Manual de Buenas Practicas de s.i. Para El E-comerce

MANUAL DE BUENAS PRACTICAS DE

SEGURIDAD INFORMATICA PARA EL

COMERCIO ELECTRNICO APLICABLE

A PYMES BOGOTANAS

2

TABLA DE CONTENIDO

1. INTRODUCCIN ....................................................................................................... 5

2. OBJETIVOS ............................................................................................................... 6

3. PRINCIPIOS DE SEGURIDAD EN EL COMERCIO ELECTRONICO ....................... 7

4. COMERCIO ELECTRONICO .................................................................................... 9

4.1. DEFINICIN ........................................................................................................ 9

4.2. MEDIOS ELECTRNICOS DE PAGO USADOS EN EL COMERCIO

ELECTRONICO ............................................................................................................ 9

4.3. VENTAJAS Y DESVENTAJAS DE LAS DIFERENTES MODALIDADES DE

PAGO EN EL COMERCIO ELECTRNICO. ............................................................ 11

4.4. IMPACTOS Y RIESGOS. .................................................................................. 12

5. QUE ES LA SEGURIDAD INFORMATICA .............................................................. 12

5.1. DEFINICIN...................................................................................................... 12

5.2. SEGURIDAD ORGANIZACIONAL U OPERACIONAL ...................................... 13

6. AMENAZAS ............................................................................................................. 14

6.1. AMENAZAS A LA SEGURIDAD EN EL ENTORNO DEL COMERCIO

ELECTRNICO .......................................................................................................... 14

7. PAUTAS DE PROTECCIN PARA LAS DIFERENTES AMENAZAS .................... 17

7.1. BUENAS PRCTICAS PARA PREVENCIN Y ATENCIN DE DESASTRES

(NATURALES Y CAUSADOS POR EL HOMBRE) ..................................................... 19

7.1.1. Continuidad del negocio ante fallas, siniestros o desastres........................ 19

7.1.2. Plan de recuperacin .................................................................................. 22

7.1.2.1. Actividades Previas al Desastre .............................................................. 22

7.1.2.2. Actividades Durante el Desastre ............................................................. 23

7.1.2.3. Actividades Despus del Desastre o Falla ............................................. 25

7.1.2.3.1. Evaluacin de Daos. .......................................................................... 25

7.2. BUENAS PRACTICAS APLICABLES A SEGURIDAD FISICA Y LOGICA ....... 27

7.2.1. Barreras fsicas y lgicas para garantizar la integridad de la informacin .. 27

7.2.1.1. Nivel externo ........................................................................................... 27

7.2.1.2. Nivel interno ............................................................................................ 27

3

7.2.2. Alternativas de solucin .............................................................................. 28

7.2.2.1. Nivel externo ........................................................................................... 28

7.2.2.2. Nivel interno ............................................................................................ 29

7.3. BUENAS PRACTICAS EN LA CONTRATACIN, Y CAPACITACIN DEL

PERSONAL................................................................................................................. 33

7.3.1. Amenazas que se originan en el personal .................................................. 33

7.3.2. Alternativas de solucion .............................................................................. 34

7.3.2.1. Seguridad frente al personal ................................................................... 34

7.3.3. Vinculacin del personal ............................................................................. 36

7.3.4. Capacitacin ............................................................................................... 36

7.4. BUENAS PRCTICAS PARA EL USO DE INTERNET ................................... 39

7.4.1. El uso de los servicios de internet en el trabajo .......................................... 39

7.4.2. Amenazas que afectan a los usuarios de internet ...................................... 40

7.4.3. Medidas de seguridad en el correo electrnico .......................................... 40

7.4.4. Alternativas de solucin .............................................................................. 41

7.5. BUENAS PRACTICAS DE SEGURIDAD EN LAS COMUNICACIONES .......... 45

7.5.1. Tecnologa de cifrado y certificados ........................................................... 46

7.5.2. Tipos de sistemas o tecnologas criptogrficos ......................................... 47

7.5.3. Protocolos de encriptacion usados en el comercio electronico................... 50

7.5.3.1. Segure Electronic Transaction (SET) ..................................................... 50

7.5.3.2. Segure Socket Layer (SSL) ..................................................................... 51

7.5.3.3. Transport Layer Security (TLS) ............................................................... 53

7.5.3.4. Entidades certificadoras .......................................................................... 53

7.5.4. Recomendaciones de seguridad en las comunicaciones ........................... 57

7.6. BUENAS PRACTICAS APLICABLES AL PORTAL WEB DE COMERCIO

ELECTRNICO .......................................................................................................... 61

7.6.1. ALTERNATIVAS DE SOLUCION ............................................................... 62

7.6.1.1. Diseo ..................................................................................................... 62

7.6.1.2. Desarrollo y comercializacin .................................................................. 64

7.7. BUENAS PRACTICAS PARA LA PROTECCIN DE DATOS PERSONALES . 67

4

7.7.1. Proteccin de datos y documentos sensibles ............................................. 67

7.7.2. Alternativas de solucion .............................................................................. 69

7.8. BUENAS PRACTICAS PARA LA CONTRATACION POR MEDIOS

ELECTRONICOS ........................................................................................................ 73

7.8.1. Tipos de contratacion electronica ............................................................... 73

7.8.1.1. Intercambio Electrnico de Datos ............................................................ 73

7.8.1.2. Contratos de servicios por internet .......................................................... 74

7.8.1.3. Compraventas nacionales e internacionales por internet ........................ 74

7.8.1.1. Contratos de adhesion ............................................................................ 75

8. Bibliografa. .............................................................................................................. 76

8.1. PAGINAS WEB CONSULTADAS ..................................................................... 76

5

1. INTRODUCCIN

La seguridad es uno de los temas ms lgidos en el comercio electrnico, por tanto es

necesario estar preparados para enfrentar las amenazas que se generan hacia la

proteccin de los datos, la disponibilidad de los sitios web, las comunicaciones,

adoptando para esto una serie de medidas preventivas que permitan contribuir a un

ambiente seguro y acorde al marco regulatorio a nivel interno y externo de la

organizacin

La seguridad informtica aplicada al comercio electrnico aplica dado que los actores

que intervienen en el comercio electrnico continuamente transmiten informacin

confidencial por Internet, y para las empresas es vital ganarse la confianza de quienes

visitan su sitio web y ms aun de aquellos que hacen transacciones en lnea, puesto

que los consumidores no estn dispuestos a dejar sus datos en manos de cualquiera y

exponerse a riesgos como el robo de identidad. Se ha encontrado que existe una

reticencia generalizada a facilitar datos confidenciales como nmeros de tarjeta de

crdito, contraseas u otros tipos de informacin confidencial por temor a que alguien

los intercepte o a que el sitio web desde el que se envan se manipule con fines

dainos.1

Por estas razones surge el manual de buenas prcticas de seguridad informtica en el

comercio electrnico, que busca concienciar e informar al pequeo y mediano

empresario sobre las amenazas existentes al tener una empresa y realizar comercio

electrnico, suministrando herramientas y pautas aplicables a su empresa que le

permitan mejorar su nivel de seguridad informtica.

1 Verisign. la seguridad y la confianza, claves del comercio electrnico. 2010. Tomado de: http://www.verisign.es/ssl/ssl-information-center/ssl-resources/whitepaper-security-trust.pdf

6

2. OBJETIVOS

Este manual tiene como objetivo general generar pautas prcticas en cuanto a las

medidas de seguridad informtica aplicables al comercio electrnico.

De acuerdo a esto, el presente documento tiene como objetivos especficos

Explicar los riesgos y como actuar ante estos con el fin de minimizar y

gestionar los riesgos y detectar los posibles problemas y amenazas a la

seguridad.

Sealar las reas donde se tiene bajo control de los recursos para orientar al

pequeo y mediano empresario en la adecuada utilizacin de los recursos y

de las aplicaciones del sistema.

Educar al pequeo y mediano empresario, facultndolo para limitar las

prdidas y conseguir la adecuada recuperacin del sistema en caso de un

incidente de seguridad.

Dar a conocer al empresario recomendaciones orientadas al cumplimiento

con el marco legal y con los requisitos impuestos por los clientes en sus

contratos.

Aleccionar al pequeo y mediano empresario la importancia de la proteccin

de los datos personales y las comunicaciones en medios electrnicos.

Orientando al buen manejo de estos.

7

3. PRINCIPIOS DE SEGURIDAD EN EL COMERCIO

ELECTRONICO

Este manual de buenas prcticas de seguridad informtica en el comercio electrnico

se fundamenta en los siguientes principios de seguridad2, que influyen en los procesos

del comercio electrnico.

Integridad: asegura que la informacin que se muestra en un sitio web, o que se enva o recibe a travs de internet no haya sido alterada de ninguna forma por una parte no autorizada.

No repudiacin: asegura que los participantes en el comercio electrnico no nieguen (desconozcan) sus acciones en lnea.

Autenticidad: verifica la identidad de un individuo o un negocio. La identificacin crea responsabilidad y confianza.

Confidencialidad: determina si la informacin que se comparte en lnea, por ejemplo a travs de la comunicacin de correo electrnico o de un proceso de pedido, puede ser vista por alguien ms que el receptor de destino.

Privacidad: se encarga del uso de la informacin que se comparte durante una transaccin en lnea.

Disponibilidad: determina si un sitio Web es accesible y operativo en cualquier momento dado.

Prueba de la transaccin: este servicio de seguridad permite confirmar la realizacin de una operacin o transaccin, reflejando los usuarios o entidades que han intervenido en esta3.

Autorizacin (control de acceso a equipos y servicios): mediante el servicio de

autorizacin se persigue controlar el acceso de los usuarios a los distintos equipos y

servicios ofrecidos por el sistema informtico, una vez superado el proceso de

2 Compilacin realizada por los autores de acuerdo a lo enunciado por Laudon. e-commerce, negocios, tecnologa, sociedad. Cuarta edicin. Pearson educacin. Mexico. 2009. Pagina. 323., Puentes, seguridad en el comercio electrnico. Alfaomega. Mexico. 2009. Pg. 100. 3Gmez Vieites, Alvaro. enciclopedia de la seguridad informtica editorial ALFAOMEGA, 2007. Mxico

8

autenticacin de cada usuario. Para ello, se definen unas listas de control de

acceso con la relacin de usuarios y grupos de usuarios adems de sus distintos

permisos de acceso a los recursos del sistema.

Auditabilidad: el servicio de auditabilidad o trazabilidad permite registrar y

monitorizar la utilizacin de los distintos recursos del sistema por parte de los

usuarios que han sido previamente autenticados y autorizados.

Reclamacin de origen: mediante la reclamacin de origen el sistema permite

probar quien ha sido el creador de un determinado mensaje o documento.

Reclamacin de propiedad: este servicio permite probar que un determinado

documento o un contenido digital protegido por derechos de autor (cancin, video,

libro) pertenece a un determinado usuario u organizacin que ostenta la

titularidad de los derechos de autor.

Anonimato en el uso de los servicios: en la utilizacin de determinados servicios

dentro de las redes y sistemas informticos tambin podra resultar conveniente

garantizar el anonimato de los usuarios que acceden a los recursos y consumen

determinados tipos de servicios, preservando de este modo su privacidad. Este

servicio de seguridad, no obstante, podra entrar en conflicto con otros de los ya

mencionados, como la autenticacin o la auditoria del acceso a los recursos.

Referencia temporal (certificacin de fechas): mediante este servicio de seguridad

se consigue demostrar el instante concreto en que se ha enviado un mensaje o se

ha realizado una determinada operacin (utilizando generalmente una referencia

UTC-Universal Time Clock). Para ello, se suele recurrir al sellado temporal del

mensaje o documento en cuestin.

Certificacin mediante terceros de confianza: la realizacin de todo tipo de

transacciones a travs de medios electrnicos requiere de nuevos requisitos de

seguridad, para garantizar la autenticacin de las partes que intervienen, el

contenido e integridad de los mensajes o la constatacin de la realizacin de la

operacin o comunicacin en un determinado instante temporal. Para poder ofrecer

algunos de estos servicios de seguridad se empieza a recurrir a la figura del

tercero de confianza, organismo que se encarga de certificar la realizacin y el

9

contenido de las operaciones y de avalar la identidad de los intervinientes dotando

de este modo a las transacciones electrnicas de una mayor seguridad jurdica.

4. COMERCIO ELECTRONICO

4.1. DEFINICIN

Abarca las cuestiones suscitadas por toda relacin de ndole comercial, sea o no

contractual, estructurada a partir de la utilizacin de uno o ms mensajes de datos o de

cualquier otro medio similar.

Las relaciones de ndole comercial comprenden, sin limitarse a ellas, las siguientes

operaciones: toda operacin comercial de suministro o intercambio de bienes o

servicios; todo acuerdo de distribucin; toda operacin de representacin o mandato

comercial; todo tipo de operaciones financieras, burstiles y de seguros; de

construccin de obras; de consultora; de ingeniera; de concesin de licencias; todo

acuerdo de concesin o explotacin de un servicio pblico; de empresa conjunta y otras

formas de cooperacin industrial o comercial; de transporte de mercancas o de

pasajeros por va area, martima y frrea, o por carretera4

4.2. MEDIOS ELECTRNICOS DE PAGO USADOS EN EL COMERCIO

ELECTRONICO

Un sistema de pago electrnico realiza la transferencia del dinero entre comprador y

vendedor en una compra-venta electrnica. Es por ello, una pieza fundamental en el

proceso del Comercio Electrnico.

Los sistemas de pago empleados en Internet pueden agrupar en cuatro categoras5:

4 Ley 527 de 1999: Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio

electrnico y de las firmas digitales y se establecen las entidades de certificacin y se dictan otras disposiciones. 5 http://es.wikipedia.org/wiki/Sistema_de_pago_electr%C3%B3nico

10

Cajero electrnico virtual: Conocido tambin como TPVV (Terminal Punto de Venta

Virtual)6, es el sistema ms seguro para la utilizacin de las tarjetas de crdito en

Internet. Este sistema no solo garantiza que los datos de la tarjeta viajarn, encriptados,

directamente del comprador al banco intermediario sino que adems, no sern

conocidos en ningn momento por el vendedor. Las entidades bancarias son siempre

ms fiables en la proteccin de los datos de sus clientes. El sistema

es igualmente transparente y gil para el comprador.

Bsicamente las empresas que generan recaudos por internet, instalan un botn de

pagos en su tienda virtual, con el fin de guiar al comprador a su entidad bancaria y

autorizar as el pago de los bienes o servicios previamente seleccionados del catalogo

virtual de la empresa.

Cheques Electrnicos. Los mtodos para transferir cheques electrnicos a travs de

Internet no estn tan desarrollados como otras formas de transferencia de fondos, los

cheques electrnicos podran consistir algo tan simple como enviar un e-mail a un

vendedor autorizndole a sacar dinero de la cuenta, con certificados y firmas digitales

asociados. Un sistema de cheques puede ser considerado como un compromiso entre

un sistema de tarjetas de crdito y uno de micropagos o dinero electrnico (annimo).

Tarjetas de Crdito. Los sistemas de tarjetas de crdito en Internet funcionarn de

forma muy similar a como lo hacen hoy en da. El cliente podr usar si lo desea su

tarjeta de crdito actual para comprar productos en una tienda virtual. La principal

novedad consiste en el desarrollo del estndar de cifrado SET (Secure Electronic

Transaction) por parte de las ms importantes compaas de tarjetas de crdito.

Dinero Electrnico. El concepto de dinero electrnico es amplio, y difcil de definir en

un medio tan extenso como el de los medios de pago electrnicos (EPS). ste se puede

definir como aquel dinero creado, cambiado y gastado de forma electrnica, ste dinero

tiene un equivalente directo en el mundo real: la moneda. Es importante resaltar que el

dinero electrnico se usa para pequeos pagos.

6 http://www.eumed.net/cursecon/ecoinet/seguridad/TPVv.htm

11

El dinero electrnico puede clasificarse en dos tipos: Dinero on-line: Exige interactuar

con el banco (va mdem o red) para llevar a cabo una transaccin con una tercera

parte. Dinero offline: Se dispone del dinero en el propio ordenador y puede gastarse

cuando se desee, sin necesidad de contactar para ello con un banco. Estos sistemas de

dinero electrnico permiten al cliente depositar dinero en una cuenta y luego usar ese

dinero para comprar cosas en Internet

4.3. VENTAJAS Y DESVENTAJAS DE LAS DIFERENTES MODALIDADES DE

PAGO EN EL COMERCIO ELECTRNICO.

Desde el punto de vista de la seguridad, las diferentes modalidades de comercio

electrnico tienen ventajas y desventajas7.

En el caso de las tarjetas de crdito, la seguridad depender de la forma como

se almacenen los datos en el servidor, se envi un mensaje encriptado de correo

electrnico y se utilice una entidad intermediaria.

En el caso de las tarjetas dbito hay que acudir a los sitios transaccionales de los

bancos.

Para reducir estos riesgos hay que instalar un servidor seguro, un certificado de

seguridad, encriptar los mensajes de correo electrnico con criptografa asimtrica y

usar los servicios de una entidad intermediaria.

7 Crdenas, Manuel Jos, Cual es la situacin del comercio electrnico en Colombia? Anlisis y recomendaciones para mejorar la competitividad empresarial. primera edicin. Fondo de publicaciones Universidad Sergio Arboleda. Bogot D.C. 2009. pg. 174-177

12

4.4. IMPACTOS Y RIESGOS.

Sobre la recoleccin de la informacin, su impacto y los riesgos Pagos Online elaboro la

siguiente interesante tabla:

Tabla 1. Impactos y riesgos en la recoleccin de la informacin

Reconocimiento de la informacin Impacto Riesgos

Almacenamiento en el servidor Alto Penetracin de un Hacker y robo de la base de datos

Envo de correo electrnico encriptado Bajo Penetracin de un Hacker y alteracin del programa que

enva los correos electrnicos

Entidad intermediaria Bajo Penetracin de un Hacker en la entidad intermediaria y

robo de la informacin

Sitio transaccional del banco Bajo Manipulacin de la respuesta del banco

Fuente: Pagosonline.net, Referenciada por Crdenas8

5. QUE ES LA SEGURIDAD INFORMATICA

5.1. DEFINICIN

La seguridad informtica es Cualquier medida que impida la ejecucin de operaciones

no autorizadas sobre un sistema o red informtica, cuyos efectos pueden conllevar

datos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad,

disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al

sistema9

8 Crdenas, Manuel Jos, Cual es la situacin del comercio electrnico en Colombia? Anlisis y recomendaciones para mejorar la competitividad empresarial. primera edicin. Fondo de publicaciones Universidad Sergio Arboleda. Bogot D.C. 2009: 9 Gmez Vieites, Alvaro. enciclopedia de la seguridad informtica editorial ALFAOMEGA, 2007. Mxico. PG. 4.

13

5.2. SEGURIDAD ORGANIZACIONAL U OPERACIONAL

La seguridad organizacional u operacional integra la seguridad fsica 10 y lgica11 y

responsabiliza a los altos mandos de generar: aquellas medidas destinadas a

establecer procedimientos, normas, reglas y estndares de seguridad, que gestionen y

administren la integridad, confidencialidad y seguridad de los datos almacenados en

programas y sistemas informticos, que se encuentran situados fsicamente en un

determinado local o centro.12

Esta seguridad estar enfocada hacia la operatividad de la empresa y los planes de

accin que tenga para enfrentarse a las diferentes situaciones que se le presenten,

contemplando todas las medidas necesarias que se deben tomar para proteger la

informacin, dados diferentes panoramas de riesgos, entre los cuales se incluyen,

desastres naturales, desastres causados por el hombre, medidas para la conservacin

de la integridad fsica y operativa de los equipos, niveles de acceso a la informacin y

fallas humanas.

Desastre natural: Ocurrencia de un fenmeno natural en un espacio y tiempo

limitados que causa trastornos en los patrones normales de vida y ocasiona

prdidas humanas, materiales y econmicas debido a su impacto sobre poblaciones,

propiedades, instalaciones y ambiente.

Desastre causado por el hombre: involucra las acciones provocadas por el

hombre con el fin de causar daos, entre estas encontramos: Atentados terroristas,

Incendios

Conservacin de la integridad fsica: la seguridad organizacional debe dirigir sus

esfuerzos a que los equipos estn restringidos fsicamente a personas ajenas a un

equipo determinado y adems que estos no se encuentren expuestos a materiales o

substancias que pueda degenerar el equipo afectando la informacin en l

Conservacin de la operatividad de los equipos: esta rea involucra el uso de

medidas de proteccin existentes para evitar la intromisin de personas abusivas a

10

Seguridad fsica: aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial 11 aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo 12 Tomado de : http://www.microsoft.com/business/smb/es-es/guia_lopd/medidas_seguridad.mspx

14

la informacin de la empresa, tales como antivirus, y cortafuegos, este ltimo, es un

sistema diseado para prevenir acceso no autorizado hacia o desde una red privada

Niveles de acceso a la informacin: Restringe el acceso a los equipos que no

corresponden al rea de trabajo del personal.

Fallas humanas: Se relacionan con la debilidad del ser humano quien en ltimas es

el encargado de llevar a cabo los mtodos que garanticen la seguridad de la

informacin, para que esto se gestione de forma correcta deben existir

capacitaciones adecuadas que conciencien al empleado en la importancia de la

seguridad en su rea.

6. AMENAZAS

6.1. AMENAZAS A LA SEGURIDAD EN EL ENTORNO DEL COMERCIO

ELECTRNICO

De acuerdo Puentes13 y complementado por Laudon14, se identifican las siguientes

como las amenazas clave a la seguridad en el entorno del comercio electrnico.

Cdigo malicioso: los virus, gusanos, caballos de Troya y redes de bots son una

amenaza para la integridad del sistema y su operacin continua, que a menudo

cambian la forma de funcionar de un sistema, o alteran los documentos creados en

este.

Programas indeseables (adware, malware, spyware, etc.): un tipo de amenaza de

seguridad que surge cuando los programas se instalan de manera clandestina en la

computadora o en la computadora de red.

Suplantacin de identidad (phishing): cualquier intento en lnea engaoso por parte

de un tercero para obtener informacin confidencial parra una ganancia financiera.

13

Puentes Calvo, Juan Francisco. Principios de seguridad en el comercio electrnico. Alfaomega, Mxico. 2009. 14 Laudon, Kenneth y Guercio Traver, Carol. E-commerce. Negocios, tecnologa, sociedad. Cuarta edicin. Pearson educacin.

Mxico. 2009. Pg. 323.

15

Piratera informtica y ciberbandalismo: trastornar, desfigurar o incluso destruir un

sitio de manera intencional.

Fraude/ robo de tarjeta de crdito: una de las ocurrencias ms temidas y una de las

principales razones por las que no hay ms consumidores que participen en el comercio

electrnico. La causa ms comn de fraude de tarjeta de crdito es una tarjeta perdida

o robada que alguien ms utiliza, seguida de la situacin en la que un empleado roba

nmeros de clientes y la falsificacin de identidades (delincuentes que solicitan tarjetas

de crdito utilizando identidades falsas).

Falsificacin (spoofing): ocurre cuando los hackers intentan ocultar sus verdaderas

identidades o presentarse utilizando direcciones de correo falsas, o bien hacindose

pasar por alguien ms. La falsificacin puede implicar redirigir un vnculo web a una

direccin distinta de la original, donde el sitio se enmascara como si fuera el destino

original.

Ataques de Denegacin de servicio: los hackers inundan un sitio Web con trfico

intil para inundar y sobresaturar la red, lo que con frecuencia hace que se cierre y

dae la reputacin de un sitio, adems de sus relaciones con los clientes.

Husmeo: un tipo de programa para escuchar de manera clandestina, que monitorea la

informacin que viaja a travs de una red y permite a los hackers robar informacin

propietaria de cualquier parte en una red, incluyendo los mensajes de correo

electrnico, los archivos de una empresa y los informes confidenciales. La amenaza del

husmeo es que la informacin confidencial o personal se har pblica.

Trabajos internos: aunque la gran mayora de los esfuerzos de seguridad en internet

se enfocan en mantener a los individuos externos alejados, la mayor amenaza proviene

de los empleados que tienen acceso a informacin y procedimientos delicados.

Software de servidor y cliente mal diseado: el aumento en la complejidad y el

tamao de los programas de software ha contribuido con un aumento en las fallas o

vulnerabilidades del software, debilidades que los hackers pueden explotar.

Ingeniera social: La ingeniera social consiste en la manipulacin de las personas

para que voluntariamente realicen actos que normalmente no haran. 15 Es una

disciplina que consiste, ni ms ni menos en sacar informacin a otra persona sin que

15 Tomado de: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/V_Jornada_de_Seguridad/IngenieraSocial_CarlosBiscione.pdf

16

esta s de cuenta de que te esta revelando "informacin sensible".

Hoy en da slo son necesarias las malas intenciones y una conexin a Internet para

sembrar el caos.16

Ataques por fuerza bruta: estos consisten en generar e ir probando con todas las

combinaciones de caracteres posibles hasta dar con la contrasea. Sin embargo

muchos sistemas (no todos) niegan el acceso despus de un determinado nmero de

fallas

16 Tomado de: http://www.zonavirus.com/articulos/ingenieria-social.asp

17

7. PAUTAS DE PROTECCIN PARA LAS DIFERENTES

AMENAZAS

Las diferentes amenazas se pueden clasificar en tres categoras, amenazas hacia las

instalaciones, amenazas hacia el sistema y amenazas hacia el humano, en otras

palabras hay riegos previstos para debilitar las herramientas tecnolgicas y otros que

buscan penetrar las barreras del sistema a travs de la falencia de conocimientos por

parte de los empleados.

A continuacin se detallan las buenas prcticas asociadas al comercio electrnico que

deben tener en cuenta los pequeos y medianos empresarios, en las polticas

organizacionales con el fin de asegurar la continuidad de su negocio, y mejorar la

imagen positiva ante sus clientes.

Tabla 2. Resumen Buenas Practicas

AMENAZAS AL COMERCIO

ELECTRONICO HERRAMIENTAS DE DEFENSA SEGURIDAD INFORMATICA

REA

TCNICA

Cdigo malicioso Buenas prcticas para el uso de Internet

programas indeseables

Husmeo

Buenas prcticas de seguridad en las comunicaciones

Buenas prcticas para la proteccin de datos personales

Ataques de denegacin

del servicio

Buenas prcticas aplicables al portal web de comercio

electrnico.

Piratera informtica y

ciberbandalismo

Buenas practicas aplicables al portal web de comercio

electrnico

Buenas practicas aplicables a la seguridad fsica y lgica

Ataques por fuerza bruta


electrnico.

Buenas prcticas para el uso de internet

Software de servidor y

cliente mal diseado


electrnico.

18

REA

HUMANA

Fraude/Robo de tarjeta

de crdito


electrnico.

Suplantacin de identidad

(phishing) Buenas prcticas en la contratacin, y capacitacin del

personal

Falsificacin (spoofing)

Ingeniera social

Trabajos internos

Buenas prcticas en la contratacin, y capacitacin del

personal

Buenas practicas asociadas para la proteccin de datos

personales

AREA

FISICA

Desastres causados por la

naturaleza o por el

humano

Buenas prcticas para la prevencin y atencin de desastres

Mal manejo de los

equipos

Buenas prcticas para la contratacin y capacitacin del

personal

Fuente: Autores

De acuerdo a la tabla anterior este manual de seguridad informtica se concentra en

formular unos lineamientos de seguridad a nivel organizacional abordando para esto los

siguientes captulos:

Buenas prcticas para la prevencin y atencin de desastres

Buenas prcticas en la contratacin, y capacitacin del personal

Buenas prcticas para el uso de Internet

Buenas practicas aplicables a la seguridad fsica y lgica

Buenas prcticas aplicables al portal web de comercio electrnico.

Buenas prcticas de seguridad en las comunicaciones

Buenas prcticas para la proteccin de datos personales

Buenas prcticas en la contratacin por medios electrnicos

19

7.1. BUENAS PRCTICAS PARA PREVENCIN Y ATENCIN DE

DESASTRES (NATURALES Y CAUSADOS POR EL HOMBRE)

Teniendo en cuenta que el desarrollo de las actividades comerciales en la actualidad se

encuentra inmerso en el entorno tecnolgico, es importante para el desarrollo normal

de las actividades empresariales que, la empresa est preparada para afrontar

cualquier evento inesperado y fortuito, ya sea natural o causado por el hombre, en el

cual la perdida de activos tangibles e intangibles sea mnima.

7.1.1. CONTINUIDAD DEL NEGOCIO ANTE FALLAS, SINIESTROS O

DESASTRES

Las empresas estn continuamente sometidas a diferentes riesgos pero estos no

implican la merma del negocio por tanto las pequeas y medianas empresas deben

considerar tener un plan donde se estipulen los diferentes riesgos a los cuales son

susceptibles y acorde a esto genere polticas que permitan la continuidad del negocio.

Para que la empresa pueda recuperar la informacin sin importar la falla, siniestro o

desastre ocurrido debe contar con un plan de recuperacin 17 , a continuacin se

presenta un panorama de los posibles riesgos, y seguidamente enunciamos un ejemplo

de un plan de recuperacin.

PANORAMA DE RIESGOS ASOCIADO A LAS FALLAS, SINIESTROS O

DESASTRES, NATURALES O CAUSADOS POR EL HOMBRE

El empresario debe considerar el impacto que tienen en la continuidad del negocio, los

daos originados por fallas, siniestros o desastres. Para aminorar este efecto negativo

se recomienda que el empresario plantee un panorama de riesgos enfocado a

desarrollar un plan de recuperacin ante desastres.

En la tabla 3 se muestran los riesgos ms comunes a los que estn expuestos las

pymes Bogotanas y algunos consejos bsicos de seguridad fsica aplicables a estos

riesgos.

17 Adaptacin de los autores del manual para plan de contingencia de las aulas informticas, del Ministerio de Educacin del Gobierno del Salvador-MINED. Versin 1.0 febrero de 2006.

20

Tabla 3. Consejos de seguridad de acuerdo a las fallas, siniestros o desastres naturales o causados por el hombre

FALLAS,

SINIESTROS

DESASTRES DEFINICION ALGUNOS CONSEJOS DE SEGURIDAD FISICA

FUEGO

El fuego es un problema crtico en un centro de cmputo por varias razones:

primero, porque el centro est lleno de material Combustible como papel,

cajas, etc. El hardware y el cableado estructurado pueden ser tambin fuente

de serios incendios.

Desgraciadamente los sistemas anti fuego dejan mucho que desear,

causando casi igual dao que el propio fuego, sobre todo a los elementos

electrnicos. El dixido de carbono, actual alternativa del agua, resulta

peligroso para los propios empleados si quedan atrapados en el lugar.

El fuego es considerado el principal enemigo del Hardware, ya que puede

destruir fcilmente los archivos y programas

1. El rea en la que se encuentran las computadoras debe estar en un local que

no sea combustible o inflamable.

2. El local no debe situarse encima, debajo o adyacente a reas donde se

procesen, fabriquen o almacenen materiales inflamables, explosivos, gases

txicos o sustancias radioactivas.

3. Las paredes deben hacerse de materiales incombustibles y extenderse desde

el suelo al techo.

4. Debe construirse un "falso piso" instalado sobre el piso real, con materiales

incombustibles y resistentes al fuego.

5. No debe estar permitido fumar en el rea de proceso.

6. Deben emplearse muebles incombustibles, y cestos metlicos para papeles.

7. Deben evitarse los materiales plsticos e inflamables.

8. El piso y el techo en el recinto del centro de cmputo y de almacenamiento de

los medios magnticos deben ser impermeables.

AGUA

Las afecciones pueden ocurrir como resultados de goteos del techo, goteos

de tuberas de techo o por el aire acondicionado. Se recomienda que el

personal tenga un plan para proteger el equipo, as como los muebles y

equipo perifrico contra agua.

1, los equipos deben ubicarse en lugares donde no hayan fuentes de agua.

2. cerrar las ventanas cuando este lloviendo si el equipo est cerca de una

ventana.

3. si hay riesgo de inundacin ubicar los equipos en superficies a una altura ms

alta del nivel del piso.

4. proteger las conexiones elctricas

TERREMOTOS

Los terremotos pueden desarrollarse en cualquier momento, por lo que es de

suma importancia incluir en el plan de emergencia de la empresa el plan a

utilizar en el centro de cmputo, dando prioridad a salvaguardar la vida de

los miembros de la empresa

1, Almacenar las copias de seguridad en un lugar que no est sometido a los

mismos riesgos de la empresa.

2. Tener asegurados los equipos y la maquinaria productiva ante desastres.

21

FALLAS

ELECTRICAS

Para que funcionen adecuadamente, las computadoras personales necesitan

de una fuente de alimentacin elctrica fiable, es decir, una que se

mantenga dentro de parmetros especficos. Si se interrumpe

inesperadamente la alimentacin elctrica o vara en forma significativa,

fuera de los valores normales, las consecuencias pueden ser serias. Pueden

perderse o daarse los datos que hay en memoria, se puede daar el

hardware, interrumpirse las operaciones activas y la informacin podra

quedar temporal o definitivamente inaccesible.

1. Conectar los equipos a UPS (Sistema Ininterrumpible de Poder)

2. Controlar el uso de extensiones elctricas y su ubicacin para evitar que una

persona desprevenida pueda desocupar un equipo, y el uso continuo de las

extensiones puede generar sobrecargas elctricas generando cortos circuitos

3. Plantas elctricas de emergencia

FALLAS

HUMANAS

Son aquellos incidentes de seguridad provocadas por las personas, voluntaria

e involuntariamente que ponen en riesgo la seguridad del sistema, entre

estas se encuentran la instalacin de software, descarga de archivos por

correo electrnico, abusos de confianza, dao, alteracin, robo o prdida de

la informacin, por otro lado el desconocimiento del alcance de la difusin

de la informacin confidencial, la difusin de usuarios y claves asociadas,

etc., como ejemplo podemos citar: en las empresas se encuentra un

intercambio constante de claves, al punto de que en muchas empresas con

administracin delegada se podra llegar a obtener con dos o tres claves

dichas en voz alta, permisos de administrador total

Ante las fallas humanas la mejor herramienta es la capacitacin en aspectos

como:

1. Amenazas virtuales, virus, gusanos, bots, etc.

2. Polticas de confidencialidad

3. Amenazas de ingeniera social

ROBO El robo, es un delito contra el patrimonio, consistente en el apoderamiento

de bienes ajenos, con intencin de lucrarse, empleando para ello fuerza en

las cosas o bien violencia o intimidacin en la persona.

Se recomienda tener asegurados los equipos

Si las copias de seguridad son fsicas, como CDS, Discos Duros, Usb,s, entre

otras, estas deben guardarse en un recinto diferente al de los equipos para que

no estn sometidas a los mismos riesgos, como robo, incendios, terremotos, etc.

Fuente: Autores

22

PLAN DE RECUPERACIN

Es importante definir los procedimientos y planes de accin para el caso de una posible

falla, siniestro o desastre en el la pequea o mediana empresa.

Cuando ocurra un evento que afecte la seguridad, es esencial que se conozca en

profundidad el motivo que lo origin y el dao producido, lo que permitir recuperar en

el menor tiempo posible el proceso perdido.

Las actividades a realizar en un Plan de Recuperacin se pueden clasificar en tres

etapas:

Actividades Previas a la falla o desastre.

Actividades Durante la falla o Desastre.

Actividades Despus de la falla o Desastre.

Actividades Previas al Desastre

Son todas las actividades de planeacin, preparacin, entrenamiento y ejecucin de

las actividades que buscan resguardar activos de la pequea y mediana empresa, que

le aseguren un proceso de Recuperacin eficiente y con el menor costo posible

Establecimiento procedimientos del Plan de Accin

a) Equipos de Cmputo.

Es necesario realizar un inventario actualizado de los equipos, especificando su

contenido (software y licencias que usa)

b) Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS).

Se deber establecer los procedimientos para la obtencin de copias de

Seguridad de todos los elementos de software necesarios para asegurar la

correcta ejecucin del Software y/o Sistemas operativos que posee la empresa.

Para lo cual se debe contar con:

23

Backups 18del Sistema Operativo (en caso de tener varios Sistemas Operativos

o versiones, se contar con una copia de cada uno de ellos).

Backups del Software Base: consiste en programas informticos que sirven para

controlar e interactuar con el sistema operativo, proporcionando control sobre

el hardware y dando soporte a otros programas

Backups de los Datos (Bases de Datos, passwords, y todo archivo necesario

para el funcionamiento normal de la empresa).

c) Polticas (Normas y Procedimientos de Backups)

Se deben establecer procedimientos, normas, y determinacin de

responsabilidades, debindose incluir:

Periodicidad de cada Tipo de Backup

Uso obligatorio de un formulario estndar para el registro y control de los

Backups

Almacenamiento de los Backups en condiciones ambientales ptimas,

dependiendo del medio magntico empleado.

Almacenamiento de los Backups en un lugar donde no estn sometidos a los

mismos riesgos ocasionados por los desastres (se recomienda un lugar diferente

al centro de operaciones, y discos duros virtuales).

Reemplazo de los Backups, en forma peridica, antes que el medio magntico

de Soporte se pueda deteriorar (reciclaje o refresco).

Pruebas peridicas de los Backups (Restore), verificando su funcionalidad.

ACTIVIDADES DURANTE EL DESASTRE

Una vez presentada la Falla o Siniestro, se deber ejecutar las siguientes actividades,

planificadas previamente:

Plan de Emergencias

En este plan se establecen las acciones se deben realizar cuando se presente un

Siniestro, as como la difusin de las mismas.

18

Backup, es la traduccin al ingles de copia de seguridad

24

Es conveniente prever los posibles escenarios de ocurrencia del Siniestro:

Durante el da.

Durante la Noche o madrugada.

Este plan deber incluir la participacin y actividades a realizar por todas y cada una de

las personas que se pueden encontrar presentes en el rea donde ocurre el siniestro,

debiendo detallar:

Vas de salida o escape.

Plan de Evacuacin del Personal

Ubicacin y sealizacin de los elementos contra el siniestro si los hubiere

(extintores, cobertores contra agua, etc.)

Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de

Iluminacin (linternas), lista de telfonos de Bomberos / Ambulancia, Jefatura

de Seguridad y de personal nombrado para operar en estos casos.

Entrenamiento

Establecer un programa de prcticas peridicas de todo el personal en la lucha contra

los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en

los planes de evacuacin del personal, para minimizar costos se puede aprovechar

fechas de recarga de extintores, charlas de los proveedores, etc.

Un aspecto importante es que el personal tome conciencia de que los siniestros

(incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y

tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es

conveniente el compromiso de los directivos, dando el ejemplo de la importancia que

la direccin otorga a la Seguridad.

25

ACTIVIDADES DESPUS DEL DESASTRE O FALLA

Despus de ocurrido la falla, Siniestro o Desastre es necesario realizar las actividades

que se detallan, las cuales deben estar especificadas en el Plan de Accin:

Evaluacin de Daos.

Ejecucin de Actividades.

Evaluacin de Resultados.

Retroalimentacin del Plan de Accin.

7.1.1.1.1. Evaluacin de Daos.

Inmediatamente despus que la falla, siniestro o desastre ha concluido, se deber

evaluar la magnitud del dao que se ha producido, que equipos han quedado o no

operativos, cuales se pueden recuperar, y en cuanto tiempo, etc.

Ejecucin de Actividades.

Los trabajos de recuperacin usaran los recursos de la empresa con el fin de restaurar

sus actividades normales.

Para esto la empresa debera plantearse escenarios pesimistas y optimistas en cuanto

a la continuidad del negocio una vez sucedida una falla, siniestro o desastre y de

acuerdo a esto generar procedimientos para la recuperacin de desastres.

Evaluacin de Resultados.

Una vez concluidas las labores de Recuperacin del equipo que fue afectado, se debe

de evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron,

que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las

actividades del plan de accin, como se comportaron los equipos de trabajo, etc.

De la evaluacin de resultados, los encargados deben realizar dos tipos de

recomendaciones, una que es la retroalimentacin del plan de Contingencias para su

26

organizacin y otra una lista de recomendaciones para minimizar los riesgos y prdida

que ocasionaron el siniestro o la falla.

Retroalimentacin del Plan de Accin.

Con la evaluacin de resultados, se debe optimizar el plan de accin original,

mejorando las actividades que tuvieron algn tipo de dificultad y reforzando los

elementos que funcionaron adecuadamente

27

7.2. BUENAS PRACTICAS APLICABLES A SEGURIDAD FISICA Y LOGICA

7.2.1. BARRERAS FSICAS Y LGICAS PARA GARANTIZAR LA INTEGRIDAD

DE LA INFORMACIN

Las organizaciones deben plantearse procedimientos, destinados a proteger el acceso

a los archivos almacenados en los equipos, cubriendo las necesidades y riesgos tanto

remotos como internos, esto con el fin de que personas inescrupulosas tengan acceso

a informacin confidencial que afecte directamente el desarrollo y crecimiento de la

empresa, como quienes son sus clientes permanentes, cual es el nivel de sus compras,

sus datos de contacto, entre otras, informacin que puede ser muy til a empresas

competidoras.

NIVEL EXTERNO

Con el propsito de enfrentar eficazmente los intentos de acceder a la informacin

mediante equipos remotos, cuyo objetivos pueden ser: husmear, denegar el servicio,

modificar la informacin, instalar virus, entre otros, la empresa debe contar con

lineamientos de seguridad que incluyan la seguridad perimetral 19 (Agregado de

hardware, software y polticas para proteger una red en la que se tiene confianza

(intranet) de otras redes en las que no se tiene confianza (extranets, Internet))

NIVEL INTERNO

Con el fin de proteger la operatividad y la integridad fsica( incluyendo la informacin

almacenada en los equipos), estos no deben disponerse al alcance de personas

ajenas al desarrollo de la organizacin, y en un sentido ms estricto no deben ser

manipulados por personal no autorizado o asignado al equipo, para esto el centro de

cmputo debe contar con barreras de acceso a los equipos, pero si las barreras fsicas

19 Tomado de: http://www-gris.det.uvigo.es/wiki/pub/Main/PaginaNST/SEC_III_NST.pdf

28

son traspasadas deben existir medidas de contingencia20 que atenen y contribuyan a

disminuir el impacto del ataque entre las cuales se encuentran, las claves de usuario y

asociadas a estas una identificacin de usuario que permita conocer quin y de qu

forma ha utilizado la informacin almacenada.

7.2.2. ALTERNATIVAS DE SOLUCIN

A continuacin se detallan unas medidas de seguridad bsicas a nivel externo e interno

de la empresa debe considerar en su plan de seguridad, adems de esto si el plan de

seguridad falla, debe existir un plan de respuesta y recuperacin ante incidentes de

seguridad.

NIVEL EXTERNO

Proteccin y prevencin en seguridad fsica

Solicitar identificacin de los empleados en el momento de ingresar a la

empresa.

Realizar un registro de los visitantes

Reportar evento debilidades de seguridad fsica

Proteccin y prevencin en seguridad lgica

Instalar un firewall para bloquear el acceso no autorizado pero permitiendo las

comunicaciones que si estn permitidas.

Seleccionar programas antivirus y anti espas adecuados para las necesidades

de las empresas

Tener planes de contingencia que filtren y desven el spam, para que no se

congestione el sitio web de la empresa.

Reportar evento debilidades de seguridad lgica

Reportar eventos en la seguridad de la informacin

20 Para entidades que requieren confidencialidad y control de la informacin, las medidas a tomar incluyen ingresos por controles biomtricos, como huellas dactilar, identificador de voz, iris, etc.

29

Bloquear el acceso a los sitios donde se comparte informacin con los clientes y

proveedores, al (n) intento fallido y generar procedimientos de verificacin de

usuario, tal como autenticacin por correo electrnico, celular, llamada

telefnica, entre otras. (se recomienda n=

30

Proteccin y prevencin en seguridad lgica

Adquirir medios informticos acorde con las necesidades de la empresa

Restringir la instalacin de software, solicitando para la instalacin claves de

administrador

Chequear las aplicaciones regularmente para el cumplimiento con los

estndares de seguridad

Delimitar bien las funciones de los empleados para poder limitar el acceso a la

informacin a solo aquella que necesiten para su trabajo

Generar un registro de fallas bien sea humanas o tcnicas que se produzcan en

la empresa

Crear y manejar las bases de datos

Asignar responsabilidades y responsables de la seguridad de la informacin

Utilizar medidas que impidan cambiar la configuracin del equipo, o intenten

solucionar posibles problemas de funcionamiento. En dicho caso, se deber

comunicar inmediatamente a la persona encargada del mantenimiento de los

equipos.

Bloquear el acceso a los equipos al (n) intento fallido y generar procedimientos

de verificacin de usuario, tal como autenticacin por correo electrnico, celular,

llamada telefnica, entre otras.

En la figura No. 1 se muestra como al armonizar las diferentes medidas de

seguridad fsica con las de seguridad lgica, unido a la capacitacin en las dos

reas, esta estrategia de defensa logra dificultar el acceso a la informacin por

parte de personal no autorizado.

31

Figura No. 1. Representacin grafica del funcionamiento de las alternativas de

solucin

Fuente: Autores

Estructura de un plan de respuesta y recuperacin ante incidentes de seguridad.

A continuacin se muestra el orden lgico para llevar a cabo un plan de respuesta y

recuperacin ante incidentes de seguridad,

32

Figura No. 2. Estructura plan de contingencias y recuperacin ante incidentes de

seguridad.

Fuente: Autores

Actividades despus de la falla o desastre

Evaluacin de los daos

Identificacion de falencia que permitio la falla o desatre

Efectuar las actividades del plan de recuperacin

Mejorar el plan de seguridad y retroalimentar los planes de ocntingencia y recuperacion

Actividades durante la falla o desastre

Identificar la falla o desastre Aplicar la contingencia para contener el

dao de la falla o desastre

Actividades previas a la falla o desastre

Elaborar Panorama de riesgos

Entrenamiento

Generar plan de contingencias y de recuperacin

33

7.3. BUENAS PRACTICAS EN LA CONTRATACIN, Y CAPACITACIN

DEL PERSONAL

Las personas constituyen uno de los problemas ms importantes de seguridad para

cualquier organizacin porque a diferencia de los componentes tecnolgicos, son el

nico elemento, dentro de un entorno seguro, con la capacidad de decidir romper las

reglas establecidas en las polticas de seguridad de la informacin. La nica manera de

hacer frente a los mtodos de ingeniera social es la capacitacin, y esta debe incluir

los mtodos de engao ms empleados por los atacantes, para que logren

identificarlos y dar aviso de cualquier anomala que se produzca en el equipo o en

determinado ambiente.22

De acuerdo a la premisa anterior se tiene que una organizacin puede tener el mejor

sistema de seguridad para resguardar su informacin, pero slo basta contactar a un

empleado desprevenido para poder ingresar al corazn de ella. Por ende, cada

persona puede transformarse, sin querer, en una puerta de entrada para los

ciberdelincuentes23.

7.3.1. AMENAZAS QUE SE ORIGINAN EN EL PERSONAL

Estas amenazas derivan de acciones realizadas por el personal en forma deliberada,

por desconocimiento, o accidentalmente, cuyo resultado es revelar vulnerabilidades

en la seguridad fsica o lgica a intrusos.

Una de las ms usuales es la ingeniera social, que puede utilizar mtodos como la

suplantacin de identidad de un amigo, o un jefe con el fin de obtener claves y usuarios

de ingreso (phishing), para acceder a la informacin, o ganarse la simpata de un

empleado de la organizacin para que le permita el ingreso a las instalaciones

especficamente al centro de cmputo.

22 Tomado de: https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf 23 Palabras de Edgar Rojas, gerente general de la consultora The Muro Group, para el artculo The Muro Group advierte a empresas sobre los peligros de la ingeniera social consultado en: http://www.ebanking.cl/seguridad/muro-group-advierte-empresas-sobre-los-peligros-ingenieria-social-003854 . 18-10-2011

34

Como ya se ha mencionado el acceso a la informacin por intrusos, permite a estos

alterar los datos, daarlos, venderlos, publicarlos, entre otras.

A nivel fsico el intruso puede deliberadamente ingresar al sistema, daar los equipos,

provocar cortos circuitos, incendios, robar los equipos, bloquearlos entre otras

actividades, con lo cual podra afectar la disponibilidad del sitio web, y representa una

amenaza a la integridad de la informacin.

Para esto sealamos unas pautas a nivel de vinculacin de personal y capacitacin,

que buscan generar conciencia en el empleado de la importancia de salvaguardar la

integridad y operatividad de la informacin y los equipos a l confiados.

7.3.2. ALTERNATIVAS DE SOLUCION

7.3.2.1. Seguridad frente al personal

La poltica de seguridad del sistema informtico frente al personal de la organizacin

requiere contemplar los siguientes aspectos. 24

Alta de empleados

El procedimiento de alta de nuevos empleados requiere prestar atencin a aspectos

como el adecuado chequeo de referencias y la incorporacin de determinadas

clusulas de confidencialidad en los contratos, sobre todo si la persona en cuestin va

a tener acceso a datos sensibles y/o va a manejar aplicaciones crticas dentro del

sistema informtico.

Asimismo, es necesario definir claramente el procedimiento seguido para la creacin de

nuevas cuentas de usuarios dentro del sistema, as como para la posterior asignacin

de permisos en funcin de las atribuciones y reas de responsabilidad de cada

empleado.

24 Gmez Vieities, Alvaro. ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA alfaomega. Mxico. 2007. Pg. 39.

35

Por ltimo, no se debera descuidar una adecuada formacin de estos nuevos

empleados, trasladando claramente cules son sus obligaciones y responsabilidades

en relacin con la seguridad de los datos y las aplicaciones del sistema informtico de

la organizacin.

Baja de empleados:

El procedimiento de actuacin ante una baja de un empleado tambin debera quedar

claramente definido, de tal modo que los responsables del sistema informtico puedan

proceder a la cancelacin o bloqueo inmediato de las cuentas de usuario y a la

revocacin de los permisos y privilegios que tenan concedidos.

As mismo, este procedimiento debe contemplar la devolucin de los equipos, tarjetas

de acceso y otros dispositivos en poder de los empleados que causan baja en la

organizacin.

Funciones, obligaciones y derechos de los usuarios:

La organizacin debe definir con claridad cules son los distintos niveles de acceso a

los servicios y recursos de su sistema informtico.

De este modo, en funcin de las distintas atribuciones de los usuarios y del personal de

la organizacin, se tendr que establecer quien est autorizado para realizar una serie

de actividades y operaciones dentro del sistema informtico; a que datos, aplicaciones

y servicios puede acceder cada usuario; desde que equipos o instalaciones podr

acceder al sistema y en que intervalo temporal (da de la semana y horario).

Formacin y sensibilizacin de los usuarios

La organizacin deber informar puntualmente a sus empleados con acceso al sistema

de informacin de cules son sus obligaciones en materia de seguridad. Asimismo,

debera llevar a cabo acciones de formacin de forma peridica para mejorar los

conocimientos informticos y en materia de seguridad de estos empleados,

Las personas que se incorporen a la organizacin tendrn que ser informadas y

entrenadas de forma adecuada, sobre todo en las reas de trabajo con acceso a datos

sensibles y aplicaciones importantes para el funcionamiento de la organizacin.

36

7.3.3. VINCULACIN DEL PERSONAL

Para prevenir que personal mal intencionado se vincule a la organizacin se

recomienda:

Antes de realizar la vinculacin de personal nuevo se deben conocer sus

antecedentes, referencias personales y laborales, con el fin de determinar que

no genera una amenaza para la empresa.

El contrato de vinculacin debe incluir clusulas de confidencialidad asociadas a

la proteccin de la informacin y a los delitos contenidos en la ley 1273 de 2009

que apliquen a la empresa.

La empresa debe asignar un usuario al nuevo personal junto con una contrasea

que el usuario pueda cambiar.

Delimitar y estratificar la informacin de acuerdo a la informacin requerida para

las actividades del cargo.

Si es posible se asignara un equipo al nuevo personal, con el fin de conocer los

usos que le da a los recursos de la empresa.

Si es posible asignacin de una cuenta de correo electrnico empresarial, que

le permita al empresario filtrar la informacin que pueden compartir sus

empleados, como se mencion anteriormente la informacin confidencial de la

empresa es un activo valioso para los competidores.

El contrato de vinculacin debe informar en qu condiciones se auditara el

correo electrnico institucional del empleado.

Informar a los empleado que el acceso a internet solo estar disponible a fines

profesionales

Notificar los derechos, responsabilidades y deberes que asumen en cada cargo

en cuanto a la seguridad del equipo y la informacin contenida en este.

7.3.4. CAPACITACIN

37

Gmez 25presenta una relacin de los temas a incluir en la formacin bsica sobre

seguridad informtica para los empleados de la organizacin:

Utilizacin segura de las aplicaciones corporativas

Utilizacin segura de los servicios que hayan sido autorizados de internet:

o Navegacin por pginas Web evitando engaos y posibles contenidos

dainos

o Utilizacin de la firma electrnica y la criptografa en el correo electrnico

para garantizar la autenticidad, integridad y confidencialidad de los

mensajes sensibles

o Como llevar a cabo transacciones en servidores seguros; etctera.

Como evitar la entrada de virus y otros cdigos dainos:

o Reconocimiento de mensajes falsos o con ficheros adjuntos sospechosos

o Proteccin a la hora de instalar herramientas o acceder a determinados

servicios de internet, etctera.

Reconocer las tcnicas ms frecuentes de ingeniera social, para evitar ser

vctimas de este tipo de engaos

Conocimiento de sus obligaciones y responsabilidades derivadas del actual

marco normativo.

Como gestionar los soportes informticos, los equipos y los dispositivos

porttiles.

Como reaccionar ante determinados incidentes que puedan comprometer la

seguridad de la informacin o el acceso a los recursos del sistema.

A las propuestas por Gmez, se sugiere considerar las siguientes

Promover capacitaciones que faculten al empleado para identificar e informar,

las amenazas hacia el comercio electrnico y los riesgos de seguridad fsica y

lgica, que puedan afectar el buen funcionamiento de la empresa.

Informar al empleado sobre el nivel de auditoria de los recursos informticos, es

decir el empresario podr conocer que sitios web ha visitado determinado

usuario, el tiempo de permanencia. Y en base a esto estipular llamados de

atencin, que orienten a hacer un manejo ms eficiente de los recursos.

Generar capacitaciones que impulsen la conservacin de los equipos.


38

Familiarizar e informar al personal los procedimientos asociados al movimiento

de equipos interna y externamente en la organizacin.

Adiestrar a los usuarios para jams publicar cuentas de correo en reas pblicas

que permitan sean cosechadas por software para este fin.

Adiestrar al usuario para evitar proporcionar cuentas de correo electrnico y

otros datos personales a personas o entidades que puedan utilizar estos con

otros fines.

Evitar publicar direcciones de correo electrnico en formularios destinados a

recabar datos de los clientes utilizando formularios que oculten la direccin de

correo electrnico.

Adiestrar al usuario a utilizar claves de acceso ms complejas.

Adiestrar al usuario para jams responder a un mensaje de spam.

Adiestrar al usuario a no hacer clic en los enlaces en los mensajes de spam y

que pueden ser utilizados para confirmar al spammer que se trata de una cuenta

de correo activa.

Informar al personal que slo se utilizarn las herramientas corporativas,

quedando prohibida la instalacin de cualquier software en las computadoras de

la empresa que no haya sido expresamente autorizado.

La asistencia a estas capacitaciones debe registrarse y el empleado debe firmar como

constancia de que ha sido instruido en los riesgos, amenazas y el compromiso a

reportar los incidentes.

Estas acciones de formacin se podran completar con la elaboracin de un manual bsico para los usuarios del sistema informtico, que incluya las principales recomendaciones de la empresa y recuerde cuales son las obligaciones y responsabilidades de los usuarios, as como los lmites establecidos por la organizaciones en el uso de los servicios de internet26.

En definitiva, los usuarios finales deberan ser conscientes de los retos para la organizacin si no cumplen con las medidas bsicas de seguridad en la utilizacin de los servicios informticos y de su red de ordenadores. A su vez, los directivos deberan ser conscientes de la necesidad de destinar recursos y de contemplar la seguridad de la informacin en todos los proyectos que se encuentren bajo su responsabilidad y supervisin directa.27

26 Gmez Vieities, Alvaro. ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA alfaomega. Mxico. 2007. Pg. 89. 27 Gmez Vieities, Alvaro. ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA alfaomega. Mxico. 2007. Pg. 90.

39

7.4. BUENAS PRCTICAS PARA EL USO DE INTERNET

En este apartado hemos incluido el buen manejo que se debe promover en la

organizacin del acceso a internet. Dado que aunque este hace posible el comercio

electrnico y los procesos asociados a el tambin facilita el acceso a programas que

pueden afectar los equipos.

7.4.1. EL USO DE LOS SERVICIOS DE INTERNET EN EL TRABAJO

La implantacin de la conexin a internet en las organizaciones est planteando

nuevos problemas que afectan a las actividades cotidianas de los empleados en sus

puestos de trabajo, entre los que cabra destacar28:

La limitacin de los servicios de internet y del correo electrnico en la empresa

para usos exclusivamente profesionales.

La posibilidad de que el empresario o directivo pueda abrir el correo electrnico

de un empleado.

El acceso al ordenador de un trabajador y a sus archivos y carpetas

informticas.

La potestad para controlar el uso que los empleados hacen de los servicios y la

conexin a internet.

La capacidad de los representantes sindicales para utilizar el correo electrnico

para sus comunicaciones con los empleados

Abusar del acceso a internet y del correo electrnico desde el lugar del trabajo para

fines distintos de los estrictamente profesionales puede tener consecuencias graves

para los trabajadores. Esa es la tendencia de las ltimas sentencias dadas a conocer

en Espaa, que consideraron procedente el despido de trabajadores que abusaron del

uso de internet en sus empresas (por ejemplo, por la consulta reiterada a sitios de ocio

en internet durante la jornada de trabajo y utilizando el ordenador de la empresa).


40

7.4.2. AMENAZAS QUE AFECTAN A LOS USUARIOS DE INTERNET

Una de las principales amenazas es el uso desmesurado e inconsciente de internet.

Aunque es la herramienta que facilita el comercio electrnico, tiene riesgos implcitos

esto se debe a que internet es una red conceptualmente insegura ya que fue diseada

con un alto nivel de operatividad29.

Entre los Riesgos implcitos encontramos riesgos como virus, gusanos, pginas de

phishing, husmeo, seguridad en las comunicaciones, ciberdelincuencia. Etc.

Por otro lado, el permitir que los empleados utilicen los recursos de la empresa para

fines personales como sitios web de entretenimiento, videos, correo electrnico

personal, redes sociales, contenidos pornogrficos entre otros, consumen el ancho de

banda y la capacidad de los servidores, limitando la operatividad de las aplicaciones

que trabajan en lnea generando retrasos y congestin en el sistema.

7.4.3. MEDIDAS DE SEGURIDAD EN EL CORREO ELECTRNICO

Las denominadas Nuevas Tecnologas de la Informacin y la Comunicacin (NTIC)

han venido para quedarse en la empresa y debemos ser conscientes de que muchas

veces el uso indebido del trabajador de esas (NTIC) es la cara de la moneda que,

porque no decirlo, es la que ms veces se suele mirar, examinar y salir a la luz o tener

ms repercusin meditica pero, tambin hay que ser conscientes de que esa moneda

tiene como reverso el uso, en muchos casos indebido, por parte del empresario de

esas NTIC30

En la actualidad el uso del correo electrnico se ha estandarizado en las

comunicaciones ya sea a nivel personal o a nivel laboral, por tanto el acceso a este

recurso no se podra denegar en una empresa, pero surge la pregunta Cmo controlar

29 Seguridad en las transacciones online del comercio electrnico Tesis. Tomado de: http://www.monografias.com/trabajos-

pdf/seguridad-e-comerce/seguridad-e-comerce.shtml 30 Antoni Roig Batalla, El uso laboral y sindical del correo electrnico e Internet en la empresa, Aspectos constitucionales, penales y laborales. Derecho y tics, ed. tirant lo Blanch. Valencia. 2007. Pg. 148

41

un medio que facilita la fuga de informacin confidencial y por el cual se abre la puerta

a un sin fin de ataques de ciberdelincuencia?

7.4.4. ALTERNATIVAS DE SOLUCIN

Para promover la direccin de estos recursos estrictamente al rea laboral la seguridad

informtica recomienda que se debe tener como orientacin la siguiente premisa lo

que no est permitido debe estar prohibido que tambin se puede ver como lo que

no est prohibido est permitido.

De acuerdo a esto la empresa debe escoger si definir una lista de sitios web permitidos

o prohibidos, de acuerdo a su conveniencia o facilidad tecnolgica, a continuacin se

muestra una tabla con sugerencias de los sitios web a permitir o prohibir segn sea el

caso.

42

Tabla 4. Sugerencias de caractersticas de sitios web a prohibir o permitir segn la

filosofa de la empresa

Fuente: Autores

Uso apropiado de las NTIC31

Los administradores de sistemas de una empresa, o los encargados de los servicios

externos que proporciona acceso a la red pueden disear polticas de prevencin del

uso por parte de los empleados, Y, sin duda alguna, ese es el mejor mecanismo para

evitar, no solo abusos por parte de los empleados, sino, tambin, por parte de los

empresarios. Se pueden instalar cortafuegos que permiten establecer una serie de

filtros de salida, evitando que se pueda acceder a determinadas pginas web o que

se puedan enviar correos a determinadas direcciones. En este sentido, el mejor control

empresarial, a juicio de Jos Muos Lorente32, es la prevencin de los abusos a travs

31 Antoni Roig Batalla, El uso laboral y sindical del correo electrnico e Internet en la empresa, Aspectos consitucionales, penales y laborales. Derecho y tics, ed. tirant lo Blanch. Valencia. 2007. Pg. 173. 32 Escritor del Capitulo II Los lmites penales en el uso del correo electrnico e internet en la empresa tomado del libro Antoni Roig Batalla, El uso laboral y sindical del correo electrnico e Internet en la empresa, Aspectos consitucionales, penales y laborales. Derecho y tics, ed. tirant lo Blanch. Valencia. 2007. Pg. 173.

Filosofa lo que no est prohibido est

permitido

Filosofa Lo que no est permitido est

prohibido

Poltica prohibitiva: definir las

caractersticas de los sitios web que no

pueden ser visitados en la organizacin.

Poltica permisiva: definir las caractersticas

de los sitios web que pueden ser visitados en

la organizacin

Sitios con contenido sexual

Sitios de entretenimiento videos,

msica, fotografas, chistes, entre

otras

Servidores de correo electrnico

personal

Sitios web que permitan compartir

informacin

Redes sociales

Sitios web de soporte tcnico para el

software y las aplicaciones

Sitios web de aliados comerciales

Sitios web de entidades bancarias

Sitios web de clientes

Sitios web de informacin

Sitios web del estado

43

de esos mecanismos tecnolgicos de los que ya se dispone en la actualidad, en este

sentido, y si por razones laborales, fuese necesario acceder a alguna pgina web o a

una direccin de correo electrnico respecto de las cuales se ha establecido un filtro

de salida bastara con que el superior jerrquico autorizase dicho acceso o dicho

envo. Con ello se evitaran problemas, tanto para los empleadosque tendran claro

como podrn utilizar y como no las NTIC--, como para el empresario que no se vera

obligado a Realizar controles sobre la utilizacin de las NTIC por parte de sus

empleados evitando, al mismo tiempo, que esos controles pudieran de algn modo

constituir un delito contra la intimidad del trabajador.

Uso apropiado del correo electrnico

La razn por la que aconsejamos no usar el correo personal para actividades laborales,

es porque el correo le permite al usuario compartir informacin de forma eficiente y gil,

que puede generar incidentes de seguridad, por otro lado la mayora de riesgos

asociados al comercio electrnico son asociados al comercio electrnico, es as como

si llega un correo de una persona conocida indicando un link muy probablemente el

empleado acceder a este, lo que puede concluir en la instalacin de malware en el

equipo, permitindole a los delincuentes mantener una ventana abierta a las

comunicacin de la empresa.

Por otro lado la revisin del correo electrnico personal en horario laboral puede

generar que el empleado pierda la concentracin en el desarrollo de sus actividades,

generando la disminucin del tiempo productivo del empleado.

Del mismo modo es aconsejable que el empleado no use la cuenta de correo

institucional para sus asuntos personales, dado que si bien no puede compartir

informacin confidencial a travs de este, si puede permitir el ingreso de amenazas

lgicas al sistema informtico de la organizacin como virus, malware,

ciberdelincuencia, ingeniera social, etc.

A esto se le suma que en la legislacin colombiana las comunicaciones de las

personas estn protegidas por el derecho constitucional a la intimidad, por tanto los

correos electrnicos personales o empresariales estn protegidos por el derecho a la

intimidad, sin embargo el correo empresarial puede ser controlado mas no ledo,

permitiendo as definir en caso de una fuga de informacin quien fue el responsable y

ejecutar las medidas legales a que haya lugar de acuerdo a la ley 1273 de 2009,

44

Principios que deben respetarse ante una actividad de control empresarial.33

Para que la vigilancia sea legitima, esta ha de ser necesaria, dirigida a un fin concreto,

realizada de forma abierta y clara, segn los principios de adecuacin, pertinencia y

proporcionalidad, y con las mnimas repercusiones sobre el derecho a la intimidad de

los trabajadores. El directivo o empresario no puede actuar a escondidas y de forma

discriminatoria y masiva en la apertura de correos electrnicos de los trabadores. En

este sentido, conviene tener en cuenta las siguientes recomendaciones:

Sera conveniente mostrar un mensaje de aviso en cada inicio de sesin de un

usuario en el sistema informtico de la organizacin para informarle de que sus

actividades pueden estar siendo registradas por motivos de seguridad.

La empresa debera limitarse a listar los correos o la relacin de pginas Web

visitadas y no a leer sus contenidos (al igual que en el caso de las llamadas

telefnicas)

En el momento de producirse la apertura y lectura de mensajes de correo

electrnico el empresario debera contar con testigos, representantes sindicales u

otros trabajadores de la empresa, a los oportunos efectos probatorios. Esta misma

recomendacin se debera tener en cuenta a la hora de acceder a carpetas o

documentos guardados en el ordenador asignado a un determinado trabajador.

33 Gmez Vieites, lvaro. enciclopedia de la seguridad informtica editorial ALFAOMEGA, 2007. Mxico. PG. 96

45

7.5. BUENAS PRACTICAS DE SEGURIDAD EN LAS COMUNICACIONES

La informacin depositada en las comunicaciones necesarias para el comercio

electrnico incluye datos confidenciales y sensibles por tanto es necesario utilizar los

recursos necesarios para protegerla, en este apartado hemos incluido la posicin de

VeriSign34 lder en la seguridad en internet , quien explica las medidas de seguridad y

cmo funcionan en su publicacin la seguridad y la confianza, claves del comercio

electrnico35 del cual sealamos la informacin relevante para las buenas prcticas de

seguridad en las comunicaciones. Donde detallan los requerimientos necesarios para

proveer un ambiente de seguridad.

El abandono de transacciones se ha convertido en un lastre para el comercio

electrnico. Segn un estudio sobre este tema, el 21% de los internautas han dejado a

medias una compra en alguna ocasin porque les preocupaba la seguridad de los

datos de su tarjeta de crdito y, por motivos similares, otros hacen compras de menor

cuanta36

Es evidente, por tanto, que la tranquilidad de los clientes puede reportar grandes

dividendos a las empresas que operan por Internet y ven mermadas sus ventas por el

miedo al fraude. Segn un estudio de TNS realizado en marzo de 2010, en Estados

Unidos, el 73% de los internautas considera que podra ser vctima de un robo de

identidad. Ante el temor a sucumbir a una estafa en lnea, los clientes no slo realizan

menos transacciones, sino que tambin evitan realizar grandes gastos, por lo que

ganarse su confianza trae consigo un gran potencial de ingresos. Todo esto, por

supuesto, resulta igual de ventajoso para los consumidores, ya que comprar por

Internet es ms cmodo y ofrece muchas ms posibilidades de ahorro que cualquier

otro medio. Normalmente, cuando una persona busca un artculo en concreto, consulta

varios sitios web que le merecern ms o menos confianza. Esa posibilidad de acudir a

34

VeriSign Authentication Services, ahora parte de Symantec Corp. (NASDAQ: SYMC), proporciona soluciones que permiten que las empresas y los consumidores participen en comunicaciones y comercio en lnea con confianza. El sello VeriSign, que tiene ms de un milln de servidores web que usan sus certificados SSL, una infraestructura que procesa ms de dos mil millones de verificaciones de certificados por da y un logotipo que es visto hasta 250 millones de veces diariamente, es el smbolo de confianza ms reconocido de Internet. 35 Verisign. la seguridad y la confianza, claves del comercio electrnico. 2010. Tomado de: http://www.verisign.es/ssl/ssl-information-center/ssl-resources/whitepaper-security-trust.pdf 36 Segn una encuesta, el riesgo asociado a la compra electrnica pone freno a su avance (artculo en ingls de junio de 2009): www.eweek.com/c/a/Midmarket/Security-Concerns-Hinder- Online-Shopping-Survey-Finds-288359/, referenciado por: VeriSign. la seguridad y la confianza, claves del comercio electrnico 2010.

46

varios sitios es lo que le permite tomar la mejor decisin, siempre y cuando pueda

confiar en ellos y sepa que su informacin privada est protegida.

Afortunadamente, las empresas de comercio electrnico tienen a su disposicin una

serie de tecnologas destinadas a proteger los datos personales de sus clientes,

autenticar sus sitios web y mejorar el grado de confianza de los consumidores. Si se

usan los medios adecuados, los clientes podrn distinguir fcilmente los sitios web

autnticos de las posibles rplicas que pueda haber creado un usuario

malintencionado.

Para abordar este complejo tema, primero se explicara las tecnologas de cifrado y los

certificados que actualmente se usan, los protocolos en los que participan, y dando

continuacin a esto explicaremos en detalle cmo funciona el protocolo SSL (Que es el

ms usado en el mundo) y en base a esto se brindaran sugerencias de implantacin

en las pequeas y medianas empresas

7.5.1. TECNOLOGA DE CIFRADO Y CERTIFICADOS

Laudon37 explica que un sistema criptogrfico moderno se basa en un determinado

algoritmo de encriptacin que realiza unas transformaciones sobre el texto original,

conocido como texto claro, para obtener un texto modificado, conocido como texto

cifrado o criptograma.

Mediante el procedimiento inverso, utilizando un determinado algoritmo de

desencriptacin, se puede recuperar el texto original, el funcionamiento de los

algoritmos de encriptacin y desencriptacin depende de unas claves, que determinan

totalmente el resultado obtenido, de este modo, aunque los algoritmos sean pblicos y

conocidos por todos, si no se dispone de las claves, resulta imposible (siempre y

cuando los algoritmos sean lo suficientemente robustos) realizar el proceso

desencriptacin.

37 Laudon, Kenneth y Guercio Traver, Carol. E-commerce. Negocios, tecnologa, sociedad. Cuarta edicin. Pearson educacin. Mxico. 2009. Pg. 325.

47

Figura No. 3. Funcionamiento de un sistema criptogrfico

Fuente: Laudon, Kenneth y Guercio Traver, Carol. E-commerce. Negocios, tecnologa,

sociedad. Cuarta edicin. Pearson educacin. Mxico. 2009. Pg. 325.

7.5.2. TIPOS DE SISTEMAS O TECNOLOGAS CRIPTOGRFICOS

Como se ha mencionado son muchos los riesgos que existen en internet no se debe

desconocer que la tecnologa tambin ayuda a proteger la seguridad de los mensajes

que se envan usando la red38 , entre los cuales se han desarrollado mtodos de

encriptacin o cifrado, que proporcionan cuatro de los principios de seguridad en el

comercio electrnico (integridad del mensaje, no repudiacin, autenticacin,

confidencialidad), de acuerdo a esto en la actualidad se usan varias tecnologas de

cifrado entre las cuales contamos:

Cifrado por clave simtrica: tanto el emisor como el receptor utilizan la misma clave

para cifrar y descifrar un mensaje. AES (Estndar de Cifrado Avanzado) es el sistema

de cifrado por clave simtrica ms utilizada en la red.

Criptografa de clave pblica: se utilizan dos claves digitales relacionadas en sentido

matemtico: una clave pblica y una clave privada. El propietario mantiene la clave

privada secreta, y la clave pblica se distribuye ampliamente. Ambas claves se pueden

utilizar para cifrar y descifrar un mensaje. Una vez que se utilizan las claves para cifrar

un mensaje, no se pueden utilizar para descifrarlo.

38 dem 16.

48

Cifrado de clave pblica utilizando firmas digitales y resmenes de hash: este

mtodo utiliza un algoritmo matemtico llamado funcin de hash para producir un

nmero de longitud fsica, conocido como resumen de hash. Los resultados de aplicar

la funcin de hash se envan del emisor al receptor. Al momento de recibirlos, el

receptor aplica la funcin de hash al mensaje recibido y comprueba que se produzca el

mismo resultado.

Despus el emisor cifra tanto el resultado de hash como el mensaje original, usando la

clave pblica del receptor para producir un solo bloque de texto cifrado. Para asegurar

tanto la autenticidad del mensaje como la no repudiacin, el emisor cifra todo el bloque

de texto cifrado una vez ms, usando su clave privada. Esto produce una firma digital,

o texto cifrado firmado, que se puede enviar por internet para asegurar la

confidencialidad del mensaje y autenticar al emisor.

Envoltura digital: este mtodo utiliza el cifrado simtrico para cifrar y descifrar el

documento, pero utiliza el cifrado de clave pblica para cifrar y enviar la clave simtrica.

Certificados digitales e infraestructura de clave pblica: este mtodo se basa en

las autoridades de certificacin que emiten, verifican y garantizan los certificados

digitales (un documento digital que contiene el nombre del sujeto o empresa, la clave

pblica del sujeto, un nmero de serie de certificado digital, una fecha de expiracin,

una fecha de emisin, la firma digital de la autoridad de certificacin y dems

informacin de identificacin).

Firmas digitales39 : Se define la firma digital como un valor numrico, que se crea con

la clave privada del firmante. Para crear firmas digitales se utiliza un programa de

computador basado en un procedimiento matemtico denominado algoritmo de

creacin de firmas. La firma digital cambia de un documento a otro en la medida en que

los datos de la clave privada se mezclan con los datos de cada documento que sea

firmado con la misma clave privada. Para cada documento firmado se crea una nueva

firma digital. Lo que no cambia es la clave privada. El procedimiento de verificacin de

la autenticidad de las firmas, es un programa de computador basado en un

procedimiento mate

Documents

Manual de Buenas Practicas de s.i. Para El E-comerce