ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) · 2008-09-11 · ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) INGENIERO EN INFORMÁTICA . Seguridad y Comercio Electrónico I

PROYECTO FIN DE CARRERA

SEGURIDAD Y COMERCIO ELECTRÓNICO

AUTOR: EDUARDO GÓMEZ FERNÁNDEZ

MADRID, Septiembre de 2008

UNIVERSIDAD PONTIFICIA COMILLAS

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)

INGENIERO EN INFORMÁTICA

Seguridad y Comercio Electrónico

I

Resumen

En la actualidad existen cada vez más tiendas virtuales relacionadas con

mercados que tenían poca o incluso nula presencia en la red, al mismo tiempo que

aparecen nuevas oportunidades empresariales que permiten que en una franja

temporal relativamente pequeña se puedan formar empresas capaces de

proporcionar un servicio.

Es propósito de este proyecto intentar analizar este mundo virtual tan

cambiante desde el prisma del comercio electrónico, así como observar la

evolución que ha ido sufriendo a lo largo de los años. Para llevar a cabo este

objetivo se ha optado por realizar dos tareas que permiten entender un poco más la

problemática del asunto, y así evitar caer en realizar un ejercicio puramente

enciclopédico, ni en presentar un espacio virtual de mercado sin base teórica

alguna.

En primer lugar en el presente proyecto se ha realizado un estudio sobre el

comercio electrónico en la actualidad, tanto desde el punto de vista tecnológico

como desde el punto de vista empresarial y organizativo.

En segundo lugar se ha implantado un prototipo de tienda virtual con el fin

de aplicar los conceptos y conclusiones alcanzados en el estudio previo con un

ejemplo real. Dicha tienda virtual se ha presentado como la versión on-line de

Muziko, tienda de accesorios musicales para instrumentos de música clásica.

En el proyecto se ha hecho uso de un número considerable de recursos

software, recurriendo a un software específico como la herramienta principal de la

creación de la tienda virtual.

Esta tienda virtual aparece integrada dentro de una plataforma web

desarrollada íntegramente con software libre, tanto por su gran aceptación en


II

Internet como por sus claras ventajas económicas. Para el desarrollo de este

proyecto se ha utilizado la herramienta específica de comercio electrónico

osCommerce, que hace uso del lenguaje PHP para su comunicación con un

servidor Apache. Para la gestión de la base de datos, se ha empleado el gestor

MySQL.

La tienda virtual presenta dos partes claramente diferenciadas. Por un lado

un catálogo de accesorios de instrumentos de música clásica con diferentes

secciones, según sea la tipología de los diferentes artículos, y que podrán ser

comprados por los usuarios utilizando diferentes medios de pago. Se ha buscado

aplicar aquí los conocimientos adquiridos en el estudio previo y dar el servicio de

compras con algunas de las tecnologías estudiadas anteriormente.

Por otro lado, también se ofrece una parte de administración desde la cual

se permite gestionar a los distintos usuarios, llevar un control de estadísticas de la

tienda o establecer distintas políticas de precios.

La tienda es accesible para todo el mundo a través de la página web

http://tienda.muziko.es, pudiendo realizar las distintas compras deseadas previo

registro gratuito.

Desde el punto de vista organizativo la tienda permite realizar una

diferenciación entre los usuarios por su perfil, según sea un usuario normal o un

administrador. Los usuarios podrán realizar las compras que deseen, mientras que

los administradores serán los encargados de gestionar el catálogo, así como

realizar otro tipo de gestiones en la tienda.


III

Abstract

Nowadays the number of virtual stores over the internet has increased,

especially those stores related with markets that had minimum or null presence on

the network, while appearing new business opportunities as well. The present

project tries to analyze this virtual world, study it by observation of the market

evolution suffered over the years. To carry out this objective two tasks have been

chosen. Therefore this will help to understand the problematic in a much better

way.

Firstly this project conducts a study on electronic commerce at present, both

from a technological and a business point of view. Also important is the fact of

taking into account organizational conditions.

On the other hand, a prototype store will also be introduced in order to

implement the concepts and conclusions reached in the previous study with a real

example. This virtual store has been presented as the online version of Muziko,

shop for musical accessories and classical music instruments.

The virtual store, with http://tienda.muziko.es as the domain name, is

integrated as a web platform. It is developed entirely using free software, both for

its wide acceptance on the Internet and for its clear economic benefits. This

development has also taken into account the usage of e-commerce store tool from

osCommerce, which makes use of the PHP language for all the communication

with an Apache server. All this is integrated with a database that runs under the

MySQL database server.

Therefore users can make all the desire purchases, while store managers will

be responsible for taking care of the online inventory and all the work within the

store.


IV

ÍNDICE

1. El comercio electrónico en la empresa actual ......................................................... 2

1.1. Determinación de aplicaciones y datos críticos. ............................................... 2

1.2. Arquitectura ISM. ................................................................................................. 5

1.2.1. Arquitectura de datos de la empresa. ......................................................... 6

1.2.2. Arquitectura de aplicaciones de la empresa. ............................................. 6

1.2.3. Arquitectura de la tecnología ....................................................................... 9

1.2.4. Arquitectura integrada ............................................................................... 10

1.2.4.1. Planificación y control estratégico ..................................................... 10

1.2.4.2. Planificación del desarrollo................................................................. 12

1.3. Inventario de estructuras informáticas y de seguridad. ............................... 18

2. Métodos de integración y seguridad ..................................................................... 26

2.1. Requerimientos del plan de contingencias y recuperación. ......................... 26

2.1.1. Análisis y valoración de riesgos. ............................................................... 28

2.1.2. Jerarquización de las aplicaciones. ............................................................ 29

2.1.3. Establecimientos de requerimientos de recuperación. ........................... 30

2.1.4. Ejecución. ...................................................................................................... 30

2.1.5. Pruebas. ......................................................................................................... 31

2.1.6. Documentación. ........................................................................................... 31

2.1.7. Difusión y mantenimiento. ......................................................................... 32

2.2. Análisis de riesgos. ............................................................................................. 34

2.3. Estudio de vulnerabilidades. ............................................................................. 39


V

2.4. La importancia de la seguridad en el comercio electrónico. ........................ 44

2.4.1. Herramientas de protección en el comercio electrónico. ....................... 45

2.4.1.1. Firewalls (Corta Fuegos) ..................................................................... 45

2.4.1.2. Protocolo SSL ........................................................................................ 47

2.4.1.3. Certificados. .......................................................................................... 48

2.4.1.4. Infraestructura de Clave Pública (PKI). ............................................ 49

2.4.1.5. Ejemplo real........................................................................................... 52

2.5. Responsabilidades del Ingeniero Informático en el cumplimiento de la LOPD. .............................................................................................................................. 58

3. Claves del comercio electrónico en la nueva economía ..................................... 68

3.1. Comercio electrónico como generador de cambios empresariales. ............. 68

3.1.1. Tipos de intermediarios .............................................................................. 71

3.2. Tipos de comercio electrónico. .......................................................................... 75

3.3. La nueva cadena de valor en el comercio. ....................................................... 85

3.4. Las nuevas oportunidades empresariales. ...................................................... 97

3.5. Definición de la estrategia para el comercio electrónico. ............................ 103

3.5.1. Desarrollo de una estrategia de comercio electrónico. ......................... 105

3.5.2. Aspectos clave de una estrategia de comercio electrónico. ................. 106

3.5.3. Aspectos negativos en una estrategia de comercio electrónico .......... 111

3.5.4. De la estrategia a la acción estratégica. ................................................... 116

3.5.4.1. Paso 1: Pensar la estrategia del comercio electrónico ................... 117

3.5.4.2. Paso 2: Entender la estrategia del comercio electrónico. .............. 118

3.5.4.3. Paso 3: Definir la estrategia del comercio electrónico. .................. 119

3.5.4.4. Paso 4: Diseñar la estrategia del comercio electrónico.................. 121


VI

3.5.4.5. Paso 5: Construir la estrategia del comercio electrónico. ............. 125

3.5.4.6. Paso 6: Proyectar la estrategia del comercio electrónico. ............. 126

3.5.4.7. Paso 7: Acompañar la estrategia del comercio electrónico. ......... 128

3.5.5. Elementos clave de una web de comercio electrónico ......................... 131

3.5.6. Conclusión .................................................................................................. 133

4. Ejemplo práctico de una empresa de comercio electrónico ............................ 136

4.1. Plan de negocio. ................................................................................................ 136

4.1.1. Resumen ejecutivo ..................................................................................... 136

4.1.2. Análisis y diagnóstico de la situación ..................................................... 137

4.1.2.1. Análisis del entorno general ............................................................. 137

4.1.2.2. Análisis del entorno específico – 5 fuerzas de Porter ................... 138

4.1.2.3. Análisis interno ................................................................................... 143

4.1.2.4. Diagnóstico cualitativo ...................................................................... 145

4.1.3. Producto ...................................................................................................... 146

4.1.4. Objetivos y estrategias .............................................................................. 147

4.1.4.1. Establecimiento de objetivos ............................................................ 147

4.1.4.2. Formulación de estrategias ............................................................... 147

4.1.5. Plan de marketing ...................................................................................... 148

4.1.5.1. Política de producto ........................................................................... 148

4.1.5.2. Política de distribución ...................................................................... 148

4.1.5.3. Política de comunicación ................................................................... 149

4.1.5.4. Localización ......................................................................................... 150

4.1.6. Plan de recursos humanos ........................................................................ 150


VII

4.2. Arquitectura. ...................................................................................................... 151

4.2.1. Plataforma web .......................................................................................... 151

4.2.2. Aplicaciones de comercio electrónico ..................................................... 153

4.2.3. Solución elegida: osCommerce ................................................................ 156

4.3. Guía de navegación. ......................................................................................... 161

4.3.1. Administración .......................................................................................... 161

4.3.2. Catálogo ...................................................................................................... 167

5. Valoración económica y planificación del proyecto ......................................... 176

5.1. Valoración económica. ..................................................................................... 176

5.1.1. Coste de tecnología .................................................................................... 176

5.1.2. Coste de implantación............................................................................... 177

5.1.3. Costes operacionales ................................................................................. 178

5.1.4. Costes totales .............................................................................................. 178

5.2. Planificación temporal. ..................................................................................... 179

6. Trabajo futuro y conclusiones .............................................................................. 182

7. Bibliografía ............................................................................................................... 184

8. Anexos ....................................................................................................................... 186

8.1. Seguridad en el comercio electrónico: ¿SSL o SET?. .................................... 186

8.2. LOPD (Ley Orgánica de Protección de Datos). ............................................ 190

8.3. LSSICE. ............................................................................................................... 192


1

11

EEll ccoommeerrcciioo eelleeccttrróónniiccoo

eenn llaa eemmpprreessaa aaccttuuaall


2

1. El comercio electrónico en la empresa actual

1.1. Determinación de aplicaciones y datos críticos.

Para la realización de este proyecto es fundamental comenzar con la

determinación de aplicaciones y datos críticos, ya que es la base sobre la que se

irán construyendo los distintos apartados que se aborden a lo largo del mismo.

Es necesario comenzar diciendo que cada empresa tiene unas características

únicas y, aunque las hay semejantes, sobre todo a la hora de determinar las

aplicaciones y datos críticos, se encontrarán soluciones y resultados muy dispares.

Como se ha comentado, no hay una solución exacta, pero se empleará la

metodología BSP (Business Strategic Planning) que mediante una serie de pasos

consigue la definición de los procesos de negocio:


3

Las funciones o procesos empleados en conseguir los objetivos, tanto a corto

como a largo plazo e independientemente de que empresa sea, son críticos para el

éxito de la misma y son normalmente independientes. Así mismo, se debe realizar

su agrupación en bloques lógicos.

Es cierto que, si el entorno de negocio es maduro, los procesos son

independientes de las personas que los realizan, es decir: las personas pueden

cambiar pero los procesos continúan. Si por el contrario el entorno de negocio no

es maduro debe aparecer un nuevo conjunto de procesos para soportar la nueva

tarea.

La razón por la que es necesario definir los procesos de negocio antes de

pasar a desarrollar cualquier tema de la seguridad y del comercio electrónico es

porque dicha definición asegura que la información correcta está en el sitio

adecuado y en el momento preciso. Es totalmente inútil empezar a determinar

datos y aplicaciones críticas o un plan de contingencias sin saber dónde está la

información.

En el recorrido de todos los pasos se deben considerar los siguientes factores

que pueden ayudar o destruir cada propósito:

� El director no puede delegar la planificación.

� La planificación debe realizarse en los períodos de éxito.

� Todos los directores deben participar en la planificación.

� La planificación debe estar al nivel suficiente dentro de la organización

para obtener el soporte de los ejecutivos.

� Sin un plan, el valor del ejercicio puede reducirse seriamente.


4

� No se debe asumir que la planificación a largo plazo resuelve los

problemas actuales.

En la siguiente figura se puede observar el recorrido a la hora de ejecutar los

distintos pasos de la metodología BSP comentada.


5

1.2. Arquitectura ISM.

Debido a la rapidez con la que pueden aparecer los cambios, tal y como se

ha comentado, la arquitectura se puede utilizar para proporcionar estructuras,

evaluar prioridades y para reducir el impacto del cambio en la empresa.

En el contexto de este proyecto, se utilizará la arquitectura ISM (Information

System Management) para proporcionar la estructura de los negocios soportados.

Los componentes de dicha arquitectura pueden utilizarse para examinar las

alternativas de una organización o desarrollar un entorno comprensible de los

sistemas y aplicaciones que pueden soportar a la empresa.

Para la realización de los pasos que comprenden la metodología BSP se

utiliza la entrevista como técnica para definir el plan de necesidades de

información de la empresa. Dichas necesidades de información se consolidarán en

un informe de las necesidades.

Todo este proceso de planificación tiene como fin entender la empresa por

la definición de sus misiones de negocio, objetivos, estrategias, políticas y procesos

básicos del negocio. Se ha definido la información necesaria para realizar los

negocios en términos de clases de datos y necesidades de información. El paso

siguiente será crear una estructura para proporcionar esta información.

Para ello se realizará la arquitectura de la empresa utilizando toda la

información obtenida en el proceso de la planificación estratégica del negocio.

Los elementos de la definición de la arquitectura son:

i. Definir la arquitectura de datos para la empresa.

ii. Definir la arquitectura de las aplicaciones para la empresa.


6

iii. Definir la arquitectura tecnológica para la empresa.

iv. Integrar la arquitectura.

1.2.1. Arquitectura de datos de la empresa.

La arquitectura de datos, aplicaciones y tecnología definen la base para

proporcionar el soporte de la información necesaria para los negocios. Los

procesos de la información son aquellos por los que los datos y la información

pasan para permitir la toma de decisiones y la realización de las tareas. La

arquitectura define los medios potencialmente automatizados para tratar dicha

información.

La arquitectura de datos es una agrupación lógica de los datos más

importantes y más utilizados en la empresa. La necesidad de una arquitectura de

datos comprensible ha llegado a ser más importante en la actualidad, debido a las

nuevas tecnologías que permiten almacenar, producir y distribuir la información

más fácilmente.

Al igual que en un proceso de negocio los datos se pueden definir también

en una jerarquía de grupos de datos, clases de datos y elementos de datos.

1.2.2. Arquitectura de aplicaciones de la empresa.

Debido a que las aplicaciones pueden ser una parte integral de los negocios

y ser críticos con su efectividad total, es esencial que ellos soporten a la

organización en sus verdaderas necesidades, y aunque las aplicaciones representen

la mayor inversión en tiempo y dinero, deben ser definidos de una manera


7

estructurada para limitar la duplicidad y redundancia, tanto de programas como

de bases de datos.

La arquitectura de las aplicaciones depende de los procesos y de los datos

necesarios para soportar esos procesos. Existen en realidad los medios por los

cuales los datos necesarios deben ser extraídos juntos, como se necesitan para el

proceso individual o en procesos agrupados. Aunque la arquitectura exacta de las

aplicaciones debe ser única para cada empresa, el modelo siguiente representa

distintos grupos de aplicaciones comunes:


8

El modelo que se presenta con la anterior figura está basado en los datos y

procesos necesarios del negocio más que en la organización que debe soportarlos.

La nomenclatura de los grupos de aplicaciones puede parecer similar a algunos

componentes de la organización, pero en realidad no están relacionados a ninguna

estructura específica de la misma.

Los grupos de aplicaciones deben cubrir todo el rango de los sistemas que

deben desarrollarse por la empresa, incluso aunque los recursos o su justificación

no estén disponibles. Esto es así porque los cambios en el entorno de negocio

necesitan que el modelo sea completo para facilitar colocar nuevas prioridades.

Esta agrupación de aplicaciones proporciona también un mapa para todo el

trabajo de desarrollo y mantenimiento dentro de la empresa. Cada subsistema

conceptual debe estar lo suficientemente definido para que se pueda permitir el

eventual desarrollo de un sistema de aplicaciones. Muchos de estos sistemas de

aplicaciones puede que existan ya dentro del inventario, tanto como un sistema

completo o como una parte del mismo. Se debe realizar de una manera anticipada

un esfuerzo importante de planificación cuando una aplicación comienza a hacerse

obsoleta.

Para definir la arquitectura de aplicaciones es importante comprender con

alguna profundidad los procesos del negocio y los datos que son necesarios para

realizar esos procesos. La técnica utilizada por el BSP, para realizar esa

arquitectura incluye:

i. Creación de una matriz de procesos y datos que indica los procesos

que crean, actualizan y acceden a las distintas clases de datos.

ii. Agrupación de las aplicaciones o sistemas alrededor de esa diagonal

creada para balancear el impacto tanto de los procesos como de los

datos en el sistema concebido.


9

iii. Documentar esos grupos para clasificaciones posteriores en

subsistemas en el nivel táctico.

Para mostrar la interdependencia de los datos se debe dibujar un diagrama

general de flujos tanto para los procesos como para las aplicaciones. Con esta

estructura y su flujo hay menos necesidades para un ajuste “forzado” de cambios

dramáticos en las aplicaciones individuales. La imagen total permite construir un

armazón para poder evaluar cada pieza de una manera individual.

1.2.3. Arquitectura de la tecnología

La arquitectura de la tecnología proporciona los medios a la arquitectura de

datos y aplicaciones. Sin ella sería difícil e ineficiente el proporcionar la

información correcta en el momento adecuado. Esta arquitectura de la tecnología

incluye cada elemento hardware, software, redes, etc. Su estructura debe

considerar el impacto de los elementos existentes y proporcionar los enlaces

correctos para poder ejecutar otros elementos adicionales, teniendo en cuenta que

cada elemento puede ser mejorado o reemplazado individualmente.

No obstante dentro de esa estructura se incrementa el número de opciones

por las cuales las necesidades de información puedan alcanzarse: la tecnología

avanza tan rápidamente que la mejor solución tecnológica actual puede no ser la

ideal para mañana. La arquitectura de la tecnología debe actualizarse para poder

planificar esos cambios.

La arquitectura de la tecnología debe proporcionar estructuras, funciones e

interfaces, excepto cuando la nueva tecnología esté disponible. Las interfaces de los

sistemas avanzados deben anticiparse cuando ello sea posible.


10

1.2.4. Arquitectura integrada

La arquitectura de datos, aplicaciones y tecnología son independientes y

deben integrarse dentro de una estructura total. Esto necesita normalmente varias

iteraciones a través de varias combinaciones antes de que pueda entregarse una

recomendación final, puede incluir opciones basadas a las necesidades definidas,

por ejemplo rendimiento, disponibilidad, carga de trabajo, etc.

Este proceso ha transformado las necesidades de información en una

estructura para soportar esas necesidades. El paso siguiente debe tomar decisiones

acerca del mejor camino para conseguir los resultados.

1.2.4.1. Planificación y control estratégico

Basado en las metas y contenciones de la empresa, este proceso proporciona

el plan estratégico, o cómo se pueden alcanzar las metas expresadas por la

dirección general de la empresa. Especifica la secuencia de las actividades clave de

la empresa en el orden el que deben realizarse y cómo los servicios proporcionados

deben evolucionar. También asegura la coherencia y consistencia contra los logros

tácticos.

Los elementos de planificación y control estratégico son:

i. Evaluar la implantación de los servicios alternativos, aplicaciones y

datos incluyendo las justificaciones de negocio y la evaluación de

riesgos.

Para asegurar que la planificación coincide con la estrategia de la

empresa, los dos procesos anteriores establecen el entorno y la

estructura de la arquitectura necesarios para soportar los negocios.

Utilizando esta base el plan estratégico debe ponerse en la dirección


11

para realizar estas tres misiones: servicio, desarrollo y consultoría, y

establecer los límites de los recursos para estas misiones. Las

estrategias parciales deben ser compatibles.

ii. Definir y dar prioridades a los objetivos estratégicos dentro de las

políticas.

En cada organización se pueden obtener grandes beneficios

competitivos planificando la dirección estratégica. Probablemente

una de las preguntas más difíciles para el ejecutivo es el decidir qué

es lo mejor para aplicar la nueva tecnología, que cambia rápidamente

y para poder tomar ventajas frente a la competencia. Ello requiere un

conocimiento real y consciente de la tecnología y después planificar

cuidadosamente su utilización.

Un ejemplo de esta dirección estratégica y sus consecuencias se

puede contemplar en aquellas industrias, como los bancos y las

compañías aseguradoras. Las compañías previsoras y la dirección

están preparadas para instalar terminales para los usuarios mucho

antes que aquellas otras compañías que han fallado en la previsión

del futuro. Tienen la tecnología base instalada en el momento

correcto.

iii. Obtener la aprobación para el plan estratégico.

iv. Control del plan estratégico contra el cumplimiento táctico.


12

1.2.4.2. Planificación del desarrollo

Este grupo de procesos se concentra en la parte del plan estratégico que

cubre el desarrollo técnico que si debe llevarse a cabo dentro del horizonte táctico.

Define la gestión de los proyectos que deben implantarse. Los cuatro proyectos

dentro de este grupo se discuten en la secuencia siguiente:

A continuación se muestran unas matrices que ayudan a identificar las

clases de datos según cada proceso.


13

Clases de Datos según Proceso de Creación

Planificación

Finanzas

Producto

Fichero Maestro de

Lista de materiales

Proveed

or

Invent. de materias

Invent.

de

prod.

Instalaciones

Trabajo en curso

Carga de máquinas

Ordenes abiertas

Rutas

de

Cliente

Territorio de ventas

Pedido

Costo

Empleado

Planificación del negocio C U U Análisis de la organización U Revisión y control U U Planificación financiera C U U U Adquisición de capital C Investigación U U Previsiones U U U U Diseño y desarrollo C C U U Mantent. De especif. De producto U C C U Compras C U Recepción U U Control de inventario C C U Diseño de rutas en planta U C U Planificación de fechas U U U C U Planificación de capacidad U U C U U Necesidades de material U U U C Operaciones U U U C Administración de territorio U C U Ventas U U C U Administración de ventas U U Servicio de pedidos U U C Envíos U U U Contabilidad general U U U U Planificación de costos U U C Contabilidad presupuestaria U U U U U Planificación de personal U C Contratación / Formación Personal U Compensación U U

Clase de Datos

Proceso


14

Agrupamiento de procesos según la clase de datos

Planificación

Finanzas

Producto

Fichero Maestro de

Lista de materiales

Proveed

or

Invent. de materias

Invent.

de

prod.

Instalaciones

Trabajo en curso

Carga de máquinas

Ordenes abiertas

Rutas

de

Cliente


Pedido

Costo

Empleado

Planificación del negocio C U U Análisis de la organización U Revisión y control U U Planificación financiera C U U U Adquisición de capital C Investigación U U Previsiones U U U U Diseño y desarrollo C C U U Mantent. De especif. De producto

U C C U

Compras C U Recepción U U Control de inventario C C U Diseño de rutas en planta U C U Planificación de fechas U U U C U Planificación de capacidad U U C U U Necesidades de material U U U C Operaciones U U U C Administración de territorio U C U Ventas U U C U Administración de ventas U U Servicio de pedidos U U C Envíos U U U Contabilidad general U U U U Planificación de costos U U C Contabilidad presupuestaria U U U U U Planificación de personal U C Contratación / Formación Personal

U

Compensación U U

Clase de Datos

Proceso


15

Determinación de la Circulación de los Datos

Planificación

Finanzas

Producto

Fichero Maestro de

Lista de materiales

Proveed

or

Invent. de materias

Invent.

de

prod.

Instalaciones

Trabajo en

curso

Carga de máquinas

Ordenes abiertas

Rutas

de

Cliente


Pedido

Costo

Empleado

Planificación del negocio C U U Análisis de la organización U Revisión y control U U Planificación financiera C U U U Adquisición de capital C Investigación U U Previsiones U U U U Diseño y desarrollo C C U U Mantent. De especif. De producto U C C U Compras C U Recepción U U Control de inventario C C U Diseño de rutas en planta U C U Planificación de fechas U U U C U Planificación de capacidad U U C U U Necesidades de material U U U C Operaciones U U U C Administración de territorio U C U Ventas U U C U Administración de ventas U U Servicio de pedidos U U C Envíos U U U Contabilidad general U U U U Planificación de costos U U C Contabilidad presupuestaria U U U U U Planificación de personal U C Contratación / Formación Personal U Compensación U U

Clase de Datos

Proceso


16

Circulación de los Datos

Planificación

Finanzas

Producto

Fichero Maestro de

Lista de materiales

Proveed

or

Invent. de materias

Invent.

de

prod.

Instalaciones

Trabajo en

curso

Carga de máquinas

Ordenes abiertas

Rutas

de

Cliente


Pedido

Costo

Empleado

Planificación del negocio C U U Análisis de la organización U Revisión y control U U Planificación financiera C U U U Adquisición de capital C Investigación U U Previsiones U U U U Diseño y desarrollo C C U U Mantent. De especif. De producto U C C U Compras C U Recepción U U Control de inventario C C U Diseño de rutas en planta U C U Planificación de fechas U U U C U Planificación de capacidad U U C U U Necesidades de material U U U C Operaciones U U U C Administración de territorio U C U Ventas U U C U Administración de ventas U U Servicio de pedidos U U C Envíos U U U Contabilidad general U U U U Planificación de costos U U C Contabilidad presupuestaria U U U U U Planificación de personal U C Contratación / Formación Personal

U

Compensación U U

Clase de Datos

Proceso


17

Arquitectura de la información

Planificación

Finanzas

Producto

Fichero Maestro de

Lista de materiales

Proveed

or

Invent. de materias

Invent.

de

prod.

Instalaciones

Trabajo en

curso

Carga de máquinas

Ordenes abiertas

Rutas

de

Cliente


Pedido

Costo

Empleado

Planificación del negocio Dirección

Análisis de la organización Revisión y control Planificación financiera Adquisición de capital Investigación Cálculo

de Necesi-dades

Previsiones Diseño y desarrollo Mantent. De especif. De producto Compras

Fabricación

Recepción Control de inventario Diseño de rutas en planta Planificación de fechas Planificación de capacidad Necesidades de material Operaciones Administración de territorio

Ventas

Ventas Administración de ventas Servicio de pedidos Envíos Contabilidad general Planificación de costos Contabilidad presupuestaria Planificación de personal Contratación / Formación Personal Compensación Administración

Personal

Clase de Datos

Proceso


18

1.3. Inventario de estructuras informáticas y de seguridad.

Tal y como se ha expuesto en el apartado anterior parece inviable que una

empresa desarrolle su actividad habitual sin sus sistemas informáticos. Aparecen

incluso estudios que confirman que la empresa, sea cual sea su tipología, sería

incapaz de subsistir en el mercado actual. Un plan de seguridad informático sería

aún más necesario si la empresa estudiada depende más que otras de la

informática.

Lo anterior sólo expone la realidad de que desde la misma dirección deben

venir las normas y reglas para la operativa habitual, y es ya el responsable del

recurso el que con los medios que se le proporcionan quien debe cumplirlas.

Teniendo esto presente es pues la dirección quien ha de establecer los

criterios generales de protección de datos y de la información, definir las políticas y

normas de seguridad, así como determinar y dar a conocer a todo el personal de la

empresa a los responsables del plan de seguridad y de su gestión, delimitando

claramente el papel de cada uno.

La primera etapa de este proceso debe venir por la definición de los grados

y alcance de uso de la información, utilizando por ejemplo el siguiente modelo que

se propone:

i. Sin clasificar: De uso público teniendo como limitación única la

legalidad y la ética.

ii. Pública restringida: A disposición del personal de la empresa en

cuestión y determinados colaboradores externos.

iii. Uso interno: Al alcance únicamente de la empresa, sin poderse

difundir fuera de ella.


19

iv. Confidencial: Sólo utilizada por algunas funciones, áreas o

departamentos, por lo que debe utilizarse con un cuidado especial.

v. Confidencial restringido: Es un caso especial de la anterior, en los

que la limitación de uso sólo puede ser ampliada por autorización

expresa escrita y comprometida firmada de no divulgación.

vi. Confidencial registrado: El caso más limitado, pues la autorización

es individual y de almacenamiento controlado sin permitirse copia

alguna.

Una clasificación como la presentada y una normativa reguladora es

fundamental para la empresa, evitando eso sí una repercusión negativa por exceso

de niveles. La solución para determinar esto pasa por realizar un análisis de la

información de la empresa, intentando ser detallado y exhaustivo en lo relativo al

impacto sobre la marcha del negocio.

Sin embargo en las empresas que carecen de política de seguridad o

planificación alguna, puede ser realmente problemático concienciar al personal de

lo anterior, y éste precisamente aún hoy sigue siendo un problema en muchas

empresas de España.

A continuación se muestra una figura con las empresas que han actualizado

sus servicios de seguridad en España, según los últimos datos del INE (Enero de

2007):


20

El 82,38% de las empresas españolas con acceso a Internet de más de 10

empleados han actualizado sus sistemas de seguridad en los últimos tres meses

(Octubre-Enero 2007).

Las empresas españolas con acceso a Internet son conscientes, en su gran

mayoría, de la necesidad de tener implantado algún mecanismo de seguridad que

les permita salvaguardar los datos, el acceso a sus sistemas y tener seguridad sobre

las transacciones que se realizan internamente y hacia el exterior a través de

Internet. En este sentido, no sólo es necesario que las empresas instalen

mecanismos de seguridad, sino que los actualicen con regularidad, dada la rapidez

con las que evolucionan las nuevas modalidades de ataques contra la seguridad a

través de la Red.

Es necesario un cambio de mentalidad, pues un plan de seguridad es

fundamental en otras situaciones distintas a catástrofes totales o parciales, ya que

consiste en:

� Integridad del sistema informático y los datos que contiene.

Autorización para manipular los mismos, para evitar resultados no


21

previstos. Ésta es la característica más relacionada a calidad, pues

indica que se ajusta a las necesidades de cada función autorizada.

� Disponibilidad de los recursos del sistema, previa autorización de

los mismos.

� Confidencialidad del uso a los mismos, autorizado y limitado en el

tiempo.

La siguiente figura muestra las empresas con Internet que usan servicios de

seguridad a nivel interno.

Destaca la implantación del software antivirus, el 97% de las empresas con

acceso a Internet se decantan por esta medida de protección. Le siguen la

implantación de cortafuegos y la realización de backup con un 71% y un 62%

respectivamente.


22

En sentido contrario, la encriptación con un 7,79% y la firma digital con un

8,66% son los métodos menos utilizados.

Cabe destacar el descenso en la utilización de password o login que ha

pasado de un 38,74% en enero de 2006 a un 35,65% en enero 2007.

A la conclusión que se debe llegar a la vista de lo expuesto en este apartado

del proyecto, es que toda esta responsabilidad no debe recaer únicamente sobre

una persona. Es común que la clasificación de la información, tal y como se ha

comentado, permita identificar incluso al responsable idóneo de la misma, pues

puede coincidir con la responsabilidad del acceso a dicha información. Este

responsable es quien debe establecer delimitaciones en las fechas de clasificación

de la información que tiene asignada, así como de comunicárselo al responsable

informático, personal de la empresa o usuarios potenciales.

Teniendo esto en cuenta parece que se debe avanzar más en cuanto a la

delimitación de funciones y responsabilidades.

Por otro lado, si ahora se analiza el número de intrusiones en empresas, es

bastante alarmante el dato del porcentaje de mal uso de la información atribuible al

personal de la propia empresa. Algunos ejemplos son:

• Introducción incorrecta de datos en conexiones con agencias y

sucursales.

• Compras de material informático sin garantía.

• Insatisfacción del personal por inestabilidad en el empleo.

• Falta de motivación entre directivos, con acceso incluso a

información confidencial, en momentos de posibles cambios de

empresa.


23

Por lo expuesto hace unos años se creó un marco legal que fuera de

obligado cumplimiento para todas las empresas, con el fin de regular información

de copias, recuperación de sistemas, etc.

Observando los últimos datos del INE, parece que aunque se intenta sujetar

este problema, el porcentaje sigue siendo significativo, con una tendencia al alza

cuando aumenta el tamaño de la empresa:

En enero de 2007 se aprecia un sensible descenso de las empresas con acceso

a Internet que tuvieron algún problema de seguridad en los últimos 12 meses,

pasando del 19,79% en enero de 2006 al 15,92% en enero de 2007.

Las grandes empresas son las que tienen más problemas de seguridad, el

22,93% de éstas declaran haber tenido problemas, frente al 17,22% de las empresas

de 50 a 249 o el 15,55% de las empresas de 10 a 49 empleados.

En relación a las empresas con menos de 10 empleados se observa como el

problema de la seguridad tiene la misma importancia que para las grandes

empresas, ya que el 15,41% de las mismas han tenido algún problema de seguridad

en los últimos doce meses.


24

Si por el contrario ahora se analizan los tipos de problemas según el INE, se

obtienen los siguientes datos:

El principal problema declarado por las empresas es el ataque de virus

informáticos. En esta línea, se puede destacar que el problema mayor son los

ataques de virus informáticos por los cuales se ven afectadas el 14.91% de las

empresas dentro de los últimos doce meses. De ahí la importancia de tener, en

primer lugar, un sistema de protección antivirus instalado en los sistemas de la

empresa y, en segundo lugar, mantener este sistema de seguridad

permanentemente actualizado.

El siguiente paso parece ser intentar analizar las medidas para evitar estas

situaciones, que aunque no es motivo de este proyecto, es fundamental para la

dirección definir el alcance del plan de seguridad con el fin de identificar hechos,

circunstancias, acciones y personas que puedan afectar a la propia información en

todos sus grados. La dirección debe ser consciente del nivel de garantía de

seguridad, del coste de la solución que permita alcanzar ese nivel y del riesgo que

conlleve con el fin de tomar las medidas pertinentes sean cuales sean.


25

22

MMééttooddooss ddee iinntteeggrraacciióónn yy sseegguurriiddaadd


26

2. Métodos de integración y seguridad

2.1. Requerimientos del plan de contingencias y recuperación.

Desde los inicios de los sistemas de información se comprendió que las

contingencias forman parte inherente de los mismos. Las amenazas a la

información pueden provenir de muchas fuentes, tanto de origen natural

(terremotos, tormentas, etc.), de origen humano (retaliaciones, celos profesionales,

competencia, huelga, problemas laborales, entre otros), como de origen técnico

(fallos del hardware, del software, con el suministro de energía, etc.). Y es casi

siempre una situación no prevista la que regularmente provoca una crisis y las

consecuencias de la misma, según su impacto y extensión, pueden ser catastróficas

para los intereses de cualquier organización.

Los fallos técnicos y humanos han hecho recapacitar a las organizaciones

sobre la necesidad de utilizar herramientas que le permitan garantizar una rápida

vuelta a la normalidad ante la presencia de cualquier eventualidad, por lo tanto, el

hecho de diseñar y preparar un plan de contingencias no implica un

reconocimiento de la ineficiencia en la gestión de la empresa, sino todo lo

contrario, los mecanismos de seguridad de la información buscan proteger a la

información de las diversas amenazas a las que se ve expuesta y supone un

importante avance a la hora de superar todas aquellas adversidades que pueden

provocar importantes pérdidas, no solo materiales sino aquellas derivadas de la

paralización del negocio durante un período más o menos prolongado. Todo esto

conlleva a que la función de definir los planes a seguir en cuestión de seguridad se

conviertan en una tarea realmente compleja.


27

Los objetivos de todo plan de contingencias y recuperación son:

• Reanudar con la mayor brevedad posible las funciones empresariales

más críticas, con el fin de minimizar el impacto de manera que la

correcta recuperación de los sistemas y procesos quede garantizada y se

conserven los objetivos estratégicos de la empresa.

• Evaluar los riesgos así como los costes de los procedimientos de

contingencia requeridos cuando se presenta una interrupción de las

operaciones, de forma que sólo se inviertan los recursos necesarios.

• Optimizar los esfuerzos y recursos necesarios para atender cualquier

contingencia de manera oportuna y eficiente, definiendo las personas

responsables de las actividades a desarrollar antes y durante la

emergencia.

Se puede decir que el plan de contingencias y recuperación consiste en la

identificación de aquellos sistemas de información y recursos informáticos

aplicados que son susceptibles de deterioro, violación o pérdida y que pueden

ocasionar graves trastornos para la vida normal de la organización, con el

propósito de estructurar y ejecutar aquellos procedimientos y asignar

responsabilidades que salvaguarden la información y permitan su recuperación,

garantizando la confidencialidad, integridad y disponibilidad de ésta en el menor

tiempo posible y a unos costes razonables.

El plan de contingencia debe cubrir todos los aspectos que se van a adoptar

tras una interrupción, lo que implica suministrar el servicio alternativo y para

lograrlo no solo se deben revisar las operaciones cotidianas, sino que también debe

incluirse el análisis de los principales distribuidores, clientes, negocios y socios, así

como la infraestructura en riesgo. Esto incluye cubrir los siguientes tópicos:

hardware, software, documentación, recursos humanos y soporte logístico.


28

Además, debe ser lo más detallado posible y fácil de comprender. Los conceptos

básicos son los siguientes:

• Análisis y valoración de riesgos.

• Jerarquización de las aplicaciones.

• Establecimientos de requerimientos de recuperación.

• Ejecución.

• Pruebas.

• Documentación.

• Difusión y mantenimiento.

2.1.1. Análisis y valoración de riesgos.

El proyecto comienza con el análisis del impacto en la organización.

Durante esta etapa se identifican los procesos críticos o esenciales y sus

repercusiones en caso de no estar en funcionamiento. El primer componente del

plan de contingencia debe ser una descripción del servicio y el riesgo para ese

servicio, igualmente se debe determinar el coste que representa para la

organización el experimentar un desastre que afecte a la actividad empresarial. Se

debe evaluar el nivel de riesgo de la información para hacer:

• Un adecuado estudio coste/beneficio entre el coste por pérdida de

información y el coste de un sistema de seguridad.

• Clasificar la instalación en términos de riesgo (alto, mediano, bajo) e

identificar las aplicaciones que representen mayor riesgo.


29

• Cuantificar el impacto en el caso de suspensión del servicio.

• Determinar la información que pueda representar cuantiosas

pérdidas para la organización o bien que pueda ocasionar un gran

efecto en la toma de decisiones.

Cuando ocurra una contingencia, es esencial que se conozca al detalle el

motivo que la originó y el daño producido mediante la evaluación y análisis del

problema. En este análisis se revisarán las fortalezas, oportunidades, debilidades y

amenazas, lo que permitirá recuperar en el menor tiempo posible el proceso

perdido.

2.1.2. Jerarquización de las aplicaciones.

Es primordial definir anticipadamente cuales son las aplicaciones

primordiales para la organización. Para la determinación de las aplicaciones

prioritarias, el plan debe estar asesorado y respaldado por la dirección, de tal

forma que permita minimizar las diferencias entre los distintos departamentos y

divisiones.

El plan debe incluir una lista de los sistemas, aplicaciones y prioridades.

Igualmente debe identificar aquellos elementos o procedimientos informáticos

como el hardware, software básico de telecomunicaciones y el software de

aplicación, que puedan ser críticos ante cualquier eventualidad o desastre y

jerarquizarlos por orden de importancia dentro de la organización. También se

deben incluir en esta categoría los problemas asociados por la carencia de fuentes

de energía, utilización indebida de medios magnéticos de resguardo o back up o

cualquier otro daño de origen físico que pudiera provocar la pérdida masiva de

información.


30

2.1.3. Establecimientos de requerimientos de recuperación.

En esta etapa se procede a determinar lo que se debe hacer para lograr una

óptima solución, especificando las funciones con base en el estado actual de la

organización. De esta forma es necesario adelantar las siguientes actividades:

profundizar y ampliar la definición del problema, analizar las distintas áreas

implicadas, documentos utilizados, esquema organizacional y funcional, las

comunicaciones y sus flujos, el sistema de control y evaluación, formulación de las

medidas de seguridad necesarias dependiendo del nivel de seguridad requerido,

justificación del costo de implantar las medidas de seguridad, análisis y evaluación

del plan actual, determinar los recursos humanos, técnicos y económicos

necesarios para desarrollar el plan y definir un tiempo prudente y viable para

lograr que el sistema esté nuevamente en operación.

2.1.4. Ejecución.

Una vez finalizado el plan, es conveniente elaborar un informe final con los

resultados de su ejecución cuyas conclusiones pueden servir para mejorar al

mismo ante futuras eventualidades. En esta fase hay que tener muy presente que el

plan no busca resolver la causa del problema, sino asegurar la continuidad de las

tareas críticas de la empresa.

En la elaboración del plan de contingencias deben intervenir los niveles

ejecutivos de la organización, personal técnico de los procesos y usuarios, para así

garantizar su éxito, ya que los recursos necesarios para la puesta en marcha del

plan de contingencia, necesariamente demandan mucho esfuerzo técnico,

económico y organizacional.


31

2.1.5. Pruebas.

Es necesario definir las pruebas del plan, el personal y los recursos

necesarios para su realización. Luego se realizan las pruebas pertinentes para

intentar valorar el impacto real de un posible problema dentro de los escenarios

establecidos como posibles. En caso de que los resultados obtenidos difieran de los

esperados, se analiza si el fallo proviene de un problema en el entorno de

ejecución, con lo cual la prueba volverá a realizarse una vez solucionados los

problemas, o si se trata de un error introducido en la fase de conversión; en este

último caso pasará nuevamente a la fase de conversión para la solución de los

problemas detectados. Una correcta documentación ayudará a la hora de realizar

las pruebas. La capacitación del equipo de contingencia y su participación en

pruebas son fundamentales para poner en evidencia posibles carencias del plan.

2.1.6. Documentación.

Esta fase puede implicar un esfuerzo significativo en algunos casos, pero

ayudará a comprender otros aspectos del sistema y puede ser primordial para la

empresa en caso de ocurrir un desastre. Deben incluirse, detalladamente, los

procedimientos que muestren las labores de instalación y recuperación necesarias,

procurando que sean entendibles y fáciles de seguir.

Es importante tener presente que la documentación del plan de

contingencia se debe desarrollar desde el mismo momento que nace, pasando por

todas sus etapas y no dejando esta labor de lado para cuando se concluyan las

pruebas y su difusión.


32

2.1.7. Difusión y mantenimiento.

Cuando se disponga del plan definitivo ya probado, es necesario hacer su

difusión y capacitación entre las personas encargadas de llevarlo a cargo. El

mantenimiento del plan comienza con una revisión del plan existente y se examina

en su totalidad realizando los cambios en la información que pudo haber

ocasionado una variación en el sistema y realizando los cambios que sean

necesarios.

Como conclusiones se puede observar lo siguiente:

Un plan de contingencias y recuperación es la herramienta que cualquier

empresa debe tener, para desarrollar la habilidad y los medios de sobrevivir y

mantener sus operaciones, en caso de que un evento fuera de su alcance le pudiera

ocasionar una interrupción parcial o total en sus funciones. Las políticas con

respecto a la recuperación de desastres deben de emanar de la máxima autoridad

de la empresa, para garantizar su difusión y estricto cumplimiento.

Deben realizarse pruebas para determinar la eficacia del plan de

contingencia y de los procedimientos de recuperación ante desastres. Las

deficiencias deben resolverse y comprobarse inmediatamente. En un plan de

contingencia, el objetivo consiste en ejecutar varias tareas en el menor tiempo

posible. Cualquier deficiencia en la documentación, capacitación o, incluso, en los

aspectos administrativos, pone en peligro la continuidad del negocio.

La puesta en marcha de los planes a seguir es responsabilidad del

encargado de la seguridad, pero también debe existir un compromiso por parte de

los usuarios del sistema de información, ejecutivos y todas las personas que de

alguna u otra forma ayudan a que el sistema cumpla con los requerimientos para el


33

que fue diseñado, manteniendo sobre todo la integridad y confidencialidad de la

información.

El plan de contingencias tiene diferentes niveles de complejidad y

flexibilidad según las necesidades y características de los grupos, empresas u

organizaciones. Nunca se contará con los recursos suficientes para estar totalmente

preparados, de ahí que el proceso deba ser paulatino e ir evolucionando según el

contexto.

El cambio es inevitable en la construcción de sistemas basados en

computadoras. Por ello se deben desarrollar mecanismos de evaluación, control e

implementación de modificaciones al sistema ocasionadas por nuevos

requerimientos de los usuarios, por disposiciones internas de la organización para

corregir errores, para aprovechar los nuevos avances tecnológicos, para satisfacer

nuevas necesidades o para mejorar los sistemas en funcionamiento.

Se debe tener una adecuada seguridad orientada a proteger todos los

recursos informáticos, motor de desarrollo y vida de los sistemas de información,

pero no se puede caer en excesos diseñando tantos controles y medidas que

desvirtúen el propio sentido de la seguridad. Por consiguiente, se debe hacer un

análisis de coste/beneficio evaluando las consecuencias que pueda acarrear la

pérdida de información y demás recursos informáticos, así como analizar los

factores que afectan negativamente la productividad de la empresa.


34

2.2. Análisis de riesgos.

El análisis de riesgos permite evaluar el impacto que podría resultar de la

pérdida de la confidencialidad, integridad o disponibilidad de los sistemas de

información. Una vez realizado el análisis de riesgos se procede a implantar las

medidas de protección necesarias para paliar las posibles catástrofes que

conllevarían las ocurrencias de las posibles amenazas a las que está expuesta la

empresa. Éste método proporciona a los responsables de la organización

informática, la información adecuada sobre la que basar sus decisiones.

A continuación se definen los términos básicos de un análisis de riesgos:

Activo: Componente del sistema al que la organización asigna un valor y

que por tanto necesita protección. Su valor puede quedar muy reducido después

de la ocurrencia de una amenaza. Los activos pueden ser tangibles como por

ejemplo, el personal, edificios, hardware, software, datos, documentación, etc. O

pueden ser intangibles como la imagen, la reputación de la empresa, confianza de

los clientes, etc.

Amenaza: Un evento, persona o idea que presenta un peligro para un

sistema. La ocurrencia o manifestación de una amenaza puede comprometer la

confidencialidad, integridad o disponibilidad de un activo integrante de la

empresa, utilizando las vulnerabilidades del mismo pueden ser accidentales como

los desastres naturales, errores humanos o fallos de equipo o pueden ser

intencionadas como un robo, sabotaje, vandalismo, etc.

Vulnerabilidad: Debilidad de un sistema a través del cual una amenaza

pueda actuar. La vulnerabilidad suele ser debida a la ausencia de medidas de

protección, al mal funcionamiento de las mismas o la cobertura parcial que dichas

medidas proporcionan frente a la amenaza. La presencia de una vulnerabilidad en

sí, no causa daño, debe de existir una amenaza para aprovecharse de ella. Si tal


35

amenaza no existe, la vulnerabilidad no requiere la implantación de un sistema de

protección. Un ejemplo de vulnerabilidad puede ser tener un inadecuado sistema

anti-incendios o un sistema inadecuado de control de accesos.

Impacto: La consecuencia indeseable de la ocurrencia de una amenaza que

afecta a los activos del sistema y resulta una pérdida para la organización. El

impacto podría ser uno o más de los siguientes:

• Indisponibilidad o destrucción del servicio o los activos.

• Modificación no autorizada del software o de los datos.

• Revelación no autorizada de datos o de software.

Riesgo: Una medida del grado de exposición al que un sistema, y por tanto

una organización está sujeta. El riesgo es una función de:

• La probabilidad de la ocurrencia o manifestación de una amenaza.

• El grado de vulnerabilidad del sistema que pueda ser aprovechado por una

amenaza para causar un impacto no deseado.

• El nivel de efecto adverso que la ocurrencia de la amenaza tendría en la

organización.

Salvaguarda: La salvaguarda es una medida de protección que mejora la

seguridad del sistema y protegen los activos de las amenazas mediante:

• La transferencia del riesgo.

• La reducción de la probabilidad de manifestación de una amenaza.

• La reducción del nivel de vulnerabilidad del que podría aprovecharse una

amenaza.

• La reducción del impacto de la manifestación de una amenaza.

• La detección de la manifestación de una amenaza.

• La recuperación del impacto de la manifestación de una amenaza.


36

Se ha realizado un esquema gráfico con tal de comprender mejor estos

conceptos:

Como se ha expuesto en apartados anteriores queda más que justificada la

importancia de la realización de un análisis de riesgos como primer paso a la hora

de iniciar un plan de seguridad en una empresa, intentando que éste sea lo más

profundo y amplio posible, incluso en temas físicos y comenzando por la ubicación

y construcción del Centro de Proceso de Datos (CPD). Bajo este acrónimo se conoce

al lugar donde se encuentran todos los recursos necesarios para el procesamiento

de información de una organización. En este momento el autor se refiere por

recursos a las dependencias, equipos y redes de comunicaciones.

El CPD suele ser de gran tamaño e incluso puede ser un edificio

independiente, usado para mantener en él una gran cantidad de equipamiento

electrónico. Suelen ser creados e incluso mantenidos por grandes organizaciones

con objeto de tener acceso a la información necesaria para sus operaciones. En la


37

actualidad prácticamente la totalidad de las compañías medianas o grandes tienen

algún tipo de CPD, pudiendo tener varios.

Es importante la creación de un CPD y tiene cabida en este proyecto porque

algunos de sus objetivos son destacar la continuidad del servicio a clientes,

empleados, proveedores, etc. Así como garantizar la protección física a los equipos

implicados y bases de datos que puedan contener información crítica.

Por otro lado, la clasificación más usual de los riesgos es en tres grupos para

facilitar la valoración, tal y como se expone a continuación:

� Naturales: Incendios, cortes de suministro eléctrico,

comunicaciones…

� Inducidos: Sabotaje, huelgas, robos, fraudes.

� Informáticos: Fallos tanto de hardware como de software básico,

errores técnicos o de usuarios, ausencia de responsables.

Esta clasificación, según la tipología del riesgo en cuestión, tiene como fin

expresar la viabilidad del plan de seguridad, su coste y riesgo total que la dirección

debe asumir. La optimización de la relación entre las pérdidas originadas por la

contingencia y el coste por implantación de la solución fijan el máximo coste

admisible y el máximo tiempo de contingencia, tal y como se muestra en la

siguiente figura:


38


39

2.3. Estudio de vulnerabilidades.

Las vulnerabilidades de seguridad informática han existido siempre. A

medida que se hacían conocidas diferentes vulnerabilidades, también se

publicaban herramientas de seguridad y parches con el objetivo de ayudar a los

administradores. Actualmente, Internet representa una gran fuente de información

donde existe mucha más cantidad de referencias sobre cómo ingresar a sistemas

que sobre cómo protegerlos. La seguridad de la red comprende tanto la protección

física de los dispositivos como también la integridad, confidencialidad y

autenticidad de las transmisiones de datos que circulen por ésta.

La siguiente lista resume los puntos que comprende la seguridad de una

red:

• La información debe estar protegida de una posible destrucción o

modificación accidental o intencional (integridad).

• Los datos no deben estar disponibles a los accesos no autorizados

(privacidad).

• Las transacciones no deben ser modificadas en su trayecto y se debe

asegurar que quien las generó es quien dice ser (integridad, autenticidad

y no repudio).

• Se debe mantener la integridad física de los dispositivos de red como

servidores, switches, etc.

• El uso de la red no debe ser con fines que no estén contemplados por las

políticas de utilización.

• La red debe estar disponible siempre y con la eficiencia necesaria, aún

ante fallos inesperados (disponibilidad).


40

A través de un análisis de vulnerabilidades, un analista en seguridad puede

examinar la robustez y seguridad de cada uno de los sistemas y dispositivos ante

ataques y obtener la información necesaria para analizar cuáles son las

contramedidas que se pueden aplicar con el fin de minimizar el impacto de un

ataque. Este análisis debe realizarse cuando ocurran cambios en el diseño de la red

o los sistemas, cuando se realicen actualizaciones de los dispositivos o

periódicamente.

Hay distintos métodos para realizar un análisis de vulnerabilidades, según

la finalidad que se persiga.

Caja Negra: Al analista se le proporciona sólo la información de acceso a la

red o al sistema (podría ser sólo una dirección IP). A partir de esta información, el

analista debe obtener toda la información posible.

Caja Blanca: El analista de seguridad tiene una visión total de la red a

analizar, así como acceso a todos los equipos como superusuario. Este tipo de

análisis tiene la ventaja de ser más completo y exhaustivo.

Test de Penetración: Durante el test de penetración el analista de seguridad

simula ser un atacante. Desde esta posición, se realizan varios intentos de ataques a

la red, buscando debilidades y vulnerabilidades:

• Estudio de la red externa.

• Análisis de servicios disponibles.

• Estudio de debilidades.

• Análisis de vulnerabilidades en dispositivos de red.

• Análisis de vulnerabilidades de implementaciones y configuraciones.

• Denegación de servicio.


41

El resultado del test de penetración mostrará una idea general del estado de

la seguridad de los sistemas frente a los ataques. Si se encontraran una o más

vulnerabilidades, no se realiza su explotación.

Como conclusión de este paso, se debe obtener un informe que indique las

pruebas de seguridad realizadas en el test, una lista de las vulnerabilidades y

debilidades encontradas con sus correspondientes contramedidas y las

recomendaciones a seguir en cuestión de seguridad.

Las vulnerabilidades provienen de diferentes ámbitos y se pueden clasificar

en:

• Vulnerabilidades de implementación.

• Vulnerabilidades de configuración.

• Vulnerabilidades de dispositivo.

• Vulnerabilidades de protocolo.

• Vulnerabilidades de aplicación

Existen diversas herramientas que se pueden utilizar para realizar un análisis de vulnerabilidades: escaneo de puertos, ingeniería social, trashing, etc.

Los pasos a seguir para llevar a cabo un análisis de vulnerabilidades

comprenden:

1. Recopilación de información.

Un análisis de vulnerabilidades comienza con la obtención de

información del objetivo. Si se ha seleccionado realizar un test por caja

negra, el proceso de análisis será muy similar al proceso seguido por un

atacante. Si utiliza un método de caja blanca, éste es el momento para


42

recopilar la información de acceso a servicios, hosts y dispositivos,

información de direccionamiento, y todo lo que considere necesario.

2. Test Interior.

El Test Interior trata de demostrar hasta donde se puede llegar con los

privilegios de un usuario típico dentro de la organización. Para realizarlo se

requiere que la organización provea una computadora típica, un nombre de

usuario y una clave de acceso de un usuario común.

Se compone de numerosas pruebas, algunas de las cuales son:

• Revisión de Privacidad.

• Testeo de Aplicaciones de Internet.

• Testeo de Sistema de Detección de Intrusos.

• Testeo de Medidas de Contingencia.

• Descifrado de Contraseñas.

• Testeo de Denegación de Servicios.

• Evaluación de Políticas de Seguridad.

3. Test Exterior.

El principal objetivo del Test Exterior es acceder en forma remota a

los servidores de la organización y obtener privilegios o permisos que no

deberían estar disponibles. El Test Exterior puede comenzar con técnicas de

Ingeniería Social, para obtener información que luego se utilizará en el

intento de acceso.


43

Los pasos del estudio previo de la organización deben incluir:

1. Revisión de la Inteligencia Competitiva: Información recolectada

a partir de la presencia en Internet de la organización.

2. Revisión de Privacidad: Es el punto de vista legal y ético del

almacenamiento, transmisión y control de los datos basados en la

privacidad del cliente.

3. Testeo de Solicitud: Es un método de obtener privilegios de

acceso a una organización y sus activos preguntando al personal

de entrada, usando las comunicaciones como un teléfono, e-mail,

chat, boletines, etc. desde una posición privilegiada fraudulenta.

4. Testeo de Sugerencia Dirigida: En este método se intenta lograr

que un integrante de la organización ingrese a un sitio o reciba

correo electrónico. En este sitio o correo se agregan herramientas

que luego serán utilizadas en el intento de acceso.

4. Documentación e informe.

Como finalización del análisis de vulnerabilidades se debe presentar

un informe donde se detalle cada uno de los tests realizados y los

resultados. En este informe se debe especificar las vulnerabilidades

probadas y detectadas, los servicios y dispositivos vulnerables y el nivel de

riesgo que involucra cada vulnerabilidad encontrada en cada servicio y

dispositivo.


44

2.4. La importancia de la seguridad en el comercio electrónico.

Existen diferentes métodos de procesar transacciones en una compra

(protocolos que lo hacen de manera segura). En este apartado se hará referencia en

exclusividad al protocolo SSL, por tratarse de un protocolo muy extendido en la

actualidad.

La seguridad de un sitio electrónico tiene que ser confiable para que el

mismo tenga éxito. El índice de personas que compran en línea ha crecido

extraordinariamente en los últimos años y se debe principalmente a la

confiabilidad que aportan hoy día los sitios de comercio electrónico.

La seguridad en un ambiente de comercio electrónico involucra las

siguientes partes:

• Privacidad: que las transacciones no sean visualizadas por nadie.

• Integridad: que los datos o transacciones como números de tarjeta de

créditos o pedidos no sean alterados.

• No Repudio: posibilita que el que generó la transacción se haga

responsable de ella, y brinda la posibilidad de que este no la niegue.

• Autenticación: que los que intervienen en la transacción sean leales y

válidas.

• Facilidad: que las partes que intervienen en la transacción no encuentren

dificultad al hacer la transacción.


45

2.4.1. Herramientas de protección en el comercio electrónico.

Las estructuras de seguridad de un sitio de e-Commerce no varían con las

de un sitio tradicional. La principal diferencia radica en el hecho de que se

implemente el protocolo SSL en la mayoría de los casos para tener un canal seguro

en las transacciones.

2.4.1.1. Firewalls (Corta Fuegos)

Un firewall es un elemento de hardware o software utilizado en una red de

computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas

según las políticas de red que haya definido la organización responsable de la red.

La ubicación habitual de un cortafuegos es el punto de conexión de la red interna

de la organización con la red exterior, que normalmente es Internet. De este modo

se protege la red interna de intentos de acceso no autorizados desde Internet, que

puedan aprovechar vulnerabilidades de los sistemas de la red interna.

También es frecuente conectar al cortafuegos una tercera red, llamada zona

desmilitarizada o DMZ, en la que se ubican los servidores de la organización que

deben permanecer accesibles desde la red exterior.

Un cortafuegos correctamente configurado añade protección a una

instalación informática, pero en ningún caso debe considerarse como suficiente. La

Seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

Las ventajas de un cortafuegos son cuantiosas aunque las más significativas

son:

• Protege de intrusiones. El acceso a ciertos segmentos de la red de una

organización, sólo se permite desde máquinas autorizadas de otros

segmentos de la organización o de Internet.


46

• Protección de información privada. Permite definir distintos niveles de

acceso a la información de manera que en una organización cada grupo de

usuarios definido tendrá acceso sólo a los servicios y la información que le

son estrictamente necesarios.

• Optimización de acceso. Identifica los elementos de la red internos y

optimiza que la comunicación entre ellos sea más directa. Esto ayuda a

reconfigurar los parámetros de seguridad.

Pero no todo son ventajas en los firewalls y son necesarias por ello otras

herramientas de seguridad que defiendan la información y servicio de la

organización. Las limitaciones más relevantes son:

• Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no

pase a través de él.

• El cortafuegos no puede proteger de las amenazas a las que está sometido

por ataques internos o usuarios negligentes. El cortafuegos no puede

prohibir a espías corporativos copiar datos sensibles en medios físicos de

almacenamiento (diskettes, memorias, etc.) y sustraigan éstas del edificio.

• El cortafuegos no puede proteger contra los ataques de Ingeniería social

(explicados anteriormente en el tema 2.3 de estudio de vulnerabilidades).

• El cortafuegos no puede proteger contra los ataques posibles a la red interna

por virus informáticos a través de archivos y software. La solución real está

en que la organización debe ser consciente en instalar software antivirus en

cada máquina para protegerse de los virus que llegan por cualquier medio

de almacenamiento u otra fuente.

• El cortafuegos no protege de los fallos de seguridad de los servicios y

protocolos de los cuales se permita el tráfico. Hay que configurar


47

correctamente y cuidar la seguridad de los servicios que se publiquen a

Internet.

En la siguiente imagen se muestra un ejemplo de la ubicación de un firewall

y una zona des-militarizada en una red común.

2.4.1.2. Protocolo SSL

Secure Sockets Layer (Protocolo de Capa de Conexión Segura) es un

protocolo criptográfico que proporciona comunicaciones seguras por una red,

comúnmente Internet. SSL se ejecuta en una capa entre los protocolos de aplicación

como HTTP, SMTP, NNTP y sobre el protocolo de transporte TCP, que forma parte

de la familia de protocolos TCP/IP. Aunque pueda proporcionar seguridad a

cualquier protocolo que use conexiones de confianza (tal como TCP), se usa en la

mayoría de los casos junto a HTTP para formar HTTPS. HTTPS es usado para

asegurar páginas World Wide Web para aplicaciones de comercio electrónico,

utilizando certificados de clave pública para verificar la identidad de los extremos.


48

Este se compone de dos capas y funciona de la siguiente manera:

• La primera capa se encarga de encapsular los protocolos de nivel más

alto.

• La segunda capa que se llama SSL Handshake Protocol se encarga de la

negociación de los algoritmos que van a cifrar y también la autenticación

entre el cliente y el servidor.

Cuando se realiza una conexión inicial el cliente lo primero que hace es

enviar una información con todos los sistemas de encriptación que soporta (el

primero de la lista es el que prefiere utilizar el cliente). Entonces el servidor

responde con una clave certificada e información sobre los sistemas de

encriptación que este soporta.

Entonces el cliente seleccionará un sistema de encriptación, tratará de

descifrar el mensaje y obtendrá la clave pública del servidor.

Aparte de SSL existen otros protocolos como el SET creado por Mastercard

y Visa junto con líderes de la informática como Microsoft, Verisign y otras

empresas más. Junto con el CyberCash son soluciones creadas para la venta por

Internet.

2.4.1.3. Certificados.

Un Certificado Digital es un documento digital mediante el cual un tercero

confiable (una autoridad de certificación) garantiza la vinculación entre la

identidad de un sujeto o entidad y su clave pública.

Un certificado emitido por una entidad de certificación autorizada, además

de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:


49

• Nombre, dirección y domicilio del suscriptor.

• Identificación del suscriptor nombrado en el certificado.

• El nombre, la dirección y el lugar donde realiza actividades la entidad de

certificación.

• La clave pública del usuario.

• La metodología para verificar la firma digital del suscriptor impuesta en el

mensaje de datos.

• El número de serie del certificado.

• Fecha de emisión y expiración del certificado.

2.4.1.4. Infraestructura de Clave Pública (PKI).

Una PKI es una fusión de soluciones dadas en hardware, software y

políticas de seguridad, y está basada en criptografía de clave pública, que permite

la gestión de certificados. Esta infraestructura provee de confidencialidad

(Privacidad), integridad de los mensajes (no modificaciones en el trayecto),

autenticación, no repudio (no poder denegar una acción en el mensaje emitido por

un remitente) y control de acceso. Sus aplicaciones más comunes son para la

comunicación entre servidores, para correo electrónico, EDI o transacciones con

tarjetas de crédito/débito. Es por esta última aplicación por la que se ha

profundizado en esta herramienta. El gran papel que desempeña dentro del

comercio electrónico la hace una herramienta clave dentro del ámbito de este

proyecto.


50

Partes de las que se compone:

• Política de Seguridad: establece la manera en que una organización

ejecutará procesos de gestión de claves públicas y privadas.

• Autoridad Certificante (CA): del inglés Certificate Authority, se encarga de

generar los Certificados Digitales, usando una clave privada para firmarlos.

Otras funciones de una CA son:

o Emitir Certificados

o Revocar certificados y crear CRLs (Certificate Revocation

List) que son listas de certificados ya no válidos.

• Autoridad de Registro (RA): es la entidad encargada de gestionar altas y

bajas de las peticiones de certificación como así también de la revocación.

Entonces un usuario que desea solicitar un certificado de clave pública se

debe dirigir a una RA autorizada por una CA.

• Autoridad de Validación (VA): proporciona información sobre el estado de

los certificados. Realiza las consultas de todas las CRLs necesarias para

saber el estado del certificado que se le ha pasado en una petición de

validación.


51

Esta imagen resumen representa a una infraestructura de clave pública

mediante el uso de sesión con el protocolo SSL y certificados.

El Número 3 es el CA que se encarga de:

• Emitir el Certificado

• Validar la autenticidad del Emisor y Receptor (Punto

1 y 2)

• Mantener una base de datos con los certificados válidos

y los removidos.

Se trata pues, de un gran método de seguridad, ya que por cada conexión

que se hace el servidor envía una clave diferente. Entonces, si alguien consigue

descifrar la clave, lo único que puede hacer es cerrar la conexión que corresponde a

esa clave.


52

2.4.1.5. Ejemplo real

Para comprender mejor los pasos que sigue una infraestructura de clave

pública, se desarrollará un ejemplo práctico sobre comercio electrónico. En este

caso será la compra de un libro de amazon.com.

Se muestra a continuación http://www.amazon.com.

Se trata de un sitio común: la barra de estado del Internet

Explorer indica que es en un sitio de Zona Internet y la dirección comienza con

http://


53

Ahora la siguiente pantalla muestra el caso de cuando se quiere hacer el

Check Out o Pago de los libros comprados.

Ahora un pequeño candado indica que se trata de un servidor

seguro, y que se pueden incluir los datos personales. Otro indicador es la dirección

de web, que ahora comienza con https://…. y no con http://….

Este es un modo de comprobar si es seguro introducir los datos personales.

En caso de dudas, siempre se puede hacer doble clic sobre el candado y se

obtendrá información sobre el certificado (en este caso del servidor amazon.com).


54

Esta es la información básica del certificado, que confirma

si se está conectado al servidor correcto (amazon.com). También muestra por qué

autoridad certificadora (CA) fue emitido el certificado. Esta segunda empresa tiene

que ser distinta de la que figure como propietaria del certificado. Se trata de una

Tercera Parte Confiable (TTP – Trusted Third Party), que garantiza la verificación

del certificado.

Haciendo clic en la pestaña Detalles se puede obtener más información

técnica sobre el certificado, como el algoritmo utilizado, la versión de SSL, el

algoritmo de identificación y la fecha de validez que posee, entre otros.


55


56

Ahora que se tiene claro el funcionamiento del e-Commerce, se va a mostrar

una figura identificando los tres protagonistas principales en cualquier transacción

habitual de compra en Internet:

• Punto 1: Usuario que se conecta con el sitio Punto 2 (Amazon.com en

este ejemplo)

• Punto 2: Muestra los productos a comprar. Se accede a un sitio seguro.

Entonces el Punto 2 contacta con el Punto3, el cual envía la dirección del

certificado para el Punto 2, donde informa si es válido o no.

Utilizar SSL tiene beneficios grandes, ya que es un estándar que no hace

falta instalar ningún software adicional de lado del cliente ni del servidor, ya que

la mayoría de los servidores web y navegadores ya poseen soporte para SSL.


57

También da una prueba de que un servidor web es quien dice ser, gracias a

la participación de Terceras Partes Confiables.

Debido a que el 95% de los pagos de Internet se realizan utilizando SSL, hoy

en día se ha convertido en un protocolo de facto para todo tipo de conexiones

seguras.


58

2.5. Responsabilidades del Ingeniero Informático en el cumplimiento

de la LOPD.

Para abordar este punto, se estima oportuno en primer lugar tratar el tema

de la LOPD como una necesidad o como una obligación.

Parece que es necesario que una ley proteja los datos personales de cada

individuo, porque el uso de los datos personales en manos de terceros hace que

sean sensibles a poder ser utilizados de forma indiscriminada dependiendo de

quién los manipule. Y es una obligación porque la ley obliga a las empresas

tomadoras de datos personales a utilizar de forma correcta y con autorización

dichos datos. Es decir, que cuando una persona da sus datos personales a cualquier

otra persona, empresa, profesional, o entidad, tienen la obligación de extenderle

una autorización suya por escrito y firmada por ambas partes, explicándole para

qué van a utilizar sus datos, con el consabido derecho de limitarlo a un solo fin y

poder revocar éste cuando usted estime oportuno.

Además, se ha de explicar de qué se trata y dónde van a depositarse, si fuera

preciso, tanto sea en un despacho de abogados, asesores fiscales, bancos, empresas

comerciales, etc.

En cualquier empresa o entidad existen personas que manipulan datos

continuamente. El problema radica en que hay personas que podrían utilizar los

datos personales para muchos fines no deseados y trasladar dichos datos de

empresas a empresas, incluso en alguna ocasión cederlos a terceros. Por ello, la Ley

Orgánica de Protección de Datos tiene regulado este particular, haciendo firmar un

compromiso de confidencialidad a estas personas y empresas para que esto no

ocurra. En caso de suceder, la Agencia Española de Protección de Datos impone

sanciones muy importantes dependiendo del tipo de denuncia formulada por la

persona que reclama su derecho.


59

Agencia Española de Protección de Datos (AEPD)

La Agencia Española de Protección de Datos (AEPD) es un Ente de Derecho

Público con personalidad jurídica propia y plena capacidad pública y privada, que

actúa con plena independencia de las Administraciones Públicas en el ejercicio de

sus funciones. Suele realizar inspecciones a las empresas auditando los registros de

datos para evitar en la mayor forma posible de este modo que se utilicen los datos

de clientes y proveedores de forma incorrecta, sancionando a aquellas que no han

adecuado los sistemas informáticos, administrativos y burocráticos para realizar el

buen uso de los datos personales. Para el desempeño de este papel se crea el

Registro General de Protección de Datos como órgano integrado en la Agencia de

Protección de Datos, y serán objeto de inscripción los ficheros automatizados de

titularidad privada, las autorizaciones a que se refiere la presente Ley y los datos

relativos a los ficheros que sean necesarios para el ejercicio de los derechos de

información, acceso, rectificación y cancelación.

La AEPD cuenta con una web, http://www.agpd.es, donde ofrece

información pública sobre la protección de datos. Un aspecto importante es que el

registro de los ficheros físicos (papel, informes, listados...) y lógicos (archivos

informáticos y de soportes magnéticos) es gratuito para todas las empresas,

profesionales y entidades que almacenen datos personales. Para ello existen varias

formas de realizarlo.

Una vez que se registren estos datos, la AEPD emite un certificado con un

número de registro único. Luego, a través de una empresa certificada en auditorías

de sistemas, un gabinete consultor especializado en esta materia o bien mediante

una aplicación informática de ayuda que se puede encontrar en el mercado, se

realiza el documento de seguridad, cuyo contenido aún no está estandarizado,

pero debe ajustarse a unas normas básicas de cumplimiento recomendadas por la

AEPD.


60

En este documento de seguridad se encontrarán las pautas a seguir por las

empresas o entidades que registran sus datos, para conseguir una mejor forma de

asegurar la relación entre los datos de clientes y/o proveedores que se encuentren

almacenados en los sistemas informáticos o ficheros.

Antes de continuar se considera necesario recalcar algunas definiciones que

son expuestas en la LOPD, y que atañen al correcto desempeño de su labor al

responsable de seguridad.

Afectado o interesado: Persona física titular de los datos que sean objeto del

tratamiento a que se refiere la definición de “tratamiento de datos”.

Bloqueo de datos: La identificación y reserva de datos con el fin de impedir su

tratamiento.

Cesión o comunicación de datos: toda revelación de datos realizada a una

persona distinta del interesado. Toda obtención de datos resultante de la consulta

de un fichero, la publicación de los datos contenidos en el fichero, su interconexión

con otros ficheros y la comunicación de datos realizada por una persona distinta de

la afectada.

Consentimiento del interesado: toda manifestación de voluntad, libre,

inequívoca, específica e informada, mediante la que el interesado consienta el

tratamiento de datos personales que le conciernen. El tratamiento de los datos de

carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la

ley disponga otra cosa.

Datos de carácter personal: “Cualquier información concerniente a personas

físicas identificadas o identificables”. “Toda información numérica, alfabética,

gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida,

registro, tratamiento o transmisión concerniente a una persona física identificada o


61

identificable”. Se pueden tratar de forma automatizada los datos de las personas

jurídicas sin tener en consideración la protección que ofrece esta norma.

Encargado del tratamiento: “La persona física o jurídica, autoridad pública,

servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate

datos personales por cuenta del responsable del tratamiento”

Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera

que fuere la forma o modalidad de su creación, almacenamiento, organización y

acceso.

Identificación del afectado: Cualquier dato que permita determinar directa o

indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social

de la persona física afectada.

Procedimiento de disociación: Todo tratamiento de datos personales de modo

que la información que se obtenga no pueda asociarse a persona determinada o

determinable. Suele utilizarse para el tratamiento de estadísticas, la ley indica que

no necesitará el consentimiento del afectado.

Responsable del fichero o tratamiento: Persona física, jurídica de naturaleza

pública o privada, u órgano administrativo que decida sobre la finalidad,

contenido y uso del tratamiento.

Transferencia de datos: El transporte de datos entre sistemas informáticos por

cualquier medio de transmisión, así como el transporte de soportes de datos por

correo o por cualquier otro medio convencional.

Tratamiento de datos: Operaciones y procedimientos técnicos de carácter

automatizado o no, que permitan la recogida, grabación, conservación,

elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos

que resulten de comunicaciones, consultas, interconexiones y transferencias.


62

Definición muy amplia que comprende todas las maneras de tratar datos de forma

automatizada con ordenador. Algunos conceptos nuevos surgen de esta definición:

bloqueo, cancelación y cesión de datos.

Responsable del fichero

La capacidad de tomar decisiones sobre el objeto, utilización y fin del

tratamiento, o sobre el uso que se va a dar a los datos de carácter personal

resultantes del tratamiento o, en su caso si van o no a ser cedidos, definen la figura

del responsable del fichero.

La figura del responsable del fichero adoptará las medidas de índole técnica

y organizativa que garanticen la seguridad de los datos de carácter personal y

eviten su alteración, pérdida, tratamiento o acceso no autorizado. Por otro lado

elaborará e implantará la normativa de seguridad mediante un documento de

obligado cumplimiento para el personal con acceso a los datos automatizados de

carácter personal y a los sistemas de información.

En cuanto a los mínimos para el contenido del documento:

a) Ámbito de aplicación.

b) Medidas, normas, procedimientos, reglas.

c) Funciones y obligaciones del personal.

d) Estructura de los ficheros y descripción de los sistemas de información.

e) Procedimiento de incidencias.

Otras de sus funciones son:

• Debe dar a conocer las responsabilidades y normas de seguridad al personal

implicado.


63

• Relación actualizada de usuarios con acceso a los ficheros y su alcance

(elemento, nivel) y procedimientos y autenticación.

• Conceder, alterar o anular el acceso sobre datos y recursos.

• Autorizar la salida del local del soporte informático que contiene los datos

de carácter personal.

• Verificar la correcta aplicación de los procedimientos (copias cada semana).

• Designar al(os) responsable(s) de seguridad (no delegación).

• Identificar en el documento de seguridad el personal con autorización de

acceso físico a los locales.

• Autorizar por escrito la aplicación de los procedimientos de recuperación de

los datos.

• Gestión de soportes informáticos.

Responsable de Seguridad

En principio, la disposición de la AEPD para incentivar a las empresas a

registrar sus ficheros ha sido libre, para que los departamentos involucrados en las

empresas realicen esta labor de forma sencilla, pero las empresas no llegaban a

entender esta finalidad por falta de información. Para ello, se han realizado

muchas charlas, jornadas, conferencias y cursos de formación orientadas a las

empresas desde las Cámaras de Comercio y entidades empresariales, fundaciones,

asociaciones, etcétera.

Últimamente se ha detectado, según fuentes externas, que hay un gran

número de profesionales dedicados a recopilar datos de las empresas a través de

fuentes públicas y visitarlas para realizar el registro y documentos de seguridad, a

unos precios desorbitados en la mayoría de los casos y en otros demasiado bajos,

además de ofrecer cursos de formación para los empleados de las empresas,


64

obviando los aspectos técnicos y ciñéndose básicamente a rellenar el cuestionario

de la aplicación informática para realizar el documento de seguridad propuesto.

La mayoría de estos profesionales carecen de formación y certificación

tecnológica suficiente para realizar una consultoría y auditoría de protección de

datos. Desde luego que han encontrado un filón de oro para explotar a los neófitos

y noveles en este particular.

La responsabilidad de un auditor o consultor especializado en esta materia

es, desde el principio hasta el final, incluso requerirle a la empresa auditada a

comparecer ante una inspección de la AEPD si fuera necesario. Un mantenimiento

de un par de cientos de euros anuales sólo sirve para ver sí su empresa está

llevando a cabo los registros necesarios ante la ley, acción que sólo les lleva una

hora como máximo.

El registro en la AEPD de los ficheros, cuando lo realiza un gabinete

consultor o un auditor, lo registra con la firma digital del auditor en nombre de la

empresa que solicita de sus servicios, para lo que la empresa ha firmado

previamente un contrato de protección de datos y confidencialidad.

Son obligaciones del responsable de seguridad:

• Verificar el cumplimiento del Reglamento y los procedimientos cada

dos años, como mínimo.

• Informar sobre los resultados de las auditorías y poner a disposición de

la Agencia de Protección de Datos.

Algunas de las definiciones incluidas en el Reglamento son:

Sistemas de información: conjunto de ficheros automatizados, programas,

soportes y equipos empleados para el almacenamiento y tratamiento de datos de

carácter personal.


65

Usuario: sujeto o proceso autorizado para acceder a datos o recursos.

Recurso: cualquier parte componente de un sistema de información.

Accesos autorizados: autorizaciones concedidas a un usuario para la

utilización de los diversos recursos.

Identificación: procedimiento de reconocimiento de la identidad de un

usuario.

Autenticación: procedimiento de comprobación de la identidad de un

usuario.

Control de acceso: mecanismo que en función de la identificación ya

autenticada permite acceder a datos o recursos.

Contraseña: información confidencial, frecuentemente constituida por una

cadena de caracteres, que puede ser usada en la autenticación de un usuario.

Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de

los datos.

Soporte: objeto físico susceptible de ser tratado en un sistema de información

y sobre el cual se pueden grabar o recuperar.

Copia del respaldo: copia de los datos de un fichero automatizado en un

soporte que posibilite su recuperación.


66

Para finalizar cabe decir que antes de realizar algún contrato de servicios se

debe exigir un contrato de LOPD, que no obliga a ninguna de las partes a acuerdos

económicos; sólo de protocolo de confidencialidad, de alcance y autorización para

presupuestar los servicios.

Antes de firmar algún contrato de servicios se debe conocer el alcance de la

asesoría, consultoría, ejecución y finalización del proceso incluida la formación.

Asimismo, los términos económicos y de seguimiento si los hubiera.

Un auditor o consultor en esta materia debe ser miembro de algún

organismo, institución o asociación tecnológica, o estar en posesión de la

acreditación suficiente para realizar dichas auditorías. Estas asociaciones o

instituciones suelen ser ISACA (International Systems Auditor Control

Association), IRCA (International Register of Certificated Auditors) o el RASI

(Registro de Auditores de Sistemas de la Información).

Por lo tanto, y para concluir este apartado, indicar que el hecho de realizar

una labor para estar con la conformidad en la Ley Orgánica de Protección de Datos

no sólo es una necesidad sino también una obligación que todos deben cumplir y

evitar de alguna manera estar al margen de la Ley.


67

33

CCllaavveess ddeell ccoommeerrcciioo eelleeccttrróónniiccoo eenn

llaa eeccoonnoommííaa..


68

3. Claves del comercio electrónico en la nueva economía

3.1. Comercio electrónico como generador de cambios empresariales.

La llegada de infraestructuras de información permanentemente

cambiantes, ha provocado predicciones respecto a que uno de los efectos de los

mercados será la eliminación de los intermediarios, basándose en la capacidad de

las redes de telecomunicaciones. Sin embargo, la realidad puede ser bien distinta

puesto que las tecnologías de la información no sólo reforzarán la posición de los

intermediarios tradicionales, sino que además promoverán la aparición de nuevas

generaciones de intermediarios. En un mercado tradicional puede considerarse

que los intermediarios proporcionan un servicio de coordinación. Sin embargo, es

necesario definir con mayor precisión esta actividad para identificar como afectará

Internet a esta tarea:

Búsqueda y evaluación.

Un cliente que elige una tienda especializada sobre unos grandes almacenes

escoge implícitamente entre dos alternativas de búsqueda y criterios de evaluación.

En cualquier caso el cliente delega una parte del proceso de búsqueda del producto

en el intermediario, quien también suministra un control de calidad y evaluación

del producto.

Valoración de necesidades y emparejamiento de necesidades.

En muchos casos no es razonable asumir que los clientes posean el

conocimiento individual necesario para evaluar fidedignamente sus necesidades e

identificar los productos que las cumplirán eficazmente. Por lo tanto los

intermediarios pueden suministrar un servicio valioso ayudando a sus clientes a

determinar sus necesidades. Los intermediarios proporcionan a los clientes


69

servicios sobre la evaluación de los productos, proporcionando información no

sólo del producto, sino sobre su utilidad, e incluso proporcionando la asistencia

explícita de un experto para identificar las necesidades de los clientes.

Manejo de los riesgos del cliente.

Los clientes no siempre tienen la información perfecta y por tanto pueden

comprar productos que no satisfagan sus necesidades. En consecuencia, en

cualquier transacción al detalle, el cliente se enfrenta con ciertos riesgos. Estos

pueden ser el resultado de una incertidumbre en las necesidades del cliente, un

fallo en la comunicación con respecto a las características, o un fallo intencionado o

accidental del fabricante al proporcionar un producto adecuado. Otro servicio que

proporcionan muchos intermediarios está relacionado con el manejo de este riesgo.

Éste se soluciona suministrando a los clientes la opción de devolver los productos

defectuosos o proporcionando garantías adicionales, reduciendo la exposición de

los clientes a los riesgos asociados con los errores de los fabricantes. Si el cliente

tiene la opción de devolver los productos por cualquier motivo, el intermediario

reduce más la exposición del cliente a los riesgos asociados con los fallos de los

clientes para valorar las necesidades con precisión y compararlas con las

características del producto. Por lo tanto, eligiendo un intermediario que

proporciona estos servicios, los clientes están comprando implícitamente al

intermediario un seguro.

Distribución de productos.

Muchos intermediarios juegan un papel importante en la producción,

envasado y distribución de bienes. La distribución es un factor crítico en la

determinación del valor de la mayoría de los bienes de consumo. Por ejemplo, un

litro de gasolina a mil kilómetros del hogar de un cliente frente al que está a un


70

kilometro, es significativamente diferente, debido principalmente a los servicios de

distribución proporcionados.

Difusión de información sobre productos.

Se trata de que el intermediario informe a los clientes sobre la existencia y

las características de los productos. Los fabricantes confían en una variedad de

intermediarios, incluyendo a las tiendas de venta al menor, casas de ventas por

correo/catálogo, agencias de publicidad y puntos de venta para informar a los

clientes.

Influencia sobre las compras.

A los fabricantes no sólo les interesa proporcionar información a los clientes,

sino vender productos. Además de los servicios de información, los fabricantes

también valoran los servicios relacionados con la influencia en las elecciones de

compra de los clientes: la colocación de los productos por parte de los

intermediarios puede influir en la elección de los mismos, así como poder

asesorarse explícitamente mediante un vendedor. Esquemas para la compensación

de comisiones, pagos por el espacio en estanterías y descuentos especiales son

formas en las que los fabricantes ofrecen servicios de asesorías de compras a los

intermediarios.

Suministro de información.

Esta información que es recogida por intermediarios especializados como

empresas de investigación de mercados, es utilizada por los fabricantes para

evaluar nuevos productos y planificar la producción de los existentes.

Manejo de los riesgos del fabricante.

El fraude y robo realizado por los clientes es un problema que

tradicionalmente ha sido tratado por los detallistas e intermediarios crediticios. En


71

el pasado, estos intermediarios han proporcionado sistemas y políticas para limitar

este riesgo. Cuando no podía eliminarse, eran los intermediarios quienes

afrontaban la exposición a este riesgo.

Integración de las necesidades de los clientes y de los fabricantes.

Los intermediarios deben ocuparse de problemas que surgen cuando las

necesidades de los clientes chocan con las de los fabricantes. En un entorno

competitivo, un intermediario satisfactoriamente integrado proporciona una gama

de servicios que equilibra las necesidades de los clientes y de los fabricantes de una

forma aceptable para ambos.

3.1.1. Tipos de intermediarios

A continuación se identifican diversos tipos de intermediarios basados en

Internet:

• Directorios. Ayudan a los clientes a encontrar productos clasificando

instalaciones web y proporcionando menús estructurados para facilitar la

navegación. En la actualidad son gratuitos, pero en el futuro podrían ser de

pago. Existen tres tipos de directorios:

o Generales. Un ejemplo es Yahoo, que proporciona un catálogo general

de una gran variedad de diferentes sitios web. Habitualmente existe un

esquema para organizar y elegir los sitios que serán incluidos. Estas

instalaciones suelen soportar "browsing" así como búsqueda del catálogo

mediante palabras clave.

o Comerciales. Como El Índice que se centra en proporcionar catálogos de

sitios comerciales. No proporcionan infraestructura o servicios de

desarrollo para los fabricantes, sino que tan sólo actúan como un


72

directorio de instalaciones existentes. También pueden suministrar

información sobre un área comercial específica, con frecuencia a

empresas que no tienen web. Estos intermediarios son equivalentes a los

editores de guías en papel.

o Especializados. Están orientados a temas, y son incluso tan sencillos

como una página creada por una persona interesada en un tema. Estas

páginas pueden suministrar al cliente información sobre un bien o

fabricante en particular.

• Servicios de búsqueda. Similares a Google, proporcionan a los usuarios

capacidades para realizar búsquedas basadas en palabras clave sobre

grandes bases de datos de páginas o instalaciones web.

• Centros comerciales. Son instalaciones que proporcionan una

infraestructura al fabricante o al detallista a cambio de una cuota. Pueden

estar compuestos de una gran variedad de tiendas que venden múltiples

productos.

• Editoriales. Son generadores de tráfico que ofrecen contenidos de interés

para los clientes, como periódicos o revistas interactivas. Las editoriales se

convierten en intermediarios cuando ofrecen vínculos con los fabricantes a

través de publicidad o listas de productos relacionadas con sus contenidos.

• Revendedores virtuales. Estos intermediarios existen para vender a los

clientes centrándose en productos especializados que obtienen directamente

de los fabricantes, quienes pueden dudar en dirigirse directamente a los

clientes por temor a alejar a los detallistas de los que dependen.

• Evaluadores de los sitios web. Los clientes pueden dirigirse a un fabricante a

través de un sitio que ofrece alguna forma de evaluación, lo que puede


73

ayudar a reducir su riesgo. Algunas veces las evaluaciones se basan en la

frecuencia de acceso, mientras que en otros casos son una revisión explícita

de las instalaciones. Un claro ejemplo de éxito es ciao.es.

• Auditores. Tienen funciones similares a las de los servicios de medición de

audiencia en medios tradicionales. El comercio electrónico requiere de los

mismos servicios adicionales que facilitan el comercio tradicional. Los

anunciantes requieren información sobre las tasas de uso asociadas con la

publicidad en el web, así como información fidedigna sobre las

características de los clientes.

• Foros, clubes de aficionados y grupos de usuarios. Estos tipos de

instalaciones no son necesariamente intermediarios directos, pero pueden

jugar un gran papel al facilitar la retroalimentación entre clientes y

fabricantes, así como soportar la investigación de mercados. Los mejores

ejemplos de estos grupos son las listas relacionadas con productos que

conectan al fabricante con los clientes.

• Intermediarios financieros. Cualquier forma de comercio electrónico debe

permitir alguna manera de realizar o autorizar pagos del comprador hacia el

vendedor. Los sistemas de pago podrán ser desde autorización de crédito,

cheques electrónicos, pago en efectivo, Paypal y envío de correo electrónico

seguro para autorizar un pago.

• Redes de trueque. Es posible que las personas cambien un bien o un servicio

por otro, en vez de pagarlo con dinero. Aparecerán intermediarios similares

a las casas de subastas y bolsas de mercancías para capitalizar estas

oportunidades.

• Agentes Inteligentes. Son programas que mediante un criterio preliminar de

búsqueda proporcionado por el usuario, facilitan la localización de recursos


74

a través de Internet, aprendiendo de los comportamientos pasados para

optimizar las búsquedas. Esto puede convertirse en un nuevo servicio de

intermediación que los clientes adquieren cuando necesitan cierto bien o

servicio.


75

3.2. Tipos de comercio electrónico.

Se pueden definir seis tipos de comercio electrónico en la actualidad, que

responden a las siguientes siglas:

� B2B: Business to Business.

� B2E: Business to Employer.

� B2C: Business to Consumer.

� C2C: Consumer to Consumer.

� G2C: Government to Consumer.

� G2B: Government to Business.

A continuación se procede a explicar cada uno de ellos:

Business to Business (B2B)

Este primer tipo de comercio electrónico se denomina Business to Business

por ser aquel que se desarrolla entre empresas. El auge de Internet sobre todo en

los últimos años ha impulsado este tipo de comercio electrónico por la creación de

portales para agrupar compradores.

Un portal B2B es aquel que proporciona soluciones y servicios de

negociación y aprovisionamiento, que optimiza las transacciones comerciales entre

empresas e instituciones a través del comercio electrónico.


76

Es común que en la actualidad el mantenimiento de dichos portales se

realice mediante un canon por cotización o bien un cobro de comisión de negocio a

los socio.


77

Las ventajas del B2B respecto a otros tipos de comercio electrónico son las

siguientes:

� Descubre nuevos compradores-vendedores.

� Los mercados tienden a ser más transparentes.

o Abaratamiento del proceso.

� La facilidad de las transacciones aumenta.

� Integración de transacciones.

� Reducción del riesgo en las operaciones.

� Mejora del valor.

o Mayor competencia.

o Ventajas comparativas.

o Costes reducidos de establecimiento de relaciones.

� Colaboración.

o Integración.

o Relaciones más estrechas.

Por otro lado cabe destacar que las barreras de entrada al B2B son más altas

que en otros tipos de comercio electrónico, pero las barreras de salida también lo

son.


78

Business to Employer (B2E)

Business to Employer es aquel tipo de comercio electrónico que ocurre entre

la empresa y el empleado, es decir la relación que se establece entre una empresa y

sus propios empleados.

El B2E no se queda sólo ahí, y también es toda la gestión remota que realiza

el empleado de parte de sus responsabilidades dentro de los procesos de negocio

de la empresa. Esto podría incluir facturación de comisiones de ventas, gastos de

desplazamiento, etc.

En conjunto se puede hablar de un portal interno donde los empleados de

una empresa utilizan ciertos recursos de la misma, por ejemplo por medio de una

Intranet.

Las ventajas del B2E respecto a otros tipos de comercio electrónico son:

� Reducción de costes y tiempo en actividades burocráticas.

� Formación on-line.

� Mejora de la información interna.

� Equipos de colaboración en un entorno web.

� Agilización de la integración del nuevo profesional en la empresa.

� Servicios intuitivos de gestión de la información.

� Soporte para gestión del conocimiento.

� Comercio electrónico interno.

� Motivación.

� Fidelización del empleado.


79

Business to Consumer (B2C)

Se entiende por Business to Consumer a aquel tipo de comercio electrónico

que se realiza entre la empresa y el consumidor. Tiene un gran potencial a largo

plazo y en la actualidad de asienta en multitud de sectores.

El éxito de este tipo de comercio electrónico pasa por la seguridad de los

sistemas de pago a través de tarjeta de crédito, así como contra reembolso, en

efectivo y otros servicios proporcionados por otras empresas, como PayPal. Es

interesante explicar el modelo de negocio de estas últimas empresas, en concreto

PayPal, por su relevancia en el comercio electrónico actual, y en el B2C en

particularmente.

PayPal es una empresa que permite la transferencia de dinero entre usuarios

que tengan correo electrónico, como alternativa a los tradicionales cheques o giros

postales. En realidad no se puede considerar a PayPal como un banco, pues no

ofrece servicios de rentabilidad de dinero, por ejemplo, pero si está sujeto a las

reglas del Departamento del Tesoro de los Estados Unidos de América. Ofrece

además la posibilidad de transferencia de dinero a cuentas bancarias habituales, o

recibir dinero desde las mismas.

El éxito de este servicio radica fundamentalmente en una campaña de

marketing en Internet muy potente, buscando la expansión del servicio a todos los

sectores posibles, así como la de actuar como capa entre la cuenta bancaria del

cliente y la empresa, quedándose con un porcentaje de dicha operación.


80

Por otro lado, las empresas que realizan B2C se pueden clasificar en:

1. Vendedores directos:

• Minoristas: Amazon, eBay.

• Fabricantes: Dell.

2. Intermediarios on-line:

• Brokers: Intermediarios entre vendedor y comprador. Existen los siguientes

tipos:


81

o Buy/Sell Fulfillment: Empresas que ayudan al cliente a ejecutar sus

órdenes de compra/venta. Ingresos por comisiones y tráfico. Ejemplo

eTrade.

o Centros Comerciales Virtuales: Empresas que integran en un solo

espacio diferentes tiendas y tienen ingresos por tráfico. Ejemplo Yahoo

Stores.

o Metamediary: Integran variedad de productos y tiendas de terceros

pero integran servicios transaccionales como por ejemplo financiación

de compras. Ingresos por tráfico, comisiones y servicios. Ejemplo

Amazon zShops.

o Bounty: Intermediarios que cobran por encontrar una persona, un

lugar, una idea, etc. Reciben ingresos por comisiones, intermediación y

tráfico. Ejemplo bounty.

o Comparadores on-line: Ayudan a los usuarios a comparar productos y

precios. Reciben ingresos por comisiones y tráfico. Ejemplo kelkoo.

• Infomediarios: Sitio web que ofrece información especializada en nombre de

los productores de bienes y servicios y sus clientes potenciales.

Las ventajas de las empresas que realizan comercio electrónico B2C frente a

otros tipos son las siguientes:

I. Compras pueden ser más rápidas y más convenientes.

II. Las ofertas y los precios pueden cambiar instantáneamente.

III. Centros de llamadas pueden ser integrados con la web.


82

IV. Las telecomunicaciones de banda ancha mejoraran la experiencia de

compra.

Por otro lado, los dos principales desafíos que posee el comercio electrónico

B2C en la actualidad son la creación de tráfico y el mantenimiento de la fidelidad

de los clientes. Debido a esto muchas pequeñas empresas tienen dificultades para

entrar en el mercado y seguir siendo competitivos.

Además, los compradores on-line son muy sensibles al precio y son

fácilmente atraídos, por lo que la adquisición y mantenimiento de nuevos clientes

es difícil.

Consumer to Consumer (C2C)

Es aquel tipo de comercio electrónico que se realiza mediante transacciones

privadas de consumidores, que pueden tener lugar por ejemplo mediante correo

electrónico o tecnologías p2p.

Algunos ejemplos de C2C son eBay o Amazon. Por otro lado el comercio

electrónico C2C se espera que siga creciendo en los próximos años de forma muy

significativa, pues cada vez está más extendido por Internet mediante páginas

similares a las anteriormente citadas.

Government to Consumer (G2C) / Government to Business (G2B)

Con Government to Consumer y Government to Business se entiende aquel

tipo de comercio electrónico que se realiza desde el Gobierno a empresas y

particulares, es decir al uso de las nuevas tecnologías en el sector público referido


83

al comercio electrónico. También es llamado comúnmente en España como e-

Servicios o e-Administración.

Inicialmente existía una situación en la cual la Administración estaba en

niveles de servicio muy heterogéneos, y los canales que se establecían con los

ciudadanos eran los que se imponían desde la propia Administración tal y como se

refleja en la siguiente figura:

Con esta situación inicial existente apareció la primera solución tecnológica

que consistía en multitud de iniciativas individuales que pretendían aumentar la

eficiencia y mejorar el servicio. Debido a una situación tal y como se ha comentado

heterogénea aparecieron soluciones y sistemas muy dispersos, que conllevó en una

falta de integración.


84

Hoy en día existe una tendencia al cambio consistente en una

modernización que pretende como objetivo mejorar la atención y el servicio al

usuario, implantar nuevas tecnologías y cambiar el modelo organizativo. Las

nuevas tecnologías y técnicas organizativas citadas puestas al servicio de la

Administración Pública constituyen la denominada e-Administración, que tiene

como características:

• Realización on-line de compras y ventas entre la Administración y las

empresas.

• Un medio de relación personalizado, orientado a ciudadanos y empresas.

• Agilización de trámites administrativos.

• Un lugar de intercambio de información.

• Transparente.


85

3.3. La nueva cadena de valor en el comercio.

El auge de las nuevas tecnologías, sobre todo Internet, ha afectado también

a la cadena de valor, abriendo nuevas puertas para las empresas, que son capaces

de conseguir sintetizar mucho más la información que poseen de sus productos así

como la de sus clientes, pudiendo realizar de forma mucho más exhaustiva todo

tipo de análisis.

Con el fin de poder identificar todos los nuevos cambios y efectos, en primer

lugar se va a realizar una descripción de la cadena de valor como un conjunto de

fases que dan valor a sus productos y/o servicios. Se puede decir que una empresa

pasa por cinco fases, que se denominan actividades primarias, a lo largo del ciclo

de vida de su producto: desde que es un simple proyecto hasta que llega como

producto final al cliente. Estas son diseño, producción, distribución, marketing y

ventas, y servicio postventa. Estas actividades son apoyadas por las denominadas

actividades secundarias, que son típicamente la infraestructura de la organización,

los recursos humanos, el desarrollo tecnológico y el abastecimiento.


86

Dada esta distribución planteada por Porter en 1985, se puede obtener

información para el negocio que permitirá:

1. Conocer el valor añadido para cada fase de la cadena de valor y en

cada línea de negocio a lo largo del tiempo.

2. Realizar una serie de pruebas de mercado mediante benchmarking

con respecto a la competencia existente en lo que se refiere a la

distribución de la cadena de valor.

3. La posibilidad de realizar un análisis DAFO de manera más sencilla.

4. Ayudar en la toma de decisiones estratégicas, como por ejemplo la

desintegración vertical mediante subcontratación.

Si se quiere conocer cómo puede influir en la cadena de valor el comercio

electrónico, se debe considerar dicha cadena en todo su conjunto. Desde hacer

visibles los productos y/o servicios en una página web para una simple consulta


87

por parte del cliente, hasta completar la transacción electrónicamente, con entrega,

facturación y cobro incluidos. Por otro lado, si bien no es condición indispensable

un sistema de comercio electrónico completo para que nuestra cadena de valor se

vea afectada, las ventajas en forma de sinergias, tanto operativas como de coste,

que proporcionaría el mismo hacen previsible una futura tendencia a la integración

digital de empresas. El comercio electrónico aporta una serie de ventajas

competitivas a aquellas entidades que decidieron adoptarlo, que a su vez generan

o contribuyen a desarrollar una serie de capacidades o habilidades imprescindibles

para diferenciarse de la competencia.

Se pueden igualmente reducir de manera considerable todo tipo de

ineficiencias en procesos tales como aprovisionamiento, gestión de stocks o

producción, con todo lo que eso podría implicar en cuanto a ahorros de costes

variables tales como horas de mano de obra o materias primas.

Estas dos últimas herramientas son de importancia capital en el éxito del

comercio electrónico entre organizaciones o B2B (Business to Business).

En cuanto al B2C (Business to Consumer) o comercio electrónico orientado

al consumidor, dos líneas de negocio parecen tener un futuro prometedor en el

mundo virtual: por un lado, aquellos productos y servicios en los que la

compresión de información se convierte en factor clave de negocio (contenidos en

la Red, libros digitales o subastas), y por otro, aquellos que aportan una

reingeniería de procesos con respecto a sus homónimos del mundo real (entre los

que hay que destacar a las empresas de consultoría, selección de recursos humanos

o formación en línea).

El resto de productos y servicios tendrán del mismo modo cabida en la Red,

si bien no como canales específicos de venta en Internet, sino como canales

complementarios a su presencia en los canales de distribución reales, ya sea para


88

generar entradas (para la captación y posterior gestión de información primaria) o

bien salidas (fomentar la interactividad entre cliente y empresa).

A reseñar del mismo modo el hecho de que el comercio electrónico es

adoptado por las empresas que se decidieron a dar el paso hacia el mundo virtual

con muy diversas estrategias. Así, se pueden encontrar desde las entidades que

fueron creadas únicamente para la venta de sus productos a través de la Red hasta

las que utilizan Internet únicamente como apoyo a su presencia en el mundo

tangible, pasando por aquellas que combinan ambas presencias.

Efectos sobre la fase de diseño

El diseño de la gama de productos y servicios de la empresa puede dar un

gran salto cualitativo gracias a la incorporación al mundo virtual, ya que el

contacto directo con proveedores y clientes permite:

• Identificar tendencias de mercado y adaptar los futuros productos a

cambios en la demanda.

• Involucrar al cliente en el diseño de futuros proyectos.

• Responder a la demanda en el plazo y condición establecidos.

• Simplificar el proceso de elección de componentes de nuestros

proveedores.

• Tener un conocimiento exhaustivo del comportamiento del

consumidor, ya que las propias características de la red posibilitan

conocer cuáles son los enlaces de la página que más le interesan, cuál

es la secuencia que sigue una vez dentro, e incluso saber

virtualmente hablando, dónde estuvo antes y a dónde fue después.


89

• Tener una comunicación interactiva con el cliente, quien podrá

ponerse en contacto para realizar consultas, solicitar información,

hacer preguntas más específicas o pedir productos a medida.

• Trabajar conjuntamente a equipos de diseño físicamente separados e

integrar a empresas externas en el proceso.

Efectos sobre la fase de producción

La incorporación del comercio electrónico también afecta a todo el proceso

de producción. Un ejemplo es el de aquellos artículos caracterizados por un alto

nivel de modularidad, en los que se ofrece la posibilidad al cliente de elegir la

configuración final del producto en base a múltiples criterios. De este modo se le

permite al cliente realizar su elección analizando en detalle todas y cada una de las

diferentes combinaciones finales, gracias a un proceso de decisión de compra

ilimitado en el tiempo, sin presión ni vendedor delante.

Además de la modularidad, también la variabilidad de la gama de

productos es susceptible de verse incrementada, lo cual podría dar lugar a

problemas en el sistema de producción en caso de que éste no esté configurado con

el suficiente grado de flexibilidad y adaptabilidad a variaciones en la demanda.

Por otro lado, esta misma cuestión lleva asociadas ciertas ventajas en forma

de posible fabricación sobre pedido en el caso de que no se solicite la entrega del

producto con carácter inmediato, lo cual supone permitir operar con reducciones

drásticas de inventarios que repercuten en la cuenta de resultados.

En resumen, el proceso de fabricación puede comenzar su implementación

partiendo del pedido de un producto a medida realizado por un cliente a través

del sitio web. A partir de ahí se inicia la cadena de fabricación y


90

aprovisionamiento, con lo que se logran notables optimizaciones en el proceso de

fabricación, principalmente en forma de desaparición de cuellos de botella y gastos

de almacenaje.

De esta manera, la utilización de procesos de fabricación JIT (Just In Time)

se hará notoriamente más asequible, ya que el uso de una comunicación interactiva

vía Internet da lugar a una considerable reducción de costes frente al uso de

sistemas tradicionales de automatización de pedidos y facturación, como por

ejemplo EDI (Electronic Data Interchange).

Efectos sobre la fase de distribución

En esta fase, el impacto de la integración digital de empresas es enorme, y lo

será mucho más en un futuro próximo. En el caso de empresas con productos de

carácter virtual, se logrará eliminar no ya sólo stocks físicos, sino también a

intermediarios y distribuidores de todo tipo (se estaría hablando de una

integración vertical total). Se crean de esta manera nuevos canales de distribución

directos entre fabricantes y consumidores finales, ya que textos, imágenes, sonidos

o vídeos son productos que pueden descargarse directamente a través de la red.

Las ventajas también aparecen en el caso de productos con presencia física,

ya que se podría entonces dotar a la cadena logística de un nivel total de

automatización: la empresa de transporte recibiría la orden de compra

directamente de nuestros clientes.

Y es que la aplicación de estas nuevas tecnologías a la distribución puede

servir para aumentar considerablemente la satisfacción de los clientes con los

servicios que se presten, pues se les presenta a las empresas un amplio margen de

maniobra en forma de servicios de alto valor percibido por parte del cliente (y bajo

coste) que realmente facilitan a las empresas la fidelización del perfil objetivo.


91

Por ejemplo, los clientes de las principales empresas de logística a nivel

mundial (tales como DHL, FedEx o UPS) pueden realizar un seguimiento en línea

en tiempo real de la ubicación física de sus mercancías gracias a un sofisticado

sistema informatizado de tracking de pedidos.

Por otro lado no en todos los sectores se ha dado la bienvenida al comercio

electrónico y su consiguiente desintermediación de canales en forma de

distribución de productos y servicios sin un establecimiento físico. Así, se observa

en el horizonte un futuro no muy favorecedor para el gremio de todo tipo de

intermediarios, tanto mayoristas como minoristas.

Como consecuencia de lo anterior, surgen interrogantes tales como: ¿cuál va

a ser la estrategia a corto y medio plazo de este tipo de entidades ante la repentina

tendencia a la integración vertical por parte de los que hasta hace poco eran sus

proveedores o clientes?, ¿terminarán desapareciendo categorías genéricas tales

como las agencias de viajes, inmobiliarias, tiendas de música, videoclubs,

concesionarios de automóviles o la banca comercial tal y como hoy se conocen?, ¿se

crearán nuevas categorías genéricas de negocio en la red difíciles de imaginar hoy

en día?, ¿cuál es el futuro de cajeros, taquilleros, dependientes, e incluso de

farmacéuticos y brokers?

Sin mayor ánimo visionario, y basándose sobre todo en los errores

cometidos por los gestores de los principales e-Business se puede asegurar que las

claves del éxito en el mundo físico son perfectamente trasladables al mundo

virtual, destacando éstas:

• Estrategia de negocio coherente con la estructura interna de la empresa y

con el entorno.

• Estructura financiera saneada.


92

• Constante apuesta por la innovación y la diferenciación.

• Flexibilidad ante los cambios.

• Que exista un cliente latente del tipo de productos y servicios que la

empresa ofrece.

• Que los productos y servicios cubran las necesidades del cliente.

• Que los productos y servicios cubran las expectativas del cliente.

Resumiendo, si bien no es posible referirse de modo genérico en los

modelos de negocio virtuales que funcionan cuál fue el factor clave de negocio que

les llevó a destacar (ya que existen múltiples características propias no ya de cada

sector o mercado, sino incluso de cada canal de distribución o legislación fiscal

local), sí existen unas características intrínsecas del negocio en el que se compite, y

será el que mejor conozca estas características, y sepa adaptarlas a su negocio

virtual, el que termine configurando una imagen de marca en la mente del

consumidor.

Efectos sobre el marketing

Se trata, probablemente, del eslabón de la cadena en el que puede ejercer

mayor influencia el comercio electrónico, en cualquiera de las 4P’s: precio,

producto, publicidad y distribución, apareciendo ventajas tales como:

• Acceso en tiempo real a información del tipo quién ha accedido a una

página web, qué rutas han seguido dentro del mismo, y en qué franjas

horarias, y, en definitiva, todos aquellos criterios que permitan conocer en

profundidad quién es el cliente y cuáles son sus necesidades.


93

• Consecución del equilibrio entre el impacto y la riqueza de un mensaje:

mediante la comunicación digital se puede alcanzar dicho equilibrio entre

ambos parámetros, ya que se puede dirigir a grandes cantidades de

consumidores ofreciéndoles información extensa sobre productos y

servicios, impensable con métodos tradicionales tales como la venta directa

(impacto bajo, riqueza alta) o publicidad televisiva (impacto alto, riqueza

baja).

• Globalidad total de mercado, ya que se pueden ofrecer productos y

servicios por todo el mundo sin apenas límites de tipo geográfico o

temporal y con un coste por regla general bastante menor.

• Mayor calidad de la comunicación, ya que se podrá enviar una gran

cantidad de información sobre productos utilizando imágenes, sonido y

texto.

• Segmentación: verificar que hay una total afinidad entre el perfil objetivo y

el usuario promedio de la red. En la actualidad, cada vez más, el prototipo

de usuario de Internet es realmente representativo de la sociedad en

general, pero aun hay muchas diferencias. Por citar unos ejemplos, el

porcentaje de usuarios masculinos está muy por encima del

aproximadamente 50% que le correspondería por presencia en la sociedad,

siendo también sensiblemente diferentes en cuestiones tales como el nivel

promedio de estudios o la distribución por edades.

• En definitiva, las tecnologías existentes en materia de comercio electrónico

posibilitan el uso de diversos criterios de segmentación para que un banner

concreto sea accesible únicamente por los miembros de perfiles

determinados, con lo que se conseguirían eliminar los costes de fricción

(procedentes de enviar mensajes publicitarios a perfiles escasamente


94

susceptibles de estar interesados en nuestros productos) existentes en las

plataformas publicitarias del mundo tangible.

• Espectaculares ahorros en costes como consecuencia directa de métodos

más baratos de comunicación y distribución, que a su vez se pueden

repercutir en el cliente, incentivándole así a abandonar los métodos

tradicionales de compra.

• Mayor capacidad por parte del usuario para poder comparar cuestiones

tales como precios, calidades, plazos de entrega o condiciones de

financiación con productos o servicios de empresas competidoras.

• Técnicas de promoción interactiva, con todo tipo de concursos, chats, foros,

juegos, premios y sorteos dirigidos a perfiles específicos.

Obviamente, es en esta fase en la que se produce un mayor salto cualitativo

respecto a la cadena de valor tradicional, ya que se producen consecuencias

directas tales como:

• Aparición de nuevas metodologías de fidelización de clientes.

• Desaparición de procesos administrativos en su formato tradicional en el

caso de ventas empresa-empresa (EDI).

• Desaparición progresiva de las fuerzas de ventas.

• Normalización de los métodos de pago.

Como consecuencia de lo anterior, las empresas que han decidido apostar

por la integración digital pueden haber encontrado grandes expectativas en forma

de:

• Mejora de gestión de la fuerza de ventas.


95

• Posibilidad de enviar mensajes de ventas personalizados.

• Realización de un marketing instantáneo a una audiencia global.

• Reducción de costes en la captación de nuevos clientes.

Efectos sobre el servicio postventa

Posiblemente, el servicio más valorado por parte del cliente, y en el que

nuevas tecnologías tales como el comercio electrónico pueden jugar un papel

fundamental.

Mediante la integración de los centros de atención telefónica (Call Centers)

con Internet, se puede crear un servicio de atención en línea a su vez integrado con

la actual estructura de soporte telefónico con vistas a afianzar la relación con la

clientela.

Aún teniendo en cuenta que el nivel de servicio post-venta cambia

radicalmente de un tipo de productos a otros (no tienen nada que ver los

productos de marketing masivo y los de marketing industrial, por poner un

ejemplo), nunca deja de convertirse en un arma de doble filo para el fabricante: es

una amenaza a la vez que una oportunidad. Se propone el caso de un programa de

software (útil para ejemplificar ambos tipos de marketing): el usuario de ese

programa podrá recibir en línea información sobre otros programas del mismo

fabricante; trucos, curiosidades y nuevas utilidades del programa que compró;

enviar quejas o sugerencias; actualizar su versión del producto incluso de forma

automática; pedir que envíen un técnico a sus instalaciones o chatear con otros

usuarios.

Como complemento a lo anterior, se puede también atender al cliente con

respuestas estandarizadas desde Internet, utilizando bases de datos


96

específicamente configuradas que contengan respuestas a las preguntas más

habituales (en los call centers es bastante usual la ley de Pareto del 80/20: el 80%

de las preguntas encuentra como solución el 20% de las respuestas).

En el caso de que la base de datos no estuviese configurada para poder

responder a la petición o duda del cliente, se recurriría entonces a un servicio de

atención personalizada, ya sea mediante un equipo de teleoperadores, o con chats

o e-mails si la situación así lo requiriese. Por otra parte, las preguntas que formasen

parte de la base de datos inicial se verían complementadas con aquellas que por su

reiteración pudieran ser de utilidad para futuras consultas, retroalimentando así el

sistema.

De lo que se deduce claramente es que este tipo de herramientas puede ser

de gran utilidad para las empresas a fin de incrementar el grado de satisfacción de

sus clientes reduciendo a su vez su estructura de costes.

A modo de conclusión, recalcar el hecho de que en las empresas

tecnológicamente integradas (ya sea total o parcialmente), se encuentren dos

cadenas de valor paralelas: la real y la virtual. Ambas deben estar compensadas y

conjuntadas entre sí, así como con el entorno que las rodea (clientes, proveedores y

competidores, ya sean actuales o simplemente potenciales), al tiempo que deben

seguir un tratamiento distinto en aquellas cuestiones en que las peculiaridades de

sus diferentes medios así lo aconsejen.

O lo que viene a ser lo mismo: el mundo digital permite todo un abanico de

oportunidades para el análisis de nuestro negocio que se pueden utilizar para una

constante reingeniería de procesos, utilizando como información de base la

procedente de analizar previamente los eslabones de la cadena de valor virtual.


97

3.4. Las nuevas oportunidades empresariales.

En este apartado se va a estudiar el caso de dos iniciativas de negocios en

Internet cuyos resultados fueron totalmente opuestos, triunfando una de ellas y

fracasando la otra. Se pueden extraer conclusiones útiles de los aciertos y errores

que se pueden cometer.

El responsable de desarrollo de negocio de la empresa Memorix se

enfrentaba a un reto importante. La única empresa que participaba al mismo nivel

que ellos en el mercado de la distribución de componentes electrónicos era

Elecktrik, y acababa de crear una página web habilitada mediante comercio

electrónico para llegar de forma más eficiente a su mercado. De modo que el

director general de Memorix reunió al director de marketing, al jefe de ventas y al

responsable de negocios. Finalmente, se dictaminó que este último debería

elaborar una alternativa de e-business competitiva respecto a la de Elecktrik.

Tras haber observado con detalle el funcionamiento de la web de sus

competidores, se diseñó la nueva página web de Memorix, la cual era muy similar

a la primera. Ambas tenían un "front office" casi idéntico. Eso quiere decir que se

corresponde con la parte que el cliente ve y está compuesto de tres elementos:

• Contenido. Aquello que ha de ser introducido en la web.

• Estructura. Referente al lugar donde tiene que aparecer contenido.

• Diseño. Indica cómo ha de aparecer el contenido de la web.

Aunque el front office es una parte muy necesaria, no era la diferencia más

destacable entre ambas páginas web, sino que había que buscar más abajo para

llegar a la capa donde el negocio y la experiencia son lo esencial. Aquello que

muchos llaman “Know-how” y que se adquiere a través de años de experiencia y

por ello no es algo sencillo de copiar.


98

Finalmente, se recurrió a los clientes para que dieran su opinión sobre

ambas páginas web y el resultado de esta iniciativa permitió llegar a las claves del

problema de Memorix:

• Los pedidos llegaban con retraso en un buen número de casos y la atención

al cliente no era ni rápida ni eficaz.

• En Elecktrik la información de producto se había cuidado más que en

Memorix, se había estructurado mejor y era más extensa.

• No aplicaban precios personalizados según diversos criterios.

Por ello, se deben tener en cuenta tres elementos clave en cualquier ebusiness:

la gestión de información, integración con los procesos de negocio internos y

finalmente la personalización.

a) Gestión de información. ¿Cómo ha de ser ésta para ser útil en la web?

• Profunda. Debe responder a las preguntas que se puede hacer el

cliente en el momento de elegir un producto en el que está

interesado. Preferiblemente ha de ser extensa.

• Estructura. Para todos los productos catalogados se ha de seguir una

estructura uniforme. Debe constar de categorías, subcategorías,

atributos...

• Automatizada. Aquí cobran especial importancia los átomos de

información. Esto es, dividir la información en pequeños

componentes. Poniendo como ejemplo una película, se podría

mostrar información referente a su título, director, reparto, país, año,

crítica...

Un buen número de empresas disponen de información amplia y útil

en el ámbito interno de las mismas, para que la use el personal de sus


99

distintos departamentos, pero no apropiada para ubicarla en un lugar como

Internet, accesible por un gran número de personas. Esto no se ve

favorecido si dispone de información obtenida de otros miembros de la

cadena de suministro, los cuales la habrán estructurado bajo sus criterios, de

modo que se complica la conjugación de la misma con la información propia

de la empresa en cuanto al nivel de información, estructura y formato. No

obstante. Existen medidas para enfrentarse a esta eventualidad:

• Internamente. El precio a pagar será el tiempo necesario y el coste en

personal, para la alternativa que consiste en destinar a un grupo de

empleados la labor de gestión de información en el sentido de

recopilarla, digitalizarla e incorporarla a la estructura presente. Pero

la ventaja será esencial, ya que la información gozará de un control

total, de cara al interior de la empresa pero también de forma abierta,

desde la web.

• Externamente. Obtener una base de datos cuidada y actualizada

periódicamente a través de alguna empresa dedicada a seleccionar y

organizar información. Se ha de buscar la solución mejor adaptada al

tipo de negocio dado.

• Herramientas software. Que permiten tratar catálogos de información

de diversa índole de cara a integrarlos coherentemente. Pero para ello

la información de los mismos ha de ser lo suficientemente elaborada

y cuantiosa para que estas aplicaciones consigan un nivel de eficacia

óptimo, ya que por sí solas no están habilitadas para mejorar su

calidad y profundidad.

b) Integración con los procesos de negocio internos. ¿Qué ocurre una vez que

el consumidor ha seleccionado la opción comprar? Un back office (tareas de


100

gestión internas de la empresa) integrado será clave, para ello se deben

considerar los siguientes aspectos:

• Conectar la web con el sistema de gestión. La página web de la empresa

no puede ser una isla. Ha de estar conectada al centro neurálgico, ese

lugar de la empresa donde se trabaja rigurosamente para cuidar sus

actividades, sus clientes y proveedores. En definitiva, se ha de

conectar a su sistema de gestión. Esta consideración es vital para el

éxito de un negocio en Internet.

• Conectar la web con los proveedores. Igual que ocurría en el caso

anterior, también se debe considerar la conexión del sitio web con los

proveedores para beneficiarse de este modo, de las siguientes

ventajas:

� Los pedidos son enviados directamente al proveedor que

corresponda, de esta forma, se produce un ahorro sustancial

en los costes de gestión de compras de la empresa.

� Para los proveedores también comporta ventajas, reduciendo

costes. Se aumenta la capacidad de negociación entre la

empresa y los proveedores. Finalmente, cabe destacar que los

pedidos entran directamente en el programa de gestión de los

proveedores, evitando de este modo el trabajo de recepción de

pedidos.

� El pedido viaja sin intermediarios desde el ordenador del

cliente hasta el del proveedor. Con ello se consigue disminuir

el tiempo de entrega de los productos disponibles.

• Precio y disponibilidad en tiempo real. Con ello se consigue un

importante ahorro de tiempo en primer lugar para el cliente,

evitándole sorpresas desagradables en cuanto al plazo de entrega y

en segundo lugar para la propia empresa, que evita tener que hacer


101

múltiples llamadas telefónicas a sus proveedores para verificar la

disponibilidad de sus productos.

c) Personalización. ¿Qué condiciones se ofrecen a los distintos clientes que

emplean la web para comprar? En negocios B2C, orientados a clientes

individuales, se pueden emplear formas de pago y precios estándar. Pero en

los negocios B2B, es esencial ofrecer un trato personalizado a las diferentes

empresas, han de sentirse exclusivas y valiosas.

Desean que la web les permita acceder a ventajas como plazos y

formas de pago, rappels, descuentos y precios a su medida. Hay que tener

especial cuidado a la hora de producirse cambios en la información del

programa de gestión de la empresa, en el supuesto de que de ahí parte la

información que se plasme en la web. En ese caso la web ha de ser coherente

con la misma a través de un correcto mantenimiento para evitar errores.


102

Pero existen otros elementos clave para ayudar a las empresas a

sentirse cómodas desde su posición de cliente en un B2B. En este caso la

creatividad es el factor decisivo, para ofrecer distintas facilidades como por

ejemplo crear listas personalizadas de favoritos, disponer de un historial de

transacciones u ofrecer ofertas en relación con sus necesidades y

características.


103

3.5. Definición de la estrategia para el comercio electrónico.

La estrategia para el comercio electrónico posee dos partes, su formulación

y su implantación.

Las claves de la estrategia actual vienen determinadas por dos conceptos:

� Visión: Capacidad de estar mañana por donde pasará el futuro.

� Liderazgo: Llevar a la empresa al lugar donde la visión la ha

marcado.

Los pasos para formular esta estrategia son:

Por otro lado existen tres niveles de estrategia según su duración en el tiempo:

� Largo Plazo: Corporativa. Es la estrategia que tiene que ver con el

accionista.

� Medio Plazo: Negocio. La estrategia que tiene que ver con los

clientes.

� Corto Plazo: Funcional. La estrategia que tiene que ver con las áreas

funcionales del negocio.


104

El concepto de estrategia ha sido objeto de múltiples interpretaciones, de

modo que no existe una única definición. No obstante, es posible identificar cinco

concepciones alternativas que si bien compiten, tienen la importancia de

complementarse.

Estrategia como Plan

Un curso de acción conscientemente deseado y determinado de forma

anticipada, con la finalidad de asegurar el logro de los objetivos de la empresa.

Normalmente se recoge de forma explícita en documentos formales conocidos

como planes.

Estrategia como Táctica

Una maniobra específica destinada a dejar de lado al oponente o

competidor.

Estrategia como Pauta

La estrategia es cualquier conjunto de acciones o comportamiento, sea

deliberado o no. Definir la estrategia como un plan no es suficiente, se necesita un

concepto en el que se acompañe el comportamiento resultante. Específicamente, la

estrategia debe ser coherente con el comportamiento.

Estrategia como Posición

La estrategia es cualquier posición viable o forma de situar a la empresa en

el entorno, sea directamente competitiva o no.

Estrategia como Perspectiva

La estrategia consiste, no en elegir una posición, sino en arraigar

compromisos en las formas de actuar o responder; es un concepto abstracto que

representa para la organización lo que la personalidad para el individuo.


105

Estrategia & E-Estrategia

Las estrategias de Comercio Electrónico no están desligadas de la estrategia

general de la compañía y viceversa. Como todas las compañías que participan en el

mercado tienen acceso a las diferentes tecnologías disponibles, la adquisición de

las mismas no genera por sí sola ventajas competitivas. Es lo que cada compañía

está en capacidad de hacer y el máximo retorno que pueda obtener de estas

inversiones, lo que hace la diferencia. En la práctica estas dos estrategias se

fusionan de tal manera, que es difícil diferenciar claramente lo que corresponde a

la estrategia de Comercio Electrónico y a la estrategia global de negocio.

Adicionalmente, el hecho de que la estrategia de negocio involucre a las

diferentes áreas de la organización y la estrategia de Comercio Electrónico ofrezca

oportunidades de mejora para cada una de ellas; indica un alto grado de cohesión.

3.5.1. Desarrollo de una estrategia de comercio electrónico.

El desarrollo de una estrategia de comercio electrónico requiere una

planificación cuidadosa y un compromiso total. El comercio electrónico debe

visualizarse como una operación de largo plazo, y no como una oportunidad de

obtener un lucro a corto plazo. La preparación de una estrategia de comercio

electrónico confirmará si una presencia en Internet es conveniente para la

compañía y cuándo, lo que permite usar de manera más eficaz esta poderosa

herramienta empresarial.

Una estrategia de comercio electrónico no difiere fundamentalmente de

cualquier otro plan de negocios, y antes de diseñarla se debe asegurar que la

compañía:


106

• Comprende las características del mercado en línea, tales como la

naturaleza global de la competencia, los requisitos técnicos y

reglamentarios que se aplican a las ventas en línea, y el papel que

desempeña la información en el comercio electrónico.

• Tiene la capacidad técnica y de suministro para la venta de productos

y servicios en un mercado global en línea.

• Establece procesos de producción y de ventas que permite atender un

aumento significativo en el negocio.

• Cuenta con el apoyo de todos los niveles de la gerencia, hacer claros

los pasos de todo el proceso de compra electrónica, e identificar el

personal que posiblemente va a participar en el proceso. Antes de

diseñar la estrategia podría ser conveniente crear una conciencia en el

personal acerca del potencial que ofrece el comercio electrónico y

darle la capacitación sobre aspectos específicos del mismo.

3.5.2. Aspectos clave de una estrategia de comercio electrónico.

Una estrategia bien preparada debe contener una evaluación de las

posibilidades de ventas a través de Internet del producto o de los productos

involucrados, un estimado del total de las inversiones necesarias para establecer y

desarrollar el negocio, un plan para operar el negocio y para medir su progreso, y

un indicativo del retorno esperado sobre la inversión. Debe incluir la opción de

solicitar financiamiento.

Los elementos esenciales de una estrategia de negocios de comercio

electrónico son los siguientes:


107

• Resumen ejecutivo: Este es una parte muy importante del plan. Debe

redactarse después de completar el resto del plan. Probablemente los

inversionistas potenciales leerán solamente esta parte en los primeros

contactos con ellos. Este es el lugar indicado para una presentación breve

directa y precisa. Si el resumen ejecutivo atrae el interés de los

inversionistas, habrá posteriormente numerosas oportunidades para que

se demuestre el entusiasmo por el proyecto. Señale los factores de éxito

de su empresa y luego se debe enumerar las ventajas que se tiene sobre

los competidores que ya cuentan con una presencia en Internet.

• Objetivos: Definir las metas de largo plazo y determinar cómo el

comercio electrónico ayudará a alcanzar esas metas.

• Orientación: Señalar cómo se quiere usar la Internet.

• Situación actual: Identificar los productos de la empresa que se venderán

bien por Internet y explicar por qué.

• Establecer los criterios de evaluación de las operaciones web: Éstos

podrían incluir el número de visitas por mes, el número de páginas

vistas, el número de visitantes por una sola vez, el número de contactos

reales, el número de transacciones y el número de pedidos.

• Promoción: Describir cómo se planea promocionar su sitio web.

• Análisis de mercados: Describir las oportunidades que tiene la compañía

en el mercado del comercio electrónico.

• Competencia actual: Presentar los resultados del análisis que se hace

sobre la competencia actual y sobre la competitividad que tiene la

empresa dentro de la industria. Hacer una lista de los sitios web de

todos los competidores principales y secundarios. ¿Cuál es la


108

participación estimada en el mercado de cada competidor? ¿Cuáles son

las tendencias esperadas en su industria para el comercio electrónico?

• Clientes objetivo: Presentar el perfil demográfico y socioeconómico de

los clientes que se espera captar en línea. ¿Por qué cree que ellos

comprarán en su sitio de Internet?

• Investigación de un grupo de enfoque: Presentar los hallazgos de la

investigación enfocada en un pequeño grupo de clientes potenciales del

mercado objetivo. Esta investigación debe haber proporcionado una

retroalimentación sobre el potencial de ventas de los productos en un

ambiente de mercado electrónico.

• Riesgo calculado: Presentar las proyecciones para el desarrollo de la

industria y de la empresa durante los próximos tres a cinco años, tanto

en línea como fuera de línea.

• Estrategia de mercado: Mostrar la forma como se piensa atraer clientes,

importadores, agentes, y mayoristas en línea para que hagan negocios

con la empresa, y la forma en que se va a mantener el interés de los

mismos.

• Contenido: Establecer los elementos que se piensan incluir en el sitio

web.

• Publicidad: Presentar los planes de publicidad. Éstos deben tener en

cuenta los requisitos extranjeros de etiquetado y de embalaje, los

aspectos relacionados con la traducción, las relaciones con los clientes,

los anuncios publicitarios de acuerdo a la cultura y las barreras

semánticas.


109

• Relaciones públicas: Establecer el plan con un programa regular y

consistente de actualización de productos y servicios. Esto podría incluir

un boletín electrónico, publicaciones de artículos en revistas técnicas,

comunicados de prensa, organización de reuniones de clientes, y

patrocinio de grupos de discusión en línea.

• Estrategia de ventas: Entre los detalles que deben presentarse están los

siguientes:

o Precios y rentabilidad. Formular una estrategia de fijación de

precios internacionales para vender, distribuir y comprar en línea.

Procesamiento de pedidos y de pagos. ¿Cómo se tomarán los

pedidos (por teléfono, fax, correo, en línea)? ¿Cómo se efectuarán

los pagos (por correo, en línea, transferencias bancarias)? Métodos

de distribución. Determinar dónde y cómo se harán las estrategias

en el extranjero. ¿Cómo se enviará la confirmación de pedidos y

embarques? Tácticas de promoción de ventas. ¿Se promocionará

el producto o servicio únicamente en línea o también con la ayuda

de herramientas tradicionales (por ejemplo, correo directo, correo

electrónico, visitas sin previo aviso, impresos, publicidad en radio

y televisión, etc.)?

• Servicio: Se debe formular la siguiente pregunta: ¿Se le presta servicio al

cliente, en caso de solicitarlo, después de completar la venta?

• Relaciones comerciales: Elaborar un plan para este fin, y determinar el

tipo de relaciones que se van a establecer (por ejemplo, de

agente/distribuidor) para desarrollar relaciones internacionales de

negocios, incluyendo aspectos tales como el de la capacitación

multicultural.


110

• Integración: Describir la forma de cómo se integrarán los sistemas con

los sistemas usados por el banco, clientes, proveedores, distribuidores,

etc.

• Programa de producción: Indicar el volumen inicial, los requisitos de

expansión, las fuentes de materiales, los sitios de fabricación.

• Proyecciones financieras: Ser realista y conservador.

• Presupuesto a doce meses: Pronosticar los costos del primer año de su

plan.

• Proyección del flujo de efectivo: Calcular las entradas y desembolsos en

efectivo.

Plan a cinco años: Incluir una proyección de pérdidas y ganancias

durante cinco años.

• Balance general: Mostrar la posición de liquidez y de efectivo de la

empresa.

• Análisis del punto de equilibrio: Calcular el número de unidades que se

necesita vender para alcanzar el punto de equilibrio.

• Fuente y uso de fondos: Indicar dónde se va a obtener el financiamiento

para iniciar o expandir la operación de exportaciones.

• Uso de los ingresos: Mostrar cómo se usarán las utilidades y los

préstamos.

• Conclusiones: Establecer nuevamente las metas básicas de la operación

de comercio electrónico, el capital total requerido, las utilidades

esperadas, el programa de negocios, y los comentarios generales.


111

• Apéndice: Incluir una hoja de vida de los individuos clave que

participaran en el plan; hacer una lista de los clientes clave, clientes

potenciales; incluya datos de estudios de mercado, planos, contratos y

proyecciones financieras para el plan.

3.5.3. Aspectos negativos en una estrategia de comercio electrónico

• No buscar asesoría: Las empresas nuevas en el comercio electrónico o

que desean expandirse hacia mercados extranjeros que desconocen, a

menudo no buscan asesoría calificada antes de desarrollar sus planes de

comercio electrónico.

• No lograr compromiso de la gerencia. Se debe asegurar que la alta

gerencia se comprometa firmemente con el desarrollo del plan. En la

formulación del plan deben participar todas las divisiones funcionales

de la compañía, es decir, gerencia, área administrativa, financiera, de

mercadeo, de producción y de capacitación, aunque se le debe asignar a

una persona la responsabilidad general del mismo. Esta visión global

facilitará la tarea subsiguiente de esta persona para obtener la

aprobación y el respaldo financiero de sus socios financieros para la

implementación del plan.

• No llevar a cabo una buena investigación de mercados: La investigación

de mercados en línea ha facilitado más que nunca el estudio de las

condiciones demográficas, políticas y socioeconómicas de cualquier país,

la identificación de las tendencias comerciales, oportunidades de

importación y exportación, etc. Se debe recurrir también a fuentes

tradicionales, sobre todo si aún no se ha vendido el producto en otros

países. Llevar a cabo investigaciones en pequeños grupos de enfoque de


112

clientes objetivo a fin de obtener comentarios acerca de las características

deseadas del producto, así como para conocer el interés y experiencias

respecto a las compras por Internet. Si todavía no se está exportando, es

conveniente enviar muestras de los productos, o encargar a un

representante que lleve las muestras a los mercados potenciales y las

someta a evaluaciones por parte de los clientes. También estudiar las

preferencias particulares de grupos de clientes potenciales en el

extranjero.

• No analizar los resultados de las investigaciones de mercados: Las

estrategias de comercio electrónico deben basarse en un buen análisis e

investigación de mercados. El análisis debe confirmar si el producto es

apropiado para ser vendido en Internet, si el diseño es atractivo en

mercados específicos, o si el producto satisface las preferencias

particulares que puedan tener grupos de clientes potenciales en el

extranjero.

• No determinar los flujos de exportaciones e importaciones (Análisis del

sector): Para muchas compañías es difícil obtener información acerca de

países que exportan e importan productos específicos. Para que los

exportadores logren hacer llegar el mensaje de mercadeo electrónico y

tener éxito en un mercado particular, es esencial determinar si el

producto será competitivo. Existen muchas fuentes de información sobre

oportunidades competitivas en un mercado. La mejor, pero la más

costosa, es hablar directamente con los clientes, o con los agentes, los

mayoristas y los comerciantes minoristas en el mercado especialmente si

se va a vender o a distribuir los productos por intermedio de ellos. Una

herramienta de comunicación a bajo costo que también puede ser útil es

el correo electrónico, pero se necesita encontrar la persona adecuada a la


113

cual se va a dirigir el correo y redactar un mensaje que logre el tipo de

respuesta que se requiere.

• No determinar el precio óptimo de exportación: Fijar el precio de un

producto es un factor importante para las proyecciones financieras.

Muchas empresas que exportan por primera vez o esporádicamente

pasan por alto los diversos costos foráneos que pueden influir en el

precio unitario. En las proyecciones financieras y en el presupuesto a tres

años se deben tener en cuenta todos y cada uno de los elementos del

plan de comercio electrónico. Cuando se trata de comercio electrónico a

escala internacional es necesario considerar los siguientes elementos

para la estrategia de fijación de precios:

o Diseño del sitio web

o Actualización del sitio web

o Monitoreo de los mensajes en el sitio web

o Procesamiento de pedidos a través de la web

o Mercadeo electrónico

o Porcentaje de margen de utilidad

o Comisiones por ventas

o Cargos por transporte

o Costos de financiamiento

o Comisiones por procesamiento de cartas de crédito

o Cargos por embalaje para exportación


114

o Gastos locales de transporte

o Descarga en Terminal

o Seguros

o Traducciones

o Condiciones de crédito

o Programas de pago

o Monedas de pago

o Porcentajes de comisiones

o Costos de almacenamiento

o Servicio post-venta

o Costos de reposición de mercancía dañada

• No reconocer cómo toman las decisiones los compradores: Es

importante entender la forma en que los compradores toman sus

decisiones de compra en Internet. El factor que más influye en una

decisión de compra, ya sea en línea o fuera de línea, es si el comprador

confía en el vendedor. Por lo tanto, debe hacerse todo lo posible para

asegurar que su sitio web proyecte confiabilidad.

• Comunicaciones generales de mercado: Muchas empresas que ingresan

por primera vez al comercio electrónico lo hacen de manera pasiva en

lugar de activa, haciendo ventas únicamente porque alguien de otro país

se puso en contacto con ellos. También, hay muchas empresas que no


115

venden en línea porque desconocen las oportunidades gratuitas o de

bajo costo, que se ofrecen para la comercialización. Además de las

técnicas tradicionales de mercadeo en línea, las mejores oportunidades

de comercialización se encuentran en catálogos que presentan productos

autóctonos, programas de compradores internacionales, servicios de

agentes y distribuidores, exhibiciones por catálogo, y asociaciones

comerciales.

• No verificar la solvencia económica del comprador: Antes de aceptar

cualquier negocio, es esencial verificar la solvencia económica del

comprador, distribuidor o socio potencial. Una cámara de comercio u

otra fuente similar del país del comprador puede proporcionarle una

referencia comercial, pero ésta no es una referencia de crédito. Para una

pequeña empresa, la mejor garantía es no otorgar un crédito comercial

tradicional para ventas en línea a compañías desconocidas. De ser

posible, utilizar un servicio de depósitos en custodia o insistir en el uso

de las tarjetas de crédito reconocidas (VISA, MasterCard, American

Express, etc.).

• Elección de métodos de distribución: Muchas empresas utilizan el

comercio electrónico directo como único medio para realizar negocios a

escala internacional. Un sitio web es un medio que le permite a la

pequeña empresa tener un máximo control del mercadeo,

financiamiento y crecimiento del mercado. Sin embargo, existen otros

métodos de publicidad, mercadeo y distribución. Entre esos métodos

están los siguientes: elegir a un agente de ventas por comercio

electrónico que trabaje por comisión, contratar a una compañía

administradora de comercio electrónico para que maneje las ventas,

designar a un representante de ventas en línea, negociar un contrato de


116

distribución, una empresa de riesgo compartido, y la producción en el

extranjero. Cualquiera de estos métodos de distribución puede ayudar

al exportador a implementar con éxito estrategias de comercio

electrónico, así como beneficiarse de la experiencia y de los contactos

que tenga un socio más experimentado en el comercio electrónico.

3.5.4. De la estrategia a la acción estratégica.

Si bien es cierto, la conciencia sobre la implementación del tema de

Comercio Electrónico ha ido incrementando paulatinamente, en algunos casos no

se tiene claridad sobre la manera de abordarlo. En otras palabras, una estrategia

organizada que parta de entender el impacto de los cambios del entorno y la

situación interna de la organización y que oriente la construcción de las soluciones

tecnológicas, para finalmente acompañar su implantación, con el fin de asegurar la

apropiación de la nueva forma de hacer el negocio.

Hasta aquí se han explicado los elementos clave de un proceso ordenado

para formular una estrategia de Comercio Electrónico. Aunque no todos los

modelos y metodologías siguen en estricto orden las actividades propuestas; en la

práctica conservan lineamientos similares. Hay pequeñas variaciones en los

detalles de cada paso, pero en el fondo mantienen una misma filosofía de acción.

¿Qué consideraciones son relevantes en cada uno de ellos? A continuación se

describen los 7 pasos para formular una estrategia de comercio electrónico.


117

3.5.4.1. Paso 1: Pensar la estrategia del comercio electrónico

Antes de emprender esfuerzos y comprometer recursos, es conveniente

planear el proceso de formulación de la estrategia. Es conveniente tomar

conciencia de la situación que enfrenta la compañía y el momento por el cual

atraviesa; ya que el proceso deberá acoplarse como parte de las actividades diarias

y ello, conlleva el riesgo de caer ante el acoso del día a día. Tomar un tiempo para

definir las metas en la formulación y los puntos de chequeo que involucrará para

garantizar que va avanzando en la dirección correcta, es útil para evitar esfuerzos

innecesarios.

Algunas organizaciones emprenden iniciativas sin considerar el esfuerzo

que requerirá diseñar la estrategia y terminan abandonado el objetivo. Evitar estas

situaciones, implica dedicar tiempo para discutir la forma de abordar el desarrollo

de la estrategia. Es necesario que el estratega, identifique los aspectos a considerar,


118

liste las actividades que deberá realizar para formular la estrategia, consulte temas

que no domina y las posibles alternativas para obtener ese conocimiento.

Adicionalmente, se hace indispensable formular un plan que permita estructurar la

estrategia desde la línea base y considerar la logística para hacer de la ejecución un

proceso dinámico y flexible.

Es útil indicar preguntas simples que le ayuden a identificar los pasos a

seguir. Su formulación apropiada favorece la búsqueda de soluciones, facilita la

delimitación del problema real y la forma de abordarlo. ¿Cómo se realizará el

entendimiento del negocio?, ¿Qué herramientas utilizar para lograr este

entendimiento?, ¿Qué disponibilidad de tiempo existe para implementarla?, ¿Qué

nivel de profundidad es necesario en cada una de las fases de la estrategia?, son

algunos ejemplos para comenzar la tarea. Finalmente, conviene validar si las

respuestas obtenidas obedecen a preguntas correctamente formuladas y si

muestran un camino viable y confiable.

Descrita la forma de iniciar el desarrollo de la estrategia, es necesario

entender lo que sucede dentro y fuera de la organización para determinar hacia

donde enfocar los esfuerzos.

3.5.4.2. Paso 2: Entender la estrategia del comercio electrónico.

Uno de los pasos iniciales en la formulación de la estrategia de e-bussines,

es entender lo que está pasando tanto dentro de la compañía como fuera de ella,

con el fin de identificar los aspectos internos y externos que indiquen como

proceder.

Entender implica lograr una visión del negocio, el entorno, factores internos

y externos, para encontrar los elementos que permitan realizar la mejor

recomendación, sobre el uso de Internet y otros canales electrónicos.


119

Adicionalmente para determinar el aporte como generadores de ingresos,

reductores de costos de operación o facilitadores de posiciones estratégicas

distintivas para la organización.

El análisis prospectivo, la planeación por escenarios, el manejo de modelos

mentales entre otros, proveen herramientas que ayudan a elaborar mejor la

formulación en este punto. Lo importante al final es, que el resultado obtenido del

análisis mantenga coherencia, pertinencia, y verosimilitud con la realidad de la

compañía.

Una vez entendidos los aspectos internos y externos que direccionan la

estrategia de Comercio Electrónico, es necesario definir los servicios que se

involucraran, el orden, el momento en el tiempo en que serán implementados y el

nivel de profundidad que requieren para soportar la estrategia global.

3.5.4.3. Paso 3: Definir la estrategia del comercio electrónico.

La definición de la estrategia de e-bussines que contenga los procesos a

mejorar, tecnología necesaria y la forma de prestar los servicios, de acuerdo a la

imagen e identidad de la organización; implica buscar las oportunidades en las

áreas de mejora identificadas del análisis del entorno y situación interna.

Por otro lado, la definición de los componentes de una estrategia de e-

bussines, requiere un modelo de pensamiento diferente. Cuando se habla de e-

bussines, se abre una ventana de oportunidades en cuanto a la forma de ofrecer el

servicio, la ubicación geográfica del consumidor, forma de pago, etc., que obligan

al estratega a pensar lateralmente. En otras palabras, a partir de una clara y

profunda visión de la situación de la compañía, usar la información recopilada,

para generar nuevas ideas mediante la reestructuración de los conceptos ya

existentes.


120

A continuación, listar ideas y organizarlas con su respectiva prioridad no es

suficiente para continuar con la implementación de la estrategia. Es necesario

analizarlas y estructurarlas de tal manera que constituya una línea de continuidad

en largo plazo. En la práctica se trata de identificar aspectos comunes entre todas

las ideas, que permitan crear una base sobre la cual, llegado el momento se

apoyarán las demás iniciativas.

En la formulación y definición de la estrategia de e-bussines se busca crear

una línea base, que soporte los cambios surgidos con el paso del tiempo, sin verse

avocados a cambios drásticos en el planteamiento inicial. Sobre esta línea base

estarán colocados los demás componentes de su estrategia de e-bussines que le

darán la flexibilidad de adaptación ante cambios inesperados.

Para definir la línea base, es apropiado contrastar la situación del entorno y

el estado actual de la compañía, evaluando la estrategia actual del negocio frente

los cambios identificados, para definir cursos o rutas alternativas de acción. El

esfuerzo debe concluir, definiendo cuales de los aspectos representan

oportunidades al desarrollarlos con el uso de canales electrónicos y detallando

aquellos en los que se va a enfocar inicialmente la organización.

Nuevamente la formulación de preguntas adecuadas y el cuestionamiento

de los paradigmas actuales del negocio, suele ser una forma útil de identificar los

componentes de la estrategia. ¿Qué áreas del negocio se pueden beneficiar con el

uso de canales electrónicos y en qué orden se debe abordar su mejoramiento?

Desde la ampliación de canales en una primera instancia, seguida por la

integración de la cadena de valor de la compañía, continuando con la integración

de compañías del mismo sector y donde cada una de ellas se enfoca en las

competencias que constituyen el núcleo de su negocio, hasta las iniciativas que

permitan ofrecer servicios con proveedores de diferentes industrias.


121

3.5.4.4. Paso 4: Diseñar la estrategia del comercio electrónico.

Una vez definidos los cambios es necesario diseñarlos. El diseño implica

analizar y cambiar la forma de operar de la organización. En otras palabras:

procesos, tecnología y capital humano. Aunque dependiendo de estas iniciativas y

el foco que la compañía defina como punto inicial en la estrategia, depende el

modelo a utilizar (B2B, B2C, etc.), una aproximación sencilla al diseño, sugiere

revisar los segmentos de clientes que serán los directos beneficiados de los

servicios implantados, los canales actuales con que cuenta la organización para

atenderlos y los canales electrónicos (web, Internet, correo electrónico, etc.) más

adecuados para ofrecer nuevos servicios a estos segmentos de clientes.

El diseño de la estrategia se enfocará en el análisis y modificación de

procesos y tecnología requerida.

Foco en los procesos: En la práctica, se revisan los procesos actuales de la

compañía, identificando que actividades se ejecutan para atender las diferentes

solicitudes de los diversos clientes. El foco es encontrar cuáles de ellos se repiten o

requieren ser optimizados, cuando el cliente contacta la organización por diversos

canales para realizar el mismo requerimiento.

Nuevamente la formulación de preguntas facilita la tarea de diseño. Por

ejemplo ¿Qué sucede desde la solicitud del servicio por parte del cliente hasta la

entrega del mismo? ¿Qué áreas de la compañía participan en ese proceso? ¿Qué

actividades son comunes a diferentes procesos, que se pueden fusionar para

optimizar el desempeño al interior de la empresa?

Los procesos cambian dependiendo del grado de madurez de la estrategia.

La figura de la siguiente página sugiere una forma de organizar las iniciativas de

mejora y candidatas a ser implementadas en la estrategia de e-bussines. También

se han agrupado en fases en el tiempo, donde cada fase representa un mayor grado


122

de madurez de la organización en el uso de canales electrónicos. Pues bien,

dependiendo de este grado de madurez la estrategia involucra cambios en los

diferentes procesos del negocio.

En una fase inicial de ampliación de canales, se cambian los procesos

actuales que no son radicalmente diferentes a los ya existentes, pero que si

representan una nueva forma en que la organización asume el día a día. Los

procesos que normalmente son rediseñados en esta fase, están relacionados con

mercadeo, ventas, gestión de órdenes de pedido, servicio al cliente, procesos de

compras y abastecimiento.

En una fase de integración de cadena de valor, se requiere un cambio radical

en la forma de ver los procesos. Los procesos ya no son vistos como conjuntos de

actividades al interior de la empresa, si no que vinculan actividades realizadas en

otras organizaciones como proveedores y socios de negocio. El proceso pierde su

carácter interno, por lo que están en su gran mayoría completamente

automatizados.

La automatización de procesos se apalanca en tecnología, para lo cual se

requiere especial atención en la identificación de su arquitectura.

El diseño se enfoca también en identificar la arquitectura tecnológica que

soportará a la estrategia. El objetivo es diseñar el esqueleto tecnológico de toda la

operación. De manera similar a la construcción de un edificio, donde se diseñan los

cimientos, la arquitectura tecnológica dará un vistazo a los aspectos requeridos por

la estrategia de e-bussines.

En la práctica es importante verificar que la arquitectura definida resuelva el

problema de negocio y contemple los sistemas actuales, incluyendo las formas de

pasar de las tecnologías actuales a las siguientes versiones en cada uno de los

canales.


123

Adicionalmente los siguientes aspectos forman parte de lo que debe estar

claro en cuanto a componentes tecnológicos: Seguridad que requiere la

información, nivel de desempeño mínimo para los procesos, nivel disponibilidad

de los servicios, entre otros. Finalmente, es fundamental asegurar que los

resultados del diseño son claros y entendidos por el equipo directivo de la

organización. Dado que los cambios que implica la implantación de una estrategia

de e-bussines afectan directa e indirectamente a varias áreas de la compañía, es

pertinente que el equipo directivo evalúe la claridad, coherencia y pertinencia de la

tecnología que se ha seleccionado, antes de iniciar la construcción.


124


125

3.5.4.5. Paso 5: Construir la estrategia del comercio electrónico.

La construcción implica aplicar el diseño. Consiste en la implementación de

los cambios a los procesos, la tecnología y la gente involucrada. Aunque existen

diversas metodologías para realizar los cambios en los procesos, la línea tradicional

está dada por el análisis, diseño, desarrollo e implantación del proceso a modificar.

La modificación de procesos, inicia con una documentación de los procesos

actuales para los servicios que se van a habilitar y la ubicación de los mismos

dentro del modelo de procesos global de la compañía. En este punto, se

determinan los flujos de información, documentos y los costos involucrados en su

realización.

Normalmente se continúa con la revisión del proceso, buscando formas

alternativas y optimizadas de reorganizarlo, aprovechando las posibilidades que

los canales electrónicos ofrecen. Esto incluye la reubicación de actividades

humanas y la definición de necesidades de capacitación y equipos de cómputo

necesarios para el proceso modificado. Posteriormente se evalúan los productos y

servicios buscando la facilidad en su fabricación y mantenimiento. A esta tarea le

sigue el desarrollo de las soluciones de tecnología necesarias y finalmente la

preparación de ambientes de pruebas, donde se realizan simulaciones que integran

gente, aplicaciones y los procesos rediseñados. Dados los niveles de complejidad

inherentes a estos cambios, es conveniente planificar la construcción de tal manera,

que permita realizar cambios paulatinos, que aborden la solución con resultados

intermedios que puedan ponerse en producción rápidamente y donde la

organización perciba el beneficio, sin necesidad de esperar a que toda la estrategia

esté finalizada.

Los planes detallados, las revisiones constantes y la evaluación objetiva

sobre el avance, son fundamentales para garantizar el entendimiento total y el


126

éxito de la construcción. En este punto, la estrategia pasa de ser un documento a

convertirse en hechos concretos, lo que conlleva un alto riesgo de perder el foco

con los detalles técnicos y los problemas derivados de la reestructuración del

proceso. Frecuentemente y por falta de control, se construyen soluciones que

difieren del diseño inicial y que implican esfuerzos adicionales posteriores para

adaptar o retomar el camino.

Para finalizar, es necesario evaluar constantemente los servicios

implantados. Una aproximación para realizar esta tarea, es definir un modelo de

medición de los procesos y servicios, de tal manera que faciliten el establecimiento

de métricas efectivas para evaluar niveles de calidad prestados y los grados de

satisfacción que expresan los destinatarios.

Una vez terminadas las pruebas en ambientes de operación y estén

vinculados los involucrados en el uso de los nuevos servicios, se proyectan los

siguientes pasos que darán continuidad a la estrategia de e-bussines.

3.5.4.6. Paso 6: Proyectar la estrategia del comercio electrónico.

Preparar los siguientes pasos en la estrategia de e-bussines, para dar una

línea de crecimiento continuo al negocio, consiste en seleccionar un nuevo conjunto

de servicios y planear otra iteración de los pasos anteriores.

Para definir los siguientes pasos es necesario revisar la visión general y

evaluar los resultados obtenidos en la fase que culmina. En esta evaluación, se

identifican los aspectos que constituyeron fortalezas y los problemas que

dificultaron la labor en los pasos anteriores, con el fin de corregir posibles errores

para el siguiente paso de la estrategia y apropiar conocimiento a partir de las

experiencias que culminan.


127

Es necesario garantizar que en los futuros pasos de la estrategia, no se

cometan los errores iniciales. No se puede esperar que tanto la situación de la

empresa en este momento, como las personas, perduren indefinidamente en la

organización. Como consecuencia, las experiencias adquiridas se pierden, cuando

la competencia se lleva a las personas que han aprendido en los proyectos

realizados en la estrategia. Esto tiene un costo representado en tiempo, esfuerzo,

dinero, etc. Es fundamental entonces, registrar la historia de la compañía y

garantizar que aprende del pasado.

Construir un sistema de conocimiento orientado a la colaboración o a la

publicación de buenas prácticas, es indispensable para garantizar este objetivo.

Dependiendo de la naturaleza de las tareas, podrá identificarse si se requiere un

esquema que propicie la colaboración entre los miembros de la organización, o la

conformación de repositorios de documentos donde se consoliden y publiquen las

experiencias adquiridas.

Barreras culturales, fallas en la coordinación de las tareas, acciones e

impacto de salidas inesperadas de miembros clave en los equipos de trabajo, nivel

de profundidad necesario en la documentación levantada, tiempos estimados para

la realización de las tareas versus tiempos reales incurridos, etc.; son temas

candidatos para incluir en la documentación. El objetivo, es identificar prácticas

que le ayuden a la organización a mejorar su capacidad para llevar a cabo su

estrategia en el futuro.

Tanto el entorno como la situación interna de la compañía cambian, por lo

que al realizar la proyección, es conveniente validar la pertinencia y oportunidad

de las alternativas definidas al iniciar su estrategia. Seguramente los cambios del

entorno, sumados a la experiencia adquirida en el proceso, son elementos para

ajustar el siguiente paso.


128

Luego de validar y ajustar los supuestos iniciales, es necesario estructurar

los nuevos servicios. Hay varias vías para realizar esta tarea. Una de ellas es llevar

los servicios ya implementados a un mayor nivel de profundidad, es decir, agregar

mayor automatización a los procesos y aplicaciones. En otras palabras, aquellos

con lo que la compañía está haciendo presencia, llevarlos a una mayor integración

con los sistemas del negocio. Otra vía es seleccionar nuevos servicios que por su

importancia ayudan a lograr posiciones estratégicas superiores.

Finalmente, se puede lograr una combinación entre las dos, de tal manera

que la estrategia fortalezca las iniciativas ya implementadas y presione la creación

de nuevas oportunidades para la empresa derivadas de la utilización de canales

electrónicos. Desde la fase más simple, como es el utilizar un canal de Internet para

publicar información básica de productos y servicios, hasta la integración de esos

canales con los sistemas del negocio, para brindar información y permitir

transacciones comerciales de compra y venta, sirven para focalizar el avance.

El paso de proyectar las ventanas de oportunidad futuras derivadas de su

estrategia, se superpone con el acompañamiento y monitoreo de la implantación y

transición del esfuerzo realizado.

3.5.4.7. Paso 7: Acompañar la estrategia del comercio electrónico.

El último paso consiste en acompañar las actividades para asegurar su

apropiación por parte de la organización. Implica hacer el seguimiento y participar

activamente en la adopción de los resultados de la estrategia. Sugiere el monitoreo

de la implantación de las mejoras y la medición constante del impacto positivo y

negativo de los nuevos servicios.

En muchas compañías, cuando se ha finalizado la construcción de los

sistemas y los procesos se han reorganizado; se considera que la mayor parte de la


129

tarea ya está terminada. Esto no es cierto. El mayor reto del estratega es lograr que

la organización apropie la nueva forma de trabajo. En otras palabras: que ésta

incluya los medios aportados por la estrategia como parte de sus hábitos de acción.

Lograr hábitos que caractericen el comportamiento organizacional, conlleva

un proceso que va desde la experimentación con los nuevos paradigmas, procesos

y tecnología, seguida de una repetición constante de dicho comportamiento, hasta

alcanzar la costumbre y finalmente con su profundización convertirlos en

principios que determinan los hábitos al actuar. Esta no es tarea fácil en los

procesos de cambio.

En una estrategia de e-bussines, el reto del estratega va más allá de

asegurarse que la gente apropie un cambio en un proceso, o se capacite para

consultar un pedido a través de un sistema de Internet. Debe ser capaz de

transformar la manera de pensar de la compañía, en torno a las posibilidades que

ofrecen los canales electrónicos. Implica enseñar a su equipo humano, a reformular

constantemente los paradigmas de trabajo, y con ello lograr una dinámica de

cambio en la mente de las personas.

Es necesario poner en práctica los cambios en el proceso, conjuntamente con

la tecnología que asegure que las herramientas implantadas son interiorizadas por

la organización y serán utilizadas para mejorar su desempeño. Muchas compañías

del medio, emprenden esfuerzos de mejoramiento que no son utilizados, por que

se pierde el impulso en el acompañamiento o porque la gente clave se retira, o

porque llegan miembros que no le dan continuidad a las iniciativas. Se necesita

control, monitoreo, persistencia y resistencia para obtener frutos.

También hay que dar soporte a las actividades de iniciación. En un principio

aparecieron muchas dudas, sobre la nueva operación, hasta que la curva de

aprendizaje de las nuevas herramientas y procesos se haya alcanzado. Por lo tanto


130

es conveniente, mantener un equipo continuo de soporte, para atender las dudas o

solicitudes de información que garanticen la fluidez de los nuevos servicios.

Otra cosa interesante es registrar información que permita evaluar

periódicamente los beneficios obtenidos y comunicar los resultados a todos los

involucrados. Para ello se necesita definir un esquema de niveles de servicio, que

permita medir el desempeño de los servicios implantados, canalizar las energías y

la percepción sobre los beneficios de las mejoras o los problemas encontrados; es

fundamental para evitar que se afecten las expectativas de todo el equipo.

Si bien, los pasos propuestos para desarrollar una estrategia de comercio

electrónico en la empresa, han sido descritos y constituyen una guía en la línea de

acción, no son todo lo necesario para tener éxito en la práctica. Algunos aspectos

adicionales explicados a continuación afectan el resultado esperado.

Además de esto, el construir una base sólida mientras se avanza, el cambio

constante, la habilidad para reducir la incertidumbre, así como la capacidad de

minimizar la complejidad paulatinamente, se convierten en factores determinantes

para hacer rentable la estrategia.

Parte de la formulación de la estrategia es diseñar una forma que le permita

incorporar variaciones dependiendo de aspectos inesperados. La organización

debe contemplar los procesos necesarios que permitan una mejora incremental a la

estrategia. Cada vez más, la estrategia se va robusteciendo e incorporando con

nuevos aspectos no contemplados en el pasado.

Las estrategias de Comercio Electrónico, llevan asociada una complejidad

inherente al uso de tecnologías hasta ese momento desconocidas para la

organización. Es recomendable, que dicha complejidad se aborde paulatinamente

de tal manera, que en una práctica sencilla se vaya digiriendo y apropiando


131

el cambio organizacional. La simplicidad facilita el entendimiento; y la claridad es

un aliado en estos procesos de trasformación.

La tendencia en estrategias electrónicas, es iniciar con procesos que hagan

publicaciones de información sencillas y paulatinamente incrementen la

interactividad, cuando los usuarios han alcanzado un nivel de uso adecuado.

Para finalizar, es importante enfatizar que el comercio electrónico es una

realidad y está estrechamente relacionado con la estrategia general de la compañía.

Por ello las organizaciones, necesitan involucrar a su estrategia los beneficios de las

nuevas formas de hacer negocios, apoyados en la tecnología. La formulación de

una estrategia de comercio electrónico, requiere de un proceso organizado y

continuo para aprovechar las oportunidades que ofrece la nueva economía.

Llevarla a cabo, implica entender los cambios del entorno, evaluar la capacidad de

la organización y desarrollar la forma de responder a dichos cambios a través de la

creatividad y dedicación.

Contrariamente a lo que se percibe en la práctica, formular estrategias de

comercio electrónico, conlleva a pensar mucho más allá de la tecnología. Es más

que instalar y configurar un sitio web, instalar un servidor de correo electrónico o

habilitar un Call Center. Lleva integrada una visión del negocio y una manera

coordinada de realizar los cambios en los procesos y en el capital humano

necesario.

3.5.5. Elementos clave de una web de comercio electrónico

Catálogo Dinámico de Productos.

Proporciona a los visitantes (clientes) información organizada sobre sus

productos, y herramientas de búsqueda por diferentes criterios (precio, nombre,


132

categoría y otras características). La actualización del catálogo se lleva a cabo de

manera sencilla a través de un módulo de administración.

Catálogo Dinámico de Servicios.

Proporciona a los visitantes (clientes) información organizada sobre sus

servicios, y herramientas de búsqueda por diferentes criterios (precio, nombre,

categoría y otras características). La actualización del catálogo se lleva a cabo de

manera sencilla a través de un módulo de administración.

Carrito de Compras.

Permite al cliente tener control sobre los artículos que ha seleccionado para

su compra. Dichos artículos pueden ser removidos o agregados al carrito en

cualquier momento.

Sistemas Electrónicos de Pago.

Mediante este módulo, se habilita al sitio web para recibir pagos

electrónicos, mediante tarjeta de crédito, o depósito bancario de forma segura.

Incluye la interfaz con el catálogo de productos, carrito de compras y sistemas

bancarios. Se utiliza seguridad SSL y SET para evitar fraudes electrónicos.

Sistema de Control de Órdenes.

Este módulo permite tener un eficiente control sobre los pedidos que se

reciben en el sitio web, proporcionando información importante como el estatus

del pedido, cuando fue pagado, entregado, etc. Además, permite tener historiales

de transacciones por cliente, con lo que se conocerá más acerca de la constancia y

gustos de los compradores.


133

3.5.6. Conclusión

Con las avanzadas tecnologías, se han sobrepasado las barreras comerciales

y en estos momentos "cualquiera" puede tener acceso a un bien o servicio sin

importar donde se encuentre, el comercio electrónico ha acercado al consumidor,

aminorando las distancias y reduciendo los costos considerablemente, y así

colaborando al desarrollo de los países y sus empresas.

Existen reglamentos y leyes aceptados mundialmente creados por la OMC

que favorecen y protegen tanto a empresas como usuarios. Cada país, por su parte,

ha desarrollado y adaptado estas leyes a sus necesidades y requerimientos

socioculturales, facilitando de este modo el comercio electrónico de cada región.

A lo largo de este proyecto se ha podido constatar la importancia del

comercio electrónico, el impacto que ha generado mundialmente tanto para

empresarios como para el colectivo general y lo importante de este medio para el

desarrollo de las Pymes. Además se ha logrado definir las estrategias de las que se

pueden valer las empresas para desarrollarse en el mismo.

Un sitio web de comercio electrónico es una ampliación de un negocio en

constante evolución, los sitios web se han creado para aprovechar las inversiones

existentes en las empresas para así usarlas junto con la tecnología y planificar el

futuro.

El primer paso para convertirse en una empresa del comercio electrónico es

descubrir cómo actúa la competencia, cómo se debe comprender la propia

empresa, el sector y las perspectivas futuras

Una estrategia de comercio electrónico eficaz debe abarcar todas las fases

del proceso de venta: desde crear una concientización, un interés y un deseo,

pasando por la venta, hasta el servicio y el soporte.


134

El comercio electrónico, sin lugar a dudas, ha permitido ampliar los canales

tradicionalmente usados para proveer de bienes y servicios a un mercado de

consumidores en crecimiento. Esto no puede ser obviado por quienes intenten

competir por captar parte de estos consumidores y colocar sus productos.


135

44

EEjjeemmpplloo pprrááccttiiccoo ddee uunnaa eemmpprreessaa ddee ccoommeerrcciioo eelleeccttrróónniiccoo


136

4. Ejemplo práctico de una empresa de comercio electrónico

4.1. Plan de negocio.

Nombre de la empresa: Muziko

Descripción: Tienda online para instrumentos de música clásica.

Misión: “Si lo necesitas, se consigue”.

4.1.1. Resumen ejecutivo

Muziko es una tienda especializada en la venta de material dedicado a la

música clásica, tales como instrumentos o accesorios relacionados. Hay tres ejes

principales sobre los que gira el proyecto (siendo diferenciadores los dos

primeros):

� Se pretende ofrecer un servicio sencillo y económico de adquirir

instrumentos o accesorios para toda la gente relacionada con el mundo de la

música clásica.

En correspondencia con “La misión” (indicada con anterioridad), la intención

es satisfacer al mayor número de usuarios. Para ello se facilitará una sección donde

el usuario podrá ponerse en contacto fácilmente con la tienda en caso de no

encontrar algún accesorio. De este modo, a raíz de las necesidades de los

miembros, se irá configurando un extenso abanico de productos según las

solicitudes que se tramiten. El objetivo será: “Si lo necesitas, se consigue”. Esto será

posible gracias a una estrecha y larga relación ya existente entre Muziko y los

principales proveedores del sector.


137

Un novedad que ofrece Muziko al usuario es la de poder crear una

comunidad de usuarios. Sólo será necesario el registro previo gratuito en el sistema

como usuario, indicando el perfil de la persona (profesor, oboísta, etc.). Esto

permitirá fidelizar al usuario y poder ofrecerle directamente al email ofertas

personalizadas. Además, al registrarse un usuario, éste podrá también subir su

currículo, permitiendo crear así, una bolsa de empleo online. Esta función no

tendrá ningún coste por pertenecer a la comunidad, y los datos tratados se harán

de forma confidencial, respetando en todo momento la Ley Orgánica de Protección

de Datos.

Adicionalmente, se ha realizado un esfuerzo centrado en una exhaustiva

estrategia de liderazgo en costes. Como se puede leer en este plan, todas y cada

una de las áreas (excepto la dirección) se pretenden externalizar, obteniendo así la

oportunidad de seleccionar los agentes más eficientes del mercado en cada área,

consiguiendo una óptima eficiencia global y maximizando los recursos

disponibles. El resultado final es un proyecto con un presupuesto muy inferior al

de los competidores pero con una calidad equiparable.

4.1.2. Análisis y diagnóstico de la situación

4.1.2.1. Análisis del entorno general

El sector de la música clásica es un sector en auge en este país. Mientras que

antiguamente los músicos tenían que emigrar a otros países europeos (como

Francia o Alemania) para trabajar, cada vez más gente se dedica a este sector en la

actualidad en España. Así pues, un sector como éste que está en pleno crecimiento,

necesita un servicio estable y fiable que le pueda proporcionar los materiales

necesarios para el desempeño de esta afición y/o profesión. Dentro del sector, y

según el subsector (se corresponderá con el tipo de instrumento musical), se


138

encuentran diversas necesidades. Algunos de estos productos son indispensables

para tocar un instrumento de diario, como son las cañas para algunos instrumentos

de viento, de las que se pueden llegar a utilizar dos en un mes.

Debido a esta gran y continua necesidad de los músicos, es necesario un

servicio rápido y eficaz. Además, también estará disponible la venta de material de

apoyo de todo tipo, tales como partituras y DVD’s o CD’s especializados (difíciles

de encontrar en el país). Internet ha hecho posible este factor, permitiendo

conseguir un servicio en tienda o domicilio para todo tipo de personas.

4.1.2.2. Análisis del entorno específico – 5 fuerzas de Porter

a) Barreras de entrada.

Dentro del panorama de Internet, se puede considerar que un

negocio de música con un repertorio tan grande de productos

(generalmente caros) supone unas relativamente fuertes barreras de

entrada, ya que la inversión requerida (del orden de 200.000 € para los

competidores) y los recursos necesarios superan ampliamente la media de

los sitios web que actualmente se estiman en funcionamiento.

Sin embargo no hay que olvidar que esto no supone un impedimento

para Muziko, que en la actualidad ya contaba con un servicio de tienda bien

establecido desde hace años. Esto va a permitir un negocio nuevo apoyado

en otro bien consolidado, con lo cual el riesgo a correr será mucho menor.

b) Competencia.

El mercado todavía es incipiente y la competencia relativamente

reducida. Ello permite amplios márgenes brutos que rondan el 80% en la


139

actualidad. A continuación se incluye un breve análisis sobre algunos de los

mayores competidores.

Principales competidores web:

Uwe Henze (www.uwe-henze.de)

Esta tienda online lleva mucho tiempo establecida y tiene gran éxito

en toda Europa. El problema que existe es que se trata de una tienda

únicamente para instrumentos de viento. Además, al ser alemana, los gastos

de envío son más caros y no está disponible un posible servicio en tienda

con Muziko. También, a diferencia de Muziko, hay que tener en cuenta que

no ofrece ningún servicio de comunidad, tales como sugerencias, bolsa de

empleo/contactos, etc.


140

ZasMusic (www.zasmusic.com)

Caso muy similar al anterior. En este caso se trata de una tienda

valenciana especializada sólo en instrumentos de viento y sin servicio en

tienda. Esto hace que si algún cliente quiere ver primero algún material o

instrumento antes de comprarlo no podrá. Tampoco ofrece ningún tipo de

servicio adicional a usuarios registrados.

Principales competidores en tienda:

Hazen (www.hazen.es)

A pesar de tener página web, no ofrece servicio a domicilio y se trata

de una única tienda en Madrid. Muziko, a parte del servicio a domicilio,

también cuenta con 3 tiendas repartidas entre las capitales de las

comunidades con mayor demanda musical (Madrid, Barcelona, Valencia).

De este modo, aparte de poder vender por internet y de ofrecer los servicios

característicos que la web permite (comunidad de usuarios, etc.) también


141

hace posible la venta cara a cara, la única posibilidad para muchos

compradores hoy en día. El hecho de tener 3 tiendas repartidas entre los

núcleos musicales más importantes del país, garantiza el éxito de la venta

directa.

Mundimúsica Garijo (www.mundimusica.es)

Este competidor sería el más semejante a Muziko, aunque con

algunas carencias. Para empezar, sólo dispone de servicio en tienda y posee

una única tienda en Madrid. La web, sin embargo, ofrece algunos servicios

adicionales como noticias, galería de fotos o descargas de programas de

humor. Pese a eso, no ofrece ningún tipo de servicio de foro, comunidad de

usuarios, sugerencias o bolsa de empleo/contactos. Muziko continuaría

siendo muy superior en cuanto a servicios que ofrece.


142

c) Clientes

Al tratarse de productos en su mayoría de consumo habitual (excepto

los instrumentos, que se compran con una frecuencia de cada 4 años) los

clientes suelen mostrar fidelización a las tiendas una vez empiezan a

comprar en ella. Como Muziko ofrece una variedad de servicios únicos en el

mercado y pretende hacerse publicidad en los distintos conservatorios del

país (se posee una gran cantidad de contactos como profesores y

profesionales), se prevé que muchos de los clientes habituales en tienda

pasen a utilizar la web, y que en un plazo de 2 años, el número de ventas de

Muziko se amplíe en un 120%.

d) Proveedores

Hay un gran número de proveedores dentro del panorama musical,

cada uno de ellos especializado generalmente en un instrumento concreto.

Para ello se cuenta con un ya consolidado contacto con los principales

proveedores, permitiendo precios muy competitivos y adaptándonos a los


143

requisitos del mercado. En caso de la existencia de sugerencias para nuevos

productos, se buscarán los proveedores adecuados que ofrezcan la mayor

relación calidad-precio, estableciendo un estrecho vínculo comercial para

siguiente ocasiones. De este modo se conseguirán las mejores ventajas

económicas.

e) Productos sustitutivos

Debido a que se trata de un servicio único e inexistente hasta el

momento (ya se analizó a los competidores directos e indirectos con

anterioridad) no se encuentran productos sustitutivos únicos, aunque si se

podría conseguir este servicio con la unión de otros muchos, como un

servicio en tienda, otro online, un foro y una red de contactos. El uso de

tantos servicios simultáneos no suele ser bien aceptado por los

consumidores, con lo cual la existencia de una alternativa factible se hace

muy difícil.

4.1.2.3. Análisis interno

Hay muchas tiendas de instrumentos musicales en Internet ofreciendo

precios competitivos, con la contraposición de tener que pagar elevados gastos de

envío por tratarse de elementos pesados. También hay muchas tiendas físicas que

no ofrecen un servicio a domicilio, obligando a gente muy ocupada o que viva

alejada, tener que desplazarse para comprar materiales secundarios como cañas o

palas. Sin embargo, parece que no hay ningún servicio que ofrezca las ventajas de

ambas modalidades de forma competitiva. El objetivo es ofrecer dicho servicio,

permitiendo también, hacer pedidos online pero con la posibilidad de irlos a

recoger a una tienda y ahorrándose de ese modo los gastos de envío

correspondientes.


144

Adicionalmente, se pretende crear una comunidad de música. Los

diferentes usuarios podrán estar vinculados con sus amigos o conocidos, de forma

que puedan conocer qué perfiles o currículos hay, además de intercambiar

consejos, opiniones o noticias de conciertos. El objetivo es recrear en Internet la

condición social de la música.

Si se consigue este objetivo, el apego de los usuarios al servicio será elevado,

pues aunque un competidor decida también ofrecer tienda online y física a la vez,

el usuario permanecerá donde su comunidad de amigos/profesionales/alumnos y

conocidos esté asentada. Es el mismo caso que se da en España con MSN

Messenger y otros servicios como Yahoo Messenger. Todos los servicios de

mensajería instantánea tienen similares características, sin embargo los usuarios

tienen elevada fidelidad a MSN Messenger. La razón es simple: “Uso MSN

Messenger porque mis conocidos lo usan y es la forma de relacionarme con ellos”.


145

4.1.2.4. Diagnóstico cualitativo

Análisis DAFO

Oportunidades Amenazas

Mercado de rápido crecimiento.

No hay gran competencia a nivel

global.

Concienciación de la sociedad y

medidas por parte de las

administraciones públicas.

Bajada de los precios de los

competidores.

Aparición de otros servicios

similares.

Fortalezas Debilidades

Ofrecer tienda online a la vez

que física.

Modelo sólido de fidelización.

Comodidad para el usuario

frente a las tiendas habituales.

Mayor abanico de medios de

pago que la competencia: tarjeta

de débito, crédito y pago por

Paypal.

Puede que se abuse de los

servicios alternativos gratuitos

de la web, sin que los usuarios

compren ningún producto.

Podría no ser interesante para el

usuario la comunidad musical.

Falta de experiencia en el área de

música online por parte del

fundador.


146

4.1.3. Producto

a) Descripción del producto

El producto consiste en ofrecer un servicio alternativo a la tienda

física, permitiendo los pedidos vía Internet, ofreciendo comodidades de

pago como Paypal. Se venderá todo tipo de material necesario por el

usuario. Cualquier producto no disponible, podrá se encargado sin coste

adicional poniéndose en contacto con el personal de la tienda. Los

productos disponibles serán instrumentos, accesorios para instrumentos,

partituras y multimedia (CD’s y DVD’s).

Todo esto vendrá acompañado por la inclusión de una comunidad

musical en la que los amigos y conocidos o profesionales y profesores se

relacionaran para encontrar nuevos perfiles musicales o currículos,

comunicarse con relación al tema musical y recomendar actos, conciertos o

productos a otros usuarios.

Muziko estará pendiente de las opiniones sobre productos de los

usuarios, retirando en su defecto aquellos productos que sean de mala

calidad para los compradores. El objetivo es la mayor calidad al mejor

precio.

La mayoría de productos (accesorios musicales) son de consumo

corriente, con alta frecuencia de compra (1 vez al mes) y de precio unitario

medio de 10€. Sin embargo los márgenes son elevados debido a la poca

competencia actual.

b) Necesidad que satisface

La comunidad musical requiere de material para poder llevar a cabo

su profesión/afición.


147

c) Ciclo de vida del producto

El servicio web se encuentra en la etapa de lanzamiento, y el de

tienda en etapa de maduración.

4.1.4. Objetivos y estrategias

4.1.4.1. Establecimiento de objetivos

Los principales objetivos son dos:

a) Superar las ventas actuales en un 120% en un periodo de 24 meses.

b) Conseguir una media de 5 registros de usuarios diarios durante el primer

año. De este modo se garantiza un crecimiento de la comunidad de usuarios

piramidal, de modo que crezca ampliamente durante el segundo año.

4.1.4.2. Formulación de estrategias

Se desea aplicar una estrategia corporativa de crecimiento, particularmente,

de penetración en el mercado, pues la presencia actual de Muziko en la web es

nula.

En cuanto a la estrategia de negocio, se pretende desarrollar una estrategia

competitiva de bajo coste debido al aprovechamiento de economías de escala a

través de proveedores ya conocidos y también una estrategia competitiva de

diferenciación, al ofrecer nuevos servicios incorporados al producto. El producto

no sólo consiste en material musical sino también en una red social cuyo epicentro

es la música.


148

También se va a aplicar una estrategia de comercialización mediante la cual

los propios usuarios se encargaran de opinar y valorar de forma indirecta el

producto. Enviaran invitaciones a sus conocidos para que se unan a su comunidad

musical y además se les proporcionará ofertas en exclusiva según su perfil y

frecuencia de compra, aumentando así la exposición de la marca.

4.1.5. Plan de marketing

4.1.5.1. Política de producto

La política del producto en este caso está enfocada al cambio psicológico: las

tiendas musicales existen desde hace mucho tiempo (tanto las físicas como las

online), sin embargo, la intención es que el usuario lo perciba como un cambio

radical que implica que podrá disfrutar de todas las ventajas que ofrece una tienda

online con las que ofrece una tienda física, además de todos los privilegios que

tiene estar registrado en la web. Esto principalmente proporciona comodidad y

facilidades al usuario que serán percibidas instantáneamente, lo que fortalecerá la

imagen del producto como novedad.

La marca elegida es Muziko.es, debido a que es un dominio genérico que se

asocia inmediatamente con el producto que se vende. También es fácil de leer,

escribir y pronunciar para usuarios de cualquier nacionalidad (no sólo usuarios de

habla española). Esto permitirá en un futuro próximo la extensión a otros países,

sobre todo europeos.

4.1.5.2. Política de distribución

Se usará venta directa a través del canal online o a través del canal físico (la

tienda correspondiente). Un usuario, si vive cerca de una tienda y quiere ahorrarse


149

los gastos de envío, podrá aprovechar los precios ventajosos de la web (en

ocasiones habrá ofertas exclusivas para la compra online) y venir a recoger el

pedido.

4.1.5.3. Política de comunicación

La política de comunicación va a consistir en provocar que sea el propio

usuario el que invite a sus conocidos a su comunidad musical. Esto se conseguirá

ofreciendo ciertos privilegios en función del tamaño de la comunidad musical de

cada usuario; así se premiará al usuario según tenga más miembros en su

comunidad, por ejemplo ofreciendo ofertas especiales u otro tipo de descuentos y

promociones similares. De esta forma, se obtendrá un “marketing viral” que hará

que el producto se dé a conocer rápidamente de la mano de gente de confianza de

los usuarios. Un ejemplo del funcionamiento de este tipo de marketing es el sitio

hi5.com, que obtuvo excelentes resultados de esta forma. También MySpace.com

usó este tipo de marketing con gran éxito, siendo actualmente el 4º sitio más

visitado del mundo (fue fundado a finales de 2003 y en 2005 los fundadores lo

vendieron por 580 MM de dólares).

Por último, se ha considerado el llevar a cabo una campaña de

comunicación entre las principales escuelas y conservatorios de música del país. Se

posee ya de una amplia agenda de profesores y profesionales, clientes habituales

de la tienda física. Estos serán los encargados de promocionar la tienda web y la

comunidad musical entre sus contactos y alumnos, ofreciendo a cambio una serie

de ventajas y descuentos por su labor. La inversión estimada pues, será muy baja

aunque no por ello menos eficaz. Se ha optado por esta estrategia de comunicación

en vez de la inversión en publicidad directa debido a que Muziko no pretende

hacer un gran desembolso inicial para el lanzamiento del nuevo servicio.


150

4.1.5.4. Localización

Muziko ya posee 3 tiendas en España repartidas entre los núcleos más

importantes de música en el país: Madrid, Barcelona y Valencia. La sede principal,

sin embargo, se encuentra en Madrid, y será desde aquí donde se gestionará todos

los contenidos y pedidos de la página web. El resto de tiendas, sin embargo,

también podrá recibir pedidos, pero la atención requerida para la web será menor.

Se pretende de este modo centralizar el negocio de la web y derivar la menor carga

de trabajo posible en las sucursales secundarias.

4.1.6. Plan de recursos humanos

Dado que los primeros tres meses no se espera una actividad muy

importante, sólo será necesario un desarrollador encargado del mantenimiento,

trabajando una jornada laboral de 7 horas de 9 a 18 horas. Será el encargado de

desarrollar la web, solucionar las incidencias y de ponerla al día con la ayuda de

los dependientes de la tienda actuales. Además, deberá familiarizar al personal de

la tienda con la web. El objetivo es que en el plazo de 6 meses, todos los

encargados de las tiendas sean capaces gestionar la web por sí solos. De todos

modos, a partir de ese plazo inicial de 6 meses, se contará con la ayuda de otra

persona con una jornada reducida, que se encargue de tramitar los pedidos de la

web, de personalizar ofertas, de observar y estudiar las preferencias de los

usuarios, etc. A medida que el tráfico de la web aumente, esta persona aumentará

las horas laborales y se considerará la contratación de más personal.


151

4.2. Arquitectura.

Esta fase tiene como fin el definir las posibles soluciones de la arquitectura

que consigan satisfacer tanto los requisitos como las restricciones del diseño. Para

ello se estudiaran tanto las distintas plataformas web que se pueden utilizar, como

el distinto software a implantar como tienda de comercio electrónico.

4.2.1. Plataforma web

La plataforma web es el lugar que contendrá la aplicación de comercio

electrónico, y la arquitectura a utilizar será una arquitectura web de aplicaciones.

Con el fin de permitir la reutilización de la plataforma en un futuro, la arquitectura

se divide en tres niveles:

1. Nivel de presentación: Lo forma la aplicación de comercio electrónico y es

responsable de la adquisición de datos y la presentación del mismo al

usuario. Se ejecuta en el cliente.

2. Nivel de negocio: Formado por el código de la aplicación de comercio

electrónico. Se ejecuta en el servidor web.

3. Nivel de datos: Formado por el código de gestión del almacenamiento y

recuperación de los datos. Se ejecuta en el servidor de base de datos.

Es decir, se utilizará una arquitectura web compleja en tres niveles. Según el

nivel de la aplicación, se tienen las distintas alternativas:

Nivel de presentación (Cliente)

Debido a que la plataforma se presenta como un servicio web, el cliente

podrá ser cualquier navegador web. El navegador traducirá el código HTML de las

páginas y presentará los resultados al nivel de negocio en el servidor web.


152

Nivel de negocio (Servidor web)

Es un programa que implementa el protocolo http y se ejecuta continuamente

en un ordenador, manteniéndose a la espera de peticiones por parte de los clientes.

El servidor responde al cliente enviando el código HTML de la página. El cliente,

con el código, lo interpreta y muestra en pantalla. A continuación se detalla la

arquitectura elegida para implementar el servidor web:

• Apache: Es un servidor HTTP OpenSource para plataformas UNIX,

Windows, Macintosh y otras.

• PHP: Es el lenguaje de programación interpretado, diseñado originalmente

para la creación de webs dinámicas. Esta diseñado especialmente para

desarrollo web.

Se ha elegido esta arquitectura básicamente por dos razones: por su gran

aceptación en Internet y toda la documentación que existe sobre ella, y por ser

software libre, haciendo que incurra con un coste nulo pero proporcionando un

servicio profesional.

Nivel de datos (Servidor de base de datos)

Es el denominado Sistema Gestor de Base de Datos (SGBD), es un software

específico dedicado a servir de interfaz entre la base de datos, el usuario, y las

aplicaciones. Se compone de un lenguaje de definición de datos, de un lenguaje de

manipulación de datos y de un lenguaje de consulta.

A continuación se detalla el SGBD elegido:

• MySQL: Es uno de los servidores de base de datos más popular y

conocido en el mundo que destaca por ser software libre,

proporcionando rapidez, estabilidad y facilidad de desarrollo.


153

4.2.2. Aplicaciones de comercio electrónico

Para la realización de este apartado, cuyo objetivo es la elección del sistema

para la implantación de la tienda on-line, se ha realizado un estudio previo de

evaluación de las distintas alternativas existentes en el mercado.

VirtueMart

VirtueMart es una solución de e-commerce OpenSource que se integra con

el gestor de contenido Joomla y Mambo. Ambos sistemas están desarrollados en

un ambiente PHP y MySQL.

Es fácil de implementar (se instala como componente de Joomla) y al estar

integrando con un manejador de contenido lo hace una solución bastante robusta

en comparación con otros sistemas. Entre sus características están:

• Productos y categorías ilimitadas.

• Posibilidad de manejarlo simplemente como un catálogo y desactivar las

funciones de tienda en línea.

• Los productos pueden asignarse a múltiples categorías.

• Posibilidad de vender productos descargables (Mp3, películas, vídeos, etc.).

• Maneja descuentos por productos.

• Manejo de inventario.

• Administrar tarifas de envíos.

• En cuanto al manejo de pagos puede utilizar los siguientes métodos:

2Checkout, PayPal (IPN), Payflow Pro, Authorize.net (AIM) y eCheck.


154

ZenCart

Zen Cart es otra solución gratuita para el desarrollo de tiendas en línea. Está

desarrollado por un grupo de propietarios de tiendas, programadores y

diseñadores. Entre sus características están:

• Fácil instalación.

• Múltiples ventas y descuentos.

• Múltiples formas de desplegar la información.

• Sistema de plantillas XHTML.

• Páginas extra ilimitadas.

• Incluye un administrador de banners.

• Múltiples opciones de envío.

• Múltiples opciones de pago.

• Manejo de boletines.

OpenCart

Es un sistema relativamente nuevo pero que no debe ser dejado de lado, ya

que al ser OpenSource el crecimiento en cuanto a características puede ser

exponencial. Entre las características actuales están:

• Fácil uso.

• Fácil de indexar por buscadores.

• Panel de administración amigable al usuario.


155

• Multilenguaje.

• Posibilidad de cobro por PayPal o Money Order.

• Envío de boletines.

• Presentación de informes.

Magento

Magento es una solución OpenSource para la creación de tiendas virtuales.

El sistema tiene como máxima resultar amigable al usuario, tanto en la parte de

catálogo como en la parte de administración. Aun está en fase beta pero es posible

utilizarlo sin ninguna restricción, y en un futuro tenerlo en cuenta para poder

implementarlo. Está desarrollado en PHP 5 y MySQL. Entre sus características

están:

• Optimización para buscadores (SEO).

• Envío a múltiples direcciones.

• Características de marketing.

• Definición de reglas para los impuestos.

• Multilenguaje.

• Múltiples formas de cobro.

• Incorpora un manejador de contenido CMS.


156

FatFreeCart

FatFreeCart es la versión gratuita del sistema e-Junkie. Se puede integrar en

un sitio web o blog sin requerir ningún tipo de registro, ya que trabaja con PayPal

y Google Checkout. Además soporta diversas clases de productos, envíos y tarifas

de impuestos.

4.2.3. Solución elegida: osCommerce

Para la realización de este proyecto se ha realizado un estudio previo (ver

apartado 4.2.2) sobre los CMS´s (Content Management System) más populares que

contienen un módulo para comercio electrónico o son diseñados especialmente

para esto, verificando que estos controladores permitan un entorno confiable,

eficaz y potente, desde el manejo de bases de datos hasta la modificación de una

interfaz segura y de fácil uso para el desarrollo del proyecto.

osCommerce es un proyecto OpenSource que se ha posicionado como uno

de los CMS´s más utilizados en el mercado europeo para soluciones del tipo e-

commerce, contando con aproximadamente 4351 tiendas en línea. Esta herramienta

se ha convertido en una de las mejores soluciones de código abierto existentes para

la creación de tiendas virtuales, que además de ser gratuita, es sencilla de

administrar y adaptar.

osCommerce permite instalar una tienda virtual en cuestión de minutos, al

ser sistema en código abierto, ofrece una serie de ventajas, como que es gratuito,

que está en constante mejora, que cuenta con una gran soporte en los foros de

discusión, y finalmente, que si se encuentra algún fallo, es posible reportarla al

equipo de desarrollo y corregirla rápidamente.


157

Así pues, se ha optado por osCommerce por ser una solución fácil, rápida y

segura al comercio electrónico, por las características, requerimientos técnicos y

ventajas que ofrece, así como su implementación en un servidor local.

Remarcar también el hecho de que se trata de un software gratuito

licenciado bajo GPL. Es importante considerar los aspectos más relevantes de dicha

licencia, que especifican lo siguiente:

• Libre distribución. No debe haber restricciones para vender o distribuir el

software.

• Código fuente. El software debe incluir el código fuente y debe permitir

crear distribuciones compiladas siempre y cuando la forma de obtener el

código fuente esté expuesta claramente.

• Trabajos derivados. Se debe permitir crear trabajos derivados, que deben

ser distribuidos bajo los mismos términos que la licencia original del

software.

• Integridad del código fuente del autor. Se debe permitir la distribución del

código fuente modificado, aunque puede haber restricciones para que se

pueda distinguir el código fuente original del código fuente del trabajo

derivado.

• No discriminar personas o grupos. La licencia no debe discriminar a

ninguna persona o grupo.

• No discriminar ningún tipo de uso del programa. La licencia no debe

impedir a nadie el uso del programa en una determinada actividad. Por

ejemplo, no puede impedir el uso en una empresa, o no puede impedir el

uso en investigación genética.


158

• Distribución de la licencia. Los derechos que acompañan al programa

deben aplicarse a todo el que redistribuya el programa, sin necesidad de

licencias adicionales.

• La licencia no debe ser específica a un producto. Los derechos que da la

licencia no deben ser diferentes para la distribución original y para la que

funciona en un contexto totalmente diferente.

• La licencia no debe ir en contra de otro software. La licencia no debe

restringir otro software que se distribuya con el mismo. Por ejemplo, la

licencia no debe indicar que todos los programas distribuidos

conjuntamente con él deben ser OpenSource.

Es pues íntegramente OpenSource, lo cual permite que esté constantemente

actualizado por la comunidad, añadiendo todo tipo de contribuciones como

distintos módulos de pago, de envío, contribuciones para el diseño, plantillas,

lectores RSS, etc.

Hace uso de Apache como servidor web, PHP como lenguaje, y MySQL

como base de datos. Está formado principalmente por dos partes:

• El Catálogo de Productos. Es la parte que ven los clientes, la tienda virtual

en sí.

• El Módulo de Administración. Donde se puede mantener la propia tienda

virtual, actualizando productos, insertando nuevas ofertas, categorías,

idiomas, monedas, consultar los pedidos o los clientes.

La instalación básica de osCommerce, tiene unas características por defecto,

que luego se pueden modificar bien por administración o con ayuda de

contribuciones, como nuevos módulos de pago (e-pagado), de envío (Seur), etc.


159

Estas son las características principales de la instalación de osCommerce:

Generales

• Los pedidos, clientes y productos se almacenan en una base de datos de fácil

consulta vía administración-web.

• Los clientes podrán comprobar el histórico y el estado de sus pedidos una

vez registrados

• Los clientes pueden cambiar sus datos de perfil de usuario desde su

apartado cliente.

• Múltiples direcciones de envío por usuario, para regalos por ejemplo

• Búsqueda de productos.

• Posibilidad de permitir a los usuarios valorar los productos comprados,

además de comentarlos.

• Posibilidad de implementar un servidor seguro (SSL).

• Puede mostrar el número de productos en cada una de las categorías.

• Lista global o por categoría de los productos más vendidos y más vistos.

• Fácil e intuitiva navegación por categorías.

• Plataforma multi-idiomas, por defecto estarán disponibles el español, inglés

y alemán.

Producto

• Relaciones dinámicas entre productos.

• Descripciones de productos basadas en HTML.


160

• Generación automática de productos especiales.

• Controla la posibilidad de mostrar o no en la tienda virtual los productos

agotados.

• Posibilidad de ofrecer a los usuarios la suscripción a una newsletter de

novedades.

Pagos

• Medios de pago offline (transferencias, cheques, ingresos, etc.).

• Muchos medios de pago online (E-Pagado, PayPal, TPV virtual, etc.).

• Posibilidad de deshabilitar algunos medios de pago según la zona

geográfica del usuario.

• Posibilidad de añadir el IVA por zonas geográficas y por productos, ya que

por ejemplo en Nigeria no tienen IVA

Envíos

• Precios de envío por peso, destino y precio.

• Precios reales disponibles en tiempo real para algunos operadores (UPS,

FedEx).

• Envío gratuito según importe del pedido y destino

• Posibilidad de deshabilitar determinados servicios de envío en función de

zonas geográficas.


161

4.3. Guía de navegación.

Tal y como se ha comentado en el apartado anterior, osCommerce provee a

las páginas web de dos módulos principales:

• Catálogo: este módulo corresponde a la parte pública de la web y posee

todas las funcionalidades que pueden desenvolver los usuarios que

quieran comprar en ella. En este módulo se encuentra el catálogo de

productos. Así pues, es la parte visible por todos los perfiles.

• Administración: este módulo es el motor que dirige toda la web. Se

encarga de diseñar y gestionar el contenido visible en la web. Permite

infinidad de variaciones de la distribución original y le sirve al

administrador como control y manejo de la tienda.

4.3.1. Administración

Para entrar en el módulo de administración es necesario acceder al

directorio “admin” del raíz. Esto se hace escribiendo en el navegador web la

siguiente dirección: http://www.tienda.muziko.es/admin. A continuación

aparecerá una página solicitando el nombre de administrador y su contraseña. Una

vez validado, conducirá a la página online de herramienta de administración.


162

Tan sólo entrar, se muestran las últimas ventas realizadas en el sistema y el

estado de estas compras.

En el menú lateral se observan todas las opciones posibles de

administración. A continuación se detallará cada una de ellas:

Configuración

Es la opción más extensa ya que permite modificar cantidad de detalles.

Permite, entre otras cosas, las siguientes acciones:

• Añadir o modificar administradores.

• Añadir la información relativa a la tienda (nombre de la tienda, nombre del

propietario, su email, etc.)


163

• Permite establecer valores máximos y mínimos para los distintos campos

rellenables de la web, como cuando se inscribe un usuario.

• Establecer los valores de configuración que fijan el tratamiento que realizará

osCommerce de las imágenes que se muestran en la tienda.

• Indicar que campos deber aparecer en el alta de clientes.

• Establecer los valores a considerar para el empaquetado y envío físico de los

productos, como por ejemplo el peso máximo que la tienda está dispuesta a

enviar a un cliente. Estos valores son usados por los módulos de envío

instalados en la tienda para calcular los gastos de envío.

• Etc.

Catálogo

El catálogo de osCommerce contiene el detalle de los productos que se

venden en la tienda virtual, siendo quizás una parte muy importante de este

paquete de software la facilidad que ofrece para definir los atributos adicionales

que se quieran para los productos. Es decir, osCommerce no ofrece una plantilla de

atributos estáticos a rellenar para cada producto, sino que permite que el

administrador defina sus propios atributos de forma personalizada acorde al tipo

de artículos que venda.


164

Módulos

Los módulos de osCommerce permiten definir los métodos de pago que

debe soportar la tienda virtual (contra reembolso, transferencia/cheque bancario,

tarjeta de crédito, PayPal, etc.), los gastos en función de los métodos de envío

(tarifa única, por artículo, tabla de tarifas, etc.) y el orden en que se deben totalizar

todos los importes para obtener el total definitivo a pagar por el cliente.

Clientes

Puede gestionar el listado de clientes registrados y pedidos realizados, así

como consultar distintos informes que proporcionan detalles del rendimiento de la

web desde el punto de vista de los productos expuestos en ella.


165

Zonas/Impuestos

Permite definir todos los tipos de impuestos que sean necesarios para cada

zona fiscal en la que vaya a operar la tienda virtual. Es en este apartado de la

configuración donde se declaran dichas zonas y sus impuestos asociados.

Adicionalmente permite realizar el mantenimiento de los países y estados

(provincias) almacenados en base de datos.

Localización

Esta opción incluye la gestión de idiomas, monedas, y la configuración de lo

que significa cada estado de pedido.

Informes

Este apartado permite acceder a tres listados:

• Los más vistos: Muestra la lista de todos los productos ofrecidos en la web

junto con una cuenta de las veces en las que al menos un visitante de la web

ha entrado a ver el detalle de cada producto en concreto.

• Los más comprados: En este listado se pueden ver los productos junto con

una cuenta del número total de unidades vendidas de cada producto en

concreto. A diferencia de con el anterior, en este listado sólo se muestran los

productos para los que al menos se haya producido una pedido.

• Total por cliente: Este tercer listado muestra la suma del importe total de

todos los pedidos realizados por cada cliente individualmente en la tienda.

Sólo se muestran los clientes que al menos hayan realizado alguna vez un

pedido.


166

Se trata de una opción muy útil para hacer estadísticas de compra de la web

y sobre todo, para observar los productos más vendidos y por lo tanto, los que

requieran de más stocks o pedidos en tienda. Este apartado es el más importante

desde el punto de vista comercial.

Herramientas

El objetivo de cada una de estas herramientas es muy distinto entre sí,

mezclándose varias utilidades técnicas en su mayoría, como la realización de

copias de seguridad o gestión de los archivos del servidor, con las que tienen

influencia en el aspecto de la tienda, como la definición de los textos en distintos

idiomas o la configuración de banners.


167

4.3.2. Catálogo

Hasta el momento se ha visto únicamente la parte técnica y administrativa

de la web. Esta parte es importante, pero es el catálogo el que llega a los

consumidores directamente y es importante pues, combinar tanto la parte

administrativa como la técnica para destacar en un negocio tan competitivo como

Internet. A continuación se mostrará un recorrido por la tienda virtual.

Para empezar, hay que introducir la siguiente dirección en el navegador

web: http://tienda.muziko.es. Esta dirección conducirá a la página principal de la

tienda, mostrando a simple vista y de forma intuitiva, las posibilidades del

usuario.


168


169

Las posibilidades que se observan son:

1. Fácil cambio de idioma (al tratarse de un prototipo sólo se han contemplado

el castellano y el inglés).

2. Cambio de moneda (al tratarse de un prototipo sólo se han contempla el

euro y el dólar).

3. Apartado de dudas frecuentes e información.

4. Permite acceder a la cuenta personal. Es necesario un registro previo y es

obligatorio para la realización de cualquier compra.

5. Permite ver la “cesta de la compra”. Se muestran todos los accesorios

comprados hasta el momento y permite modificarla.

6. Permite realizar el pedido. Para poder completar la transacción es necesario

el registro en el sistema, o por el contrario, introducir un nombre de usuario

ya existente.


170

Si eres un nuevo cliente, es necesario rellenar una serie de datos

obligatorios con tal de formalizar la compra. Se debe informar al

consumidor que estos datos están protegidos mediante el cumplimiento de

la LOPD en todo momento.

Tanto si ya eres usuario registrado como si te acabas de registrar, la

web te conduce a una serie de páginas con tal de que el comprador

seleccione la dirección de entrega, la forma de envío (rápida o barata), la

forma de pago y finalmente, la confirmación.


171

El sistema enviará un email al usuario mostrando un recibo de la

compra a modo de garantía y finalizará la compra.

7. Categorías de productos. Se trata del catálogo propiamente dicho. En esta

tienda en particular, se divide en instrumentos, accesorios, partituras y

multimedia.


172

Al acceder a una categoría concreta, aparecerán las subcategorías,

que contendrán los productos en venta.


173

Finalmente, al seleccionar el producto deseado y pulsar comprar, éste

se acumulará automáticamente en la cesta personal de la sesión.


174

En el recuadro indicado, se observa el contenido de la cesta en cada

momento y muestra el valor total al que ascienden la compra. A partir de

aquí, se puede continuar con la compra o por el contrario, realizar el pedido.

8. Permite hacer una selección de productos por fabricante. Es una opción muy

útil cuando se requiere de un objeto con una marca concreta recomendada.

9. Finalmente, indicar que se pueden hacer búsquedas mediante palabras

clave de forma rápida y sencilla. También da la opción de realizar una

búsqueda avanzada indicando una serie de parámetros opcionales, como la

categoría o el precio.


175

55

VVaalloorraacciióónn eeccoonnóómmiiccaa yy ppllaanniiffiiccaacciióónn ddeell pprrooyyeeccttoo


176

5. Valoración económica y planificación del proyecto

5.1. Valoración económica.

En este apartado se realizará la valoración económica del proyecto, es decir

de los costes tangibles asociados al mismo.

5.1.1. Coste de tecnología

Son aquellos costes que provienen de adquirir los equipos hardware para el

correcto funcionamiento del sistema, así como las licencias necesarias para utilizar

las herramientas empleadas en el proyecto.

Como se veía en el apartado de la arquitectura del sistema, los elementos

hardware y software que se van a adquirir son los siguientes: El servidor de base

de datos de Internet contiene la base de datos de la web de los usuarios inscritos

así como del administrador de la base de datos. Por lo tanto, se cuenta con un

servidor de Base de Datos montado, configurado y conectado a la red. El servidor

de base de datos con el que se cuenta es un servidor de Base de datos MySQL.

En la parte de desarrollo se precisará, como mínimo, de una estación de

trabajo AMD Athlon 64 con 2 GHz, 1 GB de RAM y 120 GB de disco duro. Además

se precisará de un servidor de desarrollo de las mismas características que las

estaciones de trabajo.

Los requisitos software se centrarán en las estaciones de trabajo, que

precisará de herramientas para el desarrollo web tales como Notepad++, de

herramientas de diseño como Gimp, así como de aplicaciones ofimáticas tales

como Microsoft Word, Adobe Acrobat, etc.


177

Se requiere una conexión a Internet de un mínimo de 1MB, debido a que se

el flujo de trabajo que pasará por Internet es considerable.

Se requiere acceso a servidores de correo que permitan el intercambio de

correo electrónico entre diferentes usuarios. La aplicación se ubicará en la Red

Pública Internet para que tenga acceso cualquier usuario.

Para ello se utilizará el dominio público: http://tienda.muziko.es.

ELEMENTO IMPORTE Estación de trabajo 800 € Servicio de host (incluye servidor y dominio) 30 € Windows XP Profesional 250 € Microsoft Office 2007 200 € ADSL (40€/mes * 9 meses) 360 €

Total 1.640 €

5.1.2. Coste de implantación

Estos costes incluyen los costes de desarrollo, implantación, personal y

formación. En este caso, sin embargo, se despreciarán los costes de formación, al

tratarse de una aplicación sencilla e intuitiva de utilizar. En principio, sería

suficiente con la distinta documentación existente en la red para poder manejar la

aplicación correctamente.

FUNCIÓN Nº HORAS COSTE/HORA IMPORTE Analista 200 40 8000 Programador 180 30 5400 Jefe de Proyecto 60 55 3300 Coordinador 5 65 325

Director de Proyecto 10 65 650

Total

17675 €


178

5.1.3. Costes operacionales

Incluyen los costes de explotación y mantenimiento. Dado que el sistema

lleva una gran carga de mantenimiento automático, tan solo será necesaria una

persona encargada del mantenimiento y que además podrá compaginar este

trabajo con el mantenimiento de otros sistemas. Se estima que los costes de

mantenimiento, así como la manipulación y control de la página web van a costar

aproximadamente unos 1.500 euros al año.

5.1.4. Costes totales

CONCEPTO COSTE Costes de tecnología 1.640 € Costes de implantación 17.675 €

Costes operacionales 1.500 €

20.815 €


179

5.2. Planificación temporal.

La planificación del proyecto se ha dividido en cinco etapas que

comenzaron en diciembre del 2007 y han finalizado el 1 de septiembre del 2008,

con un paréntesis de una semana en abril, de un mes en febrero y de un mes en

junio debido a los exámenes y de una semana en agosto por vacaciones.

Las cinco etapas cubiertas por el proyecto son las siguientes:

1. Consulta de fuentes (CF): recopilación de información, tanto a nivel

documental como empresarial.

2. Tratamiento de datos (TD): elaboración ejemplos, análisis de la situación y

estudio implantación.

3. Enmarcación, alcance y análisis (EAA): esta etapa corresponde al grueso

principal del proyecto. Se trata de la redacción de la memoria según los

temas enmarcados en el proyecto (índice) desde el apartado 1 hasta el 3

inclusive.

4. Tienda de comercio electrónico (TCE): elaboración de un prototipo real de

tienda online con un estudio de plan de negocio previo. Esta etapa se

encuentra reflejada en el apartado 4 de este proyecto. Cuenta pues con parte

de desarrollo y de redacción.

5. Conclusiones (CON): última fase de cierre en la cual se elabora el resumen,

conclusiones finales, valoración económica y planificación.


180

Planificación temporal


181

66

TTrraabbaajjoo ffuuttuurroo yy ccoonncclluussiioonneess


182

6. Trabajo futuro y conclusiones

En este último capítulo se quiere destacar la importancia y el papel

desempeñado por el software libre en el proyecto durante toda su elaboración.

Este proyecto es un punto final en la formación académica del autor, y ha

representado un esfuerzo muy considerable, al tener que aprender diferentes

lenguajes y herramientas de programación que nunca se habían visto. Por otro

lado, y mucho más importante ha sido la elaboración del ciclo de vida de una

aplicación desde el principio hasta su fin.

Merece ser reconocida la tarea de búsqueda de documentación sobre las

maneras de implantar una tienda de comercio electrónico, encontrando las más

adecuadas, como se comenzaba diciendo, aquellas basadas en el software libre. Es

en estos entornos donde hay tanto número de elementos heterogéneos, y que

deben funcionar todos correctamente, donde realmente se observa su vital

importancia. Es aquí donde se necesita de toda la información existente.

El prototipo realizado de tienda virtual queda como prueba de la fácil

adaptación de cualquier tipo de catálogo y casuística distinta que puedan tener

otras tiendas con objetivos similares a Muziko, y que el software OsCommerce

puede proporcionar de una manera profesional y sencilla.

Por último parece necesario recordar la necesidad de no perder atención a

las distintas tecnologías que aparecerán y que puedan ser aplicadas al comercio

electrónico, quedando como muestra de la importancia de ello el análisis realizado

en los capítulos correspondientes de este proyecto.


183

77

BBiibblliiooggrraaffííaa


184

7. Bibliografía

[KHOS06] Khosrow-Pour, Mehdi; “ENCYCLOPEDIA OF E-COMMERCE, E-

GOVERMENT AND MOBILE COMMERCE”; Idea Group Reference,

2006.

[SAMO06] Samoilovich, Sergio; “CIBERNEGOCIOS”; Libro gratuito virtual,

2006.

[WELL03] Welling, Luke l; “GUÍA PRÁCTICA DE PROTECCIÓN DE DATOS”;

1ª Edición; Universidad Pontificia Comillas, 2003.

[CRUZ06] Daniel de la Cruz, Carlos David Zumbado; “DESARROLLO WEB

CON PHP Y MYSQL”; Anaya Multimedia, 2006.

Direcciones de Internet

• http://www.webadictos.com.mx/2007/10/28/sistemas-para-tiendas-en-

linea-e-commerce-gratuitos-y-opensource

• http://www.oscommerce.com/

• http://oscommerce.qadram.com/

Otros

• Documentación personal de Mateo Camps.


185

88

AAnneexxooss


186

8. Anexos

8.1. Seguridad en el comercio electrónico: ¿SSL o SET?.

Cuando se habla de la carrera que existe entre la investigación de nuevas

tecnologías, la comercialización de esas tecnologías y la creación de estándares que

impongan orden y velen por la interoperabilidad, hay que lidiar con dos caminos

paralelos pero que inevitablemente van unidos. El primero de ellos representa la

intensa actividad de investigación que sigue a un excitante o prometedor

descubrimiento, sentándose las bases para el futuro desarrollo de una nueva

tecnología. El segundo representa la actividad comercial de las compañías que

recogen el testigo de los investigadores y comienzan a lanzar al mercado productos

que incorporan la tecnología. Es un momento de dura competencia, en el que cada

compañía intenta hacerse con la mayor cuota de mercado posible, acudiendo a

soluciones que funcionen como sea y que rara vez pueden interoperar con

productos de la competencia.

Entre ambos caminos queda un hueco que debe ser aprovechado por los

organismos de creación de estándares con el fin de evitar la pelea que se avecina si

las empresas privadas trabajan sobre el tema sin coordinación. Si la

estandarización llega demasiado pronto, la tecnología puede no ser

suficientemente comprendida o resultar inmadura, por lo que los estándares serán

malos e inútiles. Si llega demasiado tarde, alguna compañía o varias habrán

impuesto sus propias soluciones, que habrán sido adoptadas como estándar de

facto del sector emergente. Nadie esperaba que Internet, o más concretamente, la

World Wide Web, creciera al ritmo exponencial de los últimos años. Sus

posibilidades para el comercio fueron rápidamente vislumbradas y en un tiempo

récord pasó a transformarse en teatro de transacciones comerciales, financieras y


187

de todo tipo. No se podía esperar a estándares que velaran por la rigurosa

implantación de todos los detalles. ¿Qué método resulta más cómodo e inmediato

para pagar? La tarjeta de crédito. ¿Al usuario le preocupa la seguridad? Usemos un

canal seguro para transmitir el número de la tarjeta. Fue así como en poco tiempo

se impuso como norma tácitamente acordada el emplear SSL para cifrar el envío de

datos personales, entre ellos el número de tarjeta.

SSL (Secure Sockets Layer) es un protocolo de propósito general para

establecer comunicaciones seguras, propuesto en 1994 por Netscape

Communications Corporation junto con su primera versión del Navigator. Hoy

constituye la solución de seguridad implantada en la mayoría de los servidores

web que ofrecen servicios de comercio electrónico. Para pagar, el usuario debe

rellenar un formulario con sus datos personales (tanto para el caso del envío de los

bienes comprados, como para comprobar la veracidad de la información de pago),

y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad,

titular). Esta arquitectura no exige que el servidor disponga de capacidades

especiales para el comercio. Basta con que se utilice como mínimo un canal seguro

para transmitir la información de pago y el comerciante ya se ocupará

manualmente de gestionar con su banco las compras. El canal seguro lo

proporciona SSL. Sin embargo, este enfoque, aunque práctico y fácil de implantar,

no ofrece una solución comercialmente integrada ni totalmente segura (al menos

en España, debido a que los navegadores utilizan 40 bits de longitud de clave,

protección muy fácil de romper). SSL deja de lado demasiados aspectos para

considerarse la solución definitiva:

• Sólo protege transacciones entre dos puntos (el servidor web

comercial y el navegador del comprador). Sin embargo, una

operación de pago con tarjeta de crédito involucra como mínimo tres

partes: el consumidor, el comerciante y el emisor de tarjetas.


188

• No protege al comprador del riesgo de que un comerciante

deshonesto utilice ilícitamente su tarjeta.

• Los comerciantes corren el riesgo de que el número de tarjeta de un

cliente sea fraudulento o que ésta no haya sido aprobada.

Son demasiados problemas e incertidumbres como para dejar las cosas

como están. Se hacía necesaria la existencia de un protocolo específico para el

pago, que superase todos los inconvenientes y limitaciones anteriores, motivo por

el que se creó SET.

El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por

Visa y MasterCard, con la colaboración de gigantes de la industria del software,

como Microsoft, IBM y Netscape. La gran ventaja de este protocolo es que ofrece

autenticación de todas las partes implicadas (el cliente, el comerciante y los bancos,

emisor y adquiriente); confidencialidad e integridad, gracias a técnicas

criptográficas robustas, que impiden que el comerciante acceda a la información de

pago (eliminando así su potencial de fraude) y que el banco acceda a la

información de los pedidos (previniendo que confeccione perfiles de compra); y

sobre todo gestión del pago, ya que SET gestiona tareas asociadas a la actividad

comercial de gran importancia, como registro del titular y del comerciante,

autorizaciones y liquidaciones de pagos, anulaciones, etc.

Entonces, si todo son alabanzas, ventajas y puntos fuertes, ¿por qué SET no

termina de implantarse? ¿Por qué no goza de la popularidad de SSL, si se supone

mejor adaptado? En primer lugar, su despliegue está siendo muy lento. Exige

software especial, tanto para el comprador (aplicación de monedero electrónico)

como para el comerciante (aplicación POST o terminal de punto de venta), que se

está desarrollando con lentitud. En segundo lugar, aunque varios productos

cumplan con el estándar SET, esto no significa necesariamente que sean


189

compatibles. Este es un problema que exige mayores esfuerzos de coordinación y

más pruebas a escala mundial para asegurar la interoperabilidad. Sus puntos

fuertes son también su debilidad: la autenticación de todas las partes exige rígidas

jerarquías de certificación, ya que tanto los clientes como comerciantes deben

adquirir certificados distintos para cada tipo de tarjeta de crédito, trámites que

resultan pesados para la mayoría de los usuarios.

En definitiva, SET es un protocolo de gran fuerza, pero de movimientos

extraordinariamente pesados. SSL le ha tomado la delantera hace años. No es tan

perfecto, no ofrece su seguridad ni sus garantías, pero funciona. Y lo que es más

importante: el usuario de a pie no tiene que hacer nada.

Resumen del Boletín del Criptonomicón #54.


190

8.2. LOPD (Ley Orgánica de Protección de Datos).

La Ley Orgánica 15/99 de Protección de Datos de Carácter Personal (LOPD)

tiene como objeto "garantizar y proteger, en lo que concierne al tratamiento de los

datos personales, las libertades públicas y los derechos fundamentales de las

personas físicas, y especialmente de su honor e intimidad personal y familiar."

Para ello se establecen los principios de la protección de datos, donde se

disponen los derechos de información en la recogida de datos, de consentimiento

del titular de los datos, de rectificación y cancelación.

La principal novedad de la ley frente a la anterior, Ley Orgánica 5/92 de

Regulación del Tratamiento Automatizado de los Datos de Carácter Personal,

estriba en que su vigencia se aplica a cualquier tipo de fichero, entendiendo como

tal "todo conjunto organizado de datos de carácter personal, cualquiera que fuere

la forma o modalidad de su creación, almacenamiento, organización y acceso."

Para adecuarse a la Ley, es necesaria la notificación e inscripción registrar

del fichero a la Agencia de Protección de Datos, cuyo objetivo es "velar por el

cumplimiento de la legislación sobre protección de datos y controlar su aplicación,

en especial en lo relativo a los derechos de información, acceso, rectificación,

oposición y cancelación de datos."

Además de la inscripción del fichero, es necesario que la empresa cumpla

con las obligaciones establecidas en la LOPD, como son el notificar al titular de los

datos sobre la inclusión de éstos en un fichero, facilitar el derecho a la consulta,

modificación, rectificación y cancelación de los mismos, cumplir el deber de secreto

profesional, etc.


191

Todo ello se viene complementado con la obligación de velar por la

seguridad de los datos, con el fin de protegerlos de alteración, pérdida, tratamiento

o acceso no autorizado.

Para garantizar la seguridad de los datos, el responsable del fichero o el

encargado del tratamiento "deberán adoptar las medidas de índole técnica y

organizativas necesarias que garanticen la seguridad de los datos de carácter

personal." Para los ficheros automatizados se aprobó el Real Decreto 994/99, por el

que se establece el "Reglamento Medidas de Seguridad de los Ficheros

Automatizados que contengan Datos de Carácter Personal." Entre las medidas a

adoptar consta la adopción del adecuado nivel de seguridad, en base al cual se

establecen los procedimientos mínimos a implantar.

La LOPD contempla infracciones y sanciones para las empresas que no

cumplan la ley, dividiéndolas en infracciones leves, graves y muy graves, con

multas que van desde los 601,01€ hasta los 60.101,21€ para las leves, y pueden

llegar hasta 601.012,10€ para las muy graves. Entre las infracciones leves se incluye

el no notificar a la Agencia de Protección de Datos la creación de un fichero. Y el

hecho de no adoptar las medidas de seguridad establecidas en el documento de

seguridad supone una infracción grave.


192

8.3. LSSICE (Ley de Servicios de la Sociedad de la Información y

Comercio Elect.).

La Ley se aplica a todas las actividades que se realicen por medios

electrónicos y tengan carácter comercial o persigan un fin económico. La Ley se

aplica tanto a las páginas web en las que se realicen actividades de comercio

electrónico como a aquéllas que suministren información u ofrezcan servicios de

forma gratuita para los usuarios, cuando constituyan una actividad económica

para su titular. Existe actividad económica cuando su responsable recibe ingresos

directos (por las actividades de comercio electrónico que lleve a cabo, etc.) o

indirectos (por publicidad, patrocinio...) derivados de la actividad que realice por

medios electrónicos.

En la Ley, se acoge un concepto amplio de «servicios de la sociedad de la

información», que engloba, además de la contratación de bienes y servicios por vía

electrónica, el suministro de información por dicho medio (como el que efectúan

los periódicos o revistas que pueden encontrarse en la red), las actividades de

intermediación relativas a la provisión de acceso a la red, a la transmisión de datos

por redes de telecomunicaciones, a la realización de copia temporal de las páginas

de Internet solicitadas por los usuarios, al alojamiento en los propios servidores de

información, servicios o aplicaciones facilitados por otros o a la provisión de

instrumentos de búsqueda o de enlaces a otros sitios de Internet, así como

cualquier otro servicio que se preste a petición individual de los usuarios (descarga

de archivos de vídeo o audio, ...), siempre que represente una actividad económica

para el prestador.

Las principales obligaciones de la LSSICE son:

• Obligación de informar (mostrar) en la página web:


193

o Denominación social, NIF, domicilio, teléfono y dirección de correo

electrónico.

o Datos de inscripción Registral (Registro Mercantil, de Asociaciones,

de Sociedades Laborales y Cooperativas o el Registro público que

corresponda para adquirir personalidad jurídica).

o Si la actividad está sujeta a una autorización administrativa, los datos

de dicha autorización y del órgano competente encargado de su

supervisión.

o Códigos de conducta a los que se esté adherido y manera de

consultarlos electrónicamente.

o Precios de los productos o servicios que se ofrecen.

• Comunicar el nombre de dominio de la empresa al Registro Mercantil u

otro Registro público en el que esté inscrita.

• Si realiza contratos on-line, indicar:

o Trámites que deben seguirse para contratar on-line.

o Condiciones generales del contrato.

• Confirmar la celebración del contrato por vía electrónica, mediante el envío

de un acuse de recibo del pedido realizado.

• Si se hace publicidad por correo electrónico o mensajes SMS:

o Indicar claramente la identificación del anunciante.

o Identificar claramente el mensaje publicitario con la palabra

«publicidad».

o Obtener con carácter previo, el consentimiento del destinatario

(excepto si ya es cliente).

o Establecer procedimientos sencillos para facilitar la revocación del

consentimiento por el usuario.

Documents

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) · 2008-09-11 · ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) INGENIERO EN INFORMÁTICA . Seguridad y Comercio Electrónico I