• Author / Uploaded
• Rodrigo Guzmán Ramos

Citation preview

1 Universidad de la Frontera

Magister en Ingeniería en Informática

Implementación de protocolos de seguridad en la distribución y validación de Ordenes de Compras en Sun Dreams S. A. (Abril de 2020) Guzmán Ramos, Rodrigo Fernando Profesor Dr. Julio López Fenner 

Abstract - The process that involves the management of purchase orders today in the Sun Dreams company lacks protocols and security measures that guarantee the correct flow of information among all those involved in this process and above all ensure integrity, confidentiality and information availability. Indispensable elements in information security.

The emergence of communication networks, particularly the Internet, has opened new possibilities for the exchange of information. At the same time, threats to the security of the information being transmitted are increasing. It is necessary then, to create different mechanisms, aimed at guaranteeing the confidentiality and authenticity of electronic documents, all this is part of a new technology called Cryptography. In this document we will see a solution to the problem of issuing purchase orders in the company Sun Dreams, it will explain about the advantages and benefits of applying cryptographic security in the management of purchase orders and digital signature to legally validate these documents. Index Terms – cryptography, purchase order, digital signature, information security,

I. INTRODUCCIÓN El comercio electrónico, desde sus inicios, ha evolucionado permanentemente y de formas muy variadas bajo distintas modalidades, utilizando las distintas tecnologías existentes en el momento. En la actualidad y desde la aparición de las tecnologías de la información, los medios electrónicos se han utilizado para realizar operaciones comerciales de distintas índoles, adaptandoce a las necesidades de los usuarios interesados. El comercio electrónico exige mucho más que el solo hecho de transferir información, requiere que se proporcione a las partes interesadas una seguridad sobre dicha información transferida y sus efectos, no solo tecnológicas, sino también jurídicas. Estos dos ámbitos en conjunto entregan una certeza jurídica alejada de la clásica burocracia, entregando protección adicional con un fin necesario para realizar transacciones en base a nuestra legislación mercantil vigente.



La orden de compra se origina como un documento estructurado en base a la costumbre mercantil, que permite la adquisición de productos y servicios necesarios para una empresa, en ella se detalla el precio , cantidad y las condiciones que deben ser entregadas tanto por el comprador como con el vendedor. Hoy en día existen múltiples formatos y sistemas que permiten emitir ordenes de compras, lo cual incluye un serio problema al querer darle un contexto de legal y de valides a dicho documento. Es por esto que se hace necesario recurrir a herramientas tecnologías que permitan dar valides y sin burocracia. Sun Dreams es una compañía multinacional con presencia en Chile, Perú, Argentina, Colombia y Panamá. Ligada al segmento de la entretención, cuentas con unidades de negocios en hotelería, casinos de juegos y centros de eventos. En Chile tiene presencia en las ciudades de Iquique, San Francisco de Mostazal, Temuco, Valdivia, Puerto Varas, Coyhaique y Punta Arenas. Sun Dreams gestiona su proceso de compras a través de su área de adquisiciones, la cual acuerda comercialmente la contratación de servicios y compra de productos con todos los proveedores mediante la emisión de una orden de compra. Este documento no es generado a través de algún sistema informático, sino más bien, es generado mediante planillas MS Excel y distribuido por medio de correos electrónicos. Esto involucra diversos problemas a la hora de procesar la compra y gestionar las diversas validaciones por las que pasa una orden de compra, en particular, la seguridad cobra real relevancia debido a lo vulnerable es que es el proceso. Sobre todos los elementos mencionados anteriormente, los términos de firma o certificado digital ha tomado mayor importancia, cada días son más las compañías que incorporan estas herramientas al flujo habitual en la generación de documentos electrónicos. La finalidad es cubrir los 5 aspectos fundamentales de de los datos: confidencialidad, integridad, disponibilidad, autenticación y no repudio. II.

ANTECEDENTES

La orden de compra en la práctica comercial se ha configurado como un instrumento básico en los acuerdos que diariamente se efectúan entre todo tipo de empresas. Es muy común que ante cualquier compraventa, se solicite por el vendedor la emisión por parte de comprador. Con este tipo de

2 Universidad de la Frontera documentos se busca la certeza real de las obligaciones a contraer por las partes [1]. Independiente de su formato (escrita o digital) una orden de compra se transforma en el vinculo legal entre las partes interesadas de vender y adquirir un producto o servicio. Por lo cual, debe cumplir con las normas mínimas de seguridad para garantizar el cumplimiento de lo estipulado. Para la acreditación de un documento digital, este debe realizarse a través de una firma electrónica. Esto se encuentra definido según la Ley N° 19.799, sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma, en relación a su Reglamento, y por ende,se aplicará la certeza establecida por el órgano certificador. La firma digital es una modalidad de firma electrónica que utiliza una técnica de criptografía asimétrica y que tiene la finalidad de asegurar la integridad del mensaje de datos a través de un código de verificación, así como la vinculación entre el titular de la firma digital y el mensaje de datos remitido, [2]. Una firma digital avanzada es aquella certificada por un prestador acreditado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría. La firma digital emplea dos llaves criptográficas para cada usuario,una pública que es conocida por todos los clientes potenciales y otra privada que debe mantenerse en secreto. El receptor obtendrá un mensaje y la firma digital. Un algoritmo de verificación de firma es usado por él para autenticar al firmante de la transacción, este algoritmo usa la información de la clave pública del remitente, el contenido del mensaje y la firma digital para realizar los cálculos, si el resultado es correcto el remitente es autenticado y por ende el mensaje recibido es idéntico a aquel enviado, si la verificación de la firma falla la transacción es rechazada y se solicita una retransmisión. La firma digital proporciona seguridad adicional y le permite al receptor del mensaje, verificar su procedencia y su contenido, pero hay que tener presente que ella por sí sola no representa garantía de confidencialidad, este campo le compete a la criptografía. El método criptografico más utilizado en la actualidad es el asimétrico, este está compuesto de dos llaves una privada que debe ser almacenada por el emisor del mensaje y no puede distribuirse y la clave publica que debe ser enviada junto al mensaje al receptor. Dentro de los metodos más conocidos está el de Diffie y Hellman el cual tiene como finalidad del algoritmo es hacer posible que los usuarios intercambien de manera segura una clave secreta que luego pueda ser usada para el cifrado de mensajes. El intercambio de claves de Diffie-Hellman, también denominado intercambio de claves exponencial, es un método de cifrado digital que utiliza números elevados a potencias específicas para producir claves de descifrado sobre la base de

Magister en Ingeniería en Informática componentes que nunca se transmiten directamente, lo que hace que la tarea de un posible rompe códigos sea matemáticamente complejo. El sistema criptografico más utilizado en firmas digitales es el RSA, éste permite no sólo garantizar la confidencialidad de la comunicación entre dos partes, cifrando en origen el mensaje que se va a transmitir por un canal inseguro y descifrándolo en recepción, sino que también proporciona otros servicios o funciones de seguridad de la información, como son la autenticación de origen , la integridad o el norepudio (mediante la firma digital).

Figura XX Estructura Cifrado RSA

Otra de las técnicas de protección de información es la esteganografía. La esteganografía es el arte de ocultar información en otro elemento. A diferencia de la criptografía, que cifra el mensaje para que no se pueda leer sin la clave de descifrado, el objetivo de la esteganografía es ocultar de las miradas indiscretas la existencia del mensaje. Al igual que con otros métodos de gestión de la información, la esteganografía también se utiliza en las tecnologías digitales, [3].

Figura XX Ejemplo de Esteganografía

III.

EL PROBLEMA

El departamento de compras del Sun Dreams es el área encargada de gestionar la adquisición de productos y servicios que son requeridos en todas las unidades de negocios que pertenecen a la empresa. Toda necesidad de compra nace con la generación de un CAPEX que es evaluado y aprobado el

3 Universidad de la Frontera año anterior del periodo en curso. Este proceso está compuesto por un flujo de trabajo en donde intervienen diversos actores y que en la actualidad realizan a través de correos electrónicos y transitando el documento como adjunto que se va inflando en peso a medida que van imprimiendo, firmando, escaneando y volviendo a adjuntar al correo. Quien concentra todos los emails con firmas de autorizaciones y finalmente genera la orden de compra es la Jefa de Adquisiciones. Tal como se aprecia, el proceso de compra es manual y totalmente vulnerable, se pueden resumir las siguientes desventajas del proceso de compra actual: Desventajas: 1. Poco eficiente 2. Inseguro 3. Vulnerable 4. Aumenta problemas internos 5. Disminuye trazabilidad de los documentos Tal como se aprecia en la figura (NNN) en el proceso de compra interactúan varios actores y de diversas áreas, los cuales deben analizar y autorizar dicha información de compra. A. Fase Inicial El proceso de compra inicia tras la necesidad de un área especifica en la adquisición de un nuevo servicio o producto, esto debe haber sido autorizado y planificado en el CAPEX perteneciente al año anterior de la ejecución de compra. El requerimiento es enviado al área de compra directamente por el jefe de unidad, indicando:  Motivos de compra  CAPEX asociado  Periodo de compra  3 cotizaciones de proveedores  Preferencia de proveedor Los antecedentes son enviados por correo electrónico y los documentos pueden pertenecer a cualquier formato. B. Fase de Generación de Orden de Compra Los antecedentes llegan por correo electrónica al grupo de compra, estos son validados por los ejecutivos según los parámetros internos de compra. La orden de compra es generada en un formato preestablecido en una plantilla de cálculo (Microsoft Excel) y posteriormente enviada al Jefe de compras para validar la información. En el email se adjunta toda la información enviada por el área solicitante de compra. Los documentos se envían sin ningún tipo de protección y queda a libertad del ejecutivo de compra la distribución de dicha información, en ocasiones se cometen errores de envío de información a usuarios que no tienen relación con la compra o lo que es peor usuarios ajenos a la compañía. C. Fase de Autorización Jefe de Compra El Jefe de Compra debe validar todos los antecedentes

Magister en Ingeniería en Informática enviados por sus ejecutivos de compra y validar que el presupuesto asignado sea el correcto, por tal motivo su autorización se hace vital ya que es quien destina los recursos financieros para concretar la compra. Para validar la orden de compra debe:  Imprimir el documento  Validar información  Firmar el documento  Escanear el documento  Enviar por correo electrónico El envío y firma del documento se realiza sin ningún tipo de protocolo o medida de seguridad que permita garantizar la autenticidad del documento, integridad y legalidad de la firma. D. Fase de Autorización Jefe de Finanzas En esta fase el documento debe ser impreso, firmado, escaneado y enviado por correo electrónico nuevamente. Se alertan las mismas vulnerabilidades del paso anterior. E.

Fase de Autorización del Gerente de Área El Gerente de Área es el encargado de dar el último visto bueno para la aprobación de compra y tal como las fases de autorizaciones anteriores debe realizar los mismos pasos en forma manual. IV.

PROPUESTA DE SOLUCIÓN

La presente propuesta no contempla el análisis, diseño y desarrollo de un software de gestión de compra ya que la implementación de este requiere un análisis más acabado del proceso y ciclo actual de compra, añadiendo mejoras y optimización del flujo. Esto puede quedar planteado para un nuevo caso de estudio. El enfoque que le daremos en este documento al problema, va ligado a los aspectos de seguridad de la información, para esto se propone incluir capas de seguridad al proceso actual. A.

Seguridad de la Información

La seguridad de la información se articula sobre tres dimensiones, que son los pilares sobre los que se aplicar las medidas de protección de nuestra información:

4 Universidad de la Frontera Figura N°XX Dimensiones de la Seguridad de la Información

Aplicaremos dos de las tres dimensiones, descartando para este proyecto la dimensión de “Disponibilidad” ya que nuestro foco no está relacionado con algún sistema de gestión de compras, por lo cual no será un problema a resolver por ahora. De igual forma complementaremos dos de las características que debe tener un sistema seguro: Autenticación y No Repudio. Con la integridad de la información conseguiremos proteger la información en su conjunto y que esta no pueda ser modificada por quien no esté autorizado. La información debe mantenerse con exactitud, tal cual fue generada. Para esto, cambiaremos el formato de la Orden de Compra a PDF, impidiendo así que este sea adulterado por otros usuarios. Además se aplicarán técnicas de encriptación en el mensaje que será enviado por correo electrónico. El primer paso es aplicar el protocolo criptográfico de Diffie & Hellman para generar una clave privada y otra publica, ambas de largo considerable para impedir ataque de fuerza bruta. El segundo paso es cifrar el mensaje del correo electrónico utilizando el el cifrado Cesar, este cifrado requiere de un mensaje y una clave, para esto se utilizará la clave pública generada con el protocolo Diffie & Hellman generada anteriormente. Finalmente la clave pública la enviaremos en el mismo mensaje, pero utilizaremos la técnica de esteganografía para ocultar la clave pública en la imagen del logo corporativo de Sun Dreams, tal como se aprecia en la figura N°33

Magister en Ingeniería en Informática desarrollado un prototipo en el lenguaje de programación Python:

Figura N°XX Prototipo de prueba en Python Como resultado podemos ver claramente el correcto funcionamiento de este prototipo (ver figura N°XX), en el cual se puede destacar y recomendar el uso de librerías que ya llevan implementadas por mucho tiempo y no tener que crear uno mismo un método aleatorio para generar números primeros, estos números son la clave para el correcto funcionamiento del algoritmo y el éxito dependerá del largo de este.

Figura N°XX Resultado prueba prototipo

B. Firma Electrónica La siguiente fase del proyecto propone la implementación de firma digital para todos los involucrados de validar la Orden de Compra (ver figura N°XX). Para esto se crearán los certificados de identificación única para usuarios utilizando el sistema criptográfico RSA. Todo usuario que obtenga el documento firmado podrá validar su origen y usuario creador de la firma.

Figura N°xx Primeros pasos para proteger la información cifrada Todos los usuarios a los que le llegue el mensaje deberán aplicar el método inverso para lograr obtener la información completa: 1. Obtener la clave pública oculta en la imagen del logo de Sun Dreams. 2. Validar con su clave publica y la clave privada 3. Utilizar esa clave para Para evaluar el funcionamiento de esta solución se ha

Figura N°XX Proceso de Firma Electrónica Para el prototipo de este proyecto se utiliza las librerías de endesive, cryptography y OpenSSL de Python. Con esto podemos generar fácilmente los certificados digitales con sus

5 Universidad de la Frontera respectivas claves públicas y privadas. Cabe señalar que la creación de certificados digitales para el uso en firmas electrónicas de uso privado tienen el inconveniente que lectores de PDF como el conocido Adobe Reader no reconocen la fuente de origen de estos certificados por lo que alerta al usuario de un certificado de fuente desconocida.

Magister en Ingeniería en Informática Una sección de conclusión no es necesaria. Sin embargo esta puede repasar los puntos principales del artículo, no repita el resumen como conclusión. Una conclusión se elabora con base en la importancia del trabajo realizado o en las aplicaciones y extensiones sugeridas

REFERENCIAS [1]

[2]

[3]

Figura N°XX Prototipo para firmar documento en Python

El resultado puede ser apreciado en la figura XX en donde la firma del usuario queda inserta en el PDF y al hacer clic podemos ver el detalle del certificado que acredita la veracidad de la firma electrónica.

Figura N°XX PDF con firma digital Ahora ya podemos validar una Orden de Compra, tanto su origen como la autenticidad del usuario firmante por lo cual incorporamos otra de las características de la seguridad de la información “No Repudio”.

IX. CONCLUSIÓN

S. A. Romero Santibáñez, «La Orden de Compra y sus Requisitos, Considerando los actuales mecanismos electrónicos en que se efectuan las transacciones mercantiles.», Universidad de Chile, Santiago - Chile, 2013. W. A. García Rojas, «Implementación de Firma Digital en una Plataforma de Comercio Electrónico», Pontificia Universidad Católica del Perú, Lima Perú, 2008. H. Kuksov, «¿Qué es la esteganografía digital?», Kaspersky, jul. 03, 2019. https://latam.kaspersky.com/blog/digital-steganography/14859/.