ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) · 2008-09-11 · ESCUELA TÉCNICA SUPERIOR DE...
Transcript of ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) · 2008-09-11 · ESCUELA TÉCNICA SUPERIOR DE...
PROYECTO FIN DE CARRERA
SEGURIDAD Y COMERCIO ELECTRÓNICO
AUTOR: EDUARDO GÓMEZ FERNÁNDEZ
MADRID, Septiembre de 2008
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)
INGENIERO EN INFORMÁTICA
Seguridad y Comercio Electrónico
I
Resumen
En la actualidad existen cada vez más tiendas virtuales relacionadas con
mercados que tenían poca o incluso nula presencia en la red, al mismo tiempo que
aparecen nuevas oportunidades empresariales que permiten que en una franja
temporal relativamente pequeña se puedan formar empresas capaces de
proporcionar un servicio.
Es propósito de este proyecto intentar analizar este mundo virtual tan
cambiante desde el prisma del comercio electrónico, así como observar la
evolución que ha ido sufriendo a lo largo de los años. Para llevar a cabo este
objetivo se ha optado por realizar dos tareas que permiten entender un poco más la
problemática del asunto, y así evitar caer en realizar un ejercicio puramente
enciclopédico, ni en presentar un espacio virtual de mercado sin base teórica
alguna.
En primer lugar en el presente proyecto se ha realizado un estudio sobre el
comercio electrónico en la actualidad, tanto desde el punto de vista tecnológico
como desde el punto de vista empresarial y organizativo.
En segundo lugar se ha implantado un prototipo de tienda virtual con el fin
de aplicar los conceptos y conclusiones alcanzados en el estudio previo con un
ejemplo real. Dicha tienda virtual se ha presentado como la versión on-line de
Muziko, tienda de accesorios musicales para instrumentos de música clásica.
En el proyecto se ha hecho uso de un número considerable de recursos
software, recurriendo a un software específico como la herramienta principal de la
creación de la tienda virtual.
Esta tienda virtual aparece integrada dentro de una plataforma web
desarrollada íntegramente con software libre, tanto por su gran aceptación en
Seguridad y Comercio Electrónico
II
Internet como por sus claras ventajas económicas. Para el desarrollo de este
proyecto se ha utilizado la herramienta específica de comercio electrónico
osCommerce, que hace uso del lenguaje PHP para su comunicación con un
servidor Apache. Para la gestión de la base de datos, se ha empleado el gestor
MySQL.
La tienda virtual presenta dos partes claramente diferenciadas. Por un lado
un catálogo de accesorios de instrumentos de música clásica con diferentes
secciones, según sea la tipología de los diferentes artículos, y que podrán ser
comprados por los usuarios utilizando diferentes medios de pago. Se ha buscado
aplicar aquí los conocimientos adquiridos en el estudio previo y dar el servicio de
compras con algunas de las tecnologías estudiadas anteriormente.
Por otro lado, también se ofrece una parte de administración desde la cual
se permite gestionar a los distintos usuarios, llevar un control de estadísticas de la
tienda o establecer distintas políticas de precios.
La tienda es accesible para todo el mundo a través de la página web
http://tienda.muziko.es, pudiendo realizar las distintas compras deseadas previo
registro gratuito.
Desde el punto de vista organizativo la tienda permite realizar una
diferenciación entre los usuarios por su perfil, según sea un usuario normal o un
administrador. Los usuarios podrán realizar las compras que deseen, mientras que
los administradores serán los encargados de gestionar el catálogo, así como
realizar otro tipo de gestiones en la tienda.
Seguridad y Comercio Electrónico
III
Abstract
Nowadays the number of virtual stores over the internet has increased,
especially those stores related with markets that had minimum or null presence on
the network, while appearing new business opportunities as well. The present
project tries to analyze this virtual world, study it by observation of the market
evolution suffered over the years. To carry out this objective two tasks have been
chosen. Therefore this will help to understand the problematic in a much better
way.
Firstly this project conducts a study on electronic commerce at present, both
from a technological and a business point of view. Also important is the fact of
taking into account organizational conditions.
On the other hand, a prototype store will also be introduced in order to
implement the concepts and conclusions reached in the previous study with a real
example. This virtual store has been presented as the online version of Muziko,
shop for musical accessories and classical music instruments.
The virtual store, with http://tienda.muziko.es as the domain name, is
integrated as a web platform. It is developed entirely using free software, both for
its wide acceptance on the Internet and for its clear economic benefits. This
development has also taken into account the usage of e-commerce store tool from
osCommerce, which makes use of the PHP language for all the communication
with an Apache server. All this is integrated with a database that runs under the
MySQL database server.
Therefore users can make all the desire purchases, while store managers will
be responsible for taking care of the online inventory and all the work within the
store.
Seguridad y Comercio Electrónico
IV
ÍNDICE
1. El comercio electrónico en la empresa actual ......................................................... 2
1.1. Determinación de aplicaciones y datos críticos. ............................................... 2
1.2. Arquitectura ISM. ................................................................................................. 5
1.2.1. Arquitectura de datos de la empresa. ......................................................... 6
1.2.2. Arquitectura de aplicaciones de la empresa. ............................................. 6
1.2.3. Arquitectura de la tecnología ....................................................................... 9
1.2.4. Arquitectura integrada ............................................................................... 10
1.2.4.1. Planificación y control estratégico ..................................................... 10
1.2.4.2. Planificación del desarrollo................................................................. 12
1.3. Inventario de estructuras informáticas y de seguridad. ............................... 18
2. Métodos de integración y seguridad ..................................................................... 26
2.1. Requerimientos del plan de contingencias y recuperación. ......................... 26
2.1.1. Análisis y valoración de riesgos. ............................................................... 28
2.1.2. Jerarquización de las aplicaciones. ............................................................ 29
2.1.3. Establecimientos de requerimientos de recuperación. ........................... 30
2.1.4. Ejecución. ...................................................................................................... 30
2.1.5. Pruebas. ......................................................................................................... 31
2.1.6. Documentación. ........................................................................................... 31
2.1.7. Difusión y mantenimiento. ......................................................................... 32
2.2. Análisis de riesgos. ............................................................................................. 34
2.3. Estudio de vulnerabilidades. ............................................................................. 39
Seguridad y Comercio Electrónico
V
2.4. La importancia de la seguridad en el comercio electrónico. ........................ 44
2.4.1. Herramientas de protección en el comercio electrónico. ....................... 45
2.4.1.1. Firewalls (Corta Fuegos) ..................................................................... 45
2.4.1.2. Protocolo SSL ........................................................................................ 47
2.4.1.3. Certificados. .......................................................................................... 48
2.4.1.4. Infraestructura de Clave Pública (PKI). ............................................ 49
2.4.1.5. Ejemplo real........................................................................................... 52
2.5. Responsabilidades del Ingeniero Informático en el cumplimiento de la LOPD. .............................................................................................................................. 58
3. Claves del comercio electrónico en la nueva economía ..................................... 68
3.1. Comercio electrónico como generador de cambios empresariales. ............. 68
3.1.1. Tipos de intermediarios .............................................................................. 71
3.2. Tipos de comercio electrónico. .......................................................................... 75
3.3. La nueva cadena de valor en el comercio. ....................................................... 85
3.4. Las nuevas oportunidades empresariales. ...................................................... 97
3.5. Definición de la estrategia para el comercio electrónico. ............................ 103
3.5.1. Desarrollo de una estrategia de comercio electrónico. ......................... 105
3.5.2. Aspectos clave de una estrategia de comercio electrónico. ................. 106
3.5.3. Aspectos negativos en una estrategia de comercio electrónico .......... 111
3.5.4. De la estrategia a la acción estratégica. ................................................... 116
3.5.4.1. Paso 1: Pensar la estrategia del comercio electrónico ................... 117
3.5.4.2. Paso 2: Entender la estrategia del comercio electrónico. .............. 118
3.5.4.3. Paso 3: Definir la estrategia del comercio electrónico. .................. 119
3.5.4.4. Paso 4: Diseñar la estrategia del comercio electrónico.................. 121
Seguridad y Comercio Electrónico
VI
3.5.4.5. Paso 5: Construir la estrategia del comercio electrónico. ............. 125
3.5.4.6. Paso 6: Proyectar la estrategia del comercio electrónico. ............. 126
3.5.4.7. Paso 7: Acompañar la estrategia del comercio electrónico. ......... 128
3.5.5. Elementos clave de una web de comercio electrónico ......................... 131
3.5.6. Conclusión .................................................................................................. 133
4. Ejemplo práctico de una empresa de comercio electrónico ............................ 136
4.1. Plan de negocio. ................................................................................................ 136
4.1.1. Resumen ejecutivo ..................................................................................... 136
4.1.2. Análisis y diagnóstico de la situación ..................................................... 137
4.1.2.1. Análisis del entorno general ............................................................. 137
4.1.2.2. Análisis del entorno específico – 5 fuerzas de Porter ................... 138
4.1.2.3. Análisis interno ................................................................................... 143
4.1.2.4. Diagnóstico cualitativo ...................................................................... 145
4.1.3. Producto ...................................................................................................... 146
4.1.4. Objetivos y estrategias .............................................................................. 147
4.1.4.1. Establecimiento de objetivos ............................................................ 147
4.1.4.2. Formulación de estrategias ............................................................... 147
4.1.5. Plan de marketing ...................................................................................... 148
4.1.5.1. Política de producto ........................................................................... 148
4.1.5.2. Política de distribución ...................................................................... 148
4.1.5.3. Política de comunicación ................................................................... 149
4.1.5.4. Localización ......................................................................................... 150
4.1.6. Plan de recursos humanos ........................................................................ 150
Seguridad y Comercio Electrónico
VII
4.2. Arquitectura. ...................................................................................................... 151
4.2.1. Plataforma web .......................................................................................... 151
4.2.2. Aplicaciones de comercio electrónico ..................................................... 153
4.2.3. Solución elegida: osCommerce ................................................................ 156
4.3. Guía de navegación. ......................................................................................... 161
4.3.1. Administración .......................................................................................... 161
4.3.2. Catálogo ...................................................................................................... 167
5. Valoración económica y planificación del proyecto ......................................... 176
5.1. Valoración económica. ..................................................................................... 176
5.1.1. Coste de tecnología .................................................................................... 176
5.1.2. Coste de implantación............................................................................... 177
5.1.3. Costes operacionales ................................................................................. 178
5.1.4. Costes totales .............................................................................................. 178
5.2. Planificación temporal. ..................................................................................... 179
6. Trabajo futuro y conclusiones .............................................................................. 182
7. Bibliografía ............................................................................................................... 184
8. Anexos ....................................................................................................................... 186
8.1. Seguridad en el comercio electrónico: ¿SSL o SET?. .................................... 186
8.2. LOPD (Ley Orgánica de Protección de Datos). ............................................ 190
8.3. LSSICE. ............................................................................................................... 192
Seguridad y Comercio Electrónico
1
11
EEll ccoommeerrcciioo eelleeccttrróónniiccoo
eenn llaa eemmpprreessaa aaccttuuaall
Seguridad y Comercio Electrónico
2
1. El comercio electrónico en la empresa actual
1.1. Determinación de aplicaciones y datos críticos.
Para la realización de este proyecto es fundamental comenzar con la
determinación de aplicaciones y datos críticos, ya que es la base sobre la que se
irán construyendo los distintos apartados que se aborden a lo largo del mismo.
Es necesario comenzar diciendo que cada empresa tiene unas características
únicas y, aunque las hay semejantes, sobre todo a la hora de determinar las
aplicaciones y datos críticos, se encontrarán soluciones y resultados muy dispares.
Como se ha comentado, no hay una solución exacta, pero se empleará la
metodología BSP (Business Strategic Planning) que mediante una serie de pasos
consigue la definición de los procesos de negocio:
Seguridad y Comercio Electrónico
3
Las funciones o procesos empleados en conseguir los objetivos, tanto a corto
como a largo plazo e independientemente de que empresa sea, son críticos para el
éxito de la misma y son normalmente independientes. Así mismo, se debe realizar
su agrupación en bloques lógicos.
Es cierto que, si el entorno de negocio es maduro, los procesos son
independientes de las personas que los realizan, es decir: las personas pueden
cambiar pero los procesos continúan. Si por el contrario el entorno de negocio no
es maduro debe aparecer un nuevo conjunto de procesos para soportar la nueva
tarea.
La razón por la que es necesario definir los procesos de negocio antes de
pasar a desarrollar cualquier tema de la seguridad y del comercio electrónico es
porque dicha definición asegura que la información correcta está en el sitio
adecuado y en el momento preciso. Es totalmente inútil empezar a determinar
datos y aplicaciones críticas o un plan de contingencias sin saber dónde está la
información.
En el recorrido de todos los pasos se deben considerar los siguientes factores
que pueden ayudar o destruir cada propósito:
� El director no puede delegar la planificación.
� La planificación debe realizarse en los períodos de éxito.
� Todos los directores deben participar en la planificación.
� La planificación debe estar al nivel suficiente dentro de la organización
para obtener el soporte de los ejecutivos.
� Sin un plan, el valor del ejercicio puede reducirse seriamente.
Seguridad y Comercio Electrónico
4
� No se debe asumir que la planificación a largo plazo resuelve los
problemas actuales.
En la siguiente figura se puede observar el recorrido a la hora de ejecutar los
distintos pasos de la metodología BSP comentada.
Seguridad y Comercio Electrónico
5
1.2. Arquitectura ISM.
Debido a la rapidez con la que pueden aparecer los cambios, tal y como se
ha comentado, la arquitectura se puede utilizar para proporcionar estructuras,
evaluar prioridades y para reducir el impacto del cambio en la empresa.
En el contexto de este proyecto, se utilizará la arquitectura ISM (Information
System Management) para proporcionar la estructura de los negocios soportados.
Los componentes de dicha arquitectura pueden utilizarse para examinar las
alternativas de una organización o desarrollar un entorno comprensible de los
sistemas y aplicaciones que pueden soportar a la empresa.
Para la realización de los pasos que comprenden la metodología BSP se
utiliza la entrevista como técnica para definir el plan de necesidades de
información de la empresa. Dichas necesidades de información se consolidarán en
un informe de las necesidades.
Todo este proceso de planificación tiene como fin entender la empresa por
la definición de sus misiones de negocio, objetivos, estrategias, políticas y procesos
básicos del negocio. Se ha definido la información necesaria para realizar los
negocios en términos de clases de datos y necesidades de información. El paso
siguiente será crear una estructura para proporcionar esta información.
Para ello se realizará la arquitectura de la empresa utilizando toda la
información obtenida en el proceso de la planificación estratégica del negocio.
Los elementos de la definición de la arquitectura son:
i. Definir la arquitectura de datos para la empresa.
ii. Definir la arquitectura de las aplicaciones para la empresa.
Seguridad y Comercio Electrónico
6
iii. Definir la arquitectura tecnológica para la empresa.
iv. Integrar la arquitectura.
1.2.1. Arquitectura de datos de la empresa.
La arquitectura de datos, aplicaciones y tecnología definen la base para
proporcionar el soporte de la información necesaria para los negocios. Los
procesos de la información son aquellos por los que los datos y la información
pasan para permitir la toma de decisiones y la realización de las tareas. La
arquitectura define los medios potencialmente automatizados para tratar dicha
información.
La arquitectura de datos es una agrupación lógica de los datos más
importantes y más utilizados en la empresa. La necesidad de una arquitectura de
datos comprensible ha llegado a ser más importante en la actualidad, debido a las
nuevas tecnologías que permiten almacenar, producir y distribuir la información
más fácilmente.
Al igual que en un proceso de negocio los datos se pueden definir también
en una jerarquía de grupos de datos, clases de datos y elementos de datos.
1.2.2. Arquitectura de aplicaciones de la empresa.
Debido a que las aplicaciones pueden ser una parte integral de los negocios
y ser críticos con su efectividad total, es esencial que ellos soporten a la
organización en sus verdaderas necesidades, y aunque las aplicaciones representen
la mayor inversión en tiempo y dinero, deben ser definidos de una manera
Seguridad y Comercio Electrónico
7
estructurada para limitar la duplicidad y redundancia, tanto de programas como
de bases de datos.
La arquitectura de las aplicaciones depende de los procesos y de los datos
necesarios para soportar esos procesos. Existen en realidad los medios por los
cuales los datos necesarios deben ser extraídos juntos, como se necesitan para el
proceso individual o en procesos agrupados. Aunque la arquitectura exacta de las
aplicaciones debe ser única para cada empresa, el modelo siguiente representa
distintos grupos de aplicaciones comunes:
Seguridad y Comercio Electrónico
8
El modelo que se presenta con la anterior figura está basado en los datos y
procesos necesarios del negocio más que en la organización que debe soportarlos.
La nomenclatura de los grupos de aplicaciones puede parecer similar a algunos
componentes de la organización, pero en realidad no están relacionados a ninguna
estructura específica de la misma.
Los grupos de aplicaciones deben cubrir todo el rango de los sistemas que
deben desarrollarse por la empresa, incluso aunque los recursos o su justificación
no estén disponibles. Esto es así porque los cambios en el entorno de negocio
necesitan que el modelo sea completo para facilitar colocar nuevas prioridades.
Esta agrupación de aplicaciones proporciona también un mapa para todo el
trabajo de desarrollo y mantenimiento dentro de la empresa. Cada subsistema
conceptual debe estar lo suficientemente definido para que se pueda permitir el
eventual desarrollo de un sistema de aplicaciones. Muchos de estos sistemas de
aplicaciones puede que existan ya dentro del inventario, tanto como un sistema
completo o como una parte del mismo. Se debe realizar de una manera anticipada
un esfuerzo importante de planificación cuando una aplicación comienza a hacerse
obsoleta.
Para definir la arquitectura de aplicaciones es importante comprender con
alguna profundidad los procesos del negocio y los datos que son necesarios para
realizar esos procesos. La técnica utilizada por el BSP, para realizar esa
arquitectura incluye:
i. Creación de una matriz de procesos y datos que indica los procesos
que crean, actualizan y acceden a las distintas clases de datos.
ii. Agrupación de las aplicaciones o sistemas alrededor de esa diagonal
creada para balancear el impacto tanto de los procesos como de los
datos en el sistema concebido.
Seguridad y Comercio Electrónico
9
iii. Documentar esos grupos para clasificaciones posteriores en
subsistemas en el nivel táctico.
Para mostrar la interdependencia de los datos se debe dibujar un diagrama
general de flujos tanto para los procesos como para las aplicaciones. Con esta
estructura y su flujo hay menos necesidades para un ajuste “forzado” de cambios
dramáticos en las aplicaciones individuales. La imagen total permite construir un
armazón para poder evaluar cada pieza de una manera individual.
1.2.3. Arquitectura de la tecnología
La arquitectura de la tecnología proporciona los medios a la arquitectura de
datos y aplicaciones. Sin ella sería difícil e ineficiente el proporcionar la
información correcta en el momento adecuado. Esta arquitectura de la tecnología
incluye cada elemento hardware, software, redes, etc. Su estructura debe
considerar el impacto de los elementos existentes y proporcionar los enlaces
correctos para poder ejecutar otros elementos adicionales, teniendo en cuenta que
cada elemento puede ser mejorado o reemplazado individualmente.
No obstante dentro de esa estructura se incrementa el número de opciones
por las cuales las necesidades de información puedan alcanzarse: la tecnología
avanza tan rápidamente que la mejor solución tecnológica actual puede no ser la
ideal para mañana. La arquitectura de la tecnología debe actualizarse para poder
planificar esos cambios.
La arquitectura de la tecnología debe proporcionar estructuras, funciones e
interfaces, excepto cuando la nueva tecnología esté disponible. Las interfaces de los
sistemas avanzados deben anticiparse cuando ello sea posible.
Seguridad y Comercio Electrónico
10
1.2.4. Arquitectura integrada
La arquitectura de datos, aplicaciones y tecnología son independientes y
deben integrarse dentro de una estructura total. Esto necesita normalmente varias
iteraciones a través de varias combinaciones antes de que pueda entregarse una
recomendación final, puede incluir opciones basadas a las necesidades definidas,
por ejemplo rendimiento, disponibilidad, carga de trabajo, etc.
Este proceso ha transformado las necesidades de información en una
estructura para soportar esas necesidades. El paso siguiente debe tomar decisiones
acerca del mejor camino para conseguir los resultados.
1.2.4.1. Planificación y control estratégico
Basado en las metas y contenciones de la empresa, este proceso proporciona
el plan estratégico, o cómo se pueden alcanzar las metas expresadas por la
dirección general de la empresa. Especifica la secuencia de las actividades clave de
la empresa en el orden el que deben realizarse y cómo los servicios proporcionados
deben evolucionar. También asegura la coherencia y consistencia contra los logros
tácticos.
Los elementos de planificación y control estratégico son:
i. Evaluar la implantación de los servicios alternativos, aplicaciones y
datos incluyendo las justificaciones de negocio y la evaluación de
riesgos.
Para asegurar que la planificación coincide con la estrategia de la
empresa, los dos procesos anteriores establecen el entorno y la
estructura de la arquitectura necesarios para soportar los negocios.
Utilizando esta base el plan estratégico debe ponerse en la dirección
Seguridad y Comercio Electrónico
11
para realizar estas tres misiones: servicio, desarrollo y consultoría, y
establecer los límites de los recursos para estas misiones. Las
estrategias parciales deben ser compatibles.
ii. Definir y dar prioridades a los objetivos estratégicos dentro de las
políticas.
En cada organización se pueden obtener grandes beneficios
competitivos planificando la dirección estratégica. Probablemente
una de las preguntas más difíciles para el ejecutivo es el decidir qué
es lo mejor para aplicar la nueva tecnología, que cambia rápidamente
y para poder tomar ventajas frente a la competencia. Ello requiere un
conocimiento real y consciente de la tecnología y después planificar
cuidadosamente su utilización.
Un ejemplo de esta dirección estratégica y sus consecuencias se
puede contemplar en aquellas industrias, como los bancos y las
compañías aseguradoras. Las compañías previsoras y la dirección
están preparadas para instalar terminales para los usuarios mucho
antes que aquellas otras compañías que han fallado en la previsión
del futuro. Tienen la tecnología base instalada en el momento
correcto.
iii. Obtener la aprobación para el plan estratégico.
iv. Control del plan estratégico contra el cumplimiento táctico.
Seguridad y Comercio Electrónico
12
1.2.4.2. Planificación del desarrollo
Este grupo de procesos se concentra en la parte del plan estratégico que
cubre el desarrollo técnico que si debe llevarse a cabo dentro del horizonte táctico.
Define la gestión de los proyectos que deben implantarse. Los cuatro proyectos
dentro de este grupo se discuten en la secuencia siguiente:
A continuación se muestran unas matrices que ayudan a identificar las
clases de datos según cada proceso.
Seguridad y Comercio Electrónico
13
Clases de Datos según Proceso de Creación
Planificación
Finanzas
Producto
Fichero Maestro de
Lista de materiales
Proveed
or
Invent. de materias
Invent.
de
prod.
Instalaciones
Trabajo en curso
Carga de máquinas
Ordenes abiertas
Rutas
de
Cliente
Territorio de ventas
Pedido
Costo
Empleado
Planificación del negocio C U U Análisis de la organización U Revisión y control U U Planificación financiera C U U U Adquisición de capital C Investigación U U Previsiones U U U U Diseño y desarrollo C C U U Mantent. De especif. De producto U C C U Compras C U Recepción U U Control de inventario C C U Diseño de rutas en planta U C U Planificación de fechas U U U C U Planificación de capacidad U U C U U Necesidades de material U U U C Operaciones U U U C Administración de territorio U C U Ventas U U C U Administración de ventas U U Servicio de pedidos U U C Envíos U U U Contabilidad general U U U U Planificación de costos U U C Contabilidad presupuestaria U U U U U Planificación de personal U C Contratación / Formación Personal U Compensación U U
Clase de Datos
Proceso
Seguridad y Comercio Electrónico
14
Agrupamiento de procesos según la clase de datos
Planificación
Finanzas
Producto
Fichero Maestro de
Lista de materiales
Proveed
or
Invent. de materias
Invent.
de
prod.
Instalaciones
Trabajo en curso
Carga de máquinas
Ordenes abiertas
Rutas
de
Cliente
Territorio de ventas
Pedido
Costo
Empleado
Planificación del negocio C U U Análisis de la organización U Revisión y control U U Planificación financiera C U U U Adquisición de capital C Investigación U U Previsiones U U U U Diseño y desarrollo C C U U Mantent. De especif. De producto
U C C U
Compras C U Recepción U U Control de inventario C C U Diseño de rutas en planta U C U Planificación de fechas U U U C U Planificación de capacidad U U C U U Necesidades de material U U U C Operaciones U U U C Administración de territorio U C U Ventas U U C U Administración de ventas U U Servicio de pedidos U U C Envíos U U U Contabilidad general U U U U Planificación de costos U U C Contabilidad presupuestaria U U U U U Planificación de personal U C Contratación / Formación Personal
U
Compensación U U
Clase de Datos
Proceso
Seguridad y Comercio Electrónico
15
Determinación de la Circulación de los Datos
Planificación
Finanzas
Producto
Fichero Maestro de
Lista de materiales
Proveed
or
Invent. de materias
Invent.
de
prod.
Instalaciones
Trabajo en
curso
Carga de máquinas
Ordenes abiertas
Rutas
de
Cliente
Territorio de ventas
Pedido
Costo
Empleado
Planificación del negocio C U U Análisis de la organización U Revisión y control U U Planificación financiera C U U U Adquisición de capital C Investigación U U Previsiones U U U U Diseño y desarrollo C C U U Mantent. De especif. De producto U C C U Compras C U Recepción U U Control de inventario C C U Diseño de rutas en planta U C U Planificación de fechas U U U C U Planificación de capacidad U U C U U Necesidades de material U U U C Operaciones U U U C Administración de territorio U C U Ventas U U C U Administración de ventas U U Servicio de pedidos U U C Envíos U U U Contabilidad general U U U U Planificación de costos U U C Contabilidad presupuestaria U U U U U Planificación de personal U C Contratación / Formación Personal U Compensación U U
Clase de Datos
Proceso
Seguridad y Comercio Electrónico
16
Circulación de los Datos
Planificación
Finanzas
Producto
Fichero Maestro de
Lista de materiales
Proveed
or
Invent. de materias
Invent.
de
prod.
Instalaciones
Trabajo en
curso
Carga de máquinas
Ordenes abiertas
Rutas
de
Cliente
Territorio de ventas
Pedido
Costo
Empleado
Planificación del negocio C U U Análisis de la organización U Revisión y control U U Planificación financiera C U U U Adquisición de capital C Investigación U U Previsiones U U U U Diseño y desarrollo C C U U Mantent. De especif. De producto U C C U Compras C U Recepción U U Control de inventario C C U Diseño de rutas en planta U C U Planificación de fechas U U U C U Planificación de capacidad U U C U U Necesidades de material U U U C Operaciones U U U C Administración de territorio U C U Ventas U U C U Administración de ventas U U Servicio de pedidos U U C Envíos U U U Contabilidad general U U U U Planificación de costos U U C Contabilidad presupuestaria U U U U U Planificación de personal U C Contratación / Formación Personal
U
Compensación U U
Clase de Datos
Proceso
Seguridad y Comercio Electrónico
17
Arquitectura de la información
Planificación
Finanzas
Producto
Fichero Maestro de
Lista de materiales
Proveed
or
Invent. de materias
Invent.
de
prod.
Instalaciones
Trabajo en
curso
Carga de máquinas
Ordenes abiertas
Rutas
de
Cliente
Territorio de ventas
Pedido
Costo
Empleado
Planificación del negocio Dirección
Análisis de la organización Revisión y control Planificación financiera Adquisición de capital Investigación Cálculo
de Necesi-dades
Previsiones Diseño y desarrollo Mantent. De especif. De producto Compras
Fabricación
Recepción Control de inventario Diseño de rutas en planta Planificación de fechas Planificación de capacidad Necesidades de material Operaciones Administración de territorio
Ventas
Ventas Administración de ventas Servicio de pedidos Envíos Contabilidad general Planificación de costos Contabilidad presupuestaria Planificación de personal Contratación / Formación Personal Compensación Administración
Personal
Clase de Datos
Proceso
Seguridad y Comercio Electrónico
18
1.3. Inventario de estructuras informáticas y de seguridad.
Tal y como se ha expuesto en el apartado anterior parece inviable que una
empresa desarrolle su actividad habitual sin sus sistemas informáticos. Aparecen
incluso estudios que confirman que la empresa, sea cual sea su tipología, sería
incapaz de subsistir en el mercado actual. Un plan de seguridad informático sería
aún más necesario si la empresa estudiada depende más que otras de la
informática.
Lo anterior sólo expone la realidad de que desde la misma dirección deben
venir las normas y reglas para la operativa habitual, y es ya el responsable del
recurso el que con los medios que se le proporcionan quien debe cumplirlas.
Teniendo esto presente es pues la dirección quien ha de establecer los
criterios generales de protección de datos y de la información, definir las políticas y
normas de seguridad, así como determinar y dar a conocer a todo el personal de la
empresa a los responsables del plan de seguridad y de su gestión, delimitando
claramente el papel de cada uno.
La primera etapa de este proceso debe venir por la definición de los grados
y alcance de uso de la información, utilizando por ejemplo el siguiente modelo que
se propone:
i. Sin clasificar: De uso público teniendo como limitación única la
legalidad y la ética.
ii. Pública restringida: A disposición del personal de la empresa en
cuestión y determinados colaboradores externos.
iii. Uso interno: Al alcance únicamente de la empresa, sin poderse
difundir fuera de ella.
Seguridad y Comercio Electrónico
19
iv. Confidencial: Sólo utilizada por algunas funciones, áreas o
departamentos, por lo que debe utilizarse con un cuidado especial.
v. Confidencial restringido: Es un caso especial de la anterior, en los
que la limitación de uso sólo puede ser ampliada por autorización
expresa escrita y comprometida firmada de no divulgación.
vi. Confidencial registrado: El caso más limitado, pues la autorización
es individual y de almacenamiento controlado sin permitirse copia
alguna.
Una clasificación como la presentada y una normativa reguladora es
fundamental para la empresa, evitando eso sí una repercusión negativa por exceso
de niveles. La solución para determinar esto pasa por realizar un análisis de la
información de la empresa, intentando ser detallado y exhaustivo en lo relativo al
impacto sobre la marcha del negocio.
Sin embargo en las empresas que carecen de política de seguridad o
planificación alguna, puede ser realmente problemático concienciar al personal de
lo anterior, y éste precisamente aún hoy sigue siendo un problema en muchas
empresas de España.
A continuación se muestra una figura con las empresas que han actualizado
sus servicios de seguridad en España, según los últimos datos del INE (Enero de
2007):
Seguridad y Comercio Electrónico
20
El 82,38% de las empresas españolas con acceso a Internet de más de 10
empleados han actualizado sus sistemas de seguridad en los últimos tres meses
(Octubre-Enero 2007).
Las empresas españolas con acceso a Internet son conscientes, en su gran
mayoría, de la necesidad de tener implantado algún mecanismo de seguridad que
les permita salvaguardar los datos, el acceso a sus sistemas y tener seguridad sobre
las transacciones que se realizan internamente y hacia el exterior a través de
Internet. En este sentido, no sólo es necesario que las empresas instalen
mecanismos de seguridad, sino que los actualicen con regularidad, dada la rapidez
con las que evolucionan las nuevas modalidades de ataques contra la seguridad a
través de la Red.
Es necesario un cambio de mentalidad, pues un plan de seguridad es
fundamental en otras situaciones distintas a catástrofes totales o parciales, ya que
consiste en:
� Integridad del sistema informático y los datos que contiene.
Autorización para manipular los mismos, para evitar resultados no
Seguridad y Comercio Electrónico
21
previstos. Ésta es la característica más relacionada a calidad, pues
indica que se ajusta a las necesidades de cada función autorizada.
� Disponibilidad de los recursos del sistema, previa autorización de
los mismos.
� Confidencialidad del uso a los mismos, autorizado y limitado en el
tiempo.
La siguiente figura muestra las empresas con Internet que usan servicios de
seguridad a nivel interno.
Destaca la implantación del software antivirus, el 97% de las empresas con
acceso a Internet se decantan por esta medida de protección. Le siguen la
implantación de cortafuegos y la realización de backup con un 71% y un 62%
respectivamente.
Seguridad y Comercio Electrónico
22
En sentido contrario, la encriptación con un 7,79% y la firma digital con un
8,66% son los métodos menos utilizados.
Cabe destacar el descenso en la utilización de password o login que ha
pasado de un 38,74% en enero de 2006 a un 35,65% en enero 2007.
A la conclusión que se debe llegar a la vista de lo expuesto en este apartado
del proyecto, es que toda esta responsabilidad no debe recaer únicamente sobre
una persona. Es común que la clasificación de la información, tal y como se ha
comentado, permita identificar incluso al responsable idóneo de la misma, pues
puede coincidir con la responsabilidad del acceso a dicha información. Este
responsable es quien debe establecer delimitaciones en las fechas de clasificación
de la información que tiene asignada, así como de comunicárselo al responsable
informático, personal de la empresa o usuarios potenciales.
Teniendo esto en cuenta parece que se debe avanzar más en cuanto a la
delimitación de funciones y responsabilidades.
Por otro lado, si ahora se analiza el número de intrusiones en empresas, es
bastante alarmante el dato del porcentaje de mal uso de la información atribuible al
personal de la propia empresa. Algunos ejemplos son:
• Introducción incorrecta de datos en conexiones con agencias y
sucursales.
• Compras de material informático sin garantía.
• Insatisfacción del personal por inestabilidad en el empleo.
• Falta de motivación entre directivos, con acceso incluso a
información confidencial, en momentos de posibles cambios de
empresa.
Seguridad y Comercio Electrónico
23
Por lo expuesto hace unos años se creó un marco legal que fuera de
obligado cumplimiento para todas las empresas, con el fin de regular información
de copias, recuperación de sistemas, etc.
Observando los últimos datos del INE, parece que aunque se intenta sujetar
este problema, el porcentaje sigue siendo significativo, con una tendencia al alza
cuando aumenta el tamaño de la empresa:
En enero de 2007 se aprecia un sensible descenso de las empresas con acceso
a Internet que tuvieron algún problema de seguridad en los últimos 12 meses,
pasando del 19,79% en enero de 2006 al 15,92% en enero de 2007.
Las grandes empresas son las que tienen más problemas de seguridad, el
22,93% de éstas declaran haber tenido problemas, frente al 17,22% de las empresas
de 50 a 249 o el 15,55% de las empresas de 10 a 49 empleados.
En relación a las empresas con menos de 10 empleados se observa como el
problema de la seguridad tiene la misma importancia que para las grandes
empresas, ya que el 15,41% de las mismas han tenido algún problema de seguridad
en los últimos doce meses.
Seguridad y Comercio Electrónico
24
Si por el contrario ahora se analizan los tipos de problemas según el INE, se
obtienen los siguientes datos:
El principal problema declarado por las empresas es el ataque de virus
informáticos. En esta línea, se puede destacar que el problema mayor son los
ataques de virus informáticos por los cuales se ven afectadas el 14.91% de las
empresas dentro de los últimos doce meses. De ahí la importancia de tener, en
primer lugar, un sistema de protección antivirus instalado en los sistemas de la
empresa y, en segundo lugar, mantener este sistema de seguridad
permanentemente actualizado.
El siguiente paso parece ser intentar analizar las medidas para evitar estas
situaciones, que aunque no es motivo de este proyecto, es fundamental para la
dirección definir el alcance del plan de seguridad con el fin de identificar hechos,
circunstancias, acciones y personas que puedan afectar a la propia información en
todos sus grados. La dirección debe ser consciente del nivel de garantía de
seguridad, del coste de la solución que permita alcanzar ese nivel y del riesgo que
conlleve con el fin de tomar las medidas pertinentes sean cuales sean.
Seguridad y Comercio Electrónico
25
22
MMééttooddooss ddee iinntteeggrraacciióónn yy sseegguurriiddaadd
Seguridad y Comercio Electrónico
26
2. Métodos de integración y seguridad
2.1. Requerimientos del plan de contingencias y recuperación.
Desde los inicios de los sistemas de información se comprendió que las
contingencias forman parte inherente de los mismos. Las amenazas a la
información pueden provenir de muchas fuentes, tanto de origen natural
(terremotos, tormentas, etc.), de origen humano (retaliaciones, celos profesionales,
competencia, huelga, problemas laborales, entre otros), como de origen técnico
(fallos del hardware, del software, con el suministro de energía, etc.). Y es casi
siempre una situación no prevista la que regularmente provoca una crisis y las
consecuencias de la misma, según su impacto y extensión, pueden ser catastróficas
para los intereses de cualquier organización.
Los fallos técnicos y humanos han hecho recapacitar a las organizaciones
sobre la necesidad de utilizar herramientas que le permitan garantizar una rápida
vuelta a la normalidad ante la presencia de cualquier eventualidad, por lo tanto, el
hecho de diseñar y preparar un plan de contingencias no implica un
reconocimiento de la ineficiencia en la gestión de la empresa, sino todo lo
contrario, los mecanismos de seguridad de la información buscan proteger a la
información de las diversas amenazas a las que se ve expuesta y supone un
importante avance a la hora de superar todas aquellas adversidades que pueden
provocar importantes pérdidas, no solo materiales sino aquellas derivadas de la
paralización del negocio durante un período más o menos prolongado. Todo esto
conlleva a que la función de definir los planes a seguir en cuestión de seguridad se
conviertan en una tarea realmente compleja.
Seguridad y Comercio Electrónico
27
Los objetivos de todo plan de contingencias y recuperación son:
• Reanudar con la mayor brevedad posible las funciones empresariales
más críticas, con el fin de minimizar el impacto de manera que la
correcta recuperación de los sistemas y procesos quede garantizada y se
conserven los objetivos estratégicos de la empresa.
• Evaluar los riesgos así como los costes de los procedimientos de
contingencia requeridos cuando se presenta una interrupción de las
operaciones, de forma que sólo se inviertan los recursos necesarios.
• Optimizar los esfuerzos y recursos necesarios para atender cualquier
contingencia de manera oportuna y eficiente, definiendo las personas
responsables de las actividades a desarrollar antes y durante la
emergencia.
Se puede decir que el plan de contingencias y recuperación consiste en la
identificación de aquellos sistemas de información y recursos informáticos
aplicados que son susceptibles de deterioro, violación o pérdida y que pueden
ocasionar graves trastornos para la vida normal de la organización, con el
propósito de estructurar y ejecutar aquellos procedimientos y asignar
responsabilidades que salvaguarden la información y permitan su recuperación,
garantizando la confidencialidad, integridad y disponibilidad de ésta en el menor
tiempo posible y a unos costes razonables.
El plan de contingencia debe cubrir todos los aspectos que se van a adoptar
tras una interrupción, lo que implica suministrar el servicio alternativo y para
lograrlo no solo se deben revisar las operaciones cotidianas, sino que también debe
incluirse el análisis de los principales distribuidores, clientes, negocios y socios, así
como la infraestructura en riesgo. Esto incluye cubrir los siguientes tópicos:
hardware, software, documentación, recursos humanos y soporte logístico.
Seguridad y Comercio Electrónico
28
Además, debe ser lo más detallado posible y fácil de comprender. Los conceptos
básicos son los siguientes:
• Análisis y valoración de riesgos.
• Jerarquización de las aplicaciones.
• Establecimientos de requerimientos de recuperación.
• Ejecución.
• Pruebas.
• Documentación.
• Difusión y mantenimiento.
2.1.1. Análisis y valoración de riesgos.
El proyecto comienza con el análisis del impacto en la organización.
Durante esta etapa se identifican los procesos críticos o esenciales y sus
repercusiones en caso de no estar en funcionamiento. El primer componente del
plan de contingencia debe ser una descripción del servicio y el riesgo para ese
servicio, igualmente se debe determinar el coste que representa para la
organización el experimentar un desastre que afecte a la actividad empresarial. Se
debe evaluar el nivel de riesgo de la información para hacer:
• Un adecuado estudio coste/beneficio entre el coste por pérdida de
información y el coste de un sistema de seguridad.
• Clasificar la instalación en términos de riesgo (alto, mediano, bajo) e
identificar las aplicaciones que representen mayor riesgo.
Seguridad y Comercio Electrónico
29
• Cuantificar el impacto en el caso de suspensión del servicio.
• Determinar la información que pueda representar cuantiosas
pérdidas para la organización o bien que pueda ocasionar un gran
efecto en la toma de decisiones.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el
motivo que la originó y el daño producido mediante la evaluación y análisis del
problema. En este análisis se revisarán las fortalezas, oportunidades, debilidades y
amenazas, lo que permitirá recuperar en el menor tiempo posible el proceso
perdido.
2.1.2. Jerarquización de las aplicaciones.
Es primordial definir anticipadamente cuales son las aplicaciones
primordiales para la organización. Para la determinación de las aplicaciones
prioritarias, el plan debe estar asesorado y respaldado por la dirección, de tal
forma que permita minimizar las diferencias entre los distintos departamentos y
divisiones.
El plan debe incluir una lista de los sistemas, aplicaciones y prioridades.
Igualmente debe identificar aquellos elementos o procedimientos informáticos
como el hardware, software básico de telecomunicaciones y el software de
aplicación, que puedan ser críticos ante cualquier eventualidad o desastre y
jerarquizarlos por orden de importancia dentro de la organización. También se
deben incluir en esta categoría los problemas asociados por la carencia de fuentes
de energía, utilización indebida de medios magnéticos de resguardo o back up o
cualquier otro daño de origen físico que pudiera provocar la pérdida masiva de
información.
Seguridad y Comercio Electrónico
30
2.1.3. Establecimientos de requerimientos de recuperación.
En esta etapa se procede a determinar lo que se debe hacer para lograr una
óptima solución, especificando las funciones con base en el estado actual de la
organización. De esta forma es necesario adelantar las siguientes actividades:
profundizar y ampliar la definición del problema, analizar las distintas áreas
implicadas, documentos utilizados, esquema organizacional y funcional, las
comunicaciones y sus flujos, el sistema de control y evaluación, formulación de las
medidas de seguridad necesarias dependiendo del nivel de seguridad requerido,
justificación del costo de implantar las medidas de seguridad, análisis y evaluación
del plan actual, determinar los recursos humanos, técnicos y económicos
necesarios para desarrollar el plan y definir un tiempo prudente y viable para
lograr que el sistema esté nuevamente en operación.
2.1.4. Ejecución.
Una vez finalizado el plan, es conveniente elaborar un informe final con los
resultados de su ejecución cuyas conclusiones pueden servir para mejorar al
mismo ante futuras eventualidades. En esta fase hay que tener muy presente que el
plan no busca resolver la causa del problema, sino asegurar la continuidad de las
tareas críticas de la empresa.
En la elaboración del plan de contingencias deben intervenir los niveles
ejecutivos de la organización, personal técnico de los procesos y usuarios, para así
garantizar su éxito, ya que los recursos necesarios para la puesta en marcha del
plan de contingencia, necesariamente demandan mucho esfuerzo técnico,
económico y organizacional.
Seguridad y Comercio Electrónico
31
2.1.5. Pruebas.
Es necesario definir las pruebas del plan, el personal y los recursos
necesarios para su realización. Luego se realizan las pruebas pertinentes para
intentar valorar el impacto real de un posible problema dentro de los escenarios
establecidos como posibles. En caso de que los resultados obtenidos difieran de los
esperados, se analiza si el fallo proviene de un problema en el entorno de
ejecución, con lo cual la prueba volverá a realizarse una vez solucionados los
problemas, o si se trata de un error introducido en la fase de conversión; en este
último caso pasará nuevamente a la fase de conversión para la solución de los
problemas detectados. Una correcta documentación ayudará a la hora de realizar
las pruebas. La capacitación del equipo de contingencia y su participación en
pruebas son fundamentales para poner en evidencia posibles carencias del plan.
2.1.6. Documentación.
Esta fase puede implicar un esfuerzo significativo en algunos casos, pero
ayudará a comprender otros aspectos del sistema y puede ser primordial para la
empresa en caso de ocurrir un desastre. Deben incluirse, detalladamente, los
procedimientos que muestren las labores de instalación y recuperación necesarias,
procurando que sean entendibles y fáciles de seguir.
Es importante tener presente que la documentación del plan de
contingencia se debe desarrollar desde el mismo momento que nace, pasando por
todas sus etapas y no dejando esta labor de lado para cuando se concluyan las
pruebas y su difusión.
Seguridad y Comercio Electrónico
32
2.1.7. Difusión y mantenimiento.
Cuando se disponga del plan definitivo ya probado, es necesario hacer su
difusión y capacitación entre las personas encargadas de llevarlo a cargo. El
mantenimiento del plan comienza con una revisión del plan existente y se examina
en su totalidad realizando los cambios en la información que pudo haber
ocasionado una variación en el sistema y realizando los cambios que sean
necesarios.
Como conclusiones se puede observar lo siguiente:
Un plan de contingencias y recuperación es la herramienta que cualquier
empresa debe tener, para desarrollar la habilidad y los medios de sobrevivir y
mantener sus operaciones, en caso de que un evento fuera de su alcance le pudiera
ocasionar una interrupción parcial o total en sus funciones. Las políticas con
respecto a la recuperación de desastres deben de emanar de la máxima autoridad
de la empresa, para garantizar su difusión y estricto cumplimiento.
Deben realizarse pruebas para determinar la eficacia del plan de
contingencia y de los procedimientos de recuperación ante desastres. Las
deficiencias deben resolverse y comprobarse inmediatamente. En un plan de
contingencia, el objetivo consiste en ejecutar varias tareas en el menor tiempo
posible. Cualquier deficiencia en la documentación, capacitación o, incluso, en los
aspectos administrativos, pone en peligro la continuidad del negocio.
La puesta en marcha de los planes a seguir es responsabilidad del
encargado de la seguridad, pero también debe existir un compromiso por parte de
los usuarios del sistema de información, ejecutivos y todas las personas que de
alguna u otra forma ayudan a que el sistema cumpla con los requerimientos para el
Seguridad y Comercio Electrónico
33
que fue diseñado, manteniendo sobre todo la integridad y confidencialidad de la
información.
El plan de contingencias tiene diferentes niveles de complejidad y
flexibilidad según las necesidades y características de los grupos, empresas u
organizaciones. Nunca se contará con los recursos suficientes para estar totalmente
preparados, de ahí que el proceso deba ser paulatino e ir evolucionando según el
contexto.
El cambio es inevitable en la construcción de sistemas basados en
computadoras. Por ello se deben desarrollar mecanismos de evaluación, control e
implementación de modificaciones al sistema ocasionadas por nuevos
requerimientos de los usuarios, por disposiciones internas de la organización para
corregir errores, para aprovechar los nuevos avances tecnológicos, para satisfacer
nuevas necesidades o para mejorar los sistemas en funcionamiento.
Se debe tener una adecuada seguridad orientada a proteger todos los
recursos informáticos, motor de desarrollo y vida de los sistemas de información,
pero no se puede caer en excesos diseñando tantos controles y medidas que
desvirtúen el propio sentido de la seguridad. Por consiguiente, se debe hacer un
análisis de coste/beneficio evaluando las consecuencias que pueda acarrear la
pérdida de información y demás recursos informáticos, así como analizar los
factores que afectan negativamente la productividad de la empresa.
Seguridad y Comercio Electrónico
34
2.2. Análisis de riesgos.
El análisis de riesgos permite evaluar el impacto que podría resultar de la
pérdida de la confidencialidad, integridad o disponibilidad de los sistemas de
información. Una vez realizado el análisis de riesgos se procede a implantar las
medidas de protección necesarias para paliar las posibles catástrofes que
conllevarían las ocurrencias de las posibles amenazas a las que está expuesta la
empresa. Éste método proporciona a los responsables de la organización
informática, la información adecuada sobre la que basar sus decisiones.
A continuación se definen los términos básicos de un análisis de riesgos:
Activo: Componente del sistema al que la organización asigna un valor y
que por tanto necesita protección. Su valor puede quedar muy reducido después
de la ocurrencia de una amenaza. Los activos pueden ser tangibles como por
ejemplo, el personal, edificios, hardware, software, datos, documentación, etc. O
pueden ser intangibles como la imagen, la reputación de la empresa, confianza de
los clientes, etc.
Amenaza: Un evento, persona o idea que presenta un peligro para un
sistema. La ocurrencia o manifestación de una amenaza puede comprometer la
confidencialidad, integridad o disponibilidad de un activo integrante de la
empresa, utilizando las vulnerabilidades del mismo pueden ser accidentales como
los desastres naturales, errores humanos o fallos de equipo o pueden ser
intencionadas como un robo, sabotaje, vandalismo, etc.
Vulnerabilidad: Debilidad de un sistema a través del cual una amenaza
pueda actuar. La vulnerabilidad suele ser debida a la ausencia de medidas de
protección, al mal funcionamiento de las mismas o la cobertura parcial que dichas
medidas proporcionan frente a la amenaza. La presencia de una vulnerabilidad en
sí, no causa daño, debe de existir una amenaza para aprovecharse de ella. Si tal
Seguridad y Comercio Electrónico
35
amenaza no existe, la vulnerabilidad no requiere la implantación de un sistema de
protección. Un ejemplo de vulnerabilidad puede ser tener un inadecuado sistema
anti-incendios o un sistema inadecuado de control de accesos.
Impacto: La consecuencia indeseable de la ocurrencia de una amenaza que
afecta a los activos del sistema y resulta una pérdida para la organización. El
impacto podría ser uno o más de los siguientes:
• Indisponibilidad o destrucción del servicio o los activos.
• Modificación no autorizada del software o de los datos.
• Revelación no autorizada de datos o de software.
Riesgo: Una medida del grado de exposición al que un sistema, y por tanto
una organización está sujeta. El riesgo es una función de:
• La probabilidad de la ocurrencia o manifestación de una amenaza.
• El grado de vulnerabilidad del sistema que pueda ser aprovechado por una
amenaza para causar un impacto no deseado.
• El nivel de efecto adverso que la ocurrencia de la amenaza tendría en la
organización.
Salvaguarda: La salvaguarda es una medida de protección que mejora la
seguridad del sistema y protegen los activos de las amenazas mediante:
• La transferencia del riesgo.
• La reducción de la probabilidad de manifestación de una amenaza.
• La reducción del nivel de vulnerabilidad del que podría aprovecharse una
amenaza.
• La reducción del impacto de la manifestación de una amenaza.
• La detección de la manifestación de una amenaza.
• La recuperación del impacto de la manifestación de una amenaza.
Seguridad y Comercio Electrónico
36
Se ha realizado un esquema gráfico con tal de comprender mejor estos
conceptos:
Como se ha expuesto en apartados anteriores queda más que justificada la
importancia de la realización de un análisis de riesgos como primer paso a la hora
de iniciar un plan de seguridad en una empresa, intentando que éste sea lo más
profundo y amplio posible, incluso en temas físicos y comenzando por la ubicación
y construcción del Centro de Proceso de Datos (CPD). Bajo este acrónimo se conoce
al lugar donde se encuentran todos los recursos necesarios para el procesamiento
de información de una organización. En este momento el autor se refiere por
recursos a las dependencias, equipos y redes de comunicaciones.
El CPD suele ser de gran tamaño e incluso puede ser un edificio
independiente, usado para mantener en él una gran cantidad de equipamiento
electrónico. Suelen ser creados e incluso mantenidos por grandes organizaciones
con objeto de tener acceso a la información necesaria para sus operaciones. En la
Seguridad y Comercio Electrónico
37
actualidad prácticamente la totalidad de las compañías medianas o grandes tienen
algún tipo de CPD, pudiendo tener varios.
Es importante la creación de un CPD y tiene cabida en este proyecto porque
algunos de sus objetivos son destacar la continuidad del servicio a clientes,
empleados, proveedores, etc. Así como garantizar la protección física a los equipos
implicados y bases de datos que puedan contener información crítica.
Por otro lado, la clasificación más usual de los riesgos es en tres grupos para
facilitar la valoración, tal y como se expone a continuación:
� Naturales: Incendios, cortes de suministro eléctrico,
comunicaciones…
� Inducidos: Sabotaje, huelgas, robos, fraudes.
� Informáticos: Fallos tanto de hardware como de software básico,
errores técnicos o de usuarios, ausencia de responsables.
Esta clasificación, según la tipología del riesgo en cuestión, tiene como fin
expresar la viabilidad del plan de seguridad, su coste y riesgo total que la dirección
debe asumir. La optimización de la relación entre las pérdidas originadas por la
contingencia y el coste por implantación de la solución fijan el máximo coste
admisible y el máximo tiempo de contingencia, tal y como se muestra en la
siguiente figura:
Seguridad y Comercio Electrónico
38
Seguridad y Comercio Electrónico
39
2.3. Estudio de vulnerabilidades.
Las vulnerabilidades de seguridad informática han existido siempre. A
medida que se hacían conocidas diferentes vulnerabilidades, también se
publicaban herramientas de seguridad y parches con el objetivo de ayudar a los
administradores. Actualmente, Internet representa una gran fuente de información
donde existe mucha más cantidad de referencias sobre cómo ingresar a sistemas
que sobre cómo protegerlos. La seguridad de la red comprende tanto la protección
física de los dispositivos como también la integridad, confidencialidad y
autenticidad de las transmisiones de datos que circulen por ésta.
La siguiente lista resume los puntos que comprende la seguridad de una
red:
• La información debe estar protegida de una posible destrucción o
modificación accidental o intencional (integridad).
• Los datos no deben estar disponibles a los accesos no autorizados
(privacidad).
• Las transacciones no deben ser modificadas en su trayecto y se debe
asegurar que quien las generó es quien dice ser (integridad, autenticidad
y no repudio).
• Se debe mantener la integridad física de los dispositivos de red como
servidores, switches, etc.
• El uso de la red no debe ser con fines que no estén contemplados por las
políticas de utilización.
• La red debe estar disponible siempre y con la eficiencia necesaria, aún
ante fallos inesperados (disponibilidad).
Seguridad y Comercio Electrónico
40
A través de un análisis de vulnerabilidades, un analista en seguridad puede
examinar la robustez y seguridad de cada uno de los sistemas y dispositivos ante
ataques y obtener la información necesaria para analizar cuáles son las
contramedidas que se pueden aplicar con el fin de minimizar el impacto de un
ataque. Este análisis debe realizarse cuando ocurran cambios en el diseño de la red
o los sistemas, cuando se realicen actualizaciones de los dispositivos o
periódicamente.
Hay distintos métodos para realizar un análisis de vulnerabilidades, según
la finalidad que se persiga.
Caja Negra: Al analista se le proporciona sólo la información de acceso a la
red o al sistema (podría ser sólo una dirección IP). A partir de esta información, el
analista debe obtener toda la información posible.
Caja Blanca: El analista de seguridad tiene una visión total de la red a
analizar, así como acceso a todos los equipos como superusuario. Este tipo de
análisis tiene la ventaja de ser más completo y exhaustivo.
Test de Penetración: Durante el test de penetración el analista de seguridad
simula ser un atacante. Desde esta posición, se realizan varios intentos de ataques a
la red, buscando debilidades y vulnerabilidades:
• Estudio de la red externa.
• Análisis de servicios disponibles.
• Estudio de debilidades.
• Análisis de vulnerabilidades en dispositivos de red.
• Análisis de vulnerabilidades de implementaciones y configuraciones.
• Denegación de servicio.
Seguridad y Comercio Electrónico
41
El resultado del test de penetración mostrará una idea general del estado de
la seguridad de los sistemas frente a los ataques. Si se encontraran una o más
vulnerabilidades, no se realiza su explotación.
Como conclusión de este paso, se debe obtener un informe que indique las
pruebas de seguridad realizadas en el test, una lista de las vulnerabilidades y
debilidades encontradas con sus correspondientes contramedidas y las
recomendaciones a seguir en cuestión de seguridad.
Las vulnerabilidades provienen de diferentes ámbitos y se pueden clasificar
en:
• Vulnerabilidades de implementación.
• Vulnerabilidades de configuración.
• Vulnerabilidades de dispositivo.
• Vulnerabilidades de protocolo.
• Vulnerabilidades de aplicación
Existen diversas herramientas que se pueden utilizar para realizar un análisis de vulnerabilidades: escaneo de puertos, ingeniería social, trashing, etc.
Los pasos a seguir para llevar a cabo un análisis de vulnerabilidades
comprenden:
1. Recopilación de información.
Un análisis de vulnerabilidades comienza con la obtención de
información del objetivo. Si se ha seleccionado realizar un test por caja
negra, el proceso de análisis será muy similar al proceso seguido por un
atacante. Si utiliza un método de caja blanca, éste es el momento para
Seguridad y Comercio Electrónico
42
recopilar la información de acceso a servicios, hosts y dispositivos,
información de direccionamiento, y todo lo que considere necesario.
2. Test Interior.
El Test Interior trata de demostrar hasta donde se puede llegar con los
privilegios de un usuario típico dentro de la organización. Para realizarlo se
requiere que la organización provea una computadora típica, un nombre de
usuario y una clave de acceso de un usuario común.
Se compone de numerosas pruebas, algunas de las cuales son:
• Revisión de Privacidad.
• Testeo de Aplicaciones de Internet.
• Testeo de Sistema de Detección de Intrusos.
• Testeo de Medidas de Contingencia.
• Descifrado de Contraseñas.
• Testeo de Denegación de Servicios.
• Evaluación de Políticas de Seguridad.
3. Test Exterior.
El principal objetivo del Test Exterior es acceder en forma remota a
los servidores de la organización y obtener privilegios o permisos que no
deberían estar disponibles. El Test Exterior puede comenzar con técnicas de
Ingeniería Social, para obtener información que luego se utilizará en el
intento de acceso.
Seguridad y Comercio Electrónico
43
Los pasos del estudio previo de la organización deben incluir:
1. Revisión de la Inteligencia Competitiva: Información recolectada
a partir de la presencia en Internet de la organización.
2. Revisión de Privacidad: Es el punto de vista legal y ético del
almacenamiento, transmisión y control de los datos basados en la
privacidad del cliente.
3. Testeo de Solicitud: Es un método de obtener privilegios de
acceso a una organización y sus activos preguntando al personal
de entrada, usando las comunicaciones como un teléfono, e-mail,
chat, boletines, etc. desde una posición privilegiada fraudulenta.
4. Testeo de Sugerencia Dirigida: En este método se intenta lograr
que un integrante de la organización ingrese a un sitio o reciba
correo electrónico. En este sitio o correo se agregan herramientas
que luego serán utilizadas en el intento de acceso.
4. Documentación e informe.
Como finalización del análisis de vulnerabilidades se debe presentar
un informe donde se detalle cada uno de los tests realizados y los
resultados. En este informe se debe especificar las vulnerabilidades
probadas y detectadas, los servicios y dispositivos vulnerables y el nivel de
riesgo que involucra cada vulnerabilidad encontrada en cada servicio y
dispositivo.
Seguridad y Comercio Electrónico
44
2.4. La importancia de la seguridad en el comercio electrónico.
Existen diferentes métodos de procesar transacciones en una compra
(protocolos que lo hacen de manera segura). En este apartado se hará referencia en
exclusividad al protocolo SSL, por tratarse de un protocolo muy extendido en la
actualidad.
La seguridad de un sitio electrónico tiene que ser confiable para que el
mismo tenga éxito. El índice de personas que compran en línea ha crecido
extraordinariamente en los últimos años y se debe principalmente a la
confiabilidad que aportan hoy día los sitios de comercio electrónico.
La seguridad en un ambiente de comercio electrónico involucra las
siguientes partes:
• Privacidad: que las transacciones no sean visualizadas por nadie.
• Integridad: que los datos o transacciones como números de tarjeta de
créditos o pedidos no sean alterados.
• No Repudio: posibilita que el que generó la transacción se haga
responsable de ella, y brinda la posibilidad de que este no la niegue.
• Autenticación: que los que intervienen en la transacción sean leales y
válidas.
• Facilidad: que las partes que intervienen en la transacción no encuentren
dificultad al hacer la transacción.
Seguridad y Comercio Electrónico
45
2.4.1. Herramientas de protección en el comercio electrónico.
Las estructuras de seguridad de un sitio de e-Commerce no varían con las
de un sitio tradicional. La principal diferencia radica en el hecho de que se
implemente el protocolo SSL en la mayoría de los casos para tener un canal seguro
en las transacciones.
2.4.1.1. Firewalls (Corta Fuegos)
Un firewall es un elemento de hardware o software utilizado en una red de
computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas
según las políticas de red que haya definido la organización responsable de la red.
La ubicación habitual de un cortafuegos es el punto de conexión de la red interna
de la organización con la red exterior, que normalmente es Internet. De este modo
se protege la red interna de intentos de acceso no autorizados desde Internet, que
puedan aprovechar vulnerabilidades de los sistemas de la red interna.
También es frecuente conectar al cortafuegos una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organización que
deben permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado añade protección a una
instalación informática, pero en ningún caso debe considerarse como suficiente. La
Seguridad informática abarca más ámbitos y más niveles de trabajo y protección.
Las ventajas de un cortafuegos son cuantiosas aunque las más significativas
son:
• Protege de intrusiones. El acceso a ciertos segmentos de la red de una
organización, sólo se permite desde máquinas autorizadas de otros
segmentos de la organización o de Internet.
Seguridad y Comercio Electrónico
46
• Protección de información privada. Permite definir distintos niveles de
acceso a la información de manera que en una organización cada grupo de
usuarios definido tendrá acceso sólo a los servicios y la información que le
son estrictamente necesarios.
• Optimización de acceso. Identifica los elementos de la red internos y
optimiza que la comunicación entre ellos sea más directa. Esto ayuda a
reconfigurar los parámetros de seguridad.
Pero no todo son ventajas en los firewalls y son necesarias por ello otras
herramientas de seguridad que defiendan la información y servicio de la
organización. Las limitaciones más relevantes son:
• Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no
pase a través de él.
• El cortafuegos no puede proteger de las amenazas a las que está sometido
por ataques internos o usuarios negligentes. El cortafuegos no puede
prohibir a espías corporativos copiar datos sensibles en medios físicos de
almacenamiento (diskettes, memorias, etc.) y sustraigan éstas del edificio.
• El cortafuegos no puede proteger contra los ataques de Ingeniería social
(explicados anteriormente en el tema 2.3 de estudio de vulnerabilidades).
• El cortafuegos no puede proteger contra los ataques posibles a la red interna
por virus informáticos a través de archivos y software. La solución real está
en que la organización debe ser consciente en instalar software antivirus en
cada máquina para protegerse de los virus que llegan por cualquier medio
de almacenamiento u otra fuente.
• El cortafuegos no protege de los fallos de seguridad de los servicios y
protocolos de los cuales se permita el tráfico. Hay que configurar
Seguridad y Comercio Electrónico
47
correctamente y cuidar la seguridad de los servicios que se publiquen a
Internet.
En la siguiente imagen se muestra un ejemplo de la ubicación de un firewall
y una zona des-militarizada en una red común.
2.4.1.2. Protocolo SSL
Secure Sockets Layer (Protocolo de Capa de Conexión Segura) es un
protocolo criptográfico que proporciona comunicaciones seguras por una red,
comúnmente Internet. SSL se ejecuta en una capa entre los protocolos de aplicación
como HTTP, SMTP, NNTP y sobre el protocolo de transporte TCP, que forma parte
de la familia de protocolos TCP/IP. Aunque pueda proporcionar seguridad a
cualquier protocolo que use conexiones de confianza (tal como TCP), se usa en la
mayoría de los casos junto a HTTP para formar HTTPS. HTTPS es usado para
asegurar páginas World Wide Web para aplicaciones de comercio electrónico,
utilizando certificados de clave pública para verificar la identidad de los extremos.
Seguridad y Comercio Electrónico
48
Este se compone de dos capas y funciona de la siguiente manera:
• La primera capa se encarga de encapsular los protocolos de nivel más
alto.
• La segunda capa que se llama SSL Handshake Protocol se encarga de la
negociación de los algoritmos que van a cifrar y también la autenticación
entre el cliente y el servidor.
Cuando se realiza una conexión inicial el cliente lo primero que hace es
enviar una información con todos los sistemas de encriptación que soporta (el
primero de la lista es el que prefiere utilizar el cliente). Entonces el servidor
responde con una clave certificada e información sobre los sistemas de
encriptación que este soporta.
Entonces el cliente seleccionará un sistema de encriptación, tratará de
descifrar el mensaje y obtendrá la clave pública del servidor.
Aparte de SSL existen otros protocolos como el SET creado por Mastercard
y Visa junto con líderes de la informática como Microsoft, Verisign y otras
empresas más. Junto con el CyberCash son soluciones creadas para la venta por
Internet.
2.4.1.3. Certificados.
Un Certificado Digital es un documento digital mediante el cual un tercero
confiable (una autoridad de certificación) garantiza la vinculación entre la
identidad de un sujeto o entidad y su clave pública.
Un certificado emitido por una entidad de certificación autorizada, además
de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:
Seguridad y Comercio Electrónico
49
• Nombre, dirección y domicilio del suscriptor.
• Identificación del suscriptor nombrado en el certificado.
• El nombre, la dirección y el lugar donde realiza actividades la entidad de
certificación.
• La clave pública del usuario.
• La metodología para verificar la firma digital del suscriptor impuesta en el
mensaje de datos.
• El número de serie del certificado.
• Fecha de emisión y expiración del certificado.
2.4.1.4. Infraestructura de Clave Pública (PKI).
Una PKI es una fusión de soluciones dadas en hardware, software y
políticas de seguridad, y está basada en criptografía de clave pública, que permite
la gestión de certificados. Esta infraestructura provee de confidencialidad
(Privacidad), integridad de los mensajes (no modificaciones en el trayecto),
autenticación, no repudio (no poder denegar una acción en el mensaje emitido por
un remitente) y control de acceso. Sus aplicaciones más comunes son para la
comunicación entre servidores, para correo electrónico, EDI o transacciones con
tarjetas de crédito/débito. Es por esta última aplicación por la que se ha
profundizado en esta herramienta. El gran papel que desempeña dentro del
comercio electrónico la hace una herramienta clave dentro del ámbito de este
proyecto.
Seguridad y Comercio Electrónico
50
Partes de las que se compone:
• Política de Seguridad: establece la manera en que una organización
ejecutará procesos de gestión de claves públicas y privadas.
• Autoridad Certificante (CA): del inglés Certificate Authority, se encarga de
generar los Certificados Digitales, usando una clave privada para firmarlos.
Otras funciones de una CA son:
o Emitir Certificados
o Revocar certificados y crear CRLs (Certificate Revocation
List) que son listas de certificados ya no válidos.
• Autoridad de Registro (RA): es la entidad encargada de gestionar altas y
bajas de las peticiones de certificación como así también de la revocación.
Entonces un usuario que desea solicitar un certificado de clave pública se
debe dirigir a una RA autorizada por una CA.
• Autoridad de Validación (VA): proporciona información sobre el estado de
los certificados. Realiza las consultas de todas las CRLs necesarias para
saber el estado del certificado que se le ha pasado en una petición de
validación.
Seguridad y Comercio Electrónico
51
Esta imagen resumen representa a una infraestructura de clave pública
mediante el uso de sesión con el protocolo SSL y certificados.
El Número 3 es el CA que se encarga de:
• Emitir el Certificado
• Validar la autenticidad del Emisor y Receptor (Punto
1 y 2)
• Mantener una base de datos con los certificados válidos
y los removidos.
Se trata pues, de un gran método de seguridad, ya que por cada conexión
que se hace el servidor envía una clave diferente. Entonces, si alguien consigue
descifrar la clave, lo único que puede hacer es cerrar la conexión que corresponde a
esa clave.
Seguridad y Comercio Electrónico
52
2.4.1.5. Ejemplo real
Para comprender mejor los pasos que sigue una infraestructura de clave
pública, se desarrollará un ejemplo práctico sobre comercio electrónico. En este
caso será la compra de un libro de amazon.com.
Se muestra a continuación http://www.amazon.com.
Se trata de un sitio común: la barra de estado del Internet
Explorer indica que es en un sitio de Zona Internet y la dirección comienza con
http://
Seguridad y Comercio Electrónico
53
Ahora la siguiente pantalla muestra el caso de cuando se quiere hacer el
Check Out o Pago de los libros comprados.
Ahora un pequeño candado indica que se trata de un servidor
seguro, y que se pueden incluir los datos personales. Otro indicador es la dirección
de web, que ahora comienza con https://…. y no con http://….
Este es un modo de comprobar si es seguro introducir los datos personales.
En caso de dudas, siempre se puede hacer doble clic sobre el candado y se
obtendrá información sobre el certificado (en este caso del servidor amazon.com).
Seguridad y Comercio Electrónico
54
Esta es la información básica del certificado, que confirma
si se está conectado al servidor correcto (amazon.com). También muestra por qué
autoridad certificadora (CA) fue emitido el certificado. Esta segunda empresa tiene
que ser distinta de la que figure como propietaria del certificado. Se trata de una
Tercera Parte Confiable (TTP – Trusted Third Party), que garantiza la verificación
del certificado.
Haciendo clic en la pestaña Detalles se puede obtener más información
técnica sobre el certificado, como el algoritmo utilizado, la versión de SSL, el
algoritmo de identificación y la fecha de validez que posee, entre otros.
Seguridad y Comercio Electrónico
55
Seguridad y Comercio Electrónico
56
Ahora que se tiene claro el funcionamiento del e-Commerce, se va a mostrar
una figura identificando los tres protagonistas principales en cualquier transacción
habitual de compra en Internet:
• Punto 1: Usuario que se conecta con el sitio Punto 2 (Amazon.com en
este ejemplo)
• Punto 2: Muestra los productos a comprar. Se accede a un sitio seguro.
Entonces el Punto 2 contacta con el Punto3, el cual envía la dirección del
certificado para el Punto 2, donde informa si es válido o no.
Utilizar SSL tiene beneficios grandes, ya que es un estándar que no hace
falta instalar ningún software adicional de lado del cliente ni del servidor, ya que
la mayoría de los servidores web y navegadores ya poseen soporte para SSL.
Seguridad y Comercio Electrónico
57
También da una prueba de que un servidor web es quien dice ser, gracias a
la participación de Terceras Partes Confiables.
Debido a que el 95% de los pagos de Internet se realizan utilizando SSL, hoy
en día se ha convertido en un protocolo de facto para todo tipo de conexiones
seguras.
Seguridad y Comercio Electrónico
58
2.5. Responsabilidades del Ingeniero Informático en el cumplimiento
de la LOPD.
Para abordar este punto, se estima oportuno en primer lugar tratar el tema
de la LOPD como una necesidad o como una obligación.
Parece que es necesario que una ley proteja los datos personales de cada
individuo, porque el uso de los datos personales en manos de terceros hace que
sean sensibles a poder ser utilizados de forma indiscriminada dependiendo de
quién los manipule. Y es una obligación porque la ley obliga a las empresas
tomadoras de datos personales a utilizar de forma correcta y con autorización
dichos datos. Es decir, que cuando una persona da sus datos personales a cualquier
otra persona, empresa, profesional, o entidad, tienen la obligación de extenderle
una autorización suya por escrito y firmada por ambas partes, explicándole para
qué van a utilizar sus datos, con el consabido derecho de limitarlo a un solo fin y
poder revocar éste cuando usted estime oportuno.
Además, se ha de explicar de qué se trata y dónde van a depositarse, si fuera
preciso, tanto sea en un despacho de abogados, asesores fiscales, bancos, empresas
comerciales, etc.
En cualquier empresa o entidad existen personas que manipulan datos
continuamente. El problema radica en que hay personas que podrían utilizar los
datos personales para muchos fines no deseados y trasladar dichos datos de
empresas a empresas, incluso en alguna ocasión cederlos a terceros. Por ello, la Ley
Orgánica de Protección de Datos tiene regulado este particular, haciendo firmar un
compromiso de confidencialidad a estas personas y empresas para que esto no
ocurra. En caso de suceder, la Agencia Española de Protección de Datos impone
sanciones muy importantes dependiendo del tipo de denuncia formulada por la
persona que reclama su derecho.
Seguridad y Comercio Electrónico
59
Agencia Española de Protección de Datos (AEPD)
La Agencia Española de Protección de Datos (AEPD) es un Ente de Derecho
Público con personalidad jurídica propia y plena capacidad pública y privada, que
actúa con plena independencia de las Administraciones Públicas en el ejercicio de
sus funciones. Suele realizar inspecciones a las empresas auditando los registros de
datos para evitar en la mayor forma posible de este modo que se utilicen los datos
de clientes y proveedores de forma incorrecta, sancionando a aquellas que no han
adecuado los sistemas informáticos, administrativos y burocráticos para realizar el
buen uso de los datos personales. Para el desempeño de este papel se crea el
Registro General de Protección de Datos como órgano integrado en la Agencia de
Protección de Datos, y serán objeto de inscripción los ficheros automatizados de
titularidad privada, las autorizaciones a que se refiere la presente Ley y los datos
relativos a los ficheros que sean necesarios para el ejercicio de los derechos de
información, acceso, rectificación y cancelación.
La AEPD cuenta con una web, http://www.agpd.es, donde ofrece
información pública sobre la protección de datos. Un aspecto importante es que el
registro de los ficheros físicos (papel, informes, listados...) y lógicos (archivos
informáticos y de soportes magnéticos) es gratuito para todas las empresas,
profesionales y entidades que almacenen datos personales. Para ello existen varias
formas de realizarlo.
Una vez que se registren estos datos, la AEPD emite un certificado con un
número de registro único. Luego, a través de una empresa certificada en auditorías
de sistemas, un gabinete consultor especializado en esta materia o bien mediante
una aplicación informática de ayuda que se puede encontrar en el mercado, se
realiza el documento de seguridad, cuyo contenido aún no está estandarizado,
pero debe ajustarse a unas normas básicas de cumplimiento recomendadas por la
AEPD.
Seguridad y Comercio Electrónico
60
En este documento de seguridad se encontrarán las pautas a seguir por las
empresas o entidades que registran sus datos, para conseguir una mejor forma de
asegurar la relación entre los datos de clientes y/o proveedores que se encuentren
almacenados en los sistemas informáticos o ficheros.
Antes de continuar se considera necesario recalcar algunas definiciones que
son expuestas en la LOPD, y que atañen al correcto desempeño de su labor al
responsable de seguridad.
Afectado o interesado: Persona física titular de los datos que sean objeto del
tratamiento a que se refiere la definición de “tratamiento de datos”.
Bloqueo de datos: La identificación y reserva de datos con el fin de impedir su
tratamiento.
Cesión o comunicación de datos: toda revelación de datos realizada a una
persona distinta del interesado. Toda obtención de datos resultante de la consulta
de un fichero, la publicación de los datos contenidos en el fichero, su interconexión
con otros ficheros y la comunicación de datos realizada por una persona distinta de
la afectada.
Consentimiento del interesado: toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen. El tratamiento de los datos de
carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la
ley disponga otra cosa.
Datos de carácter personal: “Cualquier información concerniente a personas
físicas identificadas o identificables”. “Toda información numérica, alfabética,
gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida,
registro, tratamiento o transmisión concerniente a una persona física identificada o
Seguridad y Comercio Electrónico
61
identificable”. Se pueden tratar de forma automatizada los datos de las personas
jurídicas sin tener en consideración la protección que ofrece esta norma.
Encargado del tratamiento: “La persona física o jurídica, autoridad pública,
servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate
datos personales por cuenta del responsable del tratamiento”
Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera
que fuere la forma o modalidad de su creación, almacenamiento, organización y
acceso.
Identificación del afectado: Cualquier dato que permita determinar directa o
indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social
de la persona física afectada.
Procedimiento de disociación: Todo tratamiento de datos personales de modo
que la información que se obtenga no pueda asociarse a persona determinada o
determinable. Suele utilizarse para el tratamiento de estadísticas, la ley indica que
no necesitará el consentimiento del afectado.
Responsable del fichero o tratamiento: Persona física, jurídica de naturaleza
pública o privada, u órgano administrativo que decida sobre la finalidad,
contenido y uso del tratamiento.
Transferencia de datos: El transporte de datos entre sistemas informáticos por
cualquier medio de transmisión, así como el transporte de soportes de datos por
correo o por cualquier otro medio convencional.
Tratamiento de datos: Operaciones y procedimientos técnicos de carácter
automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos
que resulten de comunicaciones, consultas, interconexiones y transferencias.
Seguridad y Comercio Electrónico
62
Definición muy amplia que comprende todas las maneras de tratar datos de forma
automatizada con ordenador. Algunos conceptos nuevos surgen de esta definición:
bloqueo, cancelación y cesión de datos.
Responsable del fichero
La capacidad de tomar decisiones sobre el objeto, utilización y fin del
tratamiento, o sobre el uso que se va a dar a los datos de carácter personal
resultantes del tratamiento o, en su caso si van o no a ser cedidos, definen la figura
del responsable del fichero.
La figura del responsable del fichero adoptará las medidas de índole técnica
y organizativa que garanticen la seguridad de los datos de carácter personal y
eviten su alteración, pérdida, tratamiento o acceso no autorizado. Por otro lado
elaborará e implantará la normativa de seguridad mediante un documento de
obligado cumplimiento para el personal con acceso a los datos automatizados de
carácter personal y a los sistemas de información.
En cuanto a los mínimos para el contenido del documento:
a) Ámbito de aplicación.
b) Medidas, normas, procedimientos, reglas.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros y descripción de los sistemas de información.
e) Procedimiento de incidencias.
Otras de sus funciones son:
• Debe dar a conocer las responsabilidades y normas de seguridad al personal
implicado.
Seguridad y Comercio Electrónico
63
• Relación actualizada de usuarios con acceso a los ficheros y su alcance
(elemento, nivel) y procedimientos y autenticación.
• Conceder, alterar o anular el acceso sobre datos y recursos.
• Autorizar la salida del local del soporte informático que contiene los datos
de carácter personal.
• Verificar la correcta aplicación de los procedimientos (copias cada semana).
• Designar al(os) responsable(s) de seguridad (no delegación).
• Identificar en el documento de seguridad el personal con autorización de
acceso físico a los locales.
• Autorizar por escrito la aplicación de los procedimientos de recuperación de
los datos.
• Gestión de soportes informáticos.
Responsable de Seguridad
En principio, la disposición de la AEPD para incentivar a las empresas a
registrar sus ficheros ha sido libre, para que los departamentos involucrados en las
empresas realicen esta labor de forma sencilla, pero las empresas no llegaban a
entender esta finalidad por falta de información. Para ello, se han realizado
muchas charlas, jornadas, conferencias y cursos de formación orientadas a las
empresas desde las Cámaras de Comercio y entidades empresariales, fundaciones,
asociaciones, etcétera.
Últimamente se ha detectado, según fuentes externas, que hay un gran
número de profesionales dedicados a recopilar datos de las empresas a través de
fuentes públicas y visitarlas para realizar el registro y documentos de seguridad, a
unos precios desorbitados en la mayoría de los casos y en otros demasiado bajos,
además de ofrecer cursos de formación para los empleados de las empresas,
Seguridad y Comercio Electrónico
64
obviando los aspectos técnicos y ciñéndose básicamente a rellenar el cuestionario
de la aplicación informática para realizar el documento de seguridad propuesto.
La mayoría de estos profesionales carecen de formación y certificación
tecnológica suficiente para realizar una consultoría y auditoría de protección de
datos. Desde luego que han encontrado un filón de oro para explotar a los neófitos
y noveles en este particular.
La responsabilidad de un auditor o consultor especializado en esta materia
es, desde el principio hasta el final, incluso requerirle a la empresa auditada a
comparecer ante una inspección de la AEPD si fuera necesario. Un mantenimiento
de un par de cientos de euros anuales sólo sirve para ver sí su empresa está
llevando a cabo los registros necesarios ante la ley, acción que sólo les lleva una
hora como máximo.
El registro en la AEPD de los ficheros, cuando lo realiza un gabinete
consultor o un auditor, lo registra con la firma digital del auditor en nombre de la
empresa que solicita de sus servicios, para lo que la empresa ha firmado
previamente un contrato de protección de datos y confidencialidad.
Son obligaciones del responsable de seguridad:
• Verificar el cumplimiento del Reglamento y los procedimientos cada
dos años, como mínimo.
• Informar sobre los resultados de las auditorías y poner a disposición de
la Agencia de Protección de Datos.
Algunas de las definiciones incluidas en el Reglamento son:
Sistemas de información: conjunto de ficheros automatizados, programas,
soportes y equipos empleados para el almacenamiento y tratamiento de datos de
carácter personal.
Seguridad y Comercio Electrónico
65
Usuario: sujeto o proceso autorizado para acceder a datos o recursos.
Recurso: cualquier parte componente de un sistema de información.
Accesos autorizados: autorizaciones concedidas a un usuario para la
utilización de los diversos recursos.
Identificación: procedimiento de reconocimiento de la identidad de un
usuario.
Autenticación: procedimiento de comprobación de la identidad de un
usuario.
Control de acceso: mecanismo que en función de la identificación ya
autenticada permite acceder a datos o recursos.
Contraseña: información confidencial, frecuentemente constituida por una
cadena de caracteres, que puede ser usada en la autenticación de un usuario.
Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de
los datos.
Soporte: objeto físico susceptible de ser tratado en un sistema de información
y sobre el cual se pueden grabar o recuperar.
Copia del respaldo: copia de los datos de un fichero automatizado en un
soporte que posibilite su recuperación.
Seguridad y Comercio Electrónico
66
Para finalizar cabe decir que antes de realizar algún contrato de servicios se
debe exigir un contrato de LOPD, que no obliga a ninguna de las partes a acuerdos
económicos; sólo de protocolo de confidencialidad, de alcance y autorización para
presupuestar los servicios.
Antes de firmar algún contrato de servicios se debe conocer el alcance de la
asesoría, consultoría, ejecución y finalización del proceso incluida la formación.
Asimismo, los términos económicos y de seguimiento si los hubiera.
Un auditor o consultor en esta materia debe ser miembro de algún
organismo, institución o asociación tecnológica, o estar en posesión de la
acreditación suficiente para realizar dichas auditorías. Estas asociaciones o
instituciones suelen ser ISACA (International Systems Auditor Control
Association), IRCA (International Register of Certificated Auditors) o el RASI
(Registro de Auditores de Sistemas de la Información).
Por lo tanto, y para concluir este apartado, indicar que el hecho de realizar
una labor para estar con la conformidad en la Ley Orgánica de Protección de Datos
no sólo es una necesidad sino también una obligación que todos deben cumplir y
evitar de alguna manera estar al margen de la Ley.
Seguridad y Comercio Electrónico
67
33
CCllaavveess ddeell ccoommeerrcciioo eelleeccttrróónniiccoo eenn
llaa eeccoonnoommííaa..
Seguridad y Comercio Electrónico
68
3. Claves del comercio electrónico en la nueva economía
3.1. Comercio electrónico como generador de cambios empresariales.
La llegada de infraestructuras de información permanentemente
cambiantes, ha provocado predicciones respecto a que uno de los efectos de los
mercados será la eliminación de los intermediarios, basándose en la capacidad de
las redes de telecomunicaciones. Sin embargo, la realidad puede ser bien distinta
puesto que las tecnologías de la información no sólo reforzarán la posición de los
intermediarios tradicionales, sino que además promoverán la aparición de nuevas
generaciones de intermediarios. En un mercado tradicional puede considerarse
que los intermediarios proporcionan un servicio de coordinación. Sin embargo, es
necesario definir con mayor precisión esta actividad para identificar como afectará
Internet a esta tarea:
Búsqueda y evaluación.
Un cliente que elige una tienda especializada sobre unos grandes almacenes
escoge implícitamente entre dos alternativas de búsqueda y criterios de evaluación.
En cualquier caso el cliente delega una parte del proceso de búsqueda del producto
en el intermediario, quien también suministra un control de calidad y evaluación
del producto.
Valoración de necesidades y emparejamiento de necesidades.
En muchos casos no es razonable asumir que los clientes posean el
conocimiento individual necesario para evaluar fidedignamente sus necesidades e
identificar los productos que las cumplirán eficazmente. Por lo tanto los
intermediarios pueden suministrar un servicio valioso ayudando a sus clientes a
determinar sus necesidades. Los intermediarios proporcionan a los clientes
Seguridad y Comercio Electrónico
69
servicios sobre la evaluación de los productos, proporcionando información no
sólo del producto, sino sobre su utilidad, e incluso proporcionando la asistencia
explícita de un experto para identificar las necesidades de los clientes.
Manejo de los riesgos del cliente.
Los clientes no siempre tienen la información perfecta y por tanto pueden
comprar productos que no satisfagan sus necesidades. En consecuencia, en
cualquier transacción al detalle, el cliente se enfrenta con ciertos riesgos. Estos
pueden ser el resultado de una incertidumbre en las necesidades del cliente, un
fallo en la comunicación con respecto a las características, o un fallo intencionado o
accidental del fabricante al proporcionar un producto adecuado. Otro servicio que
proporcionan muchos intermediarios está relacionado con el manejo de este riesgo.
Éste se soluciona suministrando a los clientes la opción de devolver los productos
defectuosos o proporcionando garantías adicionales, reduciendo la exposición de
los clientes a los riesgos asociados con los errores de los fabricantes. Si el cliente
tiene la opción de devolver los productos por cualquier motivo, el intermediario
reduce más la exposición del cliente a los riesgos asociados con los fallos de los
clientes para valorar las necesidades con precisión y compararlas con las
características del producto. Por lo tanto, eligiendo un intermediario que
proporciona estos servicios, los clientes están comprando implícitamente al
intermediario un seguro.
Distribución de productos.
Muchos intermediarios juegan un papel importante en la producción,
envasado y distribución de bienes. La distribución es un factor crítico en la
determinación del valor de la mayoría de los bienes de consumo. Por ejemplo, un
litro de gasolina a mil kilómetros del hogar de un cliente frente al que está a un
Seguridad y Comercio Electrónico
70
kilometro, es significativamente diferente, debido principalmente a los servicios de
distribución proporcionados.
Difusión de información sobre productos.
Se trata de que el intermediario informe a los clientes sobre la existencia y
las características de los productos. Los fabricantes confían en una variedad de
intermediarios, incluyendo a las tiendas de venta al menor, casas de ventas por
correo/catálogo, agencias de publicidad y puntos de venta para informar a los
clientes.
Influencia sobre las compras.
A los fabricantes no sólo les interesa proporcionar información a los clientes,
sino vender productos. Además de los servicios de información, los fabricantes
también valoran los servicios relacionados con la influencia en las elecciones de
compra de los clientes: la colocación de los productos por parte de los
intermediarios puede influir en la elección de los mismos, así como poder
asesorarse explícitamente mediante un vendedor. Esquemas para la compensación
de comisiones, pagos por el espacio en estanterías y descuentos especiales son
formas en las que los fabricantes ofrecen servicios de asesorías de compras a los
intermediarios.
Suministro de información.
Esta información que es recogida por intermediarios especializados como
empresas de investigación de mercados, es utilizada por los fabricantes para
evaluar nuevos productos y planificar la producción de los existentes.
Manejo de los riesgos del fabricante.
El fraude y robo realizado por los clientes es un problema que
tradicionalmente ha sido tratado por los detallistas e intermediarios crediticios. En
Seguridad y Comercio Electrónico
71
el pasado, estos intermediarios han proporcionado sistemas y políticas para limitar
este riesgo. Cuando no podía eliminarse, eran los intermediarios quienes
afrontaban la exposición a este riesgo.
Integración de las necesidades de los clientes y de los fabricantes.
Los intermediarios deben ocuparse de problemas que surgen cuando las
necesidades de los clientes chocan con las de los fabricantes. En un entorno
competitivo, un intermediario satisfactoriamente integrado proporciona una gama
de servicios que equilibra las necesidades de los clientes y de los fabricantes de una
forma aceptable para ambos.
3.1.1. Tipos de intermediarios
A continuación se identifican diversos tipos de intermediarios basados en
Internet:
• Directorios. Ayudan a los clientes a encontrar productos clasificando
instalaciones web y proporcionando menús estructurados para facilitar la
navegación. En la actualidad son gratuitos, pero en el futuro podrían ser de
pago. Existen tres tipos de directorios:
o Generales. Un ejemplo es Yahoo, que proporciona un catálogo general
de una gran variedad de diferentes sitios web. Habitualmente existe un
esquema para organizar y elegir los sitios que serán incluidos. Estas
instalaciones suelen soportar "browsing" así como búsqueda del catálogo
mediante palabras clave.
o Comerciales. Como El Índice que se centra en proporcionar catálogos de
sitios comerciales. No proporcionan infraestructura o servicios de
desarrollo para los fabricantes, sino que tan sólo actúan como un
Seguridad y Comercio Electrónico
72
directorio de instalaciones existentes. También pueden suministrar
información sobre un área comercial específica, con frecuencia a
empresas que no tienen web. Estos intermediarios son equivalentes a los
editores de guías en papel.
o Especializados. Están orientados a temas, y son incluso tan sencillos
como una página creada por una persona interesada en un tema. Estas
páginas pueden suministrar al cliente información sobre un bien o
fabricante en particular.
• Servicios de búsqueda. Similares a Google, proporcionan a los usuarios
capacidades para realizar búsquedas basadas en palabras clave sobre
grandes bases de datos de páginas o instalaciones web.
• Centros comerciales. Son instalaciones que proporcionan una
infraestructura al fabricante o al detallista a cambio de una cuota. Pueden
estar compuestos de una gran variedad de tiendas que venden múltiples
productos.
• Editoriales. Son generadores de tráfico que ofrecen contenidos de interés
para los clientes, como periódicos o revistas interactivas. Las editoriales se
convierten en intermediarios cuando ofrecen vínculos con los fabricantes a
través de publicidad o listas de productos relacionadas con sus contenidos.
• Revendedores virtuales. Estos intermediarios existen para vender a los
clientes centrándose en productos especializados que obtienen directamente
de los fabricantes, quienes pueden dudar en dirigirse directamente a los
clientes por temor a alejar a los detallistas de los que dependen.
• Evaluadores de los sitios web. Los clientes pueden dirigirse a un fabricante a
través de un sitio que ofrece alguna forma de evaluación, lo que puede
Seguridad y Comercio Electrónico
73
ayudar a reducir su riesgo. Algunas veces las evaluaciones se basan en la
frecuencia de acceso, mientras que en otros casos son una revisión explícita
de las instalaciones. Un claro ejemplo de éxito es ciao.es.
• Auditores. Tienen funciones similares a las de los servicios de medición de
audiencia en medios tradicionales. El comercio electrónico requiere de los
mismos servicios adicionales que facilitan el comercio tradicional. Los
anunciantes requieren información sobre las tasas de uso asociadas con la
publicidad en el web, así como información fidedigna sobre las
características de los clientes.
• Foros, clubes de aficionados y grupos de usuarios. Estos tipos de
instalaciones no son necesariamente intermediarios directos, pero pueden
jugar un gran papel al facilitar la retroalimentación entre clientes y
fabricantes, así como soportar la investigación de mercados. Los mejores
ejemplos de estos grupos son las listas relacionadas con productos que
conectan al fabricante con los clientes.
• Intermediarios financieros. Cualquier forma de comercio electrónico debe
permitir alguna manera de realizar o autorizar pagos del comprador hacia el
vendedor. Los sistemas de pago podrán ser desde autorización de crédito,
cheques electrónicos, pago en efectivo, Paypal y envío de correo electrónico
seguro para autorizar un pago.
• Redes de trueque. Es posible que las personas cambien un bien o un servicio
por otro, en vez de pagarlo con dinero. Aparecerán intermediarios similares
a las casas de subastas y bolsas de mercancías para capitalizar estas
oportunidades.
• Agentes Inteligentes. Son programas que mediante un criterio preliminar de
búsqueda proporcionado por el usuario, facilitan la localización de recursos
Seguridad y Comercio Electrónico
74
a través de Internet, aprendiendo de los comportamientos pasados para
optimizar las búsquedas. Esto puede convertirse en un nuevo servicio de
intermediación que los clientes adquieren cuando necesitan cierto bien o
servicio.
Seguridad y Comercio Electrónico
75
3.2. Tipos de comercio electrónico.
Se pueden definir seis tipos de comercio electrónico en la actualidad, que
responden a las siguientes siglas:
� B2B: Business to Business.
� B2E: Business to Employer.
� B2C: Business to Consumer.
� C2C: Consumer to Consumer.
� G2C: Government to Consumer.
� G2B: Government to Business.
A continuación se procede a explicar cada uno de ellos:
Business to Business (B2B)
Este primer tipo de comercio electrónico se denomina Business to Business
por ser aquel que se desarrolla entre empresas. El auge de Internet sobre todo en
los últimos años ha impulsado este tipo de comercio electrónico por la creación de
portales para agrupar compradores.
Un portal B2B es aquel que proporciona soluciones y servicios de
negociación y aprovisionamiento, que optimiza las transacciones comerciales entre
empresas e instituciones a través del comercio electrónico.
Seguridad y Comercio Electrónico
76
Es común que en la actualidad el mantenimiento de dichos portales se
realice mediante un canon por cotización o bien un cobro de comisión de negocio a
los socio.
Seguridad y Comercio Electrónico
77
Las ventajas del B2B respecto a otros tipos de comercio electrónico son las
siguientes:
� Descubre nuevos compradores-vendedores.
� Los mercados tienden a ser más transparentes.
o Abaratamiento del proceso.
� La facilidad de las transacciones aumenta.
� Integración de transacciones.
� Reducción del riesgo en las operaciones.
� Mejora del valor.
o Mayor competencia.
o Ventajas comparativas.
o Costes reducidos de establecimiento de relaciones.
� Colaboración.
o Integración.
o Relaciones más estrechas.
Por otro lado cabe destacar que las barreras de entrada al B2B son más altas
que en otros tipos de comercio electrónico, pero las barreras de salida también lo
son.
Seguridad y Comercio Electrónico
78
Business to Employer (B2E)
Business to Employer es aquel tipo de comercio electrónico que ocurre entre
la empresa y el empleado, es decir la relación que se establece entre una empresa y
sus propios empleados.
El B2E no se queda sólo ahí, y también es toda la gestión remota que realiza
el empleado de parte de sus responsabilidades dentro de los procesos de negocio
de la empresa. Esto podría incluir facturación de comisiones de ventas, gastos de
desplazamiento, etc.
En conjunto se puede hablar de un portal interno donde los empleados de
una empresa utilizan ciertos recursos de la misma, por ejemplo por medio de una
Intranet.
Las ventajas del B2E respecto a otros tipos de comercio electrónico son:
� Reducción de costes y tiempo en actividades burocráticas.
� Formación on-line.
� Mejora de la información interna.
� Equipos de colaboración en un entorno web.
� Agilización de la integración del nuevo profesional en la empresa.
� Servicios intuitivos de gestión de la información.
� Soporte para gestión del conocimiento.
� Comercio electrónico interno.
� Motivación.
� Fidelización del empleado.
Seguridad y Comercio Electrónico
79
Business to Consumer (B2C)
Se entiende por Business to Consumer a aquel tipo de comercio electrónico
que se realiza entre la empresa y el consumidor. Tiene un gran potencial a largo
plazo y en la actualidad de asienta en multitud de sectores.
El éxito de este tipo de comercio electrónico pasa por la seguridad de los
sistemas de pago a través de tarjeta de crédito, así como contra reembolso, en
efectivo y otros servicios proporcionados por otras empresas, como PayPal. Es
interesante explicar el modelo de negocio de estas últimas empresas, en concreto
PayPal, por su relevancia en el comercio electrónico actual, y en el B2C en
particularmente.
PayPal es una empresa que permite la transferencia de dinero entre usuarios
que tengan correo electrónico, como alternativa a los tradicionales cheques o giros
postales. En realidad no se puede considerar a PayPal como un banco, pues no
ofrece servicios de rentabilidad de dinero, por ejemplo, pero si está sujeto a las
reglas del Departamento del Tesoro de los Estados Unidos de América. Ofrece
además la posibilidad de transferencia de dinero a cuentas bancarias habituales, o
recibir dinero desde las mismas.
El éxito de este servicio radica fundamentalmente en una campaña de
marketing en Internet muy potente, buscando la expansión del servicio a todos los
sectores posibles, así como la de actuar como capa entre la cuenta bancaria del
cliente y la empresa, quedándose con un porcentaje de dicha operación.
Seguridad y Comercio Electrónico
80
Por otro lado, las empresas que realizan B2C se pueden clasificar en:
1. Vendedores directos:
• Minoristas: Amazon, eBay.
• Fabricantes: Dell.
2. Intermediarios on-line:
• Brokers: Intermediarios entre vendedor y comprador. Existen los siguientes
tipos:
Seguridad y Comercio Electrónico
81
o Buy/Sell Fulfillment: Empresas que ayudan al cliente a ejecutar sus
órdenes de compra/venta. Ingresos por comisiones y tráfico. Ejemplo
eTrade.
o Centros Comerciales Virtuales: Empresas que integran en un solo
espacio diferentes tiendas y tienen ingresos por tráfico. Ejemplo Yahoo
Stores.
o Metamediary: Integran variedad de productos y tiendas de terceros
pero integran servicios transaccionales como por ejemplo financiación
de compras. Ingresos por tráfico, comisiones y servicios. Ejemplo
Amazon zShops.
o Bounty: Intermediarios que cobran por encontrar una persona, un
lugar, una idea, etc. Reciben ingresos por comisiones, intermediación y
tráfico. Ejemplo bounty.
o Comparadores on-line: Ayudan a los usuarios a comparar productos y
precios. Reciben ingresos por comisiones y tráfico. Ejemplo kelkoo.
• Infomediarios: Sitio web que ofrece información especializada en nombre de
los productores de bienes y servicios y sus clientes potenciales.
Las ventajas de las empresas que realizan comercio electrónico B2C frente a
otros tipos son las siguientes:
I. Compras pueden ser más rápidas y más convenientes.
II. Las ofertas y los precios pueden cambiar instantáneamente.
III. Centros de llamadas pueden ser integrados con la web.
Seguridad y Comercio Electrónico
82
IV. Las telecomunicaciones de banda ancha mejoraran la experiencia de
compra.
Por otro lado, los dos principales desafíos que posee el comercio electrónico
B2C en la actualidad son la creación de tráfico y el mantenimiento de la fidelidad
de los clientes. Debido a esto muchas pequeñas empresas tienen dificultades para
entrar en el mercado y seguir siendo competitivos.
Además, los compradores on-line son muy sensibles al precio y son
fácilmente atraídos, por lo que la adquisición y mantenimiento de nuevos clientes
es difícil.
Consumer to Consumer (C2C)
Es aquel tipo de comercio electrónico que se realiza mediante transacciones
privadas de consumidores, que pueden tener lugar por ejemplo mediante correo
electrónico o tecnologías p2p.
Algunos ejemplos de C2C son eBay o Amazon. Por otro lado el comercio
electrónico C2C se espera que siga creciendo en los próximos años de forma muy
significativa, pues cada vez está más extendido por Internet mediante páginas
similares a las anteriormente citadas.
Government to Consumer (G2C) / Government to Business (G2B)
Con Government to Consumer y Government to Business se entiende aquel
tipo de comercio electrónico que se realiza desde el Gobierno a empresas y
particulares, es decir al uso de las nuevas tecnologías en el sector público referido
Seguridad y Comercio Electrónico
83
al comercio electrónico. También es llamado comúnmente en España como e-
Servicios o e-Administración.
Inicialmente existía una situación en la cual la Administración estaba en
niveles de servicio muy heterogéneos, y los canales que se establecían con los
ciudadanos eran los que se imponían desde la propia Administración tal y como se
refleja en la siguiente figura:
Con esta situación inicial existente apareció la primera solución tecnológica
que consistía en multitud de iniciativas individuales que pretendían aumentar la
eficiencia y mejorar el servicio. Debido a una situación tal y como se ha comentado
heterogénea aparecieron soluciones y sistemas muy dispersos, que conllevó en una
falta de integración.
Seguridad y Comercio Electrónico
84
Hoy en día existe una tendencia al cambio consistente en una
modernización que pretende como objetivo mejorar la atención y el servicio al
usuario, implantar nuevas tecnologías y cambiar el modelo organizativo. Las
nuevas tecnologías y técnicas organizativas citadas puestas al servicio de la
Administración Pública constituyen la denominada e-Administración, que tiene
como características:
• Realización on-line de compras y ventas entre la Administración y las
empresas.
• Un medio de relación personalizado, orientado a ciudadanos y empresas.
• Agilización de trámites administrativos.
• Un lugar de intercambio de información.
• Transparente.
Seguridad y Comercio Electrónico
85
3.3. La nueva cadena de valor en el comercio.
El auge de las nuevas tecnologías, sobre todo Internet, ha afectado también
a la cadena de valor, abriendo nuevas puertas para las empresas, que son capaces
de conseguir sintetizar mucho más la información que poseen de sus productos así
como la de sus clientes, pudiendo realizar de forma mucho más exhaustiva todo
tipo de análisis.
Con el fin de poder identificar todos los nuevos cambios y efectos, en primer
lugar se va a realizar una descripción de la cadena de valor como un conjunto de
fases que dan valor a sus productos y/o servicios. Se puede decir que una empresa
pasa por cinco fases, que se denominan actividades primarias, a lo largo del ciclo
de vida de su producto: desde que es un simple proyecto hasta que llega como
producto final al cliente. Estas son diseño, producción, distribución, marketing y
ventas, y servicio postventa. Estas actividades son apoyadas por las denominadas
actividades secundarias, que son típicamente la infraestructura de la organización,
los recursos humanos, el desarrollo tecnológico y el abastecimiento.
Seguridad y Comercio Electrónico
86
Dada esta distribución planteada por Porter en 1985, se puede obtener
información para el negocio que permitirá:
1. Conocer el valor añadido para cada fase de la cadena de valor y en
cada línea de negocio a lo largo del tiempo.
2. Realizar una serie de pruebas de mercado mediante benchmarking
con respecto a la competencia existente en lo que se refiere a la
distribución de la cadena de valor.
3. La posibilidad de realizar un análisis DAFO de manera más sencilla.
4. Ayudar en la toma de decisiones estratégicas, como por ejemplo la
desintegración vertical mediante subcontratación.
Si se quiere conocer cómo puede influir en la cadena de valor el comercio
electrónico, se debe considerar dicha cadena en todo su conjunto. Desde hacer
visibles los productos y/o servicios en una página web para una simple consulta
Seguridad y Comercio Electrónico
87
por parte del cliente, hasta completar la transacción electrónicamente, con entrega,
facturación y cobro incluidos. Por otro lado, si bien no es condición indispensable
un sistema de comercio electrónico completo para que nuestra cadena de valor se
vea afectada, las ventajas en forma de sinergias, tanto operativas como de coste,
que proporcionaría el mismo hacen previsible una futura tendencia a la integración
digital de empresas. El comercio electrónico aporta una serie de ventajas
competitivas a aquellas entidades que decidieron adoptarlo, que a su vez generan
o contribuyen a desarrollar una serie de capacidades o habilidades imprescindibles
para diferenciarse de la competencia.
Se pueden igualmente reducir de manera considerable todo tipo de
ineficiencias en procesos tales como aprovisionamiento, gestión de stocks o
producción, con todo lo que eso podría implicar en cuanto a ahorros de costes
variables tales como horas de mano de obra o materias primas.
Estas dos últimas herramientas son de importancia capital en el éxito del
comercio electrónico entre organizaciones o B2B (Business to Business).
En cuanto al B2C (Business to Consumer) o comercio electrónico orientado
al consumidor, dos líneas de negocio parecen tener un futuro prometedor en el
mundo virtual: por un lado, aquellos productos y servicios en los que la
compresión de información se convierte en factor clave de negocio (contenidos en
la Red, libros digitales o subastas), y por otro, aquellos que aportan una
reingeniería de procesos con respecto a sus homónimos del mundo real (entre los
que hay que destacar a las empresas de consultoría, selección de recursos humanos
o formación en línea).
El resto de productos y servicios tendrán del mismo modo cabida en la Red,
si bien no como canales específicos de venta en Internet, sino como canales
complementarios a su presencia en los canales de distribución reales, ya sea para
Seguridad y Comercio Electrónico
88
generar entradas (para la captación y posterior gestión de información primaria) o
bien salidas (fomentar la interactividad entre cliente y empresa).
A reseñar del mismo modo el hecho de que el comercio electrónico es
adoptado por las empresas que se decidieron a dar el paso hacia el mundo virtual
con muy diversas estrategias. Así, se pueden encontrar desde las entidades que
fueron creadas únicamente para la venta de sus productos a través de la Red hasta
las que utilizan Internet únicamente como apoyo a su presencia en el mundo
tangible, pasando por aquellas que combinan ambas presencias.
Efectos sobre la fase de diseño
El diseño de la gama de productos y servicios de la empresa puede dar un
gran salto cualitativo gracias a la incorporación al mundo virtual, ya que el
contacto directo con proveedores y clientes permite:
• Identificar tendencias de mercado y adaptar los futuros productos a
cambios en la demanda.
• Involucrar al cliente en el diseño de futuros proyectos.
• Responder a la demanda en el plazo y condición establecidos.
• Simplificar el proceso de elección de componentes de nuestros
proveedores.
• Tener un conocimiento exhaustivo del comportamiento del
consumidor, ya que las propias características de la red posibilitan
conocer cuáles son los enlaces de la página que más le interesan, cuál
es la secuencia que sigue una vez dentro, e incluso saber
virtualmente hablando, dónde estuvo antes y a dónde fue después.
Seguridad y Comercio Electrónico
89
• Tener una comunicación interactiva con el cliente, quien podrá
ponerse en contacto para realizar consultas, solicitar información,
hacer preguntas más específicas o pedir productos a medida.
• Trabajar conjuntamente a equipos de diseño físicamente separados e
integrar a empresas externas en el proceso.
Efectos sobre la fase de producción
La incorporación del comercio electrónico también afecta a todo el proceso
de producción. Un ejemplo es el de aquellos artículos caracterizados por un alto
nivel de modularidad, en los que se ofrece la posibilidad al cliente de elegir la
configuración final del producto en base a múltiples criterios. De este modo se le
permite al cliente realizar su elección analizando en detalle todas y cada una de las
diferentes combinaciones finales, gracias a un proceso de decisión de compra
ilimitado en el tiempo, sin presión ni vendedor delante.
Además de la modularidad, también la variabilidad de la gama de
productos es susceptible de verse incrementada, lo cual podría dar lugar a
problemas en el sistema de producción en caso de que éste no esté configurado con
el suficiente grado de flexibilidad y adaptabilidad a variaciones en la demanda.
Por otro lado, esta misma cuestión lleva asociadas ciertas ventajas en forma
de posible fabricación sobre pedido en el caso de que no se solicite la entrega del
producto con carácter inmediato, lo cual supone permitir operar con reducciones
drásticas de inventarios que repercuten en la cuenta de resultados.
En resumen, el proceso de fabricación puede comenzar su implementación
partiendo del pedido de un producto a medida realizado por un cliente a través
del sitio web. A partir de ahí se inicia la cadena de fabricación y
Seguridad y Comercio Electrónico
90
aprovisionamiento, con lo que se logran notables optimizaciones en el proceso de
fabricación, principalmente en forma de desaparición de cuellos de botella y gastos
de almacenaje.
De esta manera, la utilización de procesos de fabricación JIT (Just In Time)
se hará notoriamente más asequible, ya que el uso de una comunicación interactiva
vía Internet da lugar a una considerable reducción de costes frente al uso de
sistemas tradicionales de automatización de pedidos y facturación, como por
ejemplo EDI (Electronic Data Interchange).
Efectos sobre la fase de distribución
En esta fase, el impacto de la integración digital de empresas es enorme, y lo
será mucho más en un futuro próximo. En el caso de empresas con productos de
carácter virtual, se logrará eliminar no ya sólo stocks físicos, sino también a
intermediarios y distribuidores de todo tipo (se estaría hablando de una
integración vertical total). Se crean de esta manera nuevos canales de distribución
directos entre fabricantes y consumidores finales, ya que textos, imágenes, sonidos
o vídeos son productos que pueden descargarse directamente a través de la red.
Las ventajas también aparecen en el caso de productos con presencia física,
ya que se podría entonces dotar a la cadena logística de un nivel total de
automatización: la empresa de transporte recibiría la orden de compra
directamente de nuestros clientes.
Y es que la aplicación de estas nuevas tecnologías a la distribución puede
servir para aumentar considerablemente la satisfacción de los clientes con los
servicios que se presten, pues se les presenta a las empresas un amplio margen de
maniobra en forma de servicios de alto valor percibido por parte del cliente (y bajo
coste) que realmente facilitan a las empresas la fidelización del perfil objetivo.
Seguridad y Comercio Electrónico
91
Por ejemplo, los clientes de las principales empresas de logística a nivel
mundial (tales como DHL, FedEx o UPS) pueden realizar un seguimiento en línea
en tiempo real de la ubicación física de sus mercancías gracias a un sofisticado
sistema informatizado de tracking de pedidos.
Por otro lado no en todos los sectores se ha dado la bienvenida al comercio
electrónico y su consiguiente desintermediación de canales en forma de
distribución de productos y servicios sin un establecimiento físico. Así, se observa
en el horizonte un futuro no muy favorecedor para el gremio de todo tipo de
intermediarios, tanto mayoristas como minoristas.
Como consecuencia de lo anterior, surgen interrogantes tales como: ¿cuál va
a ser la estrategia a corto y medio plazo de este tipo de entidades ante la repentina
tendencia a la integración vertical por parte de los que hasta hace poco eran sus
proveedores o clientes?, ¿terminarán desapareciendo categorías genéricas tales
como las agencias de viajes, inmobiliarias, tiendas de música, videoclubs,
concesionarios de automóviles o la banca comercial tal y como hoy se conocen?, ¿se
crearán nuevas categorías genéricas de negocio en la red difíciles de imaginar hoy
en día?, ¿cuál es el futuro de cajeros, taquilleros, dependientes, e incluso de
farmacéuticos y brokers?
Sin mayor ánimo visionario, y basándose sobre todo en los errores
cometidos por los gestores de los principales e-Business se puede asegurar que las
claves del éxito en el mundo físico son perfectamente trasladables al mundo
virtual, destacando éstas:
• Estrategia de negocio coherente con la estructura interna de la empresa y
con el entorno.
• Estructura financiera saneada.
Seguridad y Comercio Electrónico
92
• Constante apuesta por la innovación y la diferenciación.
• Flexibilidad ante los cambios.
• Que exista un cliente latente del tipo de productos y servicios que la
empresa ofrece.
• Que los productos y servicios cubran las necesidades del cliente.
• Que los productos y servicios cubran las expectativas del cliente.
Resumiendo, si bien no es posible referirse de modo genérico en los
modelos de negocio virtuales que funcionan cuál fue el factor clave de negocio que
les llevó a destacar (ya que existen múltiples características propias no ya de cada
sector o mercado, sino incluso de cada canal de distribución o legislación fiscal
local), sí existen unas características intrínsecas del negocio en el que se compite, y
será el que mejor conozca estas características, y sepa adaptarlas a su negocio
virtual, el que termine configurando una imagen de marca en la mente del
consumidor.
Efectos sobre el marketing
Se trata, probablemente, del eslabón de la cadena en el que puede ejercer
mayor influencia el comercio electrónico, en cualquiera de las 4P’s: precio,
producto, publicidad y distribución, apareciendo ventajas tales como:
• Acceso en tiempo real a información del tipo quién ha accedido a una
página web, qué rutas han seguido dentro del mismo, y en qué franjas
horarias, y, en definitiva, todos aquellos criterios que permitan conocer en
profundidad quién es el cliente y cuáles son sus necesidades.
Seguridad y Comercio Electrónico
93
• Consecución del equilibrio entre el impacto y la riqueza de un mensaje:
mediante la comunicación digital se puede alcanzar dicho equilibrio entre
ambos parámetros, ya que se puede dirigir a grandes cantidades de
consumidores ofreciéndoles información extensa sobre productos y
servicios, impensable con métodos tradicionales tales como la venta directa
(impacto bajo, riqueza alta) o publicidad televisiva (impacto alto, riqueza
baja).
• Globalidad total de mercado, ya que se pueden ofrecer productos y
servicios por todo el mundo sin apenas límites de tipo geográfico o
temporal y con un coste por regla general bastante menor.
• Mayor calidad de la comunicación, ya que se podrá enviar una gran
cantidad de información sobre productos utilizando imágenes, sonido y
texto.
• Segmentación: verificar que hay una total afinidad entre el perfil objetivo y
el usuario promedio de la red. En la actualidad, cada vez más, el prototipo
de usuario de Internet es realmente representativo de la sociedad en
general, pero aun hay muchas diferencias. Por citar unos ejemplos, el
porcentaje de usuarios masculinos está muy por encima del
aproximadamente 50% que le correspondería por presencia en la sociedad,
siendo también sensiblemente diferentes en cuestiones tales como el nivel
promedio de estudios o la distribución por edades.
• En definitiva, las tecnologías existentes en materia de comercio electrónico
posibilitan el uso de diversos criterios de segmentación para que un banner
concreto sea accesible únicamente por los miembros de perfiles
determinados, con lo que se conseguirían eliminar los costes de fricción
(procedentes de enviar mensajes publicitarios a perfiles escasamente
Seguridad y Comercio Electrónico
94
susceptibles de estar interesados en nuestros productos) existentes en las
plataformas publicitarias del mundo tangible.
• Espectaculares ahorros en costes como consecuencia directa de métodos
más baratos de comunicación y distribución, que a su vez se pueden
repercutir en el cliente, incentivándole así a abandonar los métodos
tradicionales de compra.
• Mayor capacidad por parte del usuario para poder comparar cuestiones
tales como precios, calidades, plazos de entrega o condiciones de
financiación con productos o servicios de empresas competidoras.
• Técnicas de promoción interactiva, con todo tipo de concursos, chats, foros,
juegos, premios y sorteos dirigidos a perfiles específicos.
Obviamente, es en esta fase en la que se produce un mayor salto cualitativo
respecto a la cadena de valor tradicional, ya que se producen consecuencias
directas tales como:
• Aparición de nuevas metodologías de fidelización de clientes.
• Desaparición de procesos administrativos en su formato tradicional en el
caso de ventas empresa-empresa (EDI).
• Desaparición progresiva de las fuerzas de ventas.
• Normalización de los métodos de pago.
Como consecuencia de lo anterior, las empresas que han decidido apostar
por la integración digital pueden haber encontrado grandes expectativas en forma
de:
• Mejora de gestión de la fuerza de ventas.
Seguridad y Comercio Electrónico
95
• Posibilidad de enviar mensajes de ventas personalizados.
• Realización de un marketing instantáneo a una audiencia global.
• Reducción de costes en la captación de nuevos clientes.
Efectos sobre el servicio postventa
Posiblemente, el servicio más valorado por parte del cliente, y en el que
nuevas tecnologías tales como el comercio electrónico pueden jugar un papel
fundamental.
Mediante la integración de los centros de atención telefónica (Call Centers)
con Internet, se puede crear un servicio de atención en línea a su vez integrado con
la actual estructura de soporte telefónico con vistas a afianzar la relación con la
clientela.
Aún teniendo en cuenta que el nivel de servicio post-venta cambia
radicalmente de un tipo de productos a otros (no tienen nada que ver los
productos de marketing masivo y los de marketing industrial, por poner un
ejemplo), nunca deja de convertirse en un arma de doble filo para el fabricante: es
una amenaza a la vez que una oportunidad. Se propone el caso de un programa de
software (útil para ejemplificar ambos tipos de marketing): el usuario de ese
programa podrá recibir en línea información sobre otros programas del mismo
fabricante; trucos, curiosidades y nuevas utilidades del programa que compró;
enviar quejas o sugerencias; actualizar su versión del producto incluso de forma
automática; pedir que envíen un técnico a sus instalaciones o chatear con otros
usuarios.
Como complemento a lo anterior, se puede también atender al cliente con
respuestas estandarizadas desde Internet, utilizando bases de datos
Seguridad y Comercio Electrónico
96
específicamente configuradas que contengan respuestas a las preguntas más
habituales (en los call centers es bastante usual la ley de Pareto del 80/20: el 80%
de las preguntas encuentra como solución el 20% de las respuestas).
En el caso de que la base de datos no estuviese configurada para poder
responder a la petición o duda del cliente, se recurriría entonces a un servicio de
atención personalizada, ya sea mediante un equipo de teleoperadores, o con chats
o e-mails si la situación así lo requiriese. Por otra parte, las preguntas que formasen
parte de la base de datos inicial se verían complementadas con aquellas que por su
reiteración pudieran ser de utilidad para futuras consultas, retroalimentando así el
sistema.
De lo que se deduce claramente es que este tipo de herramientas puede ser
de gran utilidad para las empresas a fin de incrementar el grado de satisfacción de
sus clientes reduciendo a su vez su estructura de costes.
A modo de conclusión, recalcar el hecho de que en las empresas
tecnológicamente integradas (ya sea total o parcialmente), se encuentren dos
cadenas de valor paralelas: la real y la virtual. Ambas deben estar compensadas y
conjuntadas entre sí, así como con el entorno que las rodea (clientes, proveedores y
competidores, ya sean actuales o simplemente potenciales), al tiempo que deben
seguir un tratamiento distinto en aquellas cuestiones en que las peculiaridades de
sus diferentes medios así lo aconsejen.
O lo que viene a ser lo mismo: el mundo digital permite todo un abanico de
oportunidades para el análisis de nuestro negocio que se pueden utilizar para una
constante reingeniería de procesos, utilizando como información de base la
procedente de analizar previamente los eslabones de la cadena de valor virtual.
Seguridad y Comercio Electrónico
97
3.4. Las nuevas oportunidades empresariales.
En este apartado se va a estudiar el caso de dos iniciativas de negocios en
Internet cuyos resultados fueron totalmente opuestos, triunfando una de ellas y
fracasando la otra. Se pueden extraer conclusiones útiles de los aciertos y errores
que se pueden cometer.
El responsable de desarrollo de negocio de la empresa Memorix se
enfrentaba a un reto importante. La única empresa que participaba al mismo nivel
que ellos en el mercado de la distribución de componentes electrónicos era
Elecktrik, y acababa de crear una página web habilitada mediante comercio
electrónico para llegar de forma más eficiente a su mercado. De modo que el
director general de Memorix reunió al director de marketing, al jefe de ventas y al
responsable de negocios. Finalmente, se dictaminó que este último debería
elaborar una alternativa de e-business competitiva respecto a la de Elecktrik.
Tras haber observado con detalle el funcionamiento de la web de sus
competidores, se diseñó la nueva página web de Memorix, la cual era muy similar
a la primera. Ambas tenían un "front office" casi idéntico. Eso quiere decir que se
corresponde con la parte que el cliente ve y está compuesto de tres elementos:
• Contenido. Aquello que ha de ser introducido en la web.
• Estructura. Referente al lugar donde tiene que aparecer contenido.
• Diseño. Indica cómo ha de aparecer el contenido de la web.
Aunque el front office es una parte muy necesaria, no era la diferencia más
destacable entre ambas páginas web, sino que había que buscar más abajo para
llegar a la capa donde el negocio y la experiencia son lo esencial. Aquello que
muchos llaman “Know-how” y que se adquiere a través de años de experiencia y
por ello no es algo sencillo de copiar.
Seguridad y Comercio Electrónico
98
Finalmente, se recurrió a los clientes para que dieran su opinión sobre
ambas páginas web y el resultado de esta iniciativa permitió llegar a las claves del
problema de Memorix:
• Los pedidos llegaban con retraso en un buen número de casos y la atención
al cliente no era ni rápida ni eficaz.
• En Elecktrik la información de producto se había cuidado más que en
Memorix, se había estructurado mejor y era más extensa.
• No aplicaban precios personalizados según diversos criterios.
Por ello, se deben tener en cuenta tres elementos clave en cualquier ebusiness:
la gestión de información, integración con los procesos de negocio internos y
finalmente la personalización.
a) Gestión de información. ¿Cómo ha de ser ésta para ser útil en la web?
• Profunda. Debe responder a las preguntas que se puede hacer el
cliente en el momento de elegir un producto en el que está
interesado. Preferiblemente ha de ser extensa.
• Estructura. Para todos los productos catalogados se ha de seguir una
estructura uniforme. Debe constar de categorías, subcategorías,
atributos...
• Automatizada. Aquí cobran especial importancia los átomos de
información. Esto es, dividir la información en pequeños
componentes. Poniendo como ejemplo una película, se podría
mostrar información referente a su título, director, reparto, país, año,
crítica...
Un buen número de empresas disponen de información amplia y útil
en el ámbito interno de las mismas, para que la use el personal de sus
Seguridad y Comercio Electrónico
99
distintos departamentos, pero no apropiada para ubicarla en un lugar como
Internet, accesible por un gran número de personas. Esto no se ve
favorecido si dispone de información obtenida de otros miembros de la
cadena de suministro, los cuales la habrán estructurado bajo sus criterios, de
modo que se complica la conjugación de la misma con la información propia
de la empresa en cuanto al nivel de información, estructura y formato. No
obstante. Existen medidas para enfrentarse a esta eventualidad:
• Internamente. El precio a pagar será el tiempo necesario y el coste en
personal, para la alternativa que consiste en destinar a un grupo de
empleados la labor de gestión de información en el sentido de
recopilarla, digitalizarla e incorporarla a la estructura presente. Pero
la ventaja será esencial, ya que la información gozará de un control
total, de cara al interior de la empresa pero también de forma abierta,
desde la web.
• Externamente. Obtener una base de datos cuidada y actualizada
periódicamente a través de alguna empresa dedicada a seleccionar y
organizar información. Se ha de buscar la solución mejor adaptada al
tipo de negocio dado.
• Herramientas software. Que permiten tratar catálogos de información
de diversa índole de cara a integrarlos coherentemente. Pero para ello
la información de los mismos ha de ser lo suficientemente elaborada
y cuantiosa para que estas aplicaciones consigan un nivel de eficacia
óptimo, ya que por sí solas no están habilitadas para mejorar su
calidad y profundidad.
b) Integración con los procesos de negocio internos. ¿Qué ocurre una vez que
el consumidor ha seleccionado la opción comprar? Un back office (tareas de
Seguridad y Comercio Electrónico
100
gestión internas de la empresa) integrado será clave, para ello se deben
considerar los siguientes aspectos:
• Conectar la web con el sistema de gestión. La página web de la empresa
no puede ser una isla. Ha de estar conectada al centro neurálgico, ese
lugar de la empresa donde se trabaja rigurosamente para cuidar sus
actividades, sus clientes y proveedores. En definitiva, se ha de
conectar a su sistema de gestión. Esta consideración es vital para el
éxito de un negocio en Internet.
• Conectar la web con los proveedores. Igual que ocurría en el caso
anterior, también se debe considerar la conexión del sitio web con los
proveedores para beneficiarse de este modo, de las siguientes
ventajas:
� Los pedidos son enviados directamente al proveedor que
corresponda, de esta forma, se produce un ahorro sustancial
en los costes de gestión de compras de la empresa.
� Para los proveedores también comporta ventajas, reduciendo
costes. Se aumenta la capacidad de negociación entre la
empresa y los proveedores. Finalmente, cabe destacar que los
pedidos entran directamente en el programa de gestión de los
proveedores, evitando de este modo el trabajo de recepción de
pedidos.
� El pedido viaja sin intermediarios desde el ordenador del
cliente hasta el del proveedor. Con ello se consigue disminuir
el tiempo de entrega de los productos disponibles.
• Precio y disponibilidad en tiempo real. Con ello se consigue un
importante ahorro de tiempo en primer lugar para el cliente,
evitándole sorpresas desagradables en cuanto al plazo de entrega y
en segundo lugar para la propia empresa, que evita tener que hacer
Seguridad y Comercio Electrónico
101
múltiples llamadas telefónicas a sus proveedores para verificar la
disponibilidad de sus productos.
c) Personalización. ¿Qué condiciones se ofrecen a los distintos clientes que
emplean la web para comprar? En negocios B2C, orientados a clientes
individuales, se pueden emplear formas de pago y precios estándar. Pero en
los negocios B2B, es esencial ofrecer un trato personalizado a las diferentes
empresas, han de sentirse exclusivas y valiosas.
Desean que la web les permita acceder a ventajas como plazos y
formas de pago, rappels, descuentos y precios a su medida. Hay que tener
especial cuidado a la hora de producirse cambios en la información del
programa de gestión de la empresa, en el supuesto de que de ahí parte la
información que se plasme en la web. En ese caso la web ha de ser coherente
con la misma a través de un correcto mantenimiento para evitar errores.
Seguridad y Comercio Electrónico
102
Pero existen otros elementos clave para ayudar a las empresas a
sentirse cómodas desde su posición de cliente en un B2B. En este caso la
creatividad es el factor decisivo, para ofrecer distintas facilidades como por
ejemplo crear listas personalizadas de favoritos, disponer de un historial de
transacciones u ofrecer ofertas en relación con sus necesidades y
características.
Seguridad y Comercio Electrónico
103
3.5. Definición de la estrategia para el comercio electrónico.
La estrategia para el comercio electrónico posee dos partes, su formulación
y su implantación.
Las claves de la estrategia actual vienen determinadas por dos conceptos:
� Visión: Capacidad de estar mañana por donde pasará el futuro.
� Liderazgo: Llevar a la empresa al lugar donde la visión la ha
marcado.
Los pasos para formular esta estrategia son:
Por otro lado existen tres niveles de estrategia según su duración en el tiempo:
� Largo Plazo: Corporativa. Es la estrategia que tiene que ver con el
accionista.
� Medio Plazo: Negocio. La estrategia que tiene que ver con los
clientes.
� Corto Plazo: Funcional. La estrategia que tiene que ver con las áreas
funcionales del negocio.
Seguridad y Comercio Electrónico
104
El concepto de estrategia ha sido objeto de múltiples interpretaciones, de
modo que no existe una única definición. No obstante, es posible identificar cinco
concepciones alternativas que si bien compiten, tienen la importancia de
complementarse.
Estrategia como Plan
Un curso de acción conscientemente deseado y determinado de forma
anticipada, con la finalidad de asegurar el logro de los objetivos de la empresa.
Normalmente se recoge de forma explícita en documentos formales conocidos
como planes.
Estrategia como Táctica
Una maniobra específica destinada a dejar de lado al oponente o
competidor.
Estrategia como Pauta
La estrategia es cualquier conjunto de acciones o comportamiento, sea
deliberado o no. Definir la estrategia como un plan no es suficiente, se necesita un
concepto en el que se acompañe el comportamiento resultante. Específicamente, la
estrategia debe ser coherente con el comportamiento.
Estrategia como Posición
La estrategia es cualquier posición viable o forma de situar a la empresa en
el entorno, sea directamente competitiva o no.
Estrategia como Perspectiva
La estrategia consiste, no en elegir una posición, sino en arraigar
compromisos en las formas de actuar o responder; es un concepto abstracto que
representa para la organización lo que la personalidad para el individuo.
Seguridad y Comercio Electrónico
105
Estrategia & E-Estrategia
Las estrategias de Comercio Electrónico no están desligadas de la estrategia
general de la compañía y viceversa. Como todas las compañías que participan en el
mercado tienen acceso a las diferentes tecnologías disponibles, la adquisición de
las mismas no genera por sí sola ventajas competitivas. Es lo que cada compañía
está en capacidad de hacer y el máximo retorno que pueda obtener de estas
inversiones, lo que hace la diferencia. En la práctica estas dos estrategias se
fusionan de tal manera, que es difícil diferenciar claramente lo que corresponde a
la estrategia de Comercio Electrónico y a la estrategia global de negocio.
Adicionalmente, el hecho de que la estrategia de negocio involucre a las
diferentes áreas de la organización y la estrategia de Comercio Electrónico ofrezca
oportunidades de mejora para cada una de ellas; indica un alto grado de cohesión.
3.5.1. Desarrollo de una estrategia de comercio electrónico.
El desarrollo de una estrategia de comercio electrónico requiere una
planificación cuidadosa y un compromiso total. El comercio electrónico debe
visualizarse como una operación de largo plazo, y no como una oportunidad de
obtener un lucro a corto plazo. La preparación de una estrategia de comercio
electrónico confirmará si una presencia en Internet es conveniente para la
compañía y cuándo, lo que permite usar de manera más eficaz esta poderosa
herramienta empresarial.
Una estrategia de comercio electrónico no difiere fundamentalmente de
cualquier otro plan de negocios, y antes de diseñarla se debe asegurar que la
compañía:
Seguridad y Comercio Electrónico
106
• Comprende las características del mercado en línea, tales como la
naturaleza global de la competencia, los requisitos técnicos y
reglamentarios que se aplican a las ventas en línea, y el papel que
desempeña la información en el comercio electrónico.
• Tiene la capacidad técnica y de suministro para la venta de productos
y servicios en un mercado global en línea.
• Establece procesos de producción y de ventas que permite atender un
aumento significativo en el negocio.
• Cuenta con el apoyo de todos los niveles de la gerencia, hacer claros
los pasos de todo el proceso de compra electrónica, e identificar el
personal que posiblemente va a participar en el proceso. Antes de
diseñar la estrategia podría ser conveniente crear una conciencia en el
personal acerca del potencial que ofrece el comercio electrónico y
darle la capacitación sobre aspectos específicos del mismo.
3.5.2. Aspectos clave de una estrategia de comercio electrónico.
Una estrategia bien preparada debe contener una evaluación de las
posibilidades de ventas a través de Internet del producto o de los productos
involucrados, un estimado del total de las inversiones necesarias para establecer y
desarrollar el negocio, un plan para operar el negocio y para medir su progreso, y
un indicativo del retorno esperado sobre la inversión. Debe incluir la opción de
solicitar financiamiento.
Los elementos esenciales de una estrategia de negocios de comercio
electrónico son los siguientes:
Seguridad y Comercio Electrónico
107
• Resumen ejecutivo: Este es una parte muy importante del plan. Debe
redactarse después de completar el resto del plan. Probablemente los
inversionistas potenciales leerán solamente esta parte en los primeros
contactos con ellos. Este es el lugar indicado para una presentación breve
directa y precisa. Si el resumen ejecutivo atrae el interés de los
inversionistas, habrá posteriormente numerosas oportunidades para que
se demuestre el entusiasmo por el proyecto. Señale los factores de éxito
de su empresa y luego se debe enumerar las ventajas que se tiene sobre
los competidores que ya cuentan con una presencia en Internet.
• Objetivos: Definir las metas de largo plazo y determinar cómo el
comercio electrónico ayudará a alcanzar esas metas.
• Orientación: Señalar cómo se quiere usar la Internet.
• Situación actual: Identificar los productos de la empresa que se venderán
bien por Internet y explicar por qué.
• Establecer los criterios de evaluación de las operaciones web: Éstos
podrían incluir el número de visitas por mes, el número de páginas
vistas, el número de visitantes por una sola vez, el número de contactos
reales, el número de transacciones y el número de pedidos.
• Promoción: Describir cómo se planea promocionar su sitio web.
• Análisis de mercados: Describir las oportunidades que tiene la compañía
en el mercado del comercio electrónico.
• Competencia actual: Presentar los resultados del análisis que se hace
sobre la competencia actual y sobre la competitividad que tiene la
empresa dentro de la industria. Hacer una lista de los sitios web de
todos los competidores principales y secundarios. ¿Cuál es la
Seguridad y Comercio Electrónico
108
participación estimada en el mercado de cada competidor? ¿Cuáles son
las tendencias esperadas en su industria para el comercio electrónico?
• Clientes objetivo: Presentar el perfil demográfico y socioeconómico de
los clientes que se espera captar en línea. ¿Por qué cree que ellos
comprarán en su sitio de Internet?
• Investigación de un grupo de enfoque: Presentar los hallazgos de la
investigación enfocada en un pequeño grupo de clientes potenciales del
mercado objetivo. Esta investigación debe haber proporcionado una
retroalimentación sobre el potencial de ventas de los productos en un
ambiente de mercado electrónico.
• Riesgo calculado: Presentar las proyecciones para el desarrollo de la
industria y de la empresa durante los próximos tres a cinco años, tanto
en línea como fuera de línea.
• Estrategia de mercado: Mostrar la forma como se piensa atraer clientes,
importadores, agentes, y mayoristas en línea para que hagan negocios
con la empresa, y la forma en que se va a mantener el interés de los
mismos.
• Contenido: Establecer los elementos que se piensan incluir en el sitio
web.
• Publicidad: Presentar los planes de publicidad. Éstos deben tener en
cuenta los requisitos extranjeros de etiquetado y de embalaje, los
aspectos relacionados con la traducción, las relaciones con los clientes,
los anuncios publicitarios de acuerdo a la cultura y las barreras
semánticas.
Seguridad y Comercio Electrónico
109
• Relaciones públicas: Establecer el plan con un programa regular y
consistente de actualización de productos y servicios. Esto podría incluir
un boletín electrónico, publicaciones de artículos en revistas técnicas,
comunicados de prensa, organización de reuniones de clientes, y
patrocinio de grupos de discusión en línea.
• Estrategia de ventas: Entre los detalles que deben presentarse están los
siguientes:
o Precios y rentabilidad. Formular una estrategia de fijación de
precios internacionales para vender, distribuir y comprar en línea.
Procesamiento de pedidos y de pagos. ¿Cómo se tomarán los
pedidos (por teléfono, fax, correo, en línea)? ¿Cómo se efectuarán
los pagos (por correo, en línea, transferencias bancarias)? Métodos
de distribución. Determinar dónde y cómo se harán las estrategias
en el extranjero. ¿Cómo se enviará la confirmación de pedidos y
embarques? Tácticas de promoción de ventas. ¿Se promocionará
el producto o servicio únicamente en línea o también con la ayuda
de herramientas tradicionales (por ejemplo, correo directo, correo
electrónico, visitas sin previo aviso, impresos, publicidad en radio
y televisión, etc.)?
• Servicio: Se debe formular la siguiente pregunta: ¿Se le presta servicio al
cliente, en caso de solicitarlo, después de completar la venta?
• Relaciones comerciales: Elaborar un plan para este fin, y determinar el
tipo de relaciones que se van a establecer (por ejemplo, de
agente/distribuidor) para desarrollar relaciones internacionales de
negocios, incluyendo aspectos tales como el de la capacitación
multicultural.
Seguridad y Comercio Electrónico
110
• Integración: Describir la forma de cómo se integrarán los sistemas con
los sistemas usados por el banco, clientes, proveedores, distribuidores,
etc.
• Programa de producción: Indicar el volumen inicial, los requisitos de
expansión, las fuentes de materiales, los sitios de fabricación.
• Proyecciones financieras: Ser realista y conservador.
• Presupuesto a doce meses: Pronosticar los costos del primer año de su
plan.
• Proyección del flujo de efectivo: Calcular las entradas y desembolsos en
efectivo.
Plan a cinco años: Incluir una proyección de pérdidas y ganancias
durante cinco años.
• Balance general: Mostrar la posición de liquidez y de efectivo de la
empresa.
• Análisis del punto de equilibrio: Calcular el número de unidades que se
necesita vender para alcanzar el punto de equilibrio.
• Fuente y uso de fondos: Indicar dónde se va a obtener el financiamiento
para iniciar o expandir la operación de exportaciones.
• Uso de los ingresos: Mostrar cómo se usarán las utilidades y los
préstamos.
• Conclusiones: Establecer nuevamente las metas básicas de la operación
de comercio electrónico, el capital total requerido, las utilidades
esperadas, el programa de negocios, y los comentarios generales.
Seguridad y Comercio Electrónico
111
• Apéndice: Incluir una hoja de vida de los individuos clave que
participaran en el plan; hacer una lista de los clientes clave, clientes
potenciales; incluya datos de estudios de mercado, planos, contratos y
proyecciones financieras para el plan.
3.5.3. Aspectos negativos en una estrategia de comercio electrónico
• No buscar asesoría: Las empresas nuevas en el comercio electrónico o
que desean expandirse hacia mercados extranjeros que desconocen, a
menudo no buscan asesoría calificada antes de desarrollar sus planes de
comercio electrónico.
• No lograr compromiso de la gerencia. Se debe asegurar que la alta
gerencia se comprometa firmemente con el desarrollo del plan. En la
formulación del plan deben participar todas las divisiones funcionales
de la compañía, es decir, gerencia, área administrativa, financiera, de
mercadeo, de producción y de capacitación, aunque se le debe asignar a
una persona la responsabilidad general del mismo. Esta visión global
facilitará la tarea subsiguiente de esta persona para obtener la
aprobación y el respaldo financiero de sus socios financieros para la
implementación del plan.
• No llevar a cabo una buena investigación de mercados: La investigación
de mercados en línea ha facilitado más que nunca el estudio de las
condiciones demográficas, políticas y socioeconómicas de cualquier país,
la identificación de las tendencias comerciales, oportunidades de
importación y exportación, etc. Se debe recurrir también a fuentes
tradicionales, sobre todo si aún no se ha vendido el producto en otros
países. Llevar a cabo investigaciones en pequeños grupos de enfoque de
Seguridad y Comercio Electrónico
112
clientes objetivo a fin de obtener comentarios acerca de las características
deseadas del producto, así como para conocer el interés y experiencias
respecto a las compras por Internet. Si todavía no se está exportando, es
conveniente enviar muestras de los productos, o encargar a un
representante que lleve las muestras a los mercados potenciales y las
someta a evaluaciones por parte de los clientes. También estudiar las
preferencias particulares de grupos de clientes potenciales en el
extranjero.
• No analizar los resultados de las investigaciones de mercados: Las
estrategias de comercio electrónico deben basarse en un buen análisis e
investigación de mercados. El análisis debe confirmar si el producto es
apropiado para ser vendido en Internet, si el diseño es atractivo en
mercados específicos, o si el producto satisface las preferencias
particulares que puedan tener grupos de clientes potenciales en el
extranjero.
• No determinar los flujos de exportaciones e importaciones (Análisis del
sector): Para muchas compañías es difícil obtener información acerca de
países que exportan e importan productos específicos. Para que los
exportadores logren hacer llegar el mensaje de mercadeo electrónico y
tener éxito en un mercado particular, es esencial determinar si el
producto será competitivo. Existen muchas fuentes de información sobre
oportunidades competitivas en un mercado. La mejor, pero la más
costosa, es hablar directamente con los clientes, o con los agentes, los
mayoristas y los comerciantes minoristas en el mercado especialmente si
se va a vender o a distribuir los productos por intermedio de ellos. Una
herramienta de comunicación a bajo costo que también puede ser útil es
el correo electrónico, pero se necesita encontrar la persona adecuada a la
Seguridad y Comercio Electrónico
113
cual se va a dirigir el correo y redactar un mensaje que logre el tipo de
respuesta que se requiere.
• No determinar el precio óptimo de exportación: Fijar el precio de un
producto es un factor importante para las proyecciones financieras.
Muchas empresas que exportan por primera vez o esporádicamente
pasan por alto los diversos costos foráneos que pueden influir en el
precio unitario. En las proyecciones financieras y en el presupuesto a tres
años se deben tener en cuenta todos y cada uno de los elementos del
plan de comercio electrónico. Cuando se trata de comercio electrónico a
escala internacional es necesario considerar los siguientes elementos
para la estrategia de fijación de precios:
o Diseño del sitio web
o Actualización del sitio web
o Monitoreo de los mensajes en el sitio web
o Procesamiento de pedidos a través de la web
o Mercadeo electrónico
o Porcentaje de margen de utilidad
o Comisiones por ventas
o Cargos por transporte
o Costos de financiamiento
o Comisiones por procesamiento de cartas de crédito
o Cargos por embalaje para exportación
Seguridad y Comercio Electrónico
114
o Gastos locales de transporte
o Descarga en Terminal
o Seguros
o Traducciones
o Condiciones de crédito
o Programas de pago
o Monedas de pago
o Porcentajes de comisiones
o Costos de almacenamiento
o Servicio post-venta
o Costos de reposición de mercancía dañada
• No reconocer cómo toman las decisiones los compradores: Es
importante entender la forma en que los compradores toman sus
decisiones de compra en Internet. El factor que más influye en una
decisión de compra, ya sea en línea o fuera de línea, es si el comprador
confía en el vendedor. Por lo tanto, debe hacerse todo lo posible para
asegurar que su sitio web proyecte confiabilidad.
• Comunicaciones generales de mercado: Muchas empresas que ingresan
por primera vez al comercio electrónico lo hacen de manera pasiva en
lugar de activa, haciendo ventas únicamente porque alguien de otro país
se puso en contacto con ellos. También, hay muchas empresas que no
Seguridad y Comercio Electrónico
115
venden en línea porque desconocen las oportunidades gratuitas o de
bajo costo, que se ofrecen para la comercialización. Además de las
técnicas tradicionales de mercadeo en línea, las mejores oportunidades
de comercialización se encuentran en catálogos que presentan productos
autóctonos, programas de compradores internacionales, servicios de
agentes y distribuidores, exhibiciones por catálogo, y asociaciones
comerciales.
• No verificar la solvencia económica del comprador: Antes de aceptar
cualquier negocio, es esencial verificar la solvencia económica del
comprador, distribuidor o socio potencial. Una cámara de comercio u
otra fuente similar del país del comprador puede proporcionarle una
referencia comercial, pero ésta no es una referencia de crédito. Para una
pequeña empresa, la mejor garantía es no otorgar un crédito comercial
tradicional para ventas en línea a compañías desconocidas. De ser
posible, utilizar un servicio de depósitos en custodia o insistir en el uso
de las tarjetas de crédito reconocidas (VISA, MasterCard, American
Express, etc.).
• Elección de métodos de distribución: Muchas empresas utilizan el
comercio electrónico directo como único medio para realizar negocios a
escala internacional. Un sitio web es un medio que le permite a la
pequeña empresa tener un máximo control del mercadeo,
financiamiento y crecimiento del mercado. Sin embargo, existen otros
métodos de publicidad, mercadeo y distribución. Entre esos métodos
están los siguientes: elegir a un agente de ventas por comercio
electrónico que trabaje por comisión, contratar a una compañía
administradora de comercio electrónico para que maneje las ventas,
designar a un representante de ventas en línea, negociar un contrato de
Seguridad y Comercio Electrónico
116
distribución, una empresa de riesgo compartido, y la producción en el
extranjero. Cualquiera de estos métodos de distribución puede ayudar
al exportador a implementar con éxito estrategias de comercio
electrónico, así como beneficiarse de la experiencia y de los contactos
que tenga un socio más experimentado en el comercio electrónico.
3.5.4. De la estrategia a la acción estratégica.
Si bien es cierto, la conciencia sobre la implementación del tema de
Comercio Electrónico ha ido incrementando paulatinamente, en algunos casos no
se tiene claridad sobre la manera de abordarlo. En otras palabras, una estrategia
organizada que parta de entender el impacto de los cambios del entorno y la
situación interna de la organización y que oriente la construcción de las soluciones
tecnológicas, para finalmente acompañar su implantación, con el fin de asegurar la
apropiación de la nueva forma de hacer el negocio.
Hasta aquí se han explicado los elementos clave de un proceso ordenado
para formular una estrategia de Comercio Electrónico. Aunque no todos los
modelos y metodologías siguen en estricto orden las actividades propuestas; en la
práctica conservan lineamientos similares. Hay pequeñas variaciones en los
detalles de cada paso, pero en el fondo mantienen una misma filosofía de acción.
¿Qué consideraciones son relevantes en cada uno de ellos? A continuación se
describen los 7 pasos para formular una estrategia de comercio electrónico.
Seguridad y Comercio Electrónico
117
3.5.4.1. Paso 1: Pensar la estrategia del comercio electrónico
Antes de emprender esfuerzos y comprometer recursos, es conveniente
planear el proceso de formulación de la estrategia. Es conveniente tomar
conciencia de la situación que enfrenta la compañía y el momento por el cual
atraviesa; ya que el proceso deberá acoplarse como parte de las actividades diarias
y ello, conlleva el riesgo de caer ante el acoso del día a día. Tomar un tiempo para
definir las metas en la formulación y los puntos de chequeo que involucrará para
garantizar que va avanzando en la dirección correcta, es útil para evitar esfuerzos
innecesarios.
Algunas organizaciones emprenden iniciativas sin considerar el esfuerzo
que requerirá diseñar la estrategia y terminan abandonado el objetivo. Evitar estas
situaciones, implica dedicar tiempo para discutir la forma de abordar el desarrollo
de la estrategia. Es necesario que el estratega, identifique los aspectos a considerar,
Seguridad y Comercio Electrónico
118
liste las actividades que deberá realizar para formular la estrategia, consulte temas
que no domina y las posibles alternativas para obtener ese conocimiento.
Adicionalmente, se hace indispensable formular un plan que permita estructurar la
estrategia desde la línea base y considerar la logística para hacer de la ejecución un
proceso dinámico y flexible.
Es útil indicar preguntas simples que le ayuden a identificar los pasos a
seguir. Su formulación apropiada favorece la búsqueda de soluciones, facilita la
delimitación del problema real y la forma de abordarlo. ¿Cómo se realizará el
entendimiento del negocio?, ¿Qué herramientas utilizar para lograr este
entendimiento?, ¿Qué disponibilidad de tiempo existe para implementarla?, ¿Qué
nivel de profundidad es necesario en cada una de las fases de la estrategia?, son
algunos ejemplos para comenzar la tarea. Finalmente, conviene validar si las
respuestas obtenidas obedecen a preguntas correctamente formuladas y si
muestran un camino viable y confiable.
Descrita la forma de iniciar el desarrollo de la estrategia, es necesario
entender lo que sucede dentro y fuera de la organización para determinar hacia
donde enfocar los esfuerzos.
3.5.4.2. Paso 2: Entender la estrategia del comercio electrónico.
Uno de los pasos iniciales en la formulación de la estrategia de e-bussines,
es entender lo que está pasando tanto dentro de la compañía como fuera de ella,
con el fin de identificar los aspectos internos y externos que indiquen como
proceder.
Entender implica lograr una visión del negocio, el entorno, factores internos
y externos, para encontrar los elementos que permitan realizar la mejor
recomendación, sobre el uso de Internet y otros canales electrónicos.
Seguridad y Comercio Electrónico
119
Adicionalmente para determinar el aporte como generadores de ingresos,
reductores de costos de operación o facilitadores de posiciones estratégicas
distintivas para la organización.
El análisis prospectivo, la planeación por escenarios, el manejo de modelos
mentales entre otros, proveen herramientas que ayudan a elaborar mejor la
formulación en este punto. Lo importante al final es, que el resultado obtenido del
análisis mantenga coherencia, pertinencia, y verosimilitud con la realidad de la
compañía.
Una vez entendidos los aspectos internos y externos que direccionan la
estrategia de Comercio Electrónico, es necesario definir los servicios que se
involucraran, el orden, el momento en el tiempo en que serán implementados y el
nivel de profundidad que requieren para soportar la estrategia global.
3.5.4.3. Paso 3: Definir la estrategia del comercio electrónico.
La definición de la estrategia de e-bussines que contenga los procesos a
mejorar, tecnología necesaria y la forma de prestar los servicios, de acuerdo a la
imagen e identidad de la organización; implica buscar las oportunidades en las
áreas de mejora identificadas del análisis del entorno y situación interna.
Por otro lado, la definición de los componentes de una estrategia de e-
bussines, requiere un modelo de pensamiento diferente. Cuando se habla de e-
bussines, se abre una ventana de oportunidades en cuanto a la forma de ofrecer el
servicio, la ubicación geográfica del consumidor, forma de pago, etc., que obligan
al estratega a pensar lateralmente. En otras palabras, a partir de una clara y
profunda visión de la situación de la compañía, usar la información recopilada,
para generar nuevas ideas mediante la reestructuración de los conceptos ya
existentes.
Seguridad y Comercio Electrónico
120
A continuación, listar ideas y organizarlas con su respectiva prioridad no es
suficiente para continuar con la implementación de la estrategia. Es necesario
analizarlas y estructurarlas de tal manera que constituya una línea de continuidad
en largo plazo. En la práctica se trata de identificar aspectos comunes entre todas
las ideas, que permitan crear una base sobre la cual, llegado el momento se
apoyarán las demás iniciativas.
En la formulación y definición de la estrategia de e-bussines se busca crear
una línea base, que soporte los cambios surgidos con el paso del tiempo, sin verse
avocados a cambios drásticos en el planteamiento inicial. Sobre esta línea base
estarán colocados los demás componentes de su estrategia de e-bussines que le
darán la flexibilidad de adaptación ante cambios inesperados.
Para definir la línea base, es apropiado contrastar la situación del entorno y
el estado actual de la compañía, evaluando la estrategia actual del negocio frente
los cambios identificados, para definir cursos o rutas alternativas de acción. El
esfuerzo debe concluir, definiendo cuales de los aspectos representan
oportunidades al desarrollarlos con el uso de canales electrónicos y detallando
aquellos en los que se va a enfocar inicialmente la organización.
Nuevamente la formulación de preguntas adecuadas y el cuestionamiento
de los paradigmas actuales del negocio, suele ser una forma útil de identificar los
componentes de la estrategia. ¿Qué áreas del negocio se pueden beneficiar con el
uso de canales electrónicos y en qué orden se debe abordar su mejoramiento?
Desde la ampliación de canales en una primera instancia, seguida por la
integración de la cadena de valor de la compañía, continuando con la integración
de compañías del mismo sector y donde cada una de ellas se enfoca en las
competencias que constituyen el núcleo de su negocio, hasta las iniciativas que
permitan ofrecer servicios con proveedores de diferentes industrias.
Seguridad y Comercio Electrónico
121
3.5.4.4. Paso 4: Diseñar la estrategia del comercio electrónico.
Una vez definidos los cambios es necesario diseñarlos. El diseño implica
analizar y cambiar la forma de operar de la organización. En otras palabras:
procesos, tecnología y capital humano. Aunque dependiendo de estas iniciativas y
el foco que la compañía defina como punto inicial en la estrategia, depende el
modelo a utilizar (B2B, B2C, etc.), una aproximación sencilla al diseño, sugiere
revisar los segmentos de clientes que serán los directos beneficiados de los
servicios implantados, los canales actuales con que cuenta la organización para
atenderlos y los canales electrónicos (web, Internet, correo electrónico, etc.) más
adecuados para ofrecer nuevos servicios a estos segmentos de clientes.
El diseño de la estrategia se enfocará en el análisis y modificación de
procesos y tecnología requerida.
Foco en los procesos: En la práctica, se revisan los procesos actuales de la
compañía, identificando que actividades se ejecutan para atender las diferentes
solicitudes de los diversos clientes. El foco es encontrar cuáles de ellos se repiten o
requieren ser optimizados, cuando el cliente contacta la organización por diversos
canales para realizar el mismo requerimiento.
Nuevamente la formulación de preguntas facilita la tarea de diseño. Por
ejemplo ¿Qué sucede desde la solicitud del servicio por parte del cliente hasta la
entrega del mismo? ¿Qué áreas de la compañía participan en ese proceso? ¿Qué
actividades son comunes a diferentes procesos, que se pueden fusionar para
optimizar el desempeño al interior de la empresa?
Los procesos cambian dependiendo del grado de madurez de la estrategia.
La figura de la siguiente página sugiere una forma de organizar las iniciativas de
mejora y candidatas a ser implementadas en la estrategia de e-bussines. También
se han agrupado en fases en el tiempo, donde cada fase representa un mayor grado
Seguridad y Comercio Electrónico
122
de madurez de la organización en el uso de canales electrónicos. Pues bien,
dependiendo de este grado de madurez la estrategia involucra cambios en los
diferentes procesos del negocio.
En una fase inicial de ampliación de canales, se cambian los procesos
actuales que no son radicalmente diferentes a los ya existentes, pero que si
representan una nueva forma en que la organización asume el día a día. Los
procesos que normalmente son rediseñados en esta fase, están relacionados con
mercadeo, ventas, gestión de órdenes de pedido, servicio al cliente, procesos de
compras y abastecimiento.
En una fase de integración de cadena de valor, se requiere un cambio radical
en la forma de ver los procesos. Los procesos ya no son vistos como conjuntos de
actividades al interior de la empresa, si no que vinculan actividades realizadas en
otras organizaciones como proveedores y socios de negocio. El proceso pierde su
carácter interno, por lo que están en su gran mayoría completamente
automatizados.
La automatización de procesos se apalanca en tecnología, para lo cual se
requiere especial atención en la identificación de su arquitectura.
El diseño se enfoca también en identificar la arquitectura tecnológica que
soportará a la estrategia. El objetivo es diseñar el esqueleto tecnológico de toda la
operación. De manera similar a la construcción de un edificio, donde se diseñan los
cimientos, la arquitectura tecnológica dará un vistazo a los aspectos requeridos por
la estrategia de e-bussines.
En la práctica es importante verificar que la arquitectura definida resuelva el
problema de negocio y contemple los sistemas actuales, incluyendo las formas de
pasar de las tecnologías actuales a las siguientes versiones en cada uno de los
canales.
Seguridad y Comercio Electrónico
123
Adicionalmente los siguientes aspectos forman parte de lo que debe estar
claro en cuanto a componentes tecnológicos: Seguridad que requiere la
información, nivel de desempeño mínimo para los procesos, nivel disponibilidad
de los servicios, entre otros. Finalmente, es fundamental asegurar que los
resultados del diseño son claros y entendidos por el equipo directivo de la
organización. Dado que los cambios que implica la implantación de una estrategia
de e-bussines afectan directa e indirectamente a varias áreas de la compañía, es
pertinente que el equipo directivo evalúe la claridad, coherencia y pertinencia de la
tecnología que se ha seleccionado, antes de iniciar la construcción.
Seguridad y Comercio Electrónico
124
Seguridad y Comercio Electrónico
125
3.5.4.5. Paso 5: Construir la estrategia del comercio electrónico.
La construcción implica aplicar el diseño. Consiste en la implementación de
los cambios a los procesos, la tecnología y la gente involucrada. Aunque existen
diversas metodologías para realizar los cambios en los procesos, la línea tradicional
está dada por el análisis, diseño, desarrollo e implantación del proceso a modificar.
La modificación de procesos, inicia con una documentación de los procesos
actuales para los servicios que se van a habilitar y la ubicación de los mismos
dentro del modelo de procesos global de la compañía. En este punto, se
determinan los flujos de información, documentos y los costos involucrados en su
realización.
Normalmente se continúa con la revisión del proceso, buscando formas
alternativas y optimizadas de reorganizarlo, aprovechando las posibilidades que
los canales electrónicos ofrecen. Esto incluye la reubicación de actividades
humanas y la definición de necesidades de capacitación y equipos de cómputo
necesarios para el proceso modificado. Posteriormente se evalúan los productos y
servicios buscando la facilidad en su fabricación y mantenimiento. A esta tarea le
sigue el desarrollo de las soluciones de tecnología necesarias y finalmente la
preparación de ambientes de pruebas, donde se realizan simulaciones que integran
gente, aplicaciones y los procesos rediseñados. Dados los niveles de complejidad
inherentes a estos cambios, es conveniente planificar la construcción de tal manera,
que permita realizar cambios paulatinos, que aborden la solución con resultados
intermedios que puedan ponerse en producción rápidamente y donde la
organización perciba el beneficio, sin necesidad de esperar a que toda la estrategia
esté finalizada.
Los planes detallados, las revisiones constantes y la evaluación objetiva
sobre el avance, son fundamentales para garantizar el entendimiento total y el
Seguridad y Comercio Electrónico
126
éxito de la construcción. En este punto, la estrategia pasa de ser un documento a
convertirse en hechos concretos, lo que conlleva un alto riesgo de perder el foco
con los detalles técnicos y los problemas derivados de la reestructuración del
proceso. Frecuentemente y por falta de control, se construyen soluciones que
difieren del diseño inicial y que implican esfuerzos adicionales posteriores para
adaptar o retomar el camino.
Para finalizar, es necesario evaluar constantemente los servicios
implantados. Una aproximación para realizar esta tarea, es definir un modelo de
medición de los procesos y servicios, de tal manera que faciliten el establecimiento
de métricas efectivas para evaluar niveles de calidad prestados y los grados de
satisfacción que expresan los destinatarios.
Una vez terminadas las pruebas en ambientes de operación y estén
vinculados los involucrados en el uso de los nuevos servicios, se proyectan los
siguientes pasos que darán continuidad a la estrategia de e-bussines.
3.5.4.6. Paso 6: Proyectar la estrategia del comercio electrónico.
Preparar los siguientes pasos en la estrategia de e-bussines, para dar una
línea de crecimiento continuo al negocio, consiste en seleccionar un nuevo conjunto
de servicios y planear otra iteración de los pasos anteriores.
Para definir los siguientes pasos es necesario revisar la visión general y
evaluar los resultados obtenidos en la fase que culmina. En esta evaluación, se
identifican los aspectos que constituyeron fortalezas y los problemas que
dificultaron la labor en los pasos anteriores, con el fin de corregir posibles errores
para el siguiente paso de la estrategia y apropiar conocimiento a partir de las
experiencias que culminan.
Seguridad y Comercio Electrónico
127
Es necesario garantizar que en los futuros pasos de la estrategia, no se
cometan los errores iniciales. No se puede esperar que tanto la situación de la
empresa en este momento, como las personas, perduren indefinidamente en la
organización. Como consecuencia, las experiencias adquiridas se pierden, cuando
la competencia se lleva a las personas que han aprendido en los proyectos
realizados en la estrategia. Esto tiene un costo representado en tiempo, esfuerzo,
dinero, etc. Es fundamental entonces, registrar la historia de la compañía y
garantizar que aprende del pasado.
Construir un sistema de conocimiento orientado a la colaboración o a la
publicación de buenas prácticas, es indispensable para garantizar este objetivo.
Dependiendo de la naturaleza de las tareas, podrá identificarse si se requiere un
esquema que propicie la colaboración entre los miembros de la organización, o la
conformación de repositorios de documentos donde se consoliden y publiquen las
experiencias adquiridas.
Barreras culturales, fallas en la coordinación de las tareas, acciones e
impacto de salidas inesperadas de miembros clave en los equipos de trabajo, nivel
de profundidad necesario en la documentación levantada, tiempos estimados para
la realización de las tareas versus tiempos reales incurridos, etc.; son temas
candidatos para incluir en la documentación. El objetivo, es identificar prácticas
que le ayuden a la organización a mejorar su capacidad para llevar a cabo su
estrategia en el futuro.
Tanto el entorno como la situación interna de la compañía cambian, por lo
que al realizar la proyección, es conveniente validar la pertinencia y oportunidad
de las alternativas definidas al iniciar su estrategia. Seguramente los cambios del
entorno, sumados a la experiencia adquirida en el proceso, son elementos para
ajustar el siguiente paso.
Seguridad y Comercio Electrónico
128
Luego de validar y ajustar los supuestos iniciales, es necesario estructurar
los nuevos servicios. Hay varias vías para realizar esta tarea. Una de ellas es llevar
los servicios ya implementados a un mayor nivel de profundidad, es decir, agregar
mayor automatización a los procesos y aplicaciones. En otras palabras, aquellos
con lo que la compañía está haciendo presencia, llevarlos a una mayor integración
con los sistemas del negocio. Otra vía es seleccionar nuevos servicios que por su
importancia ayudan a lograr posiciones estratégicas superiores.
Finalmente, se puede lograr una combinación entre las dos, de tal manera
que la estrategia fortalezca las iniciativas ya implementadas y presione la creación
de nuevas oportunidades para la empresa derivadas de la utilización de canales
electrónicos. Desde la fase más simple, como es el utilizar un canal de Internet para
publicar información básica de productos y servicios, hasta la integración de esos
canales con los sistemas del negocio, para brindar información y permitir
transacciones comerciales de compra y venta, sirven para focalizar el avance.
El paso de proyectar las ventanas de oportunidad futuras derivadas de su
estrategia, se superpone con el acompañamiento y monitoreo de la implantación y
transición del esfuerzo realizado.
3.5.4.7. Paso 7: Acompañar la estrategia del comercio electrónico.
El último paso consiste en acompañar las actividades para asegurar su
apropiación por parte de la organización. Implica hacer el seguimiento y participar
activamente en la adopción de los resultados de la estrategia. Sugiere el monitoreo
de la implantación de las mejoras y la medición constante del impacto positivo y
negativo de los nuevos servicios.
En muchas compañías, cuando se ha finalizado la construcción de los
sistemas y los procesos se han reorganizado; se considera que la mayor parte de la
Seguridad y Comercio Electrónico
129
tarea ya está terminada. Esto no es cierto. El mayor reto del estratega es lograr que
la organización apropie la nueva forma de trabajo. En otras palabras: que ésta
incluya los medios aportados por la estrategia como parte de sus hábitos de acción.
Lograr hábitos que caractericen el comportamiento organizacional, conlleva
un proceso que va desde la experimentación con los nuevos paradigmas, procesos
y tecnología, seguida de una repetición constante de dicho comportamiento, hasta
alcanzar la costumbre y finalmente con su profundización convertirlos en
principios que determinan los hábitos al actuar. Esta no es tarea fácil en los
procesos de cambio.
En una estrategia de e-bussines, el reto del estratega va más allá de
asegurarse que la gente apropie un cambio en un proceso, o se capacite para
consultar un pedido a través de un sistema de Internet. Debe ser capaz de
transformar la manera de pensar de la compañía, en torno a las posibilidades que
ofrecen los canales electrónicos. Implica enseñar a su equipo humano, a reformular
constantemente los paradigmas de trabajo, y con ello lograr una dinámica de
cambio en la mente de las personas.
Es necesario poner en práctica los cambios en el proceso, conjuntamente con
la tecnología que asegure que las herramientas implantadas son interiorizadas por
la organización y serán utilizadas para mejorar su desempeño. Muchas compañías
del medio, emprenden esfuerzos de mejoramiento que no son utilizados, por que
se pierde el impulso en el acompañamiento o porque la gente clave se retira, o
porque llegan miembros que no le dan continuidad a las iniciativas. Se necesita
control, monitoreo, persistencia y resistencia para obtener frutos.
También hay que dar soporte a las actividades de iniciación. En un principio
aparecieron muchas dudas, sobre la nueva operación, hasta que la curva de
aprendizaje de las nuevas herramientas y procesos se haya alcanzado. Por lo tanto
Seguridad y Comercio Electrónico
130
es conveniente, mantener un equipo continuo de soporte, para atender las dudas o
solicitudes de información que garanticen la fluidez de los nuevos servicios.
Otra cosa interesante es registrar información que permita evaluar
periódicamente los beneficios obtenidos y comunicar los resultados a todos los
involucrados. Para ello se necesita definir un esquema de niveles de servicio, que
permita medir el desempeño de los servicios implantados, canalizar las energías y
la percepción sobre los beneficios de las mejoras o los problemas encontrados; es
fundamental para evitar que se afecten las expectativas de todo el equipo.
Si bien, los pasos propuestos para desarrollar una estrategia de comercio
electrónico en la empresa, han sido descritos y constituyen una guía en la línea de
acción, no son todo lo necesario para tener éxito en la práctica. Algunos aspectos
adicionales explicados a continuación afectan el resultado esperado.
Además de esto, el construir una base sólida mientras se avanza, el cambio
constante, la habilidad para reducir la incertidumbre, así como la capacidad de
minimizar la complejidad paulatinamente, se convierten en factores determinantes
para hacer rentable la estrategia.
Parte de la formulación de la estrategia es diseñar una forma que le permita
incorporar variaciones dependiendo de aspectos inesperados. La organización
debe contemplar los procesos necesarios que permitan una mejora incremental a la
estrategia. Cada vez más, la estrategia se va robusteciendo e incorporando con
nuevos aspectos no contemplados en el pasado.
Las estrategias de Comercio Electrónico, llevan asociada una complejidad
inherente al uso de tecnologías hasta ese momento desconocidas para la
organización. Es recomendable, que dicha complejidad se aborde paulatinamente
de tal manera, que en una práctica sencilla se vaya digiriendo y apropiando
Seguridad y Comercio Electrónico
131
el cambio organizacional. La simplicidad facilita el entendimiento; y la claridad es
un aliado en estos procesos de trasformación.
La tendencia en estrategias electrónicas, es iniciar con procesos que hagan
publicaciones de información sencillas y paulatinamente incrementen la
interactividad, cuando los usuarios han alcanzado un nivel de uso adecuado.
Para finalizar, es importante enfatizar que el comercio electrónico es una
realidad y está estrechamente relacionado con la estrategia general de la compañía.
Por ello las organizaciones, necesitan involucrar a su estrategia los beneficios de las
nuevas formas de hacer negocios, apoyados en la tecnología. La formulación de
una estrategia de comercio electrónico, requiere de un proceso organizado y
continuo para aprovechar las oportunidades que ofrece la nueva economía.
Llevarla a cabo, implica entender los cambios del entorno, evaluar la capacidad de
la organización y desarrollar la forma de responder a dichos cambios a través de la
creatividad y dedicación.
Contrariamente a lo que se percibe en la práctica, formular estrategias de
comercio electrónico, conlleva a pensar mucho más allá de la tecnología. Es más
que instalar y configurar un sitio web, instalar un servidor de correo electrónico o
habilitar un Call Center. Lleva integrada una visión del negocio y una manera
coordinada de realizar los cambios en los procesos y en el capital humano
necesario.
3.5.5. Elementos clave de una web de comercio electrónico
Catálogo Dinámico de Productos.
Proporciona a los visitantes (clientes) información organizada sobre sus
productos, y herramientas de búsqueda por diferentes criterios (precio, nombre,
Seguridad y Comercio Electrónico
132
categoría y otras características). La actualización del catálogo se lleva a cabo de
manera sencilla a través de un módulo de administración.
Catálogo Dinámico de Servicios.
Proporciona a los visitantes (clientes) información organizada sobre sus
servicios, y herramientas de búsqueda por diferentes criterios (precio, nombre,
categoría y otras características). La actualización del catálogo se lleva a cabo de
manera sencilla a través de un módulo de administración.
Carrito de Compras.
Permite al cliente tener control sobre los artículos que ha seleccionado para
su compra. Dichos artículos pueden ser removidos o agregados al carrito en
cualquier momento.
Sistemas Electrónicos de Pago.
Mediante este módulo, se habilita al sitio web para recibir pagos
electrónicos, mediante tarjeta de crédito, o depósito bancario de forma segura.
Incluye la interfaz con el catálogo de productos, carrito de compras y sistemas
bancarios. Se utiliza seguridad SSL y SET para evitar fraudes electrónicos.
Sistema de Control de Órdenes.
Este módulo permite tener un eficiente control sobre los pedidos que se
reciben en el sitio web, proporcionando información importante como el estatus
del pedido, cuando fue pagado, entregado, etc. Además, permite tener historiales
de transacciones por cliente, con lo que se conocerá más acerca de la constancia y
gustos de los compradores.
Seguridad y Comercio Electrónico
133
3.5.6. Conclusión
Con las avanzadas tecnologías, se han sobrepasado las barreras comerciales
y en estos momentos "cualquiera" puede tener acceso a un bien o servicio sin
importar donde se encuentre, el comercio electrónico ha acercado al consumidor,
aminorando las distancias y reduciendo los costos considerablemente, y así
colaborando al desarrollo de los países y sus empresas.
Existen reglamentos y leyes aceptados mundialmente creados por la OMC
que favorecen y protegen tanto a empresas como usuarios. Cada país, por su parte,
ha desarrollado y adaptado estas leyes a sus necesidades y requerimientos
socioculturales, facilitando de este modo el comercio electrónico de cada región.
A lo largo de este proyecto se ha podido constatar la importancia del
comercio electrónico, el impacto que ha generado mundialmente tanto para
empresarios como para el colectivo general y lo importante de este medio para el
desarrollo de las Pymes. Además se ha logrado definir las estrategias de las que se
pueden valer las empresas para desarrollarse en el mismo.
Un sitio web de comercio electrónico es una ampliación de un negocio en
constante evolución, los sitios web se han creado para aprovechar las inversiones
existentes en las empresas para así usarlas junto con la tecnología y planificar el
futuro.
El primer paso para convertirse en una empresa del comercio electrónico es
descubrir cómo actúa la competencia, cómo se debe comprender la propia
empresa, el sector y las perspectivas futuras
Una estrategia de comercio electrónico eficaz debe abarcar todas las fases
del proceso de venta: desde crear una concientización, un interés y un deseo,
pasando por la venta, hasta el servicio y el soporte.
Seguridad y Comercio Electrónico
134
El comercio electrónico, sin lugar a dudas, ha permitido ampliar los canales
tradicionalmente usados para proveer de bienes y servicios a un mercado de
consumidores en crecimiento. Esto no puede ser obviado por quienes intenten
competir por captar parte de estos consumidores y colocar sus productos.
Seguridad y Comercio Electrónico
135
44
EEjjeemmpplloo pprrááccttiiccoo ddee uunnaa eemmpprreessaa ddee ccoommeerrcciioo eelleeccttrróónniiccoo
Seguridad y Comercio Electrónico
136
4. Ejemplo práctico de una empresa de comercio electrónico
4.1. Plan de negocio.
Nombre de la empresa: Muziko
Descripción: Tienda online para instrumentos de música clásica.
Misión: “Si lo necesitas, se consigue”.
4.1.1. Resumen ejecutivo
Muziko es una tienda especializada en la venta de material dedicado a la
música clásica, tales como instrumentos o accesorios relacionados. Hay tres ejes
principales sobre los que gira el proyecto (siendo diferenciadores los dos
primeros):
� Se pretende ofrecer un servicio sencillo y económico de adquirir
instrumentos o accesorios para toda la gente relacionada con el mundo de la
música clásica.
En correspondencia con “La misión” (indicada con anterioridad), la intención
es satisfacer al mayor número de usuarios. Para ello se facilitará una sección donde
el usuario podrá ponerse en contacto fácilmente con la tienda en caso de no
encontrar algún accesorio. De este modo, a raíz de las necesidades de los
miembros, se irá configurando un extenso abanico de productos según las
solicitudes que se tramiten. El objetivo será: “Si lo necesitas, se consigue”. Esto será
posible gracias a una estrecha y larga relación ya existente entre Muziko y los
principales proveedores del sector.
Seguridad y Comercio Electrónico
137
Un novedad que ofrece Muziko al usuario es la de poder crear una
comunidad de usuarios. Sólo será necesario el registro previo gratuito en el sistema
como usuario, indicando el perfil de la persona (profesor, oboísta, etc.). Esto
permitirá fidelizar al usuario y poder ofrecerle directamente al email ofertas
personalizadas. Además, al registrarse un usuario, éste podrá también subir su
currículo, permitiendo crear así, una bolsa de empleo online. Esta función no
tendrá ningún coste por pertenecer a la comunidad, y los datos tratados se harán
de forma confidencial, respetando en todo momento la Ley Orgánica de Protección
de Datos.
Adicionalmente, se ha realizado un esfuerzo centrado en una exhaustiva
estrategia de liderazgo en costes. Como se puede leer en este plan, todas y cada
una de las áreas (excepto la dirección) se pretenden externalizar, obteniendo así la
oportunidad de seleccionar los agentes más eficientes del mercado en cada área,
consiguiendo una óptima eficiencia global y maximizando los recursos
disponibles. El resultado final es un proyecto con un presupuesto muy inferior al
de los competidores pero con una calidad equiparable.
4.1.2. Análisis y diagnóstico de la situación
4.1.2.1. Análisis del entorno general
El sector de la música clásica es un sector en auge en este país. Mientras que
antiguamente los músicos tenían que emigrar a otros países europeos (como
Francia o Alemania) para trabajar, cada vez más gente se dedica a este sector en la
actualidad en España. Así pues, un sector como éste que está en pleno crecimiento,
necesita un servicio estable y fiable que le pueda proporcionar los materiales
necesarios para el desempeño de esta afición y/o profesión. Dentro del sector, y
según el subsector (se corresponderá con el tipo de instrumento musical), se
Seguridad y Comercio Electrónico
138
encuentran diversas necesidades. Algunos de estos productos son indispensables
para tocar un instrumento de diario, como son las cañas para algunos instrumentos
de viento, de las que se pueden llegar a utilizar dos en un mes.
Debido a esta gran y continua necesidad de los músicos, es necesario un
servicio rápido y eficaz. Además, también estará disponible la venta de material de
apoyo de todo tipo, tales como partituras y DVD’s o CD’s especializados (difíciles
de encontrar en el país). Internet ha hecho posible este factor, permitiendo
conseguir un servicio en tienda o domicilio para todo tipo de personas.
4.1.2.2. Análisis del entorno específico – 5 fuerzas de Porter
a) Barreras de entrada.
Dentro del panorama de Internet, se puede considerar que un
negocio de música con un repertorio tan grande de productos
(generalmente caros) supone unas relativamente fuertes barreras de
entrada, ya que la inversión requerida (del orden de 200.000 € para los
competidores) y los recursos necesarios superan ampliamente la media de
los sitios web que actualmente se estiman en funcionamiento.
Sin embargo no hay que olvidar que esto no supone un impedimento
para Muziko, que en la actualidad ya contaba con un servicio de tienda bien
establecido desde hace años. Esto va a permitir un negocio nuevo apoyado
en otro bien consolidado, con lo cual el riesgo a correr será mucho menor.
b) Competencia.
El mercado todavía es incipiente y la competencia relativamente
reducida. Ello permite amplios márgenes brutos que rondan el 80% en la
Seguridad y Comercio Electrónico
139
actualidad. A continuación se incluye un breve análisis sobre algunos de los
mayores competidores.
Principales competidores web:
Uwe Henze (www.uwe-henze.de)
Esta tienda online lleva mucho tiempo establecida y tiene gran éxito
en toda Europa. El problema que existe es que se trata de una tienda
únicamente para instrumentos de viento. Además, al ser alemana, los gastos
de envío son más caros y no está disponible un posible servicio en tienda
con Muziko. También, a diferencia de Muziko, hay que tener en cuenta que
no ofrece ningún servicio de comunidad, tales como sugerencias, bolsa de
empleo/contactos, etc.
Seguridad y Comercio Electrónico
140
ZasMusic (www.zasmusic.com)
Caso muy similar al anterior. En este caso se trata de una tienda
valenciana especializada sólo en instrumentos de viento y sin servicio en
tienda. Esto hace que si algún cliente quiere ver primero algún material o
instrumento antes de comprarlo no podrá. Tampoco ofrece ningún tipo de
servicio adicional a usuarios registrados.
Principales competidores en tienda:
Hazen (www.hazen.es)
A pesar de tener página web, no ofrece servicio a domicilio y se trata
de una única tienda en Madrid. Muziko, a parte del servicio a domicilio,
también cuenta con 3 tiendas repartidas entre las capitales de las
comunidades con mayor demanda musical (Madrid, Barcelona, Valencia).
De este modo, aparte de poder vender por internet y de ofrecer los servicios
característicos que la web permite (comunidad de usuarios, etc.) también
Seguridad y Comercio Electrónico
141
hace posible la venta cara a cara, la única posibilidad para muchos
compradores hoy en día. El hecho de tener 3 tiendas repartidas entre los
núcleos musicales más importantes del país, garantiza el éxito de la venta
directa.
Mundimúsica Garijo (www.mundimusica.es)
Este competidor sería el más semejante a Muziko, aunque con
algunas carencias. Para empezar, sólo dispone de servicio en tienda y posee
una única tienda en Madrid. La web, sin embargo, ofrece algunos servicios
adicionales como noticias, galería de fotos o descargas de programas de
humor. Pese a eso, no ofrece ningún tipo de servicio de foro, comunidad de
usuarios, sugerencias o bolsa de empleo/contactos. Muziko continuaría
siendo muy superior en cuanto a servicios que ofrece.
Seguridad y Comercio Electrónico
142
c) Clientes
Al tratarse de productos en su mayoría de consumo habitual (excepto
los instrumentos, que se compran con una frecuencia de cada 4 años) los
clientes suelen mostrar fidelización a las tiendas una vez empiezan a
comprar en ella. Como Muziko ofrece una variedad de servicios únicos en el
mercado y pretende hacerse publicidad en los distintos conservatorios del
país (se posee una gran cantidad de contactos como profesores y
profesionales), se prevé que muchos de los clientes habituales en tienda
pasen a utilizar la web, y que en un plazo de 2 años, el número de ventas de
Muziko se amplíe en un 120%.
d) Proveedores
Hay un gran número de proveedores dentro del panorama musical,
cada uno de ellos especializado generalmente en un instrumento concreto.
Para ello se cuenta con un ya consolidado contacto con los principales
proveedores, permitiendo precios muy competitivos y adaptándonos a los
Seguridad y Comercio Electrónico
143
requisitos del mercado. En caso de la existencia de sugerencias para nuevos
productos, se buscarán los proveedores adecuados que ofrezcan la mayor
relación calidad-precio, estableciendo un estrecho vínculo comercial para
siguiente ocasiones. De este modo se conseguirán las mejores ventajas
económicas.
e) Productos sustitutivos
Debido a que se trata de un servicio único e inexistente hasta el
momento (ya se analizó a los competidores directos e indirectos con
anterioridad) no se encuentran productos sustitutivos únicos, aunque si se
podría conseguir este servicio con la unión de otros muchos, como un
servicio en tienda, otro online, un foro y una red de contactos. El uso de
tantos servicios simultáneos no suele ser bien aceptado por los
consumidores, con lo cual la existencia de una alternativa factible se hace
muy difícil.
4.1.2.3. Análisis interno
Hay muchas tiendas de instrumentos musicales en Internet ofreciendo
precios competitivos, con la contraposición de tener que pagar elevados gastos de
envío por tratarse de elementos pesados. También hay muchas tiendas físicas que
no ofrecen un servicio a domicilio, obligando a gente muy ocupada o que viva
alejada, tener que desplazarse para comprar materiales secundarios como cañas o
palas. Sin embargo, parece que no hay ningún servicio que ofrezca las ventajas de
ambas modalidades de forma competitiva. El objetivo es ofrecer dicho servicio,
permitiendo también, hacer pedidos online pero con la posibilidad de irlos a
recoger a una tienda y ahorrándose de ese modo los gastos de envío
correspondientes.
Seguridad y Comercio Electrónico
144
Adicionalmente, se pretende crear una comunidad de música. Los
diferentes usuarios podrán estar vinculados con sus amigos o conocidos, de forma
que puedan conocer qué perfiles o currículos hay, además de intercambiar
consejos, opiniones o noticias de conciertos. El objetivo es recrear en Internet la
condición social de la música.
Si se consigue este objetivo, el apego de los usuarios al servicio será elevado,
pues aunque un competidor decida también ofrecer tienda online y física a la vez,
el usuario permanecerá donde su comunidad de amigos/profesionales/alumnos y
conocidos esté asentada. Es el mismo caso que se da en España con MSN
Messenger y otros servicios como Yahoo Messenger. Todos los servicios de
mensajería instantánea tienen similares características, sin embargo los usuarios
tienen elevada fidelidad a MSN Messenger. La razón es simple: “Uso MSN
Messenger porque mis conocidos lo usan y es la forma de relacionarme con ellos”.
Seguridad y Comercio Electrónico
145
4.1.2.4. Diagnóstico cualitativo
Análisis DAFO
Oportunidades Amenazas
Mercado de rápido crecimiento.
No hay gran competencia a nivel
global.
Concienciación de la sociedad y
medidas por parte de las
administraciones públicas.
Bajada de los precios de los
competidores.
Aparición de otros servicios
similares.
Fortalezas Debilidades
Ofrecer tienda online a la vez
que física.
Modelo sólido de fidelización.
Comodidad para el usuario
frente a las tiendas habituales.
Mayor abanico de medios de
pago que la competencia: tarjeta
de débito, crédito y pago por
Paypal.
Puede que se abuse de los
servicios alternativos gratuitos
de la web, sin que los usuarios
compren ningún producto.
Podría no ser interesante para el
usuario la comunidad musical.
Falta de experiencia en el área de
música online por parte del
fundador.
Seguridad y Comercio Electrónico
146
4.1.3. Producto
a) Descripción del producto
El producto consiste en ofrecer un servicio alternativo a la tienda
física, permitiendo los pedidos vía Internet, ofreciendo comodidades de
pago como Paypal. Se venderá todo tipo de material necesario por el
usuario. Cualquier producto no disponible, podrá se encargado sin coste
adicional poniéndose en contacto con el personal de la tienda. Los
productos disponibles serán instrumentos, accesorios para instrumentos,
partituras y multimedia (CD’s y DVD’s).
Todo esto vendrá acompañado por la inclusión de una comunidad
musical en la que los amigos y conocidos o profesionales y profesores se
relacionaran para encontrar nuevos perfiles musicales o currículos,
comunicarse con relación al tema musical y recomendar actos, conciertos o
productos a otros usuarios.
Muziko estará pendiente de las opiniones sobre productos de los
usuarios, retirando en su defecto aquellos productos que sean de mala
calidad para los compradores. El objetivo es la mayor calidad al mejor
precio.
La mayoría de productos (accesorios musicales) son de consumo
corriente, con alta frecuencia de compra (1 vez al mes) y de precio unitario
medio de 10€. Sin embargo los márgenes son elevados debido a la poca
competencia actual.
b) Necesidad que satisface
La comunidad musical requiere de material para poder llevar a cabo
su profesión/afición.
Seguridad y Comercio Electrónico
147
c) Ciclo de vida del producto
El servicio web se encuentra en la etapa de lanzamiento, y el de
tienda en etapa de maduración.
4.1.4. Objetivos y estrategias
4.1.4.1. Establecimiento de objetivos
Los principales objetivos son dos:
a) Superar las ventas actuales en un 120% en un periodo de 24 meses.
b) Conseguir una media de 5 registros de usuarios diarios durante el primer
año. De este modo se garantiza un crecimiento de la comunidad de usuarios
piramidal, de modo que crezca ampliamente durante el segundo año.
4.1.4.2. Formulación de estrategias
Se desea aplicar una estrategia corporativa de crecimiento, particularmente,
de penetración en el mercado, pues la presencia actual de Muziko en la web es
nula.
En cuanto a la estrategia de negocio, se pretende desarrollar una estrategia
competitiva de bajo coste debido al aprovechamiento de economías de escala a
través de proveedores ya conocidos y también una estrategia competitiva de
diferenciación, al ofrecer nuevos servicios incorporados al producto. El producto
no sólo consiste en material musical sino también en una red social cuyo epicentro
es la música.
Seguridad y Comercio Electrónico
148
También se va a aplicar una estrategia de comercialización mediante la cual
los propios usuarios se encargaran de opinar y valorar de forma indirecta el
producto. Enviaran invitaciones a sus conocidos para que se unan a su comunidad
musical y además se les proporcionará ofertas en exclusiva según su perfil y
frecuencia de compra, aumentando así la exposición de la marca.
4.1.5. Plan de marketing
4.1.5.1. Política de producto
La política del producto en este caso está enfocada al cambio psicológico: las
tiendas musicales existen desde hace mucho tiempo (tanto las físicas como las
online), sin embargo, la intención es que el usuario lo perciba como un cambio
radical que implica que podrá disfrutar de todas las ventajas que ofrece una tienda
online con las que ofrece una tienda física, además de todos los privilegios que
tiene estar registrado en la web. Esto principalmente proporciona comodidad y
facilidades al usuario que serán percibidas instantáneamente, lo que fortalecerá la
imagen del producto como novedad.
La marca elegida es Muziko.es, debido a que es un dominio genérico que se
asocia inmediatamente con el producto que se vende. También es fácil de leer,
escribir y pronunciar para usuarios de cualquier nacionalidad (no sólo usuarios de
habla española). Esto permitirá en un futuro próximo la extensión a otros países,
sobre todo europeos.
4.1.5.2. Política de distribución
Se usará venta directa a través del canal online o a través del canal físico (la
tienda correspondiente). Un usuario, si vive cerca de una tienda y quiere ahorrarse
Seguridad y Comercio Electrónico
149
los gastos de envío, podrá aprovechar los precios ventajosos de la web (en
ocasiones habrá ofertas exclusivas para la compra online) y venir a recoger el
pedido.
4.1.5.3. Política de comunicación
La política de comunicación va a consistir en provocar que sea el propio
usuario el que invite a sus conocidos a su comunidad musical. Esto se conseguirá
ofreciendo ciertos privilegios en función del tamaño de la comunidad musical de
cada usuario; así se premiará al usuario según tenga más miembros en su
comunidad, por ejemplo ofreciendo ofertas especiales u otro tipo de descuentos y
promociones similares. De esta forma, se obtendrá un “marketing viral” que hará
que el producto se dé a conocer rápidamente de la mano de gente de confianza de
los usuarios. Un ejemplo del funcionamiento de este tipo de marketing es el sitio
hi5.com, que obtuvo excelentes resultados de esta forma. También MySpace.com
usó este tipo de marketing con gran éxito, siendo actualmente el 4º sitio más
visitado del mundo (fue fundado a finales de 2003 y en 2005 los fundadores lo
vendieron por 580 MM de dólares).
Por último, se ha considerado el llevar a cabo una campaña de
comunicación entre las principales escuelas y conservatorios de música del país. Se
posee ya de una amplia agenda de profesores y profesionales, clientes habituales
de la tienda física. Estos serán los encargados de promocionar la tienda web y la
comunidad musical entre sus contactos y alumnos, ofreciendo a cambio una serie
de ventajas y descuentos por su labor. La inversión estimada pues, será muy baja
aunque no por ello menos eficaz. Se ha optado por esta estrategia de comunicación
en vez de la inversión en publicidad directa debido a que Muziko no pretende
hacer un gran desembolso inicial para el lanzamiento del nuevo servicio.
Seguridad y Comercio Electrónico
150
4.1.5.4. Localización
Muziko ya posee 3 tiendas en España repartidas entre los núcleos más
importantes de música en el país: Madrid, Barcelona y Valencia. La sede principal,
sin embargo, se encuentra en Madrid, y será desde aquí donde se gestionará todos
los contenidos y pedidos de la página web. El resto de tiendas, sin embargo,
también podrá recibir pedidos, pero la atención requerida para la web será menor.
Se pretende de este modo centralizar el negocio de la web y derivar la menor carga
de trabajo posible en las sucursales secundarias.
4.1.6. Plan de recursos humanos
Dado que los primeros tres meses no se espera una actividad muy
importante, sólo será necesario un desarrollador encargado del mantenimiento,
trabajando una jornada laboral de 7 horas de 9 a 18 horas. Será el encargado de
desarrollar la web, solucionar las incidencias y de ponerla al día con la ayuda de
los dependientes de la tienda actuales. Además, deberá familiarizar al personal de
la tienda con la web. El objetivo es que en el plazo de 6 meses, todos los
encargados de las tiendas sean capaces gestionar la web por sí solos. De todos
modos, a partir de ese plazo inicial de 6 meses, se contará con la ayuda de otra
persona con una jornada reducida, que se encargue de tramitar los pedidos de la
web, de personalizar ofertas, de observar y estudiar las preferencias de los
usuarios, etc. A medida que el tráfico de la web aumente, esta persona aumentará
las horas laborales y se considerará la contratación de más personal.
Seguridad y Comercio Electrónico
151
4.2. Arquitectura.
Esta fase tiene como fin el definir las posibles soluciones de la arquitectura
que consigan satisfacer tanto los requisitos como las restricciones del diseño. Para
ello se estudiaran tanto las distintas plataformas web que se pueden utilizar, como
el distinto software a implantar como tienda de comercio electrónico.
4.2.1. Plataforma web
La plataforma web es el lugar que contendrá la aplicación de comercio
electrónico, y la arquitectura a utilizar será una arquitectura web de aplicaciones.
Con el fin de permitir la reutilización de la plataforma en un futuro, la arquitectura
se divide en tres niveles:
1. Nivel de presentación: Lo forma la aplicación de comercio electrónico y es
responsable de la adquisición de datos y la presentación del mismo al
usuario. Se ejecuta en el cliente.
2. Nivel de negocio: Formado por el código de la aplicación de comercio
electrónico. Se ejecuta en el servidor web.
3. Nivel de datos: Formado por el código de gestión del almacenamiento y
recuperación de los datos. Se ejecuta en el servidor de base de datos.
Es decir, se utilizará una arquitectura web compleja en tres niveles. Según el
nivel de la aplicación, se tienen las distintas alternativas:
Nivel de presentación (Cliente)
Debido a que la plataforma se presenta como un servicio web, el cliente
podrá ser cualquier navegador web. El navegador traducirá el código HTML de las
páginas y presentará los resultados al nivel de negocio en el servidor web.
Seguridad y Comercio Electrónico
152
Nivel de negocio (Servidor web)
Es un programa que implementa el protocolo http y se ejecuta continuamente
en un ordenador, manteniéndose a la espera de peticiones por parte de los clientes.
El servidor responde al cliente enviando el código HTML de la página. El cliente,
con el código, lo interpreta y muestra en pantalla. A continuación se detalla la
arquitectura elegida para implementar el servidor web:
• Apache: Es un servidor HTTP OpenSource para plataformas UNIX,
Windows, Macintosh y otras.
• PHP: Es el lenguaje de programación interpretado, diseñado originalmente
para la creación de webs dinámicas. Esta diseñado especialmente para
desarrollo web.
Se ha elegido esta arquitectura básicamente por dos razones: por su gran
aceptación en Internet y toda la documentación que existe sobre ella, y por ser
software libre, haciendo que incurra con un coste nulo pero proporcionando un
servicio profesional.
Nivel de datos (Servidor de base de datos)
Es el denominado Sistema Gestor de Base de Datos (SGBD), es un software
específico dedicado a servir de interfaz entre la base de datos, el usuario, y las
aplicaciones. Se compone de un lenguaje de definición de datos, de un lenguaje de
manipulación de datos y de un lenguaje de consulta.
A continuación se detalla el SGBD elegido:
• MySQL: Es uno de los servidores de base de datos más popular y
conocido en el mundo que destaca por ser software libre,
proporcionando rapidez, estabilidad y facilidad de desarrollo.
Seguridad y Comercio Electrónico
153
4.2.2. Aplicaciones de comercio electrónico
Para la realización de este apartado, cuyo objetivo es la elección del sistema
para la implantación de la tienda on-line, se ha realizado un estudio previo de
evaluación de las distintas alternativas existentes en el mercado.
VirtueMart
VirtueMart es una solución de e-commerce OpenSource que se integra con
el gestor de contenido Joomla y Mambo. Ambos sistemas están desarrollados en
un ambiente PHP y MySQL.
Es fácil de implementar (se instala como componente de Joomla) y al estar
integrando con un manejador de contenido lo hace una solución bastante robusta
en comparación con otros sistemas. Entre sus características están:
• Productos y categorías ilimitadas.
• Posibilidad de manejarlo simplemente como un catálogo y desactivar las
funciones de tienda en línea.
• Los productos pueden asignarse a múltiples categorías.
• Posibilidad de vender productos descargables (Mp3, películas, vídeos, etc.).
• Maneja descuentos por productos.
• Manejo de inventario.
• Administrar tarifas de envíos.
• En cuanto al manejo de pagos puede utilizar los siguientes métodos:
2Checkout, PayPal (IPN), Payflow Pro, Authorize.net (AIM) y eCheck.
Seguridad y Comercio Electrónico
154
ZenCart
Zen Cart es otra solución gratuita para el desarrollo de tiendas en línea. Está
desarrollado por un grupo de propietarios de tiendas, programadores y
diseñadores. Entre sus características están:
• Fácil instalación.
• Múltiples ventas y descuentos.
• Múltiples formas de desplegar la información.
• Sistema de plantillas XHTML.
• Páginas extra ilimitadas.
• Incluye un administrador de banners.
• Múltiples opciones de envío.
• Múltiples opciones de pago.
• Manejo de boletines.
OpenCart
Es un sistema relativamente nuevo pero que no debe ser dejado de lado, ya
que al ser OpenSource el crecimiento en cuanto a características puede ser
exponencial. Entre las características actuales están:
• Fácil uso.
• Fácil de indexar por buscadores.
• Panel de administración amigable al usuario.
Seguridad y Comercio Electrónico
155
• Multilenguaje.
• Posibilidad de cobro por PayPal o Money Order.
• Envío de boletines.
• Presentación de informes.
Magento
Magento es una solución OpenSource para la creación de tiendas virtuales.
El sistema tiene como máxima resultar amigable al usuario, tanto en la parte de
catálogo como en la parte de administración. Aun está en fase beta pero es posible
utilizarlo sin ninguna restricción, y en un futuro tenerlo en cuenta para poder
implementarlo. Está desarrollado en PHP 5 y MySQL. Entre sus características
están:
• Optimización para buscadores (SEO).
• Envío a múltiples direcciones.
• Características de marketing.
• Definición de reglas para los impuestos.
• Multilenguaje.
• Múltiples formas de cobro.
• Incorpora un manejador de contenido CMS.
Seguridad y Comercio Electrónico
156
FatFreeCart
FatFreeCart es la versión gratuita del sistema e-Junkie. Se puede integrar en
un sitio web o blog sin requerir ningún tipo de registro, ya que trabaja con PayPal
y Google Checkout. Además soporta diversas clases de productos, envíos y tarifas
de impuestos.
4.2.3. Solución elegida: osCommerce
Para la realización de este proyecto se ha realizado un estudio previo (ver
apartado 4.2.2) sobre los CMS´s (Content Management System) más populares que
contienen un módulo para comercio electrónico o son diseñados especialmente
para esto, verificando que estos controladores permitan un entorno confiable,
eficaz y potente, desde el manejo de bases de datos hasta la modificación de una
interfaz segura y de fácil uso para el desarrollo del proyecto.
osCommerce es un proyecto OpenSource que se ha posicionado como uno
de los CMS´s más utilizados en el mercado europeo para soluciones del tipo e-
commerce, contando con aproximadamente 4351 tiendas en línea. Esta herramienta
se ha convertido en una de las mejores soluciones de código abierto existentes para
la creación de tiendas virtuales, que además de ser gratuita, es sencilla de
administrar y adaptar.
osCommerce permite instalar una tienda virtual en cuestión de minutos, al
ser sistema en código abierto, ofrece una serie de ventajas, como que es gratuito,
que está en constante mejora, que cuenta con una gran soporte en los foros de
discusión, y finalmente, que si se encuentra algún fallo, es posible reportarla al
equipo de desarrollo y corregirla rápidamente.
Seguridad y Comercio Electrónico
157
Así pues, se ha optado por osCommerce por ser una solución fácil, rápida y
segura al comercio electrónico, por las características, requerimientos técnicos y
ventajas que ofrece, así como su implementación en un servidor local.
Remarcar también el hecho de que se trata de un software gratuito
licenciado bajo GPL. Es importante considerar los aspectos más relevantes de dicha
licencia, que especifican lo siguiente:
• Libre distribución. No debe haber restricciones para vender o distribuir el
software.
• Código fuente. El software debe incluir el código fuente y debe permitir
crear distribuciones compiladas siempre y cuando la forma de obtener el
código fuente esté expuesta claramente.
• Trabajos derivados. Se debe permitir crear trabajos derivados, que deben
ser distribuidos bajo los mismos términos que la licencia original del
software.
• Integridad del código fuente del autor. Se debe permitir la distribución del
código fuente modificado, aunque puede haber restricciones para que se
pueda distinguir el código fuente original del código fuente del trabajo
derivado.
• No discriminar personas o grupos. La licencia no debe discriminar a
ninguna persona o grupo.
• No discriminar ningún tipo de uso del programa. La licencia no debe
impedir a nadie el uso del programa en una determinada actividad. Por
ejemplo, no puede impedir el uso en una empresa, o no puede impedir el
uso en investigación genética.
Seguridad y Comercio Electrónico
158
• Distribución de la licencia. Los derechos que acompañan al programa
deben aplicarse a todo el que redistribuya el programa, sin necesidad de
licencias adicionales.
• La licencia no debe ser específica a un producto. Los derechos que da la
licencia no deben ser diferentes para la distribución original y para la que
funciona en un contexto totalmente diferente.
• La licencia no debe ir en contra de otro software. La licencia no debe
restringir otro software que se distribuya con el mismo. Por ejemplo, la
licencia no debe indicar que todos los programas distribuidos
conjuntamente con él deben ser OpenSource.
Es pues íntegramente OpenSource, lo cual permite que esté constantemente
actualizado por la comunidad, añadiendo todo tipo de contribuciones como
distintos módulos de pago, de envío, contribuciones para el diseño, plantillas,
lectores RSS, etc.
Hace uso de Apache como servidor web, PHP como lenguaje, y MySQL
como base de datos. Está formado principalmente por dos partes:
• El Catálogo de Productos. Es la parte que ven los clientes, la tienda virtual
en sí.
• El Módulo de Administración. Donde se puede mantener la propia tienda
virtual, actualizando productos, insertando nuevas ofertas, categorías,
idiomas, monedas, consultar los pedidos o los clientes.
La instalación básica de osCommerce, tiene unas características por defecto,
que luego se pueden modificar bien por administración o con ayuda de
contribuciones, como nuevos módulos de pago (e-pagado), de envío (Seur), etc.
Seguridad y Comercio Electrónico
159
Estas son las características principales de la instalación de osCommerce:
Generales
• Los pedidos, clientes y productos se almacenan en una base de datos de fácil
consulta vía administración-web.
• Los clientes podrán comprobar el histórico y el estado de sus pedidos una
vez registrados
• Los clientes pueden cambiar sus datos de perfil de usuario desde su
apartado cliente.
• Múltiples direcciones de envío por usuario, para regalos por ejemplo
• Búsqueda de productos.
• Posibilidad de permitir a los usuarios valorar los productos comprados,
además de comentarlos.
• Posibilidad de implementar un servidor seguro (SSL).
• Puede mostrar el número de productos en cada una de las categorías.
• Lista global o por categoría de los productos más vendidos y más vistos.
• Fácil e intuitiva navegación por categorías.
• Plataforma multi-idiomas, por defecto estarán disponibles el español, inglés
y alemán.
Producto
• Relaciones dinámicas entre productos.
• Descripciones de productos basadas en HTML.
Seguridad y Comercio Electrónico
160
• Generación automática de productos especiales.
• Controla la posibilidad de mostrar o no en la tienda virtual los productos
agotados.
• Posibilidad de ofrecer a los usuarios la suscripción a una newsletter de
novedades.
Pagos
• Medios de pago offline (transferencias, cheques, ingresos, etc.).
• Muchos medios de pago online (E-Pagado, PayPal, TPV virtual, etc.).
• Posibilidad de deshabilitar algunos medios de pago según la zona
geográfica del usuario.
• Posibilidad de añadir el IVA por zonas geográficas y por productos, ya que
por ejemplo en Nigeria no tienen IVA
Envíos
• Precios de envío por peso, destino y precio.
• Precios reales disponibles en tiempo real para algunos operadores (UPS,
FedEx).
• Envío gratuito según importe del pedido y destino
• Posibilidad de deshabilitar determinados servicios de envío en función de
zonas geográficas.
Seguridad y Comercio Electrónico
161
4.3. Guía de navegación.
Tal y como se ha comentado en el apartado anterior, osCommerce provee a
las páginas web de dos módulos principales:
• Catálogo: este módulo corresponde a la parte pública de la web y posee
todas las funcionalidades que pueden desenvolver los usuarios que
quieran comprar en ella. En este módulo se encuentra el catálogo de
productos. Así pues, es la parte visible por todos los perfiles.
• Administración: este módulo es el motor que dirige toda la web. Se
encarga de diseñar y gestionar el contenido visible en la web. Permite
infinidad de variaciones de la distribución original y le sirve al
administrador como control y manejo de la tienda.
4.3.1. Administración
Para entrar en el módulo de administración es necesario acceder al
directorio “admin” del raíz. Esto se hace escribiendo en el navegador web la
siguiente dirección: http://www.tienda.muziko.es/admin. A continuación
aparecerá una página solicitando el nombre de administrador y su contraseña. Una
vez validado, conducirá a la página online de herramienta de administración.
Seguridad y Comercio Electrónico
162
Tan sólo entrar, se muestran las últimas ventas realizadas en el sistema y el
estado de estas compras.
En el menú lateral se observan todas las opciones posibles de
administración. A continuación se detallará cada una de ellas:
Configuración
Es la opción más extensa ya que permite modificar cantidad de detalles.
Permite, entre otras cosas, las siguientes acciones:
• Añadir o modificar administradores.
• Añadir la información relativa a la tienda (nombre de la tienda, nombre del
propietario, su email, etc.)
Seguridad y Comercio Electrónico
163
• Permite establecer valores máximos y mínimos para los distintos campos
rellenables de la web, como cuando se inscribe un usuario.
• Establecer los valores de configuración que fijan el tratamiento que realizará
osCommerce de las imágenes que se muestran en la tienda.
• Indicar que campos deber aparecer en el alta de clientes.
• Establecer los valores a considerar para el empaquetado y envío físico de los
productos, como por ejemplo el peso máximo que la tienda está dispuesta a
enviar a un cliente. Estos valores son usados por los módulos de envío
instalados en la tienda para calcular los gastos de envío.
• Etc.
Catálogo
El catálogo de osCommerce contiene el detalle de los productos que se
venden en la tienda virtual, siendo quizás una parte muy importante de este
paquete de software la facilidad que ofrece para definir los atributos adicionales
que se quieran para los productos. Es decir, osCommerce no ofrece una plantilla de
atributos estáticos a rellenar para cada producto, sino que permite que el
administrador defina sus propios atributos de forma personalizada acorde al tipo
de artículos que venda.
Seguridad y Comercio Electrónico
164
Módulos
Los módulos de osCommerce permiten definir los métodos de pago que
debe soportar la tienda virtual (contra reembolso, transferencia/cheque bancario,
tarjeta de crédito, PayPal, etc.), los gastos en función de los métodos de envío
(tarifa única, por artículo, tabla de tarifas, etc.) y el orden en que se deben totalizar
todos los importes para obtener el total definitivo a pagar por el cliente.
Clientes
Puede gestionar el listado de clientes registrados y pedidos realizados, así
como consultar distintos informes que proporcionan detalles del rendimiento de la
web desde el punto de vista de los productos expuestos en ella.
Seguridad y Comercio Electrónico
165
Zonas/Impuestos
Permite definir todos los tipos de impuestos que sean necesarios para cada
zona fiscal en la que vaya a operar la tienda virtual. Es en este apartado de la
configuración donde se declaran dichas zonas y sus impuestos asociados.
Adicionalmente permite realizar el mantenimiento de los países y estados
(provincias) almacenados en base de datos.
Localización
Esta opción incluye la gestión de idiomas, monedas, y la configuración de lo
que significa cada estado de pedido.
Informes
Este apartado permite acceder a tres listados:
• Los más vistos: Muestra la lista de todos los productos ofrecidos en la web
junto con una cuenta de las veces en las que al menos un visitante de la web
ha entrado a ver el detalle de cada producto en concreto.
• Los más comprados: En este listado se pueden ver los productos junto con
una cuenta del número total de unidades vendidas de cada producto en
concreto. A diferencia de con el anterior, en este listado sólo se muestran los
productos para los que al menos se haya producido una pedido.
• Total por cliente: Este tercer listado muestra la suma del importe total de
todos los pedidos realizados por cada cliente individualmente en la tienda.
Sólo se muestran los clientes que al menos hayan realizado alguna vez un
pedido.
Seguridad y Comercio Electrónico
166
Se trata de una opción muy útil para hacer estadísticas de compra de la web
y sobre todo, para observar los productos más vendidos y por lo tanto, los que
requieran de más stocks o pedidos en tienda. Este apartado es el más importante
desde el punto de vista comercial.
Herramientas
El objetivo de cada una de estas herramientas es muy distinto entre sí,
mezclándose varias utilidades técnicas en su mayoría, como la realización de
copias de seguridad o gestión de los archivos del servidor, con las que tienen
influencia en el aspecto de la tienda, como la definición de los textos en distintos
idiomas o la configuración de banners.
Seguridad y Comercio Electrónico
167
4.3.2. Catálogo
Hasta el momento se ha visto únicamente la parte técnica y administrativa
de la web. Esta parte es importante, pero es el catálogo el que llega a los
consumidores directamente y es importante pues, combinar tanto la parte
administrativa como la técnica para destacar en un negocio tan competitivo como
Internet. A continuación se mostrará un recorrido por la tienda virtual.
Para empezar, hay que introducir la siguiente dirección en el navegador
web: http://tienda.muziko.es. Esta dirección conducirá a la página principal de la
tienda, mostrando a simple vista y de forma intuitiva, las posibilidades del
usuario.
Seguridad y Comercio Electrónico
168
Seguridad y Comercio Electrónico
169
Las posibilidades que se observan son:
1. Fácil cambio de idioma (al tratarse de un prototipo sólo se han contemplado
el castellano y el inglés).
2. Cambio de moneda (al tratarse de un prototipo sólo se han contempla el
euro y el dólar).
3. Apartado de dudas frecuentes e información.
4. Permite acceder a la cuenta personal. Es necesario un registro previo y es
obligatorio para la realización de cualquier compra.
5. Permite ver la “cesta de la compra”. Se muestran todos los accesorios
comprados hasta el momento y permite modificarla.
6. Permite realizar el pedido. Para poder completar la transacción es necesario
el registro en el sistema, o por el contrario, introducir un nombre de usuario
ya existente.
Seguridad y Comercio Electrónico
170
Si eres un nuevo cliente, es necesario rellenar una serie de datos
obligatorios con tal de formalizar la compra. Se debe informar al
consumidor que estos datos están protegidos mediante el cumplimiento de
la LOPD en todo momento.
Tanto si ya eres usuario registrado como si te acabas de registrar, la
web te conduce a una serie de páginas con tal de que el comprador
seleccione la dirección de entrega, la forma de envío (rápida o barata), la
forma de pago y finalmente, la confirmación.
Seguridad y Comercio Electrónico
171
El sistema enviará un email al usuario mostrando un recibo de la
compra a modo de garantía y finalizará la compra.
7. Categorías de productos. Se trata del catálogo propiamente dicho. En esta
tienda en particular, se divide en instrumentos, accesorios, partituras y
multimedia.
Seguridad y Comercio Electrónico
172
Al acceder a una categoría concreta, aparecerán las subcategorías,
que contendrán los productos en venta.
Seguridad y Comercio Electrónico
173
Finalmente, al seleccionar el producto deseado y pulsar comprar, éste
se acumulará automáticamente en la cesta personal de la sesión.
Seguridad y Comercio Electrónico
174
En el recuadro indicado, se observa el contenido de la cesta en cada
momento y muestra el valor total al que ascienden la compra. A partir de
aquí, se puede continuar con la compra o por el contrario, realizar el pedido.
8. Permite hacer una selección de productos por fabricante. Es una opción muy
útil cuando se requiere de un objeto con una marca concreta recomendada.
9. Finalmente, indicar que se pueden hacer búsquedas mediante palabras
clave de forma rápida y sencilla. También da la opción de realizar una
búsqueda avanzada indicando una serie de parámetros opcionales, como la
categoría o el precio.
Seguridad y Comercio Electrónico
175
55
VVaalloorraacciióónn eeccoonnóómmiiccaa yy ppllaanniiffiiccaacciióónn ddeell pprrooyyeeccttoo
Seguridad y Comercio Electrónico
176
5. Valoración económica y planificación del proyecto
5.1. Valoración económica.
En este apartado se realizará la valoración económica del proyecto, es decir
de los costes tangibles asociados al mismo.
5.1.1. Coste de tecnología
Son aquellos costes que provienen de adquirir los equipos hardware para el
correcto funcionamiento del sistema, así como las licencias necesarias para utilizar
las herramientas empleadas en el proyecto.
Como se veía en el apartado de la arquitectura del sistema, los elementos
hardware y software que se van a adquirir son los siguientes: El servidor de base
de datos de Internet contiene la base de datos de la web de los usuarios inscritos
así como del administrador de la base de datos. Por lo tanto, se cuenta con un
servidor de Base de Datos montado, configurado y conectado a la red. El servidor
de base de datos con el que se cuenta es un servidor de Base de datos MySQL.
En la parte de desarrollo se precisará, como mínimo, de una estación de
trabajo AMD Athlon 64 con 2 GHz, 1 GB de RAM y 120 GB de disco duro. Además
se precisará de un servidor de desarrollo de las mismas características que las
estaciones de trabajo.
Los requisitos software se centrarán en las estaciones de trabajo, que
precisará de herramientas para el desarrollo web tales como Notepad++, de
herramientas de diseño como Gimp, así como de aplicaciones ofimáticas tales
como Microsoft Word, Adobe Acrobat, etc.
Seguridad y Comercio Electrónico
177
Se requiere una conexión a Internet de un mínimo de 1MB, debido a que se
el flujo de trabajo que pasará por Internet es considerable.
Se requiere acceso a servidores de correo que permitan el intercambio de
correo electrónico entre diferentes usuarios. La aplicación se ubicará en la Red
Pública Internet para que tenga acceso cualquier usuario.
Para ello se utilizará el dominio público: http://tienda.muziko.es.
ELEMENTO IMPORTE Estación de trabajo 800 € Servicio de host (incluye servidor y dominio) 30 € Windows XP Profesional 250 € Microsoft Office 2007 200 € ADSL (40€/mes * 9 meses) 360 €
Total 1.640 €
5.1.2. Coste de implantación
Estos costes incluyen los costes de desarrollo, implantación, personal y
formación. En este caso, sin embargo, se despreciarán los costes de formación, al
tratarse de una aplicación sencilla e intuitiva de utilizar. En principio, sería
suficiente con la distinta documentación existente en la red para poder manejar la
aplicación correctamente.
FUNCIÓN Nº HORAS COSTE/HORA IMPORTE Analista 200 40 8000 Programador 180 30 5400 Jefe de Proyecto 60 55 3300 Coordinador 5 65 325
Director de Proyecto 10 65 650
Total
17675 €
Seguridad y Comercio Electrónico
178
5.1.3. Costes operacionales
Incluyen los costes de explotación y mantenimiento. Dado que el sistema
lleva una gran carga de mantenimiento automático, tan solo será necesaria una
persona encargada del mantenimiento y que además podrá compaginar este
trabajo con el mantenimiento de otros sistemas. Se estima que los costes de
mantenimiento, así como la manipulación y control de la página web van a costar
aproximadamente unos 1.500 euros al año.
5.1.4. Costes totales
CONCEPTO COSTE Costes de tecnología 1.640 € Costes de implantación 17.675 €
Costes operacionales 1.500 €
20.815 €
Seguridad y Comercio Electrónico
179
5.2. Planificación temporal.
La planificación del proyecto se ha dividido en cinco etapas que
comenzaron en diciembre del 2007 y han finalizado el 1 de septiembre del 2008,
con un paréntesis de una semana en abril, de un mes en febrero y de un mes en
junio debido a los exámenes y de una semana en agosto por vacaciones.
Las cinco etapas cubiertas por el proyecto son las siguientes:
1. Consulta de fuentes (CF): recopilación de información, tanto a nivel
documental como empresarial.
2. Tratamiento de datos (TD): elaboración ejemplos, análisis de la situación y
estudio implantación.
3. Enmarcación, alcance y análisis (EAA): esta etapa corresponde al grueso
principal del proyecto. Se trata de la redacción de la memoria según los
temas enmarcados en el proyecto (índice) desde el apartado 1 hasta el 3
inclusive.
4. Tienda de comercio electrónico (TCE): elaboración de un prototipo real de
tienda online con un estudio de plan de negocio previo. Esta etapa se
encuentra reflejada en el apartado 4 de este proyecto. Cuenta pues con parte
de desarrollo y de redacción.
5. Conclusiones (CON): última fase de cierre en la cual se elabora el resumen,
conclusiones finales, valoración económica y planificación.
Seguridad y Comercio Electrónico
180
Planificación temporal
Seguridad y Comercio Electrónico
181
66
TTrraabbaajjoo ffuuttuurroo yy ccoonncclluussiioonneess
Seguridad y Comercio Electrónico
182
6. Trabajo futuro y conclusiones
En este último capítulo se quiere destacar la importancia y el papel
desempeñado por el software libre en el proyecto durante toda su elaboración.
Este proyecto es un punto final en la formación académica del autor, y ha
representado un esfuerzo muy considerable, al tener que aprender diferentes
lenguajes y herramientas de programación que nunca se habían visto. Por otro
lado, y mucho más importante ha sido la elaboración del ciclo de vida de una
aplicación desde el principio hasta su fin.
Merece ser reconocida la tarea de búsqueda de documentación sobre las
maneras de implantar una tienda de comercio electrónico, encontrando las más
adecuadas, como se comenzaba diciendo, aquellas basadas en el software libre. Es
en estos entornos donde hay tanto número de elementos heterogéneos, y que
deben funcionar todos correctamente, donde realmente se observa su vital
importancia. Es aquí donde se necesita de toda la información existente.
El prototipo realizado de tienda virtual queda como prueba de la fácil
adaptación de cualquier tipo de catálogo y casuística distinta que puedan tener
otras tiendas con objetivos similares a Muziko, y que el software OsCommerce
puede proporcionar de una manera profesional y sencilla.
Por último parece necesario recordar la necesidad de no perder atención a
las distintas tecnologías que aparecerán y que puedan ser aplicadas al comercio
electrónico, quedando como muestra de la importancia de ello el análisis realizado
en los capítulos correspondientes de este proyecto.
Seguridad y Comercio Electrónico
183
77
BBiibblliiooggrraaffííaa
Seguridad y Comercio Electrónico
184
7. Bibliografía
[KHOS06] Khosrow-Pour, Mehdi; “ENCYCLOPEDIA OF E-COMMERCE, E-
GOVERMENT AND MOBILE COMMERCE”; Idea Group Reference,
2006.
[SAMO06] Samoilovich, Sergio; “CIBERNEGOCIOS”; Libro gratuito virtual,
2006.
[WELL03] Welling, Luke l; “GUÍA PRÁCTICA DE PROTECCIÓN DE DATOS”;
1ª Edición; Universidad Pontificia Comillas, 2003.
[CRUZ06] Daniel de la Cruz, Carlos David Zumbado; “DESARROLLO WEB
CON PHP Y MYSQL”; Anaya Multimedia, 2006.
Direcciones de Internet
• http://www.webadictos.com.mx/2007/10/28/sistemas-para-tiendas-en-
linea-e-commerce-gratuitos-y-opensource
• http://www.oscommerce.com/
• http://oscommerce.qadram.com/
Otros
• Documentación personal de Mateo Camps.
Seguridad y Comercio Electrónico
185
88
AAnneexxooss
Seguridad y Comercio Electrónico
186
8. Anexos
8.1. Seguridad en el comercio electrónico: ¿SSL o SET?.
Cuando se habla de la carrera que existe entre la investigación de nuevas
tecnologías, la comercialización de esas tecnologías y la creación de estándares que
impongan orden y velen por la interoperabilidad, hay que lidiar con dos caminos
paralelos pero que inevitablemente van unidos. El primero de ellos representa la
intensa actividad de investigación que sigue a un excitante o prometedor
descubrimiento, sentándose las bases para el futuro desarrollo de una nueva
tecnología. El segundo representa la actividad comercial de las compañías que
recogen el testigo de los investigadores y comienzan a lanzar al mercado productos
que incorporan la tecnología. Es un momento de dura competencia, en el que cada
compañía intenta hacerse con la mayor cuota de mercado posible, acudiendo a
soluciones que funcionen como sea y que rara vez pueden interoperar con
productos de la competencia.
Entre ambos caminos queda un hueco que debe ser aprovechado por los
organismos de creación de estándares con el fin de evitar la pelea que se avecina si
las empresas privadas trabajan sobre el tema sin coordinación. Si la
estandarización llega demasiado pronto, la tecnología puede no ser
suficientemente comprendida o resultar inmadura, por lo que los estándares serán
malos e inútiles. Si llega demasiado tarde, alguna compañía o varias habrán
impuesto sus propias soluciones, que habrán sido adoptadas como estándar de
facto del sector emergente. Nadie esperaba que Internet, o más concretamente, la
World Wide Web, creciera al ritmo exponencial de los últimos años. Sus
posibilidades para el comercio fueron rápidamente vislumbradas y en un tiempo
récord pasó a transformarse en teatro de transacciones comerciales, financieras y
Seguridad y Comercio Electrónico
187
de todo tipo. No se podía esperar a estándares que velaran por la rigurosa
implantación de todos los detalles. ¿Qué método resulta más cómodo e inmediato
para pagar? La tarjeta de crédito. ¿Al usuario le preocupa la seguridad? Usemos un
canal seguro para transmitir el número de la tarjeta. Fue así como en poco tiempo
se impuso como norma tácitamente acordada el emplear SSL para cifrar el envío de
datos personales, entre ellos el número de tarjeta.
SSL (Secure Sockets Layer) es un protocolo de propósito general para
establecer comunicaciones seguras, propuesto en 1994 por Netscape
Communications Corporation junto con su primera versión del Navigator. Hoy
constituye la solución de seguridad implantada en la mayoría de los servidores
web que ofrecen servicios de comercio electrónico. Para pagar, el usuario debe
rellenar un formulario con sus datos personales (tanto para el caso del envío de los
bienes comprados, como para comprobar la veracidad de la información de pago),
y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad,
titular). Esta arquitectura no exige que el servidor disponga de capacidades
especiales para el comercio. Basta con que se utilice como mínimo un canal seguro
para transmitir la información de pago y el comerciante ya se ocupará
manualmente de gestionar con su banco las compras. El canal seguro lo
proporciona SSL. Sin embargo, este enfoque, aunque práctico y fácil de implantar,
no ofrece una solución comercialmente integrada ni totalmente segura (al menos
en España, debido a que los navegadores utilizan 40 bits de longitud de clave,
protección muy fácil de romper). SSL deja de lado demasiados aspectos para
considerarse la solución definitiva:
• Sólo protege transacciones entre dos puntos (el servidor web
comercial y el navegador del comprador). Sin embargo, una
operación de pago con tarjeta de crédito involucra como mínimo tres
partes: el consumidor, el comerciante y el emisor de tarjetas.
Seguridad y Comercio Electrónico
188
• No protege al comprador del riesgo de que un comerciante
deshonesto utilice ilícitamente su tarjeta.
• Los comerciantes corren el riesgo de que el número de tarjeta de un
cliente sea fraudulento o que ésta no haya sido aprobada.
Son demasiados problemas e incertidumbres como para dejar las cosas
como están. Se hacía necesaria la existencia de un protocolo específico para el
pago, que superase todos los inconvenientes y limitaciones anteriores, motivo por
el que se creó SET.
El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por
Visa y MasterCard, con la colaboración de gigantes de la industria del software,
como Microsoft, IBM y Netscape. La gran ventaja de este protocolo es que ofrece
autenticación de todas las partes implicadas (el cliente, el comerciante y los bancos,
emisor y adquiriente); confidencialidad e integridad, gracias a técnicas
criptográficas robustas, que impiden que el comerciante acceda a la información de
pago (eliminando así su potencial de fraude) y que el banco acceda a la
información de los pedidos (previniendo que confeccione perfiles de compra); y
sobre todo gestión del pago, ya que SET gestiona tareas asociadas a la actividad
comercial de gran importancia, como registro del titular y del comerciante,
autorizaciones y liquidaciones de pagos, anulaciones, etc.
Entonces, si todo son alabanzas, ventajas y puntos fuertes, ¿por qué SET no
termina de implantarse? ¿Por qué no goza de la popularidad de SSL, si se supone
mejor adaptado? En primer lugar, su despliegue está siendo muy lento. Exige
software especial, tanto para el comprador (aplicación de monedero electrónico)
como para el comerciante (aplicación POST o terminal de punto de venta), que se
está desarrollando con lentitud. En segundo lugar, aunque varios productos
cumplan con el estándar SET, esto no significa necesariamente que sean
Seguridad y Comercio Electrónico
189
compatibles. Este es un problema que exige mayores esfuerzos de coordinación y
más pruebas a escala mundial para asegurar la interoperabilidad. Sus puntos
fuertes son también su debilidad: la autenticación de todas las partes exige rígidas
jerarquías de certificación, ya que tanto los clientes como comerciantes deben
adquirir certificados distintos para cada tipo de tarjeta de crédito, trámites que
resultan pesados para la mayoría de los usuarios.
En definitiva, SET es un protocolo de gran fuerza, pero de movimientos
extraordinariamente pesados. SSL le ha tomado la delantera hace años. No es tan
perfecto, no ofrece su seguridad ni sus garantías, pero funciona. Y lo que es más
importante: el usuario de a pie no tiene que hacer nada.
Resumen del Boletín del Criptonomicón #54.
Seguridad y Comercio Electrónico
190
8.2. LOPD (Ley Orgánica de Protección de Datos).
La Ley Orgánica 15/99 de Protección de Datos de Carácter Personal (LOPD)
tiene como objeto "garantizar y proteger, en lo que concierne al tratamiento de los
datos personales, las libertades públicas y los derechos fundamentales de las
personas físicas, y especialmente de su honor e intimidad personal y familiar."
Para ello se establecen los principios de la protección de datos, donde se
disponen los derechos de información en la recogida de datos, de consentimiento
del titular de los datos, de rectificación y cancelación.
La principal novedad de la ley frente a la anterior, Ley Orgánica 5/92 de
Regulación del Tratamiento Automatizado de los Datos de Carácter Personal,
estriba en que su vigencia se aplica a cualquier tipo de fichero, entendiendo como
tal "todo conjunto organizado de datos de carácter personal, cualquiera que fuere
la forma o modalidad de su creación, almacenamiento, organización y acceso."
Para adecuarse a la Ley, es necesaria la notificación e inscripción registrar
del fichero a la Agencia de Protección de Datos, cuyo objetivo es "velar por el
cumplimiento de la legislación sobre protección de datos y controlar su aplicación,
en especial en lo relativo a los derechos de información, acceso, rectificación,
oposición y cancelación de datos."
Además de la inscripción del fichero, es necesario que la empresa cumpla
con las obligaciones establecidas en la LOPD, como son el notificar al titular de los
datos sobre la inclusión de éstos en un fichero, facilitar el derecho a la consulta,
modificación, rectificación y cancelación de los mismos, cumplir el deber de secreto
profesional, etc.
Seguridad y Comercio Electrónico
191
Todo ello se viene complementado con la obligación de velar por la
seguridad de los datos, con el fin de protegerlos de alteración, pérdida, tratamiento
o acceso no autorizado.
Para garantizar la seguridad de los datos, el responsable del fichero o el
encargado del tratamiento "deberán adoptar las medidas de índole técnica y
organizativas necesarias que garanticen la seguridad de los datos de carácter
personal." Para los ficheros automatizados se aprobó el Real Decreto 994/99, por el
que se establece el "Reglamento Medidas de Seguridad de los Ficheros
Automatizados que contengan Datos de Carácter Personal." Entre las medidas a
adoptar consta la adopción del adecuado nivel de seguridad, en base al cual se
establecen los procedimientos mínimos a implantar.
La LOPD contempla infracciones y sanciones para las empresas que no
cumplan la ley, dividiéndolas en infracciones leves, graves y muy graves, con
multas que van desde los 601,01€ hasta los 60.101,21€ para las leves, y pueden
llegar hasta 601.012,10€ para las muy graves. Entre las infracciones leves se incluye
el no notificar a la Agencia de Protección de Datos la creación de un fichero. Y el
hecho de no adoptar las medidas de seguridad establecidas en el documento de
seguridad supone una infracción grave.
Seguridad y Comercio Electrónico
192
8.3. LSSICE (Ley de Servicios de la Sociedad de la Información y
Comercio Elect.).
La Ley se aplica a todas las actividades que se realicen por medios
electrónicos y tengan carácter comercial o persigan un fin económico. La Ley se
aplica tanto a las páginas web en las que se realicen actividades de comercio
electrónico como a aquéllas que suministren información u ofrezcan servicios de
forma gratuita para los usuarios, cuando constituyan una actividad económica
para su titular. Existe actividad económica cuando su responsable recibe ingresos
directos (por las actividades de comercio electrónico que lleve a cabo, etc.) o
indirectos (por publicidad, patrocinio...) derivados de la actividad que realice por
medios electrónicos.
En la Ley, se acoge un concepto amplio de «servicios de la sociedad de la
información», que engloba, además de la contratación de bienes y servicios por vía
electrónica, el suministro de información por dicho medio (como el que efectúan
los periódicos o revistas que pueden encontrarse en la red), las actividades de
intermediación relativas a la provisión de acceso a la red, a la transmisión de datos
por redes de telecomunicaciones, a la realización de copia temporal de las páginas
de Internet solicitadas por los usuarios, al alojamiento en los propios servidores de
información, servicios o aplicaciones facilitados por otros o a la provisión de
instrumentos de búsqueda o de enlaces a otros sitios de Internet, así como
cualquier otro servicio que se preste a petición individual de los usuarios (descarga
de archivos de vídeo o audio, ...), siempre que represente una actividad económica
para el prestador.
Las principales obligaciones de la LSSICE son:
• Obligación de informar (mostrar) en la página web:
Seguridad y Comercio Electrónico
193
o Denominación social, NIF, domicilio, teléfono y dirección de correo
electrónico.
o Datos de inscripción Registral (Registro Mercantil, de Asociaciones,
de Sociedades Laborales y Cooperativas o el Registro público que
corresponda para adquirir personalidad jurídica).
o Si la actividad está sujeta a una autorización administrativa, los datos
de dicha autorización y del órgano competente encargado de su
supervisión.
o Códigos de conducta a los que se esté adherido y manera de
consultarlos electrónicamente.
o Precios de los productos o servicios que se ofrecen.
• Comunicar el nombre de dominio de la empresa al Registro Mercantil u
otro Registro público en el que esté inscrita.
• Si realiza contratos on-line, indicar:
o Trámites que deben seguirse para contratar on-line.
o Condiciones generales del contrato.
• Confirmar la celebración del contrato por vía electrónica, mediante el envío
de un acuse de recibo del pedido realizado.
• Si se hace publicidad por correo electrónico o mensajes SMS:
o Indicar claramente la identificación del anunciante.
o Identificar claramente el mensaje publicitario con la palabra
«publicidad».
o Obtener con carácter previo, el consentimiento del destinatario
(excepto si ya es cliente).
o Establecer procedimientos sencillos para facilitar la revocación del
consentimiento por el usuario.