOBERNABILIDAD Y RIESGO DE LAS TI
17
2.2. EVOLUCIN DEL MERCADO ALREDEDOR DE LA SEGURIDAD DE LA

INFORMACIN Y LA GESTIN DE LA IDENTIDAD
20
2.2.1. Riesgos Crecientes en las empresas
20
2.2.2 Evolucin de la seguridad informtica.
21
2.3. TENDENCIAS DEL MERCADO
28
2.3.1. Acceso y Manejo del ciclo de vida de la identidad.
28
2.4. PROYECTOS DE SOFTWARE Y SU RELACIN CON LA ARQUITECTURA

COMPUTACIONAL
32
3. MODELO DE EVALUACIN DE SOFTWARE DE SEGURIDAD
36
3.1. INTRODUCCIN
36
3.2. DOCUMENTO DE ARQUITECTURA DEL SISTEMA (SAD)
37
3.2.1. Descripcin General del Sistema a Desarrollar
37
3.2.2. Stakeholders
41
3.2.3. Restricciones Arquitecturales
44
3.2.3.1. Motivadores de Negocio
44
3.2.4. Restricciones de Tecnologa
49
3.2.5. Restricciones de Negocio
50
3.2.6. Atributos de Calidad
51
3.3. MODELO PROPUESTO PARA LA EVALUACIN DEL SISTEMA
59
3.3.1 Criterios de calificacin
60
3.3.2. Diseo y construccin de Matriz de evaluacin
61
3.4. APLICACIN DEL MODELO
91
3.4.1. Contexto de Aplicacin
91
3.4.2. Proceso de Aplicacin
94
4. ANLISIS DE RESULTADOS
98
5. CONCLUSIONES Y FUTURO TRABAJO
102
BIBLIOGRAFA
104
ANEXOS
106
LISTA DE TABLAS
Pg.
Tabla 1. Caracterizacin del Modelo de evaluacin del Software
13
Tabla 2. Norma ISO 27001, Anexo A, Objetivos de control y controles.
25
Tabla 3. Solicitudes del usuario
37
Tabla 4. Listado de los Stakeholders
42
Tabla 5. Stakeholders y Expectativas
43
Tabla 6. Descripcin del motivador de negocio
45
Tabla 7. Restricciones de tecnologa
49
Tabla 8. Arbol de utilidad
51
Tabla 9. Escenarios de Calidad
52
Tabla 10. Caracterizacin del Modelo de Evaluacin, Arquitectura definida

para el sistema de Gestin de la Identidad
60
Tabla 11. Esquema de Calificacin del Modelo de Evaluacin
61
Tabla 12. Identificacin y Clasificacin de Requerimientos RAS
62
Tabla 13. Escenarios de Calidad - QAs
68
Tabla 14. Modelo para la evaluacin de una solucin tecnolgica para la

Gestin de a Identidad Request for Proposal (RFP)
73
Tabla 15. Ejemplo de Calificacin de la solucin valorada por el panel de

expertos
88
Tabla 16. Cantidad de Usuarios en el Directorio Activo distribuidos por

empresa
93
LISTA DE FIGURAS
Pg.
Figura 1. Resultados del proceso de evaluacin de la Plataforma IAM
16
Figura 2. Casos Generales de Amenazas
23
Figura 3. Numero de vulnerabilidades en redes, Sistemas Operativos y

aplicaciones.
24
Figura 4. Evolucin de la seguridad informtica en las ltimas dcadas.
26
27
Figura 6. Ciclo de vida de la Identidad.
29
Figura 7. Centralizacin de la administracin de cuentas Solucin de Gestin de

la Identidad
31
Figura 8. Esquematizacin del Proceso para la construccin de una Arquitectura
de Software
34
Figura 9. Ejemplo Anlisis grafico al Prorratear con un mayor valor la categora
RESTRICCIONES DEL NEGOCIO
89
Figura 10. Ejemplo Anlisis grafico de resultados
90
Figura 11. Plataforma Tecnolgica Coomeva Estndares Corporativos
92
Figura 12. Cantidad de Aplicaciones distribuidas por empresa.
94
Figura 13. Fabricantes de Soluciones IAM invitados al proceso de aplicacin del

modelo.
95
Figura 14. Flujo general para la evaluacin y seleccin de la herramienta de
seguridad IAM
97
GLOSARIO DE TRMINOS
Appliance: Pila de aplicaciones que contiene el sistema operativo, el software de

aplicacin y las dependencias necesarias (configuracin y datos) para el
funcionamiento. Todo est preinstalado, pre integrado, y listo para funcionar.
IM - Identity Management: Gestin de la Identidad

IAM Identity and Access Management: Gestin de la Identidad y acceso
ISO/IEC 27001: Information technology - Security techniques - Information security

management systems Requirements
PCI: Security Standards Council
RFI - request for information: Proceso estndar de negocio que permite a las
organizaciones recolectar informacin en el mercado, para identificar bondades y
requerimientos que puedan suplir una necesidad de negocio.
RFP - request for proposal: Proceso estndar de negocio, el cual permite a las
organizaciones adelantar procesos licitatorios de una manera estructurada y
organizada. El cual dar como resultado la identificacin, calificacin y seleccin
del oferente que califique como la mejor opcin segn los criterios de seleccin
establecidos por la empresa, para el cubrimiento de una necesidad.
RFP: Request for proposal
SGSI: Sistemas de Gestin de Seguridad de la Informacin
SOX: SarbanesOxley Act
RESUMEN
Las organizaciones y grandes grupos empresariales en su bsqueda por

garantizar la seguridad, cumplimiento y control de los distintos accesos a sus
aplicaciones de negocio, han abocado mltiples esfuerzos para encontrar una
solucin de software d seguridad que permita de una manera eficiente y segura,
garantizar el Ciclo de vida de la Identidad digital de sus empleados, contratistas y
externos en la organizacin.
Este documento pretende ofrecer a las organizaciones un modelo para la

evaluacin y seleccin de un Software de Seguridad, a travs de la definicin de la
Arquitectura del Sistema, gracias a la aplicacin de unas plantillas preestablecidas
que permiten de una manera mucho ms formal, las esquematizacin y
caracterizacin de las variables y atributos ms significativos de la plataforma.
Adems se incorporan en el modelo variables propias del proyecto licitatorio y de
la organizacin lo cual permitir a los lectores e interesados en aplicar el modelo,
modificar y adaptar estas caractersticas segn la conveniencia o situacin propia
de la organizacin.
El modelo permitir a las organizaciones evaluar las diferentes plataformas de

Gestin de Identidad, a partir de siete agrupadores que se componen por un total
de ciento siete preguntas definidas y caracterizadas dentro del modelo; lo cual
permite a las empresas llegar a una calificacin y valoracin del Sistema por
medio del diligenciamiento de la matriz de calificacin, la cual es diligenciada y
calificada por el panel de expertos.
El modelo desarrollado se aplic al caso de estudio del Grupo Empresarial

Coomeva y las conclusiones fueron comparadas con el proceso que normalmente
se utiliza para la evaluacin y seleccin de este tipo de proyectos de software.
1. INTRODUCCIN
1.1. CONTEXTO DE TRABAJO
Gran parte de los Grupos Empresariales u Organizaciones de un tamao similar o

superior a 10.000 empleados (directos e indirectos), tienen una grande
problemtica puesto que a medida que han ido creciendo y expandindose en el
mercado, de igual manera han ido incrementando sus productos y/o servicios
ofrecidos, estos van directamente relacionados con la cantidad de aplicaciones y
por ende repositorios de usuarios donde se da el proceso de autenticacin o
acceso, luego se hace necesario buscar de qu forma se podra hacer gobierno y
controlar de manera eficiente el Ciclo de Vida de la identidad del Usuario; que para
el caso de estudio sern los empleados, contratistas y terceros, desde el momento
en que llegan a la organizacin hasta el retiro de la misma (Provisionamiento y Deprovisionamiento), adems de las diferentes novedades que se puedan relacionar
con dichos usuarios (Licencias, Vacaciones, Promociones, etc.), buscando que se
establezcan mecanismos seguros de autenticacin, autorizacin y auditoria para el
acceso a los aplicativos de negocio.
Este trabajo se realizara bajo el contexto de organizaciones denominadas o

conocidas como Grupos Empresariales, Grupos Corporativos o Holding
Empresarial, este tipo de organizacin cuentan con una serie de caractersticas
entre las cuales se contemplan los siguientes aspectos:
- Hay una dependencia jerrquica de la casa matriz o grupo corporativo que la
representa.
- La casa matriz es capaz de tomar decisiones las cuales pueden afectar a cada
una de las empresas que constituyen el grupo empresarial.
- La casa matriz tiene una participacin econmica fuerte sobre cada una de las
empresas del grupo.
- Cada una de las empresas, unidades o sectores que conforman el Holding
Empresarial, basan sus negocios en diferentes actividades y sectores de la
industria.
- El Holding empresarial, aprovecha las sinergias y participacin del mercado,

para establecer y fomentar economas de escala.
- Sus empresas tienen operaciones en la mayor parte del territorio Colombiano,
lo cual les permite ofrecer sus productos y servicios a toda la comunidad
- Tienen una participacin importante en las propuestas e iniciativas que
desarrolle o quiera implementar el Estado y Gobierno Colombiano.
- Suelen contar con un back office (procesos administrativos, contables,
financieros, etc.) administrados por la casa matriz o una de las empresas del
grupo.
- Invierten parte de sus ingresos en Desarrollo Social y Desarrollo profesional.
- El Holding empresarial puede generar una cantidad aproximada de:
o Ms de 10.000 empleos directos
o Ms de 22.000 empleos indirectos
- Son organizaciones vanguardistas que innovan sus productos y servicios
mediante el uso de Tecnologa, pueden llegar a destinar y presupuestar
inversiones del orden de ms de veinte millones de dlares (US$20 millones de
dlares) por ao.
- Se conforman por un nmero superior a tres empresas.
- Dentro de sus estados financieros se pueden considerar la siguientes cifras
importantes:
o Ingresos totales que pueden llegar al orden de ms de cincuenta millones de
dlares (US$50 millones de dlares) por ao.
10
o Activos corrientes y no corrientes que pueden sumar ms de un billn

quinientos mil de dlares (US$ 1.500.000 millones de dlares).
o Pasivos y patrimonio que pueden sumar ms de un billn quinientos mil de
dlares (US$ 1.500.000 millones de dlares).
o Registrar excedentes que pueden ser del orden de ms de seis millones de
dlares (US$ 6 millones de dlares)
1.2. PLANTEAMIENTO DEL PROBLEMA
Actualmente existen en el Mercado una cantidad de soluciones que ofrecen

controlar por medio de una plataforma de Software y/o Hardware el Ciclo de vida
de la Identidad Digital y sus accesos (IAM), sin embargo no existe un modelo para
la evaluacin y seleccin de este tipo de Software de Seguridad, por lo cual
muchas de las organizaciones al no contar con un esquema de evaluacin que
considere todas las variables y requerimientos de la plataforma, han implementado
soluciones que no han logrado los resultados esperados y finalmente han vuelto a
sus esquemas manuales para evitar colapsos en la operacin.
1.3. OBJETIVOS
1.3.1 Objetivo general. Desarrollar un modelo para la evaluacin y seleccin de

un Software de Seguridad el cual permita a las organizaciones controlar el Ciclo
de Vida de la Identidad de los Usuarios; generando mecanismos seguros de
autenticacin, autorizacin y auditoria para el acceso a los aplicativos o servicios
de negocio, unificando la administracin de usuarios y perfiles de acceso.
1.3.2. Objetivos Especficos

Caracterizar los principales atributos y caractersticas funcionales y tcnicas, a
considerar para el aseguramiento de una plataforma que garantice la adecuada
gestin y cubrimiento del ciclo de vida de la identidad.
11
Disear un modelo para le evaluacin y seleccin de la plataforma basado en

las caractersticas definidas para el software de Seguridad.
Validar el modelo propuesto aplicndolo al caso de estudio desarrollado en el
Grupo Empresarial Coomeva.
1.4. RESUMEN DE ESTRATEGIA Y MODELO PROPUESTO
La elaboracin de este documento y el modelo propuesto, se da con una etapa

inicial donde se realiza el respectivo proceso de estudio del mercado de algunas
plataformas
tecnolgicas
que
pudiesen
satisfacer
las
necesidades
tcnico/funcionales deseadas en el sistema Gestor de Identidades.
A partir de esa investigacin inicial se construye el documento de arquitectura del

sistema, SAD, en el cual se identificaron los distintos actores del sistema
(Stakeholders), sus expectativas y requerimientos sobre la plataforma, se
identificaron las restricciones tcnicas y de negocio, se definieron diferentes
escenarios de calidad y se plantearon los motivadores del negocio. Esto permiti
esquematizar y caracterizar en el Modelo de Evaluacin un total de 107 preguntas,
agrupadas en siete categoras de evaluacin.
12
Tabla 1. Caracterizacin del Modelo de evaluacin del Software
MODELO DE EVALUACIN DE SOLUCIN TECNOLGICA PARA Numero de

Preguntas
LA GESTIN DE LA IDENTIDAD
GENERALES
ECONMICA
GENERALES RFP
EMPRESA
FUNCIONALES
Generales
Modelo de Operacin
Econmico
Administracin de Acceso
Administracin de Identidades
Administracin de Eventos y Seguridad de
Informacin
Generales
Generales
TCNICOS
Restricciones de Tecnologa
QAs
Telecomunicaciones e Infraestructura
Administracin de Usuarios
Seguridad
Licenciamiento
Soporte y Garanta
Administracin del aplicativo
Normatividad
DESCRIPCIN DEL SOFTWARE

IMPLEMENTACIN PROYECTO
Restricciones del Negocio
Total
5
1
3
3
5
3
5
4
4
9
4
13
24
3
3
3
3
2
2
3
1
4
107
Estas variables y requerimientos sobre la plataforma fueron llevadas a un Modelo

de Evaluacin y Seleccin construido en un archivo de Excel, el cual consta de
varias hojas que se describen a continuacin:
Hoja - Resumen: Vista que muestra el totalizado de variables y agrupadores
definidos para el sistema.
Hoja - RFP: Contiene la Matriz con el Modelo para la evaluacin de la Solucin
Tecnolgica para la Gestin de la Identidad - request for proposal (RFP)
13
Hoja - RAS: Contiene la relacin y clasificacin de los atributos y requerimientos

del sistema.
Hoja - Escenarios de QAs: Contiene y estructuran todos aquellos escenarios y
atributos de calidad definidos para la plataforma.
Hoja - Variables de Calificacin: Contiene los criterios y variables de calificacin
del sistema.
Hoja - Calificacin: Lugar donde se realiza el proceso de valoracin a cada una
de las preguntas dadas por el proveedor de la solucin.
Hoja - RESULTADOS: Lugar donde se realiza el proceso de evaluacin y
anlisis grafico de las calificaciones dadas por el Panel de expertos
Para la validacin del Modelo se aplic al Caso de estudio en el Grupo

Empresarial Coomeva, de manera que se envi el documento a cuatro
proveedores posicionados a nivel Mundial como lderes de la Industria de
Soluciones de Software de Gestin de Identidad, IAM. Una vez fue asegurada la
entrega, recepcin y disponibilidad de los fabricantes de participar de esta
evaluacin, se dio un tiempo total de un mes, para la retroalimentacin, anlisis de
preguntas y recepcin de respuestas donde finalmente se logr la respuesta de
tres de los encuestados.
Una vez entregadas las respuestas de parte de los Proveedores, el panel de

expertos, califico las soluciones segn los criterios establecidos lo cual permiti
generar unos resultados consolidados de cada una de las plataformas evaluadas.
1.5. RESUMEN DE RESULTADOS OBTENIDOS
El modelo propuesto fue aplicado al caso de estudio del Grupo Empresarial

Coomeva, donde se invit a cuatro proveedores que cuentan con las soluciones
de IAM Identity And Access Management mejor posicionadas a nivel mundial,
para que aplicaran el modelo propuesto basados en las arquitectura definida y
aplicarla a cada una de las soluciones ofrecidas por ellos.
14
Una vez recibida la respuesta y documentacin relacionada, se procedi a realizar

la calificacin y valoracin de sus respuestas con base a los criterios y variables
definidas para este fin.
El anlisis se realiz por cada uno de los agrupadores o categoras establecidas

en el modelo, definiendo para cada de ellas un porcentaje o meta, su calificacin
y respectivo cumplimiento frente a la meta, las siete categoras analizadas en el
modelo fueron las siguientes:
Categoria 1 Generales RFP

Categoria 2 Empresa
Categoria 3 Funcionales
Categoria 4 Tcnicos
Categoria 5 y 6 Descripcion del Software y Entregables
Categoria 7 Restricciones del Negocio
Finalmente del resultado del proceso se logr obtener una calificacin consolidada
de las soluciones evaluadas, lo cual permiti a la organizacin determinar cul de
las soluciones era la que mejor se adaptaba a las necesidades y expectativas del
negocio.
15
Figura 1. Resultados del proceso de evaluacin de la Plataforma IAM
Resultado Consolidado x Solucin IAM

PROMEDIO TOTAL PROVEEDOR
EMPRESA
IBM
ORACLE
NOVELL
%
CALIFICACIN CUMPLIMIENTO
4,15
3,48
4,47
83%
70%
89%
META
60%
60%
60%
Finalmente el resultado promediado consolidado del Modelo de evaluacin del

software de seguridad para el control y administracin de la Identidad de los
usuarios, determino que la mejor opcin costo vs beneficio vs requerimientos
arquitecturales del sistema aplicadas a este caso de Negocio, es la solucin de
Novell en primera opcin y en su segunda posicin la de IBM. Si bien la solucin
de Oracle podra considerarse el tema precio sigue siendo uno de los factores por
los cuales las organizaciones no implementan este tipo de producto.
Lo resultados de la aplicacin del Modelo propuesto, demuestran que la

herramienta puede ser aplicable y fcilmente adaptable a industrias y organizacin
que gocen de las caractersticas plateadas en este documento, las cuales
requieran implementar o evaluar una solucin de este tipo para el control y
aseguramiento del Ciclo de Vida de la Identidad digital de sus usuarios.
16
2. MARCO TERICO
En el panorama actual de las organizaciones donde la competencia aumenta de

manera apresurada, las empresas han ido aumentando su cantidad de servicios y
aplicaciones con el fin de satisfacer diferentes necesidades del mercado, cumplir
exigencias de ley o simplemente lanzar servicios diferenciadores que garanticen la
supervivencia y el retorno de las grandes inversiones en distintos proyectos, los
cuales se convierten finalmente en productos o servicios para sus clientes y
usuarios.
La demanda y crecimiento acelerado de las empresas tambin tiene una serie de

secuelas relacionadas con el aumento del riesgo, fallas en la seguridad de los
sistemas de informacin, carencia o nulidad de controles, lo que usualmente
genera anotaciones de revisora o auditoras externas e internas por el no
cumplimiento de las polticas que se estn aplicando en el entorno auditado.
2.1. GOBERNABILIDAD Y RIESGO DE LAS TI
Bajo esta situacin las organizaciones han comenzado a tomar medidas urgentes
para adoptar mejores prcticas que permitan implementar polticas de Gobierno de
TI. Segn el OECD (Organization for Economic Co-operation and Development) se
define el Gobierno Corporativo como El sistema con el cual las corporaciones y
sus negocios, son dirigidos y controlados, lo que quiere decir, que cada
organizacin tambin debera determinar de qu manera asegura el Gobierno de
la Informacin y sus tecnologas, en las cuales se da la alineacin de las
estrategias del Negocio y el modelo del negocio.
Por otro lado la definicin de lo que se conoce como Gobierno de TI hace

referencia al: Framework para el direccionamiento de las estructuras
organizacionales y los procesos del negocio, los estndares y su cumplimiento; lo
que garantiza que los sistemas de informacin soportan y habilitan el logro de las
estrategias y objetivos del negocio (1 - Pg.4) lo que adems se especifica en
cinco principios para adoptar las estrategias de gobierno los cuales son:
- La normatividad y regulacin: En Colombia, Circular 052 para entes

Financieros, Sistema de Administracin de Riesgos (SAR) para entidades de
Salud, en otros pases como los Estados Unidos Sarbanes Oxley(SOX), entre
otras.
17
- El creciente valor del capital intelectual.
- La necesidad de alinear los proyectos de Tecnologa a la estrategia de la

organizacin, con la finalidad de entregar valor y aportar al logro de los objetivos
del negocio.
- El aumento de los hilos de informacin (complejidad) y por ende los riesgos de

la falta de control sobre estos canales, lo que puede llevar a fugas de informacin
que podran afectar directamente la reputacin organizacional.
- El aumento de requerimientos para el cumplimiento (compliance) del manejo de

la informacin y de la privacidad o confidencialidad de la misma: En Colombia la
ley Habeas Data para todo tipo de organizacin.
Todo esto, da a entender que el adecuado manejo de las tecnologas de la

informacin, junto con el efectivo manejo y control del riesgo claramente se
convierten en un driver habilitador de los objetivos del negocio y las
corporaciones. Por ende cada una de las iniciativas y proyectos que se lleven a
cabo deben asegurar el adecuado manejo del riesgo y el gobierno de la
informacin, lo que va estrechamente ligado a la estrategia de negocio y aspectos
operaciones de la seguridad de la informacin.
La proliferacin y el aumento de la complejidad de las aplicaciones, los

sofisticados y globalizados hilos de informacin, en combinacin con el
cumplimiento de los requerimientos flood computer y la privacidad relacionada a
las distintas normatividades a nivel mundial, se han convertido en los drivers
para las organizaciones que pretenden aumentar sus estrategias orientadas a la
seguridad de la informacin (2 - Pg.5).
A pesar que muchas empresas, piensan que sus sistemas de informacin son
seguros, la cruda realidad es que no lo son, esto se observa diariamente en
diarios y peridicos donde se hace evidente el aumento de casos tpicos como:
ataque de piratas informticos (Hackers), ciber crmenes, virus informticos,
fraudes internos o externos, los cuales pueden ser generados desde las
aplicaciones o servicios expuestos en la Internet. Lo que finalmente repercute de
manera directa en problemas conocidos como la cada o lentitud de las
aplicaciones, denegaciones de servicios y finalmente la perdida de disponibilidad,
integridad y confidencialidad (CID) de la informacin.
18
Luego se hace muy relevante que los procesos de las organizaciones sean
diseados, implementados y apropiados acordes al entorno empresarial y clima
organizacional, esto segn Alan Calder y Steven Warthinks deberan reflejarse en
los siguientes aspectos (1 - Pg.6):
- Polticas, procesos y procedimientos los cuales deben ser diseados de una

manera que refleje el estilo y cultura de la organizacin.
- Los procesos y procedimientos que sean adoptados deben reflejar los riesgos y
sus valoracin propia de la corporacin
- Es importante que la organizacin entienda en detalles las polticas, procesos y

procedimientos.
- Dar la importancia del caso a la seguridad de la informacin, el cual esta

soportado de manera directa con la Tecnologa e Infraestructura. Esto ya que es
necesario hacer seguimiento continuo a las polticas establecidas, asegurando que
la identificacin de riesgos sea un trabajo continuo y garantizado.
Segn las observaciones de los autores es claro que los procesos de la

organizacin deben cumplir con las alineaciones estratgicas del negocio y la
cultura propia de la organizacin, como factor importante se debe considerar las
TICs (Tecnologas de la Informacin y Comunicacin) y el enfoque orientado al
anlisis de riesgos, como componentes claves para que sean los habilitadores de
las estrategias, objetivos y metas del Negocio.
El enfoque de orientacin a riesgos en las TICs, va directamente relacionado con

los temas de seguridad de la informacin de la organizacin; puesto que lleva a
las mismas a cuestionarse y realizar anlisis complejos y exhaustivos sobre la
situacin actual y futura de sus esquemas de seguridad informtica, llevndolas al
desarrollo de modelos de gestin de riesgos que permitirn a las empresas
elaborar planes de accin, gobierno o control, para identificar cada riesgo,
clasificarlo, valorarlo y priorizarlo, donde se adoptan una serie de planes de accin
sobre cada uno de los riesgos y se determinan las estrategias conocidas dentro de
la metodologa para evitarlos, transferirlos, mitigarlos, aceptarlos, etc. Este
anlisis permitir dar una valoracin cuantitativa y cualitativa de cada y su impacto
en la organizacin.
19
2.2. EVOLUCIN DEL MERCADO ALREDEDOR DE LA SEGURIDAD DE LA

INFORMACIN Y LA GESTIN DE LA IDENTIDAD
2.2.1. Riesgos Crecientes en las empresas. Peridicos y fuentes reconocidas en

distintos medios de informacin, reportan situaciones que indican los crecientes
riesgos encontrados en diferentes organizaciones citando situaciones crticas de
algunas entidades como:
- Violacin en la Seguridad Expone datos de millones de tarjetas de crdito:
Hasta 40 millones de nmeros de tarjetas pueden haber estado expuestas, en lo
que se conoce como la mayor violacin de datos financieros en una serie de casos
recientes1.
- En medio de la desaceleracin econmica, el robo de la identidad sigue siendo
una preocupacin para los clientes del Banco: Una encuesta encontr que el 54
por ciento de los clientes de un banco muestra preocupacin acerca por la
seguridad de su dinero y el riesgo del robo de la identidad2.
- Fuga de datos de un Banco amenaza 248.000 clientes en Estados Unidos:
Casi un cuarto de milln de consumidores de Carolina del Norte se han visto
afectados por una violacin reciente de los datos del Bank de New York Mellon. El
hecho podra someter a 248.000 habitantes de Carolina del Norte al robo de su
identidad3.
- En marcha un tercer ataque informtico contra Sony: Un grupo de 'hackers'
identificados en el chat Internet Relay, podra estar planeando un nuevo ataque
contra los servidores de Sony que tendra como objetivo conseguir informacin y
publicarla en la red. Los 'hackers' han asegurado que actualmente tienen acceso a
uno de los servidores y han fijado el ataque para los prximos das4.
INFORMATION WEEK. The Business Value of Technology. Steven Marlin Information Week
June 17, 2005. 06:00 PM. http://www.informationweek.com/news/164900904.
2 The Wall Street Journal. Digital Network. Oct. 2008.
http://www.secureidentityssystem.com/assets/files/Oct-WSJ-IDtheftConcern.pdf.
3 ConsumerAffairs.com Jun 2008.
http://www.consumeraffairs.com/news04/2008/10/nc_mellon_corp.html
4 CNET.com. Exclusive:Third attack against Sony planned. May 2011. http://news.cnet.com/830131021_3-20060227-260.html.
20
En particular este ltima noticia causa curiosidad puesto que se da bajo la cuna de
la aparicin de organizaciones que se han llamado legiones las cuales dicen
defender la libertad de la informacin y el no a la censura en Internet; al mismo
tiempo que ocurre con la prohibicin en ciertos pases del acceso a sitios como
WikiLeaks (http://www.wikileaks.ch), el surgimiento del grupo Anonymous y en
particular en Colombia el desarrollo de leyes como la denominada Ley Lleras proyecto de ley que busca regular la propiedad intelectual en internet en
Colombia, demuestra que el tema de las seguridad informtica en los sistemas
de informacin no es despreciable en un mercado global de las corporaciones,
donde las aplicaciones empresariales poco a poco han migrado de la plataforma
cliente - servidor y sus confiables zonas desmilitarizadas DMZ, hacia un mundo
de comunicaciones globales y plataformas tipo WEB; en donde se da un
intercambio de servicios a travs de Web Services que son consumidos por otras
empresas o usuarios y en donde de una u otra forma los riesgos de las
aplicaciones y la informacin que circula a travs de estas, se incrementan por la
desproteccin y exposicin de servicios a la red de redes - Internet.
2.2.2 Evolucin de la seguridad informtica. La seguridad de la informacin ha

llevado un proceso evolutivo interesante el cual comienza aproximadamente en los
aos 80s, contextualizando en esta poca se dio el bum de las redes de
confianza, donde haba una armona entre todas las personas amantes de las
tecnologas, donde un nuevo protocolo, dispositivo, programa o lenguaje de
programacin era aplaudido por la comunidad de activistas de las TICs, las
empresas, universidades y comunidades que crecan sin control y aprovechaban
las tecnologas de comunicacin para poder acortar distancias y lograr romper las
barreras fsicas de la informacin.
Toda esta armona fue irrumpida en el momento en que algunas personas cayeron
en cuenta del poder de la informacin que corra o flua por todos estos medios o
sistemas de informacin; el primer caso documentado por la comunidad como
violacin a un sistema de informacin, fue presentado en el libro The Cuckoo's
Egg por el autor Cliff Stoll en el ao 1989 5, en este libro el autor relata cmo
descubre un aparente error contable en los sistemas de informacin de la
compaa, donde al parecer haba una diferencia de 75 centavos de dlar en
ciertas transacciones, por lo cual comienza a investigar y cae en cuenta que
alguien se ha introducido en sus sistemas y ha robado los accesos del sper
usuario (root), de esta forma inicia un seguimiento detallado de las actividades del
intruso, en lo que es considerado el primer caso documentado de una persecucin
a un cracker.
STOLL, Cliff. The Cuckoo-s Egg: Tracking a Spy Through the Maze of Computer Espionage.
Estados Unidos, 1989. ISBN 0-385-24946-2.
21
A manera visionaria en el ao 1980, el autor del documento denominado:

Computer Security Threat Monitoring and Surveillance 6 , expuso los primeros
trminos relacionados con la seguridad de la informacin, los cuales se ven
resumidos en el siguiente aparte:
Amenaza: la posibilidad de un intento deliberado y no autorizado de:
a) Acceder a informacin
b) Manipular informacin
c) Convertir un sistema en no-confiable o inutilizable
Riesgo: Exposicin accidental e impredecible de informacin, o violacin de la
integridad de operaciones debido al malfuncionamiento del hardware o diseo
incorrecto o incompleto del software.
Vulnerabilidad: una falla conocida o su sospecha tanto en el hardware como
en el diseo del software, o la operacin de un sistema que est expuesto a la
penetracin de su informacin por una exposicin accidental.
Ataque: Una formulacin especfica o ejecucin de un plan para llevar a cabo
una amenaza.
Penetracin: Un ataque exitoso; la habilidad de obtener acceso no-autorizado
(indetectable) a archivos y programas o el control de un sistema
computarizado"7.
Conceptos y definiciones que a la fecha siguen siendo conocidas y asociadas a la

seguridad de la informacin, donde adems se puede identificar distintos tipos de
amenazas y controles que los administradores de las TI, siguen diferenciando
desde el momento del diseo de las redes, de la infraestructura de servidores,
sistemas operativos, hasta la concepcin y estructuracin de los programas
informticos propios de la organizacin, ver figura 2.
J.P. Anderson. Computer Security Threat Monitoring and Surveillance. Technical Report
Washington, PA, April 1980.
7
Ibid. p. 15.
22
Figura 2. Casos Generales de Amenazas
Fuente: J.P. Anderson. Computer security threat monitoring and surveillance. Technical Report
Technical Report. Washington, Pag 8.
En cada una de estos componentes o capas se dan una serie de amenazas que
pueden atravesar todo el modelo OSI, entre las amenazas ms conocidas se
referencia roles de personas como los Crackers y Phreakers, temas culturales
denominados Ingeniera Social, hasta las tcnicas de la informtica como:
Scanning, Smurf o broadcast storm, Sniffing, Spoofing, Virus Troyanos, Exploits,
Denegacin de Servicios, Bombardeo de Email (SPAM), Phishing, Inyeccin SQL,
entre otros. Este tipo de amenazas y que parte del modelo OSI es la ms
impactada por la relacin fehaciente sobre las vulnerabilidades encontradas, se
observa en la figura 3.
23
Figura 3. Numero de vulnerabilidades en redes, Sistemas Operativos y

aplicaciones.
Fuente: http://www.sans.org/top-cyber-security-risks/trends.php
En este orden de ideas la evolucin de la seguridad informtica muestra sus

avances desde los aos 80s, donde se concentraba en simplemente aislar la
informacin de las personas por medio de implementacin de mecanismos fsicos
que restringieran el acceso a los distintos centros de datos y a las computadoras
como tal, luego en los aos 90s con la masificacin del Internet y sus servicios, la
informacin supera las barreras fsicas y es por eso que se hace importante el
establecimiento de controles a las vulnerabilidades electrnicas de los distintos
componentes o las plataformas por donde se mova dicha informacin, las
amenazas dejaron de ser solo externas y personas inescrupulosas entendieron
que la informacin era muy valiosa para distintas compaas.
Durante esta dcada hasta el segundo milenio, comienzan a desarrollarse

aplicaciones de seguridad que permitiran blindar a las empresas de ciertos tipos
de ataques, establecer permetros de seguridad internos y externos y por ende
generar mayor confidencialidad y proteccin de la informacin.
Lastimosamente as como la seguridad iba desarrollando barreras de proteccin,

haban personas u organizaciones que a la par y apalancados en conocimientos
tecnolgicos e informticos, iban desarrollando herramientas para penetrar, evitar
o sortear todas estas barreras y controles, elementos que ya fueron referenciados
en este documento.
24
Ya para el ao 2000 y a la fecha, la seguridad de la informacin sufre una

transformacin importante en el sentido de que surgen entes internacionales los
cuales se interesan en investigar y desarrollar FrameWorks o conjuntos de buenas
prcticas para afrontar todos los temas relacionados a la seguridad de la
informacin, de una manera organizada, por pasos y que pueda ser certificable
por otros entes de control, lo que asegurara y permitira establecer relaciones de
confianza en una globalizacin general de la industria.
Como por ejemplo el estndar ms reconocido de la industria es la norma

internacional de seguridad de la informacin ISO/IEC 27001 en la cual se
especifican los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI), adems
permite establecer controles que sirven a las organizaciones a esquematizar la
seguridad de todos los componentes de la corporacin tantos fsicos, humanos e
informticos, ver tabla 2.
Tabla 2. Norma ISO 27001, Anexo A, Objetivos de control y controles.

A.5 POLITICA DE SEGURIDAD
A.6 ORGANIZACIN DE SEGURIDAD DE INFORMACION
A.7 GESTION DE ACTIVOS
A.8 SEGURIDAD DE LOS RECURSOS HUMANOS
A.9 SEGURIDAD FISICA Y DEL ENTORNO
A.10 GESTION DE COMUNICACIONES Y OPERACIONES
A.11 CONTROL DE ACCESO
A.12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION
A.13 GESTION DE LOS INCIDENTES Y LAS MEJORAS EN LA SEGURIDAD DE
INFORMACION
A.14 GESTION DE CONTINUIDAD DEL NEGOCIO
A.15 CUMPLIMIENTO
Fuente: http://www.iso.org
Los marcos de referencia asociados a temas de Gobierno de TI (COBIT), o

modelos relacionados con la gestin y administracin de los riesgos, llevan al
siguiente paso en la evolucin de la seguridad informtica, puesto que estas
normas deben llevarse a la realidad no solo en documentos fsicos o almacenados
en algn repositorio de la compaa, sino que tambin deben hacerse realidad por
medio de la automatizacin o adopcin de herramientas y plataformas
tecnolgicas que sean habilitadoras de las definiciones de Gobierno, Riesgo y
Seguridad de la informacin, propias de cada organizacin.
25
Para el ao 2000 toma relevancia los temas relacionados al anlisis de las

vulnerabilidades de los sistemas de informacin, dispositivos de red e
infraestructura de servidores, es por esto que comienzan el surgimiento de
herramientas o appliance que se configuran para realizar estos anlisis, que
permitan la generacin de reportes y realizar anlisis de riesgos y planes de
accin para mitigarlos o cerrarlos. Al nivel de aplicaciones empiezan a escucharse
conceptos como el Single Sign On el cual es un primer acercamiento a una
solucin de la problemtica expuesta, puesto que con este tipo de soluciones las
organizaciones buscaron por un lado eficientizar el trabajo de los clientes y
usuarios, controlar los accesos y por otro asegurar que el acceso desde un
dispositivo sea nico y confiable. El tiempo demostr que este tipo de soluciones
no eran tan eficientes como se vendan y que por el contrario aumentaba los
riesgos de la organizacin al exponer a que con el robo de una sola identidad, el
individuo perpetrador, pudiera moverse dentro de la compaa de manera integral
y sin mayores obstculos. Todo el camino descrito en la etapa evolutiva de la
seguridad de la informacin desde los 80 al 2000, se puede resumir en la figura 4.
Fuente: Presentacin IAM Novell, http://www.novell.com/solutions/identity-and-access/
Para los siguientes aos se dio la evolucin de ese primer concepto asociado a la
administracin del ciclo de vida de la identidad de las personas el cual se conoci
como single sign on, en ese momento se hizo evidente y necesario la
incorporacin de los factores de gobernabilidad, riesgo y cumplimiento
26
mencionados con anterioridad, lo cual dio cabida al surgimiento de conceptos

relacionados con el manejo de los roles de la organizacin, el control de accesos a
las aplicaciones asociadas al rol o cargo, la correlacin de eventos, alarmas y
reportes del servicio en su totalidad.
La integracin de la identidad adicionando el manejo del ciclo de vida dentro de la

corporacin con todas sus variaciones y el cumplimiento de los entes de control de
una manera mucho ms eficiente, ptima, estandarizada y que adems tuviera un
ROI demostrable para la organizacin. Todo este camino descrito en la etapa
evolutiva de la seguridad de la informacin desde el 2000 al presente, se puede
resumir en la figura 5.
27
2.3. TENDENCIAS DEL MERCADO
El despliegue generalizado de los sistemas de recoleccin, procesamiento y

distribucin de la informacin personal junto con su identificacin en el servicio,
hace a cada persona vulnerable al robo en lnea de los datos de identidad, lo cual
perjudica la confianza en las distintas tecnologas de la informacin sobre las
cuales se soporta. Esto ha llevado a la industria a la expansin de la investigacin
sobre variados temas de la gestin de la identidad, incluyendo la mejora de la
confiabilidad y la privacidad8 .
La informacin personal es usualmente usada para realizar transacciones y

ofrecer servicios personalizados. La informacin de la identidad de la persona,
como el nombre, los atributos propios como edad, sexo, profesin, hasta incluso
datos biomtricos permiten la liberacin y transferencia de datos sin fronteras
administrativas 9 . El uso de atributos de identificacin personal los cuales
constituyen la identidad digital, hacen parte integral de todo el servicio o
transaccin que va a travs de la red, envolviendo temas de gobierno, reglas de
negocio y comprometiendo al mismo individuo. Esto lleva a que las relaciones de
confianza se vuelvan claves y acordes a las necesidades de las distintas partes
involucradas en la prestacin del servicio.
En general se podra hablar que la tendencia del mercado alrededor de la

seguridad de la informacin debe apalancar las distintas iniciativas empresariales
soportadas en factos claves como:
- Soporte de soluciones e iniciativas de GRC (Governance, Risk and Compliance)

para las TI
- Evitar violaciones de regulaciones gubernamentales y de la industria
- Evitar fuga de propiedad intelectual
- Disminuir el costo del cumplimiento mediante la integracin, consolidacin y
automatizacin
- Uso de estndares abiertos e independencia de la plataforma
2.3.1. Acceso y Manejo del ciclo de vida de la identidad. El ciclo de vida de la

identidad denominado o administrado por el proceso conocido como Identity
8
Piotr Pacyna, Anthony Rutkowski, Amardeo Sarma & Kenji Takahasi. Trusted Identit y for All:
Toward Interoperable Trusted Identit y Management Systems, COMPUTER IEEE Computer
Society, 0018-9162/09/$25.00 2009 IEEE.
9
Ibid.
28
Access Management (IAM) (Gestin de Identidades y Accesos), tiene como

objetivo principal la identificacin nica e integral del individuo o persona en uno o
varios sistemas de informacin, sin importar el lugar, el espacio o el momento
(como un pas, red, u organizacin) y adems controlar de manera adecuada los
acceso autorizados y permitidos a los recursos de dicho sistema, ver figura 6:
Figura 6. Ciclo de vida de la Identidad.
Estudios adelantados por la empresa Deloitte, indican que el adecuado manejo del
riesgo, gobernabilidad y el cumplimiento puede llegar a producir valor para la
organizacin ya que para las empresas el cumplimiento debe ser uno de los
drivers principales para que las corporaciones inviertan en soluciones de
identidad, puesto que va directamente relacionado con variables crticas para el
negocio como son10 .
10
DELOITTE, Markus Bonner.

http://www.oracle.com/global/hu/events/20070215_SecurityBB/01%20Deloitte%20eloadas%20%20Compliance%20Governance%20Risk%20in%20Identity%20and%20Access%20Management.
pdf
29
Motivacin empresarial:
Mejorar la productividad: Optimizacin, estabilidad, flexibilidad.
Seguridad: Riesgo y cumplimiento
Motivacin legal:
Incremento en la cantidad de normas regulatorias (Circular 052, SOX, PCI, etc.)
Minimizacin del riesgo operativo en los informes financieros, deben ser
veraces y certificables, que es el caso de la regulacin SOX aplicada en los
Estados Unidos.
Las auditoras internas y externas estn cada vez ms centradas en el control
de los procesos de TI.
Mayor responsabilidad legal de las personas responsables de ejecutar y
garantizar los mecanismos de control. Como es el caso de los representantes
legales de las empresas (usualmente los gerentes).
Segn el autor Axel Larsson, una plataforma de este tipo obliga a las
organizaciones a reemplazar las conexiones mltiples ad-hoc que se solan hacer
entre distintos sistemas y aplicaciones, a un solo puente hacia el sistema de
gestin de identidades y accesos, lo cual impacta al reducir los costos operativos
y administrativos y adems permite que se puedan soportar ms aplicaciones, al
aumentar la longevidad y la utilidad de los sistemas de informacin
(administrativos) tipo legacy, as como la informacin albergada en las mismas11.
Ver figura 7.
La gestin centralizada de la informacin de identidad a travs de una solucin o

plataforma de Gestin de Identidades y Accesos, permitira la consolidacin del
acceso de toda la informacin de la identidad, la cual est dispersa en diferentes
bases de datos que contienen la informacin del usuario y las polticas de acceso.
Los cambios realizados sobre la identidad en aquella consola centralizada
permitirn sincronizar los cambios con los distintos repositorios internos y externos
para garantizar la informacin de la identidad del usuario, su coherencia,
disponibilidad, integridad y confidencialidad, al igual que las polticas de
autenticacin y acceso definidas por la empresa.
11
LARSSON, Alex. LARSSON, Axel. Drew University. A Case Study: Implementing Novell Identity
Management at Drew University, Drew University, 2003.
30
Con la administracin de identidades, la visibilidad de los accesos es elevada, esto

permite que los administradores de TI, reas de auditora u organismos de control,
creen una imagen real y en lnea, del nmero y tipo de cuentas que usa
determinado usuario sobre toda la organizacin, adems de las polticas que lo
rigen. Luego los riesgos de accesos no autorizados se reducen, los errores
asociados con el almacenamiento de datos mltiples se eliminan, el acceso a
travs de cuentas desconocidas o ilegtimas van al mnimo y las actividades de
acceso de los usuarios son monitoreadas y registradas para cumplir los estrictos
requisitos regulatorios (compliance).
Figura 7. Centralizacin de la administracin de cuentas Solucin de
Gestin de la Identidad
Fuente: A10 Networks WhitePaper, Identity Management and Sarbanes-Oxley Compliance, Pg 9 Sep 2005. http://frwebgate.access.gpo.gov
31
2.4. PROYECTOS DE SOFTWARE Y SU RELACIN CON LA ARQUITECTURA

COMPUTACIONAL
Muchas organizaciones a partir de la necesidad de desarrollar una serie de

servicios, productos o simplemente por el cumplimiento de temas normativos y de
ley, han adelantado una cantidad importante de iniciativas o proyectos los cuales
terminan en la bsqueda de soluciones, plataformas o appliance de software, que
de una manera relativamente rpida o sencilla, ayuden al despliegue y cubrimiento
de la necesidad.
Para realizar este tipo de procesos muchas de estas empresas, realizan la
bsqueda de soluciones tecnolgicas que satisfagan los requerimientos de
negocio, a partir de investigaciones de mercado en las cuales se pueden realizar a
travs de un proceso de recoleccin de informacin, RFI, o cuando se tienen
mucho ms claros y asentados los requerimientos del sistema se realiza a partir
de procesos licitatorios tipo RFP.
Por otro lado, en la ltima dcada se han desarrollado, definido y clarificado

conceptos importantes alrededor de los que se conoce como Arquitectura de los
sistemas computaciones o Arquitectura de Software, entre estas definiciones se
puede destacar la siguiente: Una Arquitectura refleja un conjunto de decisiones
significativas sobre la organizacin de un sistema, la seleccin de elementos
estructurales que componen el sistema y sus respectivas interfaces, junto con su
comportamiento especificado a travs de las colaboraciones entre estos
elementos 12. Adems, bajo estos principios se determina que el establecimiento
de una arquitectura sirve de manera general para:
Definir la estructura del sistema
Definir el comportamiento del sistema
Lograr enfocar el anlisis en los elementos significativos del sistema
Generar propiedades genricas para el sistema
Identificar las necesidades de todos los stakeholders (ejemplo: usuario final,
administrador de sistema, vendedor, cliente, desarrollador, gerente de proyecto,
etc.)
Reflejar las decisiones del sistema con base a unos criterios establecidos
La cual para estructurarse de una manera adecuada, puede utilizar una serie de
plantillas en los cuales se consideran los elementos claves para el desarrollo de
un documento que describe la arquitectura del sistema o el software (SAD),
elementos que de manera resumida se especifican a continuacin.
12
Universidad ICESI, Maestra en Gestin de Informtica y Telecomunicaciones, Introduccin a la

Arquitectura de Sistemas Computacionales, pagina 10
32
Primero se debe considerar que un elemento de arquitectura hace referencia a

una pieza fundamental a considerar cuando se realiza la construccin o definicin
de un sistema. Lo cual quiere decir que los siguientes elementos son vitales para
la adecuada definicin de la arquitectura de un sistema computacional:
Stakeholders - Interesados: Hace referencia a una persona, grupo o entidad
que est interesada, que genera requerimientos, objetivos o refleja sus
aspiraciones y expectativas en la elaboracin de la arquitectura del sistema.
Architectural Descriptions - Descripcin de arquitectura (AD): Son una serie de
entregables que permiten documentar la arquitectura del sistema. Con estos
documentos los cuales los Stakeholders, pueden tener una mayor claridad,
entendimiento y satisfaccin demostrada, sobre el cumplimiento de todas sus
expectativas en la definicin de la arquitectura.
View - Vista: Es una representacin de uno o ms elementos de la estructura
de la arquitectura, que ilustran o representan un set de componentes del sistema y
sus respectivas relaciones. Una descripcin de una arquitectura se compone de
una o varias vistas.
ViewPoints - Puntos de Vista: Es una especificacin que describe los patrones,
plantillas y sus conversiones para un determinado Stakeholders y sus
correspondientes expectativas. En estas se identifican las relaciones con otros
puntos de vista, sus guas, diagramas, principios y plantillas, las cuales servirn
como guas para crear el documento de arquitectura AD. Un punto de vista es un
patrn para construir una vista. Entre los puntos de vista ms utilizados se
encuentra el punto de vista funcional, punto de vista de despliegue, punto de vista
de informacin, entre otros.
Architectural Perspective o Perspectiva de arquitectura: Se define como la
coleccin de actividades, tcticas y pautas, utilizadas para asegurar la
identificacin de un grupo de atributos y propiedades de calidad, las cuales
deben considerarse alrededor de un variado nmero de vistas de la arquitectura
del sistema. Entre las perspectivas ms utilizadas estn la seguridad, eficiencia,
fiabilidad, mantenimiento, entre otros.
Segn el autor Nick Rozanski y Eoin Woods en su libro Software Systems

Architecture, el proceso para la elaboracin de una arquitectura de software se
33
podra representar como una secuencia de pasos ordenados, que se

esquematizan de manera resumida en la siguiente figura.
Figura 8. Esquematizacin del Proceso para la construccin de una

Arquitectura de Software
Paso 1
Paso 2
Paso 3
Paso 4
Paso 5
Paso 6
Paso 7
Definir:
Alcance
Contexto
Restricciones
Lnea base
Principios de la arquitectura
Identificar e involucrar a los Stakeholders
Identificar y desarrollar escenarios para la arquitectura
Utilizar estilos y patrones de la arquitectura
Producir modelos para la arquitectura
Documentar la arquitectura
Validar la arquitectura
Fuente: Detalles del proceso referirse al captulo 7, pgina 73, Rozanski, Nick y Woods, Eoin.
Software systems architecture
Sin embargo, a pesar de que se ha documentado mucho sobre el tema de

arquitectura de los sistemas e inclusive se han generado estndares
internacionales para describir la arquitectura de los sistemas computacionales
como el estndar IEEE 1471, no es muy comn encontrar proyectos de software a
nivel empresarial, donde se utilicen este tipo de herramientas, buenas prcticas y
34
templates; para elaborar y construir documentos que describan la arquitectura del

sistema, SAD: Software Architecture Description, y que por ende se apliquen estas
tcnicas que permitan mediante un proceso mucho ms formal, la seleccin,
evaluacin y adjudicacin de las licitaciones de este tipo que se estn adelantando
en los distintos tipos de organizaciones.
35
3. MODELO DE EVALUACIN DE SOFTWARE DE SEGURIDAD
3.1. INTRODUCCIN
Bajo el panorama anteriormente descrito se plantea como estrategia la adopcin

del modelo de descripcin de la arquitectura del sistema, SAD, basado en las
plantillas elaboradas por la Universidad de Los Andes en el curso Arquitectura de
Software13.
Ahora bien, mediante la aplicacin y esquematizacin de un documento de

arquitectura se pretende describir de una manera mucho ms formal, los
requerimientos funcionales y no funcionales, as como lograr la identificacin de
los atributos arquitectnicamente significativos, la elaboracin de escenarios de
calidad; considerando todas las variables importantes y relevantes de cada
Organizacin como son las restricciones propias del Negocio, las restricciones de
Tecnologa, la expectativas de los Stakeholders, los Motivadores de Negocio, etc.
Todas estas caractersticas sern determinantes al momento de evaluar y
seleccionar la plataforma que cumpla la mayor parte de variables o requerimientos
del Negocio.
Una vez elaborado el documento de Arquitectura de Sistema SAD, se construir

un modelo que permita la evaluacin y seleccin de un Software de Seguridad
para el controlar del Ciclo de Vida de la Identidad, el cual podr ser fcilmente
adoptado por distintas organizaciones y que ser un insumo importante en los
distintos procesos de Licitacin o de bsqueda de software con este tipo de
caractersticas.
13
Universidad de los Andes, Departamento de Ingeniera de Sistemas y Computacin, Plantilla

Documento de Arquitectura en:
http://sistemas.uniandes.edu.co/~isis3702/dokuwiki/doku.php?id=sad.
36
3.2. DOCUMENTO DE ARQUITECTURA DEL SISTEMA (SAD)
3.2.1. Descripcin General del Sistema a Desarrollar. Esta seccin describe la

funcionalidad y el propsito del sistema o subsistemas cuya arquitectura es
descrita en este documento:
La solucin o plataforma tecnologa que se busca se define como IAM o Identity

and Access Management (Gestin de Identidad y Acceso) el cual a nivel general
se puede describir como un sistema encargado de automatizar los procesos de
creacin, actualizacin y eliminacin de usuarios y perfiles de acceso a los
aplicativos o servicios dispuestos por la organizacin, incluyendo mecanismos de
seguridad a las funciones de autenticacin, autorizacin, y auditoria (AAA), todas
estas asociadas a los aplicativos o servicios durante la permanencia de los
usuarios (empleados, contratistas y/o terceros) al interior de la organizacin o bien
lo que se conoce como el ciclo de vida de la Identidad.
Tabla 3. Solicitudes del usuario

Id
1
Solicitudes del
usuario
Descripcin
de El sistema debe soportar conectores a

aplicaciones desarrolladas In house
en JAVA, Proccesss Server, PHP, .
NET, Cobol
Conectores
de El sistema debe soportar integracin
Bases de Datos
Nativa con motores de Bases de
Datos tipo Oracle, Sybase, DB2, SQL
Server
nico repositorio
El sistema debe integrar los distintos
usuarios y generar un nico ID (nico
usuario y clave de acceso) para los
distintos accesos a las aplicaciones
y/o servicios
Sincronizacin 7 x El Sistema debe sincronizar y
24 x 365 das
actualizar la informacin con los
distintos repositorios en cada
momento y hora del da sin restriccin
de horario (7 x 24 x 365 das)
Pantallas
de El sistema debe permitir mediante una
administracin
interfaz web el ingreso y
administracin de cada uno de los
componentes que conformen la
Func.
Conectores
Aplicaciones
37
Arq. Sig.
X
X
Eficiencia
Id
Solicitudes del
usuario
Pantallas
de
usuario final (Portal
de autoservicio)
Compatibilidad con
dispositivos
Plataforma abierta
Alta disponibilidad
10 Flexibilidad de la
Plataforma
11
Sincronizacin
conciliacin
repositorios
y
de
12 Sincronizacin
efectiva y eficiente
13 Storage On-line y
esquema
de
backup
14 Esquemas
de
seguridad de la
plataforma: Perfiles
de Acceso
Descripcin
solucin (administracin,
configuracin, parametrizacin de
nuevos servicios).
El sistema debe permitir mediante una
interfaz web el ingreso de los usuarios
finales, para poder auto gestionar
algunos servicios propios de su
identidad (Mecanismos de
autoservicio) como el cambio y
recordacin de clave, actualizacin de
datos generales, etc.).
El sistema debe permitir que el portal
de autogestin pueda ser accedido
desde dispositivos mviles (Celulares,
eBooks, Palms, etc)
La plataforma debe ser abierta en el
sentido que pueda correr en
diferentes Sistemas Operativos y/o
arquitectura de servidores donde se
vaya a desplegar
El sistema debe garantizar esquemas
de alta disponibilidad continuidad
tecnolgica en caso de un incidente
y/o problema
El sistema debe ser fcilmente
adaptable a nuevas plataformas,
aplicaciones y/o servicios que sean
implementados o desplegados
El sistema debe permitir la
sincronizacin y actualizacin de los
mltiples repositorios en un tiempo no
mayor a 5 minutos
El sistema debe soportar un promedio
de 10000 usuarios diarios, con una
proyeccin estimada de un 10% por
cada ao
El sistema debe permitir configurar la
informacin transaccional on-line y
definir cual se almacena mediante un
proceso de backup.
El sistema debe garantizar que los
accesos a las distintas aplicaciones
y/o servicios, sean otorgados segn
los lineamientos de seguridad y
perfilizacin establecidos en las
matrices de perfiles.
38
Func.
Arq. Sig.
X
Mantenimie
nto
X
Fiabilidad
X
Mantenimie
nto
X
Eficiencia
X
Mantenimie
nto
X
X
Seguridad
Id
Solicitudes del
usuario
Descripcin
15 Esquemas
de El sistema debe permitir definir
seguridad de la estndares para el nombramiento de
plataforma:
usuarios y contraseas que sern
Nombramiento
y sincronizadas con los diferentes
contraseas
aplicativos o servicios
16 Esquemas
de El sistema debe contar con
seguridad de la mecanismos de autenticacin de
plataforma:
doble y triple factor (token, huella
Mecanismos
de digital, iris, etc.) para controlar el
autenticacin
acceso a servicios crticos definidos
por la organizacin
17 Esquemas
de El sistema debe permitir generar
seguridad de la informes programados y en tiempo
plataforma:
real para conocer el comportamiento
Informes
de de los usuarios sobre las aplicaciones
auditoria
y servicios habilitados
18 Esquemas
de El sistema debe permitir configurar
seguridad de la alertas sobre eventos extraos
plataforma:
definidos por los administradores de
Correlacin
de seguridad
eventos
19 Conectores
de El sistema debe permitir conectarse
Aplicaciones
con Sistemas ERP y CRM, definidos
por la organizacin
20 Diseo de flujos de El sistema debe permitir el diseo e
trabajo
implementacin de flujos de trabajo
(workflows) a travs de la herramienta
de administracin web
21 Simulacin de
La solucin debe contar con
ambientes
herramientas de diseo y simulacin
de modelos de aprovisionamiento
antes de la implementacin
22 Mdulos del
La solucin debe contar con mdulos
sistema
independientes de administracin
como:
- Administracin de identidad
- Administracin del Acceso
- Administracin de Eventos y
seguridad de informacin
- Gobernabilidad
23 Arquitectura
La solucin debe basar su
basada en eventos arquitectura a travs del manejo de
eventos disparados por las distintas
aplicaciones, repositorios o
plataformas.
39
Func.
Arq. Sig.
X
Seguridad
X
Mantenimie
nto
X
Id
Solicitudes del
usuario
24 Arquitectura
basada en
conciliacin
25 Diseo de reglas
de negocio
26 Arquitectura
basada en Meta
Directorios
27 Pantallas
y
visualizacin de la
plataforma
28 Granularidad sobre
la plataforma
29 Eventos reportados
desde el sistema
de
Gestin
Humana
30 Crecimiento de la
solucin
31 Acceso Web Single

Sign On
32 Mecanismos
Federados
Descripcin
Func.
o por conciliacin de repositorios

El sistema debe permitir definir y
administrar reglas de negocio, roles y
perfiles organizacionales.
La solucin debe contar con Meta
Directorios para el manejo e
integracin de repositorios
La solucin debe ser 100% WebEnabled en todos sus componentes
de administracin
El sistema debe permitir la
configuracin de roles, perfiles y
usuarios de administracin de manera
granular por las distintas opciones de
la solucin
El sistema debe recepcionar de
manera automtica, todos los eventos
o novedades presentadas en el
sistema de administracin de gestin
humana (ingreso de personal,
promociones, vacaciones, retiros,
etc.)
La solucin debe garantizar el
desarrollo o disponibilidad de
conectores nativos adicionales, los
cuales permitan la integracin a
nuevas plataformas, aplicaciones,
sistemas operativos, sistemas de
correo electrnico, mainframes,
lenguajes de programacin o de
scripting, PBX, bases de datos y
otros.
La plataforma debe contar con un
mdulo para la configuracin de
aplicaciones que requieran tener
acceso Web Single Sign-On (WebSSO)
El sistema debe contar con
mecanismos de identidad federada
para conexiones futuras a sistemas
de otras empresas del grupo o
aquellas donde se tenga algn tipo de
participacin o convenio
40
Arq. Sig.
X
X
X
X
X
Seguridad
X
Mantenimie
nto
Id
Solicitudes del
usuario
Descripcin
Func.
33 Diseo de Reportes El sistema debe tener un mdulo para

el diseo, personalizacin y
generacin de reportes de acuerdo a
las necesidades del negocio.
34 Bitcoras
de El sistema debe contar con rastros de
gestin
auditora que permitan identificar los
cambios en los accesos de los
usuarios, sus privilegios y dems
funcionalidades, realizadas por los
Administradores de la plataforma.
35 Multi Idioma
El sistema debe soportar varios
idiomas (ingls, espaol, etc.)
36 Multi Empresa
El sistema debe soportar la
configuracin y parametrizacin de
distintas empresas.
Arq. Sig.
X
X
3.2.2. Stakeholders. Esta seccin presenta una lista de los stakeholders

involucrados en el proyecto. Para cada uno de ellos, se deben listar los concerns
que van a ser tenidos en cuenta en el documento de arquitectura. Esta
informacin se presenta en forma de matriz, donde las filas representan los
stakeholders y las columnas los concerns. Cada celda determina el grado de
relevancia del concern para el stakeholder (Tabla 2). Finalmente, basados en los
concerns relevantes a cada stakeholder se determina los puntos de vista que se le
presentarn.
El standard ANSI/IEEE 1471-2000 propone que al menos los siguientes

stakeholders sean considerados: usuarios, clientes, desarrolladores y
administradores.
Customer
Application software
developers
Infrastructure
software developers
End users
Application system
engineers
Application hardware
engineers
Project manager
Communications
engineers
Chief Engineer/Chief
Scientist
Program
management
System and software
integration and test
engineers
Safety engineers and
certifiers
41
External
organizations
Operational system
managers
Trainers
Maintainers
Auditors
Security engineers
and certifiers
Tabla 4. Listado de los Stakeholders

Stakeholder
Mesa de Ayuda
Equipo de Proyecto
Ingenieros de Riesgo y
Seguridad informtica
Gestin Humana
Gerencia General
CIO Chief Information Officer

Gerente de Tecnologa
Administradores del Sistema

CISO Chief Information Security
Officer Jefe de Seguridad de la
Informacin
Usuarios Finales
Gerente de Proyecto
Asociados u Organizaciones
Externas
Auditores
Desarrolladores
Gerencia Financiera
Descripcin
Equipo de personas encargado de recibir, atender
y/o re direccionar todas las solicitudes de los
usuarios y/o clientes, en un primer nivel de
conocimiento tcnico.
Miembros del equipo del proyecto de Gestin de
Identidades
Grupo de ingenieros responsables por definir,
estandarizar y ejecutar polticas relacionadas con
la seguridad de la informacin.
Grupo de personas responsables por la seleccin,
administracin,
bienestar,
capacitacin
y
entrenamiento de los empleados.
Persona responsable de administrar los elementos
de ingresos y costos de una compaa y de la
definicin de estrategias a corto, mediano y largo
plazo.
Chief information officer (CIO) o Gerente de
Tecnologa es la persona responsable por el
gerenciamiento de las TICs (Tecnologas de
informacin
y Telecomunicaciones)
y
su
alineamiento a las estrategias y objetivos
empresariales.
Ingeniero responsable por la administracin y
configuracin de la plataforma tecnolgica
Ingeniero responsables por la Gestin de la
Seguridad de la Informacin de la compaa
Empleados, contratistas y terceros
Persona responsable por la administracin y
cumplimiento de los objetivos del proyecto
Clientes externos que pueden ser inversionistas,
interesados o entes externos
Grupo de personas encargadas de revisar,
examinar y evaluar los resultados de la gestin
administrativa y financiera de una dependencia o
entidad, con el propsito de informar, recomendar
o dictaminar acerca de ellas.
Equipo de ingenieros responsables de analizar,
disear e implementar aplicaciones informticas.
rea responsable por la administracin financiera
de la compaa.
42
Tabla 5. Stakeholders y Expectativas
Stakeholder
Mesa de Ayuda
Mesa de Ayuda
Gerente General - CIO
Gerencia General, Auditores,

Ingenieros de Seguridad de la
Informacin
Auditores, Ingenieros de
Seguridad de la Informacin
Gestin Humana
Auditores, Ingenieros de
CIO, Auditores, Ingenieros de
CIO
CIO, Ingenieros de Seguridad de

la Informacin
Expectativas
Disminuir los tiempos de soporte requeridos por la
Mesa de Ayuda, Gestin de Clientes y Seguridad
Informtica para la atencin de solicitudes de
creacin, actualizacin, perfilizacin o eliminacin
de usuarios, cambio de contraseas y eventos
relacionados con el servicio
Disminuir en el nmero de requerimientos a la
Mesa de Ayuda relacionados con tareas de
administracin de usuarios y/o perfiles.
Ahorros econmicos a corto y mediano plazo
gracias a la disminucin en el nmero de
solicitudes y soporte requerido con los procesos
de administracin de usuarios (menos personal
necesario, mayor productividad)
Disminuir los riesgo de pago de multas o
sanciones econmicas por incumplimiento de
regulaciones o polticas internas relacionadas con
procesos de administracin de usuarios
Fortalecer las polticas de seguridad asociadas a
los procesos de administracin de usuarios y
aplicaciones
Tener mejores tiempos de respuesta en la
asignacin, retiro o cambio de los accesos a las
aplicaciones o servicios de los Colaboradores
durante el tiempo en la organizacin.
Contar con un mtodo estndar de autenticacin,
autorizacin y auditoria para el control de los
permisos de acceso a los servicios o aplicaciones
Garantizar que con la solucin se pueda dar el
cumplimiento de requerimientos regulatorios
relacionados con la administracin de usuarios en
los sistemas (Circular 052, PCI, etc.).
Aumentar la productividad de las personas
encargadas de las tareas administrativas
relacionadas con el servicio de provisin de
usuarios, puesto que al automatizar este proceso
podrn participan en otras tareas o proyectos
Mejorar la seguridad de los servicios ofrecidos, ya
que se espera contar con puntos centrales para la
definicin y administracin de perfiles y roles de
acceso a los servicios.
43
Stakeholder
Desarrolladores
CIO
Administradores del Sistema

GH
CISO
CIO - CISO
Gerente General - CIO
Expectativas
Ofrecer mecanismos de integracin rpida y
flexible para la administracin y autenticacin de
usuarios, en los nuevos desarrollos
Ofrezca esquemas de licenciamiento flexibles y de
fcil implementacin, especialmente por el
crecimiento en el nmero de usuarios que
demandarn el servicio.
Proceso de instalacin y despliegue rpido y
sencillo.
Permitir que un evento tal como la salida de un
empleado pueda disparar una alarma en tiempo
real que permita modificar los derechos de acceso
en todos los sistemas en cuestin de minutos
Contar con un sistema analizador de eventos de
seguridad que permite la captura, almacenamiento
y explotacin de los registros de operaciones que
ocurren a lo largo de la infraestructura, esto
permite reaccionar ante amenazas y establecer
procesos de remediacin y notificacin ante
potenciales brechas en las polticas de seguridad
implementadas.
En un mediano plazo ayudar al cumplimiento de la
norma ISO 27001, gracias a la implementacin de
una solucin que permita asegurar de manera
clara y coherente el manejo del proceso de
Gestin de seguridad e identidad.
En un futuro la solucin debe permitir el
crecimiento y expansin del aprovisionamiento de
usuarios a todas las comunidades externas como
proveedores, terceros, accionistas y asociados. Se
estima que las comunidades externas puedan
llegar a sumar un 3000% de los usuarios
inicialmente contemplados.
3.2.3. Restricciones Arquitecturales
3.2.3.1. Motivadores de Negocio. Esta seccin busca identificar los motivadores

de negocio de la organizacin. Normalmente estos motivadores son encontrados,
respondiendo a las preguntas:
-
Cmo genera utilidad la organizacin

De dnde provienen las utilidades de la organizacin?
Cules son los elementos claves del negocio?
44
En resumen, un motivador de negocio es una descripcin corta que define clara y

especficamente los resultados deseados de negocio de una organizacin as
como las actividades necesarias para lograrlos. Los motivadores de negocio
deben ser: Especficos, Medibles, Agresivos pero viables, Orientados al resultado
y limitados en el tiempo. El objetivo es hacer una lista priorizada de motivadores
de negocio.
Ayuda para su uso:
- El nombre del motivador: Sigue en general la regla: <verbo> + <elemento a
medir> + <rea de nfasis>
o Ejemplo: Incrementar ventas en las reas metropolitanas
- La descripcin del motivador: Sigue en general la regla: <Retorno esperado
del negocio>+ Mediante+ <Actividad planeada de negocio>
o Ejemplo: Incrementar ventas en 15 % mediante la apertura de nuevas oficinas
La medida: Define en una frase como valorar el impacto en el negocio del

motivador. Se organiza por rangos y se determina para cada rango, la unidad de
medida del impacto. Adicionalmente, se definen los valores mnimos y mximos
para cada rango de impacto.
Tabla 6. Descripcin del motivador de negocio
Nombre del Motivador
Descripcin del Motivador de Negocio
de Negocio
Automatizar los Procesos Automatizar
los
Procesos
administrativos
de
de
administracin
de provisionamiento
de
usuarios
mediante
la
usuarios
implementacin de la plataforma a un 75% sobre los
proceso manuales
Medida del Impacto
Cantidad de nuevos usuarios provisionados en las aplicaciones, respecto a cantidad
de solicitudes recibidas por Mesa de Ayuda en formatos electrnicos durante un
mes.
Rangos
Cota Mnima
Cota Mxima
Ninguno
0
20
Bajo
20
40
Moderado
40
60
Fuerte
60
80
Muy Fuerte
80
Mayor
Definido Por:
CIO
Asociacin del Motivador
Ejecutado Por:
Proveedor
45
con el Negocio
Ubicacin en el
Portafolio del
negocio
Mejorar la oportunidad del servicio

de Negocio
Productividad
de
los Lograr que los nuevos colaboradores tengan acceso de
colaboradores
manera oportuna a las aplicaciones y servicios
previstos, al momento de ingresar en la organizacin
mediante una solucin de aprovisionamiento que pueda
reducir estos tiempos en 85% de lo actual.
Medida del Impacto
Cantidad de nuevos colaboradores provisionados automticamente en las
aplicaciones de acuerdo a la fecha de ingreso del mismo, respecto a reportes de
Mesa de ayuda con incidentes sobre esta falta de accesos
Rangos
Cota Mnima
Cota Mxima
Ninguno
0
20
Bajo
20
40
Moderado
40
60
Fuerte
60
80
Muy Fuerte
80
Mayor
Definido Por:
Gestin Humana
Ejecutado Por:
Proveedor
con el Negocio
Ubicacin en el
Contribuir al Incremento de la
Portafolio del
productividad
negocio
de Negocio
Disminuir tiempos de Disminuir en un 50% los tiempos de soporte requeridos
atencin y soporte
por la Mesa de Ayuda, Gestin de Clientes y Seguridad
Informtica para la atencin de solicitudes relacionadas
con la administracin de usuarios mediante la
implementacin de la plataforma tecnolgica.
Medida del Impacto
Cantidad de casos registrados por Mesa de Ayuda relacionados a temas de
administracin de usuarios en un mes.
Rangos
Cota Mnima
Cota Mxima
Ninguno
500
400
Bajo
400
300
Moderado
300
200
Fuerte
100
50
Muy Fuerte
50
Menor
Definido Por:
CIO
Ejecutado Por:
Proveedor
con el Negocio
Ubicacin en el
Minimizar el nmero de casos que
Portafolio del
afecten el servicio
negocio
46

de Negocio
Generar
ahorros
econmicos
mediante
la
ahorros implementacin de una Plataforma que permita evitar el
crecimiento de personal al disminuir el nmero de
solicitudes y soporte requerido con los procesos de
administracin de usuarios.
Medida del Impacto
Reporte mensual sobre cantidad de casos registrados por Mesa de Ayuda en temas
de administracin de usuarios, respecto a los meses y aos pasados.
Rangos
Cota Mnima
Cota Mxima
Ninguno
500
400
Bajo
400
300
Moderado
300
200
Fuerte
100
50
Muy Fuerte
50
Menor
Definido Por:
Gerencia General
Ejecutado Por:
Proveedor
con el Negocio
Ubicacin en el
Generacin de ahorros mediante
Portafolio del
la optimizacin de procesos
negocio
Generar
econmicos

de Negocio
Cumplimiento Normativo y Mejorar los procesos relacionados a la Gestin de
Regulatorio
identidad y el Acceso mediante la implementacin de
solucin tecnolgica, de manera que facilite
cumplimiento oportuno de auditoras, regulaciones
normatividad vigente.
la
la
el
y
Medida del Impacto

Numero de no conformidades reportadas en los procesos de auditoria/revisora
externa o interna relacionada el tema de seguridad de la identidad.
Rangos
Cota Mnima
Cota Mxima
Ninguno
5
En adelante
Bajo
4
3
Moderado
3
2
Fuerte
2
1
Muy Fuerte
0
Definido Por:
Gerencia General - CISO
Ejecutado Por:
Proveedor
con el Negocio
Ubicacin en el
Cumplimiento regulatorio
Portafolio del
negocio
47

de Negocio
Disminucin del riesgo
Disminucin del riesgo de pago de multas o sanciones

econmicas por incumplimiento de regulaciones o
polticas internas relacionadas con procesos de
administracin de usuarios, mediante la implementacin
de la solucin tecnolgica
Medida del Impacto
Numero de no conformidades reportadas en los procesos de auditoria/revisora
externa o interna relacionada el tema de seguridad de la identidad.
Rangos
Cota Mnima
Cota Mxima
Ninguno
5
En adelante
Bajo
4
3
Moderado
3
2
Fuerte
2
1
Muy Fuerte
0
Definido Por:
Gerencia General, CISO,
Auditores
con el Negocio
Ejecutado Por:
Proveedor
Ubicacin en el
Portafolio del
negocio
de Negocio
Visibilidad
sobre
los Visibilidad sobre el 100% de los eventos de seguridad
riesgos y eventos de de la informacin relacionados con la administracin de
seguridad
usuarios, mediante la implementacin de la solucin
tecnolgica
Medida del Impacto
Cantidad de eventos detectados y reportados por los Ingenieros de seguridad
informtica, relacionados con ataques, fallas o posibles riesgos relacionados a la
administracin de usuarios en un mes.
Rangos
Ninguno
Bajo
Moderado
Fuerte
Muy Fuerte
con el Negocio
Cota Mnima
Cota Mxima
0
0
1
4
4
8
8
12
12
Mayor
Definido Por:
CISO, Auditores
Ejecutado Por:
Proveedor
Ubicacin en el
Portafolio del
negocio
48
3.2.4. Restricciones de Tecnologa. Esta seccin describe las restricciones de

tecnologa impuestas por la organizacin y/o el dominio del problema
Tabla 7. Restricciones de tecnologa
ID Restriccin
1
Descripcin:
Establecida por:
Alternativas:
Observaciones:
ID Restriccin
2
Descripcin:
Establecida por:
Alternativas:
Observaciones:
ID Restriccin
3
Descripcin:
Establecida por:
Alternativas:
Observaciones:
ID Restriccin
4
Descripcin:
Establecida por:
Alternativas:
Observaciones:
Tipo:
Nombre
Integracin Active Directory
Tecnologa (x )
Negocio ( )
El sistema debe integrarse con repositorio Active Directory de la
plataforma Microsoft
Gerencia de Tecnologa
Ninguna
Este se ha definido como el repositorio por defecto para el
holding empresarial
Tipo:
Nombre
Integracin LDAP
Tecnologa (x)
Negocio ( )
El sistema debe integrarse con repositorios abiertos tipo LDAP
Algn otro repositorio abierto donde se pueda migrar la
informacin actualmente almacenada en el LDAP
Actualmente es el repositorio establecido para todos los usuarios
externos (asociados, comunidades, afiliados, etc.)
Tipo:
Nombre
Integracin Plataforma de Correo
Tecnologa (x)
Negocio ( )
El sistema debe soportar integracin Nativa con plataformas de
Correo tipo Exchange Server de Microsoft y Linux tipo Qmail
Ninguna
Actualmente son las dos plataformas de correo utilizadas por el
Grupo Empresarial.
Tipo:
Nombre
Integracin Sistema de Recurso
Tecnologa (x )
Humanos
Negocio ( )
La plataforma debe permitir integrarse con el sistema de
Recursos Humanos y el repositorio de usuarios definido para
contratistas y/o terceros.
Gerencia de Gestin Humana
Ninguna
Desde el sistema principal de Gestin Humana, se deben
disparar todos los eventos relacionados con los empleados,
temporales y contratistas.
49
3.2.5. Restricciones de Negocio. Esta seccin describe las restricciones de

negocio impuestas por la organizacin y/o el dominio del problema
ID Restriccin
1
Descripcin:
Establecida por:
Alternativas:
Observaciones:
ID Restriccin
2
Descripcin:
Establecida por:
Alternativas:
Observaciones:
ID Restriccin
3
Descripcin:
Establecida por:
Alternativas:
Observaciones:
Tipo:
Nombre
Tecnologa ( )
Modalidad Servicio o Compra directa
Negocio (x)
El proponente debe presentar la propuesta de solucin
considerando una alternativa en modalidad de servicio
(infraestructura, servidor, hardware y software como SaaS) o en
modalidad de compra directa donde se adquirir cada
componente de la plataforma.
Gerencia Financiera
Ninguna, se debe ofertar bajo estos dos modelos
Tipo:
Nombre
Tecnologa ( )
Costos y valores estimados de la solucin
Negocio (x )
Para el proyecto el Grupo Empresarial cuenta con un
presupuesto aprobado de US$1000.000 los cuales deben ser
ejecutados a tres aos, para una fase inicial donde se
contemplan 10.000 empleados directos e indirectos.
Gerencia General
Ninguna
Tipo:
Nombre
Tecnologa ( )
Etapas de implementacin
Negocio (x )
La solucin y presupuesto aprobado sern ejecutado por fases,
es decir, la fase inicial solo contemplara aplicaciones o servicios
compartidos por todo el Grupo Empresarial (ejemplo: Correo
Electrnico, Directorio Activo, etc.) y algunas otras del Core
propio de cada negocio. En adelante, el esquema y etapas
subsiguientes sern considerados como fases adicionales (sub
proyectos) donde cada empresa del grupo analizara y
presupuestara el plan de expansin para el cubrimiento de sus
aplicaciones o servicios que cada una defina.
Gerente de Proyecto
Ninguna
50
3.2.6. Atributos de Calidad

Tabla 8. rbol de utilidad
Atributo de Calidad:
Tiempo
ID
Tiempos de
E1
sincronizacin
Recuperabilidad
ID
Esquemas de
F1
alta
disponibilidad
Flexibilidad
ID
Plataforma
M1
abierta y
adaptable
Integracin con
M2
variadas
plataformas
Escalabilidad
Crecimiento de
M3
usuarios
Crecimiento de
servicios o
aplicaciones
Disponibilidad de
conectores
nativos
M4
M5
Integridad
ID
Integralidad de
S1
las identidades
Confidencialidad
Perfiles de
acceso
S2
Llaves y tokens
S3
Eficiencia
Descripcin
El sistema debe garantizar la sincronizacin y
actualizacin de los mltiples repositorios en un tiempo
no mayor a 5 minutos, bajo una operacin normal del
servicio los 365 das del ao.
Fiabilidad
Descripcin
El sistema estar en capacidad de responder las
peticiones de acceso de los usuarios y distintas
aplicaciones en un 95% ante una falla o incidente sobre
la plataforma principal y en un periodo no superior a 10
minutos.
Mantenimiento
Descripcin
La plataforma debe asegurar su implementacin en
distintos sistemas operativos, arquitecturas de servidores
y motores de bases de datos
El sistema debe garantizar la integracin y adaptabilidad
a nuevas aplicaciones, appliance y en general nuevos
servicios desplegados por el negocio.
El sistema debe garantizar el crecimiento estimado de un
10% en usuarios por ao (10.000 Iniciales:: 1000
adicionales por ao)
El sistema debe garantizar el crecimiento estimado de 10
aplicaciones por ao las cuales ingresaran a la
plataforma centralizada de IAM.
El sistema debe garantizar el desarrollo de conectores
nativos, los cuales permitan la inclusin y despliegue de
nuevos servicios de manera oportuna y fcilmente
implementable
Seguridad
Descripcin
El sistema debe asegurar la integralidad de cada uno de
los repositorios interconectados, de manera que el 100%
de los usuarios parametrizados cuenten con los accesos
y atributos adecuados.
El sistema garantizara el acceso adecuado del 100% de
los usuarios autorizados, con los servicios y opciones
que se hayan definido en los perfiles de acceso.
El sistema permitir la configuracin de usuarios VIP que
51
de acceso
Granularidad de
Accesos
Auditoria
Reportes y
cumplimiento
Registro Logs y
transacciones
requieran autenticacin con token, huella digital, iris,

entre otros.
El sistema debe estar diseado por mdulos y
componentes separados, lo cual permitan la
configuracin de accesos a los usuarios finales de
manera granular
S4
S5
El sistema debe tener la capacidad de disear y generar

reportes, segn la normatividad vigente o propia de cada
negocio. Luego se espera que cuente con reportes
predefinidos para SOX, Circular 052, PCI, entre otros.
El sistema debe permitir configurar bitcoras de
seguimiento a cualquier nivel de usuario, en particular
para los administradores de la plataforma de forma que
permita evidenciar quien, cuando, como y donde realizo
un cambio.
S6
Tabla 9. Escenarios de Calidad

Escenario de
Calidad #
Atributo de
Calidad
E1
Stakeholder:
Administrador del sistema
Eficiencia
Fuente
El sistema debe garantizar la sincronizacin y actualizacin de

los distintos repositorios a su directorio central, con el fin de
garantizar una correcta operacin de todos sus componentes en
un tiempo adecuado
Sistema
Estmulo
Proceso de actualizacin y/o conciliacin
Artefacto
Mdulo de administracin de identidades y administracin del

acceso
Ambiente
Operacin Normal
Justificacin
Respuesta
Medida de la
Respuesta
El sistema informa al administrador de la plataforma, que el

proceso de sincronizacin se ejecut con xito o con errores,
generando adems un log sobre el reporte de la actividad.
La sincronizacin de aproximadamente 10.000 cuentas, debe
ejecutarse en un tiempo no superior a los 5 minutos.
52
Escenario de
F1
Stakeholder:
CISO
Calidad #
Atributo de Calidad Fiabilidad
El servicio debe contar con un esquema de alta disponibilidad,
que ante un incidente, problema o riesgo materializado pueda
Justificacin
asegurar la continuidad tecnolgica de la operacin de la
plataforma
Fuente
Incidente o problema que afecte la plataforma
Estmulo
Activar el sistema de alta disponibilidad y/o contingencia
Artefacto
Sistema
Ambiente
Operacin Normal
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
El sistema levanta o inicia de manera automtica la

contingencia de la plataforma
El tiempo en el cual el sistema restablece operacin a un
porcentaje mnimo del 95% de su operacin normal, no es
superior a 10 minutos
M1
Stakeholder:
CIO
Mantenimiento
Fuente
El sistema debe ser altamente adaptable en su arquitectura y

componentes, puesto que las distintas empresas del grupo
continuamente innovan cambiando o adquiriendo variedad de
plataformas o arquitecturas de ltima tecnologa
Nuevos servicios de las Empresas del grupo
Estmulo
Desarrollo y adaptabilidad de nuevos componentes
Artefacto
Sistema
Ambiente
Operacin Normal
Respuesta
La solucin permite la integracin de la nueva arquitectura

tecnolgica, sin afectar los componentes ya existentes
Medida de la
Respuesta
Implementacin adecuada del nuevo componente o adaptador

desarrollado
Justificacin
53
Escenario de
Calidad #
Atributo de
Calidad
M2
Stakeholder:
CIO
Mantenimiento
Fuente

adquieren o desarrollan nuevas aplicaciones, appliance y en
general nuevos servicios.
Estmulo
Desarrollo y adaptabilidad de nuevos componentes
Artefacto
Sistema
Ambiente
Operacin Normal
Justificacin
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
La solucin permite la integracin del nueva servicio, sin afectar

los componentes ya existentes
Implementacin adecuada del nuevo servicio o conector
desarrollado
M3
Stakeholder:
CIO
Mantenimiento
Fuente
El sistema y su infraestructura, debe estar diseado de manera

que sea capaz de soportar un crecimiento estimado por ao de
1000 usuarios (10%) para todo el Grupo Empresarial
Nuevos usuarios
Estmulo
Incremento en el nmero de Identidades Digitales
Artefacto

acceso
Ambiente
Operacin Normal
Respuesta
La solucin permite el ingreso y registro de nuevos usuarios,

sin afectar el desempeo de la aplicacin
Medida de la
Respuesta
El nuevo usuario se registra y sincroniza en los mltiples

repositorios en un tiempo no mayor 2 Minutos
Justificacin
54
Escenario de
Calidad #
Atributo de
Calidad
Justificacin
Fuente
Estmulo
Artefacto
Ambiente
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
M4
Stakeholder:
CIO
Mantenimiento
El sistema y su infraestructura, debe estar diseado de manera
que soporte un crecimiento estimado de 10 aplicaciones o
nuevos servicios por ao para todo el Grupo Empresarial
Nuevas aplicaciones o servicios a desplegar
Incremento en el nmero de aplicaciones soportadas por la
plataforma
acceso
Operacin Normal
La solucin permite la adicin, integracin y sincronizacin de
los nuevos repositorios de acceso de las aplicaciones
desplegadas sin afectar el desempeo de la solucin.
Cantidad de nuevas aplicaciones desplegada efectivamente
sobre la plataforma
M5
Stakeholder:
Administrador del Sistema
Mantenimiento
Fuente

adquieren continuamente una variedad de plataformas o
arquitecturas de ltima tecnologa
Estmulo
Desarrollo y adaptabilidad NATIVA de nuevos componentes
Artefacto
Sistema
Ambiente
Operacin Normal
Respuesta
La solucin permite la adaptabilidad NATIVA de los nuevos

servicios, sin afectar los componentes ya existentes
Medida de la
Respuesta
Implementacin adecuada del nuevo servicio en un tiempo no

superior a dos das
Justificacin
55
Escenario de
Calidad #
Atributo de
Calidad
S1
Stakeholder:
CIO - CISO
Seguridad
Fuente
El sistema al contar con una cantidad importante de

aplicaciones y por ende repositorios de autenticacin (11 en
una etapa inicial) es vital para el Negocio, asegurar que todos
las Identidades Digitales se encuentren totalmente
sincronizadas en cada uno de estos repositorios
Sistema
Estmulo
Proceso de autenticacin y/o conciliacin
Artefacto

acceso
Ambiente
Operacin Normal
Justificacin
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
El sistema informa al administrador de la plataforma, que el

proceso de sincronizacin se ejecut con xito o con errores
indicando cuales identidades no fueron exitosamente
sincronizadas y el detalle del fallo en el proceso
Sincronizacin e integralidad de la informacin en un 100% de
todas las identidades digitales.
S2
Stakeholder:
CIO - CISO
Seguridad
Fuente
El sistema debe garantizar el acceso adecuado de cada una de

las identidades, segn los perfiles, roles y accesos
especificados para cada uno los usuarios y en cada una de las
aplicaciones o servicios que se encuentre matriculados.
Usuario autenticndose
Estmulo
Proceso de autenticacin y/o conciliacin
Artefacto

acceso
Ambiente
Operacin Normal
Respuesta
El sistema permite el ingreso correcto del usuario, segn los

accesos y perfiles parametrizados
Medida de la
Respuesta
El 100% de los usuarios y sus respectivas identidades se

encuentran correctamente autenticadas
Justificacin
56
Escenario de
Calidad #
Atributo de
Calidad
S3
Stakeholder:
CIO - CISO
Seguridad
Fuente
Teniendo en cuenta que el Grupo Empresarial cuenta con

usuarios definidos como VIP (Gerentes, Directores, Oficiales
de Cumplimiento, etc.) se hace necesario contar con
mecanismos adicionales de autenticacin(tokens) sobre los
servicios accedidos
Usuario VIP autenticndose
Estmulo
Proceso de autenticacin
Artefacto

acceso
Ambiente
Operacin Normal
Justificacin
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
Justificacin
Fuente
Estmulo
El sistema permite el ingreso correcto del usuario VIP,

autenticando con los tokens o llaves adicionales establecidas
para el usuario.
El 100% de los usuarios y sus respectivas identidades se
encuentran correctamente autenticadas
S4
Stakeholder:
CIO - CISO
Seguridad
Teniendo en cuenta que el Grupo Empresarial por exigencia,
normatividad o decisiones de cada negocio, requieren perfilizar
opciones y/o funciones propias de la plataforma IAM, se hace
necesario poder dar granularidad de los accesos hasta en un
mnimo detalle de la plataforma
Parametrizacin de la plataforma
Configuracin de usuarios, grupos y opciones propios del
sistema IAM
Artefacto
Mdulo de administracin del acceso
Ambiente
Operacin Normal
Respuesta
El sistema permite configurar un usuario final o grupo de

usuarios, con la granularidad esperada
Medida de la
Respuesta
El 100% de los usuarios finales, cuenta con los accesos

definidos para el perfil
57
Escenario de
Calidad #
Atributo de
Calidad
S5
Stakeholder:
Gerencia General CIO

CISO- Auditor
Seguridad
Fuente
Cada una de las empresas que conforman el Holding

Empresarial pueden o deben cumplir ciertos requerimientos de
ley y/o normatividad vigente , luego se hace necesario contar
con reportes prediseados para SOX, Circular 052, PCI, entre
otros; adems contar con herramientas de diseo para usuario
final que permitan la actualizacin y configuracin de nuevos
reportes
Normatividad, regulacin y requerimientos de ley
Estmulo
Generacin y configuracin de reportes
Artefacto
Mdulo administracin de eventos y seguridad de informacin
Ambiente
Operacin Normal
Justificacin
Respuesta
Medida de la
Respuesta
Escenario de
Calidad #
Atributo de
Calidad
El sistema permite la configurar nuevos reportes y generar los

definidos bajo la normatividad aplicada
- Implementacin adecuada del nuevo reporte en un tiempo no
superior a dos das
- 100% de los Reportes prediseados ejecutados segn la
normatividad vigente
S6
Stakeholder:
CIO CISO - Auditor
Seguridad
Fuente
Por normatividad y cumplimiento, es necesario que

empresas puedan consultar los LOGS generados en
transacciones realizadas por los administradores de
plataforma, para poder identificar y hacer trazabilidad sobre
cambios que realicen. Esta informacin debe consultarse
lnea y a travs de un sitio web
Usuario Autorizado Solicita Bitcora
Estmulo
Generacin de reportes
Artefacto
Mdulo administracin de eventos y seguridad de informacin
Ambiente
Operacin Normal
Respuesta
El sistema genera reporte segn los criterios y filtros

establecidos
Justificacin
Medida de la
Respuesta
100% de los reportes generados con xito
58
las
las
la
los
en
3.3. MODELO PROPUESTO PARA LA EVALUACIN DEL SISTEMA
Partiendo del resultado del ejercicio anterior, en cual se considera como insumo
principal el resultado de la construccin del documento que describe la
arquitectura del sistema, SAD. Tambin se tendr en cuenta para la construccin
del modelo una serie de variables que se identificaron dentro del ejercicio, las
cuales se pueden definir como requerimientos propios del proyecto y del negocio,
que para el caso de estudio se tendr en cuenta temas como: Fases de ejecucin
del proyecto, tiempos de entrega, presupuesto, tipo de oferta (servicios, compra
directa), esquemas de implementacin y soporte, adems de algunas otras
restricciones propias del negocio.
La estrategia de construccin del modelo de evaluacin del software de seguridad,

permite caracterizar las distintas plataformas evaluadas, mediante la agrupacin
de siete categoras las cuales se clasifican en: Generales RFP, Empresa,
Funcionales, Tcnicos, Descripcin del Software, Implementacin del proyecto y
Restricciones del Negocio, lo que finalmente permite evaluar la propuesta
mediante la valoracin
un total de ciento siete preguntas definidas y
caracterizadas dentro del modelo, las cules de manera resumida se
esquematizan en la tabla 10.
59
Tabla 10. Caracterizacin del Modelo de Evaluacin, Arquitectura definida

para el sistema de Gestin de la Identidad
MODELO DE EVALUACIN DE SOLUCIN TECNOLGICA PARA Numero de
Preguntas
LA GESTIN DE LA IDENTIDAD
GENERALES
ECONMICA
GENERALES RFP
EMPRESA
FUNCIONALES
Generales
Modelo de Operacin
Econmico
Administracin de Acceso
Administracin de Identidades
Administracin de Eventos y Seguridad de
Informacin
Generales
Generales
TCNICOS
Restricciones de Tecnologa
QAs
Telecomunicaciones e Infraestructura
Administracin de Usuarios
Seguridad
Licenciamiento
Soporte y Garanta
Administracin del aplicativo
Normatividad
DESCRIPCIN DEL SOFTWARE

IMPLEMENTACIN PROYECTO
Restricciones del Negocio
Total
5
1
3
3
5
3
5
Tipo de Pregunta
Texto
Texto
Texto
Texto
Texto
Seleccin Mltiple
Seleccin Mltiple
4 Seleccin Mltiple
4 Seleccin Mltiple
9
4
13
24
3
3
3
3
2
2
3
Seleccin Mltiple
Seleccin Mltiple
Seleccin Mltiple
Texto / Seleccin Mltiple
Seleccin Mltiple
Texto
Texto
Texto
Texto
Texto
Texto
1 Texto
4 Seleccin Mltiple
107
3.3.1 Criterios de calificacin. Ahora bien, a partir de la identificacin y

definicin de estos requerimientos que parten de la definicin del documento de
arquitectura y de las variables propias del Negocio y del proyecto, se platea un
esquema de calificacin sencillo y de fcil manejo el cual permita realizar una
valoracin y calificacin, partiendo de la definicin de cuatro variables cualitativas,
las cuales tienen su homologacin a un valor cuantificable que permita realizar
una calificacin de cada una de las preguntas y que finalmente determine por cada
uno de los agrupadores definidos, la sumatoria de la calificacin dada por el panel
de expertos, a la respuesta dada por los proveedores de la solucin. La escala de
calificacin se encuentra representada en la siguiente tabla:
60
Tabla 11. Esquema de Calificacin del Modelo de Evaluacin

CALIFICACIN Cualitativa
Cumple Totalmente
Cumple Parcialmente
No Cumple, pero si pueden hacerlo en el tiempo requerido
No Cumple, no pueden hacerlo en el tiempo requerido
Puntaje
5
3
2
1
3.3.2. Diseo y construccin de Matriz de evaluacin. Para el diseo de la

matriz de evaluacin del software de Seguridad Informtica, se seleccion la
herramienta Excel de Microsoft, ya que permitiran de una manera rpida y
ordenada, disear y esquematizar todas aquellas variables importantes y
relevantes del proceso de evaluacin de la solucin. La matriz permite que los
proponentes o proveedores del software sean calificados bajo la misma, la cual
adems podra en un momento dado ser exigible o hacer parte integral de los
trminos de referencia que se hayan desarrollado, tipo RFP.
El archivo desarrollado est compuesto de las siguientes hojas que permiten al

panel de expertos ir a los detalles requeridos para responder a cada una de las
preguntas planteadas:
Hoja denominada Resumen, donde se esquematizan el total de preguntas tal
como se observ en la Tabla 10. Caracterizacin del Modelo de Evaluacin,
Arquitectura definida para el sistema de Gestin de la Identidad
Hoja denominada RAS, donde se esquematizan y clasifican los atributos y
requerimientos del sistema los cuales fueron identificados en el documento de
arquitectura, SAD. Cada uno de los requerimientos se clasifico dentro del modelo
teniendo en cuenta los siguientes tipos de caractersticas:
Funcionales: Requerimiento considerado de carcter funcional.
Modulo Funcional: Modulo al cual se relaciona el requerimiento funcional.
Arquitectnicamente Significantes: Requerimientos (no funcionales) que son
considerados tcnicamente vitales en la caracterizacin del sistema.
Atributo de Calidad: Requerimientos arquitectnicamente significativos, que
consideran un escenario de calidad para su satisfaccin.
Mapeo QAs (Escenario de Calidad): Relacin de requerimiento con los
escenarios de calidad descritos en la hoja Escenarios de QAs.
Estos requerimientos y su clasificacin se representan en la siguiente tabla:
61
Tabla 12. Identificacin y Clasificacin de Requerimientos RAS
Id
Descripcin
El
sistema
debe
soportar conectores a
aplicaciones
desarrolladas In house
en JAVA, Proccesss
Server, PHP, . NET,
Cobol
El
sistema
debe
soportar
integracin
Nativa con motores de
Bases de Datos tipo
Oracle, Sybase, DB2,
SQL Server
El
sistema
debe
integrar los distintos
usuarios y generar un
nico ID (nico usuario
y clave de acceso)
para
los
distintos
accesos
a
las
aplicaciones
y/o
servicios
El
Sistema
debe
sincronizar y actualizar
la informacin con los
distintos repositorios en
cada momento y hora
del da sin restriccin
de horario (7 x 24 x
365 das)
El
sistema
debe
permitir mediante una
interfaz web el ingreso
y administracin de
cada uno de los
componentes
que
conformen la solucin
(administracin,
configuracin,
parametrizacin
de
nuevos servicios).
El
sistema
debe
permitir mediante una
interfaz web el ingreso
de los usuarios finales,
para
poder
auto
gestionar
algunos
Funcionales
Modulo
Funcional
Arq.
Significantes
Atributo de
Calidad
Map
eo
QAs
Eficiencia
E1 S1
Administracin
de Acceso
Administracin
de
Identidades
Administracin
de
Identidades
62
Id
Descripcin
Funcionales
Modulo
Funcional
servicios propios de su
identidad (Mecanismos
de autoservicio) como
el
cambio
y
recordacin de clave,
actualizacin de datos
generales, etc.).
El
sistema
debe
permitir que el portal de
autogestin pueda ser
7 accedido
desde
dispositivos
mviles
(Celulares,
eBooks,
Palms, etc.)
La plataforma debe ser
abierta en el sentido
que pueda correr en
diferentes
Sistemas
8
Operativos
y/o
arquitectura
de
servidores donde se
vaya a desplegar
El
sistema
debe
garantizar esquemas
de alta disponibilidad (
9
continuidad tecnolgica
en
caso
de
un
incidente y/o problema
El sistema debe ser
fcilmente adaptable a
nuevas
plataformas,
10 aplicaciones
y/o
servicios que sean
implementados
o
desplegados
El
sistema
debe
permitir
la
sincronizacin
y
11 actualizacin de los
mltiples repositorios
en un tiempo no mayor
a 5 minutos
El
sistema
debe
soportar un promedio
de 10000 usuarios
12 diarios,
con
una
proyeccin
estimada
de un 10% por cada
ao
Atributo de
Calidad
Map
eo
QAs
Mantenimiento
M1
Fiabilidad
F1
Mantenimiento
M2
Eficiencia
E1
Mantenimiento
M3
Arq.
Significantes
63
Id
13
14
15
16
17
18
Descripcin
El
sistema
debe
permitir configurar la
informacin
transaccional on-line y
definir
cual
se
almacena mediante un
proceso de backup
El
sistema
debe
garantizar
que
los
accesos a las distintas
aplicaciones
y/o
servicios,
sean
otorgados segn los
lineamientos
de
seguridad
y
perfilizacin
establecidos en las
matrices de perfiles.
El
sistema
debe
permitir
definir
estndares para el
nombramiento
de
usuarios y contraseas
que
sern
sincronizadas con los
diferentes aplicativos o
servicios
El sistema debe contar
con mecanismos de
autenticacin de doble
y triple factor (token,
huella digital, iris, etc.)
para
controlar
el
acceso a servicios
crticos definidos por la
organizacin
El
sistema
debe
permitir
generar
informes programados
y en tiempo real para
conocer
el
comportamiento de los
usuarios sobre las
aplicaciones y servicios
habilitados
El
sistema
debe
permitir
configurar
alertas sobre eventos
extraos definidos por
los administradores de
Funcionales
Modulo
Funcional
Atributo de
Calidad
Map
eo
QAs
Seguridad
S2
Seguridad
S3
Arq.
Significantes
Administracin
de Acceso
Administracin
de Eventos y
Seguridad de
Informacin
Administracin
de Eventos y
Seguridad de
Informacin
64
Id
Descripcin
Funcionales
Modulo
Funcional
Arq.
Significantes
Atributo de
Calidad
Map
eo
QAs
Mantenimiento
M5
seguridad
19
20
21
22
23
24
25
El
sistema
debe
permitir conectarse con
Sistemas ERP y CRM,
definidos
por
la
organizacin
El sistema debe
permitir el diseo e
implementacin de
flujos de trabajo
(workflows) a travs de
la herramienta de
administracin web
La solucin debe
contar con
herramientas de diseo
y simulacin de
modelos de
aprovisionamiento
antes de la
implementacin
La solucin debe
contar con mdulos
independientes de
administracin como:
- Administracin de
identidad
- Administracin del
Acceso
- Administracin de
Eventos y seguridad de
la Informacin
- Gobernabilidad
La solucin debe basar
su arquitectura a travs
del manejo de eventos
disparados por las
distintas aplicaciones,
repositorios
o
plataformas.
o por conciliacin de
repositorios
El
sistema
debe
permitir
definir
y
administrar reglas de
negocio, roles y perfiles
Administracin
de
Identidades
Administracin
de
Identidades
Generales
Administracin
de
Identidades
65
Id
Descripcin
Funcionales
Modulo
Funcional
Arq.
Significantes
Atributo de
Calidad
Map
eo
QAs
Seguridad
S4
Mantenimiento
M5
organizacionales.
26
27
28
29
30
31
La
solucin
debe
contar
con
Meta
Directorios para el
manejo e integracin
de repositorios
La solucin debe ser
100% Web-Enabled en
todos
sus
componentes
de
administracin
El
sistema
debe
permitir
la
configuracin de roles,
perfiles y usuarios de
administracin
de
manera granular por
las distintas opciones
de la solucin
El
sistema
debe
recepcionar
de
manera
automtica,
todos los eventos o
novedades
presentadas
en
el
sistema
de
administracin
de
gestin
humana
(ingreso de personal,
promociones,
vacaciones,
retiros,
etc.)
La
solucin
debe
garantizar el desarrollo
o disponibilidad de
conectores
nativos
adicionales, los cuales
permitan la integracin
a nuevas plataformas,
aplicaciones, sistemas
operativos, sistemas de
correo
electrnico,
mainframes, lenguajes
de programacin o de
scripting, PBX, bases
de datos y otros.
La plataforma debe
contar con un mdulo
para la configuracin
Generales
66
Id
32
33
34
35
36
Descripcin
de aplicaciones que
requieran tener acceso
Web Single Sign-On
(Web-SSO)
con mecanismos de
identidad
federada
para
conexiones
futuras a sistemas de
otras empresas del
grupo o aquellas donde
se tenga algn tipo de
participacin
o
convenio
El sistema debe tener
un mdulo para el
diseo, personalizacin
y
generacin
de
reportes de acuerdo a
las necesidades del
negocio.
con rastros de auditora
que permitan identificar
los cambios en los
accesos
de
los
usuarios,
sus
privilegios y dems
funcionalidades,
realizadas
por
los
Administradores de la
plataforma.
El
sistema
debe
soportar varios idiomas
(ingls, espaol, etc.)
El
sistema
debe
soportar
la
configuracin
y
parametrizacin
de
distintas empresas.
Funcionales
Modulo
Funcional
Administracin
de Acceso
Administracin
de Eventos y
Seguridad de
Informacin
Administracin
de Eventos y
Seguridad de
Informacin
Generales
Generales
Arq.
Significantes
Atributo de
Calidad
Map
eo
QAs
Hoja denominada Escenarios de QAs, donde se estructuraron todos aquellos

escenarios y atributos de calidad identificados en el captulo del documento de
arquitectura, SAD. Estos escenarios se esquematizan de una manera objetiva y
resumida, para que los proveedores y panel de expertos, puedan tener claridad
sobre el tipo de calidad esperada y con la cual ser valorada la solucin
tecnolgica. Los mismos se pueden observar en la tabla a continuacin mostrada:
67
Tabla 13. Escenarios de Calidad - QAs

Stake
Atributo
holder
de Calidad
Administra Eficiencia
dor del
sistema
CISO
Fiabilidad
CIO
Mantenimi
ento
CIO
Mantenimi
ento
Ambie
nte
Operaci
n
Normal
Fuente
Estmulo
Artefacto
El sistema debe
garantizar la
sincronizacin y
actualizacin de
los distintos
repositorios a su
directorio
central, con el
fin de garantizar
una correcta
operacin de
todos sus
componentes en
un tiempo
adecuado
Sistema
Proceso
de
actualizaci
n y/o
conciliaci
n
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
El servicio debe Incidente

contar con un
o
esquema de alta problema
disponibilidad,
que
que ante un
afecte la
incidente,
plataform
problema o
a
riesgo
materializado
pueda asegurar
la continuidad
tecnolgica de
la operacin de
la plataforma
El sistema debe Nuevos
ser altamente
servicios
adaptable en su
de las
arquitectura y
Empresa
componentes,
s del
puesto que las
grupo
distintas
empresas del
grupo
continuamente
innovan
cambiando o
adquiriendo
variedad de
plataformas o
arquitecturas de
ltima
tecnologa
El sistema debe Nuevos
ser altamente
servicios
adaptable en su
de las
arquitectura y
Empresa
componentes,
s del
puesto que las
grupo
distintas
empresas del
grupo adquieren
o desarrollan
nuevas
aplicaciones,
Activar el
sistema
de alta
disponibili
dad y/o
contingen
cia
Sistema
Desarrollo
y
adaptabili
dad de
nuevos
componen
tes
Sistema
Operaci
n
Normal
La solucin
permite la
integracin
de la nueva
arquitectura
tecnolgica,
sin afectar
los
component
es ya
existentes
Implementaci
n adecuada
del nuevo
componente
o adaptador
desarrollado
Desarrollo
y
adaptabili
dad de
nuevos
componen
tes
Sistema
Operaci
n
Normal
La solucin
permite la
integracin
del nueva
servicio, sin
afectar los
component
es ya
existentes
Implementaci
n adecuada
del nuevo
servicio o
conector
desarrollado
68
Respuesta
Medida de la
Respuesta
La
sincronizaci
n de
aproximadam
ente 10.000
cuentas,
debe
ejecutarse en
un tiempo no
superior a los
5 minutos.
Justificacin
El sistema
informa al
administrad
or de la
plataforma,
que el
proceso de
sincronizaci
n se
ejecut con
xito o con
errores,
generando
adems un
log sobre el
reporte de
la actividad.
Operaci El sistema
n
levanta o
Normal
inicia de
manera
automtica
la
contingenci
a de la
plataforma
El tiempo en
el cual el
sistema
restablece
operacin a
un porcentaje
mnimo del
95% de su
operacin
normal, no es
superior a 10
minutos
Stake
holder
Atributo
de Calidad
Justificacin
Ambie
nte
Fuente
Estmulo
Artefacto
Nuevos
usuarios
Increment
o en el
nmero de
Identidade
s Digitales
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
Operaci
n
Normal
Nuevas
aplicacio
nes o
servicios
a
desplega
r
Increment
o en el
nmero de
aplicacion
es
soportada
s por la
plataforma
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
Operaci
n
Normal
Nuevos
servicios
de las
Empresa
s del
grupo
Desarrollo
y
adaptabili
dad
NATIVA
de nuevos
componen
tes
Sistema
Respuesta
Medida de la
Respuesta
appliance y en
general nuevos
servicios.
CIO
Mantenimi
ento
CIO
Mantenimi
ento
Administra
dor del
Sistema
Mantenimi
ento
El sistema y su
infraestructura,
debe estar
diseado de
manera que sea
capaz de
soportar un
crecimiento
estimado por
ao de 1000
usuarios (10%)
para todo el
Grupo
Empresarial
El sistema y su
infraestructura,
debe estar
diseado de
manera que
soporte un
crecimiento
estimado de 10
aplicaciones o
nuevos servicios
por ao para
todo el Grupo
Empresarial
El sistema debe
ser altamente
adaptable en su
arquitectura y
componentes,
puesto que las
distintas
empresas del
grupo adquieren
continuamente
una variedad de
plataformas o
arquitecturas de
ltima
tecnologa
69
La solucin
permite el
ingreso y
registro de
nuevos
usuarios,
sin afectar
el
desempeo
de la
aplicacin
El nuevo
usuario se
registra y
sincroniza en
los mltiples
repositorios
en un tiempo
no mayor 2
Minutos
La solucin Cantidad de
permite la
nuevas
adicin,
aplicaciones
integracin
desplegada
y
efectivamente
sincronizaci
sobre la
n de los
plataforma
nuevos
repositorios
de acceso
de las
aplicacione
s
desplegada
s sin afectar
el
desempeo
de la
solucin.
Operaci La solucin Implementaci
n
permite la
n adecuada
Normal adaptabilida
del nuevo
d NATIVA servicio en un
de los
tiempo no
nuevos
superior a
servicios,
dos das
sin afectar
los
component
es ya
existentes
Stake
holder
CIO CISO
Atributo
de Calidad
Seguridad
CIO CISO
Seguridad
CIO CISO
Seguridad
Justificacin
Fuente
Estmulo
Artefacto
El sistema al
contar con una
cantidad
importante de
aplicaciones y
por ende
repositorios de
autenticacin
(11 en una
etapa inicial) es
vital para el
Negocio,
asegurar que
todos las
Identidades
Digitales se
encuentren
totalmente
sincronizadas
en cada uno de
estos
repositorios
Sistema
Proceso
de
actualizaci
n y/o
conciliaci
n
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
El sistema debe
garantizar el
acceso
adecuado de
cada una de las
identidades,
segn los
perfiles, roles y
accesos
especificados
para cada uno
los usuarios y
en cada una de
las aplicaciones
o servicios que
se encuentre
matriculados.
Teniendo en
cuenta que el
Grupo
Empresarial
cuenta con
usuarios
definidos como
VIP (Gerentes,
Directores,
Oficiales de
Cumplimiento,
etc.) se hace
necesario contar
con
mecanismos
adicionales de
autenticacin(to
kens) sobre los
servicios
accedidos
Usuario
Proceso
autentic
de
ndose
autenticaci
n y/o
conciliaci
n
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
Usuario
Proceso
VIP
de
autentic autenticaci
ndose
n
Mdulo de
administra
cin de
identidade
sy
administra
cin del
acceso
70
Ambie
nte
Operaci
n
Normal
Respuesta
Medida de la
Respuesta
Sincronizaci
ne
integralidad
de la
informacin
en un 100%
de todas las
identidades
digitales.
El sistema
informa al
administrad
or de la
plataforma,
que el
proceso de
sincronizaci
n se
ejecut con
xito o con
errores
indicando
cuales
identidades
no fueron
exitosament
e
sincronizad
as y el
detalle del
fallo en el
proceso
Operaci El sistema
El 100% de
n
permite el los usuarios y
Normal
ingreso
sus
correcto del
respectivas
usuario,
identidades
segn los
se
accesos y
encuentran
perfiles
correctament
parametriza
e
dos
autenticadas
Operaci
n
Normal
El sistema
permite el
ingreso
correcto del
usuario
VIP,
autenticand
o con los
tokens o
llaves
adicionales
establecida
s para el
usuario.
El 100% de
los usuarios y
sus
respectivas
identidades
se
encuentran
correctament
e
autenticadas
Stake
holder
CIO CISO
Atributo
de Calidad
Seguridad
Gerencia
General,
CIO,
CISO,
Auditor
Seguridad
CIO CISO
Seguridad
Ambie
nte
Operaci
n
Normal
Fuente
Estmulo
Artefacto
Teniendo en
cuenta que el
Grupo
Empresarial por
exigencia,
normatividad o
decisiones de
cada negocio,
requieren
perfilizar
opciones y/o
funciones
propias de la
plataforma IAM,
se hace
necesario poder
dar granularidad
de los accesos
hasta en un
mnimo detalle
de la plataforma
Cada una de las
empresas que
conforman el
Holding
Empresarial
pueden o deben
cumplir ciertos
requerimientos
de ley y/o
normatividad
vigente , luego
se hace
necesario contar
con reportes
prediseados
para SOX,
Circular 052,
PCI, entre otros;
adems contar
con
herramientas de
diseo para
usuario final que
permitan la
actualizacin y
configuracin de
nuevos reportes
Por
normatividad y
cumplimiento,
es necesario
que las
empresas
puedan
consultar los
LOGS
generados en
las
transacciones
realizadas por
los
administradores
de la
plataforma, para
Parametr
izacin
de la
plataform
a
Configura
cin de
usuarios,
grupos y
opciones
propios
del
sistema
IAM
Mdulo de
administra
cin del
acceso
Normativi
dad,
regulaci
ny
requerimi
entos de
ley
Generaci
ny
configurac
in de
reportes
Mdulo
administra
cin de
eventos y
seguridad
de
informaci
n
Operaci
n
Normal
El sistema
permite la
configurar
nuevos
reportes y
generar los
definidos
bajo la
normativida
d aplicada
Implementaci
n adecuada
del nuevo
reporte en un
tiempo no
superior a
dos das
- 100% de los
Reportes
prediseados
ejecutados
segn la
normatividad
vigente
Usuario
Autorizad
o Solicita
Bitcora
Generaci
n de
reportes
Mdulo
administra
cin de
eventos y
seguridad
de
informaci
n
Operaci
n
Normal
El sistema
genera
reporte
segn los
criterios y
filtros
establecido
s
100% de los
reportes
generados
con xito
71
Respuesta
Medida de la
Respuesta
El 100% de
los usuarios
finales,
cuenta con
los accesos
definidos
para el perfil
Justificacin
El sistema
permite
configurar
un usuario
final o
grupo de
usuarios,
con la
granularida
d esperada
Stake
holder
Atributo
de Calidad
Justificacin
Fuente
Estmulo
Artefacto
Ambie
nte
Respuesta
Medida de la
Respuesta
poder identificar
y hacer
trazabilidad
sobre los
cambios que
realicen. Esta
informacin
debe
consultarse en
lnea y a travs
de un sitio web
Como tal, el modelo de evaluacin y seleccin del software de seguridad, se

esquematizo en la matriz de evaluacin denominada MODELO PARA LA
EVALUACIN DE UNA SOLUCIN TECNOLGICA PARA LA GESTIN DE LA
IDENTIDAD - REQUEST FOR PROPOSAL (RFP), en la cual se especifican y
caracterizan un total de ciento siete preguntas, agrupadas por siete temas y en la
que adems se define una columna donde ira el Nombre del Proveedor de la
solucin tecnolgica a evaluar y una columna de cometarios u observaciones
adicionales, con la cual se puede en un momento dado utilizar por el proveedor
para dar las aclaraciones, retroalimentacin y preguntas que pueda en un
momento dado surgir sobre el proceso. El modelo de evaluacin se relaciona a
continuacin y se encuentra en el archivo de Excel bajo el nombre RFP:
72
Tabla 14. Modelo para la evaluacin de una solucin tecnolgica para la

Gestin de la Identidad Request for Proposal (RFP)
MODELO PARA LA EVALUACIN DE UNA

SOLUCIN TECNOLGICA PARA LA GESTIN
DE LA IDENTIDAD - REQUEST FOR PROPOSAL
(RFP)
Aspecto
No
1
2
3
GENERALES RFP
GENERALES
ECONMICA
tem
NOMBRE PROVEEDOR
Respuesta
Indique el nombre de la
compaa, la direccin y
telfonos de contacto.
Indique el esquema de
capacitacin al personal
tcnico y funcional
Indique el esquema de
compra o contratacin.
Mencione casos de
xito
Nacionales
e
Internacionales
en
implementacin
de
soluciones IAM (Identity
and
Access
Management)
Relacione las empresas
cliente que se puedan
visitar en caso de
requerirse ampliacin o
verificacin en prctica
de
la
informacin
suministrada.
Indique
el
valor
aproximado
de
la
solucin en modalidad
de compra y/o de
servicio (indicando con
base en que variable se
calculara) y el esquema
que
el
proponente
estime sea el ms
conveniente de acuerdo
al alcance solicitado.
73
Observacin
Adicional

(RFP)
Aspecto
No
7
8
Generales
9
EMPRESA
10
Modelo de
Operacin
11
12
Econmico
13
tem
NOMBRE PROVEEDOR
Respuesta
En qu pases tiene
operaciones
la
empresa?
En qu ciudades de
Colombia tiene oficinas?
Cul es la mayor
instalacin en Colombia
y/o
el
exterior?
Cuntas
identidades
digitales se lograron
estandarizar?
Describa
la
figura
comercial en caso de
que usted no sea el
fabricante;
anexe
certificados
del
fabricante
que
lo
acrediten como canal
oficial.
Posee un esquema de
servicio de atencin y
manejo
de
reclamaciones? Cul
es? Cules son los
horarios? Qu medios
emplea?
Indique evidencias de
resultados de tasa de
usabilidad obtenidos en
las
soluciones
implementadas basados
en los procesos y
servicios
impactados
por la solucin.
Qu tipo de costos
adicionales
a
la
implantacin se deben
contemplar
con
su
solucin
74
Observacin
Adicional

(RFP)
Aspecto
No
14
15
16
FUNCIONALES
17
18
Administraci
n de Acceso
19
tem
NOMBRE PROVEEDOR
Respuesta
(capacitaciones,
herramientas
de
gestin, generadores de
reportes, manutencin,
viajes, etc.)?
Cmo
sera
el
esquema de costos para
un servicio integral de
este tipo?
Montada la solucin, en
caso de requerirse una
customizacin
particular, Con base en
que se cotizara y de
quien
sera
su
propiedad?
Si su solucin tiene
esquema
de
contingencia, Cul es
su costo?
Segn la informacin
suministrada,
Cul
puede ser el tiempo
promedio
de
implantacin de una
solucin de este tipo?
El sistema integra los
distintos
usuarios y
genera un nico ID
(nico usuario y clave
de acceso) para los
distintos accesos a las
aplicaciones
y/o
servicios?
El sistema permite
definir estndares para
el nombramiento de
usuarios y contraseas
que sern sincronizadas
75
Observacin
Adicional

(RFP)
Aspecto
No
tem
Respuesta
con
los
diferentes
aplicativos o servicios?
20
21
Administraci
n de
Identidades
22
23
NOMBRE PROVEEDOR
El sistema cuenta con

mecanismos
de
identidad federada para
conexiones futuras a
sistemas
de
otras
empresas del grupo o
aquellas donde se tenga
algn
tipo
de
participacin
o
convenio?
El sistema permite
mediante una interfaz
web
el
ingreso
y
administracin de cada
uno de los componentes
que
conformen
la
solucin
(administracin,
configuracin,
parametrizacin
de
nuevos servicios)?
El sistema permite
mediante una interfaz
web el ingreso de los
usuarios finales, para
poder auto gestionar
algunos
servicios
propios de su identidad
(Mecanismos
de
autoservicio) como el
cambio y recordacin de
clave, actualizacin de
datos generales, etc.)?
El sistema permite el
diseo
e
implementacin
de
76
Observacin
Adicional

(RFP)
Aspecto
No
24
25
26
Administraci
n de Eventos
y Seguridad
de
Informacin
27
28
29
tem
NOMBRE PROVEEDOR
Respuesta
flujos
de
trabajo
(workflows) a travs de
la
herramienta
de
administracin web?
La solucin cuenta con
herramientas de diseo
y simulacin de modelos
de aprovisionamiento?
El sistema permite
definir y administrar
reglas de negocio, roles
y
perfiles
organizacionales?
El sistema permite
generar
informes
programados
y
en
tiempo
real
para
conocer
el
comportamiento de los
usuarios
sobre
las
aplicaciones y servicios
habilitados?
El sistema permite
configurar alertas sobre
eventos
extraos
definidos
por
los
administradores
de
seguridad?
un mdulo para el
diseo, personalizacin
y
generacin
de
reportes de acuerdo a
las necesidades del
negocio?
rastros de auditora que
permitan identificar los
cambios en los accesos
77
Observacin
Adicional

(RFP)
Aspecto
No
30
Generales
31
32
TCNICOS
33
34
Generales
35
tem
NOMBRE PROVEEDOR
Respuesta
de los usuarios, sus

privilegios
y dems
funcionalidades,
realizadas
por
los
Administradores de la
plataforma?
mdulos independientes
de administracin como:
- Administracin de
identidad
- Administracin del
Acceso
- Administracin de
Eventos y seguridad de
la
Informacin
- Gobernabilidad
La solucin es 100%
Web-Enabled en todos
sus componentes de
administracin?
El sistema soporta
varios idiomas (ingls,
espaol, etc.)?
El sistema soporta la
configuracin
y
parametrizacin
de
distintas empresas?
El sistema soporta
conectores
a
aplicaciones
desarrolladas In house
como JAVA, Proccesss
Server,
PHP,
NET,
Cobol?
El sistema soporta
integracin Nativa con
motores de Bases de
Datos
tipo
Oracle,
78
Observacin
Adicional

(RFP)
Aspecto
No
36
37
38
39
40
41
tem
NOMBRE PROVEEDOR
Respuesta
Sybase,
DB2,
SQL
Server?
El sistema permite que
el portal de autogestin
pueda ser accedido
desde
dispositivos
mviles
(Celulares,
eBooks, Palms, etc.)?
El sistema permite
configurar la informacin
transaccional on-line y
permite definir cual se
almacena mediante un
proceso de backup?
La solucin basa su
arquitectura a travs del
manejo
de
eventos
disparados
por
las
distintas
aplicaciones,
repositorios
o
plataformas?
La solucin basa su
arquitectura mediante la
conciliacin
de
repositorios?
Meta Directorios para
el manejo e integracin
de repositorios?
El
sistema
"recepciona de manera
automtica, todos los
eventos o novedades
presentadas
en
el
sistema
de
administracin
de
gestin
humana
(ingreso de personal,
promociones,
79
Observacin
Adicional

(RFP)
Aspecto
No
tem
Respuesta
vacaciones,
etc.)?
42
43
44
Restricciones
de Tecnologa
45
46
Qas
Escenarios
de Calidad
47
48
49
50
51
52
53
NOMBRE PROVEEDOR
retiros,
La plataforma cuenta
con un mdulo para la
configuracin
de
aplicaciones
que
requieran tener acceso
Web Single Sign-On
(Web-SSO)?
El sistema se integra
con el repositorio Active
Directory
de
la
plataforma Microsoft?
El sistema se integra
con repositorios abiertos
tipo LDAP?
El sistema soporta
integracin Nativa con
plataformas de Correo
tipo Exchange Server de
Microsoft y Linux tipo
Qmail?
La
plataforma
se
integra con el sistema
de Recursos Humanos y
el
repositorio
de
usuarios definido para
contratistas
y/o
terceros?
E1
F1
M1
M2
M3
M4
M5
80
Observacin
Adicional

(RFP)
Aspecto
No
tem
54
55
56
57
58
59
S1
S2
S3
S4
S5
S6
Cul es el consumo de
ancho de banda por
cliente que se requiere?
Si la solucin es Web
enabled. Relacione los
navegadores (con su
versin) con los cuales
trabaja la solucin.
Describa
la
adaptabilidad
para
mltiples arquitecturas
de red y plataformas:
cliente/servidor, Intranet,
etc.
Especifique sobre que
plataforma de sistema
operativo y motor de
base de datos la
solucin
presenta
mejores rendimientos.
Sobre qu sistemas
operativos a nivel de
clientes
trabaja
la
solucin ofrecida?
Presente el Esquema
General
de
la
Plataforma
(diagrama
de
despliegue),
incluyendo
los
diferentes componentes
tcnicos
(servidores,
impresoras, etc.)
60
61
62
Telecomunica
ciones e
Infraestructur
a
63
64
65
NOMBRE PROVEEDOR
Respuesta
81
Observacin
Adicional

(RFP)
Aspecto
No
66
67
68
69
70
71
72
73
tem
NOMBRE PROVEEDOR
Respuesta
Con qu frecuencia
actualizan las versiones
del Software a nivel de
servidores y clientes?
Cmo es el manejo del
log de eventos de los
equipos? Descrbalo
Los Logs de eventos
de la infraestructura
(Hardware y Software)
se
integran
con
sistemas de monitoreo
tales como Tivoli y HP
BAC?
Suministre
las
caractersticas tcnicas
de las estaciones de
trabajo y dispositivos de
usuario
final
que
requiere la solucin
propuesta.
La solucin propuesta
se
integra
con
aplicaciones
de
productividad como (MS
Office, MS Exchange),
aplicaciones ERP, etc.?
algn
esquema
de
contingencia,
alta
disponibilidad y/o DRP?
Describa
el
dimensionamiento
de
servidores de Aplicacin
y Base de datos
La solucin incluye
servidores o stos los
debe
asumir
la
Empresa?
82
Observacin
Adicional

(RFP)
Aspecto
No
74
75
76
77
78
79
80
81
82
tem
NOMBRE PROVEEDOR
Respuesta

interfaces visuales para
validar el estado del
servicio en tiempo real
desagregado por cada
componente
de
Hardware?
Describa esquemas de
implementacin
de
plataforma en la Nube.
Describa esquemas de
virtualizacin
del
Software.
La solucin se integra
con aplicativos de ERP
y CRM?
Especifique como se
integra la solucin con
otros aplicativos (SOA,
web service, etc.)
La solucin permite
personalizarse
con
imgenes
o
logos
propios de la compaa?
Si para que la solucin
opere, se requiere el
desarrollo de algunos
componentes, explique:
Cmo se realizara el
desarrollo
de
estas
interfaces?
Especifique
las
herramientas
de
modelamiento
de
procesos utilizada por la
solucin
El software cuenta con
motor de reglas de
83
Observacin
Adicional

(RFP)
Aspecto
No
83
84
Administraci
n de Usuarios
85
86
87
88
Seguridad
89
tem
NOMBRE PROVEEDOR
Respuesta
negocio?
Cules son los web
service del aplicativo?
usuarios
o
roles
preestablecidos
(permisos
sobre
funciones del aplicativo)
que se autentiquen con
contraseas?
La solucin genera
reportes que permitan
verificar las operaciones
realizadas discriminadas
por usuario?
La interfaz de usuario,
tiene mens sencillos y
claros, ventanas con
reas
de
trabajo
amplias,
colores
amigables
que
no
saturen la visin o
distraigan el proceso?
Especificar
qu
mecanismos de control
y de seguridad utiliza el
software.
Qu
nivel
de
confidencialidad
maneja, es decir la
informacin slo puede
ser accedida por las
personas autorizadas?
Su empresa cuenta o
contempla un Sistema
de
Gestin
de
Seguridad
de
la
Informacin? Cuenta
con
certificados
al
84
Observacin
Adicional

(RFP)
Aspecto
No
tem
Respuesta
respecto?
90
Licenciamient
o
91
92
93
Soporte y
Garanta
94
95
NOMBRE PROVEEDOR
Cmo se manejan los

esquemas
de
licenciamiento segn las
herramientas
de
software y hardware a
utilizar?
Estn
incluidas o se licencian
de
manera
independiente?
Si se requiriere adquirir
algn
licenciamiento
adicional especifique si
este puede ser en
modalidad Corporativa o
que modalidad propone.
Cuntas licencias se
entregan o cual es la
cantidad de usuarios
que cubrira la solucin
sin costos adicionales a
la propuesta?
Tiene un esquema de
mantenimiento
preventivo y/o correctivo
para
el
software?
Indique
protocolos,
tiempos,
frecuencias,
etc.
Cunto es el periodo
de garanta del servicio
y
todos
sus
componentes,
que
cubre y desde que
momento empieza a
contar?
Cuenta con soporte
85
Observacin
Adicional

(RFP)
Aspecto
Administraci
n del
aplicativo
No
96
97
98
Normatividad
99
100
DESCRIPCIN DEL
101
SOFTWARE
102
IMPLEMENTACIN
103
PROYECTO
RESTRICCIONES
DEL NEGOCIO
104
tem
NOMBRE PROVEEDOR
Respuesta
7x24? Cmo funciona?

Cules
son
los
mdulos
de
la
plataforma?
Cul es la informacin
parametrizable de cada
mdulo?
Qu normatividad legal
vigente contempla la
plataforma?
Mencione las normas
internacionales
de
Seguridad
de
la
Informacin utilizadas.
Descripcin del
Software
Caractersticas y
Funcionalidades
Diagrama de la de
Arquitectura del SW
Descripcin de
Entregables
El
proponente
presento propuesta de
solucin considerando
una
alternativa
en
modalidad de servicio
(infraestructura,
servidor, hardware y
software como SaaS) y
otra en modalidad de
compra directa donde
se
adquirir
cada
componente
de
la
plataforma?
86
Observacin
Adicional

(RFP)
Aspecto
No
tem
NOMBRE PROVEEDOR
Respuesta
La
propuesta
es
inferior
o
igual
US$1000.000
considerando
una
105 ejecucin a tres aos y
con una fase inicial que
contempla
10.000
empleados directos e
indirectos?
La
propuesta
considera
etapas
subsiguientes o fases
adicionales
(sub
proyectos) donde cada
empresa
del
grupo
106
analizara
y
presupuestara el plan
de expansin para el
cubrimiento
de
sus
aplicaciones o servicios
que defina?
La
propuesta
se
contempl en fases,
donde la fase inicial solo
contemplara
aplicaciones o servicios
compartidos por todo el
107
Grupo
Empresarial
(ejemplo:
Correo
Electrnico, Directorio
Activo, etc.) y algunas
otras del Core propio de
cada negocio?
87
Observacin
Adicional
Calificacin y anlisis de resultados

Finalmente para la consolidacin y anlisis de resultados se construyeron dos
hojas adicionales en el modelo, la primera denominada Calificacin en la cual se
realiza el proceso de valoracin a cada una de las preguntas segn la respuesta
dada por el proveedor de la solucin y en donde se aplican los Criterios de
calificacin establecidos en la seccin 3.3.1. Esta calificacin la dar el panel de
expertos definido por el grupo Empresarial.
GENERAL
ES RFP
Aspecto
GENERALES
ECONMICA
EMPRESA
Generales
Modelo de
Operacin
Econmico
No
Calificacin Calificacin
4
Pr
ov
ee
d
or
3
Pr
ov
ee
d
or
2
or
Pr
ov
ee
d
or
Pr
ov
ee
d

SOLUCIN TECNOLGICA PARA LA
GESTIN DE LA IDENTIDAD - REQUEST
FOR PROPOSAL (RFP)
Tabla 15. Ejemplo de Calificacin de la solucin valorada por el panel de

expertos
Calificacin
Calificacin
10
11
12
13
14
15
16
17
La segunda hoja denominada RESULTADOS, es donde se realiza el proceso de

evaluacin grafica de las calificaciones dadas por el Panel de expertos, la cual
surge del anlisis promediado de las respuestas, que sern agrupadas por los
siete temas definidos bajo el modelo. En esta hoja se contara adems con los
cuadros donde la empresa definir cual tem o agrupador tiene mayor importancia,
puesto que permite ajustar las metas objetivas, segn el cumplimiento esperado.
El diseo y flexibilidad de la misma permite que la empresa que dese utilizar el
88
modelo, pueda ajustar los porcentajes y pesos acordes a sus necesidades o

caractersticas propias de la organizacin o segn las prioridades que defina el
Negocio para hacer el respectivo prorrateo por cada una de las siete categoras
analizadas.
Por ejemplo, si para una empresa el tema mas importante son las Restricciones
de Negocio, lugar donde se definieron las variables de Negocio como el
presupuesto, posibilidad de realizar la implementacin por fases o por
disponibilidad del flujo de caja, podran determinar que la categora denominada
TEMA RESTRICCIONES DEL NEGOCIO de color rojo, tenga un peso de 33%
con respecto a las dems categoras, lo que quiere implica que la persona que
este utilizando el modelo debe ajustar la columna PRORRATEO con los valores
recalculados de cada categora adicional, que para el ejemplo seria el valor de
13%, lo que finalmente mostrara en la grafica final denominada PRORRATEO
TOTAL PROVEEDOR el cambio en los resultados segn la alteracin que se dio
en el peso de cada categora. El ejemplo mencionado se observa en la figura a
continuacin listada:
Figura 9. Ejemplo Anlisis grafico al Prorratear con un mayor valor la

categora RESTRICCIONES DEL NEGOCIO
TEMA
%
EMPRESA
IBM
ORACLE
NOVELL
4,50
3,50
4,50
90%
70%
90%
META
100%
100%
100%
5,00
120%
4,00
100%
3,00
PRORRATEO
2,00
1,00
33%
IBM
ORACLE
NOVELL
0,00
88%
65%
89%
%
CUMPLIMIENTO
40%
META
0%
IBM
ORACLE
NOVELL
PRORRATEO TOTAL
%
CALIFICACIN CUMPLIMIENTO PRORRATEO
4,40
3,23
4,47
60%
20%
PRORRATEO TOTAL PROVEEDOR
EMPRESA
CALIFICACIN
80%
5,00
100%
4,00
80%
3,00
60%
2,00
40%
1,00
20%
CALIFICACIN
%
CUMPLIMIENTO
META
100%
0,00
0%
IBM
ORACLE
NOVELL
Para el caso de estudio no se utilizo la columna prorrateo puesto que todos los
valores fueron analizados como un promedio, sin dar mayor valor a ninguna de la
categoras analizadas, luego se defini como meta el valor de 60% a nivel general
para el totalizado de respuestas y cada uno de los grupos, el cual surge del
establecimiento de un valor definido como aceptable segn los Criterios de
89
calificacin establecidos. Para el tema en particular denominado restricciones de

negocio se defini una meta del 100%, al considerar que son variables crticas
que darn la viabilidad del proyecto en trminos que impactan directamente el
Negocio, como el presupuesto, esquemas de contratacin y fases de
implementacin.
Figura 10. Ejemplo Anlisis grafico de resultados

EMPRESA
PROVEEDOR 1
PROVEEDOR 2
PROVEEDOR 3
PROVEEDOR 4
%
4,15
3,48
4,47
1,00
83%
70%
89%
20%
META
60%
60%
60%
60%
TEMA
GENERALES RFP
EMPRESA
PROVEEDOR 1
PROVEEDOR 2
PROVEEDOR 3
PROVEEDOR 4
%
4,33
3,17
4,67
1,00
87%
63%
93%
20%
META
60%
60%
60%
60%
90
3.4. APLICACIN DEL MODELO
3.4.1. Contexto de Aplicacin. Para la aplicacin del modelo propuesto para la

evaluacin y seleccin del sistema de seguridad, se tuvo en cuenta el caso real
del Grupo Empresarial Coomeva, donde se desarroll el proyecto Corporativo que
buscaba la seleccin de un software de seguridad que permitiera controlar el Ciclo
de Vida de la Identidad de los usuarios.
Contextualizando de manera resumida este holding Empresarial ofrece a sus

asociados una variedad de Servicios Financieros, de Prevencin, Asistencia y
Solidaridad, Recreacin y Turismo, Educacin, Desarrollo Empresarial y Servicios
de Salud. Cuenta en la actualidad con ms de 10.000 empleados contratados de
manera directa o indirecta (empresas temporales), adems de un nmero
considerable de contratistas y terceros, que por labores propias de su operacin,
acceden a distintos sistemas, aplicaciones y servicios ofrecidos dentro de las
instalaciones.
El grupo Coomeva ha tenido un crecimiento importante en la ltima dcada, razn

por la cual se han forjado una cantidad considerable de nuevas unidades de
negocio, lo que ha culminado con la creacin de nuevos productos y servicios para
su mercado. En este orden de ideas la compaa durante varios aos ha adquirido
o desarrollado nuevos productos de software, los cuales tienen diferentes tipos de
arquitecturas e infraestructuras tecnolgicas que se esquematizan de manera
consolidada en la pirmide corporativa de plataformas tecnolgicas a continuacin
representada:
91
Figura 11. Plataforma Tecnolgica Coomeva Estndares Corporativos
Fuente: Coomeva - Unidad de Tecnologa Informtica, 2011
Finalmente, el proyecto contempl ejecutarse por fases donde la primera, tiene un

alcance inicial al control de los usuarios internos (empleados directos e indirectos,
contratistas y terceros) de la organizacin, sobre los cuales estn integrados en el
servicio conocido como Directorio Activo (DA), que segn las estadsticas de
distribucin de usuarios matriculados en el 2009, se estima tiene un crecimiento
anual del 3% (Ver tabla 16).
92
Tabla 16. Cantidad de Usuarios en el Directorio Activo distribuidos por

empresa.
EMPRESA
CLNICA FARALLONES S.A.
CLUB CAMPESTRE LOS ANDES
COOMEVA COOPERATIVA
FINANCIERA
COOMEVA EPS
COOMEVA MEDICINA PREPAGADA
COOMEVA SERVICIOS
ADMINISTRATIVOS
CORPORACIN COOMEVA
FONDO DE EMPLEADOS
FECOOMEVA
FUNDACIN COOMEVA
GESTIN DE ASOCIADOS
HOSPITAL EN CASA S.A.
SOLIDARIDAD Y SEGUROS
TURISMO COOMEVA
UNIDAD CORPORATIVA
UNIDAD DE TECNOLOGA
INFORMTICA
USUARIOS
DA
62
24
%
0,64
0,25
1337
5390
887
13,8
55,65
9,16
678
105
7
1,08
34
35
481
113
182
54
130
0,35
0,36
4,97
1,17
1,88
0,56
1,34
173
9685
1,79
100
Fuente: Coomeva - Unidad de Tecnologa Informtica, Sep. 2009.
La cantidad de usuarios internos creados sobre el repositorio central (DA),

multiplicado por la cantidad de aplicaciones (146 en total) que para el 2011 se
encuentran implementadas y soportadas dentro del centro de datos (Ver figura
11), evidencia la problemtica del Grupo Empresarial en cuanto a la dificultad para
administrar los usuarios en las distintas aplicaciones y por ende la dificultad que
surge para la Gestin del Ciclo de vida de la identidad de cada persona que
ingresa en la organizacin.
93
Figura 12. Cantidad de Aplicaciones distribuidas por empresa.
Fuente: Coomeva - Unidad de Tecnologa Informtica, 2011.
Bajo este panorama el grupo empresarial COOMEVA realizo una bsqueda de

una solucin robusta de software y/o hardware que facilite el diseo e
implementacin de un esquema de Gestin de Identidades Corporativo, que
controle de manera eficiente el Ciclo de Vida de la identidad del Usuario
(Empleado, Contratista y/o Tercero) desde el momento en que llega a la
organizacin hasta el retiro de la misma (Provisionamiento y DeProvisionamiento), al mismo tiempo que se establezcan mecanismos seguros de
autenticacin, autorizacin y auditoria para el acceso a los aplicativos de negocio
definidos. En un mediano o corto plazo, esta solucin de Gestin de Identidad
debera poder extenderse hacia la comunidad de asociados, proveedores y/o
usuarios de servicios de Coomeva (Externos), los cuales fcilmente llegaran a
unos 300.000 Clientes en Colombia.
3.4.2. Proceso de Aplicacin. Para la aplicacin y validacin del modelo segn el

caso de estudio, se decidi hacer partcipes de esta propuesta a las Empresas de
Soluciones tecnologas que actualmente tienen la mayor representacin del
94
Mercado en soluciones IAM: Identity and Access Management (Gestin de

Identidad y Acceso) a Nivel Mundial y que cuentan con su respectiva
representacin en el mercado Colombiano.
Las empresas seleccionadas son las respectivamente listadas a continuacin:
Figura 13. Fabricantes de Soluciones IAM invitados al proceso de aplicacin

del modelo.
Cada una de estas empresas fue invitada a participar del proceso de evaluacin
de su respectiva herramienta, a partir de la convocatoria va correo electrnico y
previo al contacto telefnico, con cada uno de los representantes de estas firmas.
Todas las empresas aceptaron participar del proceso, razn por la cual fue
enviado a cada una los documentos desarrollados en el proceso de licitacin del
RFP, ms la matriz con la definicin de la arquitectura del sistema segn lo
propuesto en el captulo 3 de este documento.
95
Para la retroalimentacin de modelo, etapa de resolucin de dudas, preguntas y

posterior entrega con las respuestas se defini un lapso de tiempo no superior a
un mes, de donde finalmente se recibi la respuesta de tres de los cuatro
proveedores invitados: IBM, Novell y Oracle.
Con la respuesta dadas por cada fabricante, se procedi a realizar la calificacin o

valoracin de cada una de las preguntas realizadas segn los Criterios de
calificacin establecidos en este documento. Lo que finalmente permiti obtener
unos resultados consolidados de evaluacin de cada una de las soluciones, de los
cuales se entrar en detalle en el captulo subsiguiente.
De manera general el proceso llevado a cabo para la aplicacin del modelo, se

procediment en el siguiente flujo de proceso:
96
Figura 14. Flujo general para la evaluacin y seleccin de la herramienta de

seguridad IAM
INICIO
Investigacin del Mercado RFI
Invitacin a Proveedores
posicionados en Soluciones
IAM
El proveedor
acepta participar
del proceso?
SI
Envi de Documentacin
Electrnica al proveedor
Entrego
documentacin
diligenciada?
SI
Revisin y calificacin de
respuestas entregadas
Consolidacin de resultados y envi
del reporte final del proceso
Seleccin de Herramienta de IAM
FIN
97
4. ANLISIS DE RESULTADOS
Luego de aplicar el modelo de evaluacin y seleccin propuesto a los proveedores

del software de Seguridad Informtica segn el planteamiento establecido en este
documento, se realiz el anlisis de los resultados segn la informacin y
respuestas presentadas por cada uno de ellos.
El anlisis de resultados se desarroll por cada uno de las siete categoras de

agrupacin establecidas y el correspondiente valor acumulado o totalizado del
comparativo entre las Plataformas tecnolgicas evaluadas, la cual se obtuvo al
promediar las calificaciones otorgadas a cada una de las repuestas presentadas.
Categoria 1 Generales RFP

TEMA
GENERALES RFP
EMPRESA
%
META
IBM
4,33
87%
60%
ORACLE
3,17
63%
60%
NOVELL
4,67
93%
60%
Para esta categora se puede afirmar que las soluciones ofrecidas y su respectivo
fabricante, brindan en trminos generales buenas garantas y confiabilidad, en
cuanto a su representacin, conocimiento y posicionamiento en el mercado
Colombiano e Internacional. Sin embargo la disminucin del promedio del caso
Oracle bsicamente se da por factores econmicos de la solucin, lo cual ya es
conocido a nivel general por la industria y el mercado de las TI.
Categoria 2 Empresa
TEMA
EMPRESA
EMPRESA
IBM
ORACLE
NOVELL
%
4,00
2,64
3,91
80%
53%
78%
META
60%
60%
60%
98
En esta categora, se concluye el fuerte posicionamiento en el mercado de la

empresa IBM, sin embargo es interesante ver como en Colombia no ha tenido
importantes instalaciones alrededor de su producto. De igual forma la informacin
suministrada por la solucin de Oracle para el componente de usabilidad de la
solucin le resta bastantes puntos en trminos generales. Finalmente el tema de
costos sigue teniendo un alto impacto en las organizaciones, en este caso
asociados a los servicios post venta, los cual decrementa puntos a los tres
proveedores. Esto reafirma que la tendencia mundial en la venta de productos
Tecnolgicos, es propiciar esquemas donde los clientes sigan generando ingresos
por soporte, garantas y adecuaciones, luego de finalizacin del entregable inicial
planteado.
Categoria 3 Funcionales
TEMA
FUNCIONALES
EMPRESA
IBM
ORACLE
NOVELL
%
4,38
4,06
4,75
88%
81%
95%
META
60%
60%
60%
Para el tema funcional, se analiza que las herramientas ofrecidas an tienen

debilidades en aspectos de administracin y facilidad para los usuarios finales. Lo
cual indica que seguir existiendo la dependencia tcnica interna o externa del
Negocio, para las solicitudes de los usuarios finales de la solucin.
Categoria 4 Tcnicos
TEMA
TCNICOS
EMPRESA
IBM
ORACLE
NOVELL
%
4,03
3,59
4,47
81%
72%
89%
META
60%
60%
60%
Desde la perspectiva tcnica, sobre la cual el Grupo de Expertos que califican la

solucin usualmente hace mucho nfasis por el importante componente
tecnolgico, se puede concluir que las soluciones ofrecidas por IBM y Novell,
cumplen la mayor parte de requerimientos arquitectnicamente significativos y
escenarios de calidad exigidos en la construccin de este modelo. Caso contrario
ocurre con la solucin de Oracle, en la cual parte de los escenarios de calidad no
cumplieron totalmente las expectativas de los Stakeholders, adems del tema
99
tcnico de facilidad de integracin con otras plataformas propias del Negocio. A

nivel general las plataformas de Oracle e IBM, aun no tienen la portabilidad
deseada por la arquitectura definida para el sistema y caso de negocio.
Categoria 5 y 6 Descripcion del Software y Entregables
TEMA
DESCRIPCIN DEL SOFTWARE Y ENTREGABLES
EMPRESA
IBM
ORACLE
NOVELL
%
5,00
2,00
4,50
100%
40%
90%
META
60%
60%
60%
Bajo este tema se podra afirmar que todas las soluciones estn bien
documentadas y soportadas tcnicamente y funcionalmente. Sin embargo la baja
calificacin de uno de los proveedores radica en un comportamiento ms de ndole
de presentacin. Lo cual indica la importancia de que en este tipo de procesos se
relacionen todos y cada uno de los entregables asociados, ya que el jurado
calificador someter a su juicio, la manera misma sobre como los oferentes
manejan el proceso licitatorio.
Categoria 7 Restricciones del Negocio
TEMA
EMPRESA
IBM
ORACLE
NOVELL
%
4,50
3,50
4,50
90%
70%
90%
META
100%
100%
100%
En esta categora se puede observar que la meta definida es el 100%, ya que bajo
la misma se esquematizaron las preguntas relacionadas a restricciones propias
del Negocio, las cuales deben cumplirse en su totalidad y por ende su alta
penalizacin. Al analizar los resultados se reafirma el hecho que la solucin
ofrecida por Oracle supera el presupuesto asignado para el proyecto, lo cual sera
un factor decisivo y prepondrate para el Negocio, al momento de seleccionar la
plataforma final de la solucin.
100
Resultado Consolidado x Solucin IAM

EMPRESA
IBM
ORACLE
NOVELL
%
4,15
3,48
4,47
83%
70%
89%
META
60%
60%
60%
Finalmente el resultado promediado consolidado del Modelo de evaluacin del

software de seguridad para el control y administracin de la Identidad de los
usuarios, determino que la mejor opcin costo vs beneficio vs requerimientos
arquitecturales del sistema aplicadas a este caso de Negocio, es la solucin de
Novell en primera opcin y en su segunda posicin la de IBM. Si bien la solucin
de Oracle podra considerarse el tema precio sigue siendo uno de los factores por
los cuales las organizaciones no implementan este tipo de producto.
101
5. CONCLUSIONES Y FUTURO TRABAJO
La propuesta desarrollada en este trabajo contemplaba el desarrollo de un modelo

para la evaluacin y seleccin del software de seguridad para controlar el ciclo de
vida de la identidad digital, en su elaboracin se consider la construccin y
elaboracin de un documento que describiera la arquitectura del sistema buscado
(SAD) y ciertas variables caractersticas del proyecto y propias del Negocio. Lo
cual permiti caracterizar un total de siete agrupadores o categoras, que
contienen un total de 107 preguntas con las cuales se puede evaluar la solucin
ofrecida por los diferentes proveedores del software.
Una vez definidas y caracterizadas la variables y requerimientos de la plataforma

se logr disear la Matriz con el Modelo propuesto, lo cual permiti a los
proveedores responder el formulario de requerimientos y necesidades para la
plataforma, y que una vez entregados los resultados permitiese al grupo de
expertos valorar, calificar y analizar las distintas soluciones posicionadas en el
mercado.
Finalmente el modelo fue aplicado al caso de estudio del Grupo Empresarial

Coomeva, donde se logr identificar aquellas fortaleces y debilidades agrupadas
por cada categora analizada sobre cada una de las plataformas evaluadas, con lo
cual se logr emitir un concepto final para la seleccin de la mejor Plataforma IAM,
segn las variable y requerimientos de la organizacin.
Al lograr unos resultados favorables de la aplicacin del modelo, se puede concluir

que el mismo brindara a las organizaciones o industrias interesadas en adquirir
este tipo de soluciones, una herramienta que podr ser adaptada y parametrizada
de acuerdo a las necesidades propias de cada organizacin, sus metas y
cumplimiento esperado en la plataforma.
Una de las lecciones aprendidas en el desarrollo de este documento, indica que

en general las empresas u organizaciones por la misma agilidad o poco tiempo
para salir con soluciones Tecnolgicas exigidas por el Negocios, usualmente no
aplican este tipo de buenas prcticas para realizar un trabajo bien elaborado como
la elaboracin y construccin de un documento de arquitectura del sistema,
mediante el cual permita manejar los proceso de licitacin y seleccin de
plataformas de software de una manera mucho ms formal y garantizando la
calidad esperada por la organizacin.
102
Finalmente se plantea como trabajo futuro la medicin cualitativa y cuantitativa del

impacto esperado por el Negocio, luego de la implementacin de la solucin de
Gestin de Identidades. Esta labor se podra realizar partiendo de las definiciones
planteadas en el captulo 2 del DOCUMENTO DE ARQUITECTURA DEL
SISTEMA (SAD), con los componentes: Motivadores de Negocio y los mismos
escenarios de calidad, que podran ser utilizados para realizar el proceso de
medicin y garanta sobre la plataforma adquirida.
103
BIBLIOGRAFA
CLIFF Stoll, The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer
Espionage. Estados Unidos, 1989, ISBN 0-385-24946-2.
CNET, Exclusive: Third attack against Sony

http://news.cnet.com/8301-31021_3-20060227-260.html
planned,
May
ConsumerAffairs.com,
Jun
http://www.consumeraffairs.com/news04/2008/10/nc_mellon_corp.html
2011,
2008,
DELOITTE,
Markus
Bonner.
http://www.oracle.com/global/hu/events/20070215_SecurityBB/01%20Deloitte%20
eloadas%20%20Compliance%20Governance%20Risk%20in%20Identity%20and%20Access%
20Management.pdf
Grupo Empresarial Coomeva, Informes de Gestin Anual 2010, XVLVII Asamblea

General Ordinaria de Delegados, Santiago de Cali, marzo 25 de 2011.
http://www.coomeva.com.co/33370
INFORMATIONWEEK, The Business Value Of Technology, Steven Marlin

InformationWeek,
June
17,
2005
06:00
PM
-http://www.informationweek.com/news/164900904
INTERNATIONAL IT GOVERNANCE: An Executive Guide to ISO 17799/ISO

27001. 1 ed. Gran Bretaa - Londres: 4p, 5p, 6p. ISBN: 0 7494 4748 6.
J.P. Anderson. Computer security threat monitoring and surveillance. Technical

Report Technical Report, Washington, PA, Abril 1980
LARSSON, Axel. Drew University. A Case Study: Implementing Novell Identity

Management at Drew University, Drew University, 2003.
104
LESK, Michael & MACKIE, Jeffrey. Identity Managements Misaligned Incentives,

IEEE SECURITY & PRIVACY - THE IEEE COMPUTER AND RELIABILITY
SOCIETIES, 1540-7993/10/$26.00 2010 IEEE.
MARTINEZ TORRES, Jos Antonio. Seguridad informtica. Grupo de Usuarios de

GNU/Linux de la Laguna GULAG, Feb 2009. http://www.antoniomtz.org
NETEGRITY WHITE PAPER: Identity and Access Management: The Promise and
the Payoff - How An Identity and Access Management Solution Can Generate
Triple-digit ROI, Pag-2, Jun 2008
PIOTR PACYNA, Anthony Rutkowski, Amardeo Sarma & Kenji Takahashi. Trusted
Identit y for All: Toward Interoperable Trusted Identit y Management Systems,
COMPUTER - IEEE Computer Society, 0018-9162/09/$25.00 2009 IEEE
RACHNA, Dhamija &

DUSSEAULT, Lisa. The Seven Flaws of Identity
Management: Usability and Security Challenges, IEEE SECURITY & PRIVACY IEEE Computer Society, 1540-7993/08/$25.00 2008 IEEE.
ROZANSKI, Nick y WOODS, Eoin. \Software systems architecture: working with

stakeholders using viewpoints and perspectives. \Upper Saddle River, New Jersey:
Addison-Wesley, c2005. ISBN 0321112296 Sig. Topogrfica: 005.3/R893s
arquitectudinales
SARBANESOXLEY Act, H.R. 3763, H. Rept. 107414, H. Rept. 107610.

http://frwebgate.access.gpo.gov/cgibin/getdoc.cgi?dbname=107_cong_bills&docid=f:h3763enr.tst.pdf
STEVEN, John. Introduction to Identity Management Risk Metrics, IEEE

SECURITY & PRIVACY - IEEE Computer Society, 1540-7993/06/$20.00 2006
IEEE.
The
Wall
Street
Journal,
Digital
Network,
Oct
2008,
http://www.secureidentitysystems.com/assets/files/Oct-WSJ-IDtheftConcern.pdf
UNIVERSIDAD DE LOS ANDES. Proyecto de Mejoramiento del Proceso de

Originacin de Crdito del Banco de los Alpes, Documento de Arquitectura del
Sistema(SAD), Especializacin en construccin de software, Bogot 2010
105
http://es.scribd.com/doc/44594204/JARC-ARQSW-DocumentoArquitecturaSw-v-50
UNIVERSIDAD ICESI, Maestra en Gestin de Informtica y Telecomunicaciones,

Introduccin a la Arquitectura de Sistemas Computacionales, pagina 10.
UNOPS Oficina de Proyectos de las Naciones Unidas, Manual de Adquisiciones,

Revisin 4, Septiembre 2010. www.unops.org
Wikipedia, Empresas multinacionales (EMN) o empresas transnacionales
Multinacional, 9 de noviembre de 2011. http://es.wikipedia.org/wiki/Multinacional
Wikipedia, Grupo de empresas, grupo empresarial, grupo industrial,

conglomerado empresarial o conglomerado industrial, 21 septiembre de 2011.
http://es.wikipedia.org/wiki/Multinacional.
UNIVERSIDAD DE LOS ANDES, Departamento de Ingeniera de Sistemas y

Computacin,
Plantilla
Documento
de
Arquitectura,
http://sistemas.uniandes.edu.co/~isis3702/dokuwiki/doku.php?id=sad
106
ANEXOS
Anexo A. Ver archivo adjunto en Excel Modelo de evaluacin y seleccin de la

plataforma IAM.xlsx
107

Modelo Evalucion Software

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modelo Evalucion Software

Cargado por

Copyright:

Formatos disponibles

MODELO PARA LA EVALUACIN Y SELECCIN DE UN SOFTWARE DE

SEGURIDAD PARA CONTROLAR EL CICLO DE VIDA DE LA IDENTIDAD

GUILLERMO ANDRS VELASCO BURBANO

MODELO PARA LA EVALUACIN Y SELECCIN DE UN SOFTWARE DE

GUILLERMO ANDRS VELASCO BURBANO

Trabajo de grado Tipo: Solucin de un problema concreto

1.1. CONTEXTO DE TRABAJO

1.2. PLANTEAMIENTO DEL PROBLEMA

1.3.1 Objetivo general.

1.3.2. Objetivos Especficos

1.4. RESUMEN DE ESTRATEGIA Y MODELO PROPUESTO

1.5. RESUMEN DE RESULTADOS OBTENIDOS

2.1. GOBERNABILIDAD Y RIESGO DE LAS TI

2.2. EVOLUCIN DEL MERCADO ALREDEDOR DE LA SEGURIDAD DE LA

2.2.1. Riesgos Crecientes en las empresas

2.2.2 Evolucin de la seguridad informtica.

2.3. TENDENCIAS DEL MERCADO

2.3.1. Acceso y Manejo del ciclo de vida de la identidad.

2.4. PROYECTOS DE SOFTWARE Y SU RELACIN CON LA ARQUITECTURA

3.2. DOCUMENTO DE ARQUITECTURA DEL SISTEMA (SAD)

3.2.1. Descripcin General del Sistema a Desarrollar

3.2.3. Restricciones Arquitecturales

3.2.3.1. Motivadores de Negocio

3.2.4. Restricciones de Tecnologa

3.2.5. Restricciones de Negocio

3.2.6. Atributos de Calidad

3.3. MODELO PROPUESTO PARA LA EVALUACIN DEL SISTEMA

3.3.1 Criterios de calificacin

3.3.2. Diseo y construccin de Matriz de evaluacin

3.4. APLICACIN DEL MODELO

3.4.1. Contexto de Aplicacin

3.4.2. Proceso de Aplicacin

5. CONCLUSIONES Y FUTURO TRABAJO

Tabla 2. Norma ISO 27001, Anexo A, Objetivos de control y controles.

Tabla 3. Solicitudes del usuario

Tabla 4. Listado de los Stakeholders

Tabla 5. Stakeholders y Expectativas

Tabla 6. Descripcin del motivador de negocio

Tabla 7. Restricciones de tecnologa

Tabla 8. Arbol de utilidad

Tabla 9. Escenarios de Calidad

Tabla 10. Caracterizacin del Modelo de Evaluacin, Arquitectura definida

Tabla 11. Esquema de Calificacin del Modelo de Evaluacin

Tabla 12. Identificacin y Clasificacin de Requerimientos RAS

Tabla 13. Escenarios de Calidad - QAs

Tabla 14. Modelo para la evaluacin de una solucin tecnolgica para la

Tabla 15. Ejemplo de Calificacin de la solucin valorada por el panel de

Tabla 16. Cantidad de Usuarios en el Directorio Activo distribuidos por

Figura 2. Casos Generales de Amenazas

Figura 3. Numero de vulnerabilidades en redes, Sistemas Operativos y

Figura 4. Evolucin de la seguridad informtica en las ltimas dcadas.

Figura 5. Evolucin de la seguridad informtica en las ltimas dcadas.

Figura 6. Ciclo de vida de la Identidad.

Figura 7. Centralizacin de la administracin de cuentas Solucin de Gestin de

Figura 11. Plataforma Tecnolgica Coomeva Estndares Corporativos

Figura 12. Cantidad de Aplicaciones distribuidas por empresa.

Figura 13. Fabricantes de Soluciones IAM invitados al proceso de aplicacin del

Appliance: Pila de aplicaciones que contiene el sistema operativo, el software de

IM - Identity Management: Gestin de la Identidad

ISO/IEC 27001: Information technology - Security techniques - Information security

PCI: Security Standards Council

RFP: Request for proposal

SGSI: Sistemas de Gestin de Seguridad de la Informacin

SOX: SarbanesOxley Act