You are on page 1of 201

UNIVERSIDAD PONTIFICIA COMILLAS

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)


INGENIERO EN INFORMÁTICA

PROYECTO FIN DE CARRERA

SEGURIDAD Y COMERCIO
ELECTRÓNICO

AUTOR: EDUARDO GÓMEZ FERNÁNDEZ

MADRID, Septiembre de 2008


Seguridad y Comercio Electrónico

Resumen

En la actualidad existen cada vez más tiendas virtuales relacionadas con


mercados que tenían poca o incluso nula presencia en la red, al mismo tiempo que
aparecen nuevas oportunidades empresariales que permiten que en una franja
temporal relativamente pequeña se puedan formar empresas capaces de
proporcionar un servicio.

Es propósito de este proyecto intentar analizar este mundo virtual tan


cambiante desde el prisma del comercio electrónico, así como observar la
evolución que ha ido sufriendo a lo largo de los años. Para llevar a cabo este
objetivo se ha optado por realizar dos tareas que permiten entender un poco más la
problemática del asunto, y así evitar caer en realizar un ejercicio puramente
enciclopédico, ni en presentar un espacio virtual de mercado sin base teórica
alguna.

En primer lugar en el presente proyecto se ha realizado un estudio sobre el


comercio electrónico en la actualidad, tanto desde el punto de vista tecnológico
como desde el punto de vista empresarial y organizativo.

En segundo lugar se ha implantado un prototipo de tienda virtual con el fin


de aplicar los conceptos y conclusiones alcanzados en el estudio previo con un
ejemplo real. Dicha tienda virtual se ha presentado como la versión on-line de
Muziko, tienda de accesorios musicales para instrumentos de música clásica.

En el proyecto se ha hecho uso de un número considerable de recursos


software, recurriendo a un software específico como la herramienta principal de la
creación de la tienda virtual.

Esta tienda virtual aparece integrada dentro de una plataforma web


desarrollada íntegramente con software libre, tanto por su gran aceptación en

I
Seguridad y Comercio Electrónico

Internet como por sus claras ventajas económicas. Para el desarrollo de este
proyecto se ha utilizado la herramienta específica de comercio electrónico
osCommerce, que hace uso del lenguaje PHP para su comunicación con un
servidor Apache. Para la gestión de la base de datos, se ha empleado el gestor
MySQL.

La tienda virtual presenta dos partes claramente diferenciadas. Por un lado


un catálogo de accesorios de instrumentos de música clásica con diferentes
secciones, según sea la tipología de los diferentes artículos, y que podrán ser
comprados por los usuarios utilizando diferentes medios de pago. Se ha buscado
aplicar aquí los conocimientos adquiridos en el estudio previo y dar el servicio de
compras con algunas de las tecnologías estudiadas anteriormente.

Por otro lado, también se ofrece una parte de administración desde la cual
se permite gestionar a los distintos usuarios, llevar un control de estadísticas de la
tienda o establecer distintas políticas de precios.

La tienda es accesible para todo el mundo a través de la página web


http://tienda.muziko.es, pudiendo realizar las distintas compras deseadas previo
registro gratuito.

Desde el punto de vista organizativo la tienda permite realizar una


diferenciación entre los usuarios por su perfil, según sea un usuario normal o un
administrador. Los usuarios podrán realizar las compras que deseen, mientras que
los administradores serán los encargados de gestionar el catálogo, así como
realizar otro tipo de gestiones en la tienda.

II
Seguridad y Comercio Electrónico

Abstract
Nowadays the number of virtual stores over the internet has increased,
especially those stores related with markets that had minimum or null presence on
the network, while appearing new business opportunities as well. The present
project tries to analyze this virtual world, study it by observation of the market
evolution suffered over the years. To carry out this objective two tasks have been
chosen. Therefore this will help to understand the problematic in a much better
way.

Firstly this project conducts a study on electronic commerce at present, both


from a technological and a business point of view. Also important is the fact of
taking into account organizational conditions.

On the other hand, a prototype store will also be introduced in order to


implement the concepts and conclusions reached in the previous study with a real
example. This virtual store has been presented as the online version of Muziko,
shop for musical accessories and classical music instruments.

The virtual store, with http://tienda.muziko.es as the domain name, is


integrated as a web platform. It is developed entirely using free software, both for
its wide acceptance on the Internet and for its clear economic benefits. This
development has also taken into account the usage of e-commerce store tool from
osCommerce, which makes use of the PHP language for all the communication
with an Apache server. All this is integrated with a database that runs under the
MySQL database server.

Therefore users can make all the desire purchases, while store managers will
be responsible for taking care of the online inventory and all the work within the
store.

III
Seguridad y Comercio Electrónico

ÍNDICE

1. El comercio electrónico en la empresa actual ......................................................... 2

1.1. Determinación de aplicaciones y datos críticos. ............................................... 2

1.2. Arquitectura ISM. ................................................................................................. 5

1.2.1. Arquitectura de datos de la empresa. ......................................................... 6

1.2.2. Arquitectura de aplicaciones de la empresa. ............................................. 6

1.2.3. Arquitectura de la tecnología ....................................................................... 9

1.2.4. Arquitectura integrada ............................................................................... 10

1.2.4.1. Planificación y control estratégico ..................................................... 10

1.2.4.2. Planificación del desarrollo................................................................. 12

1.3. Inventario de estructuras informáticas y de seguridad. ............................... 18

2. Métodos de integración y seguridad ..................................................................... 26

2.1. Requerimientos del plan de contingencias y recuperación. ......................... 26

2.1.1. Análisis y valoración de riesgos. ............................................................... 28

2.1.2. Jerarquización de las aplicaciones. ............................................................ 29

2.1.3. Establecimientos de requerimientos de recuperación. ........................... 30

2.1.4. Ejecución. ...................................................................................................... 30

2.1.5. Pruebas. ......................................................................................................... 31

2.1.6. Documentación. ........................................................................................... 31

2.1.7. Difusión y mantenimiento.......................................................................... 32

2.2. Análisis de riesgos. ............................................................................................. 34

2.3. Estudio de vulnerabilidades. ............................................................................. 39

IV
Seguridad y Comercio Electrónico

2.4. La importancia de la seguridad en el comercio electrónico. ........................ 44

2.4.1. Herramientas de protección en el comercio electrónico. ....................... 45

2.4.1.1. Firewalls (Corta Fuegos) ..................................................................... 45

2.4.1.2. Protocolo SSL ........................................................................................ 47

2.4.1.3. Certificados. .......................................................................................... 48

2.4.1.4. Infraestructura de Clave Pública (PKI). ............................................ 49

2.4.1.5. Ejemplo real........................................................................................... 52

2.5. Responsabilidades del Ingeniero Informático en el cumplimiento de la


LOPD. .............................................................................................................................. 58

3. Claves del comercio electrónico en la nueva economía ..................................... 68

3.1. Comercio electrónico como generador de cambios empresariales. ............. 68

3.1.1. Tipos de intermediarios .............................................................................. 71

3.2. Tipos de comercio electrónico. .......................................................................... 75

3.3. La nueva cadena de valor en el comercio. ....................................................... 85

3.4. Las nuevas oportunidades empresariales. ...................................................... 97

3.5. Definición de la estrategia para el comercio electrónico. ............................ 103

3.5.1. Desarrollo de una estrategia de comercio electrónico. ......................... 105

3.5.2. Aspectos clave de una estrategia de comercio electrónico. ................. 106

3.5.3. Aspectos negativos en una estrategia de comercio electrónico .......... 111

3.5.4. De la estrategia a la acción estratégica.................................................... 116

3.5.4.1. Paso 1: Pensar la estrategia del comercio electrónico ................... 117

3.5.4.2. Paso 2: Entender la estrategia del comercio electrónico. .............. 118

3.5.4.3. Paso 3: Definir la estrategia del comercio electrónico. .................. 119

3.5.4.4. Paso 4: Diseñar la estrategia del comercio electrónico.................. 121

V
Seguridad y Comercio Electrónico

3.5.4.5. Paso 5: Construir la estrategia del comercio electrónico. ............. 125

3.5.4.6. Paso 6: Proyectar la estrategia del comercio electrónico. ............. 126

3.5.4.7. Paso 7: Acompañar la estrategia del comercio electrónico. ......... 128

3.5.5. Elementos clave de una web de comercio electrónico ......................... 131

3.5.6. Conclusión .................................................................................................. 133

4. Ejemplo práctico de una empresa de comercio electrónico ............................ 136

4.1. Plan de negocio. ................................................................................................ 136

4.1.1. Resumen ejecutivo ..................................................................................... 136

4.1.2. Análisis y diagnóstico de la situación ..................................................... 137

4.1.2.1. Análisis del entorno general ............................................................. 137

4.1.2.2. Análisis del entorno específico – 5 fuerzas de Porter ................... 138

4.1.2.3. Análisis interno ................................................................................... 143

4.1.2.4. Diagnóstico cualitativo ...................................................................... 145

4.1.3. Producto ...................................................................................................... 146

4.1.4. Objetivos y estrategias .............................................................................. 147

4.1.4.1. Establecimiento de objetivos ............................................................ 147

4.1.4.2. Formulación de estrategias ............................................................... 147

4.1.5. Plan de marketing...................................................................................... 148

4.1.5.1. Política de producto ........................................................................... 148

4.1.5.2. Política de distribución ...................................................................... 148

4.1.5.3. Política de comunicación................................................................... 149

4.1.5.4. Localización......................................................................................... 150

4.1.6. Plan de recursos humanos........................................................................ 150

VI
Seguridad y Comercio Electrónico

4.2. Arquitectura. ...................................................................................................... 151

4.2.1. Plataforma web .......................................................................................... 151

4.2.2. Aplicaciones de comercio electrónico ..................................................... 153

4.2.3. Solución elegida: osCommerce ................................................................ 156

4.3. Guía de navegación. ......................................................................................... 161

4.3.1. Administración .......................................................................................... 161

4.3.2. Catálogo ...................................................................................................... 167

5. Valoración económica y planificación del proyecto ......................................... 176

5.1. Valoración económica. ..................................................................................... 176

5.1.1. Coste de tecnología .................................................................................... 176

5.1.2. Coste de implantación............................................................................... 177

5.1.3. Costes operacionales ................................................................................. 178

5.1.4. Costes totales .............................................................................................. 178

5.2. Planificación temporal...................................................................................... 179

6. Trabajo futuro y conclusiones .............................................................................. 182

7. Bibliografía ............................................................................................................... 184

8. Anexos ....................................................................................................................... 186

8.1. Seguridad en el comercio electrónico: ¿SSL o SET?. .................................... 186

8.2. LOPD (Ley Orgánica de Protección de Datos). ............................................ 190

8.3. LSSICE. ............................................................................................................... 192

VII
Seguridad y Comercio Electrónico

El comercio electrónico
en la empresa actual

1
Seguridad y Comercio Electrónico

1. El comercio electrónico en la empresa actual

1.1. Determinación de aplicaciones y datos críticos.

Para la realización de este proyecto es fundamental comenzar con la


determinación de aplicaciones y datos críticos, ya que es la base sobre la que se
irán construyendo los distintos apartados que se aborden a lo largo del mismo.

Es necesario comenzar diciendo que cada empresa tiene unas características


únicas y, aunque las hay semejantes, sobre todo a la hora de determinar las
aplicaciones y datos críticos, se encontrarán soluciones y resultados muy dispares.

Como se ha comentado, no hay una solución exacta, pero se empleará la


metodología BSP (Business Strategic Planning) que mediante una serie de pasos
consigue la definición de los procesos de negocio:

2
Seguridad y Comercio Electrónico

Las funciones o procesos empleados en conseguir los objetivos, tanto a corto


como a largo plazo e independientemente de que empresa sea, son críticos para el
éxito de la misma y son normalmente independientes. Así mismo, se debe realizar
su agrupación en bloques lógicos.

Es cierto que, si el entorno de negocio es maduro, los procesos son


independientes de las personas que los realizan, es decir: las personas pueden
cambiar pero los procesos continúan. Si por el contrario el entorno de negocio no
es maduro debe aparecer un nuevo conjunto de procesos para soportar la nueva
tarea.

La razón por la que es necesario definir los procesos de negocio antes de


pasar a desarrollar cualquier tema de la seguridad y del comercio electrónico es
porque dicha definición asegura que la información correcta está en el sitio
adecuado y en el momento preciso. Es totalmente inútil empezar a determinar
datos y aplicaciones críticas o un plan de contingencias sin saber dónde está la
información.

En el recorrido de todos los pasos se deben considerar los siguientes factores


que pueden ayudar o destruir cada propósito:

 El director no puede delegar la planificación.

 La planificación debe realizarse en los períodos de éxito.

 Todos los directores deben participar en la planificación.

 La planificación debe estar al nivel suficiente dentro de la organización


para obtener el soporte de los ejecutivos.

 Sin un plan, el valor del ejercicio puede reducirse seriamente.

3
Seguridad y Comercio Electrónico

 No se debe asumir que la planificación a largo plazo resuelve los


problemas actuales.

En la siguiente figura se puede observar el recorrido a la hora de ejecutar los


distintos pasos de la metodología BSP comentada.

4
Seguridad y Comercio Electrónico

1.2. Arquitectura ISM.

Debido a la rapidez con la que pueden aparecer los cambios, tal y como se
ha comentado, la arquitectura se puede utilizar para proporcionar estructuras,
evaluar prioridades y para reducir el impacto del cambio en la empresa.

En el contexto de este proyecto, se utilizará la arquitectura ISM (Information


System Management) para proporcionar la estructura de los negocios soportados.

Los componentes de dicha arquitectura pueden utilizarse para examinar las


alternativas de una organización o desarrollar un entorno comprensible de los
sistemas y aplicaciones que pueden soportar a la empresa.

Para la realización de los pasos que comprenden la metodología BSP se


utiliza la entrevista como técnica para definir el plan de necesidades de
información de la empresa. Dichas necesidades de información se consolidarán en
un informe de las necesidades.

Todo este proceso de planificación tiene como fin entender la empresa por
la definición de sus misiones de negocio, objetivos, estrategias, políticas y procesos
básicos del negocio. Se ha definido la información necesaria para realizar los
negocios en términos de clases de datos y necesidades de información. El paso
siguiente será crear una estructura para proporcionar esta información.

Para ello se realizará la arquitectura de la empresa utilizando toda la


información obtenida en el proceso de la planificación estratégica del negocio.

Los elementos de la definición de la arquitectura son:

i. Definir la arquitectura de datos para la empresa.

ii. Definir la arquitectura de las aplicaciones para la empresa.

5
Seguridad y Comercio Electrónico

iii. Definir la arquitectura tecnológica para la empresa.

iv. Integrar la arquitectura.

1.2.1. Arquitectura de datos de la empresa.

La arquitectura de datos, aplicaciones y tecnología definen la base para


proporcionar el soporte de la información necesaria para los negocios. Los
procesos de la información son aquellos por los que los datos y la información
pasan para permitir la toma de decisiones y la realización de las tareas. La
arquitectura define los medios potencialmente automatizados para tratar dicha
información.

La arquitectura de datos es una agrupación lógica de los datos más


importantes y más utilizados en la empresa. La necesidad de una arquitectura de
datos comprensible ha llegado a ser más importante en la actualidad, debido a las
nuevas tecnologías que permiten almacenar, producir y distribuir la información
más fácilmente.

Al igual que en un proceso de negocio los datos se pueden definir también


en una jerarquía de grupos de datos, clases de datos y elementos de datos.

1.2.2. Arquitectura de aplicaciones de la empresa.

Debido a que las aplicaciones pueden ser una parte integral de los negocios
y ser críticos con su efectividad total, es esencial que ellos soporten a la
organización en sus verdaderas necesidades, y aunque las aplicaciones representen
la mayor inversión en tiempo y dinero, deben ser definidos de una manera

6
Seguridad y Comercio Electrónico

estructurada para limitar la duplicidad y redundancia, tanto de programas como


de bases de datos.

La arquitectura de las aplicaciones depende de los procesos y de los datos


necesarios para soportar esos procesos. Existen en realidad los medios por los
cuales los datos necesarios deben ser extraídos juntos, como se necesitan para el
proceso individual o en procesos agrupados. Aunque la arquitectura exacta de las
aplicaciones debe ser única para cada empresa, el modelo siguiente representa
distintos grupos de aplicaciones comunes:

7
Seguridad y Comercio Electrónico

El modelo que se presenta con la anterior figura está basado en los datos y
procesos necesarios del negocio más que en la organización que debe soportarlos.
La nomenclatura de los grupos de aplicaciones puede parecer similar a algunos
componentes de la organización, pero en realidad no están relacionados a ninguna
estructura específica de la misma.

Los grupos de aplicaciones deben cubrir todo el rango de los sistemas que
deben desarrollarse por la empresa, incluso aunque los recursos o su justificación
no estén disponibles. Esto es así porque los cambios en el entorno de negocio
necesitan que el modelo sea completo para facilitar colocar nuevas prioridades.

Esta agrupación de aplicaciones proporciona también un mapa para todo el


trabajo de desarrollo y mantenimiento dentro de la empresa. Cada subsistema
conceptual debe estar lo suficientemente definido para que se pueda permitir el
eventual desarrollo de un sistema de aplicaciones. Muchos de estos sistemas de
aplicaciones puede que existan ya dentro del inventario, tanto como un sistema
completo o como una parte del mismo. Se debe realizar de una manera anticipada
un esfuerzo importante de planificación cuando una aplicación comienza a hacerse
obsoleta.

Para definir la arquitectura de aplicaciones es importante comprender con


alguna profundidad los procesos del negocio y los datos que son necesarios para
realizar esos procesos. La técnica utilizada por el BSP, para realizar esa
arquitectura incluye:

i. Creación de una matriz de procesos y datos que indica los procesos


que crean, actualizan y acceden a las distintas clases de datos.

ii. Agrupación de las aplicaciones o sistemas alrededor de esa diagonal


creada para balancear el impacto tanto de los procesos como de los
datos en el sistema concebido.

8
Seguridad y Comercio Electrónico

iii. Documentar esos grupos para clasificaciones posteriores en


subsistemas en el nivel táctico.

Para mostrar la interdependencia de los datos se debe dibujar un diagrama


general de flujos tanto para los procesos como para las aplicaciones. Con esta
estructura y su flujo hay menos necesidades para un ajuste “forzado” de cambios
dramáticos en las aplicaciones individuales. La imagen total permite construir un
armazón para poder evaluar cada pieza de una manera individual.

1.2.3. Arquitectura de la tecnología

La arquitectura de la tecnología proporciona los medios a la arquitectura de


datos y aplicaciones. Sin ella sería difícil e ineficiente el proporcionar la
información correcta en el momento adecuado. Esta arquitectura de la tecnología
incluye cada elemento hardware, software, redes, etc. Su estructura debe
considerar el impacto de los elementos existentes y proporcionar los enlaces
correctos para poder ejecutar otros elementos adicionales, teniendo en cuenta que
cada elemento puede ser mejorado o reemplazado individualmente.

No obstante dentro de esa estructura se incrementa el número de opciones


por las cuales las necesidades de información puedan alcanzarse: la tecnología
avanza tan rápidamente que la mejor solución tecnológica actual puede no ser la
ideal para mañana. La arquitectura de la tecnología debe actualizarse para poder
planificar esos cambios.

La arquitectura de la tecnología debe proporcionar estructuras, funciones e


interfaces, excepto cuando la nueva tecnología esté disponible. Las interfaces de los
sistemas avanzados deben anticiparse cuando ello sea posible.

9
Seguridad y Comercio Electrónico

1.2.4. Arquitectura integrada

La arquitectura de datos, aplicaciones y tecnología son independientes y


deben integrarse dentro de una estructura total. Esto necesita normalmente varias
iteraciones a través de varias combinaciones antes de que pueda entregarse una
recomendación final, puede incluir opciones basadas a las necesidades definidas,
por ejemplo rendimiento, disponibilidad, carga de trabajo, etc.

Este proceso ha transformado las necesidades de información en una


estructura para soportar esas necesidades. El paso siguiente debe tomar decisiones
acerca del mejor camino para conseguir los resultados.

1.2.4.1. Planificación y control estratégico

Basado en las metas y contenciones de la empresa, este proceso proporciona


el plan estratégico, o cómo se pueden alcanzar las metas expresadas por la
dirección general de la empresa. Especifica la secuencia de las actividades clave de
la empresa en el orden el que deben realizarse y cómo los servicios proporcionados
deben evolucionar. También asegura la coherencia y consistencia contra los logros
tácticos.

Los elementos de planificación y control estratégico son:

i. Evaluar la implantación de los servicios alternativos, aplicaciones y


datos incluyendo las justificaciones de negocio y la evaluación de
riesgos.

Para asegurar que la planificación coincide con la estrategia de la


empresa, los dos procesos anteriores establecen el entorno y la
estructura de la arquitectura necesarios para soportar los negocios.
Utilizando esta base el plan estratégico debe ponerse en la dirección

10
Seguridad y Comercio Electrónico

para realizar estas tres misiones: servicio, desarrollo y consultoría, y


establecer los límites de los recursos para estas misiones. Las
estrategias parciales deben ser compatibles.

ii. Definir y dar prioridades a los objetivos estratégicos dentro de las


políticas.

En cada organización se pueden obtener grandes beneficios


competitivos planificando la dirección estratégica. Probablemente
una de las preguntas más difíciles para el ejecutivo es el decidir qué
es lo mejor para aplicar la nueva tecnología, que cambia rápidamente
y para poder tomar ventajas frente a la competencia. Ello requiere un
conocimiento real y consciente de la tecnología y después planificar
cuidadosamente su utilización.

Un ejemplo de esta dirección estratégica y sus consecuencias se


puede contemplar en aquellas industrias, como los bancos y las
compañías aseguradoras. Las compañías previsoras y la dirección
están preparadas para instalar terminales para los usuarios mucho
antes que aquellas otras compañías que han fallado en la previsión
del futuro. Tienen la tecnología base instalada en el momento
correcto.

iii. Obtener la aprobación para el plan estratégico.

iv. Control del plan estratégico contra el cumplimiento táctico.

11
Seguridad y Comercio Electrónico

1.2.4.2. Planificación del desarrollo

Este grupo de procesos se concentra en la parte del plan estratégico que


cubre el desarrollo técnico que si debe llevarse a cabo dentro del horizonte táctico.
Define la gestión de los proyectos que deben implantarse. Los cuatro proyectos
dentro de este grupo se discuten en la secuencia siguiente:

A continuación se muestran unas matrices que ayudan a identificar las


clases de datos según cada proceso.

12
Seguridad y Comercio Electrónico

Clases de Datos según Proceso de Creación

prod.
Invent. de materias
Fichero Maestro de

de

Territorio de ventas
Carga de máquinas
Lista de materiales
Clase de Datos

Ordenes abiertas
Trabajo en curso
Instalaciones
Planificación

de
Proveedor

Empleado
Producto
Finanzas

Cliente
Invent.

Pedido
Proceso

Rutas

Costo
Planificación del negocio C U U
Análisis de la organización U
Revisión y control U U
Planificación financiera C U U U
Adquisición de capital C
Investigación U U
Previsiones U U U U
Diseño y desarrollo C C U U
Mantent. De especif. De producto U C C U
Compras C U
Recepción U U
Control de inventario C C U
Diseño de rutas en planta U C U
Planificación de fechas U U U C U
Planificación de capacidad U U C U U
Necesidades de material U U U C
Operaciones U U U C
Administración de territorio U C U
Ventas U U C U
Administración de ventas U U
Servicio de pedidos U U C
Envíos U U U
Contabilidad general U U U U
Planificación de costos U U C
Contabilidad presupuestaria U U U U U
Planificación de personal U C
Contratación / Formación Personal U
Compensación U U

13
Seguridad y Comercio Electrónico

Agrupamiento de procesos según la clase de datos

prod.
Invent. de materias
Fichero Maestro de

de

Territorio de ventas
Carga de máquinas
Lista de materiales
Clase de Datos

Ordenes abiertas
Trabajo en curso
Planificación

Instalaciones
de
Proveedor

Empleado
Producto
Finanzas

Cliente
Invent.

Pedido
Proceso

Costo
Rutas
Planificación del negocio C U U
Análisis de la organización U
Revisión y control U U
Planificación financiera C U U U
Adquisición de capital C
Investigación U U
Previsiones U U U U
Diseño y desarrollo C C U U
Mantent. De especif. De U C C U
producto
Compras C U
Recepción U U
Control de inventario C C U
Diseño de rutas en planta U C U
Planificación de fechas U U U C U
Planificación de capacidad U U C U U
Necesidades de material U U U C
Operaciones U U U C
Administración de territorio U C U
Ventas U U C U
Administración de ventas U U
Servicio de pedidos U U C
Envíos U U U
Contabilidad general U U U U
Planificación de costos U U C
Contabilidad presupuestaria U U U U U
Planificación de personal U C
Contratación / Formación U
Personal
Compensación U U

14
Seguridad y Comercio Electrónico

Determinación de la Circulación de los Datos

Invent. de materias
Fichero Maestro de

de
prod.

Territorio de ventas
Carga de máquinas
Lista de materiales
Clase de Datos

Ordenes abiertas
Trabajo en curso
Instalaciones
Planificación

de
Proveedor

Empleado
Producto
Finanzas

Cliente
Invent.

Pedido
Proceso

Rutas

Costo
Planificación del negocio C U U
Análisis de la organización U
Revisión y control U U
Planificación financiera C U U U
Adquisición de capital C
Investigación U U
Previsiones U U U U
Diseño y desarrollo C C U U
Mantent. De especif. De producto U C C U
Compras C U
Recepción U U
Control de inventario C C U
Diseño de rutas en planta U C U
Planificación de fechas U U U C U
Planificación de capacidad U U C U U
Necesidades de material U U U C
Operaciones U U U C
Administración de territorio U C U
Ventas U U C U
Administración de ventas U U
Servicio de pedidos U U C
Envíos U U U
Contabilidad general U U U U
Planificación de costos U U C
Contabilidad presupuestaria U U U U U
Planificación de personal U C
Contratación / Formación Personal U
Compensación U U

15
Seguridad y Comercio Electrónico

Circulación de los Datos

Invent. de materias
Fichero Maestro de

de
prod.

Territorio de ventas
Carga de máquinas
Lista de materiales
Clase de Datos

Ordenes abiertas
Trabajo en curso
Instalaciones
Planificación

de
Proveedor

Empleado
Producto
Finanzas

Cliente
Invent.

Pedido
Proceso

Rutas

Costo
Planificación del negocio C U U
Análisis de la organización U
Revisión y control U U
Planificación financiera C U U U
Adquisición de capital C
Investigación U U
Previsiones U U U U
Diseño y desarrollo C C U U
Mantent. De especif. De producto U C C U
Compras C U
Recepción U U
Control de inventario C C U
Diseño de rutas en planta U C U
Planificación de fechas U U U C U
Planificación de capacidad U U C U U
Necesidades de material U U U C
Operaciones U U U C
Administración de territorio U C U
Ventas U U C U
Administración de ventas U U
Servicio de pedidos U U C
Envíos U U U
Contabilidad general U U U U
Planificación de costos U U C
Contabilidad presupuestaria U U U U U
Planificación de personal U C
Contratación / Formación U
Personal
Compensación U U

16
Seguridad y Comercio Electrónico

Arquitectura de la información

Invent. de materias
Fichero Maestro de

de
prod.

Territorio de ventas
Carga de máquinas
Lista de materiales
Clase de

Ordenes abiertas
Trabajo en curso
Datos

Instalaciones
Planificación

de
Proveedor

Empleado
Producto
Finanzas

Cliente
Invent.

Pedido
Proceso

Rutas

Costo
Planificación del negocio
Análisis de la organización Dire
Revisión y control cció
n
Planificación financiera
Adquisición de capital
Investigación Cálculo
Previsiones de
Diseño y desarrollo Necesi-
dades
Mantent. De especif. De producto
Compras
Recepción
Control de inventario
Fabricación
Diseño de rutas en planta
Planificación de fechas
Planificación de capacidad
Necesidades de material
Operaciones
Administración de territorio
Ventas
Administración de ventas
Ventas
Servicio de pedidos
Envíos
Contabilidad general
Planificación de costos
Contabilidad presupuestaria
Planificación de personal
Contratación / Formación Personal
Compensación Administración

Personal

17
Seguridad y Comercio Electrónico

1.3. Inventario de estructuras informáticas y de seguridad.

Tal y como se ha expuesto en el apartado anterior parece inviable que una


empresa desarrolle su actividad habitual sin sus sistemas informáticos. Aparecen
incluso estudios que confirman que la empresa, sea cual sea su tipología, sería
incapaz de subsistir en el mercado actual. Un plan de seguridad informático sería
aún más necesario si la empresa estudiada depende más que otras de la
informática.

Lo anterior sólo expone la realidad de que desde la misma dirección deben


venir las normas y reglas para la operativa habitual, y es ya el responsable del
recurso el que con los medios que se le proporcionan quien debe cumplirlas.

Teniendo esto presente es pues la dirección quien ha de establecer los


criterios generales de protección de datos y de la información, definir las políticas y
normas de seguridad, así como determinar y dar a conocer a todo el personal de la
empresa a los responsables del plan de seguridad y de su gestión, delimitando
claramente el papel de cada uno.

La primera etapa de este proceso debe venir por la definición de los grados
y alcance de uso de la información, utilizando por ejemplo el siguiente modelo que
se propone:

i. Sin clasificar: De uso público teniendo como limitación única la


legalidad y la ética.

ii. Pública restringida: A disposición del personal de la empresa en


cuestión y determinados colaboradores externos.

iii. Uso interno: Al alcance únicamente de la empresa, sin poderse


difundir fuera de ella.

18
Seguridad y Comercio Electrónico

iv. Confidencial: Sólo utilizada por algunas funciones, áreas o


departamentos, por lo que debe utilizarse con un cuidado especial.

v. Confidencial restringido: Es un caso especial de la anterior, en los


que la limitación de uso sólo puede ser ampliada por autorización
expresa escrita y comprometida firmada de no divulgación.

vi. Confidencial registrado: El caso más limitado, pues la autorización


es individual y de almacenamiento controlado sin permitirse copia
alguna.

Una clasificación como la presentada y una normativa reguladora es


fundamental para la empresa, evitando eso sí una repercusión negativa por exceso
de niveles. La solución para determinar esto pasa por realizar un análisis de la
información de la empresa, intentando ser detallado y exhaustivo en lo relativo al
impacto sobre la marcha del negocio.

Sin embargo en las empresas que carecen de política de seguridad o


planificación alguna, puede ser realmente problemático concienciar al personal de
lo anterior, y éste precisamente aún hoy sigue siendo un problema en muchas
empresas de España.

A continuación se muestra una figura con las empresas que han actualizado
sus servicios de seguridad en España, según los últimos datos del INE (Enero de
2007):

19
Seguridad y Comercio Electrónico

El 82,38% de las empresas españolas con acceso a Internet de más de 10


empleados han actualizado sus sistemas de seguridad en los últimos tres meses
(Octubre-Enero 2007).

Las empresas españolas con acceso a Internet son conscientes, en su gran


mayoría, de la necesidad de tener implantado algún mecanismo de seguridad que
les permita salvaguardar los datos, el acceso a sus sistemas y tener seguridad sobre
las transacciones que se realizan internamente y hacia el exterior a través de
Internet. En este sentido, no sólo es necesario que las empresas instalen
mecanismos de seguridad, sino que los actualicen con regularidad, dada la rapidez
con las que evolucionan las nuevas modalidades de ataques contra la seguridad a
través de la Red.

Es necesario un cambio de mentalidad, pues un plan de seguridad es


fundamental en otras situaciones distintas a catástrofes totales o parciales, ya que
consiste en:

 Integridad del sistema informático y los datos que contiene.


Autorización para manipular los mismos, para evitar resultados no

20
Seguridad y Comercio Electrónico

previstos. Ésta es la característica más relacionada a calidad, pues


indica que se ajusta a las necesidades de cada función autorizada.

 Disponibilidad de los recursos del sistema, previa autorización de


los mismos.

 Confidencialidad del uso a los mismos, autorizado y limitado en el


tiempo.

La siguiente figura muestra las empresas con Internet que usan servicios de
seguridad a nivel interno.

Destaca la implantación del software antivirus, el 97% de las empresas con


acceso a Internet se decantan por esta medida de protección. Le siguen la
implantación de cortafuegos y la realización de backup con un 71% y un 62%
respectivamente.

21
Seguridad y Comercio Electrónico

En sentido contrario, la encriptación con un 7,79% y la firma digital con un


8,66% son los métodos menos utilizados.

Cabe destacar el descenso en la utilización de password o login que ha


pasado de un 38,74% en enero de 2006 a un 35,65% en enero 2007.

A la conclusión que se debe llegar a la vista de lo expuesto en este apartado


del proyecto, es que toda esta responsabilidad no debe recaer únicamente sobre
una persona. Es común que la clasificación de la información, tal y como se ha
comentado, permita identificar incluso al responsable idóneo de la misma, pues
puede coincidir con la responsabilidad del acceso a dicha información. Este
responsable es quien debe establecer delimitaciones en las fechas de clasificación
de la información que tiene asignada, así como de comunicárselo al responsable
informático, personal de la empresa o usuarios potenciales.

Teniendo esto en cuenta parece que se debe avanzar más en cuanto a la


delimitación de funciones y responsabilidades.

Por otro lado, si ahora se analiza el número de intrusiones en empresas, es


bastante alarmante el dato del porcentaje de mal uso de la información atribuible al
personal de la propia empresa. Algunos ejemplos son:

• Introducción incorrecta de datos en conexiones con agencias y


sucursales.

• Compras de material informático sin garantía.

• Insatisfacción del personal por inestabilidad en el empleo.

• Falta de motivación entre directivos, con acceso incluso a


información confidencial, en momentos de posibles cambios de
empresa.

22
Seguridad y Comercio Electrónico

Por lo expuesto hace unos años se creó un marco legal que fuera de
obligado cumplimiento para todas las empresas, con el fin de regular información
de copias, recuperación de sistemas, etc.

Observando los últimos datos del INE, parece que aunque se intenta sujetar
este problema, el porcentaje sigue siendo significativo, con una tendencia al alza
cuando aumenta el tamaño de la empresa:

En enero de 2007 se aprecia un sensible descenso de las empresas con acceso


a Internet que tuvieron algún problema de seguridad en los últimos 12 meses,
pasando del 19,79% en enero de 2006 al 15,92% en enero de 2007.

Las grandes empresas son las que tienen más problemas de seguridad, el
22,93% de éstas declaran haber tenido problemas, frente al 17,22% de las empresas
de 50 a 249 o el 15,55% de las empresas de 10 a 49 empleados.

En relación a las empresas con menos de 10 empleados se observa como el


problema de la seguridad tiene la misma importancia que para las grandes
empresas, ya que el 15,41% de las mismas han tenido algún problema de seguridad
en los últimos doce meses.

23
Seguridad y Comercio Electrónico

Si por el contrario ahora se analizan los tipos de problemas según el INE, se


obtienen los siguientes datos:

El principal problema declarado por las empresas es el ataque de virus


informáticos. En esta línea, se puede destacar que el problema mayor son los
ataques de virus informáticos por los cuales se ven afectadas el 14.91% de las
empresas dentro de los últimos doce meses. De ahí la importancia de tener, en
primer lugar, un sistema de protección antivirus instalado en los sistemas de la
empresa y, en segundo lugar, mantener este sistema de seguridad
permanentemente actualizado.

El siguiente paso parece ser intentar analizar las medidas para evitar estas
situaciones, que aunque no es motivo de este proyecto, es fundamental para la
dirección definir el alcance del plan de seguridad con el fin de identificar hechos,
circunstancias, acciones y personas que puedan afectar a la propia información en
todos sus grados. La dirección debe ser consciente del nivel de garantía de
seguridad, del coste de la solución que permita alcanzar ese nivel y del riesgo que
conlleve con el fin de tomar las medidas pertinentes sean cuales sean.

24
Seguridad y Comercio Electrónico

Métodos de integración y
seguridad

25
Seguridad y Comercio Electrónico

2. Métodos de integración y seguridad

2.1. Requerimientos del plan de contingencias y recuperación.

Desde los inicios de los sistemas de información se comprendió que las


contingencias forman parte inherente de los mismos. Las amenazas a la
información pueden provenir de muchas fuentes, tanto de origen natural
(terremotos, tormentas, etc.), de origen humano (retaliaciones, celos profesionales,
competencia, huelga, problemas laborales, entre otros), como de origen técnico
(fallos del hardware, del software, con el suministro de energía, etc.). Y es casi
siempre una situación no prevista la que regularmente provoca una crisis y las
consecuencias de la misma, según su impacto y extensión, pueden ser catastróficas
para los intereses de cualquier organización.

Los fallos técnicos y humanos han hecho recapacitar a las organizaciones


sobre la necesidad de utilizar herramientas que le permitan garantizar una rápida
vuelta a la normalidad ante la presencia de cualquier eventualidad, por lo tanto, el
hecho de diseñar y preparar un plan de contingencias no implica un
reconocimiento de la ineficiencia en la gestión de la empresa, sino todo lo
contrario, los mecanismos de seguridad de la información buscan proteger a la
información de las diversas amenazas a las que se ve expuesta y supone un
importante avance a la hora de superar todas aquellas adversidades que pueden
provocar importantes pérdidas, no solo materiales sino aquellas derivadas de la
paralización del negocio durante un período más o menos prolongado. Todo esto
conlleva a que la función de definir los planes a seguir en cuestión de seguridad se
conviertan en una tarea realmente compleja.

26
Seguridad y Comercio Electrónico

Los objetivos de todo plan de contingencias y recuperación son:

• Reanudar con la mayor brevedad posible las funciones empresariales


más críticas, con el fin de minimizar el impacto de manera que la
correcta recuperación de los sistemas y procesos quede garantizada y se
conserven los objetivos estratégicos de la empresa.

• Evaluar los riesgos así como los costes de los procedimientos de


contingencia requeridos cuando se presenta una interrupción de las
operaciones, de forma que sólo se inviertan los recursos necesarios.

• Optimizar los esfuerzos y recursos necesarios para atender cualquier


contingencia de manera oportuna y eficiente, definiendo las personas
responsables de las actividades a desarrollar antes y durante la
emergencia.

Se puede decir que el plan de contingencias y recuperación consiste en la


identificación de aquellos sistemas de información y recursos informáticos
aplicados que son susceptibles de deterioro, violación o pérdida y que pueden
ocasionar graves trastornos para la vida normal de la organización, con el
propósito de estructurar y ejecutar aquellos procedimientos y asignar
responsabilidades que salvaguarden la información y permitan su recuperación,
garantizando la confidencialidad, integridad y disponibilidad de ésta en el menor
tiempo posible y a unos costes razonables.

El plan de contingencia debe cubrir todos los aspectos que se van a adoptar
tras una interrupción, lo que implica suministrar el servicio alternativo y para
lograrlo no solo se deben revisar las operaciones cotidianas, sino que también debe
incluirse el análisis de los principales distribuidores, clientes, negocios y socios, así
como la infraestructura en riesgo. Esto incluye cubrir los siguientes tópicos:
hardware, software, documentación, recursos humanos y soporte logístico.

27
Seguridad y Comercio Electrónico

Además, debe ser lo más detallado posible y fácil de comprender. Los conceptos
básicos son los siguientes:

• Análisis y valoración de riesgos.

• Jerarquización de las aplicaciones.

• Establecimientos de requerimientos de recuperación.

• Ejecución.

• Pruebas.

• Documentación.

• Difusión y mantenimiento.

2.1.1. Análisis y valoración de riesgos.

El proyecto comienza con el análisis del impacto en la organización.


Durante esta etapa se identifican los procesos críticos o esenciales y sus
repercusiones en caso de no estar en funcionamiento. El primer componente del
plan de contingencia debe ser una descripción del servicio y el riesgo para ese
servicio, igualmente se debe determinar el coste que representa para la
organización el experimentar un desastre que afecte a la actividad empresarial. Se
debe evaluar el nivel de riesgo de la información para hacer:

• Un adecuado estudio coste/beneficio entre el coste por pérdida de


información y el coste de un sistema de seguridad.

• Clasificar la instalación en términos de riesgo (alto, mediano, bajo) e


identificar las aplicaciones que representen mayor riesgo.

28
Seguridad y Comercio Electrónico

• Cuantificar el impacto en el caso de suspensión del servicio.

• Determinar la información que pueda representar cuantiosas


pérdidas para la organización o bien que pueda ocasionar un gran
efecto en la toma de decisiones.

Cuando ocurra una contingencia, es esencial que se conozca al detalle el


motivo que la originó y el daño producido mediante la evaluación y análisis del
problema. En este análisis se revisarán las fortalezas, oportunidades, debilidades y
amenazas, lo que permitirá recuperar en el menor tiempo posible el proceso
perdido.

2.1.2. Jerarquización de las aplicaciones.

Es primordial definir anticipadamente cuales son las aplicaciones


primordiales para la organización. Para la determinación de las aplicaciones
prioritarias, el plan debe estar asesorado y respaldado por la dirección, de tal
forma que permita minimizar las diferencias entre los distintos departamentos y
divisiones.

El plan debe incluir una lista de los sistemas, aplicaciones y prioridades.


Igualmente debe identificar aquellos elementos o procedimientos informáticos
como el hardware, software básico de telecomunicaciones y el software de
aplicación, que puedan ser críticos ante cualquier eventualidad o desastre y
jerarquizarlos por orden de importancia dentro de la organización. También se
deben incluir en esta categoría los problemas asociados por la carencia de fuentes
de energía, utilización indebida de medios magnéticos de resguardo o back up o
cualquier otro daño de origen físico que pudiera provocar la pérdida masiva de
información.

29
Seguridad y Comercio Electrónico

2.1.3. Establecimientos de requerimientos de recuperación.

En esta etapa se procede a determinar lo que se debe hacer para lograr una
óptima solución, especificando las funciones con base en el estado actual de la
organización. De esta forma es necesario adelantar las siguientes actividades:
profundizar y ampliar la definición del problema, analizar las distintas áreas
implicadas, documentos utilizados, esquema organizacional y funcional, las
comunicaciones y sus flujos, el sistema de control y evaluación, formulación de las
medidas de seguridad necesarias dependiendo del nivel de seguridad requerido,
justificación del costo de implantar las medidas de seguridad, análisis y evaluación
del plan actual, determinar los recursos humanos, técnicos y económicos
necesarios para desarrollar el plan y definir un tiempo prudente y viable para
lograr que el sistema esté nuevamente en operación.

2.1.4. Ejecución.

Una vez finalizado el plan, es conveniente elaborar un informe final con los
resultados de su ejecución cuyas conclusiones pueden servir para mejorar al
mismo ante futuras eventualidades. En esta fase hay que tener muy presente que el
plan no busca resolver la causa del problema, sino asegurar la continuidad de las
tareas críticas de la empresa.

En la elaboración del plan de contingencias deben intervenir los niveles


ejecutivos de la organización, personal técnico de los procesos y usuarios, para así
garantizar su éxito, ya que los recursos necesarios para la puesta en marcha del
plan de contingencia, necesariamente demandan mucho esfuerzo técnico,
económico y organizacional.

30
Seguridad y Comercio Electrónico

2.1.5. Pruebas.

Es necesario definir las pruebas del plan, el personal y los recursos


necesarios para su realización. Luego se realizan las pruebas pertinentes para
intentar valorar el impacto real de un posible problema dentro de los escenarios
establecidos como posibles. En caso de que los resultados obtenidos difieran de los
esperados, se analiza si el fallo proviene de un problema en el entorno de
ejecución, con lo cual la prueba volverá a realizarse una vez solucionados los
problemas, o si se trata de un error introducido en la fase de conversión; en este
último caso pasará nuevamente a la fase de conversión para la solución de los
problemas detectados. Una correcta documentación ayudará a la hora de realizar
las pruebas. La capacitación del equipo de contingencia y su participación en
pruebas son fundamentales para poner en evidencia posibles carencias del plan.

2.1.6. Documentación.

Esta fase puede implicar un esfuerzo significativo en algunos casos, pero


ayudará a comprender otros aspectos del sistema y puede ser primordial para la
empresa en caso de ocurrir un desastre. Deben incluirse, detalladamente, los
procedimientos que muestren las labores de instalación y recuperación necesarias,
procurando que sean entendibles y fáciles de seguir.

Es importante tener presente que la documentación del plan de


contingencia se debe desarrollar desde el mismo momento que nace, pasando por
todas sus etapas y no dejando esta labor de lado para cuando se concluyan las
pruebas y su difusión.

31
Seguridad y Comercio Electrónico

2.1.7. Difusión y mantenimiento.

Cuando se disponga del plan definitivo ya probado, es necesario hacer su


difusión y capacitación entre las personas encargadas de llevarlo a cargo. El
mantenimiento del plan comienza con una revisión del plan existente y se examina
en su totalidad realizando los cambios en la información que pudo haber
ocasionado una variación en el sistema y realizando los cambios que sean
necesarios.

Como conclusiones se puede observar lo siguiente:

Un plan de contingencias y recuperación es la herramienta que cualquier


empresa debe tener, para desarrollar la habilidad y los medios de sobrevivir y
mantener sus operaciones, en caso de que un evento fuera de su alcance le pudiera
ocasionar una interrupción parcial o total en sus funciones. Las políticas con
respecto a la recuperación de desastres deben de emanar de la máxima autoridad
de la empresa, para garantizar su difusión y estricto cumplimiento.

Deben realizarse pruebas para determinar la eficacia del plan de


contingencia y de los procedimientos de recuperación ante desastres. Las
deficiencias deben resolverse y comprobarse inmediatamente. En un plan de
contingencia, el objetivo consiste en ejecutar varias tareas en el menor tiempo
posible. Cualquier deficiencia en la documentación, capacitación o, incluso, en los
aspectos administrativos, pone en peligro la continuidad del negocio.

La puesta en marcha de los planes a seguir es responsabilidad del


encargado de la seguridad, pero también debe existir un compromiso por parte de
los usuarios del sistema de información, ejecutivos y todas las personas que de
alguna u otra forma ayudan a que el sistema cumpla con los requerimientos para el

32
Seguridad y Comercio Electrónico

que fue diseñado, manteniendo sobre todo la integridad y confidencialidad de la


información.

El plan de contingencias tiene diferentes niveles de complejidad y


flexibilidad según las necesidades y características de los grupos, empresas u
organizaciones. Nunca se contará con los recursos suficientes para estar totalmente
preparados, de ahí que el proceso deba ser paulatino e ir evolucionando según el
contexto.

El cambio es inevitable en la construcción de sistemas basados en


computadoras. Por ello se deben desarrollar mecanismos de evaluación, control e
implementación de modificaciones al sistema ocasionadas por nuevos
requerimientos de los usuarios, por disposiciones internas de la organización para
corregir errores, para aprovechar los nuevos avances tecnológicos, para satisfacer
nuevas necesidades o para mejorar los sistemas en funcionamiento.

Se debe tener una adecuada seguridad orientada a proteger todos los


recursos informáticos, motor de desarrollo y vida de los sistemas de información,
pero no se puede caer en excesos diseñando tantos controles y medidas que
desvirtúen el propio sentido de la seguridad. Por consiguiente, se debe hacer un
análisis de coste/beneficio evaluando las consecuencias que pueda acarrear la
pérdida de información y demás recursos informáticos, así como analizar los
factores que afectan negativamente la productividad de la empresa.

33
Seguridad y Comercio Electrónico

2.2. Análisis de riesgos.

El análisis de riesgos permite evaluar el impacto que podría resultar de la


pérdida de la confidencialidad, integridad o disponibilidad de los sistemas de
información. Una vez realizado el análisis de riesgos se procede a implantar las
medidas de protección necesarias para paliar las posibles catástrofes que
conllevarían las ocurrencias de las posibles amenazas a las que está expuesta la
empresa. Éste método proporciona a los responsables de la organización
informática, la información adecuada sobre la que basar sus decisiones.

A continuación se definen los términos básicos de un análisis de riesgos:

Activo: Componente del sistema al que la organización asigna un valor y


que por tanto necesita protección. Su valor puede quedar muy reducido después
de la ocurrencia de una amenaza. Los activos pueden ser tangibles como por
ejemplo, el personal, edificios, hardware, software, datos, documentación, etc. O
pueden ser intangibles como la imagen, la reputación de la empresa, confianza de
los clientes, etc.

Amenaza: Un evento, persona o idea que presenta un peligro para un


sistema. La ocurrencia o manifestación de una amenaza puede comprometer la
confidencialidad, integridad o disponibilidad de un activo integrante de la
empresa, utilizando las vulnerabilidades del mismo pueden ser accidentales como
los desastres naturales, errores humanos o fallos de equipo o pueden ser
intencionadas como un robo, sabotaje, vandalismo, etc.

Vulnerabilidad: Debilidad de un sistema a través del cual una amenaza


pueda actuar. La vulnerabilidad suele ser debida a la ausencia de medidas de
protección, al mal funcionamiento de las mismas o la cobertura parcial que dichas
medidas proporcionan frente a la amenaza. La presencia de una vulnerabilidad en
sí, no causa daño, debe de existir una amenaza para aprovecharse de ella. Si tal

34
Seguridad y Comercio Electrónico

amenaza no existe, la vulnerabilidad no requiere la implantación de un sistema de


protección. Un ejemplo de vulnerabilidad puede ser tener un inadecuado sistema
anti-incendios o un sistema inadecuado de control de accesos.

Impacto: La consecuencia indeseable de la ocurrencia de una amenaza que


afecta a los activos del sistema y resulta una pérdida para la organización. El
impacto podría ser uno o más de los siguientes:

• Indisponibilidad o destrucción del servicio o los activos.


• Modificación no autorizada del software o de los datos.
• Revelación no autorizada de datos o de software.

Riesgo: Una medida del grado de exposición al que un sistema, y por tanto
una organización está sujeta. El riesgo es una función de:

• La probabilidad de la ocurrencia o manifestación de una amenaza.


• El grado de vulnerabilidad del sistema que pueda ser aprovechado por una
amenaza para causar un impacto no deseado.
• El nivel de efecto adverso que la ocurrencia de la amenaza tendría en la
organización.

Salvaguarda: La salvaguarda es una medida de protección que mejora la


seguridad del sistema y protegen los activos de las amenazas mediante:

• La transferencia del riesgo.


• La reducción de la probabilidad de manifestación de una amenaza.
• La reducción del nivel de vulnerabilidad del que podría aprovecharse una
amenaza.
• La reducción del impacto de la manifestación de una amenaza.
• La detección de la manifestación de una amenaza.
• La recuperación del impacto de la manifestación de una amenaza.

35
Seguridad y Comercio Electrónico

Se ha realizado un esquema gráfico con tal de comprender mejor estos


conceptos:

Como se ha expuesto en apartados anteriores queda más que justificada la


importancia de la realización de un análisis de riesgos como primer paso a la hora
de iniciar un plan de seguridad en una empresa, intentando que éste sea lo más
profundo y amplio posible, incluso en temas físicos y comenzando por la ubicación
y construcción del Centro de Proceso de Datos (CPD). Bajo este acrónimo se conoce
al lugar donde se encuentran todos los recursos necesarios para el procesamiento
de información de una organización. En este momento el autor se refiere por
recursos a las dependencias, equipos y redes de comunicaciones.

El CPD suele ser de gran tamaño e incluso puede ser un edificio


independiente, usado para mantener en él una gran cantidad de equipamiento
electrónico. Suelen ser creados e incluso mantenidos por grandes organizaciones
con objeto de tener acceso a la información necesaria para sus operaciones. En la

36
Seguridad y Comercio Electrónico

actualidad prácticamente la totalidad de las compañías medianas o grandes tienen


algún tipo de CPD, pudiendo tener varios.

Es importante la creación de un CPD y tiene cabida en este proyecto porque


algunos de sus objetivos son destacar la continuidad del servicio a clientes,
empleados, proveedores, etc. Así como garantizar la protección física a los equipos
implicados y bases de datos que puedan contener información crítica.

Por otro lado, la clasificación más usual de los riesgos es en tres grupos para
facilitar la valoración, tal y como se expone a continuación:

 Naturales: Incendios, cortes de suministro eléctrico,


comunicaciones…

 Inducidos: Sabotaje, huelgas, robos, fraudes.

 Informáticos: Fallos tanto de hardware como de software básico,


errores técnicos o de usuarios, ausencia de responsables.

Esta clasificación, según la tipología del riesgo en cuestión, tiene como fin
expresar la viabilidad del plan de seguridad, su coste y riesgo total que la dirección
debe asumir. La optimización de la relación entre las pérdidas originadas por la
contingencia y el coste por implantación de la solución fijan el máximo coste
admisible y el máximo tiempo de contingencia, tal y como se muestra en la
siguiente figura:

37
Seguridad y Comercio Electrónico

38
Seguridad y Comercio Electrónico

2.3. Estudio de vulnerabilidades.

Las vulnerabilidades de seguridad informática han existido siempre. A


medida que se hacían conocidas diferentes vulnerabilidades, también se
publicaban herramientas de seguridad y parches con el objetivo de ayudar a los
administradores. Actualmente, Internet representa una gran fuente de información
donde existe mucha más cantidad de referencias sobre cómo ingresar a sistemas
que sobre cómo protegerlos. La seguridad de la red comprende tanto la protección
física de los dispositivos como también la integridad, confidencialidad y
autenticidad de las transmisiones de datos que circulen por ésta.

La siguiente lista resume los puntos que comprende la seguridad de una


red:

• La información debe estar protegida de una posible destrucción o


modificación accidental o intencional (integridad).

• Los datos no deben estar disponibles a los accesos no autorizados


(privacidad).

• Las transacciones no deben ser modificadas en su trayecto y se debe


asegurar que quien las generó es quien dice ser (integridad, autenticidad
y no repudio).

• Se debe mantener la integridad física de los dispositivos de red como


servidores, switches, etc.

• El uso de la red no debe ser con fines que no estén contemplados por las
políticas de utilización.

• La red debe estar disponible siempre y con la eficiencia necesaria, aún


ante fallos inesperados (disponibilidad).

39
Seguridad y Comercio Electrónico

A través de un análisis de vulnerabilidades, un analista en seguridad puede


examinar la robustez y seguridad de cada uno de los sistemas y dispositivos ante
ataques y obtener la información necesaria para analizar cuáles son las
contramedidas que se pueden aplicar con el fin de minimizar el impacto de un
ataque. Este análisis debe realizarse cuando ocurran cambios en el diseño de la red
o los sistemas, cuando se realicen actualizaciones de los dispositivos o
periódicamente.

Hay distintos métodos para realizar un análisis de vulnerabilidades, según


la finalidad que se persiga.

Caja Negra: Al analista se le proporciona sólo la información de acceso a la


red o al sistema (podría ser sólo una dirección IP). A partir de esta información, el
analista debe obtener toda la información posible.

Caja Blanca: El analista de seguridad tiene una visión total de la red a


analizar, así como acceso a todos los equipos como superusuario. Este tipo de
análisis tiene la ventaja de ser más completo y exhaustivo.

Test de Penetración: Durante el test de penetración el analista de seguridad


simula ser un atacante. Desde esta posición, se realizan varios intentos de ataques a
la red, buscando debilidades y vulnerabilidades:

• Estudio de la red externa.

• Análisis de servicios disponibles.

• Estudio de debilidades.

• Análisis de vulnerabilidades en dispositivos de red.

• Análisis de vulnerabilidades de implementaciones y configuraciones.

• Denegación de servicio.

40
Seguridad y Comercio Electrónico

El resultado del test de penetración mostrará una idea general del estado de
la seguridad de los sistemas frente a los ataques. Si se encontraran una o más
vulnerabilidades, no se realiza su explotación.

Como conclusión de este paso, se debe obtener un informe que indique las
pruebas de seguridad realizadas en el test, una lista de las vulnerabilidades y
debilidades encontradas con sus correspondientes contramedidas y las
recomendaciones a seguir en cuestión de seguridad.

Las vulnerabilidades provienen de diferentes ámbitos y se pueden clasificar


en:

• Vulnerabilidades de implementación.

• Vulnerabilidades de configuración.

• Vulnerabilidades de dispositivo.

• Vulnerabilidades de protocolo.

• Vulnerabilidades de aplicación

Existen diversas herramientas que se pueden utilizar para realizar un


análisis de vulnerabilidades: escaneo de puertos, ingeniería social, trashing, etc.

Los pasos a seguir para llevar a cabo un análisis de vulnerabilidades


comprenden:

1. Recopilación de información.

Un análisis de vulnerabilidades comienza con la obtención de


información del objetivo. Si se ha seleccionado realizar un test por caja
negra, el proceso de análisis será muy similar al proceso seguido por un
atacante. Si utiliza un método de caja blanca, éste es el momento para

41
Seguridad y Comercio Electrónico

recopilar la información de acceso a servicios, hosts y dispositivos,


información de direccionamiento, y todo lo que considere necesario.

2. Test Interior.

El Test Interior trata de demostrar hasta donde se puede llegar con los
privilegios de un usuario típico dentro de la organización. Para realizarlo se
requiere que la organización provea una computadora típica, un nombre de
usuario y una clave de acceso de un usuario común.

Se compone de numerosas pruebas, algunas de las cuales son:

• Revisión de Privacidad.

• Testeo de Aplicaciones de Internet.

• Testeo de Sistema de Detección de Intrusos.

• Testeo de Medidas de Contingencia.

• Descifrado de Contraseñas.

• Testeo de Denegación de Servicios.

• Evaluación de Políticas de Seguridad.

3. Test Exterior.

El principal objetivo del Test Exterior es acceder en forma remota a


los servidores de la organización y obtener privilegios o permisos que no
deberían estar disponibles. El Test Exterior puede comenzar con técnicas de
Ingeniería Social, para obtener información que luego se utilizará en el
intento de acceso.

42
Seguridad y Comercio Electrónico

Los pasos del estudio previo de la organización deben incluir:

1. Revisión de la Inteligencia Competitiva: Información recolectada


a partir de la presencia en Internet de la organización.

2. Revisión de Privacidad: Es el punto de vista legal y ético del


almacenamiento, transmisión y control de los datos basados en la
privacidad del cliente.

3. Testeo de Solicitud: Es un método de obtener privilegios de


acceso a una organización y sus activos preguntando al personal
de entrada, usando las comunicaciones como un teléfono, e-mail,
chat, boletines, etc. desde una posición privilegiada fraudulenta.

4. Testeo de Sugerencia Dirigida: En este método se intenta lograr


que un integrante de la organización ingrese a un sitio o reciba
correo electrónico. En este sitio o correo se agregan herramientas
que luego serán utilizadas en el intento de acceso.

4. Documentación e informe.

Como finalización del análisis de vulnerabilidades se debe presentar


un informe donde se detalle cada uno de los tests realizados y los
resultados. En este informe se debe especificar las vulnerabilidades
probadas y detectadas, los servicios y dispositivos vulnerables y el nivel de
riesgo que involucra cada vulnerabilidad encontrada en cada servicio y
dispositivo.

43
Seguridad y Comercio Electrónico

2.4. La importancia de la seguridad en el comercio electrónico.

Existen diferentes métodos de procesar transacciones en una compra


(protocolos que lo hacen de manera segura). En este apartado se hará referencia en
exclusividad al protocolo SSL, por tratarse de un protocolo muy extendido en la
actualidad.

La seguridad de un sitio electrónico tiene que ser confiable para que el


mismo tenga éxito. El índice de personas que compran en línea ha crecido
extraordinariamente en los últimos años y se debe principalmente a la
confiabilidad que aportan hoy día los sitios de comercio electrónico.

La seguridad en un ambiente de comercio electrónico involucra las


siguientes partes:

• Privacidad: que las transacciones no sean visualizadas por nadie.

• Integridad: que los datos o transacciones como números de tarjeta de


créditos o pedidos no sean alterados.

• No Repudio: posibilita que el que generó la transacción se haga


responsable de ella, y brinda la posibilidad de que este no la niegue.

• Autenticación: que los que intervienen en la transacción sean leales y


válidas.

• Facilidad: que las partes que intervienen en la transacción no encuentren


dificultad al hacer la transacción.

44
Seguridad y Comercio Electrónico

2.4.1. Herramientas de protección en el comercio electrónico.

Las estructuras de seguridad de un sitio de e-Commerce no varían con las


de un sitio tradicional. La principal diferencia radica en el hecho de que se
implemente el protocolo SSL en la mayoría de los casos para tener un canal seguro
en las transacciones.

2.4.1.1. Firewalls (Corta Fuegos)

Un firewall es un elemento de hardware o software utilizado en una red de


computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas
según las políticas de red que haya definido la organización responsable de la red.
La ubicación habitual de un cortafuegos es el punto de conexión de la red interna
de la organización con la red exterior, que normalmente es Internet. De este modo
se protege la red interna de intentos de acceso no autorizados desde Internet, que
puedan aprovechar vulnerabilidades de los sistemas de la red interna.

También es frecuente conectar al cortafuegos una tercera red, llamada zona


desmilitarizada o DMZ, en la que se ubican los servidores de la organización que
deben permanecer accesibles desde la red exterior.

Un cortafuegos correctamente configurado añade protección a una


instalación informática, pero en ningún caso debe considerarse como suficiente. La
Seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

Las ventajas de un cortafuegos son cuantiosas aunque las más significativas


son:

• Protege de intrusiones. El acceso a ciertos segmentos de la red de una


organización, sólo se permite desde máquinas autorizadas de otros
segmentos de la organización o de Internet.

45
Seguridad y Comercio Electrónico

• Protección de información privada. Permite definir distintos niveles de


acceso a la información de manera que en una organización cada grupo de
usuarios definido tendrá acceso sólo a los servicios y la información que le
son estrictamente necesarios.

• Optimización de acceso. Identifica los elementos de la red internos y


optimiza que la comunicación entre ellos sea más directa. Esto ayuda a
reconfigurar los parámetros de seguridad.

Pero no todo son ventajas en los firewalls y son necesarias por ello otras
herramientas de seguridad que defiendan la información y servicio de la
organización. Las limitaciones más relevantes son:

• Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no


pase a través de él.

• El cortafuegos no puede proteger de las amenazas a las que está sometido


por ataques internos o usuarios negligentes. El cortafuegos no puede
prohibir a espías corporativos copiar datos sensibles en medios físicos de
almacenamiento (diskettes, memorias, etc.) y sustraigan éstas del edificio.

• El cortafuegos no puede proteger contra los ataques de Ingeniería social


(explicados anteriormente en el tema 2.3 de estudio de vulnerabilidades).

• El cortafuegos no puede proteger contra los ataques posibles a la red interna


por virus informáticos a través de archivos y software. La solución real está
en que la organización debe ser consciente en instalar software antivirus en
cada máquina para protegerse de los virus que llegan por cualquier medio
de almacenamiento u otra fuente.

• El cortafuegos no protege de los fallos de seguridad de los servicios y


protocolos de los cuales se permita el tráfico. Hay que configurar

46
Seguridad y Comercio Electrónico

correctamente y cuidar la seguridad de los servicios que se publiquen a


Internet.

En la siguiente imagen se muestra un ejemplo de la ubicación de un firewall


y una zona des-militarizada en una red común.

2.4.1.2. Protocolo SSL

Secure Sockets Layer (Protocolo de Capa de Conexión Segura) es un


protocolo criptográfico que proporciona comunicaciones seguras por una red,
comúnmente Internet. SSL se ejecuta en una capa entre los protocolos de aplicación
como HTTP, SMTP, NNTP y sobre el protocolo de transporte TCP, que forma parte
de la familia de protocolos TCP/IP. Aunque pueda proporcionar seguridad a
cualquier protocolo que use conexiones de confianza (tal como TCP), se usa en la
mayoría de los casos junto a HTTP para formar HTTPS. HTTPS es usado para
asegurar páginas World Wide Web para aplicaciones de comercio electrónico,
utilizando certificados de clave pública para verificar la identidad de los extremos.

47
Seguridad y Comercio Electrónico

Este se compone de dos capas y funciona de la siguiente manera:

• La primera capa se encarga de encapsular los protocolos de nivel más


alto.

• La segunda capa que se llama SSL Handshake Protocol se encarga de la


negociación de los algoritmos que van a cifrar y también la autenticación
entre el cliente y el servidor.

Cuando se realiza una conexión inicial el cliente lo primero que hace es


enviar una información con todos los sistemas de encriptación que soporta (el
primero de la lista es el que prefiere utilizar el cliente). Entonces el servidor
responde con una clave certificada e información sobre los sistemas de
encriptación que este soporta.

Entonces el cliente seleccionará un sistema de encriptación, tratará de


descifrar el mensaje y obtendrá la clave pública del servidor.

Aparte de SSL existen otros protocolos como el SET creado por Mastercard
y Visa junto con líderes de la informática como Microsoft, Verisign y otras
empresas más. Junto con el CyberCash son soluciones creadas para la venta por
Internet.

2.4.1.3. Certificados.

Un Certificado Digital es un documento digital mediante el cual un tercero


confiable (una autoridad de certificación) garantiza la vinculación entre la
identidad de un sujeto o entidad y su clave pública.

Un certificado emitido por una entidad de certificación autorizada, además


de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:

48
Seguridad y Comercio Electrónico

• Nombre, dirección y domicilio del suscriptor.

• Identificación del suscriptor nombrado en el certificado.

• El nombre, la dirección y el lugar donde realiza actividades la entidad de


certificación.

• La clave pública del usuario.

• La metodología para verificar la firma digital del suscriptor impuesta en el


mensaje de datos.

• El número de serie del certificado.

• Fecha de emisión y expiración del certificado.

2.4.1.4. Infraestructura de Clave Pública (PKI).

Una PKI es una fusión de soluciones dadas en hardware, software y


políticas de seguridad, y está basada en criptografía de clave pública, que permite
la gestión de certificados. Esta infraestructura provee de confidencialidad
(Privacidad), integridad de los mensajes (no modificaciones en el trayecto),
autenticación, no repudio (no poder denegar una acción en el mensaje emitido por
un remitente) y control de acceso. Sus aplicaciones más comunes son para la
comunicación entre servidores, para correo electrónico, EDI o transacciones con
tarjetas de crédito/débito. Es por esta última aplicación por la que se ha
profundizado en esta herramienta. El gran papel que desempeña dentro del
comercio electrónico la hace una herramienta clave dentro del ámbito de este
proyecto.

49
Seguridad y Comercio Electrónico

Partes de las que se compone:

• Política de Seguridad: establece la manera en que una organización


ejecutará procesos de gestión de claves públicas y privadas.

• Autoridad Certificante (CA): del inglés Certificate Authority, se encarga de


generar los Certificados Digitales, usando una clave privada para firmarlos.
Otras funciones de una CA son:

o Emitir Certificados

o Revocar certificados y crear CRLs (Certificate Revocation


List) que son listas de certificados ya no válidos.

• Autoridad de Registro (RA): es la entidad encargada de gestionar altas y


bajas de las peticiones de certificación como así también de la revocación.
Entonces un usuario que desea solicitar un certificado de clave pública se
debe dirigir a una RA autorizada por una CA.

• Autoridad de Validación (VA): proporciona información sobre el estado de


los certificados. Realiza las consultas de todas las CRLs necesarias para
saber el estado del certificado que se le ha pasado en una petición de
validación.

50
Seguridad y Comercio Electrónico

Esta imagen resumen representa a una infraestructura de clave pública


mediante el uso de sesión con el protocolo SSL y certificados.

El Número 3 es el CA que se encarga de:

• Emitir el Certificado

• Validar la autenticidad del Emisor y Receptor (Punto


1 y 2)

• Mantener una base de datos con los certificados válidos


y los removidos.

Se trata pues, de un gran método de seguridad, ya que por cada conexión


que se hace el servidor envía una clave diferente. Entonces, si alguien consigue
descifrar la clave, lo único que puede hacer es cerrar la conexión que corresponde a
esa clave.

51
Seguridad y Comercio Electrónico

2.4.1.5. Ejemplo real

Para comprender mejor los pasos que sigue una infraestructura de clave
pública, se desarrollará un ejemplo práctico sobre comercio electrónico. En este
caso será la compra de un libro de amazon.com.

Se muestra a continuación http://www.amazon.com.

Se trata de un sitio común: la barra de estado del Internet


Explorer indica que es en un sitio de Zona Internet y la dirección comienza con
http://

52
Seguridad y Comercio Electrónico

Ahora la siguiente pantalla muestra el caso de cuando se quiere hacer el


Check Out o Pago de los libros comprados.

Ahora un pequeño candado indica que se trata de un servidor


seguro, y que se pueden incluir los datos personales. Otro indicador es la dirección
de web, que ahora comienza con https://…. y no con http://….

Este es un modo de comprobar si es seguro introducir los datos personales.


En caso de dudas, siempre se puede hacer doble clic sobre el candado y se
obtendrá información sobre el certificado (en este caso del servidor amazon.com).

53
Seguridad y Comercio Electrónico

Esta es la información básica del certificado, que confirma


si se está conectado al servidor correcto (amazon.com). También muestra por qué
autoridad certificadora (CA) fue emitido el certificado. Esta segunda empresa tiene
que ser distinta de la que figure como propietaria del certificado. Se trata de una
Tercera Parte Confiable (TTP – Trusted Third Party), que garantiza la verificación
del certificado.

Haciendo clic en la pestaña Detalles se puede obtener más información


técnica sobre el certificado, como el algoritmo utilizado, la versión de SSL, el
algoritmo de identificación y la fecha de validez que posee, entre otros.

54
Seguridad y Comercio Electrónico

55
Seguridad y Comercio Electrónico

Ahora que se tiene claro el funcionamiento del e-Commerce, se va a mostrar


una figura identificando los tres protagonistas principales en cualquier transacción
habitual de compra en Internet:

• Punto 1: Usuario que se conecta con el sitio Punto 2 (Amazon.com en


este ejemplo)

• Punto 2: Muestra los productos a comprar. Se accede a un sitio seguro.


Entonces el Punto 2 contacta con el Punto3, el cual envía la dirección del
certificado para el Punto 2, donde informa si es válido o no.

Utilizar SSL tiene beneficios grandes, ya que es un estándar que no hace


falta instalar ningún software adicional de lado del cliente ni del servidor, ya que
la mayoría de los servidores web y navegadores ya poseen soporte para SSL.

56
Seguridad y Comercio Electrónico

También da una prueba de que un servidor web es quien dice ser, gracias a
la participación de Terceras Partes Confiables.

Debido a que el 95% de los pagos de Internet se realizan utilizando SSL, hoy
en día se ha convertido en un protocolo de facto para todo tipo de conexiones
seguras.

57
Seguridad y Comercio Electrónico

2.5. Responsabilidades del Ingeniero Informático en el cumplimiento


de la LOPD.

Para abordar este punto, se estima oportuno en primer lugar tratar el tema
de la LOPD como una necesidad o como una obligación.

Parece que es necesario que una ley proteja los datos personales de cada
individuo, porque el uso de los datos personales en manos de terceros hace que
sean sensibles a poder ser utilizados de forma indiscriminada dependiendo de
quién los manipule. Y es una obligación porque la ley obliga a las empresas
tomadoras de datos personales a utilizar de forma correcta y con autorización
dichos datos. Es decir, que cuando una persona da sus datos personales a cualquier
otra persona, empresa, profesional, o entidad, tienen la obligación de extenderle
una autorización suya por escrito y firmada por ambas partes, explicándole para
qué van a utilizar sus datos, con el consabido derecho de limitarlo a un solo fin y
poder revocar éste cuando usted estime oportuno.

Además, se ha de explicar de qué se trata y dónde van a depositarse, si fuera


preciso, tanto sea en un despacho de abogados, asesores fiscales, bancos, empresas
comerciales, etc.

En cualquier empresa o entidad existen personas que manipulan datos


continuamente. El problema radica en que hay personas que podrían utilizar los
datos personales para muchos fines no deseados y trasladar dichos datos de
empresas a empresas, incluso en alguna ocasión cederlos a terceros. Por ello, la Ley
Orgánica de Protección de Datos tiene regulado este particular, haciendo firmar un
compromiso de confidencialidad a estas personas y empresas para que esto no
ocurra. En caso de suceder, la Agencia Española de Protección de Datos impone
sanciones muy importantes dependiendo del tipo de denuncia formulada por la
persona que reclama su derecho.

58
Seguridad y Comercio Electrónico

Agencia Española de Protección de Datos (AEPD)

La Agencia Española de Protección de Datos (AEPD) es un Ente de Derecho


Público con personalidad jurídica propia y plena capacidad pública y privada, que
actúa con plena independencia de las Administraciones Públicas en el ejercicio de
sus funciones. Suele realizar inspecciones a las empresas auditando los registros de
datos para evitar en la mayor forma posible de este modo que se utilicen los datos
de clientes y proveedores de forma incorrecta, sancionando a aquellas que no han
adecuado los sistemas informáticos, administrativos y burocráticos para realizar el
buen uso de los datos personales. Para el desempeño de este papel se crea el
Registro General de Protección de Datos como órgano integrado en la Agencia de
Protección de Datos, y serán objeto de inscripción los ficheros automatizados de
titularidad privada, las autorizaciones a que se refiere la presente Ley y los datos
relativos a los ficheros que sean necesarios para el ejercicio de los derechos de
información, acceso, rectificación y cancelación.

La AEPD cuenta con una web, http://www.agpd.es, donde ofrece


información pública sobre la protección de datos. Un aspecto importante es que el
registro de los ficheros físicos (papel, informes, listados...) y lógicos (archivos
informáticos y de soportes magnéticos) es gratuito para todas las empresas,
profesionales y entidades que almacenen datos personales. Para ello existen varias
formas de realizarlo.

Una vez que se registren estos datos, la AEPD emite un certificado con un
número de registro único. Luego, a través de una empresa certificada en auditorías
de sistemas, un gabinete consultor especializado en esta materia o bien mediante
una aplicación informática de ayuda que se puede encontrar en el mercado, se
realiza el documento de seguridad, cuyo contenido aún no está estandarizado,
pero debe ajustarse a unas normas básicas de cumplimiento recomendadas por la
AEPD.

59
Seguridad y Comercio Electrónico

En este documento de seguridad se encontrarán las pautas a seguir por las


empresas o entidades que registran sus datos, para conseguir una mejor forma de
asegurar la relación entre los datos de clientes y/o proveedores que se encuentren
almacenados en los sistemas informáticos o ficheros.

Antes de continuar se considera necesario recalcar algunas definiciones que


son expuestas en la LOPD, y que atañen al correcto desempeño de su labor al
responsable de seguridad.

Afectado o interesado: Persona física titular de los datos que sean objeto del
tratamiento a que se refiere la definición de “tratamiento de datos”.

Bloqueo de datos: La identificación y reserva de datos con el fin de impedir su


tratamiento.

Cesión o comunicación de datos: toda revelación de datos realizada a una


persona distinta del interesado. Toda obtención de datos resultante de la consulta
de un fichero, la publicación de los datos contenidos en el fichero, su interconexión
con otros ficheros y la comunicación de datos realizada por una persona distinta de
la afectada.

Consentimiento del interesado: toda manifestación de voluntad, libre,


inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen. El tratamiento de los datos de
carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la
ley disponga otra cosa.

Datos de carácter personal: “Cualquier información concerniente a personas


físicas identificadas o identificables”. “Toda información numérica, alfabética,
gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida,
registro, tratamiento o transmisión concerniente a una persona física identificada o

60
Seguridad y Comercio Electrónico

identificable”. Se pueden tratar de forma automatizada los datos de las personas


jurídicas sin tener en consideración la protección que ofrece esta norma.

Encargado del tratamiento: “La persona física o jurídica, autoridad pública,


servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate
datos personales por cuenta del responsable del tratamiento”

Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera


que fuere la forma o modalidad de su creación, almacenamiento, organización y
acceso.

Identificación del afectado: Cualquier dato que permita determinar directa o


indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social
de la persona física afectada.

Procedimiento de disociación: Todo tratamiento de datos personales de modo


que la información que se obtenga no pueda asociarse a persona determinada o
determinable. Suele utilizarse para el tratamiento de estadísticas, la ley indica que
no necesitará el consentimiento del afectado.

Responsable del fichero o tratamiento: Persona física, jurídica de naturaleza


pública o privada, u órgano administrativo que decida sobre la finalidad,
contenido y uso del tratamiento.

Transferencia de datos: El transporte de datos entre sistemas informáticos por


cualquier medio de transmisión, así como el transporte de soportes de datos por
correo o por cualquier otro medio convencional.

Tratamiento de datos: Operaciones y procedimientos técnicos de carácter


automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos
que resulten de comunicaciones, consultas, interconexiones y transferencias.

61
Seguridad y Comercio Electrónico

Definición muy amplia que comprende todas las maneras de tratar datos de forma
automatizada con ordenador. Algunos conceptos nuevos surgen de esta definición:
bloqueo, cancelación y cesión de datos.

Responsable del fichero

La capacidad de tomar decisiones sobre el objeto, utilización y fin del


tratamiento, o sobre el uso que se va a dar a los datos de carácter personal
resultantes del tratamiento o, en su caso si van o no a ser cedidos, definen la figura
del responsable del fichero.

La figura del responsable del fichero adoptará las medidas de índole técnica
y organizativa que garanticen la seguridad de los datos de carácter personal y
eviten su alteración, pérdida, tratamiento o acceso no autorizado. Por otro lado
elaborará e implantará la normativa de seguridad mediante un documento de
obligado cumplimiento para el personal con acceso a los datos automatizados de
carácter personal y a los sistemas de información.

En cuanto a los mínimos para el contenido del documento:

a) Ámbito de aplicación.
b) Medidas, normas, procedimientos, reglas.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros y descripción de los sistemas de información.
e) Procedimiento de incidencias.

Otras de sus funciones son:

• Debe dar a conocer las responsabilidades y normas de seguridad al personal


implicado.

62
Seguridad y Comercio Electrónico

• Relación actualizada de usuarios con acceso a los ficheros y su alcance


(elemento, nivel) y procedimientos y autenticación.
• Conceder, alterar o anular el acceso sobre datos y recursos.
• Autorizar la salida del local del soporte informático que contiene los datos
de carácter personal.
• Verificar la correcta aplicación de los procedimientos (copias cada semana).
• Designar al(os) responsable(s) de seguridad (no delegación).
• Identificar en el documento de seguridad el personal con autorización de
acceso físico a los locales.
• Autorizar por escrito la aplicación de los procedimientos de recuperación de
los datos.
• Gestión de soportes informáticos.

Responsable de Seguridad

En principio, la disposición de la AEPD para incentivar a las empresas a


registrar sus ficheros ha sido libre, para que los departamentos involucrados en las
empresas realicen esta labor de forma sencilla, pero las empresas no llegaban a
entender esta finalidad por falta de información. Para ello, se han realizado
muchas charlas, jornadas, conferencias y cursos de formación orientadas a las
empresas desde las Cámaras de Comercio y entidades empresariales, fundaciones,
asociaciones, etcétera.

Últimamente se ha detectado, según fuentes externas, que hay un gran


número de profesionales dedicados a recopilar datos de las empresas a través de
fuentes públicas y visitarlas para realizar el registro y documentos de seguridad, a
unos precios desorbitados en la mayoría de los casos y en otros demasiado bajos,
además de ofrecer cursos de formación para los empleados de las empresas,

63
Seguridad y Comercio Electrónico

obviando los aspectos técnicos y ciñéndose básicamente a rellenar el cuestionario


de la aplicación informática para realizar el documento de seguridad propuesto.

La mayoría de estos profesionales carecen de formación y certificación


tecnológica suficiente para realizar una consultoría y auditoría de protección de
datos. Desde luego que han encontrado un filón de oro para explotar a los neófitos
y noveles en este particular.

La responsabilidad de un auditor o consultor especializado en esta materia


es, desde el principio hasta el final, incluso requerirle a la empresa auditada a
comparecer ante una inspección de la AEPD si fuera necesario. Un mantenimiento
de un par de cientos de euros anuales sólo sirve para ver sí su empresa está
llevando a cabo los registros necesarios ante la ley, acción que sólo les lleva una
hora como máximo.

El registro en la AEPD de los ficheros, cuando lo realiza un gabinete


consultor o un auditor, lo registra con la firma digital del auditor en nombre de la
empresa que solicita de sus servicios, para lo que la empresa ha firmado
previamente un contrato de protección de datos y confidencialidad.

Son obligaciones del responsable de seguridad:

• Verificar el cumplimiento del Reglamento y los procedimientos cada


dos años, como mínimo.
• Informar sobre los resultados de las auditorías y poner a disposición de
la Agencia de Protección de Datos.

Algunas de las definiciones incluidas en el Reglamento son:

Sistemas de información: conjunto de ficheros automatizados, programas,


soportes y equipos empleados para el almacenamiento y tratamiento de datos de
carácter personal.

64
Seguridad y Comercio Electrónico

Usuario: sujeto o proceso autorizado para acceder a datos o recursos.

Recurso: cualquier parte componente de un sistema de información.

Accesos autorizados: autorizaciones concedidas a un usuario para la


utilización de los diversos recursos.

Identificación: procedimiento de reconocimiento de la identidad de un


usuario.

Autenticación: procedimiento de comprobación de la identidad de un


usuario.

Control de acceso: mecanismo que en función de la identificación ya


autenticada permite acceder a datos o recursos.

Contraseña: información confidencial, frecuentemente constituida por una


cadena de caracteres, que puede ser usada en la autenticación de un usuario.

Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de


los datos.

Soporte: objeto físico susceptible de ser tratado en un sistema de información


y sobre el cual se pueden grabar o recuperar.

Copia del respaldo: copia de los datos de un fichero automatizado en un


soporte que posibilite su recuperación.

65
Seguridad y Comercio Electrónico

Para finalizar cabe decir que antes de realizar algún contrato de servicios se
debe exigir un contrato de LOPD, que no obliga a ninguna de las partes a acuerdos
económicos; sólo de protocolo de confidencialidad, de alcance y autorización para
presupuestar los servicios.

Antes de firmar algún contrato de servicios se debe conocer el alcance de la


asesoría, consultoría, ejecución y finalización del proceso incluida la formación.
Asimismo, los términos económicos y de seguimiento si los hubiera.

Un auditor o consultor en esta materia debe ser miembro de algún


organismo, institución o asociación tecnológica, o estar en posesión de la
acreditación suficiente para realizar dichas auditorías. Estas asociaciones o
instituciones suelen ser ISACA (International Systems Auditor Control
Association), IRCA (International Register of Certificated Auditors) o el RASI
(Registro de Auditores de Sistemas de la Información).

Por lo tanto, y para concluir este apartado, indicar que el hecho de realizar
una labor para estar con la conformidad en la Ley Orgánica de Protección de Datos
no sólo es una necesidad sino también una obligación que todos deben cumplir y
evitar de alguna manera estar al margen de la Ley.

66
Seguridad y Comercio Electrónico

Claves del comercio electrónico en


la economía.

67
Seguridad y Comercio Electrónico

3. Claves del comercio electrónico en la nueva economía

3.1. Comercio electrónico como generador de cambios empresariales.

La llegada de infraestructuras de información permanentemente


cambiantes, ha provocado predicciones respecto a que uno de los efectos de los
mercados será la eliminación de los intermediarios, basándose en la capacidad de
las redes de telecomunicaciones. Sin embargo, la realidad puede ser bien distinta
puesto que las tecnologías de la información no sólo reforzarán la posición de los
intermediarios tradicionales, sino que además promoverán la aparición de nuevas
generaciones de intermediarios. En un mercado tradicional puede considerarse
que los intermediarios proporcionan un servicio de coordinación. Sin embargo, es
necesario definir con mayor precisión esta actividad para identificar como afectará
Internet a esta tarea:

Búsqueda y evaluación.

Un cliente que elige una tienda especializada sobre unos grandes almacenes
escoge implícitamente entre dos alternativas de búsqueda y criterios de evaluación.
En cualquier caso el cliente delega una parte del proceso de búsqueda del producto
en el intermediario, quien también suministra un control de calidad y evaluación
del producto.

Valoración de necesidades y emparejamiento de necesidades.

En muchos casos no es razonable asumir que los clientes posean el


conocimiento individual necesario para evaluar fidedignamente sus necesidades e
identificar los productos que las cumplirán eficazmente. Por lo tanto los
intermediarios pueden suministrar un servicio valioso ayudando a sus clientes a
determinar sus necesidades. Los intermediarios proporcionan a los clientes

68
Seguridad y Comercio Electrónico

servicios sobre la evaluación de los productos, proporcionando información no


sólo del producto, sino sobre su utilidad, e incluso proporcionando la asistencia
explícita de un experto para identificar las necesidades de los clientes.

Manejo de los riesgos del cliente.

Los clientes no siempre tienen la información perfecta y por tanto pueden


comprar productos que no satisfagan sus necesidades. En consecuencia, en
cualquier transacción al detalle, el cliente se enfrenta con ciertos riesgos. Estos
pueden ser el resultado de una incertidumbre en las necesidades del cliente, un
fallo en la comunicación con respecto a las características, o un fallo intencionado o
accidental del fabricante al proporcionar un producto adecuado. Otro servicio que
proporcionan muchos intermediarios está relacionado con el manejo de este riesgo.
Éste se soluciona suministrando a los clientes la opción de devolver los productos
defectuosos o proporcionando garantías adicionales, reduciendo la exposición de
los clientes a los riesgos asociados con los errores de los fabricantes. Si el cliente
tiene la opción de devolver los productos por cualquier motivo, el intermediario
reduce más la exposición del cliente a los riesgos asociados con los fallos de los
clientes para valorar las necesidades con precisión y compararlas con las
características del producto. Por lo tanto, eligiendo un intermediario que
proporciona estos servicios, los clientes están comprando implícitamente al
intermediario un seguro.

Distribución de productos.

Muchos intermediarios juegan un papel importante en la producción,


envasado y distribución de bienes. La distribución es un factor crítico en la
determinación del valor de la mayoría de los bienes de consumo. Por ejemplo, un
litro de gasolina a mil kilómetros del hogar de un cliente frente al que está a un

69
Seguridad y Comercio Electrónico

kilometro, es significativamente diferente, debido principalmente a los servicios de


distribución proporcionados.

Difusión de información sobre productos.

Se trata de que el intermediario informe a los clientes sobre la existencia y


las características de los productos. Los fabricantes confían en una variedad de
intermediarios, incluyendo a las tiendas de venta al menor, casas de ventas por
correo/catálogo, agencias de publicidad y puntos de venta para informar a los
clientes.

Influencia sobre las compras.

A los fabricantes no sólo les interesa proporcionar información a los clientes,


sino vender productos. Además de los servicios de información, los fabricantes
también valoran los servicios relacionados con la influencia en las elecciones de
compra de los clientes: la colocación de los productos por parte de los
intermediarios puede influir en la elección de los mismos, así como poder
asesorarse explícitamente mediante un vendedor. Esquemas para la compensación
de comisiones, pagos por el espacio en estanterías y descuentos especiales son
formas en las que los fabricantes ofrecen servicios de asesorías de compras a los
intermediarios.

Suministro de información.

Esta información que es recogida por intermediarios especializados como


empresas de investigación de mercados, es utilizada por los fabricantes para
evaluar nuevos productos y planificar la producción de los existentes.

Manejo de los riesgos del fabricante.

El fraude y robo realizado por los clientes es un problema que


tradicionalmente ha sido tratado por los detallistas e intermediarios crediticios. En

70
Seguridad y Comercio Electrónico

el pasado, estos intermediarios han proporcionado sistemas y políticas para limitar


este riesgo. Cuando no podía eliminarse, eran los intermediarios quienes
afrontaban la exposición a este riesgo.

Integración de las necesidades de los clientes y de los fabricantes.

Los intermediarios deben ocuparse de problemas que surgen cuando las


necesidades de los clientes chocan con las de los fabricantes. En un entorno
competitivo, un intermediario satisfactoriamente integrado proporciona una gama
de servicios que equilibra las necesidades de los clientes y de los fabricantes de una
forma aceptable para ambos.

3.1.1. Tipos de intermediarios

A continuación se identifican diversos tipos de intermediarios basados en


Internet:

• Directorios. Ayudan a los clientes a encontrar productos clasificando


instalaciones web y proporcionando menús estructurados para facilitar la
navegación. En la actualidad son gratuitos, pero en el futuro podrían ser de
pago. Existen tres tipos de directorios:

o Generales. Un ejemplo es Yahoo, que proporciona un catálogo general


de una gran variedad de diferentes sitios web. Habitualmente existe un
esquema para organizar y elegir los sitios que serán incluidos. Estas
instalaciones suelen soportar "browsing" así como búsqueda del catálogo
mediante palabras clave.

o Comerciales. Como El Índice que se centra en proporcionar catálogos de


sitios comerciales. No proporcionan infraestructura o servicios de
desarrollo para los fabricantes, sino que tan sólo actúan como un

71
Seguridad y Comercio Electrónico

directorio de instalaciones existentes. También pueden suministrar


información sobre un área comercial específica, con frecuencia a
empresas que no tienen web. Estos intermediarios son equivalentes a los
editores de guías en papel.

o Especializados. Están orientados a temas, y son incluso tan sencillos


como una página creada por una persona interesada en un tema. Estas
páginas pueden suministrar al cliente información sobre un bien o
fabricante en particular.

• Servicios de búsqueda. Similares a Google, proporcionan a los usuarios


capacidades para realizar búsquedas basadas en palabras clave sobre
grandes bases de datos de páginas o instalaciones web.

• Centros comerciales. Son instalaciones que proporcionan una


infraestructura al fabricante o al detallista a cambio de una cuota. Pueden
estar compuestos de una gran variedad de tiendas que venden múltiples
productos.

• Editoriales. Son generadores de tráfico que ofrecen contenidos de interés


para los clientes, como periódicos o revistas interactivas. Las editoriales se
convierten en intermediarios cuando ofrecen vínculos con los fabricantes a
través de publicidad o listas de productos relacionadas con sus contenidos.

• Revendedores virtuales. Estos intermediarios existen para vender a los


clientes centrándose en productos especializados que obtienen directamente
de los fabricantes, quienes pueden dudar en dirigirse directamente a los
clientes por temor a alejar a los detallistas de los que dependen.

• Evaluadores de los sitios web. Los clientes pueden dirigirse a un fabricante a


través de un sitio que ofrece alguna forma de evaluación, lo que puede

72
Seguridad y Comercio Electrónico

ayudar a reducir su riesgo. Algunas veces las evaluaciones se basan en la


frecuencia de acceso, mientras que en otros casos son una revisión explícita
de las instalaciones. Un claro ejemplo de éxito es ciao.es.

• Auditores. Tienen funciones similares a las de los servicios de medición de


audiencia en medios tradicionales. El comercio electrónico requiere de los
mismos servicios adicionales que facilitan el comercio tradicional. Los
anunciantes requieren información sobre las tasas de uso asociadas con la
publicidad en el web, así como información fidedigna sobre las
características de los clientes.

• Foros, clubes de aficionados y grupos de usuarios. Estos tipos de


instalaciones no son necesariamente intermediarios directos, pero pueden
jugar un gran papel al facilitar la retroalimentación entre clientes y
fabricantes, así como soportar la investigación de mercados. Los mejores
ejemplos de estos grupos son las listas relacionadas con productos que
conectan al fabricante con los clientes.

• Intermediarios financieros. Cualquier forma de comercio electrónico debe


permitir alguna manera de realizar o autorizar pagos del comprador hacia el
vendedor. Los sistemas de pago podrán ser desde autorización de crédito,
cheques electrónicos, pago en efectivo, Paypal y envío de correo electrónico
seguro para autorizar un pago.

• Redes de trueque. Es posible que las personas cambien un bien o un servicio


por otro, en vez de pagarlo con dinero. Aparecerán intermediarios similares
a las casas de subastas y bolsas de mercancías para capitalizar estas
oportunidades.

• Agentes Inteligentes. Son programas que mediante un criterio preliminar de


búsqueda proporcionado por el usuario, facilitan la localización de recursos

73
Seguridad y Comercio Electrónico

a través de Internet, aprendiendo de los comportamientos pasados para


optimizar las búsquedas. Esto puede convertirse en un nuevo servicio de
intermediación que los clientes adquieren cuando necesitan cierto bien o
servicio.

74
Seguridad y Comercio Electrónico

3.2. Tipos de comercio electrónico.

Se pueden definir seis tipos de comercio electrónico en la actualidad, que


responden a las siguientes siglas:

 B2B: Business to Business.

 B2E: Business to Employer.

 B2C: Business to Consumer.

 C2C: Consumer to Consumer.

 G2C: Government to Consumer.

 G2B: Government to Business.

A continuación se procede a explicar cada uno de ellos:

Business to Business (B2B)

Este primer tipo de comercio electrónico se denomina Business to Business


por ser aquel que se desarrolla entre empresas. El auge de Internet sobre todo en
los últimos años ha impulsado este tipo de comercio electrónico por la creación de
portales para agrupar compradores.

Un portal B2B es aquel que proporciona soluciones y servicios de


negociación y aprovisionamiento, que optimiza las transacciones comerciales entre
empresas e instituciones a través del comercio electrónico.

75
Seguridad y Comercio Electrónico

Es común que en la actualidad el mantenimiento de dichos portales se


realice mediante un canon por cotización o bien un cobro de comisión de negocio a
los socio.

76
Seguridad y Comercio Electrónico

Las ventajas del B2B respecto a otros tipos de comercio electrónico son las
siguientes:

 Descubre nuevos compradores-vendedores.

 Los mercados tienden a ser más transparentes.

o Abaratamiento del proceso.

 La facilidad de las transacciones aumenta.

 Integración de transacciones.

 Reducción del riesgo en las operaciones.

 Mejora del valor.

o Mayor competencia.

o Ventajas comparativas.

o Costes reducidos de establecimiento de relaciones.

 Colaboración.

o Integración.

o Relaciones más estrechas.

Por otro lado cabe destacar que las barreras de entrada al B2B son más altas
que en otros tipos de comercio electrónico, pero las barreras de salida también lo
son.

77
Seguridad y Comercio Electrónico

Business to Employer (B2E)

Business to Employer es aquel tipo de comercio electrónico que ocurre entre


la empresa y el empleado, es decir la relación que se establece entre una empresa y
sus propios empleados.

El B2E no se queda sólo ahí, y también es toda la gestión remota que realiza
el empleado de parte de sus responsabilidades dentro de los procesos de negocio
de la empresa. Esto podría incluir facturación de comisiones de ventas, gastos de
desplazamiento, etc.

En conjunto se puede hablar de un portal interno donde los empleados de


una empresa utilizan ciertos recursos de la misma, por ejemplo por medio de una
Intranet.

Las ventajas del B2E respecto a otros tipos de comercio electrónico son:

 Reducción de costes y tiempo en actividades burocráticas.

 Formación on-line.

 Mejora de la información interna.

 Equipos de colaboración en un entorno web.

 Agilización de la integración del nuevo profesional en la empresa.

 Servicios intuitivos de gestión de la información.

 Soporte para gestión del conocimiento.

 Comercio electrónico interno.

 Motivación.

 Fidelización del empleado.

78
Seguridad y Comercio Electrónico

Business to Consumer (B2C)

Se entiende por Business to Consumer a aquel tipo de comercio electrónico


que se realiza entre la empresa y el consumidor. Tiene un gran potencial a largo
plazo y en la actualidad de asienta en multitud de sectores.

El éxito de este tipo de comercio electrónico pasa por la seguridad de los


sistemas de pago a través de tarjeta de crédito, así como contra reembolso, en
efectivo y otros servicios proporcionados por otras empresas, como PayPal. Es
interesante explicar el modelo de negocio de estas últimas empresas, en concreto
PayPal, por su relevancia en el comercio electrónico actual, y en el B2C en
particularmente.

PayPal es una empresa que permite la transferencia de dinero entre usuarios


que tengan correo electrónico, como alternativa a los tradicionales cheques o giros
postales. En realidad no se puede considerar a PayPal como un banco, pues no
ofrece servicios de rentabilidad de dinero, por ejemplo, pero si está sujeto a las
reglas del Departamento del Tesoro de los Estados Unidos de América. Ofrece
además la posibilidad de transferencia de dinero a cuentas bancarias habituales, o
recibir dinero desde las mismas.

El éxito de este servicio radica fundamentalmente en una campaña de


marketing en Internet muy potente, buscando la expansión del servicio a todos los
sectores posibles, así como la de actuar como capa entre la cuenta bancaria del
cliente y la empresa, quedándose con un porcentaje de dicha operación.

79
Seguridad y Comercio Electrónico

Por otro lado, las empresas que realizan B2C se pueden clasificar en:

1. Vendedores directos:

• Minoristas: Amazon, eBay.

• Fabricantes: Dell.

2. Intermediarios on-line:

• Brokers: Intermediarios entre vendedor y comprador. Existen los siguientes


tipos:

80
Seguridad y Comercio Electrónico

o Buy/Sell Fulfillment: Empresas que ayudan al cliente a ejecutar sus


órdenes de compra/venta. Ingresos por comisiones y tráfico. Ejemplo
eTrade.

o Centros Comerciales Virtuales: Empresas que integran en un solo


espacio diferentes tiendas y tienen ingresos por tráfico. Ejemplo Yahoo
Stores.

o Metamediary: Integran variedad de productos y tiendas de terceros


pero integran servicios transaccionales como por ejemplo financiación
de compras. Ingresos por tráfico, comisiones y servicios. Ejemplo
Amazon zShops.

o Bounty: Intermediarios que cobran por encontrar una persona, un


lugar, una idea, etc. Reciben ingresos por comisiones, intermediación y
tráfico. Ejemplo bounty.

o Comparadores on-line: Ayudan a los usuarios a comparar productos y


precios. Reciben ingresos por comisiones y tráfico. Ejemplo kelkoo.

• Infomediarios: Sitio web que ofrece información especializada en nombre de


los productores de bienes y servicios y sus clientes potenciales.

Las ventajas de las empresas que realizan comercio electrónico B2C frente a
otros tipos son las siguientes:

I. Compras pueden ser más rápidas y más convenientes.

II. Las ofertas y los precios pueden cambiar instantáneamente.

III. Centros de llamadas pueden ser integrados con la web.

81
Seguridad y Comercio Electrónico

IV. Las telecomunicaciones de banda ancha mejoraran la experiencia de


compra.

Por otro lado, los dos principales desafíos que posee el comercio electrónico
B2C en la actualidad son la creación de tráfico y el mantenimiento de la fidelidad
de los clientes. Debido a esto muchas pequeñas empresas tienen dificultades para
entrar en el mercado y seguir siendo competitivos.

Además, los compradores on-line son muy sensibles al precio y son


fácilmente atraídos, por lo que la adquisición y mantenimiento de nuevos clientes
es difícil.

Consumer to Consumer (C2C)

Es aquel tipo de comercio electrónico que se realiza mediante transacciones


privadas de consumidores, que pueden tener lugar por ejemplo mediante correo
electrónico o tecnologías p2p.

Algunos ejemplos de C2C son eBay o Amazon. Por otro lado el comercio
electrónico C2C se espera que siga creciendo en los próximos años de forma muy
significativa, pues cada vez está más extendido por Internet mediante páginas
similares a las anteriormente citadas.

Government to Consumer (G2C) / Government to Business (G2B)

Con Government to Consumer y Government to Business se entiende aquel


tipo de comercio electrónico que se realiza desde el Gobierno a empresas y
particulares, es decir al uso de las nuevas tecnologías en el sector público referido

82
Seguridad y Comercio Electrónico

al comercio electrónico. También es llamado comúnmente en España como e-


Servicios o e-Administración.

Inicialmente existía una situación en la cual la Administración estaba en


niveles de servicio muy heterogéneos, y los canales que se establecían con los
ciudadanos eran los que se imponían desde la propia Administración tal y como se
refleja en la siguiente figura:

Con esta situación inicial existente apareció la primera solución tecnológica


que consistía en multitud de iniciativas individuales que pretendían aumentar la
eficiencia y mejorar el servicio. Debido a una situación tal y como se ha comentado
heterogénea aparecieron soluciones y sistemas muy dispersos, que conllevó en una
falta de integración.

83
Seguridad y Comercio Electrónico

Hoy en día existe una tendencia al cambio consistente en una


modernización que pretende como objetivo mejorar la atención y el servicio al
usuario, implantar nuevas tecnologías y cambiar el modelo organizativo. Las
nuevas tecnologías y técnicas organizativas citadas puestas al servicio de la
Administración Pública constituyen la denominada e-Administración, que tiene
como características:

• Realización on-line de compras y ventas entre la Administración y las


empresas.

• Un medio de relación personalizado, orientado a ciudadanos y empresas.

• Agilización de trámites administrativos.

• Un lugar de intercambio de información.

• Transparente.

84
Seguridad y Comercio Electrónico

3.3. La nueva cadena de valor en el comercio.

El auge de las nuevas tecnologías, sobre todo Internet, ha afectado también


a la cadena de valor, abriendo nuevas puertas para las empresas, que son capaces
de conseguir sintetizar mucho más la información que poseen de sus productos así
como la de sus clientes, pudiendo realizar de forma mucho más exhaustiva todo
tipo de análisis.

Con el fin de poder identificar todos los nuevos cambios y efectos, en primer
lugar se va a realizar una descripción de la cadena de valor como un conjunto de
fases que dan valor a sus productos y/o servicios. Se puede decir que una empresa
pasa por cinco fases, que se denominan actividades primarias, a lo largo del ciclo
de vida de su producto: desde que es un simple proyecto hasta que llega como
producto final al cliente. Estas son diseño, producción, distribución, marketing y
ventas, y servicio postventa. Estas actividades son apoyadas por las denominadas
actividades secundarias, que son típicamente la infraestructura de la organización,
los recursos humanos, el desarrollo tecnológico y el abastecimiento.

85
Seguridad y Comercio Electrónico

Dada esta distribución planteada por Porter en 1985, se puede obtener


información para el negocio que permitirá:

1. Conocer el valor añadido para cada fase de la cadena de valor y en


cada línea de negocio a lo largo del tiempo.

2. Realizar una serie de pruebas de mercado mediante benchmarking


con respecto a la competencia existente en lo que se refiere a la
distribución de la cadena de valor.

3. La posibilidad de realizar un análisis DAFO de manera más sencilla.

4. Ayudar en la toma de decisiones estratégicas, como por ejemplo la


desintegración vertical mediante subcontratación.

Si se quiere conocer cómo puede influir en la cadena de valor el comercio


electrónico, se debe considerar dicha cadena en todo su conjunto. Desde hacer
visibles los productos y/o servicios en una página web para una simple consulta

86
Seguridad y Comercio Electrónico

por parte del cliente, hasta completar la transacción electrónicamente, con entrega,
facturación y cobro incluidos. Por otro lado, si bien no es condición indispensable
un sistema de comercio electrónico completo para que nuestra cadena de valor se
vea afectada, las ventajas en forma de sinergias, tanto operativas como de coste,
que proporcionaría el mismo hacen previsible una futura tendencia a la integración
digital de empresas. El comercio electrónico aporta una serie de ventajas
competitivas a aquellas entidades que decidieron adoptarlo, que a su vez generan
o contribuyen a desarrollar una serie de capacidades o habilidades imprescindibles
para diferenciarse de la competencia.

Se pueden igualmente reducir de manera considerable todo tipo de


ineficiencias en procesos tales como aprovisionamiento, gestión de stocks o
producción, con todo lo que eso podría implicar en cuanto a ahorros de costes
variables tales como horas de mano de obra o materias primas.

Estas dos últimas herramientas son de importancia capital en el éxito del


comercio electrónico entre organizaciones o B2B (Business to Business).

En cuanto al B2C (Business to Consumer) o comercio electrónico orientado


al consumidor, dos líneas de negocio parecen tener un futuro prometedor en el
mundo virtual: por un lado, aquellos productos y servicios en los que la
compresión de información se convierte en factor clave de negocio (contenidos en
la Red, libros digitales o subastas), y por otro, aquellos que aportan una
reingeniería de procesos con respecto a sus homónimos del mundo real (entre los
que hay que destacar a las empresas de consultoría, selección de recursos humanos
o formación en línea).

El resto de productos y servicios tendrán del mismo modo cabida en la Red,


si bien no como canales específicos de venta en Internet, sino como canales
complementarios a su presencia en los canales de distribución reales, ya sea para

87
Seguridad y Comercio Electrónico

generar entradas (para la captación y posterior gestión de información primaria) o


bien salidas (fomentar la interactividad entre cliente y empresa).

A reseñar del mismo modo el hecho de que el comercio electrónico es


adoptado por las empresas que se decidieron a dar el paso hacia el mundo virtual
con muy diversas estrategias. Así, se pueden encontrar desde las entidades que
fueron creadas únicamente para la venta de sus productos a través de la Red hasta
las que utilizan Internet únicamente como apoyo a su presencia en el mundo
tangible, pasando por aquellas que combinan ambas presencias.

Efectos sobre la fase de diseño

El diseño de la gama de productos y servicios de la empresa puede dar un


gran salto cualitativo gracias a la incorporación al mundo virtual, ya que el
contacto directo con proveedores y clientes permite:

• Identificar tendencias de mercado y adaptar los futuros productos a


cambios en la demanda.

• Involucrar al cliente en el diseño de futuros proyectos.

• Responder a la demanda en el plazo y condición establecidos.

• Simplificar el proceso de elección de componentes de nuestros


proveedores.

• Tener un conocimiento exhaustivo del comportamiento del


consumidor, ya que las propias características de la red posibilitan
conocer cuáles son los enlaces de la página que más le interesan, cuál
es la secuencia que sigue una vez dentro, e incluso saber
virtualmente hablando, dónde estuvo antes y a dónde fue después.

88
Seguridad y Comercio Electrónico

• Tener una comunicación interactiva con el cliente, quien podrá


ponerse en contacto para realizar consultas, solicitar información,
hacer preguntas más específicas o pedir productos a medida.

• Trabajar conjuntamente a equipos de diseño físicamente separados e


integrar a empresas externas en el proceso.

Efectos sobre la fase de producción

La incorporación del comercio electrónico también afecta a todo el proceso


de producción. Un ejemplo es el de aquellos artículos caracterizados por un alto
nivel de modularidad, en los que se ofrece la posibilidad al cliente de elegir la
configuración final del producto en base a múltiples criterios. De este modo se le
permite al cliente realizar su elección analizando en detalle todas y cada una de las
diferentes combinaciones finales, gracias a un proceso de decisión de compra
ilimitado en el tiempo, sin presión ni vendedor delante.

Además de la modularidad, también la variabilidad de la gama de


productos es susceptible de verse incrementada, lo cual podría dar lugar a
problemas en el sistema de producción en caso de que éste no esté configurado con
el suficiente grado de flexibilidad y adaptabilidad a variaciones en la demanda.

Por otro lado, esta misma cuestión lleva asociadas ciertas ventajas en forma
de posible fabricación sobre pedido en el caso de que no se solicite la entrega del
producto con carácter inmediato, lo cual supone permitir operar con reducciones
drásticas de inventarios que repercuten en la cuenta de resultados.

En resumen, el proceso de fabricación puede comenzar su implementación


partiendo del pedido de un producto a medida realizado por un cliente a través
del sitio web. A partir de ahí se inicia la cadena de fabricación y

89
Seguridad y Comercio Electrónico

aprovisionamiento, con lo que se logran notables optimizaciones en el proceso de


fabricación, principalmente en forma de desaparición de cuellos de botella y gastos
de almacenaje.

De esta manera, la utilización de procesos de fabricación JIT (Just In Time)


se hará notoriamente más asequible, ya que el uso de una comunicación interactiva
vía Internet da lugar a una considerable reducción de costes frente al uso de
sistemas tradicionales de automatización de pedidos y facturación, como por
ejemplo EDI (Electronic Data Interchange).

Efectos sobre la fase de distribución

En esta fase, el impacto de la integración digital de empresas es enorme, y lo


será mucho más en un futuro próximo. En el caso de empresas con productos de
carácter virtual, se logrará eliminar no ya sólo stocks físicos, sino también a
intermediarios y distribuidores de todo tipo (se estaría hablando de una
integración vertical total). Se crean de esta manera nuevos canales de distribución
directos entre fabricantes y consumidores finales, ya que textos, imágenes, sonidos
o vídeos son productos que pueden descargarse directamente a través de la red.

Las ventajas también aparecen en el caso de productos con presencia física,


ya que se podría entonces dotar a la cadena logística de un nivel total de
automatización: la empresa de transporte recibiría la orden de compra
directamente de nuestros clientes.

Y es que la aplicación de estas nuevas tecnologías a la distribución puede


servir para aumentar considerablemente la satisfacción de los clientes con los
servicios que se presten, pues se les presenta a las empresas un amplio margen de
maniobra en forma de servicios de alto valor percibido por parte del cliente (y bajo
coste) que realmente facilitan a las empresas la fidelización del perfil objetivo.

90
Seguridad y Comercio Electrónico

Por ejemplo, los clientes de las principales empresas de logística a nivel


mundial (tales como DHL, FedEx o UPS) pueden realizar un seguimiento en línea
en tiempo real de la ubicación física de sus mercancías gracias a un sofisticado
sistema informatizado de tracking de pedidos.

Por otro lado no en todos los sectores se ha dado la bienvenida al comercio


electrónico y su consiguiente desintermediación de canales en forma de
distribución de productos y servicios sin un establecimiento físico. Así, se observa
en el horizonte un futuro no muy favorecedor para el gremio de todo tipo de
intermediarios, tanto mayoristas como minoristas.

Como consecuencia de lo anterior, surgen interrogantes tales como: ¿cuál va


a ser la estrategia a corto y medio plazo de este tipo de entidades ante la repentina
tendencia a la integración vertical por parte de los que hasta hace poco eran sus
proveedores o clientes?, ¿terminarán desapareciendo categorías genéricas tales
como las agencias de viajes, inmobiliarias, tiendas de música, videoclubs,
concesionarios de automóviles o la banca comercial tal y como hoy se conocen?, ¿se
crearán nuevas categorías genéricas de negocio en la red difíciles de imaginar hoy
en día?, ¿cuál es el futuro de cajeros, taquilleros, dependientes, e incluso de
farmacéuticos y brokers?

Sin mayor ánimo visionario, y basándose sobre todo en los errores


cometidos por los gestores de los principales e-Business se puede asegurar que las
claves del éxito en el mundo físico son perfectamente trasladables al mundo
virtual, destacando éstas:

• Estrategia de negocio coherente con la estructura interna de la empresa y


con el entorno.

• Estructura financiera saneada.

91
Seguridad y Comercio Electrónico

• Constante apuesta por la innovación y la diferenciación.

• Flexibilidad ante los cambios.

• Que exista un cliente latente del tipo de productos y servicios que la


empresa ofrece.

• Que los productos y servicios cubran las necesidades del cliente.

• Que los productos y servicios cubran las expectativas del cliente.

Resumiendo, si bien no es posible referirse de modo genérico en los


modelos de negocio virtuales que funcionan cuál fue el factor clave de negocio que
les llevó a destacar (ya que existen múltiples características propias no ya de cada
sector o mercado, sino incluso de cada canal de distribución o legislación fiscal
local), sí existen unas características intrínsecas del negocio en el que se compite, y
será el que mejor conozca estas características, y sepa adaptarlas a su negocio
virtual, el que termine configurando una imagen de marca en la mente del
consumidor.

Efectos sobre el marketing

Se trata, probablemente, del eslabón de la cadena en el que puede ejercer


mayor influencia el comercio electrónico, en cualquiera de las 4P’s: precio,
producto, publicidad y distribución, apareciendo ventajas tales como:

• Acceso en tiempo real a información del tipo quién ha accedido a una


página web, qué rutas han seguido dentro del mismo, y en qué franjas
horarias, y, en definitiva, todos aquellos criterios que permitan conocer en
profundidad quién es el cliente y cuáles son sus necesidades.

92
Seguridad y Comercio Electrónico

• Consecución del equilibrio entre el impacto y la riqueza de un mensaje:


mediante la comunicación digital se puede alcanzar dicho equilibrio entre
ambos parámetros, ya que se puede dirigir a grandes cantidades de
consumidores ofreciéndoles información extensa sobre productos y
servicios, impensable con métodos tradicionales tales como la venta directa
(impacto bajo, riqueza alta) o publicidad televisiva (impacto alto, riqueza
baja).

• Globalidad total de mercado, ya que se pueden ofrecer productos y


servicios por todo el mundo sin apenas límites de tipo geográfico o
temporal y con un coste por regla general bastante menor.

• Mayor calidad de la comunicación, ya que se podrá enviar una gran


cantidad de información sobre productos utilizando imágenes, sonido y
texto.

• Segmentación: verificar que hay una total afinidad entre el perfil objetivo y
el usuario promedio de la red. En la actualidad, cada vez más, el prototipo
de usuario de Internet es realmente representativo de la sociedad en
general, pero aun hay muchas diferencias. Por citar unos ejemplos, el
porcentaje de usuarios masculinos está muy por encima del
aproximadamente 50% que le correspondería por presencia en la sociedad,
siendo también sensiblemente diferentes en cuestiones tales como el nivel
promedio de estudios o la distribución por edades.

• En definitiva, las tecnologías existentes en materia de comercio electrónico


posibilitan el uso de diversos criterios de segmentación para que un banner
concreto sea accesible únicamente por los miembros de perfiles
determinados, con lo que se conseguirían eliminar los costes de fricción
(procedentes de enviar mensajes publicitarios a perfiles escasamente

93
Seguridad y Comercio Electrónico

susceptibles de estar interesados en nuestros productos) existentes en las


plataformas publicitarias del mundo tangible.

• Espectaculares ahorros en costes como consecuencia directa de métodos


más baratos de comunicación y distribución, que a su vez se pueden
repercutir en el cliente, incentivándole así a abandonar los métodos
tradicionales de compra.

• Mayor capacidad por parte del usuario para poder comparar cuestiones
tales como precios, calidades, plazos de entrega o condiciones de
financiación con productos o servicios de empresas competidoras.

• Técnicas de promoción interactiva, con todo tipo de concursos, chats, foros,


juegos, premios y sorteos dirigidos a perfiles específicos.

Obviamente, es en esta fase en la que se produce un mayor salto cualitativo


respecto a la cadena de valor tradicional, ya que se producen consecuencias
directas tales como:

• Aparición de nuevas metodologías de fidelización de clientes.

• Desaparición de procesos administrativos en su formato tradicional en el


caso de ventas empresa-empresa (EDI).

• Desaparición progresiva de las fuerzas de ventas.

• Normalización de los métodos de pago.

Como consecuencia de lo anterior, las empresas que han decidido apostar


por la integración digital pueden haber encontrado grandes expectativas en forma
de:

• Mejora de gestión de la fuerza de ventas.

94
Seguridad y Comercio Electrónico

• Posibilidad de enviar mensajes de ventas personalizados.

• Realización de un marketing instantáneo a una audiencia global.

• Reducción de costes en la captación de nuevos clientes.

Efectos sobre el servicio postventa

Posiblemente, el servicio más valorado por parte del cliente, y en el que


nuevas tecnologías tales como el comercio electrónico pueden jugar un papel
fundamental.

Mediante la integración de los centros de atención telefónica (Call Centers)


con Internet, se puede crear un servicio de atención en línea a su vez integrado con
la actual estructura de soporte telefónico con vistas a afianzar la relación con la
clientela.

Aún teniendo en cuenta que el nivel de servicio post-venta cambia


radicalmente de un tipo de productos a otros (no tienen nada que ver los
productos de marketing masivo y los de marketing industrial, por poner un
ejemplo), nunca deja de convertirse en un arma de doble filo para el fabricante: es
una amenaza a la vez que una oportunidad. Se propone el caso de un programa de
software (útil para ejemplificar ambos tipos de marketing): el usuario de ese
programa podrá recibir en línea información sobre otros programas del mismo
fabricante; trucos, curiosidades y nuevas utilidades del programa que compró;
enviar quejas o sugerencias; actualizar su versión del producto incluso de forma
automática; pedir que envíen un técnico a sus instalaciones o chatear con otros
usuarios.

Como complemento a lo anterior, se puede también atender al cliente con


respuestas estandarizadas desde Internet, utilizando bases de datos

95
Seguridad y Comercio Electrónico

específicamente configuradas que contengan respuestas a las preguntas más


habituales (en los call centers es bastante usual la ley de Pareto del 80/20: el 80%
de las preguntas encuentra como solución el 20% de las respuestas).

En el caso de que la base de datos no estuviese configurada para poder


responder a la petición o duda del cliente, se recurriría entonces a un servicio de
atención personalizada, ya sea mediante un equipo de teleoperadores, o con chats
o e-mails si la situación así lo requiriese. Por otra parte, las preguntas que formasen
parte de la base de datos inicial se verían complementadas con aquellas que por su
reiteración pudieran ser de utilidad para futuras consultas, retroalimentando así el
sistema.

De lo que se deduce claramente es que este tipo de herramientas puede ser


de gran utilidad para las empresas a fin de incrementar el grado de satisfacción de
sus clientes reduciendo a su vez su estructura de costes.

A modo de conclusión, recalcar el hecho de que en las empresas


tecnológicamente integradas (ya sea total o parcialmente), se encuentren dos
cadenas de valor paralelas: la real y la virtual. Ambas deben estar compensadas y
conjuntadas entre sí, así como con el entorno que las rodea (clientes, proveedores y
competidores, ya sean actuales o simplemente potenciales), al tiempo que deben
seguir un tratamiento distinto en aquellas cuestiones en que las peculiaridades de
sus diferentes medios así lo aconsejen.

O lo que viene a ser lo mismo: el mundo digital permite todo un abanico de


oportunidades para el análisis de nuestro negocio que se pueden utilizar para una
constante reingeniería de procesos, utilizando como información de base la
procedente de analizar previamente los eslabones de la cadena de valor virtual.

96
Seguridad y Comercio Electrónico

3.4. Las nuevas oportunidades empresariales.

En este apartado se va a estudiar el caso de dos iniciativas de negocios en


Internet cuyos resultados fueron totalmente opuestos, triunfando una de ellas y
fracasando la otra. Se pueden extraer conclusiones útiles de los aciertos y errores
que se pueden cometer.

El responsable de desarrollo de negocio de la empresa Memorix se


enfrentaba a un reto importante. La única empresa que participaba al mismo nivel
que ellos en el mercado de la distribución de componentes electrónicos era
Elecktrik, y acababa de crear una página web habilitada mediante comercio
electrónico para llegar de forma más eficiente a su mercado. De modo que el
director general de Memorix reunió al director de marketing, al jefe de ventas y al
responsable de negocios. Finalmente, se dictaminó que este último debería
elaborar una alternativa de e-business competitiva respecto a la de Elecktrik.

Tras haber observado con detalle el funcionamiento de la web de sus


competidores, se diseñó la nueva página web de Memorix, la cual era muy similar
a la primera. Ambas tenían un "front office" casi idéntico. Eso quiere decir que se
corresponde con la parte que el cliente ve y está compuesto de tres elementos:

• Contenido. Aquello que ha de ser introducido en la web.


• Estructura. Referente al lugar donde tiene que aparecer contenido.
• Diseño. Indica cómo ha de aparecer el contenido de la web.

Aunque el front office es una parte muy necesaria, no era la diferencia más
destacable entre ambas páginas web, sino que había que buscar más abajo para
llegar a la capa donde el negocio y la experiencia son lo esencial. Aquello que
muchos llaman “Know-how” y que se adquiere a través de años de experiencia y
por ello no es algo sencillo de copiar.

97
Seguridad y Comercio Electrónico

Finalmente, se recurrió a los clientes para que dieran su opinión sobre


ambas páginas web y el resultado de esta iniciativa permitió llegar a las claves del
problema de Memorix:

• Los pedidos llegaban con retraso en un buen número de casos y la atención


al cliente no era ni rápida ni eficaz.
• En Elecktrik la información de producto se había cuidado más que en
Memorix, se había estructurado mejor y era más extensa.
• No aplicaban precios personalizados según diversos criterios.

Por ello, se deben tener en cuenta tres elementos clave en cualquier ebusiness:
la gestión de información, integración con los procesos de negocio internos y
finalmente la personalización.

a) Gestión de información. ¿Cómo ha de ser ésta para ser útil en la web?


• Profunda. Debe responder a las preguntas que se puede hacer el
cliente en el momento de elegir un producto en el que está
interesado. Preferiblemente ha de ser extensa.
• Estructura. Para todos los productos catalogados se ha de seguir una
estructura uniforme. Debe constar de categorías, subcategorías,
atributos...
• Automatizada. Aquí cobran especial importancia los átomos de
información. Esto es, dividir la información en pequeños
componentes. Poniendo como ejemplo una película, se podría
mostrar información referente a su título, director, reparto, país, año,
crítica...

Un buen número de empresas disponen de información amplia y útil


en el ámbito interno de las mismas, para que la use el personal de sus

98
Seguridad y Comercio Electrónico

distintos departamentos, pero no apropiada para ubicarla en un lugar como


Internet, accesible por un gran número de personas. Esto no se ve
favorecido si dispone de información obtenida de otros miembros de la
cadena de suministro, los cuales la habrán estructurado bajo sus criterios, de
modo que se complica la conjugación de la misma con la información propia
de la empresa en cuanto al nivel de información, estructura y formato. No
obstante. Existen medidas para enfrentarse a esta eventualidad:

• Internamente. El precio a pagar será el tiempo necesario y el coste en


personal, para la alternativa que consiste en destinar a un grupo de
empleados la labor de gestión de información en el sentido de
recopilarla, digitalizarla e incorporarla a la estructura presente. Pero
la ventaja será esencial, ya que la información gozará de un control
total, de cara al interior de la empresa pero también de forma abierta,
desde la web.
• Externamente. Obtener una base de datos cuidada y actualizada
periódicamente a través de alguna empresa dedicada a seleccionar y
organizar información. Se ha de buscar la solución mejor adaptada al
tipo de negocio dado.
• Herramientas software. Que permiten tratar catálogos de información
de diversa índole de cara a integrarlos coherentemente. Pero para ello
la información de los mismos ha de ser lo suficientemente elaborada
y cuantiosa para que estas aplicaciones consigan un nivel de eficacia
óptimo, ya que por sí solas no están habilitadas para mejorar su
calidad y profundidad.

b) Integración con los procesos de negocio internos. ¿Qué ocurre una vez que
el consumidor ha seleccionado la opción comprar? Un back office (tareas de

99
Seguridad y Comercio Electrónico

gestión internas de la empresa) integrado será clave, para ello se deben


considerar los siguientes aspectos:
• Conectar la web con el sistema de gestión. La página web de la empresa
no puede ser una isla. Ha de estar conectada al centro neurálgico, ese
lugar de la empresa donde se trabaja rigurosamente para cuidar sus
actividades, sus clientes y proveedores. En definitiva, se ha de
conectar a su sistema de gestión. Esta consideración es vital para el
éxito de un negocio en Internet.
• Conectar la web con los proveedores. Igual que ocurría en el caso
anterior, también se debe considerar la conexión del sitio web con los
proveedores para beneficiarse de este modo, de las siguientes
ventajas:
 Los pedidos son enviados directamente al proveedor que
corresponda, de esta forma, se produce un ahorro sustancial
en los costes de gestión de compras de la empresa.
 Para los proveedores también comporta ventajas, reduciendo
costes. Se aumenta la capacidad de negociación entre la
empresa y los proveedores. Finalmente, cabe destacar que los
pedidos entran directamente en el programa de gestión de los
proveedores, evitando de este modo el trabajo de recepción de
pedidos.
 El pedido viaja sin intermediarios desde el ordenador del
cliente hasta el del proveedor. Con ello se consigue disminuir
el tiempo de entrega de los productos disponibles.
• Precio y disponibilidad en tiempo real. Con ello se consigue un
importante ahorro de tiempo en primer lugar para el cliente,
evitándole sorpresas desagradables en cuanto al plazo de entrega y
en segundo lugar para la propia empresa, que evita tener que hacer

100
Seguridad y Comercio Electrónico

múltiples llamadas telefónicas a sus proveedores para verificar la


disponibilidad de sus productos.

c) Personalización. ¿Qué condiciones se ofrecen a los distintos clientes que


emplean la web para comprar? En negocios B2C, orientados a clientes
individuales, se pueden emplear formas de pago y precios estándar. Pero en
los negocios B2B, es esencial ofrecer un trato personalizado a las diferentes
empresas, han de sentirse exclusivas y valiosas.

Desean que la web les permita acceder a ventajas como plazos y


formas de pago, rappels, descuentos y precios a su medida. Hay que tener
especial cuidado a la hora de producirse cambios en la información del
programa de gestión de la empresa, en el supuesto de que de ahí parte la
información que se plasme en la web. En ese caso la web ha de ser coherente
con la misma a través de un correcto mantenimiento para evitar errores.

101
Seguridad y Comercio Electrónico

Pero existen otros elementos clave para ayudar a las empresas a


sentirse cómodas desde su posición de cliente en un B2B. En este caso la
creatividad es el factor decisivo, para ofrecer distintas facilidades como por
ejemplo crear listas personalizadas de favoritos, disponer de un historial de
transacciones u ofrecer ofertas en relación con sus necesidades y
características.

102
Seguridad y Comercio Electrónico

3.5. Definición de la estrategia para el comercio electrónico.

La estrategia para el comercio electrónico posee dos partes, su formulación


y su implantación.

Las claves de la estrategia actual vienen determinadas por dos conceptos:

 Visión: Capacidad de estar mañana por donde pasará el futuro.

 Liderazgo: Llevar a la empresa al lugar donde la visión la ha


marcado.

Los pasos para formular esta estrategia son:

Por otro lado existen tres niveles de estrategia según su duración en el tiempo:

 Largo Plazo: Corporativa. Es la estrategia que tiene que ver con el


accionista.

 Medio Plazo: Negocio. La estrategia que tiene que ver con los
clientes.

 Corto Plazo: Funcional. La estrategia que tiene que ver con las áreas
funcionales del negocio.

103
Seguridad y Comercio Electrónico

El concepto de estrategia ha sido objeto de múltiples interpretaciones, de


modo que no existe una única definición. No obstante, es posible identificar cinco
concepciones alternativas que si bien compiten, tienen la importancia de
complementarse.

Estrategia como Plan

Un curso de acción conscientemente deseado y determinado de forma


anticipada, con la finalidad de asegurar el logro de los objetivos de la empresa.
Normalmente se recoge de forma explícita en documentos formales conocidos
como planes.

Estrategia como Táctica

Una maniobra específica destinada a dejar de lado al oponente o


competidor.

Estrategia como Pauta

La estrategia es cualquier conjunto de acciones o comportamiento, sea


deliberado o no. Definir la estrategia como un plan no es suficiente, se necesita un
concepto en el que se acompañe el comportamiento resultante. Específicamente, la
estrategia debe ser coherente con el comportamiento.

Estrategia como Posición

La estrategia es cualquier posición viable o forma de situar a la empresa en


el entorno, sea directamente competitiva o no.

Estrategia como Perspectiva

La estrategia consiste, no en elegir una posición, sino en arraigar


compromisos en las formas de actuar o responder; es un concepto abstracto que
representa para la organización lo que la personalidad para el individuo.

104
Seguridad y Comercio Electrónico

Estrategia & E-Estrategia

Las estrategias de Comercio Electrónico no están desligadas de la estrategia


general de la compañía y viceversa. Como todas las compañías que participan en el
mercado tienen acceso a las diferentes tecnologías disponibles, la adquisición de
las mismas no genera por sí sola ventajas competitivas. Es lo que cada compañía
está en capacidad de hacer y el máximo retorno que pueda obtener de estas
inversiones, lo que hace la diferencia. En la práctica estas dos estrategias se
fusionan de tal manera, que es difícil diferenciar claramente lo que corresponde a
la estrategia de Comercio Electrónico y a la estrategia global de negocio.

Adicionalmente, el hecho de que la estrategia de negocio involucre a las


diferentes áreas de la organización y la estrategia de Comercio Electrónico ofrezca
oportunidades de mejora para cada una de ellas; indica un alto grado de cohesión.

3.5.1. Desarrollo de una estrategia de comercio electrónico.

El desarrollo de una estrategia de comercio electrónico requiere una


planificación cuidadosa y un compromiso total. El comercio electrónico debe
visualizarse como una operación de largo plazo, y no como una oportunidad de
obtener un lucro a corto plazo. La preparación de una estrategia de comercio
electrónico confirmará si una presencia en Internet es conveniente para la
compañía y cuándo, lo que permite usar de manera más eficaz esta poderosa
herramienta empresarial.

Una estrategia de comercio electrónico no difiere fundamentalmente de


cualquier otro plan de negocios, y antes de diseñarla se debe asegurar que la
compañía:

105
Seguridad y Comercio Electrónico

• Comprende las características del mercado en línea, tales como la


naturaleza global de la competencia, los requisitos técnicos y
reglamentarios que se aplican a las ventas en línea, y el papel que
desempeña la información en el comercio electrónico.

• Tiene la capacidad técnica y de suministro para la venta de productos


y servicios en un mercado global en línea.

• Establece procesos de producción y de ventas que permite atender un


aumento significativo en el negocio.

• Cuenta con el apoyo de todos los niveles de la gerencia, hacer claros


los pasos de todo el proceso de compra electrónica, e identificar el
personal que posiblemente va a participar en el proceso. Antes de
diseñar la estrategia podría ser conveniente crear una conciencia en el
personal acerca del potencial que ofrece el comercio electrónico y
darle la capacitación sobre aspectos específicos del mismo.

3.5.2. Aspectos clave de una estrategia de comercio electrónico.

Una estrategia bien preparada debe contener una evaluación de las


posibilidades de ventas a través de Internet del producto o de los productos
involucrados, un estimado del total de las inversiones necesarias para establecer y
desarrollar el negocio, un plan para operar el negocio y para medir su progreso, y
un indicativo del retorno esperado sobre la inversión. Debe incluir la opción de
solicitar financiamiento.

Los elementos esenciales de una estrategia de negocios de comercio


electrónico son los siguientes:

106
Seguridad y Comercio Electrónico

• Resumen ejecutivo: Este es una parte muy importante del plan. Debe
redactarse después de completar el resto del plan. Probablemente los
inversionistas potenciales leerán solamente esta parte en los primeros
contactos con ellos. Este es el lugar indicado para una presentación breve
directa y precisa. Si el resumen ejecutivo atrae el interés de los
inversionistas, habrá posteriormente numerosas oportunidades para que
se demuestre el entusiasmo por el proyecto. Señale los factores de éxito
de su empresa y luego se debe enumerar las ventajas que se tiene sobre
los competidores que ya cuentan con una presencia en Internet.

• Objetivos: Definir las metas de largo plazo y determinar cómo el


comercio electrónico ayudará a alcanzar esas metas.

• Orientación: Señalar cómo se quiere usar la Internet.

• Situación actual: Identificar los productos de la empresa que se venderán


bien por Internet y explicar por qué.

• Establecer los criterios de evaluación de las operaciones web: Éstos


podrían incluir el número de visitas por mes, el número de páginas
vistas, el número de visitantes por una sola vez, el número de contactos
reales, el número de transacciones y el número de pedidos.

• Promoción: Describir cómo se planea promocionar su sitio web.

• Análisis de mercados: Describir las oportunidades que tiene la compañía


en el mercado del comercio electrónico.

• Competencia actual: Presentar los resultados del análisis que se hace


sobre la competencia actual y sobre la competitividad que tiene la
empresa dentro de la industria. Hacer una lista de los sitios web de
todos los competidores principales y secundarios. ¿Cuál es la

107
Seguridad y Comercio Electrónico

participación estimada en el mercado de cada competidor? ¿Cuáles son


las tendencias esperadas en su industria para el comercio electrónico?

• Clientes objetivo: Presentar el perfil demográfico y socioeconómico de


los clientes que se espera captar en línea. ¿Por qué cree que ellos
comprarán en su sitio de Internet?

• Investigación de un grupo de enfoque: Presentar los hallazgos de la


investigación enfocada en un pequeño grupo de clientes potenciales del
mercado objetivo. Esta investigación debe haber proporcionado una
retroalimentación sobre el potencial de ventas de los productos en un
ambiente de mercado electrónico.

• Riesgo calculado: Presentar las proyecciones para el desarrollo de la


industria y de la empresa durante los próximos tres a cinco años, tanto
en línea como fuera de línea.

• Estrategia de mercado: Mostrar la forma como se piensa atraer clientes,


importadores, agentes, y mayoristas en línea para que hagan negocios
con la empresa, y la forma en que se va a mantener el interés de los
mismos.

• Contenido: Establecer los elementos que se piensan incluir en el sitio


web.

• Publicidad: Presentar los planes de publicidad. Éstos deben tener en


cuenta los requisitos extranjeros de etiquetado y de embalaje, los
aspectos relacionados con la traducción, las relaciones con los clientes,
los anuncios publicitarios de acuerdo a la cultura y las barreras
semánticas.

108
Seguridad y Comercio Electrónico

• Relaciones públicas: Establecer el plan con un programa regular y


consistente de actualización de productos y servicios. Esto podría incluir
un boletín electrónico, publicaciones de artículos en revistas técnicas,
comunicados de prensa, organización de reuniones de clientes, y
patrocinio de grupos de discusión en línea.

• Estrategia de ventas: Entre los detalles que deben presentarse están los
siguientes:

o Precios y rentabilidad. Formular una estrategia de fijación de


precios internacionales para vender, distribuir y comprar en línea.
Procesamiento de pedidos y de pagos. ¿Cómo se tomarán los
pedidos (por teléfono, fax, correo, en línea)? ¿Cómo se efectuarán
los pagos (por correo, en línea, transferencias bancarias)? Métodos
de distribución. Determinar dónde y cómo se harán las estrategias
en el extranjero. ¿Cómo se enviará la confirmación de pedidos y
embarques? Tácticas de promoción de ventas. ¿Se promocionará
el producto o servicio únicamente en línea o también con la ayuda
de herramientas tradicionales (por ejemplo, correo directo, correo
electrónico, visitas sin previo aviso, impresos, publicidad en radio
y televisión, etc.)?

• Servicio: Se debe formular la siguiente pregunta: ¿Se le presta servicio al


cliente, en caso de solicitarlo, después de completar la venta?

• Relaciones comerciales: Elaborar un plan para este fin, y determinar el


tipo de relaciones que se van a establecer (por ejemplo, de
agente/distribuidor) para desarrollar relaciones internacionales de
negocios, incluyendo aspectos tales como el de la capacitación
multicultural.

109
Seguridad y Comercio Electrónico

• Integración: Describir la forma de cómo se integrarán los sistemas con


los sistemas usados por el banco, clientes, proveedores, distribuidores,
etc.

• Programa de producción: Indicar el volumen inicial, los requisitos de


expansión, las fuentes de materiales, los sitios de fabricación.

• Proyecciones financieras: Ser realista y conservador.

• Presupuesto a doce meses: Pronosticar los costos del primer año de su


plan.

• Proyección del flujo de efectivo: Calcular las entradas y desembolsos en


efectivo.

Plan a cinco años: Incluir una proyección de pérdidas y ganancias


durante cinco años.

• Balance general: Mostrar la posición de liquidez y de efectivo de la


empresa.

• Análisis del punto de equilibrio: Calcular el número de unidades que se


necesita vender para alcanzar el punto de equilibrio.

• Fuente y uso de fondos: Indicar dónde se va a obtener el financiamiento


para iniciar o expandir la operación de exportaciones.

• Uso de los ingresos: Mostrar cómo se usarán las utilidades y los


préstamos.

• Conclusiones: Establecer nuevamente las metas básicas de la operación


de comercio electrónico, el capital total requerido, las utilidades
esperadas, el programa de negocios, y los comentarios generales.

110
Seguridad y Comercio Electrónico

• Apéndice: Incluir una hoja de vida de los individuos clave que


participaran en el plan; hacer una lista de los clientes clave, clientes
potenciales; incluya datos de estudios de mercado, planos, contratos y
proyecciones financieras para el plan.

3.5.3. Aspectos negativos en una estrategia de comercio electrónico

• No buscar asesoría: Las empresas nuevas en el comercio electrónico o


que desean expandirse hacia mercados extranjeros que desconocen, a
menudo no buscan asesoría calificada antes de desarrollar sus planes de
comercio electrónico.

• No lograr compromiso de la gerencia. Se debe asegurar que la alta


gerencia se comprometa firmemente con el desarrollo del plan. En la
formulación del plan deben participar todas las divisiones funcionales
de la compañía, es decir, gerencia, área administrativa, financiera, de
mercadeo, de producción y de capacitación, aunque se le debe asignar a
una persona la responsabilidad general del mismo. Esta visión global
facilitará la tarea subsiguiente de esta persona para obtener la
aprobación y el respaldo financiero de sus socios financieros para la
implementación del plan.

• No llevar a cabo una buena investigación de mercados: La investigación


de mercados en línea ha facilitado más que nunca el estudio de las
condiciones demográficas, políticas y socioeconómicas de cualquier país,
la identificación de las tendencias comerciales, oportunidades de
importación y exportación, etc. Se debe recurrir también a fuentes
tradicionales, sobre todo si aún no se ha vendido el producto en otros
países. Llevar a cabo investigaciones en pequeños grupos de enfoque de

111
Seguridad y Comercio Electrónico

clientes objetivo a fin de obtener comentarios acerca de las características


deseadas del producto, así como para conocer el interés y experiencias
respecto a las compras por Internet. Si todavía no se está exportando, es
conveniente enviar muestras de los productos, o encargar a un
representante que lleve las muestras a los mercados potenciales y las
someta a evaluaciones por parte de los clientes. También estudiar las
preferencias particulares de grupos de clientes potenciales en el
extranjero.

• No analizar los resultados de las investigaciones de mercados: Las


estrategias de comercio electrónico deben basarse en un buen análisis e
investigación de mercados. El análisis debe confirmar si el producto es
apropiado para ser vendido en Internet, si el diseño es atractivo en
mercados específicos, o si el producto satisface las preferencias
particulares que puedan tener grupos de clientes potenciales en el
extranjero.

• No determinar los flujos de exportaciones e importaciones (Análisis del


sector): Para muchas compañías es difícil obtener información acerca de
países que exportan e importan productos específicos. Para que los
exportadores logren hacer llegar el mensaje de mercadeo electrónico y
tener éxito en un mercado particular, es esencial determinar si el
producto será competitivo. Existen muchas fuentes de información sobre
oportunidades competitivas en un mercado. La mejor, pero la más
costosa, es hablar directamente con los clientes, o con los agentes, los
mayoristas y los comerciantes minoristas en el mercado especialmente si
se va a vender o a distribuir los productos por intermedio de ellos. Una
herramienta de comunicación a bajo costo que también puede ser útil es
el correo electrónico, pero se necesita encontrar la persona adecuada a la

112
Seguridad y Comercio Electrónico

cual se va a dirigir el correo y redactar un mensaje que logre el tipo de


respuesta que se requiere.

• No determinar el precio óptimo de exportación: Fijar el precio de un


producto es un factor importante para las proyecciones financieras.
Muchas empresas que exportan por primera vez o esporádicamente
pasan por alto los diversos costos foráneos que pueden influir en el
precio unitario. En las proyecciones financieras y en el presupuesto a tres
años se deben tener en cuenta todos y cada uno de los elementos del
plan de comercio electrónico. Cuando se trata de comercio electrónico a
escala internacional es necesario considerar los siguientes elementos
para la estrategia de fijación de precios:

o Diseño del sitio web

o Actualización del sitio web

o Monitoreo de los mensajes en el sitio web

o Procesamiento de pedidos a través de la web

o Mercadeo electrónico

o Porcentaje de margen de utilidad

o Comisiones por ventas

o Cargos por transporte

o Costos de financiamiento

o Comisiones por procesamiento de cartas de crédito

o Cargos por embalaje para exportación

113
Seguridad y Comercio Electrónico

o Gastos locales de transporte

o Descarga en Terminal

o Seguros

o Traducciones

o Condiciones de crédito

o Programas de pago

o Monedas de pago

o Porcentajes de comisiones

o Costos de almacenamiento

o Servicio post-venta

o Costos de reposición de mercancía dañada

• No reconocer cómo toman las decisiones los compradores: Es


importante entender la forma en que los compradores toman sus
decisiones de compra en Internet. El factor que más influye en una
decisión de compra, ya sea en línea o fuera de línea, es si el comprador
confía en el vendedor. Por lo tanto, debe hacerse todo lo posible para
asegurar que su sitio web proyecte confiabilidad.

• Comunicaciones generales de mercado: Muchas empresas que ingresan


por primera vez al comercio electrónico lo hacen de manera pasiva en
lugar de activa, haciendo ventas únicamente porque alguien de otro país
se puso en contacto con ellos. También, hay muchas empresas que no

114
Seguridad y Comercio Electrónico

venden en línea porque desconocen las oportunidades gratuitas o de


bajo costo, que se ofrecen para la comercialización. Además de las
técnicas tradicionales de mercadeo en línea, las mejores oportunidades
de comercialización se encuentran en catálogos que presentan productos
autóctonos, programas de compradores internacionales, servicios de
agentes y distribuidores, exhibiciones por catálogo, y asociaciones
comerciales.

• No verificar la solvencia económica del comprador: Antes de aceptar


cualquier negocio, es esencial verificar la solvencia económica del
comprador, distribuidor o socio potencial. Una cámara de comercio u
otra fuente similar del país del comprador puede proporcionarle una
referencia comercial, pero ésta no es una referencia de crédito. Para una
pequeña empresa, la mejor garantía es no otorgar un crédito comercial
tradicional para ventas en línea a compañías desconocidas. De ser
posible, utilizar un servicio de depósitos en custodia o insistir en el uso
de las tarjetas de crédito reconocidas (VISA, MasterCard, American
Express, etc.).

• Elección de métodos de distribución: Muchas empresas utilizan el


comercio electrónico directo como único medio para realizar negocios a
escala internacional. Un sitio web es un medio que le permite a la
pequeña empresa tener un máximo control del mercadeo,
financiamiento y crecimiento del mercado. Sin embargo, existen otros
métodos de publicidad, mercadeo y distribución. Entre esos métodos
están los siguientes: elegir a un agente de ventas por comercio
electrónico que trabaje por comisión, contratar a una compañía
administradora de comercio electrónico para que maneje las ventas,
designar a un representante de ventas en línea, negociar un contrato de

115
Seguridad y Comercio Electrónico

distribución, una empresa de riesgo compartido, y la producción en el


extranjero. Cualquiera de estos métodos de distribución puede ayudar
al exportador a implementar con éxito estrategias de comercio
electrónico, así como beneficiarse de la experiencia y de los contactos
que tenga un socio más experimentado en el comercio electrónico.

3.5.4. De la estrategia a la acción estratégica.

Si bien es cierto, la conciencia sobre la implementación del tema de


Comercio Electrónico ha ido incrementando paulatinamente, en algunos casos no
se tiene claridad sobre la manera de abordarlo. En otras palabras, una estrategia
organizada que parta de entender el impacto de los cambios del entorno y la
situación interna de la organización y que oriente la construcción de las soluciones
tecnológicas, para finalmente acompañar su implantación, con el fin de asegurar la
apropiación de la nueva forma de hacer el negocio.

Hasta aquí se han explicado los elementos clave de un proceso ordenado


para formular una estrategia de Comercio Electrónico. Aunque no todos los
modelos y metodologías siguen en estricto orden las actividades propuestas; en la
práctica conservan lineamientos similares. Hay pequeñas variaciones en los
detalles de cada paso, pero en el fondo mantienen una misma filosofía de acción.
¿Qué consideraciones son relevantes en cada uno de ellos? A continuación se
describen los 7 pasos para formular una estrategia de comercio electrónico.

116
Seguridad y Comercio Electrónico

3.5.4.1. Paso 1: Pensar la estrategia del comercio electrónico

Antes de emprender esfuerzos y comprometer recursos, es conveniente


planear el proceso de formulación de la estrategia. Es conveniente tomar
conciencia de la situación que enfrenta la compañía y el momento por el cual
atraviesa; ya que el proceso deberá acoplarse como parte de las actividades diarias
y ello, conlleva el riesgo de caer ante el acoso del día a día. Tomar un tiempo para
definir las metas en la formulación y los puntos de chequeo que involucrará para
garantizar que va avanzando en la dirección correcta, es útil para evitar esfuerzos
innecesarios.

Algunas organizaciones emprenden iniciativas sin considerar el esfuerzo


que requerirá diseñar la estrategia y terminan abandonado el objetivo. Evitar estas
situaciones, implica dedicar tiempo para discutir la forma de abordar el desarrollo
de la estrategia. Es necesario que el estratega, identifique los aspectos a considerar,

117
Seguridad y Comercio Electrónico

liste las actividades que deberá realizar para formular la estrategia, consulte temas
que no domina y las posibles alternativas para obtener ese conocimiento.
Adicionalmente, se hace indispensable formular un plan que permita estructurar la
estrategia desde la línea base y considerar la logística para hacer de la ejecución un
proceso dinámico y flexible.

Es útil indicar preguntas simples que le ayuden a identificar los pasos a


seguir. Su formulación apropiada favorece la búsqueda de soluciones, facilita la
delimitación del problema real y la forma de abordarlo. ¿Cómo se realizará el
entendimiento del negocio?, ¿Qué herramientas utilizar para lograr este
entendimiento?, ¿Qué disponibilidad de tiempo existe para implementarla?, ¿Qué
nivel de profundidad es necesario en cada una de las fases de la estrategia?, son
algunos ejemplos para comenzar la tarea. Finalmente, conviene validar si las
respuestas obtenidas obedecen a preguntas correctamente formuladas y si
muestran un camino viable y confiable.

Descrita la forma de iniciar el desarrollo de la estrategia, es necesario


entender lo que sucede dentro y fuera de la organización para determinar hacia
donde enfocar los esfuerzos.

3.5.4.2. Paso 2: Entender la estrategia del comercio electrónico.

Uno de los pasos iniciales en la formulación de la estrategia de e-bussines,


es entender lo que está pasando tanto dentro de la compañía como fuera de ella,
con el fin de identificar los aspectos internos y externos que indiquen como
proceder.

Entender implica lograr una visión del negocio, el entorno, factores internos
y externos, para encontrar los elementos que permitan realizar la mejor
recomendación, sobre el uso de Internet y otros canales electrónicos.

118
Seguridad y Comercio Electrónico

Adicionalmente para determinar el aporte como generadores de ingresos,


reductores de costos de operación o facilitadores de posiciones estratégicas
distintivas para la organización.

El análisis prospectivo, la planeación por escenarios, el manejo de modelos


mentales entre otros, proveen herramientas que ayudan a elaborar mejor la
formulación en este punto. Lo importante al final es, que el resultado obtenido del
análisis mantenga coherencia, pertinencia, y verosimilitud con la realidad de la
compañía.

Una vez entendidos los aspectos internos y externos que direccionan la


estrategia de Comercio Electrónico, es necesario definir los servicios que se
involucraran, el orden, el momento en el tiempo en que serán implementados y el
nivel de profundidad que requieren para soportar la estrategia global.

3.5.4.3. Paso 3: Definir la estrategia del comercio electrónico.

La definición de la estrategia de e-bussines que contenga los procesos a


mejorar, tecnología necesaria y la forma de prestar los servicios, de acuerdo a la
imagen e identidad de la organización; implica buscar las oportunidades en las
áreas de mejora identificadas del análisis del entorno y situación interna.

Por otro lado, la definición de los componentes de una estrategia de e-


bussines, requiere un modelo de pensamiento diferente. Cuando se habla de e-
bussines, se abre una ventana de oportunidades en cuanto a la forma de ofrecer el
servicio, la ubicación geográfica del consumidor, forma de pago, etc., que obligan
al estratega a pensar lateralmente. En otras palabras, a partir de una clara y
profunda visión de la situación de la compañía, usar la información recopilada,
para generar nuevas ideas mediante la reestructuración de los conceptos ya
existentes.

119
Seguridad y Comercio Electrónico

A continuación, listar ideas y organizarlas con su respectiva prioridad no es


suficiente para continuar con la implementación de la estrategia. Es necesario
analizarlas y estructurarlas de tal manera que constituya una línea de continuidad
en largo plazo. En la práctica se trata de identificar aspectos comunes entre todas
las ideas, que permitan crear una base sobre la cual, llegado el momento se
apoyarán las demás iniciativas.

En la formulación y definición de la estrategia de e-bussines se busca crear


una línea base, que soporte los cambios surgidos con el paso del tiempo, sin verse
avocados a cambios drásticos en el planteamiento inicial. Sobre esta línea base
estarán colocados los demás componentes de su estrategia de e-bussines que le
darán la flexibilidad de adaptación ante cambios inesperados.

Para definir la línea base, es apropiado contrastar la situación del entorno y


el estado actual de la compañía, evaluando la estrategia actual del negocio frente
los cambios identificados, para definir cursos o rutas alternativas de acción. El
esfuerzo debe concluir, definiendo cuales de los aspectos representan
oportunidades al desarrollarlos con el uso de canales electrónicos y detallando
aquellos en los que se va a enfocar inicialmente la organización.

Nuevamente la formulación de preguntas adecuadas y el cuestionamiento


de los paradigmas actuales del negocio, suele ser una forma útil de identificar los
componentes de la estrategia. ¿Qué áreas del negocio se pueden beneficiar con el
uso de canales electrónicos y en qué orden se debe abordar su mejoramiento?

Desde la ampliación de canales en una primera instancia, seguida por la


integración de la cadena de valor de la compañía, continuando con la integración
de compañías del mismo sector y donde cada una de ellas se enfoca en las
competencias que constituyen el núcleo de su negocio, hasta las iniciativas que
permitan ofrecer servicios con proveedores de diferentes industrias.

120
Seguridad y Comercio Electrónico

3.5.4.4. Paso 4: Diseñar la estrategia del comercio electrónico.

Una vez definidos los cambios es necesario diseñarlos. El diseño implica


analizar y cambiar la forma de operar de la organización. En otras palabras:
procesos, tecnología y capital humano. Aunque dependiendo de estas iniciativas y
el foco que la compañía defina como punto inicial en la estrategia, depende el
modelo a utilizar (B2B, B2C, etc.), una aproximación sencilla al diseño, sugiere
revisar los segmentos de clientes que serán los directos beneficiados de los
servicios implantados, los canales actuales con que cuenta la organización para
atenderlos y los canales electrónicos (web, Internet, correo electrónico, etc.) más
adecuados para ofrecer nuevos servicios a estos segmentos de clientes.

El diseño de la estrategia se enfocará en el análisis y modificación de


procesos y tecnología requerida.

Foco en los procesos: En la práctica, se revisan los procesos actuales de la


compañía, identificando que actividades se ejecutan para atender las diferentes
solicitudes de los diversos clientes. El foco es encontrar cuáles de ellos se repiten o
requieren ser optimizados, cuando el cliente contacta la organización por diversos
canales para realizar el mismo requerimiento.

Nuevamente la formulación de preguntas facilita la tarea de diseño. Por


ejemplo ¿Qué sucede desde la solicitud del servicio por parte del cliente hasta la
entrega del mismo? ¿Qué áreas de la compañía participan en ese proceso? ¿Qué
actividades son comunes a diferentes procesos, que se pueden fusionar para
optimizar el desempeño al interior de la empresa?

Los procesos cambian dependiendo del grado de madurez de la estrategia.


La figura de la siguiente página sugiere una forma de organizar las iniciativas de
mejora y candidatas a ser implementadas en la estrategia de e-bussines. También
se han agrupado en fases en el tiempo, donde cada fase representa un mayor grado

121
Seguridad y Comercio Electrónico

de madurez de la organización en el uso de canales electrónicos. Pues bien,


dependiendo de este grado de madurez la estrategia involucra cambios en los
diferentes procesos del negocio.

En una fase inicial de ampliación de canales, se cambian los procesos


actuales que no son radicalmente diferentes a los ya existentes, pero que si
representan una nueva forma en que la organización asume el día a día. Los
procesos que normalmente son rediseñados en esta fase, están relacionados con
mercadeo, ventas, gestión de órdenes de pedido, servicio al cliente, procesos de
compras y abastecimiento.

En una fase de integración de cadena de valor, se requiere un cambio radical


en la forma de ver los procesos. Los procesos ya no son vistos como conjuntos de
actividades al interior de la empresa, si no que vinculan actividades realizadas en
otras organizaciones como proveedores y socios de negocio. El proceso pierde su
carácter interno, por lo que están en su gran mayoría completamente
automatizados.

La automatización de procesos se apalanca en tecnología, para lo cual se


requiere especial atención en la identificación de su arquitectura.

El diseño se enfoca también en identificar la arquitectura tecnológica que


soportará a la estrategia. El objetivo es diseñar el esqueleto tecnológico de toda la
operación. De manera similar a la construcción de un edificio, donde se diseñan los
cimientos, la arquitectura tecnológica dará un vistazo a los aspectos requeridos por
la estrategia de e-bussines.

En la práctica es importante verificar que la arquitectura definida resuelva el


problema de negocio y contemple los sistemas actuales, incluyendo las formas de
pasar de las tecnologías actuales a las siguientes versiones en cada uno de los
canales.

122
Seguridad y Comercio Electrónico

Adicionalmente los siguientes aspectos forman parte de lo que debe estar


claro en cuanto a componentes tecnológicos: Seguridad que requiere la
información, nivel de desempeño mínimo para los procesos, nivel disponibilidad
de los servicios, entre otros. Finalmente, es fundamental asegurar que los
resultados del diseño son claros y entendidos por el equipo directivo de la
organización. Dado que los cambios que implica la implantación de una estrategia
de e-bussines afectan directa e indirectamente a varias áreas de la compañía, es
pertinente que el equipo directivo evalúe la claridad, coherencia y pertinencia de la
tecnología que se ha seleccionado, antes de iniciar la construcción.

123
Seguridad y Comercio Electrónico

124
Seguridad y Comercio Electrónico

3.5.4.5. Paso 5: Construir la estrategia del comercio electrónico.

La construcción implica aplicar el diseño. Consiste en la implementación de


los cambios a los procesos, la tecnología y la gente involucrada. Aunque existen
diversas metodologías para realizar los cambios en los procesos, la línea tradicional
está dada por el análisis, diseño, desarrollo e implantación del proceso a modificar.

La modificación de procesos, inicia con una documentación de los procesos


actuales para los servicios que se van a habilitar y la ubicación de los mismos
dentro del modelo de procesos global de la compañía. En este punto, se
determinan los flujos de información, documentos y los costos involucrados en su
realización.

Normalmente se continúa con la revisión del proceso, buscando formas


alternativas y optimizadas de reorganizarlo, aprovechando las posibilidades que
los canales electrónicos ofrecen. Esto incluye la reubicación de actividades
humanas y la definición de necesidades de capacitación y equipos de cómputo
necesarios para el proceso modificado. Posteriormente se evalúan los productos y
servicios buscando la facilidad en su fabricación y mantenimiento. A esta tarea le
sigue el desarrollo de las soluciones de tecnología necesarias y finalmente la
preparación de ambientes de pruebas, donde se realizan simulaciones que integran
gente, aplicaciones y los procesos rediseñados. Dados los niveles de complejidad
inherentes a estos cambios, es conveniente planificar la construcción de tal manera,
que permita realizar cambios paulatinos, que aborden la solución con resultados
intermedios que puedan ponerse en producción rápidamente y donde la
organización perciba el beneficio, sin necesidad de esperar a que toda la estrategia
esté finalizada.

Los planes detallados, las revisiones constantes y la evaluación objetiva


sobre el avance, son fundamentales para garantizar el entendimiento total y el

125
Seguridad y Comercio Electrónico

éxito de la construcción. En este punto, la estrategia pasa de ser un documento a


convertirse en hechos concretos, lo que conlleva un alto riesgo de perder el foco
con los detalles técnicos y los problemas derivados de la reestructuración del
proceso. Frecuentemente y por falta de control, se construyen soluciones que
difieren del diseño inicial y que implican esfuerzos adicionales posteriores para
adaptar o retomar el camino.

Para finalizar, es necesario evaluar constantemente los servicios


implantados. Una aproximación para realizar esta tarea, es definir un modelo de
medición de los procesos y servicios, de tal manera que faciliten el establecimiento
de métricas efectivas para evaluar niveles de calidad prestados y los grados de
satisfacción que expresan los destinatarios.

Una vez terminadas las pruebas en ambientes de operación y estén


vinculados los involucrados en el uso de los nuevos servicios, se proyectan los
siguientes pasos que darán continuidad a la estrategia de e-bussines.

3.5.4.6. Paso 6: Proyectar la estrategia del comercio electrónico.

Preparar los siguientes pasos en la estrategia de e-bussines, para dar una


línea de crecimiento continuo al negocio, consiste en seleccionar un nuevo conjunto
de servicios y planear otra iteración de los pasos anteriores.

Para definir los siguientes pasos es necesario revisar la visión general y


evaluar los resultados obtenidos en la fase que culmina. En esta evaluación, se
identifican los aspectos que constituyeron fortalezas y los problemas que
dificultaron la labor en los pasos anteriores, con el fin de corregir posibles errores
para el siguiente paso de la estrategia y apropiar conocimiento a partir de las
experiencias que culminan.

126
Seguridad y Comercio Electrónico

Es necesario garantizar que en los futuros pasos de la estrategia, no se


cometan los errores iniciales. No se puede esperar que tanto la situación de la
empresa en este momento, como las personas, perduren indefinidamente en la
organización. Como consecuencia, las experiencias adquiridas se pierden, cuando
la competencia se lleva a las personas que han aprendido en los proyectos
realizados en la estrategia. Esto tiene un costo representado en tiempo, esfuerzo,
dinero, etc. Es fundamental entonces, registrar la historia de la compañía y
garantizar que aprende del pasado.

Construir un sistema de conocimiento orientado a la colaboración o a la


publicación de buenas prácticas, es indispensable para garantizar este objetivo.
Dependiendo de la naturaleza de las tareas, podrá identificarse si se requiere un
esquema que propicie la colaboración entre los miembros de la organización, o la
conformación de repositorios de documentos donde se consoliden y publiquen las
experiencias adquiridas.

Barreras culturales, fallas en la coordinación de las tareas, acciones e


impacto de salidas inesperadas de miembros clave en los equipos de trabajo, nivel
de profundidad necesario en la documentación levantada, tiempos estimados para
la realización de las tareas versus tiempos reales incurridos, etc.; son temas
candidatos para incluir en la documentación. El objetivo, es identificar prácticas
que le ayuden a la organización a mejorar su capacidad para llevar a cabo su
estrategia en el futuro.

Tanto el entorno como la situación interna de la compañía cambian, por lo


que al realizar la proyección, es conveniente validar la pertinencia y oportunidad
de las alternativas definidas al iniciar su estrategia. Seguramente los cambios del
entorno, sumados a la experiencia adquirida en el proceso, son elementos para
ajustar el siguiente paso.

127
Seguridad y Comercio Electrónico

Luego de validar y ajustar los supuestos iniciales, es necesario estructurar


los nuevos servicios. Hay varias vías para realizar esta tarea. Una de ellas es llevar
los servicios ya implementados a un mayor nivel de profundidad, es decir, agregar
mayor automatización a los procesos y aplicaciones. En otras palabras, aquellos
con lo que la compañía está haciendo presencia, llevarlos a una mayor integración
con los sistemas del negocio. Otra vía es seleccionar nuevos servicios que por su
importancia ayudan a lograr posiciones estratégicas superiores.

Finalmente, se puede lograr una combinación entre las dos, de tal manera
que la estrategia fortalezca las iniciativas ya implementadas y presione la creación
de nuevas oportunidades para la empresa derivadas de la utilización de canales
electrónicos. Desde la fase más simple, como es el utilizar un canal de Internet para
publicar información básica de productos y servicios, hasta la integración de esos
canales con los sistemas del negocio, para brindar información y permitir
transacciones comerciales de compra y venta, sirven para focalizar el avance.

El paso de proyectar las ventanas de oportunidad futuras derivadas de su


estrategia, se superpone con el acompañamiento y monitoreo de la implantación y
transición del esfuerzo realizado.

3.5.4.7. Paso 7: Acompañar la estrategia del comercio electrónico.

El último paso consiste en acompañar las actividades para asegurar su


apropiación por parte de la organización. Implica hacer el seguimiento y participar
activamente en la adopción de los resultados de la estrategia. Sugiere el monitoreo
de la implantación de las mejoras y la medición constante del impacto positivo y
negativo de los nuevos servicios.

En muchas compañías, cuando se ha finalizado la construcción de los


sistemas y los procesos se han reorganizado; se considera que la mayor parte de la

128
Seguridad y Comercio Electrónico

tarea ya está terminada. Esto no es cierto. El mayor reto del estratega es lograr que
la organización apropie la nueva forma de trabajo. En otras palabras: que ésta
incluya los medios aportados por la estrategia como parte de sus hábitos de acción.

Lograr hábitos que caractericen el comportamiento organizacional, conlleva


un proceso que va desde la experimentación con los nuevos paradigmas, procesos
y tecnología, seguida de una repetición constante de dicho comportamiento, hasta
alcanzar la costumbre y finalmente con su profundización convertirlos en
principios que determinan los hábitos al actuar. Esta no es tarea fácil en los
procesos de cambio.

En una estrategia de e-bussines, el reto del estratega va más allá de


asegurarse que la gente apropie un cambio en un proceso, o se capacite para
consultar un pedido a través de un sistema de Internet. Debe ser capaz de
transformar la manera de pensar de la compañía, en torno a las posibilidades que
ofrecen los canales electrónicos. Implica enseñar a su equipo humano, a reformular
constantemente los paradigmas de trabajo, y con ello lograr una dinámica de
cambio en la mente de las personas.

Es necesario poner en práctica los cambios en el proceso, conjuntamente con


la tecnología que asegure que las herramientas implantadas son interiorizadas por
la organización y serán utilizadas para mejorar su desempeño. Muchas compañías
del medio, emprenden esfuerzos de mejoramiento que no son utilizados, por que
se pierde el impulso en el acompañamiento o porque la gente clave se retira, o
porque llegan miembros que no le dan continuidad a las iniciativas. Se necesita
control, monitoreo, persistencia y resistencia para obtener frutos.

También hay que dar soporte a las actividades de iniciación. En un principio


aparecieron muchas dudas, sobre la nueva operación, hasta que la curva de
aprendizaje de las nuevas herramientas y procesos se haya alcanzado. Por lo tanto

129
Seguridad y Comercio Electrónico

es conveniente, mantener un equipo continuo de soporte, para atender las dudas o


solicitudes de información que garanticen la fluidez de los nuevos servicios.

Otra cosa interesante es registrar información que permita evaluar


periódicamente los beneficios obtenidos y comunicar los resultados a todos los
involucrados. Para ello se necesita definir un esquema de niveles de servicio, que
permita medir el desempeño de los servicios implantados, canalizar las energías y
la percepción sobre los beneficios de las mejoras o los problemas encontrados; es
fundamental para evitar que se afecten las expectativas de todo el equipo.

Si bien, los pasos propuestos para desarrollar una estrategia de comercio


electrónico en la empresa, han sido descritos y constituyen una guía en la línea de
acción, no son todo lo necesario para tener éxito en la práctica. Algunos aspectos
adicionales explicados a continuación afectan el resultado esperado.

Además de esto, el construir una base sólida mientras se avanza, el cambio


constante, la habilidad para reducir la incertidumbre, así como la capacidad de
minimizar la complejidad paulatinamente, se convierten en factores determinantes
para hacer rentable la estrategia.

Parte de la formulación de la estrategia es diseñar una forma que le permita


incorporar variaciones dependiendo de aspectos inesperados. La organización
debe contemplar los procesos necesarios que permitan una mejora incremental a la
estrategia. Cada vez más, la estrategia se va robusteciendo e incorporando con
nuevos aspectos no contemplados en el pasado.

Las estrategias de Comercio Electrónico, llevan asociada una complejidad


inherente al uso de tecnologías hasta ese momento desconocidas para la
organización. Es recomendable, que dicha complejidad se aborde paulatinamente
de tal manera, que en una práctica sencilla se vaya digiriendo y apropiando

130
Seguridad y Comercio Electrónico

el cambio organizacional. La simplicidad facilita el entendimiento; y la claridad es


un aliado en estos procesos de trasformación.

La tendencia en estrategias electrónicas, es iniciar con procesos que hagan


publicaciones de información sencillas y paulatinamente incrementen la
interactividad, cuando los usuarios han alcanzado un nivel de uso adecuado.

Para finalizar, es importante enfatizar que el comercio electrónico es una


realidad y está estrechamente relacionado con la estrategia general de la compañía.
Por ello las organizaciones, necesitan involucrar a su estrategia los beneficios de las
nuevas formas de hacer negocios, apoyados en la tecnología. La formulación de
una estrategia de comercio electrónico, requiere de un proceso organizado y
continuo para aprovechar las oportunidades que ofrece la nueva economía.
Llevarla a cabo, implica entender los cambios del entorno, evaluar la capacidad de
la organización y desarrollar la forma de responder a dichos cambios a través de la
creatividad y dedicación.

Contrariamente a lo que se percibe en la práctica, formular estrategias de


comercio electrónico, conlleva a pensar mucho más allá de la tecnología. Es más
que instalar y configurar un sitio web, instalar un servidor de correo electrónico o
habilitar un Call Center. Lleva integrada una visión del negocio y una manera
coordinada de realizar los cambios en los procesos y en el capital humano
necesario.

3.5.5. Elementos clave de una web de comercio electrónico

Catálogo Dinámico de Productos.

Proporciona a los visitantes (clientes) información organizada sobre sus


productos, y herramientas de búsqueda por diferentes criterios (precio, nombre,

131
Seguridad y Comercio Electrónico

categoría y otras características). La actualización del catálogo se lleva a cabo de


manera sencilla a través de un módulo de administración.

Catálogo Dinámico de Servicios.

Proporciona a los visitantes (clientes) información organizada sobre sus


servicios, y herramientas de búsqueda por diferentes criterios (precio, nombre,
categoría y otras características). La actualización del catálogo se lleva a cabo de
manera sencilla a través de un módulo de administración.

Carrito de Compras.

Permite al cliente tener control sobre los artículos que ha seleccionado para
su compra. Dichos artículos pueden ser removidos o agregados al carrito en
cualquier momento.

Sistemas Electrónicos de Pago.

Mediante este módulo, se habilita al sitio web para recibir pagos


electrónicos, mediante tarjeta de crédito, o depósito bancario de forma segura.
Incluye la interfaz con el catálogo de productos, carrito de compras y sistemas
bancarios. Se utiliza seguridad SSL y SET para evitar fraudes electrónicos.

Sistema de Control de Órdenes.

Este módulo permite tener un eficiente control sobre los pedidos que se
reciben en el sitio web, proporcionando información importante como el estatus
del pedido, cuando fue pagado, entregado, etc. Además, permite tener historiales
de transacciones por cliente, con lo que se conocerá más acerca de la constancia y
gustos de los compradores.

132
Seguridad y Comercio Electrónico

3.5.6. Conclusión

Con las avanzadas tecnologías, se han sobrepasado las barreras comerciales


y en estos momentos "cualquiera" puede tener acceso a un bien o servicio sin
importar donde se encuentre, el comercio electrónico ha acercado al consumidor,
aminorando las distancias y reduciendo los costos considerablemente, y así
colaborando al desarrollo de los países y sus empresas.

Existen reglamentos y leyes aceptados mundialmente creados por la OMC


que favorecen y protegen tanto a empresas como usuarios. Cada país, por su parte,
ha desarrollado y adaptado estas leyes a sus necesidades y requerimientos
socioculturales, facilitando de este modo el comercio electrónico de cada región.

A lo largo de este proyecto se ha podido constatar la importancia del


comercio electrónico, el impacto que ha generado mundialmente tanto para
empresarios como para el colectivo general y lo importante de este medio para el
desarrollo de las Pymes. Además se ha logrado definir las estrategias de las que se
pueden valer las empresas para desarrollarse en el mismo.

Un sitio web de comercio electrónico es una ampliación de un negocio en


constante evolución, los sitios web se han creado para aprovechar las inversiones
existentes en las empresas para así usarlas junto con la tecnología y planificar el
futuro.

El primer paso para convertirse en una empresa del comercio electrónico es


descubrir cómo actúa la competencia, cómo se debe comprender la propia
empresa, el sector y las perspectivas futuras

Una estrategia de comercio electrónico eficaz debe abarcar todas las fases
del proceso de venta: desde crear una concientización, un interés y un deseo,
pasando por la venta, hasta el servicio y el soporte.

133
Seguridad y Comercio Electrónico

El comercio electrónico, sin lugar a dudas, ha permitido ampliar los canales


tradicionalmente usados para proveer de bienes y servicios a un mercado de
consumidores en crecimiento. Esto no puede ser obviado por quienes intenten
competir por captar parte de estos consumidores y colocar sus productos.

134
Seguridad y Comercio Electrónico

Ejemplo práctico de una empresa


de comercio electrónico

135
Seguridad y Comercio Electrónico

4. Ejemplo práctico de una empresa de comercio electrónico

4.1. Plan de negocio.

Nombre de la empresa: Muziko

Descripción: Tienda online para instrumentos de música clásica.

Misión: “Si lo necesitas, se consigue”.

4.1.1. Resumen ejecutivo

Muziko es una tienda especializada en la venta de material dedicado a la


música clásica, tales como instrumentos o accesorios relacionados. Hay tres ejes
principales sobre los que gira el proyecto (siendo diferenciadores los dos
primeros):

 Se pretende ofrecer un servicio sencillo y económico de adquirir


instrumentos o accesorios para toda la gente relacionada con el mundo de la
música clásica.

En correspondencia con “La misión” (indicada con anterioridad), la intención


es satisfacer al mayor número de usuarios. Para ello se facilitará una sección donde
el usuario podrá ponerse en contacto fácilmente con la tienda en caso de no
encontrar algún accesorio. De este modo, a raíz de las necesidades de los
miembros, se irá configurando un extenso abanico de productos según las
solicitudes que se tramiten. El objetivo será: “Si lo necesitas, se consigue”. Esto será
posible gracias a una estrecha y larga relación ya existente entre Muziko y los
principales proveedores del sector.

136
Seguridad y Comercio Electrónico

Un novedad que ofrece Muziko al usuario es la de poder crear una


comunidad de usuarios. Sólo será necesario el registro previo gratuito en el sistema
como usuario, indicando el perfil de la persona (profesor, oboísta, etc.). Esto
permitirá fidelizar al usuario y poder ofrecerle directamente al email ofertas
personalizadas. Además, al registrarse un usuario, éste podrá también subir su
currículo, permitiendo crear así, una bolsa de empleo online. Esta función no
tendrá ningún coste por pertenecer a la comunidad, y los datos tratados se harán
de forma confidencial, respetando en todo momento la Ley Orgánica de Protección
de Datos.

Adicionalmente, se ha realizado un esfuerzo centrado en una exhaustiva


estrategia de liderazgo en costes. Como se puede leer en este plan, todas y cada
una de las áreas (excepto la dirección) se pretenden externalizar, obteniendo así la
oportunidad de seleccionar los agentes más eficientes del mercado en cada área,
consiguiendo una óptima eficiencia global y maximizando los recursos
disponibles. El resultado final es un proyecto con un presupuesto muy inferior al
de los competidores pero con una calidad equiparable.

4.1.2. Análisis y diagnóstico de la situación

4.1.2.1. Análisis del entorno general

El sector de la música clásica es un sector en auge en este país. Mientras que


antiguamente los músicos tenían que emigrar a otros países europeos (como
Francia o Alemania) para trabajar, cada vez más gente se dedica a este sector en la
actualidad en España. Así pues, un sector como éste que está en pleno crecimiento,
necesita un servicio estable y fiable que le pueda proporcionar los materiales
necesarios para el desempeño de esta afición y/o profesión. Dentro del sector, y
según el subsector (se corresponderá con el tipo de instrumento musical), se

137
Seguridad y Comercio Electrónico

encuentran diversas necesidades. Algunos de estos productos son indispensables


para tocar un instrumento de diario, como son las cañas para algunos instrumentos
de viento, de las que se pueden llegar a utilizar dos en un mes.

Debido a esta gran y continua necesidad de los músicos, es necesario un


servicio rápido y eficaz. Además, también estará disponible la venta de material de
apoyo de todo tipo, tales como partituras y DVD’s o CD’s especializados (difíciles
de encontrar en el país). Internet ha hecho posible este factor, permitiendo
conseguir un servicio en tienda o domicilio para todo tipo de personas.

4.1.2.2. Análisis del entorno específico – 5 fuerzas de Porter

a) Barreras de entrada.

Dentro del panorama de Internet, se puede considerar que un


negocio de música con un repertorio tan grande de productos
(generalmente caros) supone unas relativamente fuertes barreras de
entrada, ya que la inversión requerida (del orden de 200.000 € para los
competidores) y los recursos necesarios superan ampliamente la media de
los sitios web que actualmente se estiman en funcionamiento.

Sin embargo no hay que olvidar que esto no supone un impedimento


para Muziko, que en la actualidad ya contaba con un servicio de tienda bien
establecido desde hace años. Esto va a permitir un negocio nuevo apoyado
en otro bien consolidado, con lo cual el riesgo a correr será mucho menor.

b) Competencia.

El mercado todavía es incipiente y la competencia relativamente


reducida. Ello permite amplios márgenes brutos que rondan el 80% en la

138
Seguridad y Comercio Electrónico

actualidad. A continuación se incluye un breve análisis sobre algunos de los


mayores competidores.

Principales competidores web:

Uwe Henze (www.uwe-henze.de)

Esta tienda online lleva mucho tiempo establecida y tiene gran éxito
en toda Europa. El problema que existe es que se trata de una tienda
únicamente para instrumentos de viento. Además, al ser alemana, los gastos
de envío son más caros y no está disponible un posible servicio en tienda
con Muziko. También, a diferencia de Muziko, hay que tener en cuenta que
no ofrece ningún servicio de comunidad, tales como sugerencias, bolsa de
empleo/contactos, etc.

139
Seguridad y Comercio Electrónico

ZasMusic (www.zasmusic.com)

Caso muy similar al anterior. En este caso se trata de una tienda


valenciana especializada sólo en instrumentos de viento y sin servicio en
tienda. Esto hace que si algún cliente quiere ver primero algún material o
instrumento antes de comprarlo no podrá. Tampoco ofrece ningún tipo de
servicio adicional a usuarios registrados.

Principales competidores en tienda:

Hazen (www.hazen.es)

A pesar de tener página web, no ofrece servicio a domicilio y se trata


de una única tienda en Madrid. Muziko, a parte del servicio a domicilio,
también cuenta con 3 tiendas repartidas entre las capitales de las
comunidades con mayor demanda musical (Madrid, Barcelona, Valencia).
De este modo, aparte de poder vender por internet y de ofrecer los servicios
característicos que la web permite (comunidad de usuarios, etc.) también

140
Seguridad y Comercio Electrónico

hace posible la venta cara a cara, la única posibilidad para muchos


compradores hoy en día. El hecho de tener 3 tiendas repartidas entre los
núcleos musicales más importantes del país, garantiza el éxito de la venta
directa.

Mundimúsica Garijo (www.mundimusica.es)

Este competidor sería el más semejante a Muziko, aunque con


algunas carencias. Para empezar, sólo dispone de servicio en tienda y posee
una única tienda en Madrid. La web, sin embargo, ofrece algunos servicios
adicionales como noticias, galería de fotos o descargas de programas de
humor. Pese a eso, no ofrece ningún tipo de servicio de foro, comunidad de
usuarios, sugerencias o bolsa de empleo/contactos. Muziko continuaría
siendo muy superior en cuanto a servicios que ofrece.

141
Seguridad y Comercio Electrónico

c) Clientes

Al tratarse de productos en su mayoría de consumo habitual (excepto


los instrumentos, que se compran con una frecuencia de cada 4 años) los
clientes suelen mostrar fidelización a las tiendas una vez empiezan a
comprar en ella. Como Muziko ofrece una variedad de servicios únicos en el
mercado y pretende hacerse publicidad en los distintos conservatorios del
país (se posee una gran cantidad de contactos como profesores y
profesionales), se prevé que muchos de los clientes habituales en tienda
pasen a utilizar la web, y que en un plazo de 2 años, el número de ventas de
Muziko se amplíe en un 120%.

d) Proveedores

Hay un gran número de proveedores dentro del panorama musical,


cada uno de ellos especializado generalmente en un instrumento concreto.
Para ello se cuenta con un ya consolidado contacto con los principales
proveedores, permitiendo precios muy competitivos y adaptándonos a los

142
Seguridad y Comercio Electrónico

requisitos del mercado. En caso de la existencia de sugerencias para nuevos


productos, se buscarán los proveedores adecuados que ofrezcan la mayor
relación calidad-precio, estableciendo un estrecho vínculo comercial para
siguiente ocasiones. De este modo se conseguirán las mejores ventajas
económicas.

e) Productos sustitutivos

Debido a que se trata de un servicio único e inexistente hasta el


momento (ya se analizó a los competidores directos e indirectos con
anterioridad) no se encuentran productos sustitutivos únicos, aunque si se
podría conseguir este servicio con la unión de otros muchos, como un
servicio en tienda, otro online, un foro y una red de contactos. El uso de
tantos servicios simultáneos no suele ser bien aceptado por los
consumidores, con lo cual la existencia de una alternativa factible se hace
muy difícil.

4.1.2.3. Análisis interno

Hay muchas tiendas de instrumentos musicales en Internet ofreciendo


precios competitivos, con la contraposición de tener que pagar elevados gastos de
envío por tratarse de elementos pesados. También hay muchas tiendas físicas que
no ofrecen un servicio a domicilio, obligando a gente muy ocupada o que viva
alejada, tener que desplazarse para comprar materiales secundarios como cañas o
palas. Sin embargo, parece que no hay ningún servicio que ofrezca las ventajas de
ambas modalidades de forma competitiva. El objetivo es ofrecer dicho servicio,
permitiendo también, hacer pedidos online pero con la posibilidad de irlos a
recoger a una tienda y ahorrándose de ese modo los gastos de envío
correspondientes.

143
Seguridad y Comercio Electrónico

Adicionalmente, se pretende crear una comunidad de música. Los


diferentes usuarios podrán estar vinculados con sus amigos o conocidos, de forma
que puedan conocer qué perfiles o currículos hay, además de intercambiar
consejos, opiniones o noticias de conciertos. El objetivo es recrear en Internet la
condición social de la música.

Si se consigue este objetivo, el apego de los usuarios al servicio será elevado,


pues aunque un competidor decida también ofrecer tienda online y física a la vez,
el usuario permanecerá donde su comunidad de amigos/profesionales/alumnos y
conocidos esté asentada. Es el mismo caso que se da en España con MSN
Messenger y otros servicios como Yahoo Messenger. Todos los servicios de
mensajería instantánea tienen similares características, sin embargo los usuarios
tienen elevada fidelidad a MSN Messenger. La razón es simple: “Uso MSN
Messenger porque mis conocidos lo usan y es la forma de relacionarme con ellos”.

144
Seguridad y Comercio Electrónico

4.1.2.4. Diagnóstico cualitativo

Análisis DAFO

Oportunidades Amenazas
Mercado de rápido crecimiento. Bajada de los precios de los
No hay gran competencia a nivel competidores.
global. Aparición de otros servicios
Concienciación de la sociedad y similares.
medidas por parte de las
administraciones públicas.

Fortalezas Debilidades
Ofrecer tienda online a la vez Puede que se abuse de los
que física. servicios alternativos gratuitos
Modelo sólido de fidelización. de la web, sin que los usuarios
Comodidad para el usuario compren ningún producto.
frente a las tiendas habituales. Podría no ser interesante para el
Mayor abanico de medios de usuario la comunidad musical.
pago que la competencia: tarjeta Falta de experiencia en el área de
de débito, crédito y pago por música online por parte del
Paypal. fundador.

145
Seguridad y Comercio Electrónico

4.1.3. Producto

a) Descripción del producto

El producto consiste en ofrecer un servicio alternativo a la tienda


física, permitiendo los pedidos vía Internet, ofreciendo comodidades de
pago como Paypal. Se venderá todo tipo de material necesario por el
usuario. Cualquier producto no disponible, podrá se encargado sin coste
adicional poniéndose en contacto con el personal de la tienda. Los
productos disponibles serán instrumentos, accesorios para instrumentos,
partituras y multimedia (CD’s y DVD’s).

Todo esto vendrá acompañado por la inclusión de una comunidad


musical en la que los amigos y conocidos o profesionales y profesores se
relacionaran para encontrar nuevos perfiles musicales o currículos,
comunicarse con relación al tema musical y recomendar actos, conciertos o
productos a otros usuarios.

Muziko estará pendiente de las opiniones sobre productos de los


usuarios, retirando en su defecto aquellos productos que sean de mala
calidad para los compradores. El objetivo es la mayor calidad al mejor
precio.

La mayoría de productos (accesorios musicales) son de consumo


corriente, con alta frecuencia de compra (1 vez al mes) y de precio unitario
medio de 10€. Sin embargo los márgenes son elevados debido a la poca
competencia actual.

b) Necesidad que satisface

La comunidad musical requiere de material para poder llevar a cabo


su profesión/afición.

146
Seguridad y Comercio Electrónico

c) Ciclo de vida del producto

El servicio web se encuentra en la etapa de lanzamiento, y el de


tienda en etapa de maduración.

4.1.4. Objetivos y estrategias

4.1.4.1. Establecimiento de objetivos

Los principales objetivos son dos:

a) Superar las ventas actuales en un 120% en un periodo de 24 meses.

b) Conseguir una media de 5 registros de usuarios diarios durante el primer


año. De este modo se garantiza un crecimiento de la comunidad de usuarios
piramidal, de modo que crezca ampliamente durante el segundo año.

4.1.4.2. Formulación de estrategias

Se desea aplicar una estrategia corporativa de crecimiento, particularmente,


de penetración en el mercado, pues la presencia actual de Muziko en la web es
nula.

En cuanto a la estrategia de negocio, se pretende desarrollar una estrategia


competitiva de bajo coste debido al aprovechamiento de economías de escala a
través de proveedores ya conocidos y también una estrategia competitiva de
diferenciación, al ofrecer nuevos servicios incorporados al producto. El producto
no sólo consiste en material musical sino también en una red social cuyo epicentro
es la música.

147
Seguridad y Comercio Electrónico

También se va a aplicar una estrategia de comercialización mediante la cual


los propios usuarios se encargaran de opinar y valorar de forma indirecta el
producto. Enviaran invitaciones a sus conocidos para que se unan a su comunidad
musical y además se les proporcionará ofertas en exclusiva según su perfil y
frecuencia de compra, aumentando así la exposición de la marca.

4.1.5. Plan de marketing

4.1.5.1. Política de producto

La política del producto en este caso está enfocada al cambio psicológico: las
tiendas musicales existen desde hace mucho tiempo (tanto las físicas como las
online), sin embargo, la intención es que el usuario lo perciba como un cambio
radical que implica que podrá disfrutar de todas las ventajas que ofrece una tienda
online con las que ofrece una tienda física, además de todos los privilegios que
tiene estar registrado en la web. Esto principalmente proporciona comodidad y
facilidades al usuario que serán percibidas instantáneamente, lo que fortalecerá la
imagen del producto como novedad.

La marca elegida es Muziko.es, debido a que es un dominio genérico que se


asocia inmediatamente con el producto que se vende. También es fácil de leer,
escribir y pronunciar para usuarios de cualquier nacionalidad (no sólo usuarios de
habla española). Esto permitirá en un futuro próximo la extensión a otros países,
sobre todo europeos.

4.1.5.2. Política de distribución

Se usará venta directa a través del canal online o a través del canal físico (la
tienda correspondiente). Un usuario, si vive cerca de una tienda y quiere ahorrarse

148
Seguridad y Comercio Electrónico

los gastos de envío, podrá aprovechar los precios ventajosos de la web (en
ocasiones habrá ofertas exclusivas para la compra online) y venir a recoger el
pedido.

4.1.5.3. Política de comunicación

La política de comunicación va a consistir en provocar que sea el propio


usuario el que invite a sus conocidos a su comunidad musical. Esto se conseguirá
ofreciendo ciertos privilegios en función del tamaño de la comunidad musical de
cada usuario; así se premiará al usuario según tenga más miembros en su
comunidad, por ejemplo ofreciendo ofertas especiales u otro tipo de descuentos y
promociones similares. De esta forma, se obtendrá un “marketing viral” que hará
que el producto se dé a conocer rápidamente de la mano de gente de confianza de
los usuarios. Un ejemplo del funcionamiento de este tipo de marketing es el sitio
hi5.com, que obtuvo excelentes resultados de esta forma. También MySpace.com
usó este tipo de marketing con gran éxito, siendo actualmente el 4º sitio más
visitado del mundo (fue fundado a finales de 2003 y en 2005 los fundadores lo
vendieron por 580 MM de dólares).

Por último, se ha considerado el llevar a cabo una campaña de


comunicación entre las principales escuelas y conservatorios de música del país. Se
posee ya de una amplia agenda de profesores y profesionales, clientes habituales
de la tienda física. Estos serán los encargados de promocionar la tienda web y la
comunidad musical entre sus contactos y alumnos, ofreciendo a cambio una serie
de ventajas y descuentos por su labor. La inversión estimada pues, será muy baja
aunque no por ello menos eficaz. Se ha optado por esta estrategia de comunicación
en vez de la inversión en publicidad directa debido a que Muziko no pretende
hacer un gran desembolso inicial para el lanzamiento del nuevo servicio.

149
Seguridad y Comercio Electrónico

4.1.5.4. Localización

Muziko ya posee 3 tiendas en España repartidas entre los núcleos más


importantes de música en el país: Madrid, Barcelona y Valencia. La sede principal,
sin embargo, se encuentra en Madrid, y será desde aquí donde se gestionará todos
los contenidos y pedidos de la página web. El resto de tiendas, sin embargo,
también podrá recibir pedidos, pero la atención requerida para la web será menor.
Se pretende de este modo centralizar el negocio de la web y derivar la menor carga
de trabajo posible en las sucursales secundarias.

4.1.6. Plan de recursos humanos

Dado que los primeros tres meses no se espera una actividad muy
importante, sólo será necesario un desarrollador encargado del mantenimiento,
trabajando una jornada laboral de 7 horas de 9 a 18 horas. Será el encargado de
desarrollar la web, solucionar las incidencias y de ponerla al día con la ayuda de
los dependientes de la tienda actuales. Además, deberá familiarizar al personal de
la tienda con la web. El objetivo es que en el plazo de 6 meses, todos los
encargados de las tiendas sean capaces gestionar la web por sí solos. De todos
modos, a partir de ese plazo inicial de 6 meses, se contará con la ayuda de otra
persona con una jornada reducida, que se encargue de tramitar los pedidos de la
web, de personalizar ofertas, de observar y estudiar las preferencias de los
usuarios, etc. A medida que el tráfico de la web aumente, esta persona aumentará
las horas laborales y se considerará la contratación de más personal.

150
Seguridad y Comercio Electrónico

4.2. Arquitectura.

Esta fase tiene como fin el definir las posibles soluciones de la arquitectura
que consigan satisfacer tanto los requisitos como las restricciones del diseño. Para
ello se estudiaran tanto las distintas plataformas web que se pueden utilizar, como
el distinto software a implantar como tienda de comercio electrónico.

4.2.1. Plataforma web

La plataforma web es el lugar que contendrá la aplicación de comercio


electrónico, y la arquitectura a utilizar será una arquitectura web de aplicaciones.
Con el fin de permitir la reutilización de la plataforma en un futuro, la arquitectura
se divide en tres niveles:

1. Nivel de presentación: Lo forma la aplicación de comercio electrónico y es


responsable de la adquisición de datos y la presentación del mismo al
usuario. Se ejecuta en el cliente.

2. Nivel de negocio: Formado por el código de la aplicación de comercio


electrónico. Se ejecuta en el servidor web.

3. Nivel de datos: Formado por el código de gestión del almacenamiento y


recuperación de los datos. Se ejecuta en el servidor de base de datos.

Es decir, se utilizará una arquitectura web compleja en tres niveles. Según el


nivel de la aplicación, se tienen las distintas alternativas:

Nivel de presentación (Cliente)

Debido a que la plataforma se presenta como un servicio web, el cliente


podrá ser cualquier navegador web. El navegador traducirá el código HTML de las
páginas y presentará los resultados al nivel de negocio en el servidor web.

151
Seguridad y Comercio Electrónico

Nivel de negocio (Servidor web)

Es un programa que implementa el protocolo http y se ejecuta continuamente


en un ordenador, manteniéndose a la espera de peticiones por parte de los clientes.
El servidor responde al cliente enviando el código HTML de la página. El cliente,
con el código, lo interpreta y muestra en pantalla. A continuación se detalla la
arquitectura elegida para implementar el servidor web:

• Apache: Es un servidor HTTP OpenSource para plataformas UNIX,


Windows, Macintosh y otras.

• PHP: Es el lenguaje de programación interpretado, diseñado originalmente


para la creación de webs dinámicas. Esta diseñado especialmente para
desarrollo web.

Se ha elegido esta arquitectura básicamente por dos razones: por su gran


aceptación en Internet y toda la documentación que existe sobre ella, y por ser
software libre, haciendo que incurra con un coste nulo pero proporcionando un
servicio profesional.

Nivel de datos (Servidor de base de datos)

Es el denominado Sistema Gestor de Base de Datos (SGBD), es un software


específico dedicado a servir de interfaz entre la base de datos, el usuario, y las
aplicaciones. Se compone de un lenguaje de definición de datos, de un lenguaje de
manipulación de datos y de un lenguaje de consulta.

A continuación se detalla el SGBD elegido:

• MySQL: Es uno de los servidores de base de datos más popular y


conocido en el mundo que destaca por ser software libre,
proporcionando rapidez, estabilidad y facilidad de desarrollo.

152
Seguridad y Comercio Electrónico

4.2.2. Aplicaciones de comercio electrónico

Para la realización de este apartado, cuyo objetivo es la elección del sistema


para la implantación de la tienda on-line, se ha realizado un estudio previo de
evaluación de las distintas alternativas existentes en el mercado.

VirtueMart

VirtueMart es una solución de e-commerce OpenSource que se integra con


el gestor de contenido Joomla y Mambo. Ambos sistemas están desarrollados en
un ambiente PHP y MySQL.

Es fácil de implementar (se instala como componente de Joomla) y al estar


integrando con un manejador de contenido lo hace una solución bastante robusta
en comparación con otros sistemas. Entre sus características están:

• Productos y categorías ilimitadas.

• Posibilidad de manejarlo simplemente como un catálogo y desactivar las


funciones de tienda en línea.

• Los productos pueden asignarse a múltiples categorías.

• Posibilidad de vender productos descargables (Mp3, películas, vídeos, etc.).

• Maneja descuentos por productos.

• Manejo de inventario.

• Administrar tarifas de envíos.

• En cuanto al manejo de pagos puede utilizar los siguientes métodos:


2Checkout, PayPal (IPN), Payflow Pro, Authorize.net (AIM) y eCheck.

153
Seguridad y Comercio Electrónico

ZenCart

Zen Cart es otra solución gratuita para el desarrollo de tiendas en línea. Está
desarrollado por un grupo de propietarios de tiendas, programadores y
diseñadores. Entre sus características están:

• Fácil instalación.

• Múltiples ventas y descuentos.

• Múltiples formas de desplegar la información.

• Sistema de plantillas XHTML.

• Páginas extra ilimitadas.

• Incluye un administrador de banners.

• Múltiples opciones de envío.

• Múltiples opciones de pago.

• Manejo de boletines.

OpenCart

Es un sistema relativamente nuevo pero que no debe ser dejado de lado, ya


que al ser OpenSource el crecimiento en cuanto a características puede ser
exponencial. Entre las características actuales están:

• Fácil uso.

• Fácil de indexar por buscadores.

• Panel de administración amigable al usuario.

154
Seguridad y Comercio Electrónico

• Multilenguaje.

• Posibilidad de cobro por PayPal o Money Order.

• Envío de boletines.

• Presentación de informes.

Magento

Magento es una solución OpenSource para la creación de tiendas virtuales.


El sistema tiene como máxima resultar amigable al usuario, tanto en la parte de
catálogo como en la parte de administración. Aun está en fase beta pero es posible
utilizarlo sin ninguna restricción, y en un futuro tenerlo en cuenta para poder
implementarlo. Está desarrollado en PHP 5 y MySQL. Entre sus características
están:

• Optimización para buscadores (SEO).

• Envío a múltiples direcciones.

• Características de marketing.

• Definición de reglas para los impuestos.

• Multilenguaje.

• Múltiples formas de cobro.

• Incorpora un manejador de contenido CMS.

155
Seguridad y Comercio Electrónico

FatFreeCart

FatFreeCart es la versión gratuita del sistema e-Junkie. Se puede integrar en


un sitio web o blog sin requerir ningún tipo de registro, ya que trabaja con PayPal
y Google Checkout. Además soporta diversas clases de productos, envíos y tarifas
de impuestos.

4.2.3. Solución elegida: osCommerce

Para la realización de este proyecto se ha realizado un estudio previo (ver


apartado 4.2.2) sobre los CMS´s (Content Management System) más populares que
contienen un módulo para comercio electrónico o son diseñados especialmente
para esto, verificando que estos controladores permitan un entorno confiable,
eficaz y potente, desde el manejo de bases de datos hasta la modificación de una
interfaz segura y de fácil uso para el desarrollo del proyecto.

osCommerce es un proyecto OpenSource que se ha posicionado como uno


de los CMS´s más utilizados en el mercado europeo para soluciones del tipo e-
commerce, contando con aproximadamente 4351 tiendas en línea. Esta herramienta
se ha convertido en una de las mejores soluciones de código abierto existentes para
la creación de tiendas virtuales, que además de ser gratuita, es sencilla de
administrar y adaptar.

osCommerce permite instalar una tienda virtual en cuestión de minutos, al


ser sistema en código abierto, ofrece una serie de ventajas, como que es gratuito,
que está en constante mejora, que cuenta con una gran soporte en los foros de
discusión, y finalmente, que si se encuentra algún fallo, es posible reportarla al
equipo de desarrollo y corregirla rápidamente.

156
Seguridad y Comercio Electrónico

Así pues, se ha optado por osCommerce por ser una solución fácil, rápida y
segura al comercio electrónico, por las características, requerimientos técnicos y
ventajas que ofrece, así como su implementación en un servidor local.

Remarcar también el hecho de que se trata de un software gratuito


licenciado bajo GPL. Es importante considerar los aspectos más relevantes de dicha
licencia, que especifican lo siguiente:

• Libre distribución. No debe haber restricciones para vender o distribuir el


software.

• Código fuente. El software debe incluir el código fuente y debe permitir


crear distribuciones compiladas siempre y cuando la forma de obtener el
código fuente esté expuesta claramente.

• Trabajos derivados. Se debe permitir crear trabajos derivados, que deben


ser distribuidos bajo los mismos términos que la licencia original del
software.

• Integridad del código fuente del autor. Se debe permitir la distribución del
código fuente modificado, aunque puede haber restricciones para que se
pueda distinguir el código fuente original del código fuente del trabajo
derivado.

• No discriminar personas o grupos. La licencia no debe discriminar a


ninguna persona o grupo.

• No discriminar ningún tipo de uso del programa. La licencia no debe


impedir a nadie el uso del programa en una determinada actividad. Por
ejemplo, no puede impedir el uso en una empresa, o no puede impedir el
uso en investigación genética.

157
Seguridad y Comercio Electrónico

• Distribución de la licencia. Los derechos que acompañan al programa


deben aplicarse a todo el que redistribuya el programa, sin necesidad de
licencias adicionales.

• La licencia no debe ser específica a un producto. Los derechos que da la


licencia no deben ser diferentes para la distribución original y para la que
funciona en un contexto totalmente diferente.

• La licencia no debe ir en contra de otro software. La licencia no debe


restringir otro software que se distribuya con el mismo. Por ejemplo, la
licencia no debe indicar que todos los programas distribuidos
conjuntamente con él deben ser OpenSource.

Es pues íntegramente OpenSource, lo cual permite que esté constantemente


actualizado por la comunidad, añadiendo todo tipo de contribuciones como
distintos módulos de pago, de envío, contribuciones para el diseño, plantillas,
lectores RSS, etc.

Hace uso de Apache como servidor web, PHP como lenguaje, y MySQL
como base de datos. Está formado principalmente por dos partes:

• El Catálogo de Productos. Es la parte que ven los clientes, la tienda virtual


en sí.

• El Módulo de Administración. Donde se puede mantener la propia tienda


virtual, actualizando productos, insertando nuevas ofertas, categorías,
idiomas, monedas, consultar los pedidos o los clientes.

La instalación básica de osCommerce, tiene unas características por defecto,


que luego se pueden modificar bien por administración o con ayuda de
contribuciones, como nuevos módulos de pago (e-pagado), de envío (Seur), etc.

158
Seguridad y Comercio Electrónico

Estas son las características principales de la instalación de osCommerce:

Generales

• Los pedidos, clientes y productos se almacenan en una base de datos de fácil


consulta vía administración-web.

• Los clientes podrán comprobar el histórico y el estado de sus pedidos una


vez registrados

• Los clientes pueden cambiar sus datos de perfil de usuario desde su


apartado cliente.

• Múltiples direcciones de envío por usuario, para regalos por ejemplo

• Búsqueda de productos.

• Posibilidad de permitir a los usuarios valorar los productos comprados,


además de comentarlos.

• Posibilidad de implementar un servidor seguro (SSL).

• Puede mostrar el número de productos en cada una de las categorías.

• Lista global o por categoría de los productos más vendidos y más vistos.

• Fácil e intuitiva navegación por categorías.

• Plataforma multi-idiomas, por defecto estarán disponibles el español, inglés


y alemán.

Producto

• Relaciones dinámicas entre productos.

• Descripciones de productos basadas en HTML.

159
Seguridad y Comercio Electrónico

• Generación automática de productos especiales.

• Controla la posibilidad de mostrar o no en la tienda virtual los productos


agotados.

• Posibilidad de ofrecer a los usuarios la suscripción a una newsletter de


novedades.

Pagos

• Medios de pago offline (transferencias, cheques, ingresos, etc.).

• Muchos medios de pago online (E-Pagado, PayPal, TPV virtual, etc.).

• Posibilidad de deshabilitar algunos medios de pago según la zona


geográfica del usuario.

• Posibilidad de añadir el IVA por zonas geográficas y por productos, ya que


por ejemplo en Nigeria no tienen IVA

Envíos

• Precios de envío por peso, destino y precio.

• Precios reales disponibles en tiempo real para algunos operadores (UPS,


FedEx).

• Envío gratuito según importe del pedido y destino

• Posibilidad de deshabilitar determinados servicios de envío en función de


zonas geográficas.

160
Seguridad y Comercio Electrónico

4.3. Guía de navegación.

Tal y como se ha comentado en el apartado anterior, osCommerce provee a


las páginas web de dos módulos principales:

• Catálogo: este módulo corresponde a la parte pública de la web y posee


todas las funcionalidades que pueden desenvolver los usuarios que
quieran comprar en ella. En este módulo se encuentra el catálogo de
productos. Así pues, es la parte visible por todos los perfiles.

• Administración: este módulo es el motor que dirige toda la web. Se


encarga de diseñar y gestionar el contenido visible en la web. Permite
infinidad de variaciones de la distribución original y le sirve al
administrador como control y manejo de la tienda.

4.3.1. Administración

Para entrar en el módulo de administración es necesario acceder al


directorio “admin” del raíz. Esto se hace escribiendo en el navegador web la
siguiente dirección: http://www.tienda.muziko.es/admin. A continuación
aparecerá una página solicitando el nombre de administrador y su contraseña. Una
vez validado, conducirá a la página online de herramienta de administración.

161
Seguridad y Comercio Electrónico

Tan sólo entrar, se muestran las últimas ventas realizadas en el sistema y el


estado de estas compras.

En el menú lateral se observan todas las opciones posibles de


administración. A continuación se detallará cada una de ellas:

Configuración

Es la opción más extensa ya que permite modificar cantidad de detalles.


Permite, entre otras cosas, las siguientes acciones:

• Añadir o modificar administradores.

• Añadir la información relativa a la tienda (nombre de la tienda, nombre del


propietario, su email, etc.)

162
Seguridad y Comercio Electrónico

• Permite establecer valores máximos y mínimos para los distintos campos


rellenables de la web, como cuando se inscribe un usuario.

• Establecer los valores de configuración que fijan el tratamiento que realizará


osCommerce de las imágenes que se muestran en la tienda.

• Indicar que campos deber aparecer en el alta de clientes.

• Establecer los valores a considerar para el empaquetado y envío físico de los


productos, como por ejemplo el peso máximo que la tienda está dispuesta a
enviar a un cliente. Estos valores son usados por los módulos de envío
instalados en la tienda para calcular los gastos de envío.

• Etc.

Catálogo

El catálogo de osCommerce contiene el detalle de los productos que se


venden en la tienda virtual, siendo quizás una parte muy importante de este
paquete de software la facilidad que ofrece para definir los atributos adicionales
que se quieran para los productos. Es decir, osCommerce no ofrece una plantilla de
atributos estáticos a rellenar para cada producto, sino que permite que el
administrador defina sus propios atributos de forma personalizada acorde al tipo
de artículos que venda.

163
Seguridad y Comercio Electrónico

Módulos

Los módulos de osCommerce permiten definir los métodos de pago que


debe soportar la tienda virtual (contra reembolso, transferencia/cheque bancario,
tarjeta de crédito, PayPal, etc.), los gastos en función de los métodos de envío
(tarifa única, por artículo, tabla de tarifas, etc.) y el orden en que se deben totalizar
todos los importes para obtener el total definitivo a pagar por el cliente.

Clientes

Puede gestionar el listado de clientes registrados y pedidos realizados, así


como consultar distintos informes que proporcionan detalles del rendimiento de la
web desde el punto de vista de los productos expuestos en ella.

164
Seguridad y Comercio Electrónico

Zonas/Impuestos

Permite definir todos los tipos de impuestos que sean necesarios para cada
zona fiscal en la que vaya a operar la tienda virtual. Es en este apartado de la
configuración donde se declaran dichas zonas y sus impuestos asociados.
Adicionalmente permite realizar el mantenimiento de los países y estados
(provincias) almacenados en base de datos.

Localización

Esta opción incluye la gestión de idiomas, monedas, y la configuración de lo


que significa cada estado de pedido.

Informes

Este apartado permite acceder a tres listados:

• Los más vistos: Muestra la lista de todos los productos ofrecidos en la web
junto con una cuenta de las veces en las que al menos un visitante de la web
ha entrado a ver el detalle de cada producto en concreto.

• Los más comprados: En este listado se pueden ver los productos junto con
una cuenta del número total de unidades vendidas de cada producto en
concreto. A diferencia de con el anterior, en este listado sólo se muestran los
productos para los que al menos se haya producido una pedido.

• Total por cliente: Este tercer listado muestra la suma del importe total de
todos los pedidos realizados por cada cliente individualmente en la tienda.
Sólo se muestran los clientes que al menos hayan realizado alguna vez un
pedido.

165
Seguridad y Comercio Electrónico

Se trata de una opción muy útil para hacer estadísticas de compra de la web
y sobre todo, para observar los productos más vendidos y por lo tanto, los que
requieran de más stocks o pedidos en tienda. Este apartado es el más importante
desde el punto de vista comercial.

Herramientas

El objetivo de cada una de estas herramientas es muy distinto entre sí,


mezclándose varias utilidades técnicas en su mayoría, como la realización de
copias de seguridad o gestión de los archivos del servidor, con las que tienen
influencia en el aspecto de la tienda, como la definición de los textos en distintos
idiomas o la configuración de banners.

166
Seguridad y Comercio Electrónico

4.3.2. Catálogo

Hasta el momento se ha visto únicamente la parte técnica y administrativa


de la web. Esta parte es importante, pero es el catálogo el que llega a los
consumidores directamente y es importante pues, combinar tanto la parte
administrativa como la técnica para destacar en un negocio tan competitivo como
Internet. A continuación se mostrará un recorrido por la tienda virtual.

Para empezar, hay que introducir la siguiente dirección en el navegador


web: http://tienda.muziko.es. Esta dirección conducirá a la página principal de la
tienda, mostrando a simple vista y de forma intuitiva, las posibilidades del
usuario.

167
Seguridad y Comercio Electrónico

168
Seguridad y Comercio Electrónico

Las posibilidades que se observan son:

1. Fácil cambio de idioma (al tratarse de un prototipo sólo se han contemplado


el castellano y el inglés).

2. Cambio de moneda (al tratarse de un prototipo sólo se han contempla el


euro y el dólar).

3. Apartado de dudas frecuentes e información.

4. Permite acceder a la cuenta personal. Es necesario un registro previo y es


obligatorio para la realización de cualquier compra.

5. Permite ver la “cesta de la compra”. Se muestran todos los accesorios


comprados hasta el momento y permite modificarla.

6. Permite realizar el pedido. Para poder completar la transacción es necesario


el registro en el sistema, o por el contrario, introducir un nombre de usuario
ya existente.

169
Seguridad y Comercio Electrónico

Si eres un nuevo cliente, es necesario rellenar una serie de datos


obligatorios con tal de formalizar la compra. Se debe informar al
consumidor que estos datos están protegidos mediante el cumplimiento de
la LOPD en todo momento.

Tanto si ya eres usuario registrado como si te acabas de registrar, la


web te conduce a una serie de páginas con tal de que el comprador
seleccione la dirección de entrega, la forma de envío (rápida o barata), la
forma de pago y finalmente, la confirmación.

170
Seguridad y Comercio Electrónico

El sistema enviará un email al usuario mostrando un recibo de la


compra a modo de garantía y finalizará la compra.

7. Categorías de productos. Se trata del catálogo propiamente dicho. En esta


tienda en particular, se divide en instrumentos, accesorios, partituras y
multimedia.

171
Seguridad y Comercio Electrónico

Al acceder a una categoría concreta, aparecerán las subcategorías,


que contendrán los productos en venta.

172
Seguridad y Comercio Electrónico

Finalmente, al seleccionar el producto deseado y pulsar comprar, éste


se acumulará automáticamente en la cesta personal de la sesión.

173
Seguridad y Comercio Electrónico

En el recuadro indicado, se observa el contenido de la cesta en cada


momento y muestra el valor total al que ascienden la compra. A partir de
aquí, se puede continuar con la compra o por el contrario, realizar el pedido.

8. Permite hacer una selección de productos por fabricante. Es una opción muy
útil cuando se requiere de un objeto con una marca concreta recomendada.

9. Finalmente, indicar que se pueden hacer búsquedas mediante palabras


clave de forma rápida y sencilla. También da la opción de realizar una
búsqueda avanzada indicando una serie de parámetros opcionales, como la
categoría o el precio.

174
Seguridad y Comercio Electrónico

Valoración económica y
planificación del proyecto

175
Seguridad y Comercio Electrónico

5. Valoración económica y planificación del proyecto

5.1. Valoración económica.

En este apartado se realizará la valoración económica del proyecto, es decir


de los costes tangibles asociados al mismo.

5.1.1. Coste de tecnología

Son aquellos costes que provienen de adquirir los equipos hardware para el
correcto funcionamiento del sistema, así como las licencias necesarias para utilizar
las herramientas empleadas en el proyecto.

Como se veía en el apartado de la arquitectura del sistema, los elementos


hardware y software que se van a adquirir son los siguientes: El servidor de base
de datos de Internet contiene la base de datos de la web de los usuarios inscritos
así como del administrador de la base de datos. Por lo tanto, se cuenta con un
servidor de Base de Datos montado, configurado y conectado a la red. El servidor
de base de datos con el que se cuenta es un servidor de Base de datos MySQL.

En la parte de desarrollo se precisará, como mínimo, de una estación de


trabajo AMD Athlon 64 con 2 GHz, 1 GB de RAM y 120 GB de disco duro. Además
se precisará de un servidor de desarrollo de las mismas características que las
estaciones de trabajo.

Los requisitos software se centrarán en las estaciones de trabajo, que


precisará de herramientas para el desarrollo web tales como Notepad++, de
herramientas de diseño como Gimp, así como de aplicaciones ofimáticas tales
como Microsoft Word, Adobe Acrobat, etc.

176
Seguridad y Comercio Electrónico

Se requiere una conexión a Internet de un mínimo de 1MB, debido a que se


el flujo de trabajo que pasará por Internet es considerable.

Se requiere acceso a servidores de correo que permitan el intercambio de


correo electrónico entre diferentes usuarios. La aplicación se ubicará en la Red
Pública Internet para que tenga acceso cualquier usuario.

Para ello se utilizará el dominio público: http://tienda.muziko.es.

ELEMENTO IMPORTE
Estación de trabajo 800 €
Servicio de host (incluye servidor y dominio) 30 €
Windows XP Profesional 250 €
Microsoft Office 2007 200 €
ADSL (40€/mes * 9 meses) 360 €
Total 1.640 €

5.1.2. Coste de implantación

Estos costes incluyen los costes de desarrollo, implantación, personal y


formación. En este caso, sin embargo, se despreciarán los costes de formación, al
tratarse de una aplicación sencilla e intuitiva de utilizar. En principio, sería
suficiente con la distinta documentación existente en la red para poder manejar la
aplicación correctamente.

FUNCIÓN Nº HORAS COSTE/HORA IMPORTE


Analista 200 40 8000
Programador 180 30 5400
Jefe de Proyecto 60 55 3300
Coordinador 5 65 325
Director de Proyecto 10 65 650
Total 17675 €

177
Seguridad y Comercio Electrónico

5.1.3. Costes operacionales

Incluyen los costes de explotación y mantenimiento. Dado que el sistema


lleva una gran carga de mantenimiento automático, tan solo será necesaria una
persona encargada del mantenimiento y que además podrá compaginar este
trabajo con el mantenimiento de otros sistemas. Se estima que los costes de
mantenimiento, así como la manipulación y control de la página web van a costar
aproximadamente unos 1.500 euros al año.

5.1.4. Costes totales

CONCEPTO COSTE
Costes de tecnología 1.640 €
Costes de implantación 17.675 €
Costes operacionales 1.500 €
20.815 €

178
Seguridad y Comercio Electrónico

5.2. Planificación temporal.

La planificación del proyecto se ha dividido en cinco etapas que


comenzaron en diciembre del 2007 y han finalizado el 1 de septiembre del 2008,
con un paréntesis de una semana en abril, de un mes en febrero y de un mes en
junio debido a los exámenes y de una semana en agosto por vacaciones.

Las cinco etapas cubiertas por el proyecto son las siguientes:

1. Consulta de fuentes (CF): recopilación de información, tanto a nivel


documental como empresarial.

2. Tratamiento de datos (TD): elaboración ejemplos, análisis de la situación y


estudio implantación.

3. Enmarcación, alcance y análisis (EAA): esta etapa corresponde al grueso


principal del proyecto. Se trata de la redacción de la memoria según los
temas enmarcados en el proyecto (índice) desde el apartado 1 hasta el 3
inclusive.

4. Tienda de comercio electrónico (TCE): elaboración de un prototipo real de


tienda online con un estudio de plan de negocio previo. Esta etapa se
encuentra reflejada en el apartado 4 de este proyecto. Cuenta pues con parte
de desarrollo y de redacción.

5. Conclusiones (CON): última fase de cierre en la cual se elabora el resumen,


conclusiones finales, valoración económica y planificación.

179
Seguridad y Comercio Electrónico

Planificación temporal

180
Seguridad y Comercio Electrónico

Trabajo futuro y conclusiones

181
Seguridad y Comercio Electrónico

6. Trabajo futuro y conclusiones

En este último capítulo se quiere destacar la importancia y el papel


desempeñado por el software libre en el proyecto durante toda su elaboración.

Este proyecto es un punto final en la formación académica del autor, y ha


representado un esfuerzo muy considerable, al tener que aprender diferentes
lenguajes y herramientas de programación que nunca se habían visto. Por otro
lado, y mucho más importante ha sido la elaboración del ciclo de vida de una
aplicación desde el principio hasta su fin.

Merece ser reconocida la tarea de búsqueda de documentación sobre las


maneras de implantar una tienda de comercio electrónico, encontrando las más
adecuadas, como se comenzaba diciendo, aquellas basadas en el software libre. Es
en estos entornos donde hay tanto número de elementos heterogéneos, y que
deben funcionar todos correctamente, donde realmente se observa su vital
importancia. Es aquí donde se necesita de toda la información existente.

El prototipo realizado de tienda virtual queda como prueba de la fácil


adaptación de cualquier tipo de catálogo y casuística distinta que puedan tener
otras tiendas con objetivos similares a Muziko, y que el software OsCommerce
puede proporcionar de una manera profesional y sencilla.

Por último parece necesario recordar la necesidad de no perder atención a


las distintas tecnologías que aparecerán y que puedan ser aplicadas al comercio
electrónico, quedando como muestra de la importancia de ello el análisis realizado
en los capítulos correspondientes de este proyecto.

182
Seguridad y Comercio Electrónico

Bibliografía

183
Seguridad y Comercio Electrónico

7. Bibliografía

[KHOS06] Khosrow-Pour, Mehdi; “ENCYCLOPEDIA OF E-COMMERCE, E-


GOVERMENT AND MOBILE COMMERCE”; Idea Group Reference,
2006.

[SAMO06] Samoilovich, Sergio; “CIBERNEGOCIOS”; Libro gratuito virtual,


2006.

[WELL03] Welling, Luke l; “GUÍA PRÁCTICA DE PROTECCIÓN DE DATOS”;


1ª Edición; Universidad Pontificia Comillas, 2003.

[CRUZ06] Daniel de la Cruz, Carlos David Zumbado; “DESARROLLO WEB


CON PHP Y MYSQL”; Anaya Multimedia, 2006.

Direcciones de Internet

• http://www.webadictos.com.mx/2007/10/28/sistemas-para-tiendas-en-
linea-e-commerce-gratuitos-y-opensource

• http://www.oscommerce.com/

• http://oscommerce.qadram.com/

Otros

• Documentación personal de Mateo Camps.

184
Seguridad y Comercio Electrónico

Anexos

185
Seguridad y Comercio Electrónico

8. Anexos

8.1. Seguridad en el comercio electrónico: ¿SSL o SET?.

Cuando se habla de la carrera que existe entre la investigación de nuevas


tecnologías, la comercialización de esas tecnologías y la creación de estándares que
impongan orden y velen por la interoperabilidad, hay que lidiar con dos caminos
paralelos pero que inevitablemente van unidos. El primero de ellos representa la
intensa actividad de investigación que sigue a un excitante o prometedor
descubrimiento, sentándose las bases para el futuro desarrollo de una nueva
tecnología. El segundo representa la actividad comercial de las compañías que
recogen el testigo de los investigadores y comienzan a lanzar al mercado productos
que incorporan la tecnología. Es un momento de dura competencia, en el que cada
compañía intenta hacerse con la mayor cuota de mercado posible, acudiendo a
soluciones que funcionen como sea y que rara vez pueden interoperar con
productos de la competencia.

Entre ambos caminos queda un hueco que debe ser aprovechado por los
organismos de creación de estándares con el fin de evitar la pelea que se avecina si
las empresas privadas trabajan sobre el tema sin coordinación. Si la
estandarización llega demasiado pronto, la tecnología puede no ser
suficientemente comprendida o resultar inmadura, por lo que los estándares serán
malos e inútiles. Si llega demasiado tarde, alguna compañía o varias habrán
impuesto sus propias soluciones, que habrán sido adoptadas como estándar de
facto del sector emergente. Nadie esperaba que Internet, o más concretamente, la
World Wide Web, creciera al ritmo exponencial de los últimos años. Sus
posibilidades para el comercio fueron rápidamente vislumbradas y en un tiempo
récord pasó a transformarse en teatro de transacciones comerciales, financieras y

186
Seguridad y Comercio Electrónico

de todo tipo. No se podía esperar a estándares que velaran por la rigurosa


implantación de todos los detalles. ¿Qué método resulta más cómodo e inmediato
para pagar? La tarjeta de crédito. ¿Al usuario le preocupa la seguridad? Usemos un
canal seguro para transmitir el número de la tarjeta. Fue así como en poco tiempo
se impuso como norma tácitamente acordada el emplear SSL para cifrar el envío de
datos personales, entre ellos el número de tarjeta.

SSL (Secure Sockets Layer) es un protocolo de propósito general para


establecer comunicaciones seguras, propuesto en 1994 por Netscape
Communications Corporation junto con su primera versión del Navigator. Hoy
constituye la solución de seguridad implantada en la mayoría de los servidores
web que ofrecen servicios de comercio electrónico. Para pagar, el usuario debe
rellenar un formulario con sus datos personales (tanto para el caso del envío de los
bienes comprados, como para comprobar la veracidad de la información de pago),
y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad,
titular). Esta arquitectura no exige que el servidor disponga de capacidades
especiales para el comercio. Basta con que se utilice como mínimo un canal seguro
para transmitir la información de pago y el comerciante ya se ocupará
manualmente de gestionar con su banco las compras. El canal seguro lo
proporciona SSL. Sin embargo, este enfoque, aunque práctico y fácil de implantar,
no ofrece una solución comercialmente integrada ni totalmente segura (al menos
en España, debido a que los navegadores utilizan 40 bits de longitud de clave,
protección muy fácil de romper). SSL deja de lado demasiados aspectos para
considerarse la solución definitiva:

• Sólo protege transacciones entre dos puntos (el servidor web


comercial y el navegador del comprador). Sin embargo, una
operación de pago con tarjeta de crédito involucra como mínimo tres
partes: el consumidor, el comerciante y el emisor de tarjetas.

187
Seguridad y Comercio Electrónico

• No protege al comprador del riesgo de que un comerciante


deshonesto utilice ilícitamente su tarjeta.

• Los comerciantes corren el riesgo de que el número de tarjeta de un


cliente sea fraudulento o que ésta no haya sido aprobada.

Son demasiados problemas e incertidumbres como para dejar las cosas


como están. Se hacía necesaria la existencia de un protocolo específico para el
pago, que superase todos los inconvenientes y limitaciones anteriores, motivo por
el que se creó SET.

El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por


Visa y MasterCard, con la colaboración de gigantes de la industria del software,
como Microsoft, IBM y Netscape. La gran ventaja de este protocolo es que ofrece
autenticación de todas las partes implicadas (el cliente, el comerciante y los bancos,
emisor y adquiriente); confidencialidad e integridad, gracias a técnicas
criptográficas robustas, que impiden que el comerciante acceda a la información de
pago (eliminando así su potencial de fraude) y que el banco acceda a la
información de los pedidos (previniendo que confeccione perfiles de compra); y
sobre todo gestión del pago, ya que SET gestiona tareas asociadas a la actividad
comercial de gran importancia, como registro del titular y del comerciante,
autorizaciones y liquidaciones de pagos, anulaciones, etc.

Entonces, si todo son alabanzas, ventajas y puntos fuertes, ¿por qué SET no
termina de implantarse? ¿Por qué no goza de la popularidad de SSL, si se supone
mejor adaptado? En primer lugar, su despliegue está siendo muy lento. Exige
software especial, tanto para el comprador (aplicación de monedero electrónico)
como para el comerciante (aplicación POST o terminal de punto de venta), que se
está desarrollando con lentitud. En segundo lugar, aunque varios productos
cumplan con el estándar SET, esto no significa necesariamente que sean

188
Seguridad y Comercio Electrónico

compatibles. Este es un problema que exige mayores esfuerzos de coordinación y


más pruebas a escala mundial para asegurar la interoperabilidad. Sus puntos
fuertes son también su debilidad: la autenticación de todas las partes exige rígidas
jerarquías de certificación, ya que tanto los clientes como comerciantes deben
adquirir certificados distintos para cada tipo de tarjeta de crédito, trámites que
resultan pesados para la mayoría de los usuarios.

En definitiva, SET es un protocolo de gran fuerza, pero de movimientos


extraordinariamente pesados. SSL le ha tomado la delantera hace años. No es tan
perfecto, no ofrece su seguridad ni sus garantías, pero funciona. Y lo que es más
importante: el usuario de a pie no tiene que hacer nada.

Resumen del Boletín del Criptonomicón #54.

189
Seguridad y Comercio Electrónico

8.2. LOPD (Ley Orgánica de Protección de Datos).

La Ley Orgánica 15/99 de Protección de Datos de Carácter Personal (LOPD)


tiene como objeto "garantizar y proteger, en lo que concierne al tratamiento de los
datos personales, las libertades públicas y los derechos fundamentales de las
personas físicas, y especialmente de su honor e intimidad personal y familiar."

Para ello se establecen los principios de la protección de datos, donde se


disponen los derechos de información en la recogida de datos, de consentimiento
del titular de los datos, de rectificación y cancelación.

La principal novedad de la ley frente a la anterior, Ley Orgánica 5/92 de


Regulación del Tratamiento Automatizado de los Datos de Carácter Personal,
estriba en que su vigencia se aplica a cualquier tipo de fichero, entendiendo como
tal "todo conjunto organizado de datos de carácter personal, cualquiera que fuere
la forma o modalidad de su creación, almacenamiento, organización y acceso."

Para adecuarse a la Ley, es necesaria la notificación e inscripción registrar


del fichero a la Agencia de Protección de Datos, cuyo objetivo es "velar por el
cumplimiento de la legislación sobre protección de datos y controlar su aplicación,
en especial en lo relativo a los derechos de información, acceso, rectificación,
oposición y cancelación de datos."

Además de la inscripción del fichero, es necesario que la empresa cumpla


con las obligaciones establecidas en la LOPD, como son el notificar al titular de los
datos sobre la inclusión de éstos en un fichero, facilitar el derecho a la consulta,
modificación, rectificación y cancelación de los mismos, cumplir el deber de secreto
profesional, etc.

190
Seguridad y Comercio Electrónico

Todo ello se viene complementado con la obligación de velar por la


seguridad de los datos, con el fin de protegerlos de alteración, pérdida, tratamiento
o acceso no autorizado.

Para garantizar la seguridad de los datos, el responsable del fichero o el


encargado del tratamiento "deberán adoptar las medidas de índole técnica y
organizativas necesarias que garanticen la seguridad de los datos de carácter
personal." Para los ficheros automatizados se aprobó el Real Decreto 994/99, por el
que se establece el "Reglamento Medidas de Seguridad de los Ficheros
Automatizados que contengan Datos de Carácter Personal." Entre las medidas a
adoptar consta la adopción del adecuado nivel de seguridad, en base al cual se
establecen los procedimientos mínimos a implantar.

La LOPD contempla infracciones y sanciones para las empresas que no


cumplan la ley, dividiéndolas en infracciones leves, graves y muy graves, con
multas que van desde los 601,01€ hasta los 60.101,21€ para las leves, y pueden
llegar hasta 601.012,10€ para las muy graves. Entre las infracciones leves se incluye
el no notificar a la Agencia de Protección de Datos la creación de un fichero. Y el
hecho de no adoptar las medidas de seguridad establecidas en el documento de
seguridad supone una infracción grave.

191
Seguridad y Comercio Electrónico

8.3. LSSICE (Ley de Servicios de la Sociedad de la Información y


Comercio Elect.).

La Ley se aplica a todas las actividades que se realicen por medios


electrónicos y tengan carácter comercial o persigan un fin económico. La Ley se
aplica tanto a las páginas web en las que se realicen actividades de comercio
electrónico como a aquéllas que suministren información u ofrezcan servicios de
forma gratuita para los usuarios, cuando constituyan una actividad económica
para su titular. Existe actividad económica cuando su responsable recibe ingresos
directos (por las actividades de comercio electrónico que lleve a cabo, etc.) o
indirectos (por publicidad, patrocinio...) derivados de la actividad que realice por
medios electrónicos.

En la Ley, se acoge un concepto amplio de «servicios de la sociedad de la


información», que engloba, además de la contratación de bienes y servicios por vía
electrónica, el suministro de información por dicho medio (como el que efectúan
los periódicos o revistas que pueden encontrarse en la red), las actividades de
intermediación relativas a la provisión de acceso a la red, a la transmisión de datos
por redes de telecomunicaciones, a la realización de copia temporal de las páginas
de Internet solicitadas por los usuarios, al alojamiento en los propios servidores de
información, servicios o aplicaciones facilitados por otros o a la provisión de
instrumentos de búsqueda o de enlaces a otros sitios de Internet, así como
cualquier otro servicio que se preste a petición individual de los usuarios (descarga
de archivos de vídeo o audio, ...), siempre que represente una actividad económica
para el prestador.

Las principales obligaciones de la LSSICE son:

• Obligación de informar (mostrar) en la página web:

192
Seguridad y Comercio Electrónico

o Denominación social, NIF, domicilio, teléfono y dirección de correo


electrónico.
o Datos de inscripción Registral (Registro Mercantil, de Asociaciones,
de Sociedades Laborales y Cooperativas o el Registro público que
corresponda para adquirir personalidad jurídica).
o Si la actividad está sujeta a una autorización administrativa, los datos
de dicha autorización y del órgano competente encargado de su
supervisión.
o Códigos de conducta a los que se esté adherido y manera de
consultarlos electrónicamente.
o Precios de los productos o servicios que se ofrecen.
• Comunicar el nombre de dominio de la empresa al Registro Mercantil u
otro Registro público en el que esté inscrita.
• Si realiza contratos on-line, indicar:
o Trámites que deben seguirse para contratar on-line.
o Condiciones generales del contrato.
• Confirmar la celebración del contrato por vía electrónica, mediante el envío
de un acuse de recibo del pedido realizado.
• Si se hace publicidad por correo electrónico o mensajes SMS:
o Indicar claramente la identificación del anunciante.
o Identificar claramente el mensaje publicitario con la palabra
«publicidad».
o Obtener con carácter previo, el consentimiento del destinatario
(excepto si ya es cliente).
o Establecer procedimientos sencillos para facilitar la revocación del
consentimiento por el usuario.

193

You might also like