Click here to load reader
Upload
danielmon1
View
142
Download
3
Embed Size (px)
Citation preview
ESCUELA POLITÉCNICA DEL EJÉRCITO
COMERCIO ELECTRONICO DANIEL QUISHPI
DEPARTAMENTO DE CIENCIAS DE LA
COMPUTACIÓN
CARRERA INGENIERÍA EN SISTEMAS
PAC
ACTIVIDAD 7
ALUMNO: DANIEL QUISHPI
ESCUELA POLITÉCNICA DEL EJÉRCITO
COMERCIO ELECTRONICO DANIEL QUISHPI
Manual políticas de seguridad
POLÍTICAS DE SEGURIDAD
GENERALIDADES
La seguridad informática ha tomado gran auge, debido a las cambiantes
condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad
de interconectarse a través de redes, ha abierto nuevos horizontes a las
empresas para mejorar su productividad y poder explorar más allá de las
fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de
nuevas amenazas para los sistemas de información.
ALCANCE DE LAS POLÍTICAS
Este manual de políticas de seguridad es elaborado de acuerdo al análisis de riesgos y de vulnerabilidades
OBJETIVOS
Desarrollar un manual de seguridad significa "planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad física de los recursos informáticos, así como resguardar los activos de la empresa".
ANÁLISIS DE LAS RAZONES QUE IMPIDEN LA APLICACIÓN DE LAS
POLÍTICAS DE SEGURIDAD INFORMÁTICA
A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática.
RESPONSABILIDADES
Es responsabilidad del supervisor de Seguridad Informática, desarrollar los Procedimientos de Seguridad. Asimismo, es responsabilidad del supervisor inmediato capacitar a sus empleados en lo relacionado con los Procedimientos de Seguridad.
ESCUELA POLITÉCNICA DEL EJÉRCITO
COMERCIO ELECTRONICO DANIEL QUISHPI
BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD INFORMÁTICA
Los beneficios de un sistema de seguridad con políticas claramente
concebidas bien elaboradas son inmediatos, ya que trabajará sobre una
plataforma confiable.
PLAN DE CONTINGENCIAS
o Continuar con la operación del área con procedimientos informáticos
alternos.
o Tener los respaldos de información en un lugar seguro, fuera del lugar
en el que se encuentran los equipos.
o Tener el apoyo por medios magnéticos o en forma documental, de las
operaciones necesarias para reconstruir los archivos dañados.
o Ejecutar pruebas de la funcionalidad del plan.
¿QUÉ ES UN CERTIFICADO?
Un certificado electrónico es un documento firmado electrónicamente
por un prestador de servicios de certificación que vincula la identidad
de cada usuario con las herramientas de firma electrónica (claves
criptográficas), dándole a conocer como firmante en el ámbito
telemático.
SÍ, ¿PERO DÓNDE ESTÁ?, ¿CÓMO LO VEO?
EL certificado, como documento que es, no es otra cosa que un
conjunto de datos cuya representación se puede ver de la siguiente manera:
Por ejemplo, para Internet Explorer, acceder al menú Herramientas,
Opciones de Internet, una vez allí seleccionaremos la pestaña
Contenido. En el apartado de certificados pulsaremos el botón de
Certificados y una vez en la ventana pulsaremos la pestaña Personal.
Aquí se nos muestra una pantalla con la relación de certificados
personales instalados en nuestro navegador.
¿QUÉ TIENE UN CERTIFICADO?
ESCUELA POLITÉCNICA DEL EJÉRCITO
COMERCIO ELECTRONICO DANIEL QUISHPI
Un certificado no es otra cosa que un conjunto de datos vinculados
entre sí y una identidad, la del titular o firmante, y cuya unión o
vínculo viene avalada y garantizada por un prestador de servicios de
certificación. Es la herramienta básica para la realización de gestiones
desde su propio ordenador sin necesidad de desplazarse.
¿QUÉ SIGNIFICAN TODOS ESOS APARTADOS QUE APARECEN
AL VISUALIZAR EL CERTIFICADO?
Si seguimos los pasos del punto anterior, obtendremos una pantalla
en la que se nos muestra algunos campos o propiedades del
certificado. Ésta tiene un aspecto similar a:
En ella podemos observar que se nos muestra la identidad del titular
del certificado y el emisor del mismo. Por otra parte, se nos indica con una secuencia de números los usos
y responsabilidades en relación con el certificado (1.3.6.1.4.1.5734.3.5). Esta secuencia de números se corresponde
con la Política de Certificación.
Asimismo, también podemos ver el periodo de validez del certificado (Válido desde xx hasta yy).
Si seleccionamos la pestaña “Detalles” se nos muestra más
información sobre el certificado. Aquí encontraremos campos como “Número de serie, que es un número secuencial que asigna la
autoridad de certificación a los certificados que emite y que, por otra
ESCUELA POLITÉCNICA DEL EJÉRCITO
COMERCIO ELECTRONICO DANIEL QUISHPI
parte, es el número que se incluye en la lista de revocados en caso
de que se quiera interrumpir la vigencia del certificado. También encontraremos información sobre el tamaño de las claves
criptográficas, el uso que se le pueda dar éstas y el algoritmo con el
que la autoridad de certificación firma el certificado en cuestión, así como el correo electrónico asociado al certificado.
¿QUÉ ES LA FIRMA ELECTRÓNICA?
La firma electrónica es el conjunto de datos relativos a una persona consignados en forma electrónica, y que junto a otros o asociados
con ellos, pueden ser utilizados como medio de identificación del firmante, teniendo el mismo valor que la firma manuscrita.
Permite que tanto el receptor como el emisor de un contenido puedan identificarse mutuamente con la certeza de que son ellos los que
están interactuando, evita que terceras personas intercepten esos contenidos y que los mismos puedan ser alterados, así como que
alguna de las partes pueda "repudiar" la información que recibió de la otra y que inicialmente fue aceptada.
¿QUÉ ES UN PRESTADOR DE SERVICIOS DE CERTIFICACIÓN?
Es aquella persona física o jurídica que, cumpliendo los requisitos que determina la legislación establecida sobre firma electrónica, está
capacitado para emitir certificados electrónicos. En la legislación española a los prestadores de servicios de
certificación se les denomina “terceras partes de confianza” o “prestador de servicios de certificación”. Esta denominación se origina
por las propias funciones que realizan, y que está dirigida a que los usuarios de esta infraestructura tengan la seguridad de que el sujeto
con el que se contacta es quién dice ser sin posibilidad de error. Es importante seleccionar como tercera parte de confianza una que
realmente nos ofrezca la suficiente garantía.
¿CÓMO PUEDO TENER UN CERTIFICADO? (PERSONA FÍSICA)
Para obtener un certificado de firma electrónica y si se trata de una
persona física (no persona jurídica), es imprescindible contar con un ordenador que tenga acceso a Internet.
Ejemplo práctico: Acceder a la página www.ceres.fnmt.es. y seguir los tres pasos que
se indican a continuación:
1. Solicitud del certificado 2. Acreditación de la identidad mediante personación física en una
oficina de registro.
ESCUELA POLITÉCNICA DEL EJÉRCITO
COMERCIO ELECTRONICO DANIEL QUISHPI
3. Descarga del certificado desde Internet.
Paso 1: Solicitud del certificado
Para realizar el primer punto, seleccionaremos “Solicitud del
certificado” (margen izquierdo de la pantalla)
Si ha optado por la opción “alto” el sistema le va a solicitar que establezca una contraseña para el acceso a su certificado y que
confirme la misma. Esa contraseña le será solicitada cada vez que pretenda hacer uso del
certificado.
También existe la posibilidad de obtener el certificado en una tarjeta
criptográfica. En este caso el solicitante deberá proveerse de la misma así como de un lector de tarjetas en el caso de que su equipo
no venga provisto del mismo.
Paso 2: Acreditación de la identidad mediante personación física en una oficina de registro.
ESCUELA POLITÉCNICA DEL EJÉRCITO
COMERCIO ELECTRONICO DANIEL QUISHPI
Este punto es de vital importancia puesto que gracias a él proporcionaremos la identidad que figurará en el certificado y, por
este motivo, se puede identificar a una persona como “firmante” de
los documentos.
Paso 3: Descarga del certificado
Descargar el certificado desde la pantalla que se le mostrará al pulsar la opción “Descarga del certificado”
Pulsar el botón “Enviar petición” el certificado se instalará
automáticamente en su ordenador.
YA TENGO CERTIFICADO
Si usted ya tiene un certificado, ya tiene capacidad para realizar
firmas electrónicas y acceder a los servicios que las distintas
administraciones y empresas ponen a disposición de sus usuarios y clientes a través de Internet.
No obstante, antes de empezar a utilizarlo debe tener en cuenta varios aspectos:
Como consecuencia de un borrado de datos en el ordenador o una
avería es posible que pierda su certificado, luego le recomendamos que haga una copia de seguridad para evitarle molestias y tener
que volverse a desplazar a una oficina de registro.
El certificado consta de dos partes: una parte pública que es la que tiene la identidad del firmante o usuario y otra privada que tiene
unas claves criptográficas para llevar a cabo el algoritmo de firma electrónica.
Los certificados, al igual que las tarjetas bancarias tienen un
periodo de vigencia y además se pueden cancelar o revocar.
EL CERTIFICADO Y MI CORREO ELECTRÓNICO
ESCUELA POLITÉCNICA DEL EJÉRCITO
COMERCIO ELECTRONICO DANIEL QUISHPI
El certificado también puede ser utilizado por algunos agentes de
correo electrónico, como por ejemplo, MS Outlook. Para ello es necesario que la dirección de correo electrónico incluida en el
certificado (proporcionada en el momento de la acreditación) coincida
con la dirección de correo que queremos utilizar para enviar un correo firmado.
DEFINICIONES
CRIPTOGRAFÍA: Es una rama de las matemáticas que al aplicarse a
mensajes digitales proporciona las herramientas idóneas para solucionar los problemas confidencialidad, integridad y autenticidad.
FIRMA ELECTRÓNICA (simple): Datos que puedan ser usados para
identificar al firmante (p.e. identidad en Outlook).
FIRMA ELECTRÓNICA AVANZADA: Además de identificar al firmante permite garantizar la integridad del documento.
FIRMA ELECTRÓNICA RECONOCIDA: Es la firma avanzada ejecutada
con un dispositivo seguro de creación de firma y amparada por un
certificado reconocido, certificado que se otorga tras la verificación presencial de la identidad del firmante.
CERTIFICADO DIGITAL: es un documento digital mediante el cual un
tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto y su clave pública.
CERTIFICADO DE EMPLEADO PÚBLICO: Es una firma electrónica reconocida, distinta a la personal, que garantice la gestión interna
electrónica integral de todos los procedimientos y trámites con la administración y aporte información adicional del trabajador.
FIRMA ELECTRÓNICA MOVIL: Deberá disponer de un certificado
electrónico FNMT y de una tarjeta SIM habilitada para Firma Electrónica Móvil (sólo Telefónica y Vodafone).
Caso práctico en Ecuador Base Legal
El proceso de autorización para la emisión de documentos
electrónicos se basa conforme a lo dispuesto en el inciso tercero del número 3 del artículo 6 del Reglamento de Comprobantes de Venta,
Retención y Documentos Complementarios vigente y conforme lo norma la resolución establecida para el efecto. Ley de Comercio
Electrónico, Firmas y Mensajes de Datos publicado en el Suplemento del Registro Oficial No. 557 de 17 de abril de 2002.
ESCUELA POLITÉCNICA DEL EJÉRCITO
COMERCIO ELECTRONICO DANIEL QUISHPI
Reglamento a la Ley de Comercio Electrónico, Firmas y Mensajes de Datos, publicado en el Registro Oficial No. 735 de 31 de diciembre de
2002. Decreto No. 181 publicado en el Registro Oficial No. 553 de 11
de octubre del 2011, en el cual norma la numeración de identificadores de campo y campos mínimos de los tipos de
certificados. Los contribuyentes que ingresen una solicitud de certificación y emisión de documentos electrónicos, deberán emitir los
comprobantes de venta, retención y documentos complementarios firmados electrónicamente bajo las condiciones señaladas en esta
ficha técnica.
Proceso de Solicitud de Certificación de emisión de Documentos Electrónicos
El sujeto pasivo previo a la solicitud de certificación debe tener
conocimiento general del proceso de la modalidad de emisión de documentos electrónicos propuesto por la Administración Tributaria
(puede solicitar asistencia llamando al Centro de Atención Telefónica
1700 774 774 o solicitar información y asistencia a los funcionarios del SRI a nivel nacional a través de nuestro canal de atención
presencial).
El sujeto pasivo que se incorpore a la modalidad de emisión electrónica de documentos, deberá obtener un certificado digital de
firma electrónica que puede ser adquirido en cualquier Entidad de Certificación autorizada por el Organismo Competente. Se detalla a
continuación las direcciones electrónicas de las tres entidades en donde se puede encontrar detalles específicos de los certificados
digitales de firma electrónica:
ENTIDADES DE
CERTIFICACION
INFORMACION
Banco Central del Ecuador http://www.eci.bce.ec
Security Data http://www.securitydata.net.ec/
ANF www.anf.ec