Seguridad Y Comercio Electronico

UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) INGENIERO EN INFORMÁTICA

PROYECTO FIN DE CARRERA

SEGURIDAD Y COMERCIO ELECTRÓNICO

AUTOR:

EDUARDO GÓMEZ FERNÁNDEZ MADRID, Septiembre de 2008

Seguridad y Comercio Electrónico

Resumen En la actualidad existen cada vez más tiendas virtuales relacionadas con mercados que tenían poca o incluso nula presencia en la red, al mismo tiempo que aparecen nuevas oportunidades empresariales que permiten que en una franja temporal relativamente pequeña se puedan formar empresas capaces de proporcionar un servicio. Es propósito de este proyecto intentar analizar este mundo virtual tan cambiante desde el prisma del comercio electrónico, así como observar la evolución que ha ido sufriendo a lo largo de los años. Para llevar a cabo este objetivo se ha optado por realizar dos tareas que permiten entender un poco más la problemática del asunto, y así evitar caer en realizar un ejercicio puramente enciclopédico, ni en presentar un espacio virtual de mercado sin base teórica alguna. En primer lugar en el presente proyecto se ha realizado un estudio sobre el comercio electrónico en la actualidad, tanto desde el punto de vista tecnológico como desde el punto de vista empresarial y organizativo. En segundo lugar se ha implantado un prototipo de tienda virtual con el fin de aplicar los conceptos y conclusiones alcanzados en el estudio previo con un ejemplo real. Dicha tienda virtual se ha presentado como la versión on-line de Muziko, tienda de accesorios musicales para instrumentos de música clásica. En el proyecto se ha hecho uso de un número considerable de recursos software, recurriendo a un software específico como la herramienta principal de la creación de la tienda virtual. Esta tienda virtual aparece integrada dentro de una plataforma web desarrollada íntegramente con software libre, tanto por su gran aceptación en

I

Seguridad y Comercio Electrónico Internet como por sus claras ventajas económicas. Para el desarrollo de este proyecto se ha utilizado la herramienta específica de comercio electrónico osCommerce, que hace uso del lenguaje PHP para su comunicación con un servidor Apache. Para la gestión de la base de datos, se ha empleado el gestor MySQL. La tienda virtual presenta dos partes claramente diferenciadas. Por un lado un catálogo de accesorios de instrumentos de música clásica con diferentes secciones, según sea la tipología de los diferentes artículos, y que podrán ser comprados por los usuarios utilizando diferentes medios de pago. Se ha buscado aplicar aquí los conocimientos adquiridos en el estudio previo y dar el servicio de compras con algunas de las tecnologías estudiadas anteriormente. Por otro lado, también se ofrece una parte de administración desde la cual se permite gestionar a los distintos usuarios, llevar un control de estadísticas de la tienda o establecer distintas políticas de precios. La tienda es accesible para todo el mundo a través de la página web http://tienda.muziko.es, pudiendo realizar las distintas compras deseadas previo registro gratuito. Desde el punto de vista organizativo la tienda permite realizar una diferenciación entre los usuarios por su perfil, según sea un usuario normal o un administrador. Los usuarios podrán realizar las compras que deseen, mientras que los administradores serán los encargados de gestionar el catálogo, así como realizar otro tipo de gestiones en la tienda.

II

Seguridad y Comercio Electrónico

Abstract Nowadays the number of virtual stores over the internet has increased, especially those stores related with markets that had minimum or null presence on the network, while appearing new business opportunities as well. The present project tries to analyze this virtual world, study it by observation of the market evolution suffered over the years. To carry out this objective two tasks have been chosen. Therefore this will help to understand the problematic in a much better way. Firstly this project conducts a study on electronic commerce at present, both from a technological and a business point of view. Also important is the fact of taking into account organizational conditions. On the other hand, a prototype store will also be introduced in order to implement the concepts and conclusions reached in the previous study with a real example. This virtual store has been presented as the online version of Muziko, shop for musical accessories and classical music instruments. The virtual store, with http://tienda.muziko.es as the domain name, is integrated as a web platform. It is developed entirely using free software, both for its wide acceptance on the Internet and for its clear economic benefits. This development has also taken into account the usage of e-commerce store tool from osCommerce, which makes use of the PHP language for all the communication with an Apache server. All this is integrated with a database that runs under the MySQL database server. Therefore users can make all the desire purchases, while store managers will be responsible for taking care of the online inventory and all the work within the store.

III

Seguridad y Comercio Electrónico ÍNDICE

1.

El comercio electrónico en la empresa actual ......................................................... 2 1.1.

Determinación de aplicaciones y datos críticos. ............................................... 2

1.2.

Arquitectura ISM. ................................................................................................. 5

1.2.1.

Arquitectura de datos de la empresa. ......................................................... 6

1.2.2.

Arquitectura de aplicaciones de la empresa. ............................................. 6

1.2.3.

Arquitectura de la tecnología ....................................................................... 9

1.2.4.

Arquitectura integrada ............................................................................... 10

1.3. 2.

1.2.4.1.

Planificación y control estratégico ..................................................... 10

1.2.4.2.

Planificación del desarrollo................................................................. 12

Inventario de estructuras informáticas y de seguridad. ............................... 18

Métodos de integración y seguridad ..................................................................... 26 2.1.

Requerimientos del plan de contingencias y recuperación. ......................... 26

2.1.1.

Análisis y valoración de riesgos. ............................................................... 28

2.1.2.

Jerarquización de las aplicaciones. ............................................................ 29

2.1.3.

Establecimientos de requerimientos de recuperación. ........................... 30

2.1.4.

Ejecución. ...................................................................................................... 30

2.1.5.

Pruebas. ......................................................................................................... 31

2.1.6.

Documentación. ........................................................................................... 31

2.1.7.

Difusión y mantenimiento.......................................................................... 32

2.2.

Análisis de riesgos. ............................................................................................. 34

2.3.

Estudio de vulnerabilidades. ............................................................................. 39

IV

Seguridad y Comercio Electrónico 2.4.

La importancia de la seguridad en el comercio electrónico. ........................ 44

2.4.1.

Herramientas de protección en el comercio electrónico. ....................... 45

2.4.1.1.

Firewalls (Corta Fuegos) ..................................................................... 45

2.4.1.2.

Protocolo SSL ........................................................................................ 47

2.4.1.3.

Certificados. .......................................................................................... 48

2.4.1.4.

Infraestructura de Clave Pública (PKI). ............................................ 49

2.4.1.5.

Ejemplo real........................................................................................... 52

2.5. Responsabilidades del Ingeniero Informático en el cumplimiento de la LOPD. .............................................................................................................................. 58 3.

Claves del comercio electrónico en la nueva economía ..................................... 68 3.1.

Comercio electrónico como generador de cambios empresariales. ............. 68

3.1.1.

Tipos de intermediarios .............................................................................. 71

3.2.

Tipos de comercio electrónico. .......................................................................... 75

3.3.

La nueva cadena de valor en el comercio. ....................................................... 85

3.4.

Las nuevas oportunidades empresariales. ...................................................... 97

3.5.

Definición de la estrategia para el comercio electrónico. ............................ 103

3.5.1.

Desarrollo de una estrategia de comercio electrónico. ......................... 105

3.5.2.

Aspectos clave de una estrategia de comercio electrónico. ................. 106

3.5.3.

Aspectos negativos en una estrategia de comercio electrónico .......... 111

3.5.4.

De la estrategia a la acción estratégica.................................................... 116

3.5.4.1.

Paso 1: Pensar la estrategia del comercio electrónico ................... 117

3.5.4.2.

Paso 2: Entender la estrategia del comercio electrónico. .............. 118

3.5.4.3.

Paso 3: Definir la estrategia del comercio electrónico. .................. 119

3.5.4.4.

Paso 4: Diseñar la estrategia del comercio electrónico.................. 121

V

Seguridad y Comercio Electrónico

4.

3.5.4.5.

Paso 5: Construir la estrategia del comercio electrónico. ............. 125

3.5.4.6.

Paso 6: Proyectar la estrategia del comercio electrónico. ............. 126

3.5.4.7.

Paso 7: Acompañar la estrategia del comercio electrónico. ......... 128

3.5.5.

Elementos clave de una web de comercio electrónico ......................... 131

3.5.6.

Conclusión .................................................................................................. 133

Ejemplo práctico de una empresa de comercio electrónico ............................ 136 4.1.

Plan de negocio. ................................................................................................ 136

4.1.1.

Resumen ejecutivo ..................................................................................... 136

4.1.2.

Análisis y diagnóstico de la situación ..................................................... 137

4.1.2.1.

Análisis del entorno general ............................................................. 137

4.1.2.2.

Análisis del entorno específico – 5 fuerzas de Porter ................... 138

4.1.2.3.

Análisis interno ................................................................................... 143

4.1.2.4.

Diagnóstico cualitativo ...................................................................... 145

4.1.3.

Producto ...................................................................................................... 146

4.1.4.

Objetivos y estrategias .............................................................................. 147

4.1.4.1.

Establecimiento de objetivos ............................................................ 147

4.1.4.2.

Formulación de estrategias ............................................................... 147

4.1.5.

Plan de marketing...................................................................................... 148

4.1.5.1.

Política de producto ........................................................................... 148

4.1.5.2.

Política de distribución ...................................................................... 148

4.1.5.3.

Política de comunicación................................................................... 149

4.1.5.4.

Localización......................................................................................... 150

4.1.6.

Plan de recursos humanos........................................................................ 150

VI

Seguridad y Comercio Electrónico

4.2.

4.2.1.

Plataforma web .......................................................................................... 151

4.2.2.

Aplicaciones de comercio electrónico ..................................................... 153

4.2.3.

Solución elegida: osCommerce ................................................................ 156

4.3.

5.

Arquitectura. ...................................................................................................... 151

Guía de navegación. ......................................................................................... 161

4.3.1.

Administración .......................................................................................... 161

4.3.2.

Catálogo ...................................................................................................... 167

Valoración económica y planificación del proyecto ......................................... 176 5.1.

Valoración económica. ..................................................................................... 176

5.1.1.

Coste de tecnología .................................................................................... 176

5.1.2.

Coste de implantación............................................................................... 177

5.1.3.

Costes operacionales ................................................................................. 178

5.1.4.

Costes totales .............................................................................................. 178

5.2.

Planificación temporal...................................................................................... 179

6.

Trabajo futuro y conclusiones .............................................................................. 182

7.

Bibliografía ............................................................................................................... 184

8.

Anexos ....................................................................................................................... 186 8.1.

Seguridad en el comercio electrónico: ¿SSL o SET?. .................................... 186

8.2.

LOPD (Ley Orgánica de Protección de Datos). ............................................ 190

8.3.

LSSICE. ............................................................................................................... 192

VII

Seguridad y Comercio Electrónico

1

El comercio electrónico en la empresa actual

1

Seguridad y Comercio Electrónico

1. El comercio electrónico en la empresa actual 1.1.

Determinación de aplicaciones y datos críticos. Para la realización de este proyecto es fundamental comenzar con la

determinación de aplicaciones y datos críticos, ya que es la base sobre la que se irán construyendo los distintos apartados que se aborden a lo largo del mismo. Es necesario comenzar diciendo que cada empresa tiene unas características únicas y, aunque las hay semejantes, sobre todo a la hora de determinar las aplicaciones y datos críticos, se encontrarán soluciones y resultados muy dispares. Como se ha comentado, no hay una solución exacta, pero se empleará la metodología BSP (Business Strategic Planning) que mediante una serie de pasos consigue la definición de los procesos de negocio:

2

Seguridad y Comercio Electrónico Las funciones o procesos empleados en conseguir los objetivos, tanto a corto como a largo plazo e independientemente de que empresa sea, son críticos para el éxito de la misma y son normalmente independientes. Así mismo, se debe realizar su agrupación en bloques lógicos. Es cierto que, si el entorno de negocio es maduro, los procesos son independientes de las personas que los realizan, es decir: las personas pueden cambiar pero los procesos continúan. Si por el contrario el entorno de negocio no es maduro debe aparecer un nuevo conjunto de procesos para soportar la nueva tarea. La razón por la que es necesario definir los procesos de negocio antes de pasar a desarrollar cualquier tema de la seguridad y del comercio electrónico es porque dicha definición asegura que la información correcta está en el sitio adecuado y en el momento preciso. Es totalmente inútil empezar a determinar datos y aplicaciones críticas o un plan de contingencias sin saber dónde está la información. En el recorrido de todos los pasos se deben considerar los siguientes factores que pueden ayudar o destruir cada propósito:


El director no puede delegar la planificación.




La planificación debe realizarse en los períodos de éxito.




Todos los directores deben participar en la planificación.




La planificación debe estar al nivel suficiente dentro de la organización para obtener el soporte de los ejecutivos.




Sin un plan, el valor del ejercicio puede reducirse seriamente.

3

Seguridad y Comercio Electrónico


No se debe asumir que la planificación a largo plazo resuelve los problemas actuales.

En la siguiente figura se puede observar el recorrido a la hora de ejecutar los distintos pasos de la metodología BSP comentada.

4

Seguridad y Comercio Electrónico

1.2.

Arquitectura ISM. Debido a la rapidez con la que pueden aparecer los cambios, tal y como se

ha comentado, la arquitectura se puede utilizar para proporcionar estructuras, evaluar prioridades y para reducir el impacto del cambio en la empresa. En el contexto de este proyecto, se utilizará la arquitectura ISM (Information System Management) para proporcionar la estructura de los negocios soportados. Los componentes de dicha arquitectura pueden utilizarse para examinar las alternativas de una organización o desarrollar un entorno comprensible de los sistemas y aplicaciones que pueden soportar a la empresa. Para la realización de los pasos que comprenden la metodología BSP se utiliza la entrevista como técnica para definir el plan de necesidades de información de la empresa. Dichas necesidades de información se consolidarán en un informe de las necesidades. Todo este proceso de planificación tiene como fin entender la empresa por la definición de sus misiones de negocio, objetivos, estrategias, políticas y procesos básicos del negocio. Se ha definido la información necesaria para realizar los negocios en términos de clases de datos y necesidades de información. El paso siguiente será crear una estructura para proporcionar esta información. Para ello se realizará la arquitectura de la empresa utilizando toda la información obtenida en el proceso de la planificación estratégica del negocio. Los elementos de la definición de la arquitectura son: i.

Definir la arquitectura de datos para la empresa.

ii.

Definir la arquitectura de las aplicaciones para la empresa.

5

Seguridad y Comercio Electrónico iii.

Definir la arquitectura tecnológica para la empresa.

iv.

Integrar la arquitectura.

1.2.1. Arquitectura de datos de la empresa. La arquitectura de datos, aplicaciones y tecnología definen la base para proporcionar el soporte de la información necesaria para los negocios. Los procesos de la información son aquellos por los que los datos y la información pasan para permitir la toma de decisiones y la realización de las tareas. La arquitectura define los medios potencialmente automatizados para tratar dicha información. La arquitectura de datos es una agrupación lógica de los datos más importantes y más utilizados en la empresa. La necesidad de una arquitectura de datos comprensible ha llegado a ser más importante en la actualidad, debido a las nuevas tecnologías que permiten almacenar, producir y distribuir la información más fácilmente. Al igual que en un proceso de negocio los datos se pueden definir también en una jerarquía de grupos de datos, clases de datos y elementos de datos.

1.2.2. Arquitectura de aplicaciones de la empresa. Debido a que las aplicaciones pueden ser una parte integral de los negocios y ser críticos con su efectividad total, es esencial que ellos soporten a la organización en sus verdaderas necesidades, y aunque las aplicaciones representen la mayor inversión en tiempo y dinero, deben ser definidos de una manera

6

Seguridad y Comercio Electrónico estructurada para limitar la duplicidad y redundancia, tanto de programas como de bases de datos. La arquitectura de las aplicaciones depende de los procesos y de los datos necesarios para soportar esos procesos. Existen en realidad los medios por los cuales los datos necesarios deben ser extraídos juntos, como se necesitan para el proceso individual o en procesos agrupados. Aunque la arquitectura exacta de las aplicaciones debe ser única para cada empresa, el modelo siguiente representa distintos grupos de aplicaciones comunes:

7

Seguridad y Comercio Electrónico El modelo que se presenta con la anterior figura está basado en los datos y procesos necesarios del negocio más que en la organización que debe soportarlos. La nomenclatura de los grupos de aplicaciones puede parecer similar a algunos componentes de la organización, pero en realidad no están relacionados a ninguna estructura específica de la misma. Los grupos de aplicaciones deben cubrir todo el rango de los sistemas que deben desarrollarse por la empresa, incluso aunque los recursos o su justificación no estén disponibles. Esto es así porque los cambios en el entorno de negocio necesitan que el modelo sea completo para facilitar colocar nuevas prioridades. Esta agrupación de aplicaciones proporciona también un mapa para todo el trabajo de desarrollo y mantenimiento dentro de la empresa. Cada subsistema conceptual debe estar lo suficientemente definido para que se pueda permitir el eventual desarrollo de un sistema de aplicaciones. Muchos de estos sistemas de aplicaciones puede que existan ya dentro del inventario, tanto como un sistema completo o como una parte del mismo. Se debe realizar de una manera anticipada un esfuerzo importante de planificación cuando una aplicación comienza a hacerse obsoleta. Para definir la arquitectura de aplicaciones es importante comprender con alguna profundidad los procesos del negocio y los datos que son necesarios para realizar esos procesos. La técnica utilizada por el BSP, para realizar esa arquitectura incluye: i.

Creación de una matriz de procesos y datos que indica los procesos que crean, actualizan y acceden a las distintas clases de datos.

ii.

Agrupación de las aplicaciones o sistemas alrededor de esa diagonal creada para balancear el impacto tanto de los procesos como de los datos en el sistema concebido.

8

Seguridad y Comercio Electrónico iii.

Documentar

esos

grupos

para

clasificaciones

posteriores

en

subsistemas en el nivel táctico. Para mostrar la interdependencia de los datos se debe dibujar un diagrama general de flujos tanto para los procesos como para las aplicaciones. Con esta estructura y su flujo hay menos necesidades para un ajuste “forzado” de cambios dramáticos en las aplicaciones individuales. La imagen total permite construir un armazón para poder evaluar cada pieza de una manera individual.

1.2.3. Arquitectura de la tecnología La arquitectura de la tecnología proporciona los medios a la arquitectura de datos y aplicaciones. Sin ella sería difícil e ineficiente el proporcionar la información correcta en el momento adecuado. Esta arquitectura de la tecnología incluye cada elemento hardware, software, redes, etc. Su estructura debe considerar el impacto de los elementos existentes y proporcionar los enlaces correctos para poder ejecutar otros elementos adicionales, teniendo en cuenta que cada elemento puede ser mejorado o reemplazado individualmente. No obstante dentro de esa estructura se incrementa el número de opciones por las cuales las necesidades de información puedan alcanzarse: la tecnología avanza tan rápidamente que la mejor solución tecnológica actual puede no ser la ideal para mañana. La arquitectura de la tecnología debe actualizarse para poder planificar esos cambios. La arquitectura de la tecnología debe proporcionar estructuras, funciones e interfaces, excepto cuando la nueva tecnología esté disponible. Las interfaces de los sistemas avanzados deben anticiparse cuando ello sea posible.

9

Seguridad y Comercio Electrónico 1.2.4. Arquitectura integrada La arquitectura de datos, aplicaciones y tecnología son independientes y deben integrarse dentro de una estructura total. Esto necesita normalmente varias iteraciones a través de varias combinaciones antes de que pueda entregarse una recomendación final, puede incluir opciones basadas a las necesidades definidas, por ejemplo rendimiento, disponibilidad, carga de trabajo, etc. Este proceso ha transformado las necesidades de información en una estructura para soportar esas necesidades. El paso siguiente debe tomar decisiones acerca del mejor camino para conseguir los resultados.

1.2.4.1. Planificación y control estratégico Basado en las metas y contenciones de la empresa, este proceso proporciona el plan estratégico, o cómo se pueden alcanzar las metas expresadas por la dirección general de la empresa. Especifica la secuencia de las actividades clave de la empresa en el orden el que deben realizarse y cómo los servicios proporcionados deben evolucionar. También asegura la coherencia y consistencia contra los logros tácticos. Los elementos de planificación y control estratégico son: i.

Evaluar la implantación de los servicios alternativos, aplicaciones y datos incluyendo las justificaciones de negocio y la evaluación de riesgos. Para asegurar que la planificación coincide con la estrategia de la empresa, los dos procesos anteriores establecen el entorno y la estructura de la arquitectura necesarios para soportar los negocios. Utilizando esta base el plan estratégico debe ponerse en la dirección

10

Seguridad y Comercio Electrónico para realizar estas tres misiones: servicio, desarrollo y consultoría, y establecer los límites de los recursos para estas misiones. Las estrategias parciales deben ser compatibles. ii.

Definir y dar prioridades a los objetivos estratégicos dentro de las políticas. En cada organización se pueden obtener grandes beneficios competitivos planificando la dirección estratégica. Probablemente una de las preguntas más difíciles para el ejecutivo es el decidir qué es lo mejor para aplicar la nueva tecnología, que cambia rápidamente y para poder tomar ventajas frente a la competencia. Ello requiere un conocimiento real y consciente de la tecnología y después planificar cuidadosamente su utilización. Un ejemplo de esta dirección estratégica y sus consecuencias se puede contemplar en aquellas industrias, como los bancos y las compañías aseguradoras. Las compañías previsoras y la dirección están preparadas para instalar terminales para los usuarios mucho antes que aquellas otras compañías que han fallado en la previsión del futuro. Tienen la tecnología base instalada en el momento correcto.

iii.

Obtener la aprobación para el plan estratégico.

iv.

Control del plan estratégico contra el cumplimiento táctico.

11

Seguridad y Comercio Electrónico 1.2.4.2. Planificación del desarrollo Este grupo de procesos se concentra en la parte del plan estratégico que cubre el desarrollo técnico que si debe llevarse a cabo dentro del horizonte táctico. Define la gestión de los proyectos que deben implantarse. Los cuatro proyectos dentro de este grupo se discuten en la secuencia siguiente:

A continuación se muestran unas matrices que ayudan a identificar las clases de datos según cada proceso.

12

Seguridad y Comercio Electrónico

Planificación del negocio Análisis de la organización Revisión y control Planificación financiera Adquisición de capital Investigación Previsiones Diseño y desarrollo Mantent. De especif. De producto Compras Recepción Control de inventario Diseño de rutas en planta Planificación de fechas Planificación de capacidad Necesidades de material Operaciones Administración de territorio Ventas Administración de ventas Servicio de pedidos Envíos Contabilidad general Planificación de costos Contabilidad presupuestaria Planificación de personal Contratación / Formación Personal Compensación

C U U U U C U C

Empleado

Costo

Pedido

Territorio de ventas

Cliente

de Rutas

Ordenes abiertas

Carga de máquinas

Trabajo en curso

Instalaciones

prod. de Invent.

Invent. de materias

Proveedor

Lista de materiales

Producto

Finanzas

Proceso

Planificación

Clase de Datos

Fichero Maestro de

Clases de Datos según Proceso de Creación

U

U

U

U U U U U C C U U U C C U C U U C C U U C U U U U C U U U C U U U U U C U U U C U C U U C U U U U U U U U U U U U U U

U

13

U

U U U C U U U C U U C U U

Seguridad y Comercio Electrónico

Planificación del negocio Análisis de la organización Revisión y control Planificación financiera Adquisición de capital Investigación Previsiones Diseño y desarrollo Mantent. De especif. De producto Compras Recepción Control de inventario Diseño de rutas en planta Planificación de fechas Planificación de capacidad Necesidades de material Operaciones Administración de territorio Ventas Administración de ventas Servicio de pedidos Envíos Contabilidad general Planificación de costos Contabilidad presupuestaria Planificación de personal Contratación / Formación Personal Compensación

C U U U U C U C

U U U

Empleado

Costo

U U U U U

U U C U U C U U C U U C U U U C

U U U U

U U

C U C U U

U U

U U U

Pedido

U

C U U C C

U

Territorio de ventas

U

U U C C U U C C U

U

Cliente

de Rutas

Ordenes abiertas

Carga de máquinas

Trabajo en curso

Instalaciones

prod. de Invent.

Invent. de materias

Proveedor

Lista de materiales

Producto

Finanzas

Proceso

Planificación

Clase de Datos

Fichero Maestro de

Agrupamiento de procesos según la clase de datos

U U U

U

U U U C U U U C U U C U

U

U

U

14

Seguridad y Comercio Electrónico

Planificación del negocio Análisis de la organización Revisión y control Planificación financiera Adquisición de capital Investigación Previsiones Diseño y desarrollo Mantent. De especif. De producto Compras Recepción Control de inventario Diseño de rutas en planta Planificación de fechas Planificación de capacidad Necesidades de material Operaciones Administración de territorio Ventas Administración de ventas Servicio de pedidos Envíos Contabilidad general Planificación de costos Contabilidad presupuestaria Planificación de personal Contratación / Formación Personal Compensación

C U U U U C U C

Empleado

Costo U

U

U

U U U U U U C C U U U C C U C U U C C U U C U U U U C U U U C U U U U U C U U U C U C U U C U U U U U U U U U U U U U U

Pedido

Territorio de ventas

Cliente

de Rutas

Ordenes abiertas

Carga de máquinas

Trabajo en curso

Instalaciones

prod. de Invent.

Invent. de materias

Proveedor

Lista de materiales

Producto

Finanzas

Proceso

Planificación

Clase de Datos

Fichero Maestro de

Determinación de la Circulación de los Datos

U

U U U C U U U C U U C U U

15

Seguridad y Comercio Electrónico

Planificación del negocio Análisis de la organización Revisión y control Planificación financiera Adquisición de capital Investigación Previsiones Diseño y desarrollo Mantent. De especif. De producto Compras Recepción Control de inventario Diseño de rutas en planta Planificación de fechas Planificación de capacidad Necesidades de material Operaciones Administración de territorio Ventas Administración de ventas Servicio de pedidos Envíos Contabilidad general Planificación de costos Contabilidad presupuestaria Planificación de personal Contratación / Formación Personal Compensación

C U U U U C U C

Empleado

Costo

Pedido

Territorio de ventas

Cliente

de Rutas

Ordenes abiertas

Carga de máquinas

Trabajo en curso

Instalaciones

prod. de Invent.

Invent. de materias

Proveedor

Lista de materiales

Producto

Finanzas

Proceso

Planificación

Clase de Datos

Fichero Maestro de

Circulación de los Datos

U

U

U

U U U U U U C C U U U C C U C U U C C U U C U U U U C U U U C U U U U U C U U U C U C U U C U U U U U U U U U U U U U

U

U

U U U C U U U C U U C U U

16

Seguridad y Comercio Electrónico

Planificación del negocio Análisis de la organización Revisión y control Planificación financiera Adquisición de capital Investigación Previsiones Diseño y desarrollo Mantent. De especif. De producto Compras Recepción Control de inventario Diseño de rutas en planta Planificación de fechas Planificación de capacidad Necesidades de material Operaciones Administración de territorio Ventas Administración de ventas Servicio de pedidos Envíos Contabilidad general Planificación de costos Contabilidad presupuestaria Planificación de personal Contratación / Formación Personal Compensación

Dire cció n Cálculo de Necesidades

Fabricación

Ventas

Administración Personal 17

Empleado

Costo

Pedido

Territorio de ventas

Cliente

de Rutas

Ordenes abiertas

Carga de máquinas

Trabajo en curso

Instalaciones

prod. de Invent.

Invent. de materias

Proveedor

Lista de materiales

Producto

Finanzas

Proceso

Planificación

Clase de Datos

Fichero Maestro de

Arquitectura de la información

Seguridad y Comercio Electrónico

1.3.

Inventario de estructuras informáticas y de seguridad. Tal y como se ha expuesto en el apartado anterior parece inviable que una

empresa desarrolle su actividad habitual sin sus sistemas informáticos. Aparecen incluso estudios que confirman que la empresa, sea cual sea su tipología, sería incapaz de subsistir en el mercado actual. Un plan de seguridad informático sería aún más necesario si la empresa estudiada depende más que otras de la informática. Lo anterior sólo expone la realidad de que desde la misma dirección deben venir las normas y reglas para la operativa habitual, y es ya el responsable del recurso el que con los medios que se le proporcionan quien debe cumplirlas. Teniendo esto presente es pues la dirección quien ha de establecer los criterios generales de protección de datos y de la información, definir las políticas y normas de seguridad, así como determinar y dar a conocer a todo el personal de la empresa a los responsables del plan de seguridad y de su gestión, delimitando claramente el papel de cada uno. La primera etapa de este proceso debe venir por la definición de los grados y alcance de uso de la información, utilizando por ejemplo el siguiente modelo que se propone: i.

Sin clasificar: De uso público teniendo como limitación única la legalidad y la ética.

ii.

Pública restringida: A disposición del personal de la empresa en cuestión y determinados colaboradores externos.

iii.

Uso interno: Al alcance únicamente de la empresa, sin poderse difundir fuera de ella.

18

Seguridad y Comercio Electrónico iv.

Confidencial: Sólo utilizada por algunas funciones, áreas o departamentos, por lo que debe utilizarse con un cuidado especial.

v.

Confidencial restringido: Es un caso especial de la anterior, en los que la limitación de uso sólo puede ser ampliada por autorización expresa escrita y comprometida firmada de no divulgación.

vi.

Confidencial registrado: El caso más limitado, pues la autorización es individual y de almacenamiento controlado sin permitirse copia alguna.

Una clasificación como la presentada y una normativa reguladora es fundamental para la empresa, evitando eso sí una repercusión negativa por exceso de niveles. La solución para determinar esto pasa por realizar un análisis de la información de la empresa, intentando ser detallado y exhaustivo en lo relativo al impacto sobre la marcha del negocio. Sin embargo en las empresas que carecen de política de seguridad o planificación alguna, puede ser realmente problemático concienciar al personal de lo anterior, y éste precisamente aún hoy sigue siendo un problema en muchas empresas de España. A continuación se muestra una figura con las empresas que han actualizado sus servicios de seguridad en España, según los últimos datos del INE (Enero de 2007):

19

Seguridad y Comercio Electrónico

El 82,38% de las empresas españolas con acceso a Internet de más de 10 empleados han actualizado sus sistemas de seguridad en los últimos tres meses (Octubre-Enero 2007). Las empresas españolas con acceso a Internet son conscientes, en su gran mayoría, de la necesidad de tener implantado algún mecanismo de seguridad que les permita salvaguardar los datos, el acceso a sus sistemas y tener seguridad sobre las transacciones que se realizan internamente y hacia el exterior a través de Internet. En este sentido, no sólo es necesario que las empresas instalen mecanismos de seguridad, sino que los actualicen con regularidad, dada la rapidez con las que evolucionan las nuevas modalidades de ataques contra la seguridad a través de la Red. Es necesario un cambio de mentalidad, pues un plan de seguridad es fundamental en otras situaciones distintas a catástrofes totales o parciales, ya que consiste en:


Integridad del sistema informático y los datos que contiene. Autorización para manipular los mismos, para evitar resultados no

20

Seguridad y Comercio Electrónico previstos. Ésta es la característica más relacionada a calidad, pues indica que se ajusta a las necesidades de cada función autorizada.


Disponibilidad de los recursos del sistema, previa autorización de los mismos.




Confidencialidad del uso a los mismos, autorizado y limitado en el tiempo.

La siguiente figura muestra las empresas con Internet que usan servicios de seguridad a nivel interno.

Destaca la implantación del software antivirus, el 97% de las empresas con acceso a Internet se decantan por esta medida de protección. Le siguen la implantación de cortafuegos y la realización de backup con un 71% y un 62% respectivamente.

21

Seguridad y Comercio Electrónico En sentido contrario, la encriptación con un 7,79% y la firma digital con un 8,66% son los métodos menos utilizados. Cabe destacar el descenso en la utilización de password o login que ha pasado de un 38,74% en enero de 2006 a un 35,65% en enero 2007. A la conclusión que se debe llegar a la vista de lo expuesto en este apartado del proyecto, es que toda esta responsabilidad no debe recaer únicamente sobre una persona. Es común que la clasificación de la información, tal y como se ha comentado, permita identificar incluso al responsable idóneo de la misma, pues puede coincidir con la responsabilidad del acceso a dicha información. Este responsable es quien debe establecer delimitaciones en las fechas de clasificación de la información que tiene asignada, así como de comunicárselo al responsable informático, personal de la empresa o usuarios potenciales. Teniendo esto en cuenta parece que se debe avanzar más en cuanto a la delimitación de funciones y responsabilidades. Por otro lado, si ahora se analiza el número de intrusiones en empresas, es bastante alarmante el dato del porcentaje de mal uso de la información atribuible al personal de la propia empresa. Algunos ejemplos son: •

Introducción incorrecta de datos en conexiones con agencias y sucursales.

•

Compras de material informático sin garantía.

•

Insatisfacción del personal por inestabilidad en el empleo.

•

Falta de motivación entre directivos, con acceso incluso a información confidencial, en momentos de posibles cambios de empresa.

22

Seguridad y Comercio Electrónico Por lo expuesto hace unos años se creó un marco legal que fuera de obligado cumplimiento para todas las empresas, con el fin de regular información de copias, recuperación de sistemas, etc. Observando los últimos datos del INE, parece que aunque se intenta sujetar este problema, el porcentaje sigue siendo significativo, con una tendencia al alza cuando aumenta el tamaño de la empresa:

En enero de 2007 se aprecia un sensible descenso de las empresas con acceso a Internet que tuvieron algún problema de seguridad en los últimos 12 meses, pasando del 19,79% en enero de 2006 al 15,92% en enero de 2007. Las grandes empresas son las que tienen más problemas de seguridad, el 22,93% de éstas declaran haber tenido problemas, frente al 17,22% de las empresas de 50 a 249 o el 15,55% de las empresas de 10 a 49 empleados. En relación a las empresas con menos de 10 empleados se observa como el problema de la seguridad tiene la misma importancia que para las grandes empresas, ya que el 15,41% de las mismas han tenido algún problema de seguridad en los últimos doce meses.

23

Seguridad y Comercio Electrónico Si por el contrario ahora se analizan los tipos de problemas según el INE, se obtienen los siguientes datos:

El principal problema declarado por las empresas es el ataque de virus informáticos. En esta línea, se puede destacar que el problema mayor son los ataques de virus informáticos por los cuales se ven afectadas el 14.91% de las empresas dentro de los últimos doce meses. De ahí la importancia de tener, en primer lugar, un sistema de protección antivirus instalado en los sistemas de la empresa

y,

en

segundo

lugar,

mantener

este

sistema

de

seguridad

permanentemente actualizado. El siguiente paso parece ser intentar analizar las medidas para evitar estas situaciones, que aunque no es motivo de este proyecto, es fundamental para la dirección definir el alcance del plan de seguridad con el fin de identificar hechos, circunstancias, acciones y personas que puedan afectar a la propia información en todos sus grados. La dirección debe ser consciente del nivel de garantía de seguridad, del coste de la solución que permita alcanzar ese nivel y del riesgo que conlleve con el fin de tomar las medidas pertinentes sean cuales sean.

24

Seguridad y Comercio Electrónico

2

Métodos de integración y seguridad

25

Seguridad y Comercio Electrónico

2. Métodos de integración y seguridad 2.1.

Requerimientos del plan de contingencias y recuperación. Desde los inicios de los sistemas de información se comprendió que las

contingencias forman parte inherente de los mismos. Las amenazas a la información pueden provenir de muchas fuentes, tanto de origen natural (terremotos, tormentas, etc.), de origen humano (retaliaciones, celos profesionales, competencia, huelga, problemas laborales, entre otros), como de origen técnico (fallos del hardware, del software, con el suministro de energía, etc.). Y es casi siempre una situación no prevista la que regularmente provoca una crisis y las consecuencias de la misma, según su impacto y extensión, pueden ser catastróficas para los intereses de cualquier organización. Los fallos técnicos y humanos han hecho recapacitar a las organizaciones sobre la necesidad de utilizar herramientas que le permitan garantizar una rápida vuelta a la normalidad ante la presencia de cualquier eventualidad, por lo tanto, el hecho de diseñar y preparar un plan de contingencias no implica un reconocimiento de la ineficiencia en la gestión de la empresa, sino todo lo contrario, los mecanismos de seguridad de la información buscan proteger a la información de las diversas amenazas a las que se ve expuesta y supone un importante avance a la hora de superar todas aquellas adversidades que pueden provocar importantes pérdidas, no solo materiales sino aquellas derivadas de la paralización del negocio durante un período más o menos prolongado. Todo esto conlleva a que la función de definir los planes a seguir en cuestión de seguridad se conviertan en una tarea realmente compleja.

26

Seguridad y Comercio Electrónico Los objetivos de todo plan de contingencias y recuperación son: •

Reanudar con la mayor brevedad posible las funciones empresariales más críticas, con el fin de minimizar el impacto de manera que la correcta recuperación de los sistemas y procesos quede garantizada y se conserven los objetivos estratégicos de la empresa.

•

Evaluar los riesgos así como los costes de los procedimientos de contingencia requeridos cuando se presenta una interrupción de las operaciones, de forma que sólo se inviertan los recursos necesarios.

•

Optimizar los esfuerzos y recursos necesarios para atender cualquier contingencia de manera oportuna y eficiente, definiendo las personas responsables de las actividades a desarrollar antes y durante la emergencia.

Se puede decir que el plan de contingencias y recuperación consiste en la identificación de aquellos sistemas de información y recursos informáticos aplicados que son susceptibles de deterioro, violación o pérdida y que pueden ocasionar graves trastornos para la vida normal de la organización, con el propósito

de

estructurar

y

ejecutar

aquellos

procedimientos

y

asignar

responsabilidades que salvaguarden la información y permitan su recuperación, garantizando la confidencialidad, integridad y disponibilidad de ésta en el menor tiempo posible y a unos costes razonables. El plan de contingencia debe cubrir todos los aspectos que se van a adoptar tras una interrupción, lo que implica suministrar el servicio alternativo y para lograrlo no solo se deben revisar las operaciones cotidianas, sino que también debe incluirse el análisis de los principales distribuidores, clientes, negocios y socios, así como la infraestructura en riesgo. Esto incluye cubrir los siguientes tópicos: hardware, software, documentación, recursos humanos y soporte logístico.

27

Seguridad y Comercio Electrónico Además, debe ser lo más detallado posible y fácil de comprender. Los conceptos básicos son los siguientes: •

Análisis y valoración de riesgos.

•

Jerarquización de las aplicaciones.

•

Establecimientos de requerimientos de recuperación.

•

Ejecución.

•

Pruebas.

•

Documentación.

•

Difusión y mantenimiento.

2.1.1. Análisis y valoración de riesgos. El proyecto comienza con el análisis del impacto en la organización. Durante esta etapa se identifican los procesos críticos o esenciales y sus repercusiones en caso de no estar en funcionamiento. El primer componente del plan de contingencia debe ser una descripción del servicio y el riesgo para ese servicio, igualmente se debe determinar el coste que representa para la organización el experimentar un desastre que afecte a la actividad empresarial. Se debe evaluar el nivel de riesgo de la información para hacer: •

Un adecuado estudio coste/beneficio entre el coste por pérdida de información y el coste de un sistema de seguridad.

•

Clasificar la instalación en términos de riesgo (alto, mediano, bajo) e identificar las aplicaciones que representen mayor riesgo.

28

Seguridad y Comercio Electrónico •

Cuantificar el impacto en el caso de suspensión del servicio.

•

Determinar la información que pueda representar cuantiosas pérdidas para la organización o bien que pueda ocasionar un gran efecto en la toma de decisiones.

Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido mediante la evaluación y análisis del problema. En este análisis se revisarán las fortalezas, oportunidades, debilidades y amenazas, lo que permitirá recuperar en el menor tiempo posible el proceso perdido.

2.1.2. Jerarquización de las aplicaciones. Es primordial definir anticipadamente cuales son las aplicaciones primordiales para la organización. Para la determinación de las aplicaciones prioritarias, el plan debe estar asesorado y respaldado por la dirección, de tal forma que permita minimizar las diferencias entre los distintos departamentos y divisiones. El plan debe incluir una lista de los sistemas, aplicaciones y prioridades. Igualmente debe identificar aquellos elementos o procedimientos informáticos como el hardware, software básico de telecomunicaciones y el software de aplicación, que puedan ser críticos ante cualquier eventualidad o desastre y jerarquizarlos por orden de importancia dentro de la organización. También se deben incluir en esta categoría los problemas asociados por la carencia de fuentes de energía, utilización indebida de medios magnéticos de resguardo o back up o cualquier otro daño de origen físico que pudiera provocar la pérdida masiva de información.

29

Seguridad y Comercio Electrónico 2.1.3. Establecimientos de requerimientos de recuperación. En esta etapa se procede a determinar lo que se debe hacer para lograr una óptima solución, especificando las funciones con base en el estado actual de la organización. De esta forma es necesario adelantar las siguientes actividades: profundizar y ampliar la definición del problema, analizar las distintas áreas implicadas, documentos utilizados, esquema organizacional y funcional, las comunicaciones y sus flujos, el sistema de control y evaluación, formulación de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido, justificación del costo de implantar las medidas de seguridad, análisis y evaluación del plan actual, determinar los recursos humanos, técnicos y económicos necesarios para desarrollar el plan y definir un tiempo prudente y viable para lograr que el sistema esté nuevamente en operación.

2.1.4. Ejecución. Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecución cuyas conclusiones pueden servir para mejorar al mismo ante futuras eventualidades. En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas críticas de la empresa. En la elaboración del plan de contingencias deben intervenir los niveles ejecutivos de la organización, personal técnico de los procesos y usuarios, para así garantizar su éxito, ya que los recursos necesarios para la puesta en marcha del plan de contingencia, necesariamente demandan mucho esfuerzo técnico, económico y organizacional.

30

Seguridad y Comercio Electrónico 2.1.5. Pruebas. Es necesario definir las pruebas del plan, el personal y los recursos necesarios para su realización. Luego se realizan las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles. En caso de que los resultados obtenidos difieran de los esperados, se analiza si el fallo proviene de un problema en el entorno de ejecución, con lo cual la prueba volverá a realizarse una vez solucionados los problemas, o si se trata de un error introducido en la fase de conversión; en este último caso pasará nuevamente a la fase de conversión para la solución de los problemas detectados. Una correcta documentación ayudará a la hora de realizar las pruebas. La capacitación del equipo de contingencia y su participación en pruebas son fundamentales para poner en evidencia posibles carencias del plan.

2.1.6. Documentación. Esta fase puede implicar un esfuerzo significativo en algunos casos, pero ayudará a comprender otros aspectos del sistema y puede ser primordial para la empresa en caso de ocurrir un desastre. Deben incluirse, detalladamente, los procedimientos que muestren las labores de instalación y recuperación necesarias, procurando que sean entendibles y fáciles de seguir. Es importante tener presente que la documentación del plan de contingencia se debe desarrollar desde el mismo momento que nace, pasando por todas sus etapas y no dejando esta labor de lado para cuando se concluyan las pruebas y su difusión.

31

Seguridad y Comercio Electrónico 2.1.7. Difusión y mantenimiento. Cuando se disponga del plan definitivo ya probado, es necesario hacer su difusión y capacitación entre las personas encargadas de llevarlo a cargo. El mantenimiento del plan comienza con una revisión del plan existente y se examina en su totalidad realizando los cambios en la información que pudo haber ocasionado una variación en el sistema y realizando los cambios que sean necesarios.

Como conclusiones se puede observar lo siguiente: Un plan de contingencias y recuperación es la herramienta que cualquier empresa debe tener, para desarrollar la habilidad y los medios de sobrevivir y mantener sus operaciones, en caso de que un evento fuera de su alcance le pudiera ocasionar una interrupción parcial o total en sus funciones. Las políticas con respecto a la recuperación de desastres deben de emanar de la máxima autoridad de la empresa, para garantizar su difusión y estricto cumplimiento. Deben realizarse pruebas para determinar la eficacia del plan de contingencia y de los procedimientos de recuperación ante desastres. Las deficiencias deben resolverse y comprobarse inmediatamente. En un plan de contingencia, el objetivo consiste en ejecutar varias tareas en el menor tiempo posible. Cualquier deficiencia en la documentación, capacitación o, incluso, en los aspectos administrativos, pone en peligro la continuidad del negocio. La puesta en marcha de los planes a seguir es responsabilidad del encargado de la seguridad, pero también debe existir un compromiso por parte de los usuarios del sistema de información, ejecutivos y todas las personas que de alguna u otra forma ayudan a que el sistema cumpla con los requerimientos para el

32

Seguridad y Comercio Electrónico que fue diseñado, manteniendo sobre todo la integridad y confidencialidad de la información. El plan de contingencias tiene diferentes niveles de complejidad y flexibilidad según las necesidades y características de los grupos, empresas u organizaciones. Nunca se contará con los recursos suficientes para estar totalmente preparados, de ahí que el proceso deba ser paulatino e ir evolucionando según el contexto. El cambio es inevitable en la construcción de sistemas basados en computadoras. Por ello se deben desarrollar mecanismos de evaluación, control e implementación

de

modificaciones

al

sistema

ocasionadas

por

nuevos

requerimientos de los usuarios, por disposiciones internas de la organización para corregir errores, para aprovechar los nuevos avances tecnológicos, para satisfacer nuevas necesidades o para mejorar los sistemas en funcionamiento. Se debe tener una adecuada seguridad orientada a proteger todos los recursos informáticos, motor de desarrollo y vida de los sistemas de información, pero no se puede caer en excesos diseñando tantos controles y medidas que desvirtúen el propio sentido de la seguridad. Por consiguiente, se debe hacer un análisis de coste/beneficio evaluando las consecuencias que pueda acarrear la pérdida de información y demás recursos informáticos, así como analizar los factores que afectan negativamente la productividad de la empresa.

33

Seguridad y Comercio Electrónico

2.2.

Análisis de riesgos. El análisis de riesgos permite evaluar el impacto que podría resultar de la

pérdida de la confidencialidad, integridad o disponibilidad de los sistemas de información. Una vez realizado el análisis de riesgos se procede a implantar las medidas de protección necesarias para paliar las posibles catástrofes que conllevarían las ocurrencias de las posibles amenazas a las que está expuesta la empresa. Éste método proporciona a los responsables de la organización informática, la información adecuada sobre la que basar sus decisiones. A continuación se definen los términos básicos de un análisis de riesgos: Activo: Componente del sistema al que la organización asigna un valor y que por tanto necesita protección. Su valor puede quedar muy reducido después de la ocurrencia de una amenaza. Los activos pueden ser tangibles como por ejemplo, el personal, edificios, hardware, software, datos, documentación, etc. O pueden ser intangibles como la imagen, la reputación de la empresa, confianza de los clientes, etc. Amenaza: Un evento, persona o idea que presenta un peligro para un sistema. La ocurrencia o manifestación de una amenaza puede comprometer la confidencialidad, integridad o disponibilidad de un activo integrante de la empresa, utilizando las vulnerabilidades del mismo pueden ser accidentales como los desastres naturales, errores humanos o fallos de equipo o pueden ser intencionadas como un robo, sabotaje, vandalismo, etc. Vulnerabilidad: Debilidad de un sistema a través del cual una amenaza pueda actuar. La vulnerabilidad suele ser debida a la ausencia de medidas de protección, al mal funcionamiento de las mismas o la cobertura parcial que dichas medidas proporcionan frente a la amenaza. La presencia de una vulnerabilidad en sí, no causa daño, debe de existir una amenaza para aprovecharse de ella. Si tal

34

Seguridad y Comercio Electrónico amenaza no existe, la vulnerabilidad no requiere la implantación de un sistema de protección. Un ejemplo de vulnerabilidad puede ser tener un inadecuado sistema anti-incendios o un sistema inadecuado de control de accesos. Impacto: La consecuencia indeseable de la ocurrencia de una amenaza que afecta a los activos del sistema y resulta una pérdida para la organización. El impacto podría ser uno o más de los siguientes: •

Indisponibilidad o destrucción del servicio o los activos.

•

Modificación no autorizada del software o de los datos.

•

Revelación no autorizada de datos o de software. Riesgo: Una medida del grado de exposición al que un sistema, y por tanto

una organización está sujeta. El riesgo es una función de: •

La probabilidad de la ocurrencia o manifestación de una amenaza.

•

El grado de vulnerabilidad del sistema que pueda ser aprovechado por una amenaza para causar un impacto no deseado.

•

El nivel de efecto adverso que la ocurrencia de la amenaza tendría en la organización. Salvaguarda: La salvaguarda es una medida de protección que mejora la

seguridad del sistema y protegen los activos de las amenazas mediante: •

La transferencia del riesgo.

•

La reducción de la probabilidad de manifestación de una amenaza.

•

La reducción del nivel de vulnerabilidad del que podría aprovecharse una amenaza.

•

La reducción del impacto de la manifestación de una amenaza.

•

La detección de la manifestación de una amenaza.

•

La recuperación del impacto de la manifestación de una amenaza.

35

Seguridad y Comercio Electrónico Se ha realizado un esquema gráfico con tal de comprender mejor estos conceptos:

Como se ha expuesto en apartados anteriores queda más que justificada la importancia de la realización de un análisis de riesgos como primer paso a la hora de iniciar un plan de seguridad en una empresa, intentando que éste sea lo más profundo y amplio posible, incluso en temas físicos y comenzando por la ubicación y construcción del Centro de Proceso de Datos (CPD). Bajo este acrónimo se conoce al lugar donde se encuentran todos los recursos necesarios para el procesamiento de información de una organización. En este momento el autor se refiere por recursos a las dependencias, equipos y redes de comunicaciones. El CPD suele ser de gran tamaño e incluso puede ser un edificio independiente, usado para mantener en él una gran cantidad de equipamiento electrónico. Suelen ser creados e incluso mantenidos por grandes organizaciones con objeto de tener acceso a la información necesaria para sus operaciones. En la

36

Seguridad y Comercio Electrónico actualidad prácticamente la totalidad de las compañías medianas o grandes tienen algún tipo de CPD, pudiendo tener varios. Es importante la creación de un CPD y tiene cabida en este proyecto porque algunos de sus objetivos son destacar la continuidad del servicio a clientes, empleados, proveedores, etc. Así como garantizar la protección física a los equipos implicados y bases de datos que puedan contener información crítica. Por otro lado, la clasificación más usual de los riesgos es en tres grupos para facilitar la valoración, tal y como se expone a continuación:


Naturales:

Incendios,

cortes

de

suministro

eléctrico,

comunicaciones…


Inducidos: Sabotaje, huelgas, robos, fraudes.




Informáticos: Fallos tanto de hardware como de software básico, errores técnicos o de usuarios, ausencia de responsables.

Esta clasificación, según la tipología del riesgo en cuestión, tiene como fin expresar la viabilidad del plan de seguridad, su coste y riesgo total que la dirección debe asumir. La optimización de la relación entre las pérdidas originadas por la contingencia y el coste por implantación de la solución fijan el máximo coste admisible y el máximo tiempo de contingencia, tal y como se muestra en la siguiente figura:

37

Seguridad y Comercio Electrónico

38

Seguridad y Comercio Electrónico

2.3.

Estudio de vulnerabilidades. Las vulnerabilidades de seguridad informática han existido siempre. A

medida que se hacían conocidas diferentes vulnerabilidades, también se publicaban herramientas de seguridad y parches con el objetivo de ayudar a los administradores. Actualmente, Internet representa una gran fuente de información donde existe mucha más cantidad de referencias sobre cómo ingresar a sistemas que sobre cómo protegerlos. La seguridad de la red comprende tanto la protección física de los dispositivos como también la integridad, confidencialidad y autenticidad de las transmisiones de datos que circulen por ésta. La siguiente lista resume los puntos que comprende la seguridad de una red: •

La información debe estar protegida de una posible destrucción o modificación accidental o intencional (integridad).

•

Los datos no deben estar disponibles a los accesos no autorizados (privacidad).

•

Las transacciones no deben ser modificadas en su trayecto y se debe asegurar que quien las generó es quien dice ser (integridad, autenticidad y no repudio).

•

Se debe mantener la integridad física de los dispositivos de red como servidores, switches, etc.

•

El uso de la red no debe ser con fines que no estén contemplados por las políticas de utilización.

•

La red debe estar disponible siempre y con la eficiencia necesaria, aún ante fallos inesperados (disponibilidad).

39

Seguridad y Comercio Electrónico A través de un análisis de vulnerabilidades, un analista en seguridad puede examinar la robustez y seguridad de cada uno de los sistemas y dispositivos ante ataques y obtener la información necesaria para analizar cuáles son las contramedidas que se pueden aplicar con el fin de minimizar el impacto de un ataque. Este análisis debe realizarse cuando ocurran cambios en el diseño de la red o los sistemas, cuando se realicen actualizaciones de los dispositivos o periódicamente. Hay distintos métodos para realizar un análisis de vulnerabilidades, según la finalidad que se persiga. Caja Negra: Al analista se le proporciona sólo la información de acceso a la red o al sistema (podría ser sólo una dirección IP). A partir de esta información, el analista debe obtener toda la información posible. Caja Blanca: El analista de seguridad tiene una visión total de la red a analizar, así como acceso a todos los equipos como superusuario. Este tipo de análisis tiene la ventaja de ser más completo y exhaustivo. Test de Penetración: Durante el test de penetración el analista de seguridad simula ser un atacante. Desde esta posición, se realizan varios intentos de ataques a la red, buscando debilidades y vulnerabilidades: •

Estudio de la red externa.

•

Análisis de servicios disponibles.

•

Estudio de debilidades.

•

Análisis de vulnerabilidades en dispositivos de red.

•

Análisis de vulnerabilidades de implementaciones y configuraciones.

•

Denegación de servicio.

40

Seguridad y Comercio Electrónico El resultado del test de penetración mostrará una idea general del estado de la seguridad de los sistemas frente a los ataques. Si se encontraran una o más vulnerabilidades, no se realiza su explotación. Como conclusión de este paso, se debe obtener un informe que indique las pruebas de seguridad realizadas en el test, una lista de las vulnerabilidades y debilidades

encontradas

con

sus

correspondientes

contramedidas

y

las

recomendaciones a seguir en cuestión de seguridad. Las vulnerabilidades provienen de diferentes ámbitos y se pueden clasificar en: •

Vulnerabilidades de implementación.

•

Vulnerabilidades de configuración.

•

Vulnerabilidades de dispositivo.

•

Vulnerabilidades de protocolo.

•

Vulnerabilidades de aplicación

Existen diversas herramientas que se pueden utilizar para realizar un análisis de vulnerabilidades: escaneo de puertos, ingeniería social, trashing, etc. Los pasos a seguir para llevar a cabo un análisis de vulnerabilidades comprenden: 1. Recopilación de información. Un análisis de vulnerabilidades comienza con la obtención de información del objetivo. Si se ha seleccionado realizar un test por caja negra, el proceso de análisis será muy similar al proceso seguido por un atacante. Si utiliza un método de caja blanca, éste es el momento para

41

Seguridad y Comercio Electrónico recopilar la información de acceso a servicios, hosts y dispositivos, información de direccionamiento, y todo lo que considere necesario. 2. Test Interior. El Test Interior trata de demostrar hasta donde se puede llegar con los privilegios de un usuario típico dentro de la organización. Para realizarlo se requiere que la organización provea una computadora típica, un nombre de usuario y una clave de acceso de un usuario común. Se compone de numerosas pruebas, algunas de las cuales son: •

Revisión de Privacidad.

•

Testeo de Aplicaciones de Internet.

•

Testeo de Sistema de Detección de Intrusos.

•

Testeo de Medidas de Contingencia.

•

Descifrado de Contraseñas.

•

Testeo de Denegación de Servicios.

•

Evaluación de Políticas de Seguridad.

3. Test Exterior. El principal objetivo del Test Exterior es acceder en forma remota a los servidores de la organización y obtener privilegios o permisos que no deberían estar disponibles. El Test Exterior puede comenzar con técnicas de Ingeniería Social, para obtener información que luego se utilizará en el intento de acceso.

42

Seguridad y Comercio Electrónico Los pasos del estudio previo de la organización deben incluir: 1. Revisión de la Inteligencia Competitiva: Información recolectada a partir de la presencia en Internet de la organización. 2. Revisión de Privacidad: Es el punto de vista legal y ético del almacenamiento, transmisión y control de los datos basados en la privacidad del cliente. 3. Testeo de Solicitud: Es un método de obtener privilegios de acceso a una organización y sus activos preguntando al personal de entrada, usando las comunicaciones como un teléfono, e-mail, chat, boletines, etc. desde una posición privilegiada fraudulenta. 4. Testeo de Sugerencia Dirigida: En este método se intenta lograr que un integrante de la organización ingrese a un sitio o reciba correo electrónico. En este sitio o correo se agregan herramientas que luego serán utilizadas en el intento de acceso. 4. Documentación e informe. Como finalización del análisis de vulnerabilidades se debe presentar un informe donde se detalle cada uno de los tests realizados y los resultados. En este informe se debe especificar las vulnerabilidades probadas y detectadas, los servicios y dispositivos vulnerables y el nivel de riesgo que involucra cada vulnerabilidad encontrada en cada servicio y dispositivo.

43

Seguridad y Comercio Electrónico

2.4.

La importancia de la seguridad en el comercio electrónico. Existen diferentes métodos de procesar transacciones en una compra

(protocolos que lo hacen de manera segura). En este apartado se hará referencia en exclusividad al protocolo SSL, por tratarse de un protocolo muy extendido en la actualidad. La seguridad de un sitio electrónico tiene que ser confiable para que el mismo tenga éxito. El índice de personas que compran en línea ha crecido extraordinariamente en los últimos años y se debe principalmente a la confiabilidad que aportan hoy día los sitios de comercio electrónico.

La seguridad en un ambiente de comercio electrónico involucra las siguientes partes: •

Privacidad: que las transacciones no sean visualizadas por nadie.

•

Integridad: que los datos o transacciones como números de tarjeta de créditos o pedidos no sean alterados.

•

No Repudio: posibilita que el que generó la transacción se haga responsable de ella, y brinda la posibilidad de que este no la niegue.

•

Autenticación: que los que intervienen en la transacción sean leales y válidas.

•

Facilidad: que las partes que intervienen en la transacción no encuentren dificultad al hacer la transacción.

44

Seguridad y Comercio Electrónico 2.4.1. Herramientas de protección en el comercio electrónico. Las estructuras de seguridad de un sitio de e-Commerce no varían con las de un sitio tradicional. La principal diferencia radica en el hecho de que se implemente el protocolo SSL en la mayoría de los casos para tener un canal seguro en las transacciones.

2.4.1.1. Firewalls (Corta Fuegos) Un firewall es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet. De este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna. También es frecuente conectar al cortafuegos una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade protección a una instalación informática, pero en ningún caso debe considerarse como suficiente. La Seguridad informática abarca más ámbitos y más niveles de trabajo y protección. Las ventajas de un cortafuegos son cuantiosas aunque las más significativas son: •

Protege de intrusiones. El acceso a ciertos segmentos de la red de una organización, sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de Internet.

45

Seguridad y Comercio Electrónico •

Protección de información privada. Permite definir distintos niveles de acceso a la información de manera que en una organización cada grupo de usuarios definido tendrá acceso sólo a los servicios y la información que le son estrictamente necesarios.

•

Optimización de acceso. Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de seguridad. Pero no todo son ventajas en los firewalls y son necesarias por ello otras

herramientas de seguridad que defiendan la información y servicio de la organización. Las limitaciones más relevantes son: •

Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él.

•

El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (diskettes, memorias, etc.) y sustraigan éstas del edificio.

•

El cortafuegos no puede proteger contra los ataques de Ingeniería social (explicados anteriormente en el tema 2.3 de estudio de vulnerabilidades).

•

El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente.

•

El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos de los cuales se permita el tráfico. Hay que configurar

46

Seguridad y Comercio Electrónico correctamente y cuidar la seguridad de los servicios que se publiquen a Internet. En la siguiente imagen se muestra un ejemplo de la ubicación de un firewall y una zona des-militarizada en una red común.

2.4.1.2. Protocolo SSL Secure Sockets Layer (Protocolo de Capa de Conexión Segura) es un protocolo criptográfico que proporciona comunicaciones seguras por una red, comúnmente Internet. SSL se ejecuta en una capa entre los protocolos de aplicación como HTTP, SMTP, NNTP y sobre el protocolo de transporte TCP, que forma parte de la familia de protocolos TCP/IP. Aunque pueda proporcionar seguridad a cualquier protocolo que use conexiones de confianza (tal como TCP), se usa en la mayoría de los casos junto a HTTP para formar HTTPS. HTTPS es usado para asegurar páginas World Wide Web para aplicaciones de comercio electrónico, utilizando certificados de clave pública para verificar la identidad de los extremos.

47

Seguridad y Comercio Electrónico Este se compone de dos capas y funciona de la siguiente manera: •

La primera capa se encarga de encapsular los protocolos de nivel más alto.

•

La segunda capa que se llama SSL Handshake Protocol se encarga de la negociación de los algoritmos que van a cifrar y también la autenticación entre el cliente y el servidor.

Cuando se realiza una conexión inicial el cliente lo primero que hace es enviar una información con todos los sistemas de encriptación que soporta (el primero de la lista es el que prefiere utilizar el cliente). Entonces el servidor responde con una clave certificada e información sobre los sistemas de encriptación que este soporta. Entonces el cliente seleccionará un sistema de encriptación, tratará de descifrar el mensaje y obtendrá la clave pública del servidor. Aparte de SSL existen otros protocolos como el SET creado por Mastercard y Visa junto con líderes de la informática como Microsoft, Verisign y otras empresas más. Junto con el CyberCash son soluciones creadas para la venta por Internet.

2.4.1.3. Certificados. Un Certificado Digital es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública. Un certificado emitido por una entidad de certificación autorizada, además de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:

48

Seguridad y Comercio Electrónico •

Nombre, dirección y domicilio del suscriptor.

•

Identificación del suscriptor nombrado en el certificado.

•

El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.

•

La clave pública del usuario.

•

La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.

•

El número de serie del certificado.

•

Fecha de emisión y expiración del certificado.

2.4.1.4. Infraestructura de Clave Pública (PKI). Una PKI es una fusión de soluciones dadas en hardware, software y políticas de seguridad, y está basada en criptografía de clave pública, que permite la gestión de certificados. Esta infraestructura provee de confidencialidad (Privacidad), integridad de los mensajes (no modificaciones en el trayecto), autenticación, no repudio (no poder denegar una acción en el mensaje emitido por un remitente) y control de acceso. Sus aplicaciones más comunes son para la comunicación entre servidores, para correo electrónico, EDI o transacciones con tarjetas de crédito/débito. Es por esta última aplicación por la que se ha profundizado en esta herramienta. El gran papel que desempeña dentro del comercio electrónico la hace una herramienta clave dentro del ámbito de este proyecto.

49

Seguridad y Comercio Electrónico Partes de las que se compone: •

Política de Seguridad: establece la manera en que una organización ejecutará procesos de gestión de claves públicas y privadas.

•

Autoridad Certificante (CA): del inglés Certificate Authority, se encarga de generar los Certificados Digitales, usando una clave privada para firmarlos. Otras funciones de una CA son: o Emitir Certificados o Revocar

certificados

y

crear

CRLs

(Certificate

Revocation

List) que son listas de certificados ya no válidos. •

Autoridad de Registro (RA): es la entidad encargada de gestionar altas y bajas de las peticiones de certificación como así también de la revocación. Entonces un usuario que desea solicitar un certificado de clave pública se debe dirigir a una RA autorizada por una CA.

•

Autoridad de Validación (VA): proporciona información sobre el estado de los certificados. Realiza las consultas de todas las CRLs necesarias para saber el estado del certificado que se le ha pasado en una petición de validación.

50

Seguridad y Comercio Electrónico Esta imagen resumen representa a una infraestructura de clave pública mediante el uso de sesión con el protocolo SSL y certificados.

El Número 3 es el CA que se encarga de: •

Emitir el Certificado

•

Validar

la

autenticidad

del

Emisor

y

Receptor

(Punto

certificados

válidos

1 y 2) •

Mantener

una

base

de

datos

con

los

y los removidos. Se trata pues, de un gran método de seguridad, ya que por cada conexión que se hace el servidor envía una clave diferente. Entonces, si alguien consigue descifrar la clave, lo único que puede hacer es cerrar la conexión que corresponde a esa clave.

51

Seguridad y Comercio Electrónico 2.4.1.5. Ejemplo real Para comprender mejor los pasos que sigue una infraestructura de clave pública, se desarrollará un ejemplo práctico sobre comercio electrónico. En este caso será la compra de un libro de amazon.com. Se muestra a continuación http://www.amazon.com.

Se

trata

de

un

sitio

común:

la

barra

de

estado

del

Internet

Explorer indica que es en un sitio de Zona Internet y la dirección comienza con http://

52

Seguridad y Comercio Electrónico Ahora la siguiente pantalla muestra el caso de cuando se quiere hacer el Check Out o Pago de los libros comprados.

Ahora un pequeño candado indica que se trata de un servidor seguro, y que se pueden incluir los datos personales. Otro indicador es la dirección de web, que ahora comienza con https://…. y no con http://…. Este es un modo de comprobar si es seguro introducir los datos personales. En caso de dudas, siempre se puede hacer doble clic sobre el candado y se obtendrá información sobre el certificado (en este caso del servidor amazon.com).

53

Seguridad y Comercio Electrónico

Esta

es

la

información

básica

del

certificado,

que

confirma

si se está conectado al servidor correcto (amazon.com). También muestra por qué autoridad certificadora (CA) fue emitido el certificado. Esta segunda empresa tiene que ser distinta de la que figure como propietaria del certificado. Se trata de una Tercera Parte Confiable (TTP – Trusted Third Party), que garantiza la verificación del certificado. Haciendo clic en la pestaña Detalles se puede obtener más información técnica sobre el certificado, como el algoritmo utilizado, la versión de SSL, el algoritmo de identificación y la fecha de validez que posee, entre otros.

54

Seguridad y Comercio Electrónico

55

Seguridad y Comercio Electrónico Ahora que se tiene claro el funcionamiento del e-Commerce, se va a mostrar una figura identificando los tres protagonistas principales en cualquier transacción habitual de compra en Internet:

•

Punto 1: Usuario que se conecta con el sitio Punto 2 (Amazon.com en este ejemplo)

•

Punto 2: Muestra los productos a comprar. Se accede a un sitio seguro. Entonces el Punto 2 contacta con el Punto3, el cual envía la dirección del certificado para el Punto 2, donde informa si es válido o no.

Utilizar SSL tiene beneficios grandes, ya que es un estándar que no hace falta instalar ningún software adicional de lado del cliente ni del servidor, ya que la mayoría de los servidores web y navegadores ya poseen soporte para SSL.

56

Seguridad y Comercio Electrónico También da una prueba de que un servidor web es quien dice ser, gracias a la participación de Terceras Partes Confiables. Debido a que el 95% de los pagos de Internet se realizan utilizando SSL, hoy en día se ha convertido en un protocolo de facto para todo tipo de conexiones seguras.

57

Seguridad y Comercio Electrónico

2.5.

Responsabilidades del Ingeniero Informático en el cumplimiento de la LOPD. Para abordar este punto, se estima oportuno en primer lugar tratar el tema

de la LOPD como una necesidad o como una obligación. Parece que es necesario que una ley proteja los datos personales de cada individuo, porque el uso de los datos personales en manos de terceros hace que sean sensibles a poder ser utilizados de forma indiscriminada dependiendo de quién los manipule. Y es una obligación porque la ley obliga a las empresas tomadoras de datos personales a utilizar de forma correcta y con autorización dichos datos. Es decir, que cuando una persona da sus datos personales a cualquier otra persona, empresa, profesional, o entidad, tienen la obligación de extenderle una autorización suya por escrito y firmada por ambas partes, explicándole para qué van a utilizar sus datos, con el consabido derecho de limitarlo a un solo fin y poder revocar éste cuando usted estime oportuno. Además, se ha de explicar de qué se trata y dónde van a depositarse, si fuera preciso, tanto sea en un despacho de abogados, asesores fiscales, bancos, empresas comerciales, etc. En cualquier empresa o entidad existen personas que manipulan datos continuamente. El problema radica en que hay personas que podrían utilizar los datos personales para muchos fines no deseados y trasladar dichos datos de empresas a empresas, incluso en alguna ocasión cederlos a terceros. Por ello, la Ley Orgánica de Protección de Datos tiene regulado este particular, haciendo firmar un compromiso de confidencialidad a estas personas y empresas para que esto no ocurra. En caso de suceder, la Agencia Española de Protección de Datos impone sanciones muy importantes dependiendo del tipo de denuncia formulada por la persona que reclama su derecho.

58

Seguridad y Comercio Electrónico Agencia Española de Protección de Datos (AEPD) La Agencia Española de Protección de Datos (AEPD) es un Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Suele realizar inspecciones a las empresas auditando los registros de datos para evitar en la mayor forma posible de este modo que se utilicen los datos de clientes y proveedores de forma incorrecta, sancionando a aquellas que no han adecuado los sistemas informáticos, administrativos y burocráticos para realizar el buen uso de los datos personales. Para el desempeño de este papel se crea el Registro General de Protección de Datos como órgano integrado en la Agencia de Protección de Datos, y serán objeto de inscripción los ficheros automatizados de titularidad privada, las autorizaciones a que se refiere la presente Ley y los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación y cancelación. La AEPD cuenta con una web, http://www.agpd.es, donde ofrece información pública sobre la protección de datos. Un aspecto importante es que el registro de los ficheros físicos (papel, informes, listados...) y lógicos (archivos informáticos y de soportes magnéticos) es gratuito para todas las empresas, profesionales y entidades que almacenen datos personales. Para ello existen varias formas de realizarlo. Una vez que se registren estos datos, la AEPD emite un certificado con un número de registro único. Luego, a través de una empresa certificada en auditorías de sistemas, un gabinete consultor especializado en esta materia o bien mediante una aplicación informática de ayuda que se puede encontrar en el mercado, se realiza el documento de seguridad, cuyo contenido aún no está estandarizado, pero debe ajustarse a unas normas básicas de cumplimiento recomendadas por la AEPD.

59

Seguridad y Comercio Electrónico En este documento de seguridad se encontrarán las pautas a seguir por las empresas o entidades que registran sus datos, para conseguir una mejor forma de asegurar la relación entre los datos de clientes y/o proveedores que se encuentren almacenados en los sistemas informáticos o ficheros. Antes de continuar se considera necesario recalcar algunas definiciones que son expuestas en la LOPD, y que atañen al correcto desempeño de su labor al responsable de seguridad. Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento a que se refiere la definición de “tratamiento de datos”. Bloqueo de datos: La identificación y reserva de datos con el fin de impedir su tratamiento. Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado. Toda obtención de datos resultante de la consulta de un fichero, la publicación de los datos contenidos en el fichero, su interconexión con otros ficheros y la comunicación de datos realizada por una persona distinta de la afectada. Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. Datos de carácter personal: “Cualquier información concerniente a personas físicas identificadas o identificables”. “Toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o

60

Seguridad y Comercio Electrónico identificable”. Se pueden tratar de forma automatizada los datos de las personas jurídicas sin tener en consideración la protección que ofrece esta norma. Encargado del tratamiento: “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento” Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Identificación del afectado: Cualquier dato que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona física afectada. Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona determinada o determinable. Suele utilizarse para el tratamiento de estadísticas, la ley indica que no necesitará el consentimiento del afectado. Responsable del fichero o tratamiento: Persona física, jurídica de naturaleza pública o privada, u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento. Transferencia de datos: El transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional. Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

61

Seguridad y Comercio Electrónico Definición muy amplia que comprende todas las maneras de tratar datos de forma automatizada con ordenador. Algunos conceptos nuevos surgen de esta definición: bloqueo, cancelación y cesión de datos.

Responsable del fichero La capacidad de tomar decisiones sobre el objeto, utilización y fin del tratamiento, o sobre el uso que se va a dar a los datos de carácter personal resultantes del tratamiento o, en su caso si van o no a ser cedidos, definen la figura del responsable del fichero. La figura del responsable del fichero adoptará las medidas de índole técnica y organizativa que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Por otro lado elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. En cuanto a los mínimos para el contenido del documento: a) Ámbito de aplicación. b) Medidas, normas, procedimientos, reglas. c) Funciones y obligaciones del personal. d) Estructura de los ficheros y descripción de los sistemas de información. e) Procedimiento de incidencias. Otras de sus funciones son: • Debe dar a conocer las responsabilidades y normas de seguridad al personal implicado.

62

Seguridad y Comercio Electrónico • Relación actualizada de usuarios con acceso a los ficheros y su alcance (elemento, nivel) y procedimientos y autenticación. • Conceder, alterar o anular el acceso sobre datos y recursos. • Autorizar la salida del local del soporte informático que contiene los datos de carácter personal. • Verificar la correcta aplicación de los procedimientos (copias cada semana). • Designar al(os) responsable(s) de seguridad (no delegación). • Identificar en el documento de seguridad el personal con autorización de acceso físico a los locales. • Autorizar por escrito la aplicación de los procedimientos de recuperación de los datos. • Gestión de soportes informáticos.

Responsable de Seguridad En principio, la disposición de la AEPD para incentivar a las empresas a registrar sus ficheros ha sido libre, para que los departamentos involucrados en las empresas realicen esta labor de forma sencilla, pero las empresas no llegaban a entender esta finalidad por falta de información. Para ello, se han realizado muchas charlas, jornadas, conferencias y cursos de formación orientadas a las empresas desde las Cámaras de Comercio y entidades empresariales, fundaciones, asociaciones, etcétera. Últimamente se ha detectado, según fuentes externas, que hay un gran número de profesionales dedicados a recopilar datos de las empresas a través de fuentes públicas y visitarlas para realizar el registro y documentos de seguridad, a unos precios desorbitados en la mayoría de los casos y en otros demasiado bajos, además de ofrecer cursos de formación para los empleados de las empresas,

63

Seguridad y Comercio Electrónico obviando los aspectos técnicos y ciñéndose básicamente a rellenar el cuestionario de la aplicación informática para realizar el documento de seguridad propuesto. La mayoría de estos profesionales carecen de formación y certificación tecnológica suficiente para realizar una consultoría y auditoría de protección de datos. Desde luego que han encontrado un filón de oro para explotar a los neófitos y noveles en este particular. La responsabilidad de un auditor o consultor especializado en esta materia es, desde el principio hasta el final, incluso requerirle a la empresa auditada a comparecer ante una inspección de la AEPD si fuera necesario. Un mantenimiento de un par de cientos de euros anuales sólo sirve para ver sí su empresa está llevando a cabo los registros necesarios ante la ley, acción que sólo les lleva una hora como máximo. El registro en la AEPD de los ficheros, cuando lo realiza un gabinete consultor o un auditor, lo registra con la firma digital del auditor en nombre de la empresa que solicita de sus servicios, para lo que la empresa ha firmado previamente un contrato de protección de datos y confidencialidad. Son obligaciones del responsable de seguridad: •

Verificar el cumplimiento del Reglamento y los procedimientos cada dos años, como mínimo.

•

Informar sobre los resultados de las auditorías y poner a disposición de la Agencia de Protección de Datos.

Algunas de las definiciones incluidas en el Reglamento son: Sistemas de información: conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.

64

Seguridad y Comercio Electrónico Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Recurso: cualquier parte componente de un sistema de información. Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. Identificación: procedimiento de reconocimiento de la identidad de un usuario. Autenticación: procedimiento de comprobación de la identidad de un usuario. Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario. Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar. Copia del respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

65

Seguridad y Comercio Electrónico Para finalizar cabe decir que antes de realizar algún contrato de servicios se debe exigir un contrato de LOPD, que no obliga a ninguna de las partes a acuerdos económicos; sólo de protocolo de confidencialidad, de alcance y autorización para presupuestar los servicios. Antes de firmar algún contrato de servicios se debe conocer el alcance de la asesoría, consultoría, ejecución y finalización del proceso incluida la formación. Asimismo, los términos económicos y de seguimiento si los hubiera. Un auditor o consultor en esta materia debe ser miembro de algún organismo, institución o asociación tecnológica, o estar en posesión de la acreditación suficiente para realizar dichas auditorías. Estas asociaciones o instituciones

suelen

ser

ISACA

(International

Systems

Auditor

Control

Association), IRCA (International Register of Certificated Auditors) o el RASI (Registro de Auditores de Sistemas de la Información). Por lo tanto, y para concluir este apartado, indicar que el hecho de realizar una labor para estar con la conformidad en la Ley Orgánica de Protección de Datos no sólo es una necesidad sino también una obligación que todos deben cumplir y evitar de alguna manera estar al margen de la Ley.

66

Seguridad y Comercio Electrónico

3

Claves del comercio electrónico en la economía.

67

Seguridad y Comercio Electrónico

3. Claves del comercio electrónico en la nueva economía 3.1.

Comercio electrónico como generador de cambios empresariales. La

llegada

de

infraestructuras

de

información

permanentemente

cambiantes, ha provocado predicciones respecto a que uno de los efectos de los mercados será la eliminación de los intermediarios, basándose en la capacidad de las redes de telecomunicaciones. Sin embargo, la realidad puede ser bien distinta puesto que las tecnologías de la información no sólo reforzarán la posición de los intermediarios tradicionales, sino que además promoverán la aparición de nuevas generaciones de intermediarios. En un mercado tradicional puede considerarse que los intermediarios proporcionan un servicio de coordinación. Sin embargo, es necesario definir con mayor precisión esta actividad para identificar como afectará Internet a esta tarea: Búsqueda y evaluación. Un cliente que elige una tienda especializada sobre unos grandes almacenes escoge implícitamente entre dos alternativas de búsqueda y criterios de evaluación. En cualquier caso el cliente delega una parte del proceso de búsqueda del producto en el intermediario, quien también suministra un control de calidad y evaluación del producto. Valoración de necesidades y emparejamiento de necesidades. En muchos casos no es razonable asumir que los clientes posean el conocimiento individual necesario para evaluar fidedignamente sus necesidades e identificar los productos que las cumplirán eficazmente. Por lo tanto los intermediarios pueden suministrar un servicio valioso ayudando a sus clientes a determinar sus necesidades. Los intermediarios proporcionan a los clientes

68

Seguridad y Comercio Electrónico servicios sobre la evaluación de los productos, proporcionando información no sólo del producto, sino sobre su utilidad, e incluso proporcionando la asistencia explícita de un experto para identificar las necesidades de los clientes. Manejo de los riesgos del cliente. Los clientes no siempre tienen la información perfecta y por tanto pueden comprar productos que no satisfagan sus necesidades. En consecuencia, en cualquier transacción al detalle, el cliente se enfrenta con ciertos riesgos. Estos pueden ser el resultado de una incertidumbre en las necesidades del cliente, un fallo en la comunicación con respecto a las características, o un fallo intencionado o accidental del fabricante al proporcionar un producto adecuado. Otro servicio que proporcionan muchos intermediarios está relacionado con el manejo de este riesgo. Éste se soluciona suministrando a los clientes la opción de devolver los productos defectuosos o proporcionando garantías adicionales, reduciendo la exposición de los clientes a los riesgos asociados con los errores de los fabricantes. Si el cliente tiene la opción de devolver los productos por cualquier motivo, el intermediario reduce más la exposición del cliente a los riesgos asociados con los fallos de los clientes para valorar las necesidades con precisión y compararlas con las características del producto. Por lo tanto, eligiendo un intermediario que proporciona estos servicios, los clientes están comprando implícitamente al intermediario un seguro. Distribución de productos. Muchos intermediarios juegan un papel importante en la producción, envasado y distribución de bienes. La distribución es un factor crítico en la determinación del valor de la mayoría de los bienes de consumo. Por ejemplo, un litro de gasolina a mil kilómetros del hogar de un cliente frente al que está a un

69

Seguridad y Comercio Electrónico kilometro, es significativamente diferente, debido principalmente a los servicios de distribución proporcionados. Difusión de información sobre productos. Se trata de que el intermediario informe a los clientes sobre la existencia y las características de los productos. Los fabricantes confían en una variedad de intermediarios, incluyendo a las tiendas de venta al menor, casas de ventas por correo/catálogo, agencias de publicidad y puntos de venta para informar a los clientes. Influencia sobre las compras. A los fabricantes no sólo les interesa proporcionar información a los clientes, sino vender productos. Además de los servicios de información, los fabricantes también valoran los servicios relacionados con la influencia en las elecciones de compra de los clientes: la colocación de los productos por parte de los intermediarios puede influir en la elección de los mismos, así como poder asesorarse explícitamente mediante un vendedor. Esquemas para la compensación de comisiones, pagos por el espacio en estanterías y descuentos especiales son formas en las que los fabricantes ofrecen servicios de asesorías de compras a los intermediarios. Suministro de información. Esta información que es recogida por intermediarios especializados como empresas de investigación de mercados, es utilizada por los fabricantes para evaluar nuevos productos y planificar la producción de los existentes. Manejo de los riesgos del fabricante. El fraude y robo realizado por los clientes es un problema que tradicionalmente ha sido tratado por los detallistas e intermediarios crediticios. En

70

Seguridad y Comercio Electrónico el pasado, estos intermediarios han proporcionado sistemas y políticas para limitar este riesgo. Cuando no podía eliminarse, eran los intermediarios quienes afrontaban la exposición a este riesgo. Integración de las necesidades de los clientes y de los fabricantes. Los intermediarios deben ocuparse de problemas que surgen cuando las necesidades de los clientes chocan con las de los fabricantes. En un entorno competitivo, un intermediario satisfactoriamente integrado proporciona una gama de servicios que equilibra las necesidades de los clientes y de los fabricantes de una forma aceptable para ambos.

3.1.1. Tipos de intermediarios A continuación se identifican diversos tipos de intermediarios basados en Internet: •

Directorios. Ayudan a los clientes a encontrar productos clasificando instalaciones web y proporcionando menús estructurados para facilitar la navegación. En la actualidad son gratuitos, pero en el futuro podrían ser de pago. Existen tres tipos de directorios: o Generales. Un ejemplo es Yahoo, que proporciona un catálogo general de una gran variedad de diferentes sitios web. Habitualmente existe un esquema para organizar y elegir los sitios que serán incluidos. Estas instalaciones suelen soportar "browsing" así como búsqueda del catálogo mediante palabras clave. o Comerciales. Como El Índice que se centra en proporcionar catálogos de sitios comerciales. No proporcionan infraestructura o servicios de desarrollo para los fabricantes, sino que tan sólo actúan como un

71

Seguridad y Comercio Electrónico directorio de instalaciones existentes. También pueden suministrar información sobre un área comercial específica, con frecuencia a empresas que no tienen web. Estos intermediarios son equivalentes a los editores de guías en papel. o Especializados. Están orientados a temas, y son incluso tan sencillos como una página creada por una persona interesada en un tema. Estas páginas pueden suministrar al cliente información sobre un bien o fabricante en particular. •

Servicios de búsqueda. Similares a Google, proporcionan a los usuarios capacidades para realizar búsquedas basadas en palabras clave sobre grandes bases de datos de páginas o instalaciones web.

•

Centros

comerciales.

Son

instalaciones

que

proporcionan

una

infraestructura al fabricante o al detallista a cambio de una cuota. Pueden estar compuestos de una gran variedad de tiendas que venden múltiples productos. •

Editoriales. Son generadores de tráfico que ofrecen contenidos de interés para los clientes, como periódicos o revistas interactivas. Las editoriales se convierten en intermediarios cuando ofrecen vínculos con los fabricantes a través de publicidad o listas de productos relacionadas con sus contenidos.

•

Revendedores virtuales. Estos intermediarios existen para vender a los clientes centrándose en productos especializados que obtienen directamente de los fabricantes, quienes pueden dudar en dirigirse directamente a los clientes por temor a alejar a los detallistas de los que dependen.

•

Evaluadores de los sitios web. Los clientes pueden dirigirse a un fabricante a través de un sitio que ofrece alguna forma de evaluación, lo que puede

72

Seguridad y Comercio Electrónico ayudar a reducir su riesgo. Algunas veces las evaluaciones se basan en la frecuencia de acceso, mientras que en otros casos son una revisión explícita de las instalaciones. Un claro ejemplo de éxito es ciao.es. •

Auditores. Tienen funciones similares a las de los servicios de medición de audiencia en medios tradicionales. El comercio electrónico requiere de los mismos servicios adicionales que facilitan el comercio tradicional. Los anunciantes requieren información sobre las tasas de uso asociadas con la publicidad en el web, así como información fidedigna sobre las características de los clientes.

•

Foros, clubes de aficionados y grupos de usuarios. Estos tipos de instalaciones no son necesariamente intermediarios directos, pero pueden jugar un gran papel al facilitar la retroalimentación entre clientes y fabricantes, así como soportar la investigación de mercados. Los mejores ejemplos de estos grupos son las listas relacionadas con productos que conectan al fabricante con los clientes.

•

Intermediarios financieros. Cualquier forma de comercio electrónico debe permitir alguna manera de realizar o autorizar pagos del comprador hacia el vendedor. Los sistemas de pago podrán ser desde autorización de crédito, cheques electrónicos, pago en efectivo, Paypal y envío de correo electrónico seguro para autorizar un pago.

•

Redes de trueque. Es posible que las personas cambien un bien o un servicio por otro, en vez de pagarlo con dinero. Aparecerán intermediarios similares a las casas de subastas y bolsas de mercancías para capitalizar estas oportunidades.

•

Agentes Inteligentes. Son programas que mediante un criterio preliminar de búsqueda proporcionado por el usuario, facilitan la localización de recursos

73

Seguridad y Comercio Electrónico a través de Internet, aprendiendo de los comportamientos pasados para optimizar las búsquedas. Esto puede convertirse en un nuevo servicio de intermediación que los clientes adquieren cuando necesitan cierto bien o servicio.

74

Seguridad y Comercio Electrónico

3.2.

Tipos de comercio electrónico. Se pueden definir seis tipos de comercio electrónico en la actualidad, que

responden a las siguientes siglas:


B2B: Business to Business.




B2E: Business to Employer.




B2C: Business to Consumer.




C2C: Consumer to Consumer.




G2C: Government to Consumer.




G2B: Government to Business.

A continuación se procede a explicar cada uno de ellos:

Business to Business (B2B) Este primer tipo de comercio electrónico se denomina Business to Business por ser aquel que se desarrolla entre empresas. El auge de Internet sobre todo en los últimos años ha impulsado este tipo de comercio electrónico por la creación de portales para agrupar compradores. Un portal B2B es aquel que proporciona soluciones y servicios de negociación y aprovisionamiento, que optimiza las transacciones comerciales entre empresas e instituciones a través del comercio electrónico.

75

Seguridad y Comercio Electrónico Es común que en la actualidad el mantenimiento de dichos portales se realice mediante un canon por cotización o bien un cobro de comisión de negocio a los socio.

76

Seguridad y Comercio Electrónico Las ventajas del B2B respecto a otros tipos de comercio electrónico son las siguientes:


Descubre nuevos compradores-vendedores.




Los mercados tienden a ser más transparentes. o Abaratamiento del proceso.




La facilidad de las transacciones aumenta.




Integración de transacciones.




Reducción del riesgo en las operaciones.




Mejora del valor. o Mayor competencia. o Ventajas comparativas. o Costes reducidos de establecimiento de relaciones.




Colaboración. o Integración. o Relaciones más estrechas.

Por otro lado cabe destacar que las barreras de entrada al B2B son más altas que en otros tipos de comercio electrónico, pero las barreras de salida también lo son.

77

Seguridad y Comercio Electrónico Business to Employer (B2E) Business to Employer es aquel tipo de comercio electrónico que ocurre entre la empresa y el empleado, es decir la relación que se establece entre una empresa y sus propios empleados. El B2E no se queda sólo ahí, y también es toda la gestión remota que realiza el empleado de parte de sus responsabilidades dentro de los procesos de negocio de la empresa. Esto podría incluir facturación de comisiones de ventas, gastos de desplazamiento, etc. En conjunto se puede hablar de un portal interno donde los empleados de una empresa utilizan ciertos recursos de la misma, por ejemplo por medio de una Intranet. Las ventajas del B2E respecto a otros tipos de comercio electrónico son:


Reducción de costes y tiempo en actividades burocráticas.




Formación on-line.




Mejora de la información interna.




Equipos de colaboración en un entorno web.




Agilización de la integración del nuevo profesional en la empresa.




Servicios intuitivos de gestión de la información.




Soporte para gestión del conocimiento.




Comercio electrónico interno.




Motivación.




Fidelización del empleado.

78

Seguridad y Comercio Electrónico Business to Consumer (B2C) Se entiende por Business to Consumer a aquel tipo de comercio electrónico que se realiza entre la empresa y el consumidor. Tiene un gran potencial a largo plazo y en la actualidad de asienta en multitud de sectores. El éxito de este tipo de comercio electrónico pasa por la seguridad de los sistemas de pago a través de tarjeta de crédito, así como contra reembolso, en efectivo y otros servicios proporcionados por otras empresas, como PayPal. Es interesante explicar el modelo de negocio de estas últimas empresas, en concreto PayPal, por su relevancia en el comercio electrónico actual, y en el B2C en particularmente. PayPal es una empresa que permite la transferencia de dinero entre usuarios que tengan correo electrónico, como alternativa a los tradicionales cheques o giros postales. En realidad no se puede considerar a PayPal como un banco, pues no ofrece servicios de rentabilidad de dinero, por ejemplo, pero si está sujeto a las reglas del Departamento del Tesoro de los Estados Unidos de América. Ofrece además la posibilidad de transferencia de dinero a cuentas bancarias habituales, o recibir dinero desde las mismas. El éxito de este servicio radica fundamentalmente en una campaña de marketing en Internet muy potente, buscando la expansión del servicio a todos los sectores posibles, así como la de actuar como capa entre la cuenta bancaria del cliente y la empresa, quedándose con un porcentaje de dicha operación.

79

Seguridad y Comercio Electrónico

Por otro lado, las empresas que realizan B2C se pueden clasificar en: 1. Vendedores directos: •

Minoristas: Amazon, eBay.

•

Fabricantes: Dell.

2. Intermediarios on-line: •

Brokers: Intermediarios entre vendedor y comprador. Existen los siguientes tipos:

80

Seguridad y Comercio Electrónico o Buy/Sell Fulfillment: Empresas que ayudan al cliente a ejecutar sus órdenes de compra/venta. Ingresos por comisiones y tráfico. Ejemplo eTrade. o Centros Comerciales Virtuales: Empresas que integran en un solo espacio diferentes tiendas y tienen ingresos por tráfico. Ejemplo Yahoo Stores. o Metamediary: Integran variedad de productos y tiendas de terceros pero integran servicios transaccionales como por ejemplo financiación de compras. Ingresos por tráfico, comisiones y servicios. Ejemplo Amazon zShops. o Bounty: Intermediarios que cobran por encontrar una persona, un lugar, una idea, etc. Reciben ingresos por comisiones, intermediación y tráfico. Ejemplo bounty. o Comparadores on-line: Ayudan a los usuarios a comparar productos y precios. Reciben ingresos por comisiones y tráfico. Ejemplo kelkoo. •

Infomediarios: Sitio web que ofrece información especializada en nombre de los productores de bienes y servicios y sus clientes potenciales.

Las ventajas de las empresas que realizan comercio electrónico B2C frente a otros tipos son las siguientes: I. II. III.

Compras pueden ser más rápidas y más convenientes. Las ofertas y los precios pueden cambiar instantáneamente. Centros de llamadas pueden ser integrados con la web.

81

Seguridad y Comercio Electrónico IV.

Las telecomunicaciones de banda ancha mejoraran la experiencia de compra.

Por otro lado, los dos principales desafíos que posee el comercio electrónico B2C en la actualidad son la creación de tráfico y el mantenimiento de la fidelidad de los clientes. Debido a esto muchas pequeñas empresas tienen dificultades para entrar en el mercado y seguir siendo competitivos. Además, los compradores on-line son muy sensibles al precio y son fácilmente atraídos, por lo que la adquisición y mantenimiento de nuevos clientes es difícil.

Consumer to Consumer (C2C) Es aquel tipo de comercio electrónico que se realiza mediante transacciones privadas de consumidores, que pueden tener lugar por ejemplo mediante correo electrónico o tecnologías p2p. Algunos ejemplos de C2C son eBay o Amazon. Por otro lado el comercio electrónico C2C se espera que siga creciendo en los próximos años de forma muy significativa, pues cada vez está más extendido por Internet mediante páginas similares a las anteriormente citadas.

Government to Consumer (G2C) / Government to Business (G2B) Con Government to Consumer y Government to Business se entiende aquel tipo de comercio electrónico que se realiza desde el Gobierno a empresas y particulares, es decir al uso de las nuevas tecnologías en el sector público referido

82

Seguridad y Comercio Electrónico al comercio electrónico. También es llamado comúnmente en España como eServicios o e-Administración. Inicialmente existía una situación en la cual la Administración estaba en niveles de servicio muy heterogéneos, y los canales que se establecían con los ciudadanos eran los que se imponían desde la propia Administración tal y como se refleja en la siguiente figura:

Con esta situación inicial existente apareció la primera solución tecnológica que consistía en multitud de iniciativas individuales que pretendían aumentar la eficiencia y mejorar el servicio. Debido a una situación tal y como se ha comentado heterogénea aparecieron soluciones y sistemas muy dispersos, que conllevó en una falta de integración.

83

Seguridad y Comercio Electrónico Hoy en día existe una tendencia al cambio consistente en una modernización que pretende como objetivo mejorar la atención y el servicio al usuario, implantar nuevas tecnologías y cambiar el modelo organizativo. Las nuevas tecnologías y técnicas organizativas citadas puestas al servicio de la Administración Pública constituyen la denominada e-Administración, que tiene como características: •

Realización on-line de compras y ventas entre la Administración y las empresas.

•

Un medio de relación personalizado, orientado a ciudadanos y empresas.

•

Agilización de trámites administrativos.

•

Un lugar de intercambio de información.

•

Transparente.

84

Seguridad y Comercio Electrónico

3.3.

La nueva cadena de valor en el comercio. El auge de las nuevas tecnologías, sobre todo Internet, ha afectado también

a la cadena de valor, abriendo nuevas puertas para las empresas, que son capaces de conseguir sintetizar mucho más la información que poseen de sus productos así como la de sus clientes, pudiendo realizar de forma mucho más exhaustiva todo tipo de análisis. Con el fin de poder identificar todos los nuevos cambios y efectos, en primer lugar se va a realizar una descripción de la cadena de valor como un conjunto de fases que dan valor a sus productos y/o servicios. Se puede decir que una empresa pasa por cinco fases, que se denominan actividades primarias, a lo largo del ciclo de vida de su producto: desde que es un simple proyecto hasta que llega como producto final al cliente. Estas son diseño, producción, distribución, marketing y ventas, y servicio postventa. Estas actividades son apoyadas por las denominadas actividades secundarias, que son típicamente la infraestructura de la organización, los recursos humanos, el desarrollo tecnológico y el abastecimiento.

85

Seguridad y Comercio Electrónico

Dada esta distribución planteada por Porter en 1985, se puede obtener información para el negocio que permitirá: 1. Conocer el valor añadido para cada fase de la cadena de valor y en cada línea de negocio a lo largo del tiempo. 2. Realizar una serie de pruebas de mercado mediante benchmarking con respecto a la competencia existente en lo que se refiere a la distribución de la cadena de valor. 3. La posibilidad de realizar un análisis DAFO de manera más sencilla. 4. Ayudar en la toma de decisiones estratégicas, como por ejemplo la desintegración vertical mediante subcontratación. Si se quiere conocer cómo puede influir en la cadena de valor el comercio electrónico, se debe considerar dicha cadena en todo su conjunto. Desde hacer visibles los productos y/o servicios en una página web para una simple consulta

86

Seguridad y Comercio Electrónico por parte del cliente, hasta completar la transacción electrónicamente, con entrega, facturación y cobro incluidos. Por otro lado, si bien no es condición indispensable un sistema de comercio electrónico completo para que nuestra cadena de valor se vea afectada, las ventajas en forma de sinergias, tanto operativas como de coste, que proporcionaría el mismo hacen previsible una futura tendencia a la integración digital de empresas. El comercio electrónico aporta una serie de ventajas competitivas a aquellas entidades que decidieron adoptarlo, que a su vez generan o contribuyen a desarrollar una serie de capacidades o habilidades imprescindibles para diferenciarse de la competencia. Se pueden igualmente reducir de manera considerable todo tipo de ineficiencias en procesos tales como aprovisionamiento, gestión de stocks o producción, con todo lo que eso podría implicar en cuanto a ahorros de costes variables tales como horas de mano de obra o materias primas. Estas dos últimas herramientas son de importancia capital en el éxito del comercio electrónico entre organizaciones o B2B (Business to Business). En cuanto al B2C (Business to Consumer) o comercio electrónico orientado al consumidor, dos líneas de negocio parecen tener un futuro prometedor en el mundo virtual: por un lado, aquellos productos y servicios en los que la compresión de información se convierte en factor clave de negocio (contenidos en la Red, libros digitales o subastas), y por otro, aquellos que aportan una reingeniería de procesos con respecto a sus homónimos del mundo real (entre los que hay que destacar a las empresas de consultoría, selección de recursos humanos o formación en línea). El resto de productos y servicios tendrán del mismo modo cabida en la Red, si bien no como canales específicos de venta en Internet, sino como canales complementarios a su presencia en los canales de distribución reales, ya sea para

87

Seguridad y Comercio Electrónico generar entradas (para la captación y posterior gestión de información primaria) o bien salidas (fomentar la interactividad entre cliente y empresa). A reseñar del mismo modo el hecho de que el comercio electrónico es adoptado por las empresas que se decidieron a dar el paso hacia el mundo virtual con muy diversas estrategias. Así, se pueden encontrar desde las entidades que fueron creadas únicamente para la venta de sus productos a través de la Red hasta las que utilizan Internet únicamente como apoyo a su presencia en el mundo tangible, pasando por aquellas que combinan ambas presencias.

Efectos sobre la fase de diseño El diseño de la gama de productos y servicios de la empresa puede dar un gran salto cualitativo gracias a la incorporación al mundo virtual, ya que el contacto directo con proveedores y clientes permite: •

Identificar tendencias de mercado y adaptar los futuros productos a cambios en la demanda.

•

Involucrar al cliente en el diseño de futuros proyectos.

•

Responder a la demanda en el plazo y condición establecidos.

•

Simplificar el proceso de elección de componentes de nuestros proveedores.

•

Tener

un

conocimiento

exhaustivo

del

comportamiento

del

consumidor, ya que las propias características de la red posibilitan conocer cuáles son los enlaces de la página que más le interesan, cuál es la secuencia que sigue una vez dentro, e incluso saber virtualmente hablando, dónde estuvo antes y a dónde fue después.

88

Seguridad y Comercio Electrónico •

Tener una comunicación interactiva con el cliente, quien podrá ponerse en contacto para realizar consultas, solicitar información, hacer preguntas más específicas o pedir productos a medida.

•

Trabajar conjuntamente a equipos de diseño físicamente separados e integrar a empresas externas en el proceso.

Efectos sobre la fase de producción La incorporación del comercio electrónico también afecta a todo el proceso de producción. Un ejemplo es el de aquellos artículos caracterizados por un alto nivel de modularidad, en los que se ofrece la posibilidad al cliente de elegir la configuración final del producto en base a múltiples criterios. De este modo se le permite al cliente realizar su elección analizando en detalle todas y cada una de las diferentes combinaciones finales, gracias a un proceso de decisión de compra ilimitado en el tiempo, sin presión ni vendedor delante. Además de la modularidad, también la variabilidad de la gama de productos es susceptible de verse incrementada, lo cual podría dar lugar a problemas en el sistema de producción en caso de que éste no esté configurado con el suficiente grado de flexibilidad y adaptabilidad a variaciones en la demanda. Por otro lado, esta misma cuestión lleva asociadas ciertas ventajas en forma de posible fabricación sobre pedido en el caso de que no se solicite la entrega del producto con carácter inmediato, lo cual supone permitir operar con reducciones drásticas de inventarios que repercuten en la cuenta de resultados. En resumen, el proceso de fabricación puede comenzar su implementación partiendo del pedido de un producto a medida realizado por un cliente a través del sitio web. A partir de ahí se inicia la cadena de fabricación y

89

Seguridad y Comercio Electrónico aprovisionamiento, con lo que se logran notables optimizaciones en el proceso de fabricación, principalmente en forma de desaparición de cuellos de botella y gastos de almacenaje. De esta manera, la utilización de procesos de fabricación JIT (Just In Time) se hará notoriamente más asequible, ya que el uso de una comunicación interactiva vía Internet da lugar a una considerable reducción de costes frente al uso de sistemas tradicionales de automatización de pedidos y facturación, como por ejemplo EDI (Electronic Data Interchange).

Efectos sobre la fase de distribución En esta fase, el impacto de la integración digital de empresas es enorme, y lo será mucho más en un futuro próximo. En el caso de empresas con productos de carácter virtual, se logrará eliminar no ya sólo stocks físicos, sino también a intermediarios y distribuidores de todo tipo (se estaría hablando de una integración vertical total). Se crean de esta manera nuevos canales de distribución directos entre fabricantes y consumidores finales, ya que textos, imágenes, sonidos o vídeos son productos que pueden descargarse directamente a través de la red. Las ventajas también aparecen en el caso de productos con presencia física, ya que se podría entonces dotar a la cadena logística de un nivel total de automatización: la empresa de transporte recibiría la orden de compra directamente de nuestros clientes. Y es que la aplicación de estas nuevas tecnologías a la distribución puede servir para aumentar considerablemente la satisfacción de los clientes con los servicios que se presten, pues se les presenta a las empresas un amplio margen de maniobra en forma de servicios de alto valor percibido por parte del cliente (y bajo coste) que realmente facilitan a las empresas la fidelización del perfil objetivo.

90

Seguridad y Comercio Electrónico Por ejemplo, los clientes de las principales empresas de logística a nivel mundial (tales como DHL, FedEx o UPS) pueden realizar un seguimiento en línea en tiempo real de la ubicación física de sus mercancías gracias a un sofisticado sistema informatizado de tracking de pedidos. Por otro lado no en todos los sectores se ha dado la bienvenida al comercio electrónico y su consiguiente desintermediación de canales en forma de distribución de productos y servicios sin un establecimiento físico. Así, se observa en el horizonte un futuro no muy favorecedor para el gremio de todo tipo de intermediarios, tanto mayoristas como minoristas. Como consecuencia de lo anterior, surgen interrogantes tales como: ¿cuál va a ser la estrategia a corto y medio plazo de este tipo de entidades ante la repentina tendencia a la integración vertical por parte de los que hasta hace poco eran sus proveedores o clientes?, ¿terminarán desapareciendo categorías genéricas tales como las agencias de viajes, inmobiliarias, tiendas de música, videoclubs, concesionarios de automóviles o la banca comercial tal y como hoy se conocen?, ¿se crearán nuevas categorías genéricas de negocio en la red difíciles de imaginar hoy en día?, ¿cuál es el futuro de cajeros, taquilleros, dependientes, e incluso de farmacéuticos y brokers? Sin mayor ánimo visionario, y basándose sobre todo en los errores cometidos por los gestores de los principales e-Business se puede asegurar que las claves del éxito en el mundo físico son perfectamente trasladables al mundo virtual, destacando éstas: •

Estrategia de negocio coherente con la estructura interna de la empresa y con el entorno.

•

Estructura financiera saneada.

91

Seguridad y Comercio Electrónico •

Constante apuesta por la innovación y la diferenciación.

•

Flexibilidad ante los cambios.

•

Que exista un cliente latente del tipo de productos y servicios que la empresa ofrece.

•

Que los productos y servicios cubran las necesidades del cliente.

•

Que los productos y servicios cubran las expectativas del cliente. Resumiendo, si bien no es posible referirse de modo genérico en los

modelos de negocio virtuales que funcionan cuál fue el factor clave de negocio que les llevó a destacar (ya que existen múltiples características propias no ya de cada sector o mercado, sino incluso de cada canal de distribución o legislación fiscal local), sí existen unas características intrínsecas del negocio en el que se compite, y será el que mejor conozca estas características, y sepa adaptarlas a su negocio virtual, el que termine configurando una imagen de marca en la mente del consumidor.

Efectos sobre el marketing Se trata, probablemente, del eslabón de la cadena en el que puede ejercer mayor influencia el comercio electrónico, en cualquiera de las 4P’s: precio, producto, publicidad y distribución, apareciendo ventajas tales como: •

Acceso en tiempo real a información del tipo quién ha accedido a una página web, qué rutas han seguido dentro del mismo, y en qué franjas horarias, y, en definitiva, todos aquellos criterios que permitan conocer en profundidad quién es el cliente y cuáles son sus necesidades.

92

Seguridad y Comercio Electrónico •

Consecución del equilibrio entre el impacto y la riqueza de un mensaje: mediante la comunicación digital se puede alcanzar dicho equilibrio entre ambos parámetros, ya que se puede dirigir a grandes cantidades de consumidores ofreciéndoles información extensa sobre productos y servicios, impensable con métodos tradicionales tales como la venta directa (impacto bajo, riqueza alta) o publicidad televisiva (impacto alto, riqueza baja).

•

Globalidad total de mercado, ya que se pueden ofrecer productos y servicios por todo el mundo sin apenas límites de tipo geográfico o temporal y con un coste por regla general bastante menor.

•

Mayor calidad de la comunicación, ya que se podrá enviar una gran cantidad de información sobre productos utilizando imágenes, sonido y texto.

•

Segmentación: verificar que hay una total afinidad entre el perfil objetivo y el usuario promedio de la red. En la actualidad, cada vez más, el prototipo de usuario de Internet es realmente representativo de la sociedad en general, pero aun hay muchas diferencias. Por citar unos ejemplos, el porcentaje

de

usuarios

masculinos

está

muy

por

encima

del

aproximadamente 50% que le correspondería por presencia en la sociedad, siendo también sensiblemente diferentes en cuestiones tales como el nivel promedio de estudios o la distribución por edades. •

En definitiva, las tecnologías existentes en materia de comercio electrónico posibilitan el uso de diversos criterios de segmentación para que un banner concreto sea accesible únicamente por

los miembros de perfiles

determinados, con lo que se conseguirían eliminar los costes de fricción (procedentes de enviar mensajes publicitarios a perfiles escasamente

93

Seguridad y Comercio Electrónico susceptibles de estar interesados en nuestros productos) existentes en las plataformas publicitarias del mundo tangible. •

Espectaculares ahorros en costes como consecuencia directa de métodos más baratos de comunicación y distribución, que a su vez se pueden repercutir en el cliente, incentivándole así a abandonar los métodos tradicionales de compra.

•

Mayor capacidad por parte del usuario para poder comparar cuestiones tales como precios, calidades, plazos de entrega o condiciones de financiación con productos o servicios de empresas competidoras.

•

Técnicas de promoción interactiva, con todo tipo de concursos, chats, foros, juegos, premios y sorteos dirigidos a perfiles específicos. Obviamente, es en esta fase en la que se produce un mayor salto cualitativo

respecto a la cadena de valor tradicional, ya que se producen consecuencias directas tales como: •

Aparición de nuevas metodologías de fidelización de clientes.

•

Desaparición de procesos administrativos en su formato tradicional en el caso de ventas empresa-empresa (EDI).

•

Desaparición progresiva de las fuerzas de ventas.

•

Normalización de los métodos de pago. Como consecuencia de lo anterior, las empresas que han decidido apostar

por la integración digital pueden haber encontrado grandes expectativas en forma de: •

Mejora de gestión de la fuerza de ventas.

94

Seguridad y Comercio Electrónico •

Posibilidad de enviar mensajes de ventas personalizados.

•

Realización de un marketing instantáneo a una audiencia global.

•

Reducción de costes en la captación de nuevos clientes.

Efectos sobre el servicio postventa Posiblemente, el servicio más valorado por parte del cliente, y en el que nuevas tecnologías tales como el comercio electrónico pueden jugar un papel fundamental. Mediante la integración de los centros de atención telefónica (Call Centers) con Internet, se puede crear un servicio de atención en línea a su vez integrado con la actual estructura de soporte telefónico con vistas a afianzar la relación con la clientela. Aún teniendo en cuenta que el nivel de servicio post-venta cambia radicalmente de un tipo de productos a otros (no tienen nada que ver los productos de marketing masivo y los de marketing industrial, por poner un ejemplo), nunca deja de convertirse en un arma de doble filo para el fabricante: es una amenaza a la vez que una oportunidad. Se propone el caso de un programa de software (útil para ejemplificar ambos tipos de marketing): el usuario de ese programa podrá recibir en línea información sobre otros programas del mismo fabricante; trucos, curiosidades y nuevas utilidades del programa que compró; enviar quejas o sugerencias; actualizar su versión del producto incluso de forma automática; pedir que envíen un técnico a sus instalaciones o chatear con otros usuarios. Como complemento a lo anterior, se puede también atender al cliente con respuestas

estandarizadas

desde

Internet,

utilizando

bases

de

datos

95

Seguridad y Comercio Electrónico específicamente configuradas que contengan respuestas a las preguntas más habituales (en los call centers es bastante usual la ley de Pareto del 80/20: el 80% de las preguntas encuentra como solución el 20% de las respuestas). En el caso de que la base de datos no estuviese configurada para poder responder a la petición o duda del cliente, se recurriría entonces a un servicio de atención personalizada, ya sea mediante un equipo de teleoperadores, o con chats o e-mails si la situación así lo requiriese. Por otra parte, las preguntas que formasen parte de la base de datos inicial se verían complementadas con aquellas que por su reiteración pudieran ser de utilidad para futuras consultas, retroalimentando así el sistema. De lo que se deduce claramente es que este tipo de herramientas puede ser de gran utilidad para las empresas a fin de incrementar el grado de satisfacción de sus clientes reduciendo a su vez su estructura de costes. A modo de conclusión, recalcar el hecho de que en las empresas tecnológicamente integradas (ya sea total o parcialmente), se encuentren dos cadenas de valor paralelas: la real y la virtual. Ambas deben estar compensadas y conjuntadas entre sí, así como con el entorno que las rodea (clientes, proveedores y competidores, ya sean actuales o simplemente potenciales), al tiempo que deben seguir un tratamiento distinto en aquellas cuestiones en que las peculiaridades de sus diferentes medios así lo aconsejen. O lo que viene a ser lo mismo: el mundo digital permite todo un abanico de oportunidades para el análisis de nuestro negocio que se pueden utilizar para una constante reingeniería de procesos, utilizando como información de base la procedente de analizar previamente los eslabones de la cadena de valor virtual.

96

Seguridad y Comercio Electrónico

3.4.

Las nuevas oportunidades empresariales. En este apartado se va a estudiar el caso de dos iniciativas de negocios en

Internet cuyos resultados fueron totalmente opuestos, triunfando una de ellas y fracasando la otra. Se pueden extraer conclusiones útiles de los aciertos y errores que se pueden cometer. El responsable de desarrollo de negocio de la empresa Memorix se enfrentaba a un reto importante. La única empresa que participaba al mismo nivel que ellos en el mercado de la distribución de componentes electrónicos era Elecktrik, y acababa de crear una página web habilitada mediante comercio electrónico para llegar de forma más eficiente a su mercado. De modo que el director general de Memorix reunió al director de marketing, al jefe de ventas y al responsable de negocios. Finalmente, se dictaminó que este último debería elaborar una alternativa de e-business competitiva respecto a la de Elecktrik. Tras haber observado con detalle el funcionamiento de la web de sus competidores, se diseñó la nueva página web de Memorix, la cual era muy similar a la primera. Ambas tenían un "front office" casi idéntico. Eso quiere decir que se corresponde con la parte que el cliente ve y está compuesto de tres elementos: •

Contenido. Aquello que ha de ser introducido en la web.

•

Estructura. Referente al lugar donde tiene que aparecer contenido.

•

Diseño. Indica cómo ha de aparecer el contenido de la web. Aunque el front office es una parte muy necesaria, no era la diferencia más

destacable entre ambas páginas web, sino que había que buscar más abajo para llegar a la capa donde el negocio y la experiencia son lo esencial. Aquello que muchos llaman “Know-how” y que se adquiere a través de años de experiencia y por ello no es algo sencillo de copiar.

97

Seguridad y Comercio Electrónico Finalmente, se recurrió a los clientes para que dieran su opinión sobre ambas páginas web y el resultado de esta iniciativa permitió llegar a las claves del problema de Memorix: •

Los pedidos llegaban con retraso en un buen número de casos y la atención al cliente no era ni rápida ni eficaz.

•

En Elecktrik la información de producto se había cuidado más que en Memorix, se había estructurado mejor y era más extensa.

•

No aplicaban precios personalizados según diversos criterios.

Por ello, se deben tener en cuenta tres elementos clave en cualquier ebusiness: la gestión de información, integración con los procesos de negocio internos y finalmente la personalización.

a) Gestión de información. ¿Cómo ha de ser ésta para ser útil en la web? •

Profunda. Debe responder a las preguntas que se puede hacer el cliente en el momento de elegir un producto en el que está interesado. Preferiblemente ha de ser extensa.

•

Estructura. Para todos los productos catalogados se ha de seguir una estructura uniforme. Debe constar de categorías, subcategorías, atributos...

•

Automatizada. Aquí cobran especial importancia los átomos de información.

Esto

es,

dividir

la

información

en

pequeños

componentes. Poniendo como ejemplo una película, se podría mostrar información referente a su título, director, reparto, país, año, crítica... Un buen número de empresas disponen de información amplia y útil en el ámbito interno de las mismas, para que la use el personal de sus

98

Seguridad y Comercio Electrónico distintos departamentos, pero no apropiada para ubicarla en un lugar como Internet, accesible por un gran número de personas. Esto no se ve favorecido si dispone de información obtenida de otros miembros de la cadena de suministro, los cuales la habrán estructurado bajo sus criterios, de modo que se complica la conjugación de la misma con la información propia de la empresa en cuanto al nivel de información, estructura y formato. No obstante. Existen medidas para enfrentarse a esta eventualidad: •

Internamente. El precio a pagar será el tiempo necesario y el coste en personal, para la alternativa que consiste en destinar a un grupo de empleados la labor de gestión de información en el sentido de recopilarla, digitalizarla e incorporarla a la estructura presente. Pero la ventaja será esencial, ya que la información gozará de un control total, de cara al interior de la empresa pero también de forma abierta, desde la web.

•

Externamente. Obtener una base de datos cuidada y actualizada periódicamente a través de alguna empresa dedicada a seleccionar y organizar información. Se ha de buscar la solución mejor adaptada al tipo de negocio dado.

•

Herramientas software. Que permiten tratar catálogos de información de diversa índole de cara a integrarlos coherentemente. Pero para ello la información de los mismos ha de ser lo suficientemente elaborada y cuantiosa para que estas aplicaciones consigan un nivel de eficacia óptimo, ya que por sí solas no están habilitadas para mejorar su calidad y profundidad.

b) Integración con los procesos de negocio internos. ¿Qué ocurre una vez que el consumidor ha seleccionado la opción comprar? Un back office (tareas de

99

Seguridad y Comercio Electrónico gestión internas de la empresa) integrado será clave, para ello se deben considerar los siguientes aspectos: •

Conectar la web con el sistema de gestión. La página web de la empresa no puede ser una isla. Ha de estar conectada al centro neurálgico, ese lugar de la empresa donde se trabaja rigurosamente para cuidar sus actividades, sus clientes y proveedores. En definitiva, se ha de conectar a su sistema de gestión. Esta consideración es vital para el éxito de un negocio en Internet.

•

Conectar la web con los proveedores. Igual que ocurría en el caso anterior, también se debe considerar la conexión del sitio web con los proveedores para beneficiarse de este modo, de las siguientes ventajas:  Los pedidos son enviados directamente al proveedor que corresponda, de esta forma, se produce un ahorro sustancial en los costes de gestión de compras de la empresa.  Para los proveedores también comporta ventajas, reduciendo costes. Se aumenta la capacidad de negociación entre la empresa y los proveedores. Finalmente, cabe destacar que los pedidos entran directamente en el programa de gestión de los proveedores, evitando de este modo el trabajo de recepción de pedidos.  El pedido viaja sin intermediarios desde el ordenador del cliente hasta el del proveedor. Con ello se consigue disminuir el tiempo de entrega de los productos disponibles.

•

Precio y disponibilidad en tiempo real. Con ello se consigue un importante ahorro de tiempo en primer lugar para el cliente, evitándole sorpresas desagradables en cuanto al plazo de entrega y en segundo lugar para la propia empresa, que evita tener que hacer

100

Seguridad y Comercio Electrónico múltiples llamadas telefónicas a sus proveedores para verificar la disponibilidad de sus productos.

c) Personalización. ¿Qué condiciones se ofrecen a los distintos clientes que emplean la web para comprar? En negocios B2C, orientados a clientes individuales, se pueden emplear formas de pago y precios estándar. Pero en los negocios B2B, es esencial ofrecer un trato personalizado a las diferentes empresas, han de sentirse exclusivas y valiosas. Desean que la web les permita acceder a ventajas como plazos y formas de pago, rappels, descuentos y precios a su medida. Hay que tener especial cuidado a la hora de producirse cambios en la información del programa de gestión de la empresa, en el supuesto de que de ahí parte la información que se plasme en la web. En ese caso la web ha de ser coherente con la misma a través de un correcto mantenimiento para evitar errores.

101

Seguridad y Comercio Electrónico Pero existen otros elementos clave para ayudar a las empresas a sentirse cómodas desde su posición de cliente en un B2B. En este caso la creatividad es el factor decisivo, para ofrecer distintas facilidades como por ejemplo crear listas personalizadas de favoritos, disponer de un historial de transacciones u ofrecer ofertas en relación con sus necesidades y características.

102

Seguridad y Comercio Electrónico

3.5.

Definición de la estrategia para el comercio electrónico. La estrategia para el comercio electrónico posee dos partes, su formulación

y su implantación. Las claves de la estrategia actual vienen determinadas por dos conceptos:


Visión: Capacidad de estar mañana por donde pasará el futuro.




Liderazgo: Llevar a la empresa al lugar donde la visión la ha marcado.

Los pasos para formular esta estrategia son:

Por otro lado existen tres niveles de estrategia según su duración en el tiempo:


Largo Plazo: Corporativa. Es la estrategia que tiene que ver con el accionista.




Medio Plazo: Negocio. La estrategia que tiene que ver con los clientes.




Corto Plazo: Funcional. La estrategia que tiene que ver con las áreas funcionales del negocio.

103

Seguridad y Comercio Electrónico El concepto de estrategia ha sido objeto de múltiples interpretaciones, de modo que no existe una única definición. No obstante, es posible identificar cinco concepciones alternativas que si bien compiten, tienen la importancia de complementarse. Estrategia como Plan Un curso de acción conscientemente deseado y determinado de forma anticipada, con la finalidad de asegurar el logro de los objetivos de la empresa. Normalmente se recoge de forma explícita en documentos formales conocidos como planes. Estrategia como Táctica Una maniobra específica destinada a dejar de lado al oponente o competidor. Estrategia como Pauta La estrategia es cualquier conjunto de acciones o comportamiento, sea deliberado o no. Definir la estrategia como un plan no es suficiente, se necesita un concepto en el que se acompañe el comportamiento resultante. Específicamente, la estrategia debe ser coherente con el comportamiento. Estrategia como Posición La estrategia es cualquier posición viable o forma de situar a la empresa en el entorno, sea directamente competitiva o no. Estrategia como Perspectiva La estrategia consiste, no en elegir una posición, sino en arraigar compromisos en las formas de actuar o responder; es un concepto abstracto que representa para la organización lo que la personalidad para el individuo.

104

Seguridad y Comercio Electrónico Estrategia & E-Estrategia Las estrategias de Comercio Electrónico no están desligadas de la estrategia general de la compañía y viceversa. Como todas las compañías que participan en el mercado tienen acceso a las diferentes tecnologías disponibles, la adquisición de las mismas no genera por sí sola ventajas competitivas. Es lo que cada compañía está en capacidad de hacer y el máximo retorno que pueda obtener de estas inversiones, lo que hace la diferencia. En la práctica estas dos estrategias se fusionan de tal manera, que es difícil diferenciar claramente lo que corresponde a la estrategia de Comercio Electrónico y a la estrategia global de negocio. Adicionalmente, el hecho de que la estrategia de negocio involucre a las diferentes áreas de la organización y la estrategia de Comercio Electrónico ofrezca oportunidades de mejora para cada una de ellas; indica un alto grado de cohesión.

3.5.1. Desarrollo de una estrategia de comercio electrónico. El desarrollo de una estrategia de comercio electrónico requiere una planificación cuidadosa y un compromiso total. El comercio electrónico debe visualizarse como una operación de largo plazo, y no como una oportunidad de obtener un lucro a corto plazo. La preparación de una estrategia de comercio electrónico confirmará si una presencia en Internet es conveniente para la compañía y cuándo, lo que permite usar de manera más eficaz esta poderosa herramienta empresarial. Una estrategia de comercio electrónico no difiere fundamentalmente de cualquier otro plan de negocios, y antes de diseñarla se debe asegurar que la compañía:

105

Seguridad y Comercio Electrónico •

Comprende las características del mercado en línea, tales como la naturaleza global de la competencia, los requisitos técnicos y reglamentarios que se aplican a las ventas en línea, y el papel que desempeña la información en el comercio electrónico.

•

Tiene la capacidad técnica y de suministro para la venta de productos y servicios en un mercado global en línea.

•

Establece procesos de producción y de ventas que permite atender un aumento significativo en el negocio.

•

Cuenta con el apoyo de todos los niveles de la gerencia, hacer claros los pasos de todo el proceso de compra electrónica, e identificar el personal que posiblemente va a participar en el proceso. Antes de diseñar la estrategia podría ser conveniente crear una conciencia en el personal acerca del potencial que ofrece el comercio electrónico y darle la capacitación sobre aspectos específicos del mismo.

3.5.2. Aspectos clave de una estrategia de comercio electrónico. Una estrategia bien preparada debe contener una evaluación de las posibilidades de ventas a través de Internet del producto o de los productos involucrados, un estimado del total de las inversiones necesarias para establecer y desarrollar el negocio, un plan para operar el negocio y para medir su progreso, y un indicativo del retorno esperado sobre la inversión. Debe incluir la opción de solicitar financiamiento. Los elementos esenciales de una estrategia de negocios de comercio electrónico son los siguientes:

106

Seguridad y Comercio Electrónico •

Resumen ejecutivo: Este es una parte muy importante del plan. Debe redactarse después de completar el resto del plan. Probablemente los inversionistas potenciales leerán solamente esta parte en los primeros contactos con ellos. Este es el lugar indicado para una presentación breve directa y precisa. Si el resumen ejecutivo atrae el interés de los inversionistas, habrá posteriormente numerosas oportunidades para que se demuestre el entusiasmo por el proyecto. Señale los factores de éxito de su empresa y luego se debe enumerar las ventajas que se tiene sobre los competidores que ya cuentan con una presencia en Internet.

•

Objetivos: Definir las metas de largo plazo y determinar cómo el comercio electrónico ayudará a alcanzar esas metas.

•

Orientación: Señalar cómo se quiere usar la Internet.

•

Situación actual: Identificar los productos de la empresa que se venderán bien por Internet y explicar por qué.

•

Establecer los criterios de evaluación de las operaciones web: Éstos podrían incluir el número de visitas por mes, el número de páginas vistas, el número de visitantes por una sola vez, el número de contactos reales, el número de transacciones y el número de pedidos.

•

Promoción: Describir cómo se planea promocionar su sitio web.

•

Análisis de mercados: Describir las oportunidades que tiene la compañía en el mercado del comercio electrónico.

•

Competencia actual: Presentar los resultados del análisis que se hace sobre la competencia actual y sobre la competitividad que tiene la empresa dentro de la industria. Hacer una lista de los sitios web de todos los competidores principales y secundarios. ¿Cuál es la

107

Seguridad y Comercio Electrónico participación estimada en el mercado de cada competidor? ¿Cuáles son las tendencias esperadas en su industria para el comercio electrónico? •

Clientes objetivo: Presentar el perfil demográfico y socioeconómico de los clientes que se espera captar en línea. ¿Por qué cree que ellos comprarán en su sitio de Internet?

•

Investigación de un grupo de enfoque: Presentar los hallazgos de la investigación enfocada en un pequeño grupo de clientes potenciales del mercado objetivo. Esta investigación debe haber proporcionado una retroalimentación sobre el potencial de ventas de los productos en un ambiente de mercado electrónico.

•

Riesgo calculado: Presentar las proyecciones para el desarrollo de la industria y de la empresa durante los próximos tres a cinco años, tanto en línea como fuera de línea.

•

Estrategia de mercado: Mostrar la forma como se piensa atraer clientes, importadores, agentes, y mayoristas en línea para que hagan negocios con la empresa, y la forma en que se va a mantener el interés de los mismos.

•

Contenido: Establecer los elementos que se piensan incluir en el sitio web.

•

Publicidad: Presentar los planes de publicidad. Éstos deben tener en cuenta los requisitos extranjeros de etiquetado y de embalaje, los aspectos relacionados con la traducción, las relaciones con los clientes, los anuncios publicitarios de acuerdo a la cultura y las barreras semánticas.

108

Seguridad y Comercio Electrónico •

Relaciones públicas: Establecer el plan con un programa regular y consistente de actualización de productos y servicios. Esto podría incluir un boletín electrónico, publicaciones de artículos en revistas técnicas, comunicados de prensa, organización de reuniones de clientes, y patrocinio de grupos de discusión en línea.

•

Estrategia de ventas: Entre los detalles que deben presentarse están los siguientes: o Precios y rentabilidad. Formular una estrategia de fijación de precios internacionales para vender, distribuir y comprar en línea. Procesamiento de pedidos y de pagos. ¿Cómo se tomarán los pedidos (por teléfono, fax, correo, en línea)? ¿Cómo se efectuarán los pagos (por correo, en línea, transferencias bancarias)? Métodos de distribución. Determinar dónde y cómo se harán las estrategias en el extranjero. ¿Cómo se enviará la confirmación de pedidos y embarques? Tácticas de promoción de ventas. ¿Se promocionará el producto o servicio únicamente en línea o también con la ayuda de herramientas tradicionales (por ejemplo, correo directo, correo electrónico, visitas sin previo aviso, impresos, publicidad en radio y televisión, etc.)?

•

Servicio: Se debe formular la siguiente pregunta: ¿Se le presta servicio al cliente, en caso de solicitarlo, después de completar la venta?

•

Relaciones comerciales: Elaborar un plan para este fin, y determinar el tipo de relaciones que se van a establecer (por ejemplo, de agente/distribuidor) para desarrollar relaciones internacionales de negocios, incluyendo aspectos tales como el de la capacitación multicultural.

109

Seguridad y Comercio Electrónico •

Integración: Describir la forma de cómo se integrarán los sistemas con los sistemas usados por el banco, clientes, proveedores, distribuidores, etc.

•

Programa de producción: Indicar el volumen inicial, los requisitos de expansión, las fuentes de materiales, los sitios de fabricación.

•

Proyecciones financieras: Ser realista y conservador.

•

Presupuesto a doce meses: Pronosticar los costos del primer año de su plan.

•

Proyección del flujo de efectivo: Calcular las entradas y desembolsos en efectivo. Plan a cinco años: Incluir una proyección de pérdidas y ganancias durante cinco años.

•

Balance general: Mostrar la posición de liquidez y de efectivo de la empresa.

•

Análisis del punto de equilibrio: Calcular el número de unidades que se necesita vender para alcanzar el punto de equilibrio.

•

Fuente y uso de fondos: Indicar dónde se va a obtener el financiamiento para iniciar o expandir la operación de exportaciones.

•

Uso de los ingresos: Mostrar cómo se usarán las utilidades y los préstamos.

•

Conclusiones: Establecer nuevamente las metas básicas de la operación de comercio electrónico, el capital total requerido, las utilidades esperadas, el programa de negocios, y los comentarios generales.

110

Seguridad y Comercio Electrónico •

Apéndice: Incluir una hoja de vida de los individuos clave que participaran en el plan; hacer una lista de los clientes clave, clientes potenciales; incluya datos de estudios de mercado, planos, contratos y proyecciones financieras para el plan.

3.5.3. Aspectos negativos en una estrategia de comercio electrónico •

No buscar asesoría: Las empresas nuevas en el comercio electrónico o que desean expandirse hacia mercados extranjeros que desconocen, a menudo no buscan asesoría calificada antes de desarrollar sus planes de comercio electrónico.

•

No lograr compromiso de la gerencia. Se debe asegurar que la alta gerencia se comprometa firmemente con el desarrollo del plan. En la formulación del plan deben participar todas las divisiones funcionales de la compañía, es decir, gerencia, área administrativa, financiera, de mercadeo, de producción y de capacitación, aunque se le debe asignar a una persona la responsabilidad general del mismo. Esta visión global facilitará la tarea subsiguiente de esta persona para obtener la aprobación y el respaldo financiero de sus socios financieros para la implementación del plan.

•

No llevar a cabo una buena investigación de mercados: La investigación de mercados en línea ha facilitado más que nunca el estudio de las condiciones demográficas, políticas y socioeconómicas de cualquier país, la identificación de las tendencias comerciales, oportunidades de importación y exportación, etc. Se debe recurrir también a fuentes tradicionales, sobre todo si aún no se ha vendido el producto en otros países. Llevar a cabo investigaciones en pequeños grupos de enfoque de

111

Seguridad y Comercio Electrónico clientes objetivo a fin de obtener comentarios acerca de las características deseadas del producto, así como para conocer el interés y experiencias respecto a las compras por Internet. Si todavía no se está exportando, es conveniente enviar muestras de los productos, o encargar a un representante que lleve las muestras a los mercados potenciales y las someta a evaluaciones por parte de los clientes. También estudiar las preferencias particulares de grupos de clientes potenciales en el extranjero. •

No analizar los resultados de las investigaciones de mercados: Las estrategias de comercio electrónico deben basarse en un buen análisis e investigación de mercados. El análisis debe confirmar si el producto es apropiado para ser vendido en Internet, si el diseño es atractivo en mercados específicos, o si el producto satisface las preferencias particulares que puedan tener grupos de clientes potenciales en el extranjero.

•

No determinar los flujos de exportaciones e importaciones (Análisis del sector): Para muchas compañías es difícil obtener información acerca de países que exportan e importan productos específicos. Para que los exportadores logren hacer llegar el mensaje de mercadeo electrónico y tener éxito en un mercado particular, es esencial determinar si el producto será competitivo. Existen muchas fuentes de información sobre oportunidades competitivas en un mercado. La mejor, pero la más costosa, es hablar directamente con los clientes, o con los agentes, los mayoristas y los comerciantes minoristas en el mercado especialmente si se va a vender o a distribuir los productos por intermedio de ellos. Una herramienta de comunicación a bajo costo que también puede ser útil es el correo electrónico, pero se necesita encontrar la persona adecuada a la

112

Seguridad y Comercio Electrónico cual se va a dirigir el correo y redactar un mensaje que logre el tipo de respuesta que se requiere. •

No determinar el precio óptimo de exportación: Fijar el precio de un producto es un factor importante para las proyecciones financieras. Muchas empresas que exportan por primera vez o esporádicamente pasan por alto los diversos costos foráneos que pueden influir en el precio unitario. En las proyecciones financieras y en el presupuesto a tres años se deben tener en cuenta todos y cada uno de los elementos del plan de comercio electrónico. Cuando se trata de comercio electrónico a escala internacional es necesario considerar los siguientes elementos para la estrategia de fijación de precios: o Diseño del sitio web o Actualización del sitio web o Monitoreo de los mensajes en el sitio web o Procesamiento de pedidos a través de la web o Mercadeo electrónico o Porcentaje de margen de utilidad o Comisiones por ventas o Cargos por transporte o Costos de financiamiento o Comisiones por procesamiento de cartas de crédito o Cargos por embalaje para exportación

113

Seguridad y Comercio Electrónico o Gastos locales de transporte o Descarga en Terminal o Seguros o Traducciones o Condiciones de crédito o Programas de pago o Monedas de pago o Porcentajes de comisiones o Costos de almacenamiento o Servicio post-venta o Costos de reposición de mercancía dañada

•

No reconocer cómo toman las decisiones los compradores: Es importante entender la forma en que los compradores toman sus decisiones de compra en Internet. El factor que más influye en una decisión de compra, ya sea en línea o fuera de línea, es si el comprador confía en el vendedor. Por lo tanto, debe hacerse todo lo posible para asegurar que su sitio web proyecte confiabilidad.

•

Comunicaciones generales de mercado: Muchas empresas que ingresan por primera vez al comercio electrónico lo hacen de manera pasiva en lugar de activa, haciendo ventas únicamente porque alguien de otro país se puso en contacto con ellos. También, hay muchas empresas que no

114

Seguridad y Comercio Electrónico venden en línea porque desconocen las oportunidades gratuitas o de bajo costo, que se ofrecen para la comercialización. Además de las técnicas tradicionales de mercadeo en línea, las mejores oportunidades de comercialización se encuentran en catálogos que presentan productos autóctonos, programas de compradores internacionales, servicios de agentes y distribuidores, exhibiciones por catálogo, y asociaciones comerciales. •

No verificar la solvencia económica del comprador: Antes de aceptar cualquier negocio, es esencial verificar la solvencia económica del comprador, distribuidor o socio potencial. Una cámara de comercio u otra fuente similar del país del comprador puede proporcionarle una referencia comercial, pero ésta no es una referencia de crédito. Para una pequeña empresa, la mejor garantía es no otorgar un crédito comercial tradicional para ventas en línea a compañías desconocidas. De ser posible, utilizar un servicio de depósitos en custodia o insistir en el uso de las tarjetas de crédito reconocidas (VISA, MasterCard, American Express, etc.).

•

Elección de métodos de distribución: Muchas empresas utilizan el comercio electrónico directo como único medio para realizar negocios a escala internacional. Un sitio web es un medio que le permite a la pequeña

empresa

tener

un

máximo

control

del

mercadeo,

financiamiento y crecimiento del mercado. Sin embargo, existen otros métodos de publicidad, mercadeo y distribución. Entre esos métodos están los siguientes: elegir a un agente de ventas por comercio electrónico que trabaje por comisión, contratar a una compañía administradora de comercio electrónico para que maneje las ventas, designar a un representante de ventas en línea, negociar un contrato de

115

Seguridad y Comercio Electrónico distribución, una empresa de riesgo compartido, y la producción en el extranjero. Cualquiera de estos métodos de distribución puede ayudar al exportador a implementar con éxito estrategias de comercio electrónico, así como beneficiarse de la experiencia y de los contactos que tenga un socio más experimentado en el comercio electrónico.

3.5.4. De la estrategia a la acción estratégica. Si bien es cierto, la conciencia sobre la implementación del tema de Comercio Electrónico ha ido incrementando paulatinamente, en algunos casos no se tiene claridad sobre la manera de abordarlo. En otras palabras, una estrategia organizada que parta de entender el impacto de los cambios del entorno y la situación interna de la organización y que oriente la construcción de las soluciones tecnológicas, para finalmente acompañar su implantación, con el fin de asegurar la apropiación de la nueva forma de hacer el negocio. Hasta aquí se han explicado los elementos clave de un proceso ordenado para formular una estrategia de Comercio Electrónico. Aunque no todos los modelos y metodologías siguen en estricto orden las actividades propuestas; en la práctica conservan lineamientos similares. Hay pequeñas variaciones en los detalles de cada paso, pero en el fondo mantienen una misma filosofía de acción. ¿Qué consideraciones son relevantes en cada uno de ellos? A continuación se describen los 7 pasos para formular una estrategia de comercio electrónico.

116

Seguridad y Comercio Electrónico

3.5.4.1. Paso 1: Pensar la estrategia del comercio electrónico Antes de emprender esfuerzos y comprometer recursos, es conveniente planear el proceso de formulación de la estrategia. Es conveniente tomar conciencia de la situación que enfrenta la compañía y el momento por el cual atraviesa; ya que el proceso deberá acoplarse como parte de las actividades diarias y ello, conlleva el riesgo de caer ante el acoso del día a día. Tomar un tiempo para definir las metas en la formulación y los puntos de chequeo que involucrará para garantizar que va avanzando en la dirección correcta, es útil para evitar esfuerzos innecesarios. Algunas organizaciones emprenden iniciativas sin considerar el esfuerzo que requerirá diseñar la estrategia y terminan abandonado el objetivo. Evitar estas situaciones, implica dedicar tiempo para discutir la forma de abordar el desarrollo de la estrategia. Es necesario que el estratega, identifique los aspectos a considerar,

117

Seguridad y Comercio Electrónico liste las actividades que deberá realizar para formular la estrategia, consulte temas que no domina y las posibles alternativas para obtener ese conocimiento. Adicionalmente, se hace indispensable formular un plan que permita estructurar la estrategia desde la línea base y considerar la logística para hacer de la ejecución un proceso dinámico y flexible. Es útil indicar preguntas simples que le ayuden a identificar los pasos a seguir. Su formulación apropiada favorece la búsqueda de soluciones, facilita la delimitación del problema real y la forma de abordarlo. ¿Cómo se realizará el entendimiento del negocio?, ¿Qué herramientas utilizar para lograr este entendimiento?, ¿Qué disponibilidad de tiempo existe para implementarla?, ¿Qué nivel de profundidad es necesario en cada una de las fases de la estrategia?, son algunos ejemplos para comenzar la tarea. Finalmente, conviene validar si las respuestas obtenidas obedecen a preguntas correctamente formuladas y si muestran un camino viable y confiable. Descrita la forma de iniciar el desarrollo de la estrategia, es necesario entender lo que sucede dentro y fuera de la organización para determinar hacia donde enfocar los esfuerzos.

3.5.4.2. Paso 2: Entender la estrategia del comercio electrónico. Uno de los pasos iniciales en la formulación de la estrategia de e-bussines, es entender lo que está pasando tanto dentro de la compañía como fuera de ella, con el fin de identificar los aspectos internos y externos que indiquen como proceder. Entender implica lograr una visión del negocio, el entorno, factores internos y externos, para encontrar los elementos que permitan realizar la mejor recomendación,

sobre el

uso de Internet

y otros canales

electrónicos.

118

Seguridad y Comercio Electrónico Adicionalmente para determinar el aporte como generadores de ingresos, reductores de costos de operación o facilitadores de posiciones estratégicas distintivas para la organización. El análisis prospectivo, la planeación por escenarios, el manejo de modelos mentales entre otros, proveen herramientas que ayudan a elaborar mejor la formulación en este punto. Lo importante al final es, que el resultado obtenido del análisis mantenga coherencia, pertinencia, y verosimilitud con la realidad de la compañía. Una vez entendidos los aspectos internos y externos que direccionan la estrategia de Comercio Electrónico, es necesario definir los servicios que se involucraran, el orden, el momento en el tiempo en que serán implementados y el nivel de profundidad que requieren para soportar la estrategia global.

3.5.4.3. Paso 3: Definir la estrategia del comercio electrónico. La definición de la estrategia de e-bussines que contenga los procesos a mejorar, tecnología necesaria y la forma de prestar los servicios, de acuerdo a la imagen e identidad de la organización; implica buscar las oportunidades en las áreas de mejora identificadas del análisis del entorno y situación interna. Por otro lado, la definición de los componentes de una estrategia de ebussines, requiere un modelo de pensamiento diferente. Cuando se habla de ebussines, se abre una ventana de oportunidades en cuanto a la forma de ofrecer el servicio, la ubicación geográfica del consumidor, forma de pago, etc., que obligan al estratega a pensar lateralmente. En otras palabras, a partir de una clara y profunda visión de la situación de la compañía, usar la información recopilada, para generar nuevas ideas mediante la reestructuración de los conceptos ya existentes.

119

Seguridad y Comercio Electrónico A continuación, listar ideas y organizarlas con su respectiva prioridad no es suficiente para continuar con la implementación de la estrategia. Es necesario analizarlas y estructurarlas de tal manera que constituya una línea de continuidad en largo plazo. En la práctica se trata de identificar aspectos comunes entre todas las ideas, que permitan crear una base sobre la cual, llegado el momento se apoyarán las demás iniciativas. En la formulación y definición de la estrategia de e-bussines se busca crear una línea base, que soporte los cambios surgidos con el paso del tiempo, sin verse avocados a cambios drásticos en el planteamiento inicial. Sobre esta línea base estarán colocados los demás componentes de su estrategia de e-bussines que le darán la flexibilidad de adaptación ante cambios inesperados. Para definir la línea base, es apropiado contrastar la situación del entorno y el estado actual de la compañía, evaluando la estrategia actual del negocio frente los cambios identificados, para definir cursos o rutas alternativas de acción. El esfuerzo

debe

concluir,

definiendo

cuales

de

los

aspectos

representan

oportunidades al desarrollarlos con el uso de canales electrónicos y detallando aquellos en los que se va a enfocar inicialmente la organización. Nuevamente la formulación de preguntas adecuadas y el cuestionamiento de los paradigmas actuales del negocio, suele ser una forma útil de identificar los componentes de la estrategia. ¿Qué áreas del negocio se pueden beneficiar con el uso de canales electrónicos y en qué orden se debe abordar su mejoramiento? Desde la ampliación de canales en una primera instancia, seguida por la integración de la cadena de valor de la compañía, continuando con la integración de compañías del mismo sector y donde cada una de ellas se enfoca en las competencias que constituyen el núcleo de su negocio, hasta las iniciativas que permitan ofrecer servicios con proveedores de diferentes industrias.

120

Seguridad y Comercio Electrónico 3.5.4.4. Paso 4: Diseñar la estrategia del comercio electrónico. Una vez definidos los cambios es necesario diseñarlos. El diseño implica analizar y cambiar la forma de operar de la organización. En otras palabras: procesos, tecnología y capital humano. Aunque dependiendo de estas iniciativas y el foco que la compañía defina como punto inicial en la estrategia, depende el modelo a utilizar (B2B, B2C, etc.), una aproximación sencilla al diseño, sugiere revisar los segmentos de clientes que serán los directos beneficiados de los servicios implantados, los canales actuales con que cuenta la organización para atenderlos y los canales electrónicos (web, Internet, correo electrónico, etc.) más adecuados para ofrecer nuevos servicios a estos segmentos de clientes. El diseño de la estrategia se enfocará en el análisis y modificación de procesos y tecnología requerida. Foco en los procesos: En la práctica, se revisan los procesos actuales de la compañía, identificando que actividades se ejecutan para atender las diferentes solicitudes de los diversos clientes. El foco es encontrar cuáles de ellos se repiten o requieren ser optimizados, cuando el cliente contacta la organización por diversos canales para realizar el mismo requerimiento. Nuevamente la formulación de preguntas facilita la tarea de diseño. Por ejemplo ¿Qué sucede desde la solicitud del servicio por parte del cliente hasta la entrega del mismo? ¿Qué áreas de la compañía participan en ese proceso? ¿Qué actividades son comunes a diferentes procesos, que se pueden fusionar para optimizar el desempeño al interior de la empresa? Los procesos cambian dependiendo del grado de madurez de la estrategia. La figura de la siguiente página sugiere una forma de organizar las iniciativas de mejora y candidatas a ser implementadas en la estrategia de e-bussines. También se han agrupado en fases en el tiempo, donde cada fase representa un mayor grado

121

Seguridad y Comercio Electrónico de madurez de la organización en el uso de canales electrónicos. Pues bien, dependiendo de este grado de madurez la estrategia involucra cambios en los diferentes procesos del negocio. En una fase inicial de ampliación de canales, se cambian los procesos actuales que no son radicalmente diferentes a los ya existentes, pero que si representan una nueva forma en que la organización asume el día a día. Los procesos que normalmente son rediseñados en esta fase, están relacionados con mercadeo, ventas, gestión de órdenes de pedido, servicio al cliente, procesos de compras y abastecimiento. En una fase de integración de cadena de valor, se requiere un cambio radical en la forma de ver los procesos. Los procesos ya no son vistos como conjuntos de actividades al interior de la empresa, si no que vinculan actividades realizadas en otras organizaciones como proveedores y socios de negocio. El proceso pierde su carácter interno, por lo que están en su gran mayoría completamente automatizados. La automatización de procesos se apalanca en tecnología, para lo cual se requiere especial atención en la identificación de su arquitectura. El diseño se enfoca también en identificar la arquitectura tecnológica que soportará a la estrategia. El objetivo es diseñar el esqueleto tecnológico de toda la operación. De manera similar a la construcción de un edificio, donde se diseñan los cimientos, la arquitectura tecnológica dará un vistazo a los aspectos requeridos por la estrategia de e-bussines. En la práctica es importante verificar que la arquitectura definida resuelva el problema de negocio y contemple los sistemas actuales, incluyendo las formas de pasar de las tecnologías actuales a las siguientes versiones en cada uno de los canales.

122

Seguridad y Comercio Electrónico Adicionalmente los siguientes aspectos forman parte de lo que debe estar claro en cuanto a componentes tecnológicos: Seguridad que requiere la información, nivel de desempeño mínimo para los procesos, nivel disponibilidad de los servicios, entre otros. Finalmente, es fundamental asegurar que los resultados del diseño son claros y entendidos por el equipo directivo de la organización. Dado que los cambios que implica la implantación de una estrategia de e-bussines afectan directa e indirectamente a varias áreas de la compañía, es pertinente que el equipo directivo evalúe la claridad, coherencia y pertinencia de la tecnología que se ha seleccionado, antes de iniciar la construcción.

123

Seguridad y Comercio Electrónico

124

Seguridad y Comercio Electrónico 3.5.4.5. Paso 5: Construir la estrategia del comercio electrónico. La construcción implica aplicar el diseño. Consiste en la implementación de los cambios a los procesos, la tecnología y la gente involucrada. Aunque existen diversas metodologías para realizar los cambios en los procesos, la línea tradicional está dada por el análisis, diseño, desarrollo e implantación del proceso a modificar. La modificación de procesos, inicia con una documentación de los procesos actuales para los servicios que se van a habilitar y la ubicación de los mismos dentro del modelo de procesos global de la compañía. En este punto, se determinan los flujos de información, documentos y los costos involucrados en su realización. Normalmente se continúa con la revisión del proceso, buscando formas alternativas y optimizadas de reorganizarlo, aprovechando las posibilidades que los canales electrónicos ofrecen. Esto incluye la reubicación de actividades humanas y la definición de necesidades de capacitación y equipos de cómputo necesarios para el proceso modificado. Posteriormente se evalúan los productos y servicios buscando la facilidad en su fabricación y mantenimiento. A esta tarea le sigue el desarrollo de las soluciones de tecnología necesarias y finalmente la preparación de ambientes de pruebas, donde se realizan simulaciones que integran gente, aplicaciones y los procesos rediseñados. Dados los niveles de complejidad inherentes a estos cambios, es conveniente planificar la construcción de tal manera, que permita realizar cambios paulatinos, que aborden la solución con resultados intermedios que puedan ponerse en producción rápidamente y donde la organización perciba el beneficio, sin necesidad de esperar a que toda la estrategia esté finalizada. Los planes detallados, las revisiones constantes y la evaluación objetiva sobre el avance, son fundamentales para garantizar el entendimiento total y el

125

Seguridad y Comercio Electrónico éxito de la construcción. En este punto, la estrategia pasa de ser un documento a convertirse en hechos concretos, lo que conlleva un alto riesgo de perder el foco con los detalles técnicos y los problemas derivados de la reestructuración del proceso. Frecuentemente y por falta de control, se construyen soluciones que difieren del diseño inicial y que implican esfuerzos adicionales posteriores para adaptar o retomar el camino. Para

finalizar,

es

necesario

evaluar

constantemente

los

servicios

implantados. Una aproximación para realizar esta tarea, es definir un modelo de medición de los procesos y servicios, de tal manera que faciliten el establecimiento de métricas efectivas para evaluar niveles de calidad prestados y los grados de satisfacción que expresan los destinatarios. Una vez terminadas las pruebas en ambientes de operación y estén vinculados los involucrados en el uso de los nuevos servicios, se proyectan los siguientes pasos que darán continuidad a la estrategia de e-bussines.

3.5.4.6. Paso 6: Proyectar la estrategia del comercio electrónico. Preparar los siguientes pasos en la estrategia de e-bussines, para dar una línea de crecimiento continuo al negocio, consiste en seleccionar un nuevo conjunto de servicios y planear otra iteración de los pasos anteriores. Para definir los siguientes pasos es necesario revisar la visión general y evaluar los resultados obtenidos en la fase que culmina. En esta evaluación, se identifican los aspectos que constituyeron fortalezas y los problemas que dificultaron la labor en los pasos anteriores, con el fin de corregir posibles errores para el siguiente paso de la estrategia y apropiar conocimiento a partir de las experiencias que culminan.

126

Seguridad y Comercio Electrónico Es necesario garantizar que en los futuros pasos de la estrategia, no se cometan los errores iniciales. No se puede esperar que tanto la situación de la empresa en este momento, como las personas, perduren indefinidamente en la organización. Como consecuencia, las experiencias adquiridas se pierden, cuando la competencia se lleva a las personas que han aprendido en los proyectos realizados en la estrategia. Esto tiene un costo representado en tiempo, esfuerzo, dinero, etc. Es fundamental entonces, registrar la historia de la compañía y garantizar que aprende del pasado. Construir un sistema de conocimiento orientado a la colaboración o a la publicación de buenas prácticas, es indispensable para garantizar este objetivo. Dependiendo de la naturaleza de las tareas, podrá identificarse si se requiere un esquema que propicie la colaboración entre los miembros de la organización, o la conformación de repositorios de documentos donde se consoliden y publiquen las experiencias adquiridas. Barreras culturales, fallas en la coordinación de las tareas, acciones e impacto de salidas inesperadas de miembros clave en los equipos de trabajo, nivel de profundidad necesario en la documentación levantada, tiempos estimados para la realización de las tareas versus tiempos reales incurridos, etc.; son temas candidatos para incluir en la documentación. El objetivo, es identificar prácticas que le ayuden a la organización a mejorar su capacidad para llevar a cabo su estrategia en el futuro. Tanto el entorno como la situación interna de la compañía cambian, por lo que al realizar la proyección, es conveniente validar la pertinencia y oportunidad de las alternativas definidas al iniciar su estrategia. Seguramente los cambios del entorno, sumados a la experiencia adquirida en el proceso, son elementos para ajustar el siguiente paso.

127

Seguridad y Comercio Electrónico Luego de validar y ajustar los supuestos iniciales, es necesario estructurar los nuevos servicios. Hay varias vías para realizar esta tarea. Una de ellas es llevar los servicios ya implementados a un mayor nivel de profundidad, es decir, agregar mayor automatización a los procesos y aplicaciones. En otras palabras, aquellos con lo que la compañía está haciendo presencia, llevarlos a una mayor integración con los sistemas del negocio. Otra vía es seleccionar nuevos servicios que por su importancia ayudan a lograr posiciones estratégicas superiores. Finalmente, se puede lograr una combinación entre las dos, de tal manera que la estrategia fortalezca las iniciativas ya implementadas y presione la creación de nuevas oportunidades para la empresa derivadas de la utilización de canales electrónicos. Desde la fase más simple, como es el utilizar un canal de Internet para publicar información básica de productos y servicios, hasta la integración de esos canales con los sistemas del negocio, para brindar información y permitir transacciones comerciales de compra y venta, sirven para focalizar el avance. El paso de proyectar las ventanas de oportunidad futuras derivadas de su estrategia, se superpone con el acompañamiento y monitoreo de la implantación y transición del esfuerzo realizado.

3.5.4.7. Paso 7: Acompañar la estrategia del comercio electrónico. El último paso consiste en acompañar las actividades para asegurar su apropiación por parte de la organización. Implica hacer el seguimiento y participar activamente en la adopción de los resultados de la estrategia. Sugiere el monitoreo de la implantación de las mejoras y la medición constante del impacto positivo y negativo de los nuevos servicios. En muchas compañías, cuando se ha finalizado la construcción de los sistemas y los procesos se han reorganizado; se considera que la mayor parte de la

128

Seguridad y Comercio Electrónico tarea ya está terminada. Esto no es cierto. El mayor reto del estratega es lograr que la organización apropie la nueva forma de trabajo. En otras palabras: que ésta incluya los medios aportados por la estrategia como parte de sus hábitos de acción. Lograr hábitos que caractericen el comportamiento organizacional, conlleva un proceso que va desde la experimentación con los nuevos paradigmas, procesos y tecnología, seguida de una repetición constante de dicho comportamiento, hasta alcanzar la costumbre y finalmente con su profundización convertirlos en principios que determinan los hábitos al actuar. Esta no es tarea fácil en los procesos de cambio. En una estrategia de e-bussines, el reto del estratega va más allá de asegurarse que la gente apropie un cambio en un proceso, o se capacite para consultar un pedido a través de un sistema de Internet. Debe ser capaz de transformar la manera de pensar de la compañía, en torno a las posibilidades que ofrecen los canales electrónicos. Implica enseñar a su equipo humano, a reformular constantemente los paradigmas de trabajo, y con ello lograr una dinámica de cambio en la mente de las personas. Es necesario poner en práctica los cambios en el proceso, conjuntamente con la tecnología que asegure que las herramientas implantadas son interiorizadas por la organización y serán utilizadas para mejorar su desempeño. Muchas compañías del medio, emprenden esfuerzos de mejoramiento que no son utilizados, por que se pierde el impulso en el acompañamiento o porque la gente clave se retira, o porque llegan miembros que no le dan continuidad a las iniciativas. Se necesita control, monitoreo, persistencia y resistencia para obtener frutos. También hay que dar soporte a las actividades de iniciación. En un principio aparecieron muchas dudas, sobre la nueva operación, hasta que la curva de aprendizaje de las nuevas herramientas y procesos se haya alcanzado. Por lo tanto

129

Seguridad y Comercio Electrónico es conveniente, mantener un equipo continuo de soporte, para atender las dudas o solicitudes de información que garanticen la fluidez de los nuevos servicios. Otra cosa interesante es registrar información que permita evaluar periódicamente los beneficios obtenidos y comunicar los resultados a todos los involucrados. Para ello se necesita definir un esquema de niveles de servicio, que permita medir el desempeño de los servicios implantados, canalizar las energías y la percepción sobre los beneficios de las mejoras o los problemas encontrados; es fundamental para evitar que se afecten las expectativas de todo el equipo. Si bien, los pasos propuestos para desarrollar una estrategia de comercio electrónico en la empresa, han sido descritos y constituyen una guía en la línea de acción, no son todo lo necesario para tener éxito en la práctica. Algunos aspectos adicionales explicados a continuación afectan el resultado esperado. Además de esto, el construir una base sólida mientras se avanza, el cambio constante, la habilidad para reducir la incertidumbre, así como la capacidad de minimizar la complejidad paulatinamente, se convierten en factores determinantes para hacer rentable la estrategia. Parte de la formulación de la estrategia es diseñar una forma que le permita incorporar variaciones dependiendo de aspectos inesperados. La organización debe contemplar los procesos necesarios que permitan una mejora incremental a la estrategia. Cada vez más, la estrategia se va robusteciendo e incorporando con nuevos aspectos no contemplados en el pasado. Las estrategias de Comercio Electrónico, llevan asociada una complejidad inherente al uso de tecnologías hasta ese momento desconocidas para la organización. Es recomendable, que dicha complejidad se aborde paulatinamente de tal manera, que en una práctica sencilla se vaya digiriendo y apropiando

130

Seguridad y Comercio Electrónico el cambio organizacional. La simplicidad facilita el entendimiento; y la claridad es un aliado en estos procesos de trasformación. La tendencia en estrategias electrónicas, es iniciar con procesos que hagan publicaciones de información sencillas y paulatinamente incrementen la interactividad, cuando los usuarios han alcanzado un nivel de uso adecuado. Para finalizar, es importante enfatizar que el comercio electrónico es una realidad y está estrechamente relacionado con la estrategia general de la compañía. Por ello las organizaciones, necesitan involucrar a su estrategia los beneficios de las nuevas formas de hacer negocios, apoyados en la tecnología. La formulación de una estrategia de comercio electrónico, requiere de un proceso organizado y continuo para aprovechar las oportunidades que ofrece la nueva economía. Llevarla a cabo, implica entender los cambios del entorno, evaluar la capacidad de la organización y desarrollar la forma de responder a dichos cambios a través de la creatividad y dedicación. Contrariamente a lo que se percibe en la práctica, formular estrategias de comercio electrónico, conlleva a pensar mucho más allá de la tecnología. Es más que instalar y configurar un sitio web, instalar un servidor de correo electrónico o habilitar un Call Center. Lleva integrada una visión del negocio y una manera coordinada de realizar los cambios en los procesos y en el capital humano necesario.

3.5.5. Elementos clave de una web de comercio electrónico Catálogo Dinámico de Productos. Proporciona a los visitantes (clientes) información organizada sobre sus productos, y herramientas de búsqueda por diferentes criterios (precio, nombre,

131

Seguridad y Comercio Electrónico categoría y otras características). La actualización del catálogo se lleva a cabo de manera sencilla a través de un módulo de administración. Catálogo Dinámico de Servicios. Proporciona a los visitantes (clientes) información organizada sobre sus servicios, y herramientas de búsqueda por diferentes criterios (precio, nombre, categoría y otras características). La actualización del catálogo se lleva a cabo de manera sencilla a través de un módulo de administración. Carrito de Compras. Permite al cliente tener control sobre los artículos que ha seleccionado para su compra. Dichos artículos pueden ser removidos o agregados al carrito en cualquier momento. Sistemas Electrónicos de Pago. Mediante este módulo, se habilita al sitio web para recibir pagos electrónicos, mediante tarjeta de crédito, o depósito bancario de forma segura. Incluye la interfaz con el catálogo de productos, carrito de compras y sistemas bancarios. Se utiliza seguridad SSL y SET para evitar fraudes electrónicos. Sistema de Control de Órdenes. Este módulo permite tener un eficiente control sobre los pedidos que se reciben en el sitio web, proporcionando información importante como el estatus del pedido, cuando fue pagado, entregado, etc. Además, permite tener historiales de transacciones por cliente, con lo que se conocerá más acerca de la constancia y gustos de los compradores.

132

Seguridad y Comercio Electrónico 3.5.6. Conclusión Con las avanzadas tecnologías, se han sobrepasado las barreras comerciales y en estos momentos "cualquiera" puede tener acceso a un bien o servicio sin importar donde se encuentre, el comercio electrónico ha acercado al consumidor, aminorando las distancias y reduciendo los costos considerablemente, y así colaborando al desarrollo de los países y sus empresas. Existen reglamentos y leyes aceptados mundialmente creados por la OMC que favorecen y protegen tanto a empresas como usuarios. Cada país, por su parte, ha desarrollado y adaptado estas leyes a sus necesidades y requerimientos socioculturales, facilitando de este modo el comercio electrónico de cada región. A lo largo de este proyecto se ha podido constatar la importancia del comercio electrónico, el impacto que ha generado mundialmente tanto para empresarios como para el colectivo general y lo importante de este medio para el desarrollo de las Pymes. Además se ha logrado definir las estrategias de las que se pueden valer las empresas para desarrollarse en el mismo. Un sitio web de comercio electrónico es una ampliación de un negocio en constante evolución, los sitios web se han creado para aprovechar las inversiones existentes en las empresas para así usarlas junto con la tecnología y planificar el futuro. El primer paso para convertirse en una empresa del comercio electrónico es descubrir cómo actúa la competencia, cómo se debe comprender la propia empresa, el sector y las perspectivas futuras Una estrategia de comercio electrónico eficaz debe abarcar todas las fases del proceso de venta: desde crear una concientización, un interés y un deseo, pasando por la venta, hasta el servicio y el soporte.

133

Seguridad y Comercio Electrónico El comercio electrónico, sin lugar a dudas, ha permitido ampliar los canales tradicionalmente usados para proveer de bienes y servicios a un mercado de consumidores en crecimiento. Esto no puede ser obviado por quienes intenten competir por captar parte de estos consumidores y colocar sus productos.

134

Seguridad y Comercio Electrónico

4

Ejemplo práctico de una empresa de comercio electrónico

135

Seguridad y Comercio Electrónico

4. Ejemplo práctico de una empresa de comercio electrónico 4.1.

Plan de negocio.

Nombre de la empresa: Muziko Descripción: Tienda online para instrumentos de música clásica. Misión: “Si lo necesitas, se consigue”.

4.1.1. Resumen ejecutivo Muziko es una tienda especializada en la venta de material dedicado a la música clásica, tales como instrumentos o accesorios relacionados. Hay tres ejes principales sobre los que gira el proyecto (siendo diferenciadores los dos primeros):


Se pretende ofrecer un servicio sencillo y económico de adquirir

instrumentos o accesorios para toda la gente relacionada con el mundo de la música clásica. En correspondencia con “La misión” (indicada con anterioridad), la intención es satisfacer al mayor número de usuarios. Para ello se facilitará una sección donde el usuario podrá ponerse en contacto fácilmente con la tienda en caso de no encontrar algún accesorio. De este modo, a raíz de las necesidades de los miembros, se irá configurando un extenso abanico de productos según las solicitudes que se tramiten. El objetivo será: “Si lo necesitas, se consigue”. Esto será posible gracias a una estrecha y larga relación ya existente entre Muziko y los principales proveedores del sector.

136

Seguridad y Comercio Electrónico Un novedad que ofrece Muziko al usuario es la de poder crear una comunidad de usuarios. Sólo será necesario el registro previo gratuito en el sistema como usuario, indicando el perfil de la persona (profesor, oboísta, etc.). Esto permitirá fidelizar al usuario y poder ofrecerle directamente al email ofertas personalizadas. Además, al registrarse un usuario, éste podrá también subir su currículo, permitiendo crear así, una bolsa de empleo online. Esta función no tendrá ningún coste por pertenecer a la comunidad, y los datos tratados se harán de forma confidencial, respetando en todo momento la Ley Orgánica de Protección de Datos. Adicionalmente, se ha realizado un esfuerzo centrado en una exhaustiva estrategia de liderazgo en costes. Como se puede leer en este plan, todas y cada una de las áreas (excepto la dirección) se pretenden externalizar, obteniendo así la oportunidad de seleccionar los agentes más eficientes del mercado en cada área, consiguiendo una óptima eficiencia global y maximizando los recursos disponibles. El resultado final es un proyecto con un presupuesto muy inferior al de los competidores pero con una calidad equiparable.

4.1.2. Análisis y diagnóstico de la situación 4.1.2.1. Análisis del entorno general El sector de la música clásica es un sector en auge en este país. Mientras que antiguamente los músicos tenían que emigrar a otros países europeos (como Francia o Alemania) para trabajar, cada vez más gente se dedica a este sector en la actualidad en España. Así pues, un sector como éste que está en pleno crecimiento, necesita un servicio estable y fiable que le pueda proporcionar los materiales necesarios para el desempeño de esta afición y/o profesión. Dentro del sector, y según el subsector (se corresponderá con el tipo de instrumento musical), se

137

Seguridad y Comercio Electrónico encuentran diversas necesidades. Algunos de estos productos son indispensables para tocar un instrumento de diario, como son las cañas para algunos instrumentos de viento, de las que se pueden llegar a utilizar dos en un mes. Debido a esta gran y continua necesidad de los músicos, es necesario un servicio rápido y eficaz. Además, también estará disponible la venta de material de apoyo de todo tipo, tales como partituras y DVD’s o CD’s especializados (difíciles de encontrar en el país). Internet ha hecho posible este factor, permitiendo conseguir un servicio en tienda o domicilio para todo tipo de personas.

4.1.2.2. Análisis del entorno específico – 5 fuerzas de Porter a) Barreras de entrada. Dentro del panorama de Internet, se puede considerar que un negocio de música con un repertorio tan grande de productos (generalmente caros) supone unas relativamente fuertes barreras de entrada, ya que la inversión requerida (del orden de 200.000 € para los competidores) y los recursos necesarios superan ampliamente la media de los sitios web que actualmente se estiman en funcionamiento. Sin embargo no hay que olvidar que esto no supone un impedimento para Muziko, que en la actualidad ya contaba con un servicio de tienda bien establecido desde hace años. Esto va a permitir un negocio nuevo apoyado en otro bien consolidado, con lo cual el riesgo a correr será mucho menor. b) Competencia. El mercado todavía es incipiente y la competencia relativamente reducida. Ello permite amplios márgenes brutos que rondan el 80% en la

138

Seguridad y Comercio Electrónico actualidad. A continuación se incluye un breve análisis sobre algunos de los mayores competidores.

Principales competidores web: Uwe Henze (www.uwe-henze.de) Esta tienda online lleva mucho tiempo establecida y tiene gran éxito en toda Europa. El problema que existe es que se trata de una tienda únicamente para instrumentos de viento. Además, al ser alemana, los gastos de envío son más caros y no está disponible un posible servicio en tienda con Muziko. También, a diferencia de Muziko, hay que tener en cuenta que no ofrece ningún servicio de comunidad, tales como sugerencias, bolsa de empleo/contactos, etc.

139

Seguridad y Comercio Electrónico ZasMusic (www.zasmusic.com) Caso muy similar al anterior. En este caso se trata de una tienda valenciana especializada sólo en instrumentos de viento y sin servicio en tienda. Esto hace que si algún cliente quiere ver primero algún material o instrumento antes de comprarlo no podrá. Tampoco ofrece ningún tipo de servicio adicional a usuarios registrados.

Principales competidores en tienda: Hazen (www.hazen.es) A pesar de tener página web, no ofrece servicio a domicilio y se trata de una única tienda en Madrid. Muziko, a parte del servicio a domicilio, también cuenta con 3 tiendas repartidas entre las capitales de las comunidades con mayor demanda musical (Madrid, Barcelona, Valencia). De este modo, aparte de poder vender por internet y de ofrecer los servicios característicos que la web permite (comunidad de usuarios, etc.) también

140

Seguridad y Comercio Electrónico hace posible la venta cara a cara, la única posibilidad para muchos compradores hoy en día. El hecho de tener 3 tiendas repartidas entre los núcleos musicales más importantes del país, garantiza el éxito de la venta directa.

Mundimúsica Garijo (www.mundimusica.es) Este competidor sería el más semejante a Muziko, aunque con algunas carencias. Para empezar, sólo dispone de servicio en tienda y posee una única tienda en Madrid. La web, sin embargo, ofrece algunos servicios adicionales como noticias, galería de fotos o descargas de programas de humor. Pese a eso, no ofrece ningún tipo de servicio de foro, comunidad de usuarios, sugerencias o bolsa de empleo/contactos. Muziko continuaría siendo muy superior en cuanto a servicios que ofrece.

141

Seguridad y Comercio Electrónico

c) Clientes Al tratarse de productos en su mayoría de consumo habitual (excepto los instrumentos, que se compran con una frecuencia de cada 4 años) los clientes suelen mostrar fidelización a las tiendas una vez empiezan a comprar en ella. Como Muziko ofrece una variedad de servicios únicos en el mercado y pretende hacerse publicidad en los distintos conservatorios del país (se posee una gran cantidad de contactos como profesores y profesionales), se prevé que muchos de los clientes habituales en tienda pasen a utilizar la web, y que en un plazo de 2 años, el número de ventas de Muziko se amplíe en un 120%. d) Proveedores Hay un gran número de proveedores dentro del panorama musical, cada uno de ellos especializado generalmente en un instrumento concreto. Para ello se cuenta con un ya consolidado contacto con los principales proveedores, permitiendo precios muy competitivos y adaptándonos a los

142

Seguridad y Comercio Electrónico requisitos del mercado. En caso de la existencia de sugerencias para nuevos productos, se buscarán los proveedores adecuados que ofrezcan la mayor relación calidad-precio, estableciendo un estrecho vínculo comercial para siguiente ocasiones. De este modo se conseguirán las mejores ventajas económicas. e) Productos sustitutivos Debido a que se trata de un servicio único e inexistente hasta el momento (ya se analizó a los competidores directos e indirectos con anterioridad) no se encuentran productos sustitutivos únicos, aunque si se podría conseguir este servicio con la unión de otros muchos, como un servicio en tienda, otro online, un foro y una red de contactos. El uso de tantos servicios simultáneos no suele ser bien aceptado por los consumidores, con lo cual la existencia de una alternativa factible se hace muy difícil.

4.1.2.3. Análisis interno Hay muchas tiendas de instrumentos musicales en Internet ofreciendo precios competitivos, con la contraposición de tener que pagar elevados gastos de envío por tratarse de elementos pesados. También hay muchas tiendas físicas que no ofrecen un servicio a domicilio, obligando a gente muy ocupada o que viva alejada, tener que desplazarse para comprar materiales secundarios como cañas o palas. Sin embargo, parece que no hay ningún servicio que ofrezca las ventajas de ambas modalidades de forma competitiva. El objetivo es ofrecer dicho servicio, permitiendo también, hacer pedidos online pero con la posibilidad de irlos a recoger a una tienda y ahorrándose de ese modo los gastos de envío correspondientes.

143

Seguridad y Comercio Electrónico Adicionalmente, se pretende crear una comunidad de música. Los diferentes usuarios podrán estar vinculados con sus amigos o conocidos, de forma que puedan conocer qué perfiles o currículos hay, además de intercambiar consejos, opiniones o noticias de conciertos. El objetivo es recrear en Internet la condición social de la música. Si se consigue este objetivo, el apego de los usuarios al servicio será elevado, pues aunque un competidor decida también ofrecer tienda online y física a la vez, el usuario permanecerá donde su comunidad de amigos/profesionales/alumnos y conocidos esté asentada. Es el mismo caso que se da en España con MSN Messenger y otros servicios como Yahoo Messenger. Todos los servicios de mensajería instantánea tienen similares características, sin embargo los usuarios tienen elevada fidelidad a MSN Messenger. La razón es simple: “Uso MSN Messenger porque mis conocidos lo usan y es la forma de relacionarme con ellos”.

144

Seguridad y Comercio Electrónico 4.1.2.4. Diagnóstico cualitativo

Análisis DAFO

Oportunidades

Amenazas

Mercado de rápido crecimiento.

Bajada de los precios de los

No hay gran competencia a nivel

competidores.

global.

Aparición

Concienciación de la sociedad y

similares.

medidas

por

parte

de

de

otros

servicios

las

administraciones públicas.

Fortalezas

Debilidades

Ofrecer tienda online a la vez

Puede que se abuse de los

que física.

servicios alternativos gratuitos

Modelo sólido de fidelización.

de la web, sin que los usuarios

Comodidad

compren ningún producto.

para

el

usuario

frente a las tiendas habituales.

Podría no ser interesante para el

Mayor abanico de medios de

usuario la comunidad musical.

pago que la competencia: tarjeta

Falta de experiencia en el área de

de débito, crédito y pago por

música online por parte del

Paypal.

fundador.

145

Seguridad y Comercio Electrónico 4.1.3. Producto a) Descripción del producto El producto consiste en ofrecer un servicio alternativo a la tienda física, permitiendo los pedidos vía Internet, ofreciendo comodidades de pago como Paypal. Se venderá todo tipo de material necesario por el usuario. Cualquier producto no disponible, podrá se encargado sin coste adicional poniéndose en contacto con el personal de la tienda. Los productos disponibles serán instrumentos, accesorios para instrumentos, partituras y multimedia (CD’s y DVD’s). Todo esto vendrá acompañado por la inclusión de una comunidad musical en la que los amigos y conocidos o profesionales y profesores se relacionaran para encontrar nuevos perfiles musicales o currículos, comunicarse con relación al tema musical y recomendar actos, conciertos o productos a otros usuarios. Muziko estará pendiente de las opiniones sobre productos de los usuarios, retirando en su defecto aquellos productos que sean de mala calidad para los compradores. El objetivo es la mayor calidad al mejor precio. La mayoría de productos (accesorios musicales) son de consumo corriente, con alta frecuencia de compra (1 vez al mes) y de precio unitario medio de 10€. Sin embargo los márgenes son elevados debido a la poca competencia actual. b) Necesidad que satisface La comunidad musical requiere de material para poder llevar a cabo su profesión/afición.

146

Seguridad y Comercio Electrónico c) Ciclo de vida del producto El servicio web se encuentra en la etapa de lanzamiento, y el de tienda en etapa de maduración.

4.1.4. Objetivos y estrategias 4.1.4.1. Establecimiento de objetivos Los principales objetivos son dos: a) Superar las ventas actuales en un 120% en un periodo de 24 meses. b) Conseguir una media de 5 registros de usuarios diarios durante el primer año. De este modo se garantiza un crecimiento de la comunidad de usuarios piramidal, de modo que crezca ampliamente durante el segundo año.

4.1.4.2. Formulación de estrategias Se desea aplicar una estrategia corporativa de crecimiento, particularmente, de penetración en el mercado, pues la presencia actual de Muziko en la web es nula. En cuanto a la estrategia de negocio, se pretende desarrollar una estrategia competitiva de bajo coste debido al aprovechamiento de economías de escala a través de proveedores ya conocidos y también una estrategia competitiva de diferenciación, al ofrecer nuevos servicios incorporados al producto. El producto no sólo consiste en material musical sino también en una red social cuyo epicentro es la música.

147

Seguridad y Comercio Electrónico También se va a aplicar una estrategia de comercialización mediante la cual los propios usuarios se encargaran de opinar y valorar de forma indirecta el producto. Enviaran invitaciones a sus conocidos para que se unan a su comunidad musical y además se les proporcionará ofertas en exclusiva según su perfil y frecuencia de compra, aumentando así la exposición de la marca.

4.1.5. Plan de marketing 4.1.5.1. Política de producto La política del producto en este caso está enfocada al cambio psicológico: las tiendas musicales existen desde hace mucho tiempo (tanto las físicas como las online), sin embargo, la intención es que el usuario lo perciba como un cambio radical que implica que podrá disfrutar de todas las ventajas que ofrece una tienda online con las que ofrece una tienda física, además de todos los privilegios que tiene estar registrado en la web. Esto principalmente proporciona comodidad y facilidades al usuario que serán percibidas instantáneamente, lo que fortalecerá la imagen del producto como novedad. La marca elegida es Muziko.es, debido a que es un dominio genérico que se asocia inmediatamente con el producto que se vende. También es fácil de leer, escribir y pronunciar para usuarios de cualquier nacionalidad (no sólo usuarios de habla española). Esto permitirá en un futuro próximo la extensión a otros países, sobre todo europeos.

4.1.5.2. Política de distribución Se usará venta directa a través del canal online o a través del canal físico (la tienda correspondiente). Un usuario, si vive cerca de una tienda y quiere ahorrarse

148

Seguridad y Comercio Electrónico los gastos de envío, podrá aprovechar los precios ventajosos de la web (en ocasiones habrá ofertas exclusivas para la compra online) y venir a recoger el pedido.

4.1.5.3. Política de comunicación La política de comunicación va a consistir en provocar que sea el propio usuario el que invite a sus conocidos a su comunidad musical. Esto se conseguirá ofreciendo ciertos privilegios en función del tamaño de la comunidad musical de cada usuario; así se premiará al usuario según tenga más miembros en su comunidad, por ejemplo ofreciendo ofertas especiales u otro tipo de descuentos y promociones similares. De esta forma, se obtendrá un “marketing viral” que hará que el producto se dé a conocer rápidamente de la mano de gente de confianza de los usuarios. Un ejemplo del funcionamiento de este tipo de marketing es el sitio hi5.com, que obtuvo excelentes resultados de esta forma. También MySpace.com usó este tipo de marketing con gran éxito, siendo actualmente el 4º sitio más visitado del mundo (fue fundado a finales de 2003 y en 2005 los fundadores lo vendieron por 580 MM de dólares). Por último, se ha considerado el llevar a cabo una campaña de comunicación entre las principales escuelas y conservatorios de música del país. Se posee ya de una amplia agenda de profesores y profesionales, clientes habituales de la tienda física. Estos serán los encargados de promocionar la tienda web y la comunidad musical entre sus contactos y alumnos, ofreciendo a cambio una serie de ventajas y descuentos por su labor. La inversión estimada pues, será muy baja aunque no por ello menos eficaz. Se ha optado por esta estrategia de comunicación en vez de la inversión en publicidad directa debido a que Muziko no pretende hacer un gran desembolso inicial para el lanzamiento del nuevo servicio.

149

Seguridad y Comercio Electrónico 4.1.5.4. Localización Muziko ya posee 3 tiendas en España repartidas entre los núcleos más importantes de música en el país: Madrid, Barcelona y Valencia. La sede principal, sin embargo, se encuentra en Madrid, y será desde aquí donde se gestionará todos los contenidos y pedidos de la página web. El resto de tiendas, sin embargo, también podrá recibir pedidos, pero la atención requerida para la web será menor. Se pretende de este modo centralizar el negocio de la web y derivar la menor carga de trabajo posible en las sucursales secundarias.

4.1.6. Plan de recursos humanos Dado que los primeros tres meses no se espera una actividad muy importante, sólo será necesario un desarrollador encargado del mantenimiento, trabajando una jornada laboral de 7 horas de 9 a 18 horas. Será el encargado de desarrollar la web, solucionar las incidencias y de ponerla al día con la ayuda de los dependientes de la tienda actuales. Además, deberá familiarizar al personal de la tienda con la web. El objetivo es que en el plazo de 6 meses, todos los encargados de las tiendas sean capaces gestionar la web por sí solos. De todos modos, a partir de ese plazo inicial de 6 meses, se contará con la ayuda de otra persona con una jornada reducida, que se encargue de tramitar los pedidos de la web, de personalizar ofertas, de observar y estudiar las preferencias de los usuarios, etc. A medida que el tráfico de la web aumente, esta persona aumentará las horas laborales y se considerará la contratación de más personal.

150

Seguridad y Comercio Electrónico

4.2.

Arquitectura. Esta fase tiene como fin el definir las posibles soluciones de la arquitectura

que consigan satisfacer tanto los requisitos como las restricciones del diseño. Para ello se estudiaran tanto las distintas plataformas web que se pueden utilizar, como el distinto software a implantar como tienda de comercio electrónico.

4.2.1. Plataforma web La plataforma web es el lugar que contendrá la aplicación de comercio electrónico, y la arquitectura a utilizar será una arquitectura web de aplicaciones. Con el fin de permitir la reutilización de la plataforma en un futuro, la arquitectura se divide en tres niveles: 1. Nivel de presentación: Lo forma la aplicación de comercio electrónico y es responsable de la adquisición de datos y la presentación del mismo al usuario. Se ejecuta en el cliente. 2. Nivel de negocio: Formado por el código de la aplicación de comercio electrónico. Se ejecuta en el servidor web. 3. Nivel de datos: Formado por el código de gestión del almacenamiento y recuperación de los datos. Se ejecuta en el servidor de base de datos. Es decir, se utilizará una arquitectura web compleja en tres niveles. Según el nivel de la aplicación, se tienen las distintas alternativas: Nivel de presentación (Cliente) Debido a que la plataforma se presenta como un servicio web, el cliente podrá ser cualquier navegador web. El navegador traducirá el código HTML de las páginas y presentará los resultados al nivel de negocio en el servidor web.

151

Seguridad y Comercio Electrónico Nivel de negocio (Servidor web) Es un programa que implementa el protocolo http y se ejecuta continuamente en un ordenador, manteniéndose a la espera de peticiones por parte de los clientes. El servidor responde al cliente enviando el código HTML de la página. El cliente, con el código, lo interpreta y muestra en pantalla. A continuación se detalla la arquitectura elegida para implementar el servidor web: •

Apache: Es un servidor HTTP OpenSource para plataformas UNIX, Windows, Macintosh y otras.

•

PHP: Es el lenguaje de programación interpretado, diseñado originalmente para la creación de webs dinámicas. Esta diseñado especialmente para desarrollo web.

Se ha elegido esta arquitectura básicamente por dos razones: por su gran aceptación en Internet y toda la documentación que existe sobre ella, y por ser software libre, haciendo que incurra con un coste nulo pero proporcionando un servicio profesional. Nivel de datos (Servidor de base de datos) Es el denominado Sistema Gestor de Base de Datos (SGBD), es un software específico dedicado a servir de interfaz entre la base de datos, el usuario, y las aplicaciones. Se compone de un lenguaje de definición de datos, de un lenguaje de manipulación de datos y de un lenguaje de consulta. A continuación se detalla el SGBD elegido: •

MySQL: Es uno de los servidores de base de datos más popular y conocido

en

el

mundo

que

destaca

por

ser

software

libre,

proporcionando rapidez, estabilidad y facilidad de desarrollo.

152

Seguridad y Comercio Electrónico 4.2.2. Aplicaciones de comercio electrónico Para la realización de este apartado, cuyo objetivo es la elección del sistema para la implantación de la tienda on-line, se ha realizado un estudio previo de evaluación de las distintas alternativas existentes en el mercado.

VirtueMart VirtueMart es una solución de e-commerce OpenSource que se integra con el gestor de contenido Joomla y Mambo. Ambos sistemas están desarrollados en un ambiente PHP y MySQL. Es fácil de implementar (se instala como componente de Joomla) y al estar integrando con un manejador de contenido lo hace una solución bastante robusta en comparación con otros sistemas. Entre sus características están: •

Productos y categorías ilimitadas.

•

Posibilidad de manejarlo simplemente como un catálogo y desactivar las funciones de tienda en línea.

•

Los productos pueden asignarse a múltiples categorías.

•

Posibilidad de vender productos descargables (Mp3, películas, vídeos, etc.).

•

Maneja descuentos por productos.

•

Manejo de inventario.

•

Administrar tarifas de envíos.

•

En cuanto al manejo de pagos puede utilizar los siguientes métodos: 2Checkout, PayPal (IPN), Payflow Pro, Authorize.net (AIM) y eCheck.

153

Seguridad y Comercio Electrónico ZenCart Zen Cart es otra solución gratuita para el desarrollo de tiendas en línea. Está desarrollado por un grupo de propietarios de tiendas, programadores y diseñadores. Entre sus características están: •

Fácil instalación.

•

Múltiples ventas y descuentos.

•

Múltiples formas de desplegar la información.

•

Sistema de plantillas XHTML.

•

Páginas extra ilimitadas.

•

Incluye un administrador de banners.

•

Múltiples opciones de envío.

•

Múltiples opciones de pago.

•

Manejo de boletines.

OpenCart Es un sistema relativamente nuevo pero que no debe ser dejado de lado, ya que al ser OpenSource el crecimiento en cuanto a características puede ser exponencial. Entre las características actuales están: •

Fácil uso.

•

Fácil de indexar por buscadores.

•

Panel de administración amigable al usuario.

154

Seguridad y Comercio Electrónico •

Multilenguaje.

•

Posibilidad de cobro por PayPal o Money Order.

•

Envío de boletines.

•

Presentación de informes.

Magento Magento es una solución OpenSource para la creación de tiendas virtuales. El sistema tiene como máxima resultar amigable al usuario, tanto en la parte de catálogo como en la parte de administración. Aun está en fase beta pero es posible utilizarlo sin ninguna restricción, y en un futuro tenerlo en cuenta para poder implementarlo. Está desarrollado en PHP 5 y MySQL. Entre sus características están: •

Optimización para buscadores (SEO).

•

Envío a múltiples direcciones.

•

Características de marketing.

•

Definición de reglas para los impuestos.

•

Multilenguaje.

•

Múltiples formas de cobro.

•

Incorpora un manejador de contenido CMS.

155

Seguridad y Comercio Electrónico FatFreeCart FatFreeCart es la versión gratuita del sistema e-Junkie. Se puede integrar en un sitio web o blog sin requerir ningún tipo de registro, ya que trabaja con PayPal y Google Checkout. Además soporta diversas clases de productos, envíos y tarifas de impuestos.

4.2.3. Solución elegida: osCommerce Para la realización de este proyecto se ha realizado un estudio previo (ver apartado 4.2.2) sobre los CMS´s (Content Management System) más populares que contienen un módulo para comercio electrónico o son diseñados especialmente para esto, verificando que estos controladores permitan un entorno confiable, eficaz y potente, desde el manejo de bases de datos hasta la modificación de una interfaz segura y de fácil uso para el desarrollo del proyecto. osCommerce es un proyecto OpenSource que se ha posicionado como uno de los CMS´s más utilizados en el mercado europeo para soluciones del tipo ecommerce, contando con aproximadamente 4351 tiendas en línea. Esta herramienta se ha convertido en una de las mejores soluciones de código abierto existentes para la creación de tiendas virtuales, que además de ser gratuita, es sencilla de administrar y adaptar. osCommerce permite instalar una tienda virtual en cuestión de minutos, al ser sistema en código abierto, ofrece una serie de ventajas, como que es gratuito, que está en constante mejora, que cuenta con una gran soporte en los foros de discusión, y finalmente, que si se encuentra algún fallo, es posible reportarla al equipo de desarrollo y corregirla rápidamente.

156

Seguridad y Comercio Electrónico Así pues, se ha optado por osCommerce por ser una solución fácil, rápida y segura al comercio electrónico, por las características, requerimientos técnicos y ventajas que ofrece, así como su implementación en un servidor local. Remarcar también el hecho de que se trata de un software gratuito licenciado bajo GPL. Es importante considerar los aspectos más relevantes de dicha licencia, que especifican lo siguiente: •

Libre distribución. No debe haber restricciones para vender o distribuir el software.

•

Código fuente. El software debe incluir el código fuente y debe permitir crear distribuciones compiladas siempre y cuando la forma de obtener el código fuente esté expuesta claramente.

•

Trabajos derivados. Se debe permitir crear trabajos derivados, que deben ser distribuidos bajo los mismos términos que la licencia original del software.

•

Integridad del código fuente del autor. Se debe permitir la distribución del código fuente modificado, aunque puede haber restricciones para que se pueda distinguir el código fuente original del código fuente del trabajo derivado.

•

No discriminar personas o grupos. La licencia no debe discriminar a ninguna persona o grupo.

•

No discriminar ningún tipo de uso del programa. La licencia no debe impedir a nadie el uso del programa en una determinada actividad. Por ejemplo, no puede impedir el uso en una empresa, o no puede impedir el uso en investigación genética.

157

Seguridad y Comercio Electrónico •

Distribución de la licencia. Los derechos que acompañan al programa deben aplicarse a todo el que redistribuya el programa, sin necesidad de licencias adicionales.

•

La licencia no debe ser específica a un producto. Los derechos que da la licencia no deben ser diferentes para la distribución original y para la que funciona en un contexto totalmente diferente.

•

La licencia no debe ir en contra de otro software. La licencia no debe restringir otro software que se distribuya con el mismo. Por ejemplo, la licencia

no

debe

indicar

que

todos

los

programas

distribuidos

conjuntamente con él deben ser OpenSource. Es pues íntegramente OpenSource, lo cual permite que esté constantemente actualizado por la comunidad, añadiendo todo tipo de contribuciones como distintos módulos de pago, de envío, contribuciones para el diseño, plantillas, lectores RSS, etc. Hace uso de Apache como servidor web, PHP como lenguaje, y MySQL como base de datos. Está formado principalmente por dos partes: •

El Catálogo de Productos. Es la parte que ven los clientes, la tienda virtual en sí.

•

El Módulo de Administración. Donde se puede mantener la propia tienda virtual, actualizando productos, insertando nuevas ofertas, categorías, idiomas, monedas, consultar los pedidos o los clientes. La instalación básica de osCommerce, tiene unas características por defecto,

que luego se pueden modificar bien por administración o con ayuda de contribuciones, como nuevos módulos de pago (e-pagado), de envío (Seur), etc.

158

Seguridad y Comercio Electrónico Estas son las características principales de la instalación de osCommerce: Generales •

Los pedidos, clientes y productos se almacenan en una base de datos de fácil consulta vía administración-web.

•

Los clientes podrán comprobar el histórico y el estado de sus pedidos una vez registrados

•

Los clientes pueden cambiar sus datos de perfil de usuario desde su apartado cliente.

•

Múltiples direcciones de envío por usuario, para regalos por ejemplo

•

Búsqueda de productos.

•

Posibilidad de permitir a los usuarios valorar los productos comprados, además de comentarlos.

•

Posibilidad de implementar un servidor seguro (SSL).

•

Puede mostrar el número de productos en cada una de las categorías.

•

Lista global o por categoría de los productos más vendidos y más vistos.

•

Fácil e intuitiva navegación por categorías.

•

Plataforma multi-idiomas, por defecto estarán disponibles el español, inglés y alemán.

Producto •

Relaciones dinámicas entre productos.

•

Descripciones de productos basadas en HTML.

159

Seguridad y Comercio Electrónico •

Generación automática de productos especiales.

•

Controla la posibilidad de mostrar o no en la tienda virtual los productos agotados.

•

Posibilidad de ofrecer a los usuarios la suscripción a una newsletter de novedades.

Pagos •

Medios de pago offline (transferencias, cheques, ingresos, etc.).

•

Muchos medios de pago online (E-Pagado, PayPal, TPV virtual, etc.).

•

Posibilidad de deshabilitar algunos medios de pago según la zona geográfica del usuario.

•

Posibilidad de añadir el IVA por zonas geográficas y por productos, ya que por ejemplo en Nigeria no tienen IVA

Envíos •

Precios de envío por peso, destino y precio.

•

Precios reales disponibles en tiempo real para algunos operadores (UPS, FedEx).

•

Envío gratuito según importe del pedido y destino

•

Posibilidad de deshabilitar determinados servicios de envío en función de zonas geográficas.

160

Seguridad y Comercio Electrónico

4.3.

Guía de navegación. Tal y como se ha comentado en el apartado anterior, osCommerce provee a

las páginas web de dos módulos principales: •

Catálogo: este módulo corresponde a la parte pública de la web y posee todas las funcionalidades que pueden desenvolver los usuarios que quieran comprar en ella. En este módulo se encuentra el catálogo de productos. Así pues, es la parte visible por todos los perfiles.

•

Administración: este módulo es el motor que dirige toda la web. Se encarga de diseñar y gestionar el contenido visible en la web. Permite infinidad de variaciones de la distribución original y le sirve al administrador como control y manejo de la tienda.

4.3.1. Administración Para entrar en el módulo de administración es necesario acceder al directorio “admin” del raíz. Esto se hace escribiendo en el navegador web la siguiente

dirección:

http://www.tienda.muziko.es/admin.

A

continuación

aparecerá una página solicitando el nombre de administrador y su contraseña. Una vez validado, conducirá a la página online de herramienta de administración.

161

Seguridad y Comercio Electrónico Tan sólo entrar, se muestran las últimas ventas realizadas en el sistema y el estado de estas compras.

En el menú lateral se observan todas las opciones posibles de administración. A continuación se detallará cada una de ellas: Configuración Es la opción más extensa ya que permite modificar cantidad de detalles. Permite, entre otras cosas, las siguientes acciones: • Añadir o modificar administradores. • Añadir la información relativa a la tienda (nombre de la tienda, nombre del propietario, su email, etc.)

162

Seguridad y Comercio Electrónico • Permite establecer valores máximos y mínimos para los distintos campos rellenables de la web, como cuando se inscribe un usuario. • Establecer los valores de configuración que fijan el tratamiento que realizará osCommerce de las imágenes que se muestran en la tienda. • Indicar que campos deber aparecer en el alta de clientes. • Establecer los valores a considerar para el empaquetado y envío físico de los productos, como por ejemplo el peso máximo que la tienda está dispuesta a enviar a un cliente. Estos valores son usados por los módulos de envío instalados en la tienda para calcular los gastos de envío. • Etc.

Catálogo El catálogo de osCommerce contiene el detalle de los productos que se venden en la tienda virtual, siendo quizás una parte muy importante de este paquete de software la facilidad que ofrece para definir los atributos adicionales que se quieran para los productos. Es decir, osCommerce no ofrece una plantilla de atributos estáticos a rellenar para cada producto, sino que permite que el administrador defina sus propios atributos de forma personalizada acorde al tipo de artículos que venda.

163

Seguridad y Comercio Electrónico

Módulos Los módulos de osCommerce permiten definir los métodos de pago que debe soportar la tienda virtual (contra reembolso, transferencia/cheque bancario, tarjeta de crédito, PayPal, etc.), los gastos en función de los métodos de envío (tarifa única, por artículo, tabla de tarifas, etc.) y el orden en que se deben totalizar todos los importes para obtener el total definitivo a pagar por el cliente.

Clientes Puede gestionar el listado de clientes registrados y pedidos realizados, así como consultar distintos informes que proporcionan detalles del rendimiento de la web desde el punto de vista de los productos expuestos en ella.

164

Seguridad y Comercio Electrónico Zonas/Impuestos Permite definir todos los tipos de impuestos que sean necesarios para cada zona fiscal en la que vaya a operar la tienda virtual. Es en este apartado de la configuración donde se declaran dichas zonas y sus impuestos asociados. Adicionalmente permite realizar el mantenimiento de los países y estados (provincias) almacenados en base de datos.

Localización Esta opción incluye la gestión de idiomas, monedas, y la configuración de lo que significa cada estado de pedido.

Informes Este apartado permite acceder a tres listados: • Los más vistos: Muestra la lista de todos los productos ofrecidos en la web junto con una cuenta de las veces en las que al menos un visitante de la web ha entrado a ver el detalle de cada producto en concreto. • Los más comprados: En este listado se pueden ver los productos junto con una cuenta del número total de unidades vendidas de cada producto en concreto. A diferencia de con el anterior, en este listado sólo se muestran los productos para los que al menos se haya producido una pedido. • Total por cliente: Este tercer listado muestra la suma del importe total de todos los pedidos realizados por cada cliente individualmente en la tienda. Sólo se muestran los clientes que al menos hayan realizado alguna vez un pedido.

165

Seguridad y Comercio Electrónico Se trata de una opción muy útil para hacer estadísticas de compra de la web y sobre todo, para observar los productos más vendidos y por lo tanto, los que requieran de más stocks o pedidos en tienda. Este apartado es el más importante desde el punto de vista comercial.

Herramientas El objetivo de cada una de estas herramientas es muy distinto entre sí, mezclándose varias utilidades técnicas en su mayoría, como la realización de copias de seguridad o gestión de los archivos del servidor, con las que tienen influencia en el aspecto de la tienda, como la definición de los textos en distintos idiomas o la configuración de banners.

166

Seguridad y Comercio Electrónico

4.3.2. Catálogo Hasta el momento se ha visto únicamente la parte técnica y administrativa de la web. Esta parte es importante, pero es el catálogo el que llega a los consumidores directamente y es importante pues, combinar tanto la parte administrativa como la técnica para destacar en un negocio tan competitivo como Internet. A continuación se mostrará un recorrido por la tienda virtual. Para empezar, hay que introducir la siguiente dirección en el navegador web: http://tienda.muziko.es. Esta dirección conducirá a la página principal de la tienda, mostrando a simple vista y de forma intuitiva, las posibilidades del usuario.

167

Seguridad y Comercio Electrónico

168

Seguridad y Comercio Electrónico Las posibilidades que se observan son: 1. Fácil cambio de idioma (al tratarse de un prototipo sólo se han contemplado el castellano y el inglés). 2. Cambio de moneda (al tratarse de un prototipo sólo se han contempla el euro y el dólar). 3. Apartado de dudas frecuentes e información. 4. Permite acceder a la cuenta personal. Es necesario un registro previo y es obligatorio para la realización de cualquier compra. 5. Permite ver la “cesta de la compra”. Se muestran todos los accesorios comprados hasta el momento y permite modificarla. 6. Permite realizar el pedido. Para poder completar la transacción es necesario el registro en el sistema, o por el contrario, introducir un nombre de usuario ya existente.

169

Seguridad y Comercio Electrónico Si eres un nuevo cliente, es necesario rellenar una serie de datos obligatorios con tal de formalizar la compra. Se debe informar al consumidor que estos datos están protegidos mediante el cumplimiento de la LOPD en todo momento.

Tanto si ya eres usuario registrado como si te acabas de registrar, la web te conduce a una serie de páginas con tal de que el comprador seleccione la dirección de entrega, la forma de envío (rápida o barata), la forma de pago y finalmente, la confirmación.

170

Seguridad y Comercio Electrónico

El sistema enviará un email al usuario mostrando un recibo de la compra a modo de garantía y finalizará la compra.

7. Categorías de productos. Se trata del catálogo propiamente dicho. En esta tienda en particular, se divide en instrumentos, accesorios, partituras y multimedia.

171

Seguridad y Comercio Electrónico

Al acceder a una categoría concreta, aparecerán las subcategorías, que contendrán los productos en venta.

172

Seguridad y Comercio Electrónico

Finalmente, al seleccionar el producto deseado y pulsar comprar, éste se acumulará automáticamente en la cesta personal de la sesión.

173

Seguridad y Comercio Electrónico En el recuadro indicado, se observa el contenido de la cesta en cada momento y muestra el valor total al que ascienden la compra. A partir de aquí, se puede continuar con la compra o por el contrario, realizar el pedido. 8. Permite hacer una selección de productos por fabricante. Es una opción muy útil cuando se requiere de un objeto con una marca concreta recomendada. 9. Finalmente, indicar que se pueden hacer búsquedas mediante palabras clave de forma rápida y sencilla. También da la opción de realizar una búsqueda avanzada indicando una serie de parámetros opcionales, como la categoría o el precio.

174

Seguridad y Comercio Electrónico

5

Valoración económica y planificación del proyecto

175

Seguridad y Comercio Electrónico

5. Valoración económica y planificación del proyecto 5.1.

Valoración económica. En este apartado se realizará la valoración económica del proyecto, es decir

de los costes tangibles asociados al mismo.

5.1.1. Coste de tecnología Son aquellos costes que provienen de adquirir los equipos hardware para el correcto funcionamiento del sistema, así como las licencias necesarias para utilizar las herramientas empleadas en el proyecto. Como se veía en el apartado de la arquitectura del sistema, los elementos hardware y software que se van a adquirir son los siguientes: El servidor de base de datos de Internet contiene la base de datos de la web de los usuarios inscritos así como del administrador de la base de datos. Por lo tanto, se cuenta con un servidor de Base de Datos montado, configurado y conectado a la red. El servidor de base de datos con el que se cuenta es un servidor de Base de datos MySQL. En la parte de desarrollo se precisará, como mínimo, de una estación de trabajo AMD Athlon 64 con 2 GHz, 1 GB de RAM y 120 GB de disco duro. Además se precisará de un servidor de desarrollo de las mismas características que las estaciones de trabajo. Los requisitos software se centrarán en las estaciones de trabajo, que precisará de herramientas para el desarrollo web tales como Notepad++, de herramientas de diseño como Gimp, así como de aplicaciones ofimáticas tales como Microsoft Word, Adobe Acrobat, etc.

176

Seguridad y Comercio Electrónico Se requiere una conexión a Internet de un mínimo de 1MB, debido a que se el flujo de trabajo que pasará por Internet es considerable. Se requiere acceso a servidores de correo que permitan el intercambio de correo electrónico entre diferentes usuarios. La aplicación se ubicará en la Red Pública Internet para que tenga acceso cualquier usuario. Para ello se utilizará el dominio público: http://tienda.muziko.es. ELEMENTO Estación de trabajo Servicio de host (incluye servidor y dominio) Windows XP Profesional Microsoft Office 2007 ADSL (40€/mes * 9 meses) Total

IMPORTE 800 € 30 € 250 € 200 € 360 € 1.640 €

5.1.2. Coste de implantación Estos costes incluyen los costes de desarrollo, implantación, personal y formación. En este caso, sin embargo, se despreciarán los costes de formación, al tratarse de una aplicación sencilla e intuitiva de utilizar. En principio, sería suficiente con la distinta documentación existente en la red para poder manejar la aplicación correctamente. FUNCIÓN Analista Programador Jefe de Proyecto Coordinador Director de Proyecto Total

Nº HORAS COSTE/HORA IMPORTE 200 40 8000 180 30 5400 60 55 3300 5 65 325 10 65 650 17675 €

177

Seguridad y Comercio Electrónico 5.1.3. Costes operacionales Incluyen los costes de explotación y mantenimiento. Dado que el sistema lleva una gran carga de mantenimiento automático, tan solo será necesaria una persona encargada del mantenimiento y que además podrá compaginar este trabajo con el mantenimiento de otros sistemas. Se estima que los costes de mantenimiento, así como la manipulación y control de la página web van a costar aproximadamente unos 1.500 euros al año.

5.1.4. Costes totales CONCEPTO Costes de tecnología Costes de implantación Costes operacionales

COSTE 1.640 € 17.675 € 1.500 € 20.815 €

178

Seguridad y Comercio Electrónico

5.2.

Planificación temporal. La planificación del proyecto se ha dividido en cinco etapas que

comenzaron en diciembre del 2007 y han finalizado el 1 de septiembre del 2008, con un paréntesis de una semana en abril, de un mes en febrero y de un mes en junio debido a los exámenes y de una semana en agosto por vacaciones. Las cinco etapas cubiertas por el proyecto son las siguientes: 1. Consulta de fuentes (CF): recopilación de información, tanto a nivel documental como empresarial.

2. Tratamiento de datos (TD): elaboración ejemplos, análisis de la situación y estudio implantación.

3. Enmarcación, alcance y análisis (EAA): esta etapa corresponde al grueso principal del proyecto. Se trata de la redacción de la memoria según los temas enmarcados en el proyecto (índice) desde el apartado 1 hasta el 3 inclusive.

4. Tienda de comercio electrónico (TCE): elaboración de un prototipo real de tienda online con un estudio de plan de negocio previo. Esta etapa se encuentra reflejada en el apartado 4 de este proyecto. Cuenta pues con parte de desarrollo y de redacción.

5. Conclusiones (CON): última fase de cierre en la cual se elabora el resumen, conclusiones finales, valoración económica y planificación.

179

Seguridad y Comercio Electrónico Planificación temporal

180

Seguridad y Comercio Electrónico

6

Trabajo futuro y conclusiones

181

Seguridad y Comercio Electrónico

6. Trabajo futuro y conclusiones En este último capítulo se quiere destacar la importancia y el papel desempeñado por el software libre en el proyecto durante toda su elaboración. Este proyecto es un punto final en la formación académica del autor, y ha representado un esfuerzo muy considerable, al tener que aprender diferentes lenguajes y herramientas de programación que nunca se habían visto. Por otro lado, y mucho más importante ha sido la elaboración del ciclo de vida de una aplicación desde el principio hasta su fin. Merece ser reconocida la tarea de búsqueda de documentación sobre las maneras de implantar una tienda de comercio electrónico, encontrando las más adecuadas, como se comenzaba diciendo, aquellas basadas en el software libre. Es en estos entornos donde hay tanto número de elementos heterogéneos, y que deben funcionar todos correctamente, donde realmente se observa su vital importancia. Es aquí donde se necesita de toda la información existente. El prototipo realizado de tienda virtual queda como prueba de la fácil adaptación de cualquier tipo de catálogo y casuística distinta que puedan tener otras tiendas con objetivos similares a Muziko, y que el software OsCommerce puede proporcionar de una manera profesional y sencilla. Por último parece necesario recordar la necesidad de no perder atención a las distintas tecnologías que aparecerán y que puedan ser aplicadas al comercio electrónico, quedando como muestra de la importancia de ello el análisis realizado en los capítulos correspondientes de este proyecto.

182

Seguridad y Comercio Electrónico

7

Bibliografía

183

Seguridad y Comercio Electrónico

7. Bibliografía

[KHOS06]

Khosrow-Pour, Mehdi; “ENCYCLOPEDIA OF E-COMMERCE, EGOVERMENT AND MOBILE COMMERCE”; Idea Group Reference, 2006.

[SAMO06]

Samoilovich, Sergio; “CIBERNEGOCIOS”; Libro gratuito virtual, 2006.

[WELL03]

Welling, Luke l; “GUÍA PRÁCTICA DE PROTECCIÓN DE DATOS”; 1ª Edición; Universidad Pontificia Comillas, 2003.

[CRUZ06]

Daniel de la Cruz, Carlos David Zumbado; “DESARROLLO WEB CON PHP Y MYSQL”; Anaya Multimedia, 2006.

Direcciones de Internet •

http://www.webadictos.com.mx/2007/10/28/sistemas-para-tiendas-enlinea-e-commerce-gratuitos-y-opensource

•

http://www.oscommerce.com/

•

http://oscommerce.qadram.com/

Otros •

Documentación personal de Mateo Camps.

184

Seguridad y Comercio Electrónico

8

Anexos

185

Seguridad y Comercio Electrónico

8. Anexos 8.1.

Seguridad en el comercio electrónico: ¿SSL o SET?. Cuando se habla de la carrera que existe entre la investigación de nuevas

tecnologías, la comercialización de esas tecnologías y la creación de estándares que impongan orden y velen por la interoperabilidad, hay que lidiar con dos caminos paralelos pero que inevitablemente van unidos. El primero de ellos representa la intensa actividad de investigación que sigue a un excitante o prometedor descubrimiento, sentándose las bases para el futuro desarrollo de una nueva tecnología. El segundo representa la actividad comercial de las compañías que recogen el testigo de los investigadores y comienzan a lanzar al mercado productos que incorporan la tecnología. Es un momento de dura competencia, en el que cada compañía intenta hacerse con la mayor cuota de mercado posible, acudiendo a soluciones que funcionen como sea y que rara vez pueden interoperar con productos de la competencia. Entre ambos caminos queda un hueco que debe ser aprovechado por los organismos de creación de estándares con el fin de evitar la pelea que se avecina si las empresas privadas trabajan sobre el tema sin coordinación. Si la estandarización

llega

demasiado

pronto,

la

tecnología

puede

no

ser

suficientemente comprendida o resultar inmadura, por lo que los estándares serán malos e inútiles. Si llega demasiado tarde, alguna compañía o varias habrán impuesto sus propias soluciones, que habrán sido adoptadas como estándar de facto del sector emergente. Nadie esperaba que Internet, o más concretamente, la World Wide Web, creciera al ritmo exponencial de los últimos años. Sus posibilidades para el comercio fueron rápidamente vislumbradas y en un tiempo récord pasó a transformarse en teatro de transacciones comerciales, financieras y

186

Seguridad y Comercio Electrónico de todo tipo. No se podía esperar a estándares que velaran por la rigurosa implantación de todos los detalles. ¿Qué método resulta más cómodo e inmediato para pagar? La tarjeta de crédito. ¿Al usuario le preocupa la seguridad? Usemos un canal seguro para transmitir el número de la tarjeta. Fue así como en poco tiempo se impuso como norma tácitamente acordada el emplear SSL para cifrar el envío de datos personales, entre ellos el número de tarjeta. SSL (Secure Sockets Layer) es un protocolo de propósito general para establecer

comunicaciones

seguras,

propuesto

en

1994

por

Netscape

Communications Corporation junto con su primera versión del Navigator. Hoy constituye la solución de seguridad implantada en la mayoría de los servidores web que ofrecen servicios de comercio electrónico. Para pagar, el usuario debe rellenar un formulario con sus datos personales (tanto para el caso del envío de los bienes comprados, como para comprobar la veracidad de la información de pago), y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad, titular). Esta arquitectura no exige que el servidor disponga de capacidades especiales para el comercio. Basta con que se utilice como mínimo un canal seguro para transmitir la información de pago y el comerciante ya se ocupará manualmente de gestionar con su banco las compras. El canal seguro lo proporciona SSL. Sin embargo, este enfoque, aunque práctico y fácil de implantar, no ofrece una solución comercialmente integrada ni totalmente segura (al menos en España, debido a que los navegadores utilizan 40 bits de longitud de clave, protección muy fácil de romper). SSL deja de lado demasiados aspectos para considerarse la solución definitiva: •

Sólo protege transacciones entre dos puntos (el servidor web comercial y el navegador del comprador). Sin embargo, una operación de pago con tarjeta de crédito involucra como mínimo tres partes: el consumidor, el comerciante y el emisor de tarjetas.

187

Seguridad y Comercio Electrónico •

No protege al comprador del riesgo de que un comerciante deshonesto utilice ilícitamente su tarjeta.

•

Los comerciantes corren el riesgo de que el número de tarjeta de un cliente sea fraudulento o que ésta no haya sido aprobada.

Son demasiados problemas e incertidumbres como para dejar las cosas como están. Se hacía necesaria la existencia de un protocolo específico para el pago, que superase todos los inconvenientes y limitaciones anteriores, motivo por el que se creó SET. El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de gigantes de la industria del software, como Microsoft, IBM y Netscape. La gran ventaja de este protocolo es que ofrece autenticación de todas las partes implicadas (el cliente, el comerciante y los bancos, emisor y adquiriente); confidencialidad e integridad, gracias a técnicas criptográficas robustas, que impiden que el comerciante acceda a la información de pago (eliminando así su potencial de fraude) y que el banco acceda a la información de los pedidos (previniendo que confeccione perfiles de compra); y sobre todo gestión del pago, ya que SET gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc. Entonces, si todo son alabanzas, ventajas y puntos fuertes, ¿por qué SET no termina de implantarse? ¿Por qué no goza de la popularidad de SSL, si se supone mejor adaptado? En primer lugar, su despliegue está siendo muy lento. Exige software especial, tanto para el comprador (aplicación de monedero electrónico) como para el comerciante (aplicación POST o terminal de punto de venta), que se está desarrollando con lentitud. En segundo lugar, aunque varios productos cumplan con el estándar SET, esto no significa necesariamente que sean

188

Seguridad y Comercio Electrónico compatibles. Este es un problema que exige mayores esfuerzos de coordinación y más pruebas a escala mundial para asegurar la interoperabilidad. Sus puntos fuertes son también su debilidad: la autenticación de todas las partes exige rígidas jerarquías de certificación, ya que tanto los clientes como comerciantes deben adquirir certificados distintos para cada tipo de tarjeta de crédito, trámites que resultan pesados para la mayoría de los usuarios. En definitiva, SET es un protocolo de gran fuerza, pero de movimientos extraordinariamente pesados. SSL le ha tomado la delantera hace años. No es tan perfecto, no ofrece su seguridad ni sus garantías, pero funciona. Y lo que es más importante: el usuario de a pie no tiene que hacer nada. Resumen del Boletín del Criptonomicón #54.

189

Seguridad y Comercio Electrónico

8.2.

LOPD (Ley Orgánica de Protección de Datos). La Ley Orgánica 15/99 de Protección de Datos de Carácter Personal (LOPD)

tiene como objeto "garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar." Para ello se establecen los principios de la protección de datos, donde se disponen los derechos de información en la recogida de datos, de consentimiento del titular de los datos, de rectificación y cancelación. La principal novedad de la ley frente a la anterior, Ley Orgánica 5/92 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, estriba en que su vigencia se aplica a cualquier tipo de fichero, entendiendo como tal "todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso." Para adecuarse a la Ley, es necesaria la notificación e inscripción registrar del fichero a la Agencia de Protección de Datos, cuyo objetivo es "velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos." Además de la inscripción del fichero, es necesario que la empresa cumpla con las obligaciones establecidas en la LOPD, como son el notificar al titular de los datos sobre la inclusión de éstos en un fichero, facilitar el derecho a la consulta, modificación, rectificación y cancelación de los mismos, cumplir el deber de secreto profesional, etc.

190

Seguridad y Comercio Electrónico Todo ello se viene complementado con la obligación de velar por la seguridad de los datos, con el fin de protegerlos de alteración, pérdida, tratamiento o acceso no autorizado. Para garantizar la seguridad de los datos, el responsable del fichero o el encargado del tratamiento "deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal." Para los ficheros automatizados se aprobó el Real Decreto 994/99, por el que se establece el "Reglamento Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal." Entre las medidas a adoptar consta la adopción del adecuado nivel de seguridad, en base al cual se establecen los procedimientos mínimos a implantar. La LOPD contempla infracciones y sanciones para las empresas que no cumplan la ley, dividiéndolas en infracciones leves, graves y muy graves, con multas que van desde los 601,01€ hasta los 60.101,21€ para las leves, y pueden llegar hasta 601.012,10€ para las muy graves. Entre las infracciones leves se incluye el no notificar a la Agencia de Protección de Datos la creación de un fichero. Y el hecho de no adoptar las medidas de seguridad establecidas en el documento de seguridad supone una infracción grave.

191

Seguridad y Comercio Electrónico

8.3.

LSSICE (Ley de Servicios de la Sociedad de la Información y Comercio Elect.). La Ley se aplica a todas las actividades que se realicen por medios

electrónicos y tengan carácter comercial o persigan un fin económico. La Ley se aplica tanto a las páginas web en las que se realicen actividades de comercio electrónico como a aquéllas que suministren información u ofrezcan servicios de forma gratuita para los usuarios, cuando constituyan una actividad económica para su titular. Existe actividad económica cuando su responsable recibe ingresos directos (por las actividades de comercio electrónico que lleve a cabo, etc.) o indirectos (por publicidad, patrocinio...) derivados de la actividad que realice por medios electrónicos. En la Ley, se acoge un concepto amplio de «servicios de la sociedad de la información», que engloba, además de la contratación de bienes y servicios por vía electrónica, el suministro de información por dicho medio (como el que efectúan los periódicos o revistas que pueden encontrarse en la red), las actividades de intermediación relativas a la provisión de acceso a la red, a la transmisión de datos por redes de telecomunicaciones, a la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, al alojamiento en los propios servidores de información, servicios o aplicaciones facilitados por otros o a la provisión de instrumentos de búsqueda o de enlaces a otros sitios de Internet, así como cualquier otro servicio que se preste a petición individual de los usuarios (descarga de archivos de vídeo o audio, ...), siempre que represente una actividad económica para el prestador. Las principales obligaciones de la LSSICE son: •

Obligación de informar (mostrar) en la página web:

192

Seguridad y Comercio Electrónico o Denominación social, NIF, domicilio, teléfono y dirección de correo electrónico. o Datos de inscripción Registral (Registro Mercantil, de Asociaciones, de Sociedades Laborales y Cooperativas o el Registro público que corresponda para adquirir personalidad jurídica). o Si la actividad está sujeta a una autorización administrativa, los datos de dicha autorización y del órgano competente encargado de su supervisión. o Códigos de conducta a los que se esté adherido y manera de consultarlos electrónicamente. o Precios de los productos o servicios que se ofrecen. •

Comunicar el nombre de dominio de la empresa al Registro Mercantil u otro Registro público en el que esté inscrita.

•

Si realiza contratos on-line, indicar: o Trámites que deben seguirse para contratar on-line. o Condiciones generales del contrato.

•

Confirmar la celebración del contrato por vía electrónica, mediante el envío de un acuse de recibo del pedido realizado.

•

Si se hace publicidad por correo electrónico o mensajes SMS: o Indicar claramente la identificación del anunciante. o Identificar claramente el mensaje publicitario con la palabra «publicidad». o Obtener con carácter previo, el consentimiento del destinatario (excepto si ya es cliente). o Establecer procedimientos sencillos para facilitar la revocación del consentimiento por el usuario.

193