manual de buenas practicas de s.i. para el e-comerce
TRANSCRIPT
-
MANUAL DE BUENAS PRACTICAS DE
SEGURIDAD INFORMATICA PARA EL
COMERCIO ELECTRNICO APLICABLE
A PYMES BOGOTANAS
-
2
TABLA DE CONTENIDO
1. INTRODUCCIN ....................................................................................................... 5
2. OBJETIVOS ............................................................................................................... 6
3. PRINCIPIOS DE SEGURIDAD EN EL COMERCIO ELECTRONICO ....................... 7
4. COMERCIO ELECTRONICO .................................................................................... 9
4.1. DEFINICIN ........................................................................................................ 9
4.2. MEDIOS ELECTRNICOS DE PAGO USADOS EN EL COMERCIO
ELECTRONICO ............................................................................................................ 9
4.3. VENTAJAS Y DESVENTAJAS DE LAS DIFERENTES MODALIDADES DE
PAGO EN EL COMERCIO ELECTRNICO. ............................................................ 11
4.4. IMPACTOS Y RIESGOS. .................................................................................. 12
5. QUE ES LA SEGURIDAD INFORMATICA .............................................................. 12
5.1. DEFINICIN...................................................................................................... 12
5.2. SEGURIDAD ORGANIZACIONAL U OPERACIONAL ...................................... 13
6. AMENAZAS ............................................................................................................. 14
6.1. AMENAZAS A LA SEGURIDAD EN EL ENTORNO DEL COMERCIO
ELECTRNICO .......................................................................................................... 14
7. PAUTAS DE PROTECCIN PARA LAS DIFERENTES AMENAZAS .................... 17
7.1. BUENAS PRCTICAS PARA PREVENCIN Y ATENCIN DE DESASTRES
(NATURALES Y CAUSADOS POR EL HOMBRE) ..................................................... 19
7.1.1. Continuidad del negocio ante fallas, siniestros o desastres........................ 19
7.1.2. Plan de recuperacin .................................................................................. 22
7.1.2.1. Actividades Previas al Desastre .............................................................. 22
7.1.2.2. Actividades Durante el Desastre ............................................................. 23
7.1.2.3. Actividades Despus del Desastre o Falla ............................................. 25
7.1.2.3.1. Evaluacin de Daos. .......................................................................... 25
7.2. BUENAS PRACTICAS APLICABLES A SEGURIDAD FISICA Y LOGICA ....... 27
7.2.1. Barreras fsicas y lgicas para garantizar la integridad de la informacin .. 27
7.2.1.1. Nivel externo ........................................................................................... 27
7.2.1.2. Nivel interno ............................................................................................ 27
-
3
7.2.2. Alternativas de solucin .............................................................................. 28
7.2.2.1. Nivel externo ........................................................................................... 28
7.2.2.2. Nivel interno ............................................................................................ 29
7.3. BUENAS PRACTICAS EN LA CONTRATACIN, Y CAPACITACIN DEL
PERSONAL................................................................................................................. 33
7.3.1. Amenazas que se originan en el personal .................................................. 33
7.3.2. Alternativas de solucion .............................................................................. 34
7.3.2.1. Seguridad frente al personal ................................................................... 34
7.3.3. Vinculacin del personal ............................................................................. 36
7.3.4. Capacitacin ............................................................................................... 36
7.4. BUENAS PRCTICAS PARA EL USO DE INTERNET ................................... 39
7.4.1. El uso de los servicios de internet en el trabajo .......................................... 39
7.4.2. Amenazas que afectan a los usuarios de internet ...................................... 40
7.4.3. Medidas de seguridad en el correo electrnico .......................................... 40
7.4.4. Alternativas de solucin .............................................................................. 41
7.5. BUENAS PRACTICAS DE SEGURIDAD EN LAS COMUNICACIONES .......... 45
7.5.1. Tecnologa de cifrado y certificados ........................................................... 46
7.5.2. Tipos de sistemas o tecnologas criptogrficos ......................................... 47
7.5.3. Protocolos de encriptacion usados en el comercio electronico................... 50
7.5.3.1. Segure Electronic Transaction (SET) ..................................................... 50
7.5.3.2. Segure Socket Layer (SSL) ..................................................................... 51
7.5.3.3. Transport Layer Security (TLS) ............................................................... 53
7.5.3.4. Entidades certificadoras .......................................................................... 53
7.5.4. Recomendaciones de seguridad en las comunicaciones ........................... 57
7.6. BUENAS PRACTICAS APLICABLES AL PORTAL WEB DE COMERCIO
ELECTRNICO .......................................................................................................... 61
7.6.1. ALTERNATIVAS DE SOLUCION ............................................................... 62
7.6.1.1. Diseo ..................................................................................................... 62
7.6.1.2. Desarrollo y comercializacin .................................................................. 64
7.7. BUENAS PRACTICAS PARA LA PROTECCIN DE DATOS PERSONALES . 67
-
4
7.7.1. Proteccin de datos y documentos sensibles ............................................. 67
7.7.2. Alternativas de solucion .............................................................................. 69
7.8. BUENAS PRACTICAS PARA LA CONTRATACION POR MEDIOS
ELECTRONICOS ........................................................................................................ 73
7.8.1. Tipos de contratacion electronica ............................................................... 73
7.8.1.1. Intercambio Electrnico de Datos ............................................................ 73
7.8.1.2. Contratos de servicios por internet .......................................................... 74
7.8.1.3. Compraventas nacionales e internacionales por internet ........................ 74
7.8.1.1. Contratos de adhesion ............................................................................ 75
8. Bibliografa. .............................................................................................................. 76
8.1. PAGINAS WEB CONSULTADAS ..................................................................... 76
-
5
1. INTRODUCCIN
La seguridad es uno de los temas ms lgidos en el comercio electrnico, por tanto es
necesario estar preparados para enfrentar las amenazas que se generan hacia la
proteccin de los datos, la disponibilidad de los sitios web, las comunicaciones,
adoptando para esto una serie de medidas preventivas que permitan contribuir a un
ambiente seguro y acorde al marco regulatorio a nivel interno y externo de la
organizacin
La seguridad informtica aplicada al comercio electrnico aplica dado que los actores
que intervienen en el comercio electrnico continuamente transmiten informacin
confidencial por Internet, y para las empresas es vital ganarse la confianza de quienes
visitan su sitio web y ms aun de aquellos que hacen transacciones en lnea, puesto
que los consumidores no estn dispuestos a dejar sus datos en manos de cualquiera y
exponerse a riesgos como el robo de identidad. Se ha encontrado que existe una
reticencia generalizada a facilitar datos confidenciales como nmeros de tarjeta de
crdito, contraseas u otros tipos de informacin confidencial por temor a que alguien
los intercepte o a que el sitio web desde el que se envan se manipule con fines
dainos.1
Por estas razones surge el manual de buenas prcticas de seguridad informtica en el
comercio electrnico, que busca concienciar e informar al pequeo y mediano
empresario sobre las amenazas existentes al tener una empresa y realizar comercio
electrnico, suministrando herramientas y pautas aplicables a su empresa que le
permitan mejorar su nivel de seguridad informtica.
1 Verisign. la seguridad y la confianza, claves del comercio electrnico. 2010. Tomado de: http://www.verisign.es/ssl/ssl-information-center/ssl-resources/whitepaper-security-trust.pdf
-
6
2. OBJETIVOS
Este manual tiene como objetivo general generar pautas prcticas en cuanto a las
medidas de seguridad informtica aplicables al comercio electrnico.
De acuerdo a esto, el presente documento tiene como objetivos especficos
Explicar los riesgos y como actuar ante estos con el fin de minimizar y
gestionar los riesgos y detectar los posibles problemas y amenazas a la
seguridad.
Sealar las reas donde se tiene bajo control de los recursos para orientar al
pequeo y mediano empresario en la adecuada utilizacin de los recursos y
de las aplicaciones del sistema.
Educar al pequeo y mediano empresario, facultndolo para limitar las
prdidas y conseguir la adecuada recuperacin del sistema en caso de un
incidente de seguridad.
Dar a conocer al empresario recomendaciones orientadas al cumplimiento
con el marco legal y con los requisitos impuestos por los clientes en sus
contratos.
Aleccionar al pequeo y mediano empresario la importancia de la proteccin
de los datos personales y las comunicaciones en medios electrnicos.
Orientando al buen manejo de estos.
-
7
3. PRINCIPIOS DE SEGURIDAD EN EL COMERCIO
ELECTRONICO
Este manual de buenas prcticas de seguridad informtica en el comercio electrnico
se fundamenta en los siguientes principios de seguridad2, que influyen en los procesos
del comercio electrnico.
Integridad: asegura que la informacin que se muestra en un sitio web, o que se enva o recibe a travs de internet no haya sido alterada de ninguna forma por una parte no autorizada.
No repudiacin: asegura que los participantes en el comercio electrnico no nieguen (desconozcan) sus acciones en lnea.
Autenticidad: verifica la identidad de un individuo o un negocio. La identificacin crea responsabilidad y confianza.
Confidencialidad: determina si la informacin que se comparte en lnea, por ejemplo a travs de la comunicacin de correo electrnico o de un proceso de pedido, puede ser vista por alguien ms que el receptor de destino.
Privacidad: se encarga del uso de la informacin que se comparte durante una transaccin en lnea.
Disponibilidad: determina si un sitio Web es accesible y operativo en cualquier momento dado.
Prueba de la transaccin: este servicio de seguridad permite confirmar la realizacin de una operacin o transaccin, reflejando los usuarios o entidades que han intervenido en esta3.
Autorizacin (control de acceso a equipos y servicios): mediante el servicio de
autorizacin se persigue controlar el acceso de los usuarios a los distintos equipos y
servicios ofrecidos por el sistema informtico, una vez superado el proceso de
2 Compilacin realizada por los autores de acuerdo a lo enunciado por Laudon. e-commerce, negocios, tecnologa, sociedad. Cuarta edicin. Pearson educacin. Mexico. 2009. Pagina. 323., Puentes, seguridad en el comercio electrnico. Alfaomega. Mexico. 2009. Pg. 100. 3Gmez Vieites, Alvaro. enciclopedia de la seguridad informtica editorial ALFAOMEGA, 2007. Mxico
-
8
autenticacin de cada usuario. Para ello, se definen unas listas de control de
acceso con la relacin de usuarios y grupos de usuarios adems de sus distintos
permisos de acceso a los recursos del sistema.
Auditabilidad: el servicio de auditabilidad o trazabilidad permite registrar y
monitorizar la utilizacin de los distintos recursos del sistema por parte de los
usuarios que han sido previamente autenticados y autorizados.
Reclamacin de origen: mediante la reclamacin de origen el sistema permite
probar quien ha sido el creador de un determinado mensaje o documento.
Reclamacin de propiedad: este servicio permite probar que un determinado
documento o un contenido digital protegido por derechos de autor (cancin, video,
libro) pertenece a un determinado usuario u organizacin que ostenta la
titularidad de los derechos de autor.
Anonimato en el uso de los servicios: en la utilizacin de determinados servicios
dentro de las redes y sistemas informticos tambin podra resultar conveniente
garantizar el anonimato de los usuarios que acceden a los recursos y consumen
determinados tipos de servicios, preservando de este modo su privacidad. Este
servicio de seguridad, no obstante, podra entrar en conflicto con otros de los ya
mencionados, como la autenticacin o la auditoria del acceso a los recursos.
Referencia temporal (certificacin de fechas): mediante este servicio de seguridad
se consigue demostrar el instante concreto en que se ha enviado un mensaje o se
ha realizado una determinada operacin (utilizando generalmente una referencia
UTC-Universal Time Clock). Para ello, se suele recurrir al sellado temporal del
mensaje o documento en cuestin.
Certificacin mediante terceros de confianza: la realizacin de todo tipo de
transacciones a travs de medios electrnicos requiere de nuevos requisitos de
seguridad, para garantizar la autenticacin de las partes que intervienen, el
contenido e integridad de los mensajes o la constatacin de la realizacin de la
operacin o comunicacin en un determinado instante temporal. Para poder ofrecer
algunos de estos servicios de seguridad se empieza a recurrir a la figura del
tercero de confianza, organismo que se encarga de certificar la realizacin y el
-
9
contenido de las operaciones y de avalar la identidad de los intervinientes dotando
de este modo a las transacciones electrnicas de una mayor seguridad jurdica.
4. COMERCIO ELECTRONICO
4.1. DEFINICIN
Abarca las cuestiones suscitadas por toda relacin de ndole comercial, sea o no
contractual, estructurada a partir de la utilizacin de uno o ms mensajes de datos o de
cualquier otro medio similar.
Las relaciones de ndole comercial comprenden, sin limitarse a ellas, las siguientes
operaciones: toda operacin comercial de suministro o intercambio de bienes o
servicios; todo acuerdo de distribucin; toda operacin de representacin o mandato
comercial; todo tipo de operaciones financieras, burstiles y de seguros; de
construccin de obras; de consultora; de ingeniera; de concesin de licencias; todo
acuerdo de concesin o explotacin de un servicio pblico; de empresa conjunta y otras
formas de cooperacin industrial o comercial; de transporte de mercancas o de
pasajeros por va area, martima y frrea, o por carretera4
4.2. MEDIOS ELECTRNICOS DE PAGO USADOS EN EL COMERCIO
ELECTRONICO
Un sistema de pago electrnico realiza la transferencia del dinero entre comprador y
vendedor en una compra-venta electrnica. Es por ello, una pieza fundamental en el
proceso del Comercio Electrnico.
Los sistemas de pago empleados en Internet pueden agrupar en cuatro categoras5:
4 Ley 527 de 1999: Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio
electrnico y de las firmas digitales y se establecen las entidades de certificacin y se dictan otras disposiciones. 5 http://es.wikipedia.org/wiki/Sistema_de_pago_electr%C3%B3nico
-
10
Cajero electrnico virtual: Conocido tambin como TPVV (Terminal Punto de Venta
Virtual)6, es el sistema ms seguro para la utilizacin de las tarjetas de crdito en
Internet. Este sistema no solo garantiza que los datos de la tarjeta viajarn, encriptados,
directamente del comprador al banco intermediario sino que adems, no sern
conocidos en ningn momento por el vendedor. Las entidades bancarias son siempre
ms fiables en la proteccin de los datos de sus clientes. El sistema
es igualmente transparente y gil para el comprador.
Bsicamente las empresas que generan recaudos por internet, instalan un botn de
pagos en su tienda virtual, con el fin de guiar al comprador a su entidad bancaria y
autorizar as el pago de los bienes o servicios previamente seleccionados del catalogo
virtual de la empresa.
Cheques Electrnicos. Los mtodos para transferir cheques electrnicos a travs de
Internet no estn tan desarrollados como otras formas de transferencia de fondos, los
cheques electrnicos podran consistir algo tan simple como enviar un e-mail a un
vendedor autorizndole a sacar dinero de la cuenta, con certificados y firmas digitales
asociados. Un sistema de cheques puede ser considerado como un compromiso entre
un sistema de tarjetas de crdito y uno de micropagos o dinero electrnico (annimo).
Tarjetas de Crdito. Los sistemas de tarjetas de crdito en Internet funcionarn de
forma muy similar a como lo hacen hoy en da. El cliente podr usar si lo desea su
tarjeta de crdito actual para comprar productos en una tienda virtual. La principal
novedad consiste en el desarrollo del estndar de cifrado SET (Secure Electronic
Transaction) por parte de las ms importantes compaas de tarjetas de crdito.
Dinero Electrnico. El concepto de dinero electrnico es amplio, y difcil de definir en
un medio tan extenso como el de los medios de pago electrnicos (EPS). ste se puede
definir como aquel dinero creado, cambiado y gastado de forma electrnica, ste dinero
tiene un equivalente directo en el mundo real: la moneda. Es importante resaltar que el
dinero electrnico se usa para pequeos pagos.
6 http://www.eumed.net/cursecon/ecoinet/seguridad/TPVv.htm
-
11
El dinero electrnico puede clasificarse en dos tipos: Dinero on-line: Exige interactuar
con el banco (va mdem o red) para llevar a cabo una transaccin con una tercera
parte. Dinero offline: Se dispone del dinero en el propio ordenador y puede gastarse
cuando se desee, sin necesidad de contactar para ello con un banco. Estos sistemas de
dinero electrnico permiten al cliente depositar dinero en una cuenta y luego usar ese
dinero para comprar cosas en Internet
4.3. VENTAJAS Y DESVENTAJAS DE LAS DIFERENTES MODALIDADES DE
PAGO EN EL COMERCIO ELECTRNICO.
Desde el punto de vista de la seguridad, las diferentes modalidades de comercio
electrnico tienen ventajas y desventajas7.
En el caso de las tarjetas de crdito, la seguridad depender de la forma como
se almacenen los datos en el servidor, se envi un mensaje encriptado de correo
electrnico y se utilice una entidad intermediaria.
En el caso de las tarjetas dbito hay que acudir a los sitios transaccionales de los
bancos.
Para reducir estos riesgos hay que instalar un servidor seguro, un certificado de
seguridad, encriptar los mensajes de correo electrnico con criptografa asimtrica y
usar los servicios de una entidad intermediaria.
7 Crdenas, Manuel Jos, Cual es la situacin del comercio electrnico en Colombia? Anlisis y recomendaciones para mejorar la competitividad empresarial. primera edicin. Fondo de publicaciones Universidad Sergio Arboleda. Bogot D.C. 2009. pg. 174-177
-
12
4.4. IMPACTOS Y RIESGOS.
Sobre la recoleccin de la informacin, su impacto y los riesgos Pagos Online elaboro la
siguiente interesante tabla:
Tabla 1. Impactos y riesgos en la recoleccin de la informacin
Reconocimiento de la informacin Impacto Riesgos
Almacenamiento en el servidor Alto Penetracin de un Hacker y robo de la base de datos
Envo de correo electrnico encriptado Bajo Penetracin de un Hacker y alteracin del programa que
enva los correos electrnicos
Entidad intermediaria Bajo Penetracin de un Hacker en la entidad intermediaria y
robo de la informacin
Sitio transaccional del banco Bajo Manipulacin de la respuesta del banco
Fuente: Pagosonline.net, Referenciada por Crdenas8
5. QUE ES LA SEGURIDAD INFORMATICA
5.1. DEFINICIN
La seguridad informtica es Cualquier medida que impida la ejecucin de operaciones
no autorizadas sobre un sistema o red informtica, cuyos efectos pueden conllevar
datos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad,
disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al
sistema9
8 Crdenas, Manuel Jos, Cual es la situacin del comercio electrnico en Colombia? Anlisis y recomendaciones para mejorar la competitividad empresarial. primera edicin. Fondo de publicaciones Universidad Sergio Arboleda. Bogot D.C. 2009: 9 Gmez Vieites, Alvaro. enciclopedia de la seguridad informtica editorial ALFAOMEGA, 2007. Mxico. PG. 4.
-
13
5.2. SEGURIDAD ORGANIZACIONAL U OPERACIONAL
La seguridad organizacional u operacional integra la seguridad fsica 10 y lgica11 y
responsabiliza a los altos mandos de generar: aquellas medidas destinadas a
establecer procedimientos, normas, reglas y estndares de seguridad, que gestionen y
administren la integridad, confidencialidad y seguridad de los datos almacenados en
programas y sistemas informticos, que se encuentran situados fsicamente en un
determinado local o centro.12
Esta seguridad estar enfocada hacia la operatividad de la empresa y los planes de
accin que tenga para enfrentarse a las diferentes situaciones que se le presenten,
contemplando todas las medidas necesarias que se deben tomar para proteger la
informacin, dados diferentes panoramas de riesgos, entre los cuales se incluyen,
desastres naturales, desastres causados por el hombre, medidas para la conservacin
de la integridad fsica y operativa de los equipos, niveles de acceso a la informacin y
fallas humanas.
Desastre natural: Ocurrencia de un fenmeno natural en un espacio y tiempo
limitados que causa trastornos en los patrones normales de vida y ocasiona
prdidas humanas, materiales y econmicas debido a su impacto sobre poblaciones,
propiedades, instalaciones y ambiente.
Desastre causado por el hombre: involucra las acciones provocadas por el
hombre con el fin de causar daos, entre estas encontramos: Atentados terroristas,
Incendios
Conservacin de la integridad fsica: la seguridad organizacional debe dirigir sus
esfuerzos a que los equipos estn restringidos fsicamente a personas ajenas a un
equipo determinado y adems que estos no se encuentren expuestos a materiales o
substancias que pueda degenerar el equipo afectando la informacin en l
Conservacin de la operatividad de los equipos: esta rea involucra el uso de
medidas de proteccin existentes para evitar la intromisin de personas abusivas a
10
Seguridad fsica: aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial 11 aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo 12 Tomado de : http://www.microsoft.com/business/smb/es-es/guia_lopd/medidas_seguridad.mspx
-
14
la informacin de la empresa, tales como antivirus, y cortafuegos, este ltimo, es un
sistema diseado para prevenir acceso no autorizado hacia o desde una red privada
Niveles de acceso a la informacin: Restringe el acceso a los equipos que no
corresponden al rea de trabajo del personal.
Fallas humanas: Se relacionan con la debilidad del ser humano quien en ltimas es
el encargado de llevar a cabo los mtodos que garanticen la seguridad de la
informacin, para que esto se gestione de forma correcta deben existir
capacitaciones adecuadas que conciencien al empleado en la importancia de la
seguridad en su rea.
6. AMENAZAS
6.1. AMENAZAS A LA SEGURIDAD EN EL ENTORNO DEL COMERCIO
ELECTRNICO
De acuerdo Puentes13 y complementado por Laudon14, se identifican las siguientes
como las amenazas clave a la seguridad en el entorno del comercio electrnico.
Cdigo malicioso: los virus, gusanos, caballos de Troya y redes de bots son una
amenaza para la integridad del sistema y su operacin continua, que a menudo
cambian la forma de funcionar de un sistema, o alteran los documentos creados en
este.
Programas indeseables (adware, malware, spyware, etc.): un tipo de amenaza de
seguridad que surge cuando los programas se instalan de manera clandestina en la
computadora o en la computadora de red.
Suplantacin de identidad (phishing): cualquier intento en lnea engaoso por parte
de un tercero para obtener informacin confidencial parra una ganancia financiera.
13
Puentes Calvo, Juan Francisco. Principios de seguridad en el comercio electrnico. Alfaomega, Mxico. 2009. 14 Laudon, Kenneth y Guercio Traver, Carol. E-commerce. Negocios, tecnologa, sociedad. Cuarta edicin. Pearson educacin.
Mxico. 2009. Pg. 323.
-
15
Piratera informtica y ciberbandalismo: trastornar, desfigurar o incluso destruir un
sitio de manera intencional.
Fraude/ robo de tarjeta de crdito: una de las ocurrencias ms temidas y una de las
principales razones por las que no hay ms consumidores que participen en el comercio
electrnico. La causa ms comn de fraude de tarjeta de crdito es una tarjeta perdida
o robada que alguien ms utiliza, seguida de la situacin en la que un empleado roba
nmeros de clientes y la falsificacin de identidades (delincuentes que solicitan tarjetas
de crdito utilizando identidades falsas).
Falsificacin (spoofing): ocurre cuando los hackers intentan ocultar sus verdaderas
identidades o presentarse utilizando direcciones de correo falsas, o bien hacindose
pasar por alguien ms. La falsificacin puede implicar redirigir un vnculo web a una
direccin distinta de la original, donde el sitio se enmascara como si fuera el destino
original.
Ataques de Denegacin de servicio: los hackers inundan un sitio Web con trfico
intil para inundar y sobresaturar la red, lo que con frecuencia hace que se cierre y
dae la reputacin de un sitio, adems de sus relaciones con los clientes.
Husmeo: un tipo de programa para escuchar de manera clandestina, que monitorea la
informacin que viaja a travs de una red y permite a los hackers robar informacin
propietaria de cualquier parte en una red, incluyendo los mensajes de correo
electrnico, los archivos de una empresa y los informes confidenciales. La amenaza del
husmeo es que la informacin confidencial o personal se har pblica.
Trabajos internos: aunque la gran mayora de los esfuerzos de seguridad en internet
se enfocan en mantener a los individuos externos alejados, la mayor amenaza proviene
de los empleados que tienen acceso a informacin y procedimientos delicados.
Software de servidor y cliente mal diseado: el aumento en la complejidad y el
tamao de los programas de software ha contribuido con un aumento en las fallas o
vulnerabilidades del software, debilidades que los hackers pueden explotar.
Ingeniera social: La ingeniera social consiste en la manipulacin de las personas
para que voluntariamente realicen actos que normalmente no haran. 15 Es una
disciplina que consiste, ni ms ni menos en sacar informacin a otra persona sin que
15 Tomado de: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/V_Jornada_de_Seguridad/IngenieraSocial_CarlosBiscione.pdf
-
16
esta s de cuenta de que te esta revelando "informacin sensible".
Hoy en da slo son necesarias las malas intenciones y una conexin a Internet para
sembrar el caos.16
Ataques por fuerza bruta: estos consisten en generar e ir probando con todas las
combinaciones de caracteres posibles hasta dar con la contrasea. Sin embargo
muchos sistemas (no todos) niegan el acceso despus de un determinado nmero de
fallas
16 Tomado de: http://www.zonavirus.com/articulos/ingenieria-social.asp
-
17
7. PAUTAS DE PROTECCIN PARA LAS DIFERENTES
AMENAZAS
Las diferentes amenazas se pueden clasificar en tres categoras, amenazas hacia las
instalaciones, amenazas hacia el sistema y amenazas hacia el humano, en otras
palabras hay riegos previstos para debilitar las herramientas tecnolgicas y otros que
buscan penetrar las barreras del sistema a travs de la falencia de conocimientos por
parte de los empleados.
A continuacin se detallan las buenas prcticas asociadas al comercio electrnico que
deben tener en cuenta los pequeos y medianos empresarios, en las polticas
organizacionales con el fin de asegurar la continuidad de su negocio, y mejorar la
imagen positiva ante sus clientes.
Tabla 2. Resumen Buenas Practicas
AMENAZAS AL COMERCIO
ELECTRONICO HERRAMIENTAS DE DEFENSA SEGURIDAD INFORMATICA
REA
TCNICA
Cdigo malicioso Buenas prcticas para el uso de Internet
programas indeseables
Husmeo
Buenas prcticas de seguridad en las comunicaciones
Buenas prcticas para la proteccin de datos personales
Ataques de denegacin
del servicio
Buenas prcticas aplicables al portal web de comercio
electrnico.
Piratera informtica y
ciberbandalismo
Buenas practicas aplicables al portal web de comercio
electrnico
Buenas practicas aplicables a la seguridad fsica y lgica
Ataques por fuerza bruta
Buenas prcticas aplicables al portal web de comercio
electrnico.
Buenas prcticas para el uso de internet
Software de servidor y
cliente mal diseado
Buenas prcticas aplicables al portal web de comercio
electrnico.
-
18
REA
HUMANA
Fraude/Robo de tarjeta
de crdito
Buenas prcticas aplicables al portal web de comercio
electrnico.
Suplantacin de identidad
(phishing) Buenas prcticas en la contratacin, y capacitacin del
personal
Falsificacin (spoofing)
Ingeniera social
Trabajos internos
Buenas prcticas en la contratacin, y capacitacin del
personal
Buenas practicas asociadas para la proteccin de datos
personales
AREA
FISICA
Desastres causados por la
naturaleza o por el
humano
Buenas prcticas para la prevencin y atencin de desastres
Mal manejo de los
equipos
Buenas prcticas para la contratacin y capacitacin del
personal
Fuente: Autores
De acuerdo a la tabla anterior este manual de seguridad informtica se concentra en
formular unos lineamientos de seguridad a nivel organizacional abordando para esto los
siguientes captulos:
Buenas prcticas para la prevencin y atencin de desastres
Buenas prcticas en la contratacin, y capacitacin del personal
Buenas prcticas para el uso de Internet
Buenas practicas aplicables a la seguridad fsica y lgica
Buenas prcticas aplicables al portal web de comercio electrnico.
Buenas prcticas de seguridad en las comunicaciones
Buenas prcticas para la proteccin de datos personales
Buenas prcticas en la contratacin por medios electrnicos
-
19
7.1. BUENAS PRCTICAS PARA PREVENCIN Y ATENCIN DE
DESASTRES (NATURALES Y CAUSADOS POR EL HOMBRE)
Teniendo en cuenta que el desarrollo de las actividades comerciales en la actualidad se
encuentra inmerso en el entorno tecnolgico, es importante para el desarrollo normal
de las actividades empresariales que, la empresa est preparada para afrontar
cualquier evento inesperado y fortuito, ya sea natural o causado por el hombre, en el
cual la perdida de activos tangibles e intangibles sea mnima.
7.1.1. CONTINUIDAD DEL NEGOCIO ANTE FALLAS, SINIESTROS O
DESASTRES
Las empresas estn continuamente sometidas a diferentes riesgos pero estos no
implican la merma del negocio por tanto las pequeas y medianas empresas deben
considerar tener un plan donde se estipulen los diferentes riesgos a los cuales son
susceptibles y acorde a esto genere polticas que permitan la continuidad del negocio.
Para que la empresa pueda recuperar la informacin sin importar la falla, siniestro o
desastre ocurrido debe contar con un plan de recuperacin 17 , a continuacin se
presenta un panorama de los posibles riesgos, y seguidamente enunciamos un ejemplo
de un plan de recuperacin.
PANORAMA DE RIESGOS ASOCIADO A LAS FALLAS, SINIESTROS O
DESASTRES, NATURALES O CAUSADOS POR EL HOMBRE
El empresario debe considerar el impacto que tienen en la continuidad del negocio, los
daos originados por fallas, siniestros o desastres. Para aminorar este efecto negativo
se recomienda que el empresario plantee un panorama de riesgos enfocado a
desarrollar un plan de recuperacin ante desastres.
En la tabla 3 se muestran los riesgos ms comunes a los que estn expuestos las
pymes Bogotanas y algunos consejos bsicos de seguridad fsica aplicables a estos
riesgos.
17 Adaptacin de los autores del manual para plan de contingencia de las aulas informticas, del Ministerio de Educacin del Gobierno del Salvador-MINED. Versin 1.0 febrero de 2006.
-
20
Tabla 3. Consejos de seguridad de acuerdo a las fallas, siniestros o desastres naturales o causados por el hombre
FALLAS,
SINIESTROS
DESASTRES DEFINICION ALGUNOS CONSEJOS DE SEGURIDAD FISICA
FUEGO
El fuego es un problema crtico en un centro de cmputo por varias razones:
primero, porque el centro est lleno de material Combustible como papel,
cajas, etc. El hardware y el cableado estructurado pueden ser tambin fuente
de serios incendios.
Desgraciadamente los sistemas anti fuego dejan mucho que desear,
causando casi igual dao que el propio fuego, sobre todo a los elementos
electrnicos. El dixido de carbono, actual alternativa del agua, resulta
peligroso para los propios empleados si quedan atrapados en el lugar.
El fuego es considerado el principal enemigo del Hardware, ya que puede
destruir fcilmente los archivos y programas
1. El rea en la que se encuentran las computadoras debe estar en un local que
no sea combustible o inflamable.
2. El local no debe situarse encima, debajo o adyacente a reas donde se
procesen, fabriquen o almacenen materiales inflamables, explosivos, gases
txicos o sustancias radioactivas.
3. Las paredes deben hacerse de materiales incombustibles y extenderse desde
el suelo al techo.
4. Debe construirse un "falso piso" instalado sobre el piso real, con materiales
incombustibles y resistentes al fuego.
5. No debe estar permitido fumar en el rea de proceso.
6. Deben emplearse muebles incombustibles, y cestos metlicos para papeles.
7. Deben evitarse los materiales plsticos e inflamables.
8. El piso y el techo en el recinto del centro de cmputo y de almacenamiento de
los medios magnticos deben ser impermeables.
AGUA
Las afecciones pueden ocurrir como resultados de goteos del techo, goteos
de tuberas de techo o por el aire acondicionado. Se recomienda que el
personal tenga un plan para proteger el equipo, as como los muebles y
equipo perifrico contra agua.
1, los equipos deben ubicarse en lugares donde no hayan fuentes de agua.
2. cerrar las ventanas cuando este lloviendo si el equipo est cerca de una
ventana.
3. si hay riesgo de inundacin ubicar los equipos en superficies a una altura ms
alta del nivel del piso.
4. proteger las conexiones elctricas
TERREMOTOS
Los terremotos pueden desarrollarse en cualquier momento, por lo que es de
suma importancia incluir en el plan de emergencia de la empresa el plan a
utilizar en el centro de cmputo, dando prioridad a salvaguardar la vida de
los miembros de la empresa
1, Almacenar las copias de seguridad en un lugar que no est sometido a los
mismos riesgos de la empresa.
2. Tener asegurados los equipos y la maquinaria productiva ante desastres.
-
21
FALLAS
ELECTRICAS
Para que funcionen adecuadamente, las computadoras personales necesitan
de una fuente de alimentacin elctrica fiable, es decir, una que se
mantenga dentro de parmetros especficos. Si se interrumpe
inesperadamente la alimentacin elctrica o vara en forma significativa,
fuera de los valores normales, las consecuencias pueden ser serias. Pueden
perderse o daarse los datos que hay en memoria, se puede daar el
hardware, interrumpirse las operaciones activas y la informacin podra
quedar temporal o definitivamente inaccesible.
1. Conectar los equipos a UPS (Sistema Ininterrumpible de Poder)
2. Controlar el uso de extensiones elctricas y su ubicacin para evitar que una
persona desprevenida pueda desocupar un equipo, y el uso continuo de las
extensiones puede generar sobrecargas elctricas generando cortos circuitos
3. Plantas elctricas de emergencia
FALLAS
HUMANAS
Son aquellos incidentes de seguridad provocadas por las personas, voluntaria
e involuntariamente que ponen en riesgo la seguridad del sistema, entre
estas se encuentran la instalacin de software, descarga de archivos por
correo electrnico, abusos de confianza, dao, alteracin, robo o prdida de
la informacin, por otro lado el desconocimiento del alcance de la difusin
de la informacin confidencial, la difusin de usuarios y claves asociadas,
etc., como ejemplo podemos citar: en las empresas se encuentra un
intercambio constante de claves, al punto de que en muchas empresas con
administracin delegada se podra llegar a obtener con dos o tres claves
dichas en voz alta, permisos de administrador total
Ante las fallas humanas la mejor herramienta es la capacitacin en aspectos
como:
1. Amenazas virtuales, virus, gusanos, bots, etc.
2. Polticas de confidencialidad
3. Amenazas de ingeniera social
ROBO El robo, es un delito contra el patrimonio, consistente en el apoderamiento
de bienes ajenos, con intencin de lucrarse, empleando para ello fuerza en
las cosas o bien violencia o intimidacin en la persona.
Se recomienda tener asegurados los equipos
Si las copias de seguridad son fsicas, como CDS, Discos Duros, Usb,s, entre
otras, estas deben guardarse en un recinto diferente al de los equipos para que
no estn sometidas a los mismos riesgos, como robo, incendios, terremotos, etc.
Fuente: Autores
-
22
PLAN DE RECUPERACIN
Es importante definir los procedimientos y planes de accin para el caso de una posible
falla, siniestro o desastre en el la pequea o mediana empresa.
Cuando ocurra un evento que afecte la seguridad, es esencial que se conozca en
profundidad el motivo que lo origin y el dao producido, lo que permitir recuperar en
el menor tiempo posible el proceso perdido.
Las actividades a realizar en un Plan de Recuperacin se pueden clasificar en tres
etapas:
Actividades Previas a la falla o desastre.
Actividades Durante la falla o Desastre.
Actividades Despus de la falla o Desastre.
Actividades Previas al Desastre
Son todas las actividades de planeacin, preparacin, entrenamiento y ejecucin de
las actividades que buscan resguardar activos de la pequea y mediana empresa, que
le aseguren un proceso de Recuperacin eficiente y con el menor costo posible
Establecimiento procedimientos del Plan de Accin
a) Equipos de Cmputo.
Es necesario realizar un inventario actualizado de los equipos, especificando su
contenido (software y licencias que usa)
b) Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS).
Se deber establecer los procedimientos para la obtencin de copias de
Seguridad de todos los elementos de software necesarios para asegurar la
correcta ejecucin del Software y/o Sistemas operativos que posee la empresa.
Para lo cual se debe contar con:
-
23
Backups 18del Sistema Operativo (en caso de tener varios Sistemas Operativos
o versiones, se contar con una copia de cada uno de ellos).
Backups del Software Base: consiste en programas informticos que sirven para
controlar e interactuar con el sistema operativo, proporcionando control sobre
el hardware y dando soporte a otros programas
Backups de los Datos (Bases de Datos, passwords, y todo archivo necesario
para el funcionamiento normal de la empresa).
c) Polticas (Normas y Procedimientos de Backups)
Se deben establecer procedimientos, normas, y determinacin de
responsabilidades, debindose incluir:
Periodicidad de cada Tipo de Backup
Uso obligatorio de un formulario estndar para el registro y control de los
Backups
Almacenamiento de los Backups en condiciones ambientales ptimas,
dependiendo del medio magntico empleado.
Almacenamiento de los Backups en un lugar donde no estn sometidos a los
mismos riesgos ocasionados por los desastres (se recomienda un lugar diferente
al centro de operaciones, y discos duros virtuales).
Reemplazo de los Backups, en forma peridica, antes que el medio magntico
de Soporte se pueda deteriorar (reciclaje o refresco).
Pruebas peridicas de los Backups (Restore), verificando su funcionalidad.
ACTIVIDADES DURANTE EL DESASTRE
Una vez presentada la Falla o Siniestro, se deber ejecutar las siguientes actividades,
planificadas previamente:
Plan de Emergencias
En este plan se establecen las acciones se deben realizar cuando se presente un
Siniestro, as como la difusin de las mismas.
18
Backup, es la traduccin al ingles de copia de seguridad
-
24
Es conveniente prever los posibles escenarios de ocurrencia del Siniestro:
Durante el da.
Durante la Noche o madrugada.
Este plan deber incluir la participacin y actividades a realizar por todas y cada una de
las personas que se pueden encontrar presentes en el rea donde ocurre el siniestro,
debiendo detallar:
Vas de salida o escape.
Plan de Evacuacin del Personal
Ubicacin y sealizacin de los elementos contra el siniestro si los hubiere
(extintores, cobertores contra agua, etc.)
Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de
Iluminacin (linternas), lista de telfonos de Bomberos / Ambulancia, Jefatura
de Seguridad y de personal nombrado para operar en estos casos.
Entrenamiento
Establecer un programa de prcticas peridicas de todo el personal en la lucha contra
los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en
los planes de evacuacin del personal, para minimizar costos se puede aprovechar
fechas de recarga de extintores, charlas de los proveedores, etc.
Un aspecto importante es que el personal tome conciencia de que los siniestros
(incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y
tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es
conveniente el compromiso de los directivos, dando el ejemplo de la importancia que
la direccin otorga a la Seguridad.
-
25
ACTIVIDADES DESPUS DEL DESASTRE O FALLA
Despus de ocurrido la falla, Siniestro o Desastre es necesario realizar las actividades
que se detallan, las cuales deben estar especificadas en el Plan de Accin:
Evaluacin de Daos.
Ejecucin de Actividades.
Evaluacin de Resultados.
Retroalimentacin del Plan de Accin.
7.1.1.1.1. Evaluacin de Daos.
Inmediatamente despus que la falla, siniestro o desastre ha concluido, se deber
evaluar la magnitud del dao que se ha producido, que equipos han quedado o no
operativos, cuales se pueden recuperar, y en cuanto tiempo, etc.
Ejecucin de Actividades.
Los trabajos de recuperacin usaran los recursos de la empresa con el fin de restaurar
sus actividades normales.
Para esto la empresa debera plantearse escenarios pesimistas y optimistas en cuanto
a la continuidad del negocio una vez sucedida una falla, siniestro o desastre y de
acuerdo a esto generar procedimientos para la recuperacin de desastres.
Evaluacin de Resultados.
Una vez concluidas las labores de Recuperacin del equipo que fue afectado, se debe
de evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron,
que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las
actividades del plan de accin, como se comportaron los equipos de trabajo, etc.
De la evaluacin de resultados, los encargados deben realizar dos tipos de
recomendaciones, una que es la retroalimentacin del plan de Contingencias para su
-
26
organizacin y otra una lista de recomendaciones para minimizar los riesgos y prdida
que ocasionaron el siniestro o la falla.
Retroalimentacin del Plan de Accin.
Con la evaluacin de resultados, se debe optimizar el plan de accin original,
mejorando las actividades que tuvieron algn tipo de dificultad y reforzando los
elementos que funcionaron adecuadamente
-
27
7.2. BUENAS PRACTICAS APLICABLES A SEGURIDAD FISICA Y LOGICA
7.2.1. BARRERAS FSICAS Y LGICAS PARA GARANTIZAR LA INTEGRIDAD
DE LA INFORMACIN
Las organizaciones deben plantearse procedimientos, destinados a proteger el acceso
a los archivos almacenados en los equipos, cubriendo las necesidades y riesgos tanto
remotos como internos, esto con el fin de que personas inescrupulosas tengan acceso
a informacin confidencial que afecte directamente el desarrollo y crecimiento de la
empresa, como quienes son sus clientes permanentes, cual es el nivel de sus compras,
sus datos de contacto, entre otras, informacin que puede ser muy til a empresas
competidoras.
NIVEL EXTERNO
Con el propsito de enfrentar eficazmente los intentos de acceder a la informacin
mediante equipos remotos, cuyo objetivos pueden ser: husmear, denegar el servicio,
modificar la informacin, instalar virus, entre otros, la empresa debe contar con
lineamientos de seguridad que incluyan la seguridad perimetral 19 (Agregado de
hardware, software y polticas para proteger una red en la que se tiene confianza
(intranet) de otras redes en las que no se tiene confianza (extranets, Internet))
NIVEL INTERNO
Con el fin de proteger la operatividad y la integridad fsica( incluyendo la informacin
almacenada en los equipos), estos no deben disponerse al alcance de personas
ajenas al desarrollo de la organizacin, y en un sentido ms estricto no deben ser
manipulados por personal no autorizado o asignado al equipo, para esto el centro de
cmputo debe contar con barreras de acceso a los equipos, pero si las barreras fsicas
19 Tomado de: http://www-gris.det.uvigo.es/wiki/pub/Main/PaginaNST/SEC_III_NST.pdf
-
28
son traspasadas deben existir medidas de contingencia20 que atenen y contribuyan a
disminuir el impacto del ataque entre las cuales se encuentran, las claves de usuario y
asociadas a estas una identificacin de usuario que permita conocer quin y de qu
forma ha utilizado la informacin almacenada.
7.2.2. ALTERNATIVAS DE SOLUCIN
A continuacin se detallan unas medidas de seguridad bsicas a nivel externo e interno
de la empresa debe considerar en su plan de seguridad, adems de esto si el plan de
seguridad falla, debe existir un plan de respuesta y recuperacin ante incidentes de
seguridad.
NIVEL EXTERNO
Proteccin y prevencin en seguridad fsica
Solicitar identificacin de los empleados en el momento de ingresar a la
empresa.
Realizar un registro de los visitantes
Reportar evento debilidades de seguridad fsica
Proteccin y prevencin en seguridad lgica
Instalar un firewall para bloquear el acceso no autorizado pero permitiendo las
comunicaciones que si estn permitidas.
Seleccionar programas antivirus y anti espas adecuados para las necesidades
de las empresas
Tener planes de contingencia que filtren y desven el spam, para que no se
congestione el sitio web de la empresa.
Reportar evento debilidades de seguridad lgica
Reportar eventos en la seguridad de la informacin
20 Para entidades que requieren confidencialidad y control de la informacin, las medidas a tomar incluyen ingresos por controles biomtricos, como huellas dactilar, identificador de voz, iris, etc.
-
29
Bloquear el acceso a los sitios donde se comparte informacin con los clientes y
proveedores, al (n) intento fallido y generar procedimientos de verificacin de
usuario, tal como autenticacin por correo electrnico, celular, llamada
telefnica, entre otras. (se recomienda n=
-
30
Proteccin y prevencin en seguridad lgica
Adquirir medios informticos acorde con las necesidades de la empresa
Restringir la instalacin de software, solicitando para la instalacin claves de
administrador
Chequear las aplicaciones regularmente para el cumplimiento con los
estndares de seguridad
Delimitar bien las funciones de los empleados para poder limitar el acceso a la
informacin a solo aquella que necesiten para su trabajo
Generar un registro de fallas bien sea humanas o tcnicas que se produzcan en
la empresa
Crear y manejar las bases de datos
Asignar responsabilidades y responsables de la seguridad de la informacin
Utilizar medidas que impidan cambiar la configuracin del equipo, o intenten
solucionar posibles problemas de funcionamiento. En dicho caso, se deber
comunicar inmediatamente a la persona encargada del mantenimiento de los
equipos.
Bloquear el acceso a los equipos al (n) intento fallido y generar procedimientos
de verificacin de usuario, tal como autenticacin por correo electrnico, celular,
llamada telefnica, entre otras.
En la figura No. 1 se muestra como al armonizar las diferentes medidas de
seguridad fsica con las de seguridad lgica, unido a la capacitacin en las dos
reas, esta estrategia de defensa logra dificultar el acceso a la informacin por
parte de personal no autorizado.
-
31
Figura No. 1. Representacin grafica del funcionamiento de las alternativas de
solucin
Fuente: Autores
Estructura de un plan de respuesta y recuperacin ante incidentes de seguridad.
A continuacin se muestra el orden lgico para llevar a cabo un plan de respuesta y
recuperacin ante incidentes de seguridad,
-
32
Figura No. 2. Estructura plan de contingencias y recuperacin ante incidentes de
seguridad.
Fuente: Autores
Actividades despus de la falla o desastre
Evaluacin de los daos
Identificacion de falencia que permitio la falla o desatre
Efectuar las actividades del plan de recuperacin
Mejorar el plan de seguridad y retroalimentar los planes de ocntingencia y recuperacion
Actividades durante la falla o desastre
Identificar la falla o desastre Aplicar la contingencia para contener el
dao de la falla o desastre
Actividades previas a la falla o desastre
Elaborar Panorama de riesgos
Entrenamiento
Generar plan de contingencias y de recuperacin
-
33
7.3. BUENAS PRACTICAS EN LA CONTRATACIN, Y CAPACITACIN
DEL PERSONAL
Las personas constituyen uno de los problemas ms importantes de seguridad para
cualquier organizacin porque a diferencia de los componentes tecnolgicos, son el
nico elemento, dentro de un entorno seguro, con la capacidad de decidir romper las
reglas establecidas en las polticas de seguridad de la informacin. La nica manera de
hacer frente a los mtodos de ingeniera social es la capacitacin, y esta debe incluir
los mtodos de engao ms empleados por los atacantes, para que logren
identificarlos y dar aviso de cualquier anomala que se produzca en el equipo o en
determinado ambiente.22
De acuerdo a la premisa anterior se tiene que una organizacin puede tener el mejor
sistema de seguridad para resguardar su informacin, pero slo basta contactar a un
empleado desprevenido para poder ingresar al corazn de ella. Por ende, cada
persona puede transformarse, sin querer, en una puerta de entrada para los
ciberdelincuentes23.
7.3.1. AMENAZAS QUE SE ORIGINAN EN EL PERSONAL
Estas amenazas derivan de acciones realizadas por el personal en forma deliberada,
por desconocimiento, o accidentalmente, cuyo resultado es revelar vulnerabilidades
en la seguridad fsica o lgica a intrusos.
Una de las ms usuales es la ingeniera social, que puede utilizar mtodos como la
suplantacin de identidad de un amigo, o un jefe con el fin de obtener claves y usuarios
de ingreso (phishing), para acceder a la informacin, o ganarse la simpata de un
empleado de la organizacin para que le permita el ingreso a las instalaciones
especficamente al centro de cmputo.
22 Tomado de: https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf 23 Palabras de Edgar Rojas, gerente general de la consultora The Muro Group, para el artculo The Muro Group advierte a empresas sobre los peligros de la ingeniera social consultado en: http://www.ebanking.cl/seguridad/muro-group-advierte-empresas-sobre-los-peligros-ingenieria-social-003854 . 18-10-2011
-
34
Como ya se ha mencionado el acceso a la informacin por intrusos, permite a estos
alterar los datos, daarlos, venderlos, publicarlos, entre otras.
A nivel fsico el intruso puede deliberadamente ingresar al sistema, daar los equipos,
provocar cortos circuitos, incendios, robar los equipos, bloquearlos entre otras
actividades, con lo cual podra afectar la disponibilidad del sitio web, y representa una
amenaza a la integridad de la informacin.
Para esto sealamos unas pautas a nivel de vinculacin de personal y capacitacin,
que buscan generar conciencia en el empleado de la importancia de salvaguardar la
integridad y operatividad de la informacin y los equipos a l confiados.
7.3.2. ALTERNATIVAS DE SOLUCION
7.3.2.1. Seguridad frente al personal
La poltica de seguridad del sistema informtico frente al personal de la organizacin
requiere contemplar los siguientes aspectos. 24
Alta de empleados
El procedimiento de alta de nuevos empleados requiere prestar atencin a aspectos
como el adecuado chequeo de referencias y la incorporacin de determinadas
clusulas de confidencialidad en los contratos, sobre todo si la persona en cuestin va
a tener acceso a datos sensibles y/o va a manejar aplicaciones crticas dentro del
sistema informtico.
Asimismo, es necesario definir claramente el procedimiento seguido para la creacin de
nuevas cuentas de usuarios dentro del sistema, as como para la posterior asignacin
de permisos en funcin de las atribuciones y reas de responsabilidad de cada
empleado.
24 Gmez Vieities, Alvaro. ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA alfaomega. Mxico. 2007. Pg. 39.
-
35
Por ltimo, no se debera descuidar una adecuada formacin de estos nuevos
empleados, trasladando claramente cules son sus obligaciones y responsabilidades
en relacin con la seguridad de los datos y las aplicaciones del sistema informtico de
la organizacin.
Baja de empleados:
El procedimiento de actuacin ante una baja de un empleado tambin debera quedar
claramente definido, de tal modo que los responsables del sistema informtico puedan
proceder a la cancelacin o bloqueo inmediato de las cuentas de usuario y a la
revocacin de los permisos y privilegios que tenan concedidos.
As mismo, este procedimiento debe contemplar la devolucin de los equipos, tarjetas
de acceso y otros dispositivos en poder de los empleados que causan baja en la
organizacin.
Funciones, obligaciones y derechos de los usuarios:
La organizacin debe definir con claridad cules son los distintos niveles de acceso a
los servicios y recursos de su sistema informtico.
De este modo, en funcin de las distintas atribuciones de los usuarios y del personal de
la organizacin, se tendr que establecer quien est autorizado para realizar una serie
de actividades y operaciones dentro del sistema informtico; a que datos, aplicaciones
y servicios puede acceder cada usuario; desde que equipos o instalaciones podr
acceder al sistema y en que intervalo temporal (da de la semana y horario).
Formacin y sensibilizacin de los usuarios
La organizacin deber informar puntualmente a sus empleados con acceso al sistema
de informacin de cules son sus obligaciones en materia de seguridad. Asimismo,
debera llevar a cabo acciones de formacin de forma peridica para mejorar los
conocimientos informticos y en materia de seguridad de estos empleados,
Las personas que se incorporen a la organizacin tendrn que ser informadas y
entrenadas de forma adecuada, sobre todo en las reas de trabajo con acceso a datos
sensibles y aplicaciones importantes para el funcionamiento de la organizacin.
-
36
7.3.3. VINCULACIN DEL PERSONAL
Para prevenir que personal mal intencionado se vincule a la organizacin se
recomienda:
Antes de realizar la vinculacin de personal nuevo se deben conocer sus
antecedentes, referencias personales y laborales, con el fin de determinar que
no genera una amenaza para la empresa.
El contrato de vinculacin debe incluir clusulas de confidencialidad asociadas a
la proteccin de la informacin y a los delitos contenidos en la ley 1273 de 2009
que apliquen a la empresa.
La empresa debe asignar un usuario al nuevo personal junto con una contrasea
que el usuario pueda cambiar.
Delimitar y estratificar la informacin de acuerdo a la informacin requerida para
las actividades del cargo.
Si es posible se asignara un equipo al nuevo personal, con el fin de conocer los
usos que le da a los recursos de la empresa.
Si es posible asignacin de una cuenta de correo electrnico empresarial, que
le permita al empresario filtrar la informacin que pueden compartir sus
empleados, como se mencion anteriormente la informacin confidencial de la
empresa es un activo valioso para los competidores.
El contrato de vinculacin debe informar en qu condiciones se auditara el
correo electrnico institucional del empleado.
Informar a los empleado que el acceso a internet solo estar disponible a fines
profesionales
Notificar los derechos, responsabilidades y deberes que asumen en cada cargo
en cuanto a la seguridad del equipo y la informacin contenida en este.
7.3.4. CAPACITACIN
-
37
Gmez 25presenta una relacin de los temas a incluir en la formacin bsica sobre
seguridad informtica para los empleados de la organizacin:
Utilizacin segura de las aplicaciones corporativas
Utilizacin segura de los servicios que hayan sido autorizados de internet:
o Navegacin por pginas Web evitando engaos y posibles contenidos
dainos
o Utilizacin de la firma electrnica y la criptografa en el correo electrnico
para garantizar la autenticidad, integridad y confidencialidad de los
mensajes sensibles
o Como llevar a cabo transacciones en servidores seguros; etctera.
Como evitar la entrada de virus y otros cdigos dainos:
o Reconocimiento de mensajes falsos o con ficheros adjuntos sospechosos
o Proteccin a la hora de instalar herramientas o acceder a determinados
servicios de internet, etctera.
Reconocer las tcnicas ms frecuentes de ingeniera social, para evitar ser
vctimas de este tipo de engaos
Conocimiento de sus obligaciones y responsabilidades derivadas del actual
marco normativo.
Como gestionar los soportes informticos, los equipos y los dispositivos
porttiles.
Como reaccionar ante determinados incidentes que puedan comprometer la
seguridad de la informacin o el acceso a los recursos del sistema.
A las propuestas por Gmez, se sugiere considerar las siguientes
Promover capacitaciones que faculten al empleado para identificar e informar,
las amenazas hacia el comercio electrnico y los riesgos de seguridad fsica y
lgica, que puedan afectar el buen funcionamiento de la empresa.
Informar al empleado sobre el nivel de auditoria de los recursos informticos, es
decir el empresario podr conocer que sitios web ha visitado determinado
usuario, el tiempo de permanencia. Y en base a esto estipular llamados de
atencin, que orienten a hacer un manejo ms eficiente de los recursos.
Generar capacitaciones que impulsen la conservacin de los equipos.
25 Gmez Vieities, Alvaro. ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA alfaomega. Mxico. 2007. Pg. 89.
-
38
Familiarizar e informar al personal los procedimientos asociados al movimiento
de equipos interna y externamente en la organizacin.
Adiestrar a los usuarios para jams publicar cuentas de correo en reas pblicas
que permitan sean cosechadas por software para este fin.
Adiestrar al usuario para evitar proporcionar cuentas de correo electrnico y
otros datos personales a personas o entidades que puedan utilizar estos con
otros fines.
Evitar publicar direcciones de correo electrnico en formularios destinados a
recabar datos de los clientes utilizando formularios que oculten la direccin de
correo electrnico.
Adiestrar al usuario a utilizar claves de acceso ms complejas.
Adiestrar al usuario para jams responder a un mensaje de spam.
Adiestrar al usuario a no hacer clic en los enlaces en los mensajes de spam y
que pueden ser utilizados para confirmar al spammer que se trata de una cuenta
de correo activa.
Informar al personal que slo se utilizarn las herramientas corporativas,
quedando prohibida la instalacin de cualquier software en las computadoras de
la empresa que no haya sido expresamente autorizado.
La asistencia a estas capacitaciones debe registrarse y el empleado debe firmar como
constancia de que ha sido instruido en los riesgos, amenazas y el compromiso a
reportar los incidentes.
Estas acciones de formacin se podran completar con la elaboracin de un manual bsico para los usuarios del sistema informtico, que incluya las principales recomendaciones de la empresa y recuerde cuales son las obligaciones y responsabilidades de los usuarios, as como los lmites establecidos por la organizaciones en el uso de los servicios de internet26.
En definitiva, los usuarios finales deberan ser conscientes de los retos para la organizacin si no cumplen con las medidas bsicas de seguridad en la utilizacin de los servicios informticos y de su red de ordenadores. A su vez, los directivos deberan ser conscientes de la necesidad de destinar recursos y de contemplar la seguridad de la informacin en todos los proyectos que se encuentren bajo su responsabilidad y supervisin directa.27
26 Gmez Vieities, Alvaro. ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA alfaomega. Mxico. 2007. Pg. 89. 27 Gmez Vieities, Alvaro. ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA alfaomega. Mxico. 2007. Pg. 90.
-
39
7.4. BUENAS PRCTICAS PARA EL USO DE INTERNET
En este apartado hemos incluido el buen manejo que se debe promover en la
organizacin del acceso a internet. Dado que aunque este hace posible el comercio
electrnico y los procesos asociados a el tambin facilita el acceso a programas que
pueden afectar los equipos.
7.4.1. EL USO DE LOS SERVICIOS DE INTERNET EN EL TRABAJO
La implantacin de la conexin a internet en las organizaciones est planteando
nuevos problemas que afectan a las actividades cotidianas de los empleados en sus
puestos de trabajo, entre los que cabra destacar28:
La limitacin de los servicios de internet y del correo electrnico en la empresa
para usos exclusivamente profesionales.
La posibilidad de que el empresario o directivo pueda abrir el correo electrnico
de un empleado.
El acceso al ordenador de un trabajador y a sus archivos y carpetas
informticas.
La potestad para controlar el uso que los empleados hacen de los servicios y la
conexin a internet.
La capacidad de los representantes sindicales para utilizar el correo electrnico
para sus comunicaciones con los empleados
Abusar del acceso a internet y del correo electrnico desde el lugar del trabajo para
fines distintos de los estrictamente profesionales puede tener consecuencias graves
para los trabajadores. Esa es la tendencia de las ltimas sentencias dadas a conocer
en Espaa, que consideraron procedente el despido de trabajadores que abusaron del
uso de internet en sus empresas (por ejemplo, por la consulta reiterada a sitios de ocio
en internet durante la jornada de trabajo y utilizando el ordenador de la empresa).
28 Gmez Vieities, Alvaro. ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA alfaomega. Mxico. 2007. Pg. 91.
-
40
7.4.2. AMENAZAS QUE AFECTAN A LOS USUARIOS DE INTERNET
Una de las principales amenazas es el uso desmesurado e inconsciente de internet.
Aunque es la herramienta que facilita el comercio electrnico, tiene riesgos implcitos
esto se debe a que internet es una red conceptualmente insegura ya que fue diseada
con un alto nivel de operatividad29.
Entre los Riesgos implcitos encontramos riesgos como virus, gusanos, pginas de
phishing, husmeo, seguridad en las comunicaciones, ciberdelincuencia. Etc.
Por otro lado, el permitir que los empleados utilicen los recursos de la empresa para
fines personales como sitios web de entretenimiento, videos, correo electrnico
personal, redes sociales, contenidos pornogrficos entre otros, consumen el ancho de
banda y la capacidad de los servidores, limitando la operatividad de las aplicaciones
que trabajan en lnea generando retrasos y congestin en el sistema.
7.4.3. MEDIDAS DE SEGURIDAD EN EL CORREO ELECTRNICO
Las denominadas Nuevas Tecnologas de la Informacin y la Comunicacin (NTIC)
han venido para quedarse en la empresa y debemos ser conscientes de que muchas
veces el uso indebido del trabajador de esas (NTIC) es la cara de la moneda que,
porque no decirlo, es la que ms veces se suele mirar, examinar y salir a la luz o tener
ms repercusin meditica pero, tambin hay que ser conscientes de que esa moneda
tiene como reverso el uso, en muchos casos indebido, por parte del empresario de
esas NTIC30
En la actualidad el uso del correo electrnico se ha estandarizado en las
comunicaciones ya sea a nivel personal o a nivel laboral, por tanto el acceso a este
recurso no se podra denegar en una empresa, pero surge la pregunta Cmo controlar
29 Seguridad en las transacciones online del comercio electrnico Tesis. Tomado de: http://www.monografias.com/trabajos-
pdf/seguridad-e-comerce/seguridad-e-comerce.shtml 30 Antoni Roig Batalla, El uso laboral y sindical del correo electrnico e Internet en la empresa, Aspectos constitucionales, penales y laborales. Derecho y tics, ed. tirant lo Blanch. Valencia. 2007. Pg. 148
-
41
un medio que facilita la fuga de informacin confidencial y por el cual se abre la puerta
a un sin fin de ataques de ciberdelincuencia?
7.4.4. ALTERNATIVAS DE SOLUCIN
Para promover la direccin de estos recursos estrictamente al rea laboral la seguridad
informtica recomienda que se debe tener como orientacin la siguiente premisa lo
que no est permitido debe estar prohibido que tambin se puede ver como lo que
no est prohibido est permitido.
De acuerdo a esto la empresa debe escoger si definir una lista de sitios web permitidos
o prohibidos, de acuerdo a su conveniencia o facilidad tecnolgica, a continuacin se
muestra una tabla con sugerencias de los sitios web a permitir o prohibir segn sea el
caso.
-
42
Tabla 4. Sugerencias de caractersticas de sitios web a prohibir o permitir segn la
filosofa de la empresa
Fuente: Autores
Uso apropiado de las NTIC31
Los administradores de sistemas de una empresa, o los encargados de los servicios
externos que proporciona acceso a la red pueden disear polticas de prevencin del
uso por parte de los empleados, Y, sin duda alguna, ese es el mejor mecanismo para
evitar, no solo abusos por parte de los empleados, sino, tambin, por parte de los
empresarios. Se pueden instalar cortafuegos que permiten establecer una serie de
filtros de salida, evitando que se pueda acceder a determinadas pginas web o que
se puedan enviar correos a determinadas direcciones. En este sentido, el mejor control
empresarial, a juicio de Jos Muos Lorente32, es la prevencin de los abusos a travs
31 Antoni Roig Batalla, El uso laboral y sindical del correo electrnico e Internet en la empresa, Aspectos consitucionales, penales y laborales. Derecho y tics, ed. tirant lo Blanch. Valencia. 2007. Pg. 173. 32 Escritor del Capitulo II Los lmites penales en el uso del correo electrnico e internet en la empresa tomado del libro Antoni Roig Batalla, El uso laboral y sindical del correo electrnico e Internet en la empresa, Aspectos consitucionales, penales y laborales. Derecho y tics, ed. tirant lo Blanch. Valencia. 2007. Pg. 173.
Filosofa lo que no est prohibido est
permitido
Filosofa Lo que no est permitido est
prohibido
Poltica prohibitiva: definir las
caractersticas de los sitios web que no
pueden ser visitados en la organizacin.
Poltica permisiva: definir las caractersticas
de los sitios web que pueden ser visitados en
la organizacin
Sitios con contenido sexual
Sitios de entretenimiento videos,
msica, fotografas, chistes, entre
otras
Servidores de correo electrnico
personal
Sitios web que permitan compartir
informacin
Redes sociales
Sitios web de soporte tcnico para el
software y las aplicaciones
Sitios web de aliados comerciales
Sitios web de entidades bancarias
Sitios web de clientes
Sitios web de informacin
Sitios web del estado
-
43
de esos mecanismos tecnolgicos de los que ya se dispone en la actualidad, en este
sentido, y si por razones laborales, fuese necesario acceder a alguna pgina web o a
una direccin de correo electrnico respecto de las cuales se ha establecido un filtro
de salida bastara con que el superior jerrquico autorizase dicho acceso o dicho
envo. Con ello se evitaran problemas, tanto para los empleadosque tendran claro
como podrn utilizar y como no las NTIC--, como para el empresario que no se vera
obligado a Realizar controles sobre la utilizacin de las NTIC por parte de sus
empleados evitando, al mismo tiempo, que esos controles pudieran de algn modo
constituir un delito contra la intimidad del trabajador.
Uso apropiado del correo electrnico
La razn por la que aconsejamos no usar el correo personal para actividades laborales,
es porque el correo le permite al usuario compartir informacin de forma eficiente y gil,
que puede generar incidentes de seguridad, por otro lado la mayora de riesgos
asociados al comercio electrnico son asociados al comercio electrnico, es as como
si llega un correo de una persona conocida indicando un link muy probablemente el
empleado acceder a este, lo que puede concluir en la instalacin de malware en el
equipo, permitindole a los delincuentes mantener una ventana abierta a las
comunicacin de la empresa.
Por otro lado la revisin del correo electrnico personal en horario laboral puede
generar que el empleado pierda la concentracin en el desarrollo de sus actividades,
generando la disminucin del tiempo productivo del empleado.
Del mismo modo es aconsejable que el empleado no use la cuenta de correo
institucional para sus asuntos personales, dado que si bien no puede compartir
informacin confidencial a travs de este, si puede permitir el ingreso de amenazas
lgicas al sistema informtico de la organizacin como virus, malware,
ciberdelincuencia, ingeniera social, etc.
A esto se le suma que en la legislacin colombiana las comunicaciones de las
personas estn protegidas por el derecho constitucional a la intimidad, por tanto los
correos electrnicos personales o empresariales estn protegidos por el derecho a la
intimidad, sin embargo el correo empresarial puede ser controlado mas no ledo,
permitiendo as definir en caso de una fuga de informacin quien fue el responsable y
ejecutar las medidas legales a que haya lugar de acuerdo a la ley 1273 de 2009,
-
44
Principios que deben respetarse ante una actividad de control empresarial.33
Para que la vigilancia sea legitima, esta ha de ser necesaria, dirigida a un fin concreto,
realizada de forma abierta y clara, segn los principios de adecuacin, pertinencia y
proporcionalidad, y con las mnimas repercusiones sobre el derecho a la intimidad de
los trabajadores. El directivo o empresario no puede actuar a escondidas y de forma
discriminatoria y masiva en la apertura de correos electrnicos de los trabadores. En
este sentido, conviene tener en cuenta las siguientes recomendaciones:
Sera conveniente mostrar un mensaje de aviso en cada inicio de sesin de un
usuario en el sistema informtico de la organizacin para informarle de que sus
actividades pueden estar siendo registradas por motivos de seguridad.
La empresa debera limitarse a listar los correos o la relacin de pginas Web
visitadas y no a leer sus contenidos (al igual que en el caso de las llamadas
telefnicas)
En el momento de producirse la apertura y lectura de mensajes de correo
electrnico el empresario debera contar con testigos, representantes sindicales u
otros trabajadores de la empresa, a los oportunos efectos probatorios. Esta misma
recomendacin se debera tener en cuenta a la hora de acceder a carpetas o
documentos guardados en el ordenador asignado a un determinado trabajador.
33 Gmez Vieites, lvaro. enciclopedia de la seguridad informtica editorial ALFAOMEGA, 2007. Mxico. PG. 96
-
45
7.5. BUENAS PRACTICAS DE SEGURIDAD EN LAS COMUNICACIONES
La informacin depositada en las comunicaciones necesarias para el comercio
electrnico incluye datos confidenciales y sensibles por tanto es necesario utilizar los
recursos necesarios para protegerla, en este apartado hemos incluido la posicin de
VeriSign34 lder en la seguridad en internet , quien explica las medidas de seguridad y
cmo funcionan en su publicacin la seguridad y la confianza, claves del comercio
electrnico35 del cual sealamos la informacin relevante para las buenas prcticas de
seguridad en las comunicaciones. Donde detallan los requerimientos necesarios para
proveer un ambiente de seguridad.
El abandono de transacciones se ha convertido en un lastre para el comercio
electrnico. Segn un estudio sobre este tema, el 21% de los internautas han dejado a
medias una compra en alguna ocasin porque les preocupaba la seguridad de los
datos de su tarjeta de crdito y, por motivos similares, otros hacen compras de menor
cuanta36
Es evidente, por tanto, que la tranquilidad de los clientes puede reportar grandes
dividendos a las empresas que operan por Internet y ven mermadas sus ventas por el
miedo al fraude. Segn un estudio de TNS realizado en marzo de 2010, en Estados
Unidos, el 73% de los internautas considera que podra ser vctima de un robo de
identidad. Ante el temor a sucumbir a una estafa en lnea, los clientes no slo realizan
menos transacciones, sino que tambin evitan realizar grandes gastos, por lo que
ganarse su confianza trae consigo un gran potencial de ingresos. Todo esto, por
supuesto, resulta igual de ventajoso para los consumidores, ya que comprar por
Internet es ms cmodo y ofrece muchas ms posibilidades de ahorro que cualquier
otro medio. Normalmente, cuando una persona busca un artculo en concreto, consulta
varios sitios web que le merecern ms o menos confianza. Esa posibilidad de acudir a
34
VeriSign Authentication Services, ahora parte de Symantec Corp. (NASDAQ: SYMC), proporciona soluciones que permiten que las empresas y los consumidores participen en comunicaciones y comercio en lnea con confianza. El sello VeriSign, que tiene ms de un milln de servidores web que usan sus certificados SSL, una infraestructura que procesa ms de dos mil millones de verificaciones de certificados por da y un logotipo que es visto hasta 250 millones de veces diariamente, es el smbolo de confianza ms reconocido de Internet. 35 Verisign. la seguridad y la confianza, claves del comercio electrnico. 2010. Tomado de: http://www.verisign.es/ssl/ssl-information-center/ssl-resources/whitepaper-security-trust.pdf 36 Segn una encuesta, el riesgo asociado a la compra electrnica pone freno a su avance (artculo en ingls de junio de 2009): www.eweek.com/c/a/Midmarket/Security-Concerns-Hinder- Online-Shopping-Survey-Finds-288359/, referenciado por: VeriSign. la seguridad y la confianza, claves del comercio electrnico 2010.
-
46
varios sitios es lo que le permite tomar la mejor decisin, siempre y cuando pueda
confiar en ellos y sepa que su informacin privada est protegida.
Afortunadamente, las empresas de comercio electrnico tienen a su disposicin una
serie de tecnologas destinadas a proteger los datos personales de sus clientes,
autenticar sus sitios web y mejorar el grado de confianza de los consumidores. Si se
usan los medios adecuados, los clientes podrn distinguir fcilmente los sitios web
autnticos de las posibles rplicas que pueda haber creado un usuario
malintencionado.
Para abordar este complejo tema, primero se explicara las tecnologas de cifrado y los
certificados que actualmente se usan, los protocolos en los que participan, y dando
continuacin a esto explicaremos en detalle cmo funciona el protocolo SSL (Que es el
ms usado en el mundo) y en base a esto se brindaran sugerencias de implantacin
en las pequeas y medianas empresas
7.5.1. TECNOLOGA DE CIFRADO Y CERTIFICADOS
Laudon37 explica que un sistema criptogrfico moderno se basa en un determinado
algoritmo de encriptacin que realiza unas transformaciones sobre el texto original,
conocido como texto claro, para obtener un texto modificado, conocido como texto
cifrado o criptograma.
Mediante el procedimiento inverso, utilizando un determinado algoritmo de
desencriptacin, se puede recuperar el texto original, el funcionamiento de los
algoritmos de encriptacin y desencriptacin depende de unas claves, que determinan
totalmente el resultado obtenido, de este modo, aunque los algoritmos sean pblicos y
conocidos por todos, si no se dispone de las claves, resulta imposible (siempre y
cuando los algoritmos sean lo suficientemente robustos) realizar el proceso
desencriptacin.
37 Laudon, Kenneth y Guercio Traver, Carol. E-commerce. Negocios, tecnologa, sociedad. Cuarta edicin. Pearson educacin. Mxico. 2009. Pg. 325.
-
47
Figura No. 3. Funcionamiento de un sistema criptogrfico
Fuente: Laudon, Kenneth y Guercio Traver, Carol. E-commerce. Negocios, tecnologa,
sociedad. Cuarta edicin. Pearson educacin. Mxico. 2009. Pg. 325.
7.5.2. TIPOS DE SISTEMAS O TECNOLOGAS CRIPTOGRFICOS
Como se ha mencionado son muchos los riesgos que existen en internet no se debe
desconocer que la tecnologa tambin ayuda a proteger la seguridad de los mensajes
que se envan usando la red38 , entre los cuales se han desarrollado mtodos de
encriptacin o cifrado, que proporcionan cuatro de los principios de seguridad en el
comercio electrnico (integridad del mensaje, no repudiacin, autenticacin,
confidencialidad), de acuerdo a esto en la actualidad se usan varias tecnologas de
cifrado entre las cuales contamos:
Cifrado por clave simtrica: tanto el emisor como el receptor utilizan la misma clave
para cifrar y descifrar un mensaje. AES (Estndar de Cifrado Avanzado) es el sistema
de cifrado por clave simtrica ms utilizada en la red.
Criptografa de clave pblica: se utilizan dos claves digitales relacionadas en sentido
matemtico: una clave pblica y una clave privada. El propietario mantiene la clave
privada secreta, y la clave pblica se distribuye ampliamente. Ambas claves se pueden
utilizar para cifrar y descifrar un mensaje. Una vez que se utilizan las claves para cifrar
un mensaje, no se pueden utilizar para descifrarlo.
38 dem 16.
-
48
Cifrado de clave pblica utilizando firmas digitales y resmenes de hash: este
mtodo utiliza un algoritmo matemtico llamado funcin de hash para producir un
nmero de longitud fsica, conocido como resumen de hash. Los resultados de aplicar
la funcin de hash se envan del emisor al receptor. Al momento de recibirlos, el
receptor aplica la funcin de hash al mensaje recibido y comprueba que se produzca el
mismo resultado.
Despus el emisor cifra tanto el resultado de hash como el mensaje original, usando la
clave pblica del receptor para producir un solo bloque de texto cifrado. Para asegurar
tanto la autenticidad del mensaje como la no repudiacin, el emisor cifra todo el bloque
de texto cifrado una vez ms, usando su clave privada. Esto produce una firma digital,
o texto cifrado firmado, que se puede enviar por internet para asegurar la
confidencialidad del mensaje y autenticar al emisor.
Envoltura digital: este mtodo utiliza el cifrado simtrico para cifrar y descifrar el
documento, pero utiliza el cifrado de clave pblica para cifrar y enviar la clave simtrica.
Certificados digitales e infraestructura de clave pblica: este mtodo se basa en
las autoridades de certificacin que emiten, verifican y garantizan los certificados
digitales (un documento digital que contiene el nombre del sujeto o empresa, la clave
pblica del sujeto, un nmero de serie de certificado digital, una fecha de expiracin,
una fecha de emisin, la firma digital de la autoridad de certificacin y dems
informacin de identificacin).
Firmas digitales39 : Se define la firma digital como un valor numrico, que se crea con
la clave privada del firmante. Para crear firmas digitales se utiliza un programa de
computador basado en un procedimiento matemtico denominado algoritmo de
creacin de firmas. La firma digital cambia de un documento a otro en la medida en que
los datos de la clave privada se mezclan con los datos de cada documento que sea
firmado con la misma clave privada. Para cada documento firmado se crea una nueva
firma digital. Lo que no cambia es la clave privada. El procedimiento de verificacin de
la autenticidad de las firmas, es un programa de computador basado en un
procedimiento mate