Proyecto Final SBC

...

Visión:

Potenciar el crecimiento de Foxconn Norte América y la competitividad al ofrecer al cliente una experiencia inmejorable a través de prácticas operativas de clase mundial

---------------------------------------------------------------

Organigrama Departamental – Foxconn CNSBG Juarez Maufacturing

[pic 3]

---------------------------------------------------------------

Organigrama del Departamento de Tecnología de Información

(Se muestra Área Identificada para implementación del SBC)

[pic 4]

---------------------------------------------------------------

Objetivo General del Proyecto

El objetivo del proyecto es diseñar un sistema basado en conocimiento (SBC) aplicado al análisis de la seguridad de aplicaciones. La base de conocimiento será alimentada permanentemente por normas, estándares y mejores practicas vigentes así como por aquellos informes de vulnerabilidades que tomen conocimiento publico en la comunidad informática.

El motor de inferencia, el cual trabajara sobre un universo abierto, tomara la información suministrada por la base de conocimiento para analizar la seguridad de una aplicación determinada. La solución del problema a través del método elegido comprenderá desde el análisis de seguridad de aplicaciones de gestión hasta el control de que las mismas cumplan con el marco regulatorio.

Área Identificada Para el SBC

El Grupo de Desarrollo de Aplicaciones del Depto. de Tecnología de Información en Foxconn CNSBG Juarez Manufacturing tiene como misión la planificación y gestión general de las aplicaciones de la empresa, para servir de apoyo a los procesos de manufactura, administrativos, investigación y proyección social y de esta forma contribuir al cumplimiento de la misión corporativa.

Estructura del Grupo de Desarrollo de Aplicaciones

El Grupo de Desarrollo del Departamento de TI tiene la siguiente conformación:

- Coordinación del Grupo del Desarrollo

- Área de Administración de Bases de Datos

- Área de Desarrollo de Aplicaciones

- Área de Soporte a Usuarios en base a dichas aplicaciones

Análisis y Diagnóstico de la Situación Actual

El avance tecnológico y el desarrollo de aplicaciones informáticas para soportar las necesidades del negocio de una organización hace imperioso cruzar fronteras, por ejemplo acceder desde la Web hasta llegar a una base de datos que esta gestionada por un software que corre sobre un equipo Mainframe (servidor).

De este modo la explotación de la aplicación se realiza atravesando diversas capas e integrando diferentes plataformas existentes en la organización. Dado que las capas tienen distintas naturalezas de seguridad, es necesario implementar un mecanismo eficiente que permita que las aplicaciones sean realmente seguras cumpliendo con los estándares respectivos y permaneciendo altamente alineadas con la tecnología.

Para abordar esta problemática se propone un sistema basado en conocimientos (SBC) que asista a la elaboración de especificaciones de requerimientos de software (ERS) a fin de aportar con el desarrollo de aplicaciones que contribuyan eficientemente a reducir las potenciales vulnerabilidades de las aplicaciones y que permita evaluar si una aplicación dada pasa los niveles de seguridad establecidos. Esto a su vez contribuye con el mantenimiento y refinamiento del conocimiento.

La situación actual demuestra que, si bien existe un importante nivel de madurez en materia de seguridad informática respecto de la infraestructura tecnológica organizacional, no sucede lo mismo con los sistemas aplicativos que son soportados por dicha infraestructura. Esto conlleva a una falta de alineación entre los desarrolladores y los especialistas en el análisis de vulnerabilidades en el software de gestión. Finalmente esta falta de alineación puede poner en riesgo uno de los activos mas importantes que tiene una organización: su información.

Beneficios del Proyecto

Los sistemas basados en conocimiento basan su rendimiento en la cantidad y calidad del conocimiento de un dominio específico y no tanto en las técnicas de solución de problemas. Entre los principales beneficios de esta propuesta de anteproyecto podemos mencionar que:

- Propone un modelo de un Sistema Basado en Conocimiento (SBC), capaz de dar respuesta al análisis de los niveles de seguridad de aplicaciones de gestión.

- Sistematiza y documenta, con metodología de Sistemas Expertos, el conocimiento requerido para el área de la seguridad de aplicaciones de gestión.

- Fija las bases para la realización de un Sistema Experto que asiste en el análisis y evaluación de ERS, que incorpora como propuesta los aspectos de seguridad, desde el punto de vista de la Ingeniería de Requerimientos (IR).

- Aplica, para el área de Ingeniería en Conocimiento, un marco metodológico a través de la metodología IDEAL, asegurando el desarrollo y posterior crecimiento del Sistema Experto, en los aspectos relativos al mantenimiento del conocimiento.

Esta propuesta busca primordialmente ayudar al Área de Desarrollo de Aplicaciones a apegarse a las normas de seguridad de la información en sus procesos de desarrollo mediante un SBC. Por lo tanto un beneficio más está relacionado con el cumplimiento, ya que las políticas deben establecer lo necesario para estar en apego con las leyes aplicables de acuerdo con el negocio de la organización, así como con las regulaciones y obligaciones contractuales directamente relacionadas con seguridad de la información.

Cuando se habla de tener un modelo de riesgos y amenazas, generalmente suele venir a la mente un modelo para gestionar la seguridad de la información, pero estos temas se pueden extender para considerar el desarrollo de aplicaciones seguras y evitar problemas de seguridad haciendo un modelamiento de amenazas.

Como empresa de manufactura, se deben cumplir con diferentes estándares, tal es el caso de ISO/IEC