Page 1

MANUAL DE BUENAS PRACTICAS DE SEGURIDAD INFORMATICA PARA EL COMERCIO ELECTRÓNICO APLICABLE A PYMES BOGOTANAS


T ABLA DE CONT ENIDO 1.

INTRODUCCIÓN ...................................................................................................... 5

2.

OBJETIVOS ............................................................................................................. 6

3.

PRINCIPIOS DE SEGURIDAD EN EL COMERCIO ELECTRONICO ....................... 7

4.

COMERCIO ELECTRONICO ................................................................................... 9 4.1.

DEFINICIóN ....................................................................................................... 9

4.2. MEDIOS ELECTRÓNICOS DE PAGO USADOS EN EL COMERCIO ELECTRONICO ........................................................................................................... 9 4.3. VENTAJAS Y DESVENTAJAS DE LAS DIFERENTES MODALIDADES DE PAGO EN EL COMERCIO ELECTRÓNICO. ........................................................... 11 4.4. 5.

6.

IMPACTOS Y RIESGOS. ................................................................................. 12

QUE ES LA SEGURIDAD INFORMATICA ............................................................. 12 5.1.

DEFINICIÓN .................................................................................................... 12

5.2.

SEGURIDAD ORGANIZACIONAL U OPERACIONAL ..................................... 13

AMENAZAS ............................................................................................................ 14 6.1. AMENAZAS A LA SEGURIDAD EN EL ENTORNO DEL COMERCIO ELECTRÓNICO ......................................................................................................... 14

7.

PAUTAS DE PROTECCIÓN PARA LAS DIFERENTES AMENAZAS .................... 17 7.1. BUENAS PRÁCTICAS PARA PREVENCIÓN Y ATENCIÓN DE DESASTRES (NATURALES Y CAUSADOS POR EL HOMBRE) .................................................... 19 7.1.1.

Continuidad del negocio ante fallas, siniestros o desastres ....................... 19

7.1.2.

Plan de recuperación ................................................................................. 22

7.1.2.1.

Actividades Previas al Desastre ............................................................. 22

7.1.2.2.

Actividades Durante el Desastre ............................................................ 23

7.1.2.3.

Actividades Después del Desastre o Falla ............................................. 25

7.1.2.3.1. 7.2.

Evaluación de Daños. ......................................................................... 25

BUENAS PRACTICAS APLICABLES A SEGURIDAD FISICA Y LOGICA ....... 27

7.2.1.

Barreras físicas y lógicas para garantizar la integridad de la información .. 27

7.2.1.1.

Nivel externo .......................................................................................... 27

7.2.1.2.

Nivel interno ........................................................................................... 27

2


7.2.2.

Alternativas de solución ............................................................................. 28

7.2.2.1.

Nivel externo .......................................................................................... 28

7.2.2.2.

Nivel interno ........................................................................................... 29

7.3. BUENAS PRACTICAS EN LA CONTRATACIÓN, Y CAPACITACIÓN DEL PERSONAL ............................................................................................................... 33 7.3.1.

Amenazas que se originan en el personal ................................................. 33

7.3.2.

Alternativas de solucion ............................................................................. 34

7.3.2.1.

Seguridad frente al personal................................................................... 34

7.3.3.

Vinculación del personal ............................................................................ 36

7.3.4.

Capacitación .............................................................................................. 37

7.4.

BUENAS PRÁCTICAS PARA EL USO DE INTERNET ................................... 40

7.4.1.

El uso de los servicios de internet en el trabajo ......................................... 40

7.4.2.

Amenazas que afectan a los usuarios de internet ...................................... 41

7.4.3.

Medidas de seguridad en el correo electrónico .......................................... 41

7.4.4.

Alternativas de solución ............................................................................. 42

7.5.

BUENAS PRACTICAS DE SEGURIDAD EN LAS COMUNICACIONES .......... 46

7.5.1.

Tecnología de cifrado y certificados ........................................................... 47

7.5.2.

Tipos de sistemas o tecnologías criptográficos ......................................... 48

7.5.3.

Protocolos de encriptacion usados en el comercio electronico .................. 51

7.5.3.1.

Segure Electronic Transaction (SET) .................................................... 51

7.5.3.2.

Segure Socket Layer (SSL) .................................................................... 52

7.5.3.3.

Transport Layer Security (TLS) .............................................................. 54

7.5.3.4.

Entidades certificadoras ......................................................................... 54

7.5.4.

Recomendaciones de seguridad en las comunicaciones ........................... 58

7.6. BUENAS PRACTICAS APLICABLES AL PORTAL WEB DE COMERCIO ELECTRÓNICO ......................................................................................................... 62 7.6.1.

ALTERNATIVAS DE SOLUCION .............................................................. 63

7.6.1.1.

Diseño .................................................................................................... 63

7.6.1.2.

Desarrollo y comercialización ................................................................. 65

7.7.

BUENAS PRACTICAS PARA LA PROTECCIÓN DE DATOS PERSONALES . 68

3


7.7.1.

Protecci贸n de datos y documentos sensibles ............................................ 68

7.7.2.

Alternativas de solucion ............................................................................. 70

7.8. BUENAS PRACTICAS PARA LA CONTRATACION POR MEDIOS ELECTRONICOS ...................................................................................................... 74 7.8.1.

8.

Tipos de contratacion electronica .............................................................. 74

7.8.1.1.

Intercambio Electr贸nico de Datos ........................................................... 74

7.8.1.2.

Contratos de servicios por internet ......................................................... 75

7.8.1.3.

Compraventas nacionales e internacionales por internet........................ 75

7.8.1.1.

Contratos de adhesion ........................................................................... 76

Bibliograf铆a. ............................................................................................................ 77 8.1.

PAGINAS WEB CONSULTADAS .................................................................... 77

4


1. INTRODUCCIÓN

La seguridad es uno de los temas mas álgidos en el comercio electrónico, por tanto es necesario estar preparados para enfrentar las amenazas que se generan hacia la protección de los datos, la disponibilidad de los sitios web, las comunicaciones, adoptando para esto una serie de medidas preventivas que permitan contribuir a un ambiente seguro y acorde al marco regulatorio a nivel interno y externo de la organización La seguridad informática aplicada al comercio electrónico aplica dado que los actores que intervienen en el comercio electrónico continuamente transmiten información confidencial por Internet, y para las empresas es vital ganarse la confianza de quienes visitan su sitio web y más aun de aquellos que hacen transacciones en línea, puesto que los consumidores no están dispuestos a dejar sus datos en manos de cualquiera y exponerse a riesgos como el robo de identidad. Se ha encontrado que existe una resistencia generalizada a facilitar datos confidenciales como números de tarjeta de crédito, contraseñas u otros tipos de información confidencial por temor a que alguien los intercepte o a que el sitio web desde el que se envían se manipule con fines dañinos.1 Por estas razones surge el manual de buenas prácticas de seguridad informática en el comercio electrónico, que busca concienciar e informar al pequeño y mediano empresario sobre las amenazas existentes al tener una empresa y realizar comercio electrónico, suministrando herramientas y pautas aplicables a su empresa que le permitan mejorar su nivel de seguridad informática.

1

Verisign. “la seguridad y la confianza, claves del comercio electrónico”. 2010. Tomado de: http://www.verisign.es/ssl/sslinformation-center/ssl-resources/whitepaper-security-trust.pdf

5


2. OBJETIVOS Este manual tiene como objetivo general generar pautas prácticas en cuanto a las medidas de seguridad informática aplicables al comercio electrónico. De acuerdo a esto, el presente documento tiene como objetivos específicos  Explicar los riesgos y como actuar ante estos con el fin de minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad.  Señalar las áreas donde se tiene bajo control de los recursos para orientar al pequeño y mediano empresario en la adecuada utilización de los recursos y de las aplicaciones del sistema.  Educar al pequeño y mediano empresario, facultándolo para limitar las pérdidas y conseguir la adecuada recuperación del sistema, en caso de un incidente de seguridad.  Dar a conocer al empresario recomendaciones orientadas al cumplimiento con el marco legal y con los requisitos impuestos por los clientes en sus contratos.  Aleccionar al pequeño y mediano empresario la importancia de la protección de los datos personales y las comunicaciones en medios electrónicos. Orientando al buen manejo de estos.

6


3. PRINCIPIOS DE ELECTRONICO

SEGURIDAD

EN

EL

COMERCIO

Este manual de buenas prácticas de seguridad informática en el comercio electrónico se fundamenta en los siguientes principios de seguridad 2, que influyen en los procesos del comercio electrónico.  Integridad: asegura que la información que se muestra en un sitio web, o que se envía o recibe a través de internet no haya sido alterada de ninguna forma por una parte no autorizada.  No repudiación: asegura que los participantes en el comercio electrónico no nieguen (desconozcan) sus acciones en línea.  Autenticidad: verifica la identidad de un individuo o un negocio. La identificación crea responsabilidad y confianza.  Confidencialidad: determina si la información que se comparte en línea, por ejemplo a través de la comunicación de correo electrónico o de un proceso de pedido, puede ser vista por alguien más que el receptor de destino.  Privacidad: se encarga del uso de la información que se comparte durante una transacción en línea.  Disponibilidad: determina si un sitio Web es accesible y operativo en cualquier momento dado.  Prueba de la transacción: “este servicio de seguridad permite confirmar la realización de una operación o transacción, reflejando los usuarios o entidades que han intervenido en esta”3.  Autorización (control de acceso a equipos y servicios): mediante el servicio de autorización se persigue controlar el acceso de los usuarios a los distintos equipos y servicios ofrecidos por el sistema informático, una vez superado el proceso de 2

Compilación realizada por los autores de acuerdo a lo enunciado por Laudon. “e-commerce, negocios, tecnología, sociedad”. Cuarta edición. Pearson educación. México. 2009. Pagina. 323., Puentes, “seguridad en el comercio electrónico”. Alfaomega. Mexico. 2009. Pág. 100. 3 Gómez Vieites, Alvaro. “enciclopedia de la seguridad informática” editorial ALFAOMEGA, 2007. México

7


autenticación de cada usuario. Para ello, se definen unas listas de control de acceso con la relación de usuarios y grupos de usuarios además de sus distintos permisos de acceso a los recursos del sistema.  Auditabilidad: el servicio de auditabilidad o trazabilidad permite registrar y monitorizar la utilización de los distintos recursos del sistema por parte de los usuarios que han sido previamente autenticados y autorizados.  Reclamación de origen: mediante la reclamación de origen el sistema permite probar quien ha sido el creador de un determinado mensaje o documento.  Reclamación de propiedad: este servicio permite probar que un determinado documento o un contenido digital protegido por derechos de autor (canción, video, libro…) pertenece a un determinado usuario u organización que ostenta la titularidad de los derechos de autor.  Anonimato en el uso de los servicios: en la utilización de determinados servicios dentro de las redes y sistemas informáticos también podría resultar conveniente garantizar el anonimato de los usuarios que acceden a los recursos y consumen determinados tipos de servicios, preservando de este modo su privacidad. Este servicio de seguridad, no obstante, podría entrar en conflicto con otros de los ya mencionados, como la autenticación o la auditoria del acceso a los recursos.  Referencia temporal (certificación de fechas): mediante este servicio de seguridad se consigue demostrar el instante concreto en que se ha enviado un mensaje o se ha realizado una determinada operación (utilizando generalmente una referencia UTC-Universal Time Clock). Para ello, se suele recurrir al sellado temporal del mensaje o documento en cuestión.  Certificación mediante terceros de confianza: la realización de todo tipo de transacciones a través de medios electrónicos requiere de nuevos requisitos de seguridad, para garantizar la autenticación de las partes que intervienen, el contenido e integridad de los mensajes o la constatación de la realización de la operación o comunicación en un determinado instante temporal. Para poder ofrecer algunos de estos servicios de seguridad se empieza a recurrir a la figura del “tercero de confianza”, organismo que se encarga de certificar la realización y el

8


contenido de las operaciones y de avalar la identidad de los intervinientes dotando de este modo a las transacciones electrónicas de una mayor seguridad jurídica.

4. COMERCIO ELECTRONICO 4.1.

DEFINICIÓN

“Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones de índole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda operación comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda operación de representación o mandato comercial; todo tipo de operaciones financieras, bursátiles y de seguros; de construcción de obras; de consultoría; de ingeniería; de concesión de licencias; todo acuerdo de concesión o explotación de un servicio público; de empresa conjunta y otras formas de cooperación industrial o comercial; de transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por carretera” 4

4.2.

MEDIOS ELECTRÓNICOS DE PAGO USADOS EN EL COMERCIO ELECTRONICO

Un sistema de pago electrónico realiza la transferencia del dinero entre comprador y vendedor en una compra-venta electrónica. Es por ello, una pieza fundamental en el proceso del Comercio Electrónico. Los sistemas de pago empleados en Internet pueden agrupar en cuatro categorías5:

4

Ley 527 de 1999: Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales y se establecen las entidades de certificación y se dictan otras disposiciones. 5 http://es.wikipedia.org/wiki/Sistema_de_pago_electr%C3%B3nico

9


 Cajero electrónico virtual: Conocido también como TPVV (Terminal Punto de Venta Virtual) 6 , es el sistema más seguro para la utilización de las tarjetas de crédito en Internet. Este sistema no solo garantiza que los datos de la tarjeta viajarán, encriptados, directamente del comprador al banco intermediario sino que además, no serán conocidos en ningún momento por el vendedor. Las entidades bancarias son siempre más fiables en la protección de los datos de sus clientes. El sistema es igualmente transparente y ágil para el comprador. Básicamente las empresas que generan recaudos por internet, instalan un botón de pagos en su tienda virtual, con el fin de guiar al comprador a su entidad bancaria y autorizar así el pago de los bienes o servicios previamente seleccionados del catalogo virtual de la empresa.  Cheques Electrónicos. Los métodos para transferir cheques electrónicos a través de Internet no están tan desarrollados como otras formas de transferencia de fondos, los cheques electrónicos podrían consistir algo tan simple como enviar un e-mail a un vendedor autorizándole a sacar dinero de la cuenta, con certificados y firmas digitales asociados. Un sistema de cheques puede ser considerado como un compromiso entre un sistema de tarjetas de crédito y uno de micropagos o dinero electrónico (anónimo).  Tarjetas de Crédito. Los sistemas de tarjetas de crédito en Internet funcionarán de forma muy similar a como lo hacen hoy en día. El cliente podrá usar si lo desea su tarjeta de crédito actual para comprar productos en una tienda virtual. La principal novedad consiste en el desarrollo del estándar de cifrado SET (Secure Electronic Transaction) por parte de las más importantes compañías de tarjetas de crédito.  Dinero Electrónico. El concepto de dinero electrónico es amplio, y difícil de definir en un medio tan extenso como el de los medios de pago electrónicos (EPS). Éste se puede definir como aquel dinero creado, cambiado y gastado de forma electrónica, éste dinero tiene un equivalente directo en el mundo real: la moneda. Es importante resaltar que el dinero electrónico se usa para pequeños pagos.

6

http://www.eumed.net/cursecon/ecoinet/seguridad/TPVv.htm

10


El dinero electrónico puede clasificarse en dos tipos: Dinero on-line: Exige interactuar con el banco (vía módem o red) para llevar a cabo una transacción con una tercera parte. Dinero offline: Se dispone del dinero en el propio ordenador y puede gastarse cuando se desee, sin necesidad de contactar para ello con un banco. Estos sistemas de dinero electrónico permiten al cliente depositar dinero en una cuenta y luego usar ese dinero para comprar cosas en Internet 4.3.

VENTAJAS Y DESVENTAJAS DE LAS DIFERENTES MODALIDADES DE PAGO EN EL COMERCIO ELECTRÓNICO.

Desde el punto de vista de la seguridad, las diferentes modalidades de comercio electrónico tienen ventajas y desventajas7. 

En el caso de las tarjetas de crédito, la seguridad dependerá de la forma como se almacenen los datos en el servidor, se envié un mensaje encriptado de correo electrónico y se utilice una entidad intermediaria. En el caso de las tarjetas débito hay que acudir a los sitios transaccionales de los bancos.

Para reducir estos riesgos hay que instalar un servidor seguro, un certificado de seguridad, encriptar los mensajes de correo electrónico con criptografía asimétrica y usar los servicios de una entidad intermediaria.

7

Cárdenas, Manuel José, “¿Cual es la situación del comercio electrónico en Colombia? Análisis y recomendaciones para mejorar la competitividad empresarial”. primera edición. Fondo de publicaciones Universidad Sergio Arboleda. Bogotá D.C. 2009. pág. 174-177

11


4.4.

IMPACTOS Y RIESGOS.

Sobre la recolección de la información, su impacto y los riesgos Pagos Online elaboro la siguiente interesante tabla: Tabla 1. Impactos y riesgos en la recolección de la información Reconocimiento de la información

Impacto

Riesgos

Almacenamiento en el servidor

Alto

Penetración de un Hacker y robo de la base de datos

Envío de correo electrónico encriptado

Bajo

Entidad intermediaria

Bajo

Sitio transaccional del banco

Bajo

Penetración de un Hacker y alteración del programa que envía los correos electrónicos Penetración de un Hacker en la entidad intermediaria y robo de la información Manipulación de la respuesta del banco

Fuente: Pagosonline.net, Referenciada por Cárdenas8

5. QUE ES LA SEGURIDAD INFORMATICA 5.1.

DEFINICIÓN

La seguridad informática es “Cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden conllevar datos sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema”9

8

Cárdenas, Manuel José, “¿Cual es la situación del comercio electrónico en Colombia? Análisis y recomendaciones para mejorar la competitividad empresarial”. primera edición. Fondo de publicaciones Universidad Sergio Arboleda. Bogotá D.C. 2009: 9 Gómez Vieites, Alvaro. “enciclopedia de la seguridad informática” editorial ALFAOMEGA, 2007. México. PÁG. 4.

12


5.2.

SEGURIDAD ORGANIZACIONAL U OPERACIONAL

La seguridad organizacional u operacional integra la seguridad física 10 y lógica 11 y responsabiliza a los altos mandos de generar: aquellas medidas destinadas a establecer procedimientos, normas, reglas y estándares de seguridad, que gestionen y administren la integridad, confidencialidad y seguridad de los datos almacenados en programas y sistemas informáticos, que se encuentran situados físicamente en un determinado local o centro. 12 Esta seguridad estará enfocada hacia la operatividad de la empresa y los planes de acción que tenga para enfrentarse a las diferentes situaciones que se le presenten, contemplando todas las medidas necesarias que se deben tomar para proteger la información, dados diferentes panoramas de riesgos, entre los cuales se incluyen, desastres naturales, desastres causados por el hombre, medidas para la conservación de la integridad física y operativa de los equipos, niveles de acceso a la información y fallas humanas. ●

Desastre natural: Ocurrencia de un fenómeno natural en un espacio y tiempo limitados que causa trastornos en los patrones normales de vida y ocasiona pérdidas humanas, materiales y económicas debido a su impacto sobre poblaciones, propiedades, instalaciones y ambiente.

Desastre causado por el hombre: involucra las acciones provocadas por el hombre con el fin de causar daños, entre estas encontramos: Atentados terroristas, Incendios.

Conservación de la integridad física: la seguridad organizacional debe dirigir sus esfuerzos a que los equipos estén restringidos físicamente a personas ajenas a un equipo determinado y además que estos no se encuentren expuestos a materiales o substancias que pueda degenerar el equipo afectando la información en él

Conservación de la operatividad de los equipos: esta área involucra el uso de medidas de protección existentes para evitar la intromisión de personas abusivas a

10

Seguridad física: aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial 11 aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo 12 Tomado de : http://www.microsoft.com/business/smb/es-es/guia_lopd/medidas_seguridad.mspx

13


la información de la empresa, tales como antivirus, y cortafuegos, este último, es un sistema diseñado para prevenir acceso no autorizado hacia o desde una red privada ●

Niveles de acceso a la información: Restringe el acceso a los equipos que no corresponden al área de trabajo del personal.

Fallas humanas: Se relacionan con la debilidad del ser humano quien en últimas es el encargado de llevar a cabo los métodos que garanticen la seguridad de la información, para que esto se gestione de forma correcta deben existir capacitaciones adecuadas que conciencien al empleado en la importancia de la seguridad en su área.

6. AMENAZAS 6.1.

AMENAZAS A LA SEGURIDAD EN EL ENTORNO DEL COMERCIO ELECTRÓNICO

De acuerdo Puentes 13 y complementado por Laudon 14 , se identifican las siguientes como las amenazas clave a la seguridad en el entorno del comercio electrónico. Código malicioso: los virus, gusanos, caballos de Troya y redes de bots son una amenaza para la integridad del sistema y su operación continua, que a menudo cambian la forma de funcionar de un sistema, o alteran los documentos creados en este. Programas indeseables (adware, malware, spyware, etc.): un tipo de amenaza de seguridad que surge cuando los programas se instalan de manera clandestina en la computadora o en la computadora de red. Suplantación de identidad (phishing): cualquier intento en línea engañoso por parte de un tercero para obtener información confidencial para una ganancia financiera. 13

Puentes Calvo, Juan Francisco. “Principios de seguridad en el comercio electrónico”. Alfaomega, México. 2009. Laudon, Kenneth y Guercio Traver, Carol. “E-commerce. Negocios, tecnología, sociedad”. Cuarta edición. Pearson educación. México. 2009. Pág. 323. 14

14


Piratería informática y ciberbandalismo: trastornar, desfigurar o incluso destruir un sitio de manera intencional. Fraude/ robo de tarjeta de crédito: una de las ocurrencias más temidas y una de las principales razones por las que no hay más consumidores que participen en el comercio electrónico. La causa más común de fraude de tarjeta de crédito es una tarjeta perdida o robada que alguien más utiliza, seguida de la situación en la que un empleado roba números de clientes y la falsificación de identidades (delincuentes que solicitan tarjetas de crédito utilizando identidades falsas). Falsificación (spoofing): ocurre cuando los hackers intentan ocultar sus verdaderas identidades o presentarse utilizando direcciones de correo falsas, o bien haciéndose pasar por alguien más. La falsificación puede implicar redirigir un vínculo web a una dirección distinta de la original, donde el sitio se enmascara como si fuera el destino original. Ataques de Denegación de servicio: los hackers inundan un sitio Web con tráfico inútil para inundar y sobresaturar la red, lo que con frecuencia hace que se cierre y dañe la reputación de un sitio, además de sus relaciones con los clientes. Husmeo: un tipo de programa para escuchar de manera clandestina, que monitorea la información que viaja a través de una red y permite a los hackers robar información propietaria de cualquier parte en una red, incluyendo los mensajes de correo electrónico, los archivos de una empresa y los informes confidenciales. La amenaza del husmeo es que la información confidencial o personal se hará pública. Trabajos internos: aunque la gran mayoría de los esfuerzos de seguridad en internet se enfocan en mantener a los individuos externos alejados, la mayor amenaza proviene de los empleados que tienen acceso a información y procedimientos delicados. Software de servidor y cliente mal diseñado: el aumento en la complejidad y el tamaño de los programas de software ha contribuido con un aumento en las fallas o vulnerabilidades del software, debilidades que los hackers pueden explotar. Ingeniería social: La ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. 15 Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que 15

Tomado de: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/V_Jornada_de_Seguridad/IngenieraSocial_CarlosBiscione.pdf

15


esta sé de cuenta de que te esta revelando "información sensible". Hoy en día sólo son necesarias las malas intenciones y una conexión a Internet para sembrar el caos.16 Ataques por fuerza bruta: estos consisten en generar e ir probando con todas las combinaciones de caracteres posibles hasta dar con la contraseña. Sin embargo muchos sistemas (no todos) niegan el acceso después de un determinado número de fallas

16

Tomado de: http://www.zonavirus.com/articulos/ingenieria-social.asp

16


7. PAUTAS DE PROTECCIÓN PARA LAS DIFERENTES AMENAZAS

Las diferentes amenazas se pueden clasificar en tres categorías, amenazas hacia las instalaciones, amenazas hacia el sistema y amenazas hacia el humano, en otras palabras hay riegos previstos para debilitar las herramientas tecnológicas y otros que buscan penetrar las barreras del sistema a través de la falencia de conocimientos por parte de los empleados. A continuación se detallan las buenas prácticas asociadas al comercio electrónico que deben tener en cuenta los pequeños y medianos empresarios, en las políticas organizacionales con el fin de asegurar la continuidad de su negocio, y mejorar la imagen positiva ante sus clientes.

Tabla 2. Resumen Buenas Prácticas AMENAZAS AL COMERCIO ELECTRONICO HERRAMIENTAS DE DEFENSA SEGURIDAD INFORMATICA Código malicioso programas indeseables

ÁREA TÉCNICA

 Buenas prácticas para el uso de Internet

Husmeo

 Buenas prácticas de seguridad en las comunicaciones  Buenas prácticas para la protección de datos personales

Ataques de denegación del servicio

 Buenas prácticas aplicables al portal web de comercio electrónico.

Piratería informática y ciberbandalismo

 Buenas practicas aplicables al portal web de comercio electrónico  Buenas practicas aplicables a la seguridad física y lógica  Buenas prácticas aplicables al portal web de comercio electrónico.  Buenas prácticas para el uso de internet

Ataques por fuerza bruta Software de servidor y cliente mal diseñado

 Buenas prácticas aplicables al portal web de comercio electrónico.

17


ÁREA HUMANA

AREA FISICA

Fraude/Robo de tarjeta de crédito Suplantación de identidad (phishing) Falsificación (spoofing)

 Buenas prácticas aplicables al portal web de comercio electrónico.  Buenas prácticas en la contratación, y capacitación del personal

Ingeniería social

Trabajos internos Desastres causados por la naturaleza o por el humano Mal manejo de los equipos

 Buenas prácticas en la contratación, y capacitación del personal  Buenas practicas asociadas para la protección de datos personales  Buenas prácticas para la prevención y atención de desastres  Buenas prácticas para la contratación y capacitación del personal

Fuente: Autores

De acuerdo a la tabla anterior este manual de seguridad informática se concentra en formular unos lineamientos de seguridad a nivel organizacional abordando para esto los siguientes capítulos:  Buenas prácticas para la prevención y atención de desastres  Buenas prácticas en la contratación, y capacitación del personal  Buenas prácticas para el uso de Internet  Buenas practicas aplicables a la seguridad física y lógica  Buenas prácticas aplicables al portal web de comercio electrónico.  Buenas prácticas de seguridad en las comunicaciones  Buenas prácticas para la protección de datos personales  Buenas prácticas en la contratación por medios electrónicos

18


7.1.

BUENAS PRÁCTICAS PARA PREVENCIÓN Y ATENCIÓN DESASTRES (NATURALES Y CAUSADOS POR EL HOMBRE)

DE

Teniendo en cuenta que el desarrollo de las actividades comerciales en la actualidad se encuentra inmerso en el entorno tecnológico, es importante para el desarrollo normal de las actividades empresariales que, la empresa esté preparada para afrontar cualquier evento inesperado y fortuito, ya sea natural o causado por el hombre, en el cual la perdida de activos tangibles e intangibles sea mínima.

7.1.1. CONTINUIDAD DESASTRES

DEL

NEGOCIO

ANTE

FALLAS,

SINIESTROS

O

Las empresas están continuamente sometidas a diferentes riesgos pero estos no implican la merma del negocio por tanto las pequeñas y medianas empresas deben considerar tener un plan donde se estipulen los diferentes riesgos a los cuales son susceptibles y acorde a esto genere políticas que permitan la continuidad del negocio. Para que la empresa pueda recuperar la información sin importar la falla, siniestro o desastre ocurrido debe contar con un plan de recuperación 17 , a continuación se presenta un panorama de los posibles riesgos, y seguidamente enunciamos un ejemplo de un plan de recuperación.

PANORAMA DE RIESGOS ASOCIADO A LAS FALLAS, SINIESTROS O DESASTRES, NATURALES O CAUSADOS POR EL HOMBRE El empresario debe considerar el impacto que tienen en la continuidad del negocio, los daños originados por fallas, siniestros o desastres. Para aminorar este efecto negativo se recomienda que el empresario plantee un panorama de riesgos enfocado a desarrollar un plan de recuperación ante desastres. En la tabla 3 se muestran los riesgos más comunes a los que están expuestos las pymes Bogotanas y algunos consejos básicos de seguridad física aplicables a estos riesgos. 17

Adaptación de los autores del manual para plan de contingencia de las aulas informáticas, del Ministerio de Educación del Gobierno del Salvador-MINED. Versión 1.0 febrero de 2006.

19


Tabla 3. Consejos de seguridad de acuerdo a las fallas, siniestros o desastres naturales o causados por el hombre FALLAS, SINIESTROS Ó DESASTRES DEFINICION

FUEGO

AGUA

TERREMOTOS

El fuego es un problema crítico en un centro de cómputo por varias razones: primero, porque el centro está lleno de material Combustible como papel, cajas, etc. El hardware y el cableado estructurado pueden ser también fuente de serios incendios. Desgraciada mente los sistemas anti fuego dejan mucho que desear, causando casi igual daño que el propio fuego, sobre todo a los elementos electrónicos. El dióxido de carbono, actual alternativa del agua, resulta peligroso para los propios empleados si quedan atrapados en el lugar. El fuego es considerado el principal enemigo del Hardware, ya que puede destruir fácilmente los archivos y programas

Las afecciones pueden ocurrir como resultados de goteos del techo, goteos de tuberías de techo o por el aire acondicionado. Se recomienda que el personal tenga un plan para proteger el equipo, así como los muebles y equipo periférico contra agua.

Los terremotos pueden desarrollarse en cualquier momento, por lo que es de suma importancia incluir en el plan de emergencia de la empresa el plan a utilizar en el centro de cómputo, dando prioridad a salvaguardar la vida de los miembros de la empresa

ALGUNOS CONSEJOS DE SEGURIDAD FISICA 1. El área en la que se encuentran las computadoras debe estar en un local que no sea combustible o inflamable. 2. El local no debe situarse encima, debajo o adyacente a áreas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases tóxicos o sustancias radioactivas. 3. Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo. 4. Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y resistentes al fuego. 5. No debe estar permitido fumar en el área de proceso. 6. Deben emplearse muebles incombustibles, y cestos metálicos para papeles. 7. Deben evitarse los materiales plásticos e inflamables. 8. El piso y el techo en el recinto del centro de cómputo y de almacenamiento de los medios magnéticos deben ser impermeables. 1, los equipos deben ubicarse en lugares donde no hayan fuentes de agua. 2. cerrar las ventanas cuando este lloviendo si el equipo está cerca de una ventana. 3. si hay riesgo de inundación ubicar los equipos en superficies a una altura más alta del nivel del piso. 4. proteger las conexiones eléctricas 1, Almacenar las copias de seguridad en un lugar que no esté sometido a los mismos riesgos de la empresa. 2. Tener asegurados los equipos y la maquinaria productiva ante desastres.

20


FALLAS ELECTRICAS

Para que funcionen adecuadamente, las computadoras personales necesitan de una fuente de alimentación eléctrica fiable, es decir, una que se mantenga dentro de parámetros específicos. Si se interrumpe inesperadamente la alimentación eléctrica o varía en forma significativa, fuera de los valores normales, las consecuencias pueden ser serias. Pueden perderse o dañarse los datos que hay en memoria, se puede dañar el hardware, interrumpirse las operaciones activas y la información podría quedar temporal o definitivamente inaccesible.

1. Conectar los equipos a UPS (Sistema Ininterrumpible de Poder) 2. Controlar el uso de extensiones eléctricas y su ubicación para evitar que una persona desprevenida pueda desocupar un equipo, y el uso continuo de las extensiones puede generar sobrecargas eléctricas generando cortos circuitos 3. Plantas eléctricas de emergencia

FALLAS HUMANAS

Son aquellos incidentes de seguridad provocadas por las personas, voluntaria e involuntariamente que ponen en riesgo la seguridad del sistema, entre estas se encuentran la instalación de software, descarga de archivos por correo electrónico, abusos de confianza, daño, alteración, robo o pérdida de la información, por otro lado el desconocimiento del alcance de la difusión de la información confidencial, la difusión de usuarios y claves asociadas, etc., como ejemplo podemos citar: en las empresas se encuentra un intercambio constante de claves, al punto de que en muchas empresas con administración delegada se podría llegar a obtener con dos o tres claves dichas en voz alta, permisos de administrador total

Ante las fallas humanas la mejor herramienta es la capacitación en aspectos como:

ROBO

1. Amenazas virtuales, virus, gusanos, bots, etc. 2. Políticas de confidencialidad 3. Amenazas de ingeniería social

El robo, es un delito contra el patrimonio, consistente en el apoderamiento Se recomienda tener asegurados los equipos de bienes ajenos, con intención de lucrarse, empleando para ello fuerza en Si las copias de seguridad son físicas, como CD´S, Discos Duros, Usb,s, entre las cosas o bien violencia o intimidación en la persona. otras, estas deben guardarse en un recinto diferente al de los equipos para que no estén sometidas a los mismos riesgos, como robo, incendios, terremotos, etc.

Fuente: Autores

21


PLAN DE RECUPERACIÓN Es importante definir los procedimientos y planes de acción para el caso de una posible falla, siniestro o desastre en el la pequeña o mediana empresa. Cuando ocurra un evento que afecte la seguridad, es esencial que se conozca en profundidad el motivo que lo originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. Las actividades a realizar en un Plan de Recuperación se pueden clasificar en tres etapas:   

Actividades Previas a la falla o desastre. Actividades Durante la falla o Desastre. Actividades Después de la falla o Desastre.

Actividades Previas al Desastre Son todas las actividades de planeación, preparación, entrenamiento y ejecución de las actividades que buscan resguardar activos de la pequeña y mediana empresa, que le aseguren un proceso de Recuperación eficiente y con el menor costo posible

Establecimiento procedimientos del Plan de Acción a) Equipos de Cómputo. Es necesario realizar un inventario actualizado de los equipos, especificando su contenido (software y licencias que usa) b) Obtención y almacenamiento de los Respaldos de Información (BACKUPS). Se deberá establecer los procedimientos para la obtención de copias de Seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución del Software y/o Sistemas operativos que posee la empresa. Para lo cual se debe contar con:

22


 

Backups 18del Sistema Operativo (en caso de tener varios Sistemas Operativos o versiones, se contará con una copia de cada uno de ellos). Backups del Software Base: consiste en programas informáticos que sirven para controlar e interactuar con el sistema operativo, proporcionando control sobre el hardware y dando soporte a otros programas Backups de los Datos (Bases de Datos, passwords, y todo archivo necesario para el funcionamiento normal de la empresa).

c) Políticas (Normas y Procedimientos de Backups) Se deben establecer procedimientos, responsabilidades, debiéndose incluir:    

 

normas,

y

determinación

de

Periodicidad de cada Tipo de Backup Uso obligatorio de un formulario estándar para el registro y control de los Backups Almacenamiento de los Backups en condiciones ambientales óptimas, dependiendo del medio magnético empleado. Almacenamiento de los Backups en un lugar donde no estén sometidos a los mismos riesgos ocasionados por los desastres (se recomienda un lugar diferente al centro de operaciones, y discos duros virtuales). Reemplazo de los Backups, en forma periódica, antes que el medio magnético de Soporte se pueda deteriorar (reciclaje o refresco). Pruebas periódicas de los Backups (Restore), verificando su funcionalidad.

ACTIVIDADES DURANTE EL DESASTRE Una vez presentada la Falla o Siniestro, se deberá ejecutar las siguientes actividades, planificadas previamente:

Plan de Emergencias En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro, así como la difusión de las mismas. 18

Backup, es la traducción al ingles de copia de seguridad

23


Es conveniente prever los posibles escenarios de ocurrencia del Siniestro:  

Durante el día. Durante la Noche o madrugada.

Este plan deberá incluir la participación y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el área donde ocurre el siniestro, debiendo detallar:    

Vías de salida o escape. Plan de Evacuación del Personal Ubicación y señalización de los elementos contra el siniestro si los hubiere (extintores, cobertores contra agua, etc.) Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de Iluminación (linternas), lista de teléfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de personal nombrado para operar en estos casos.

Entrenamiento Establecer un programa de prácticas periódicas de todo el personal en la lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en los planes de evacuación del personal, para minimizar costos se puede aprovechar fechas de recarga de extintores, charlas de los proveedores, etc. Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es conveniente el compromiso de los directivos, dando el ejemplo de la importancia que la dirección otorga a la Seguridad.

24


ACTIVIDADES DESPUÉS DEL DESASTRE O FALLA

Después de ocurrido la falla, Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el Plan de Acción:    

Evaluación de Daños. Ejecución de Actividades. Evaluación de Resultados. Retroalimentación del Plan de Acción.

Evaluación de Daños. Inmediatamente después que la falla, siniestro o desastre ha concluido, se deberá evaluar la magnitud del daño que se ha producido, que equipos han quedado o no operativos, cuales se pueden recuperar, y en cuanto tiempo, etc.

Ejecución de Actividades. Los trabajos de recuperación usaran los recursos de la empresa con el fin de restaurar sus actividades normales. Para esto la empresa debería plantearse escenarios pesimistas y optimistas en cuanto a la continuidad del negocio una vez sucedida una falla, siniestro o desastre y de acuerdo a esto generar procedimientos para la recuperación de desastres.

Evaluación de Resultados. Una vez concluidas las labores de Recuperación del equipo que fue afectado, se debe de evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de acción, como se comportaron los equipos de trabajo, etc. De la evaluación de resultados, los encargados deben realizar dos tipos de recomendaciones, una que es la retroalimentación del plan de Contingencias para su

25


organización y otra una lista de recomendaciones para minimizar los riesgos y pérdida que ocasionaron el siniestro o la falla.

Retroalimentación del Plan de Acción. Con la evaluación de resultados, se debe optimizar el plan de acción original, mejorando las actividades que tuvieron algún tipo de dificultad y reforzando los elementos que funcionaron adecuadamente

26


7.2.

BUENAS PRACTICAS APLICABLES A SEGURIDAD FISICA Y LOGICA

7.2.1. BARRERAS FÍSICAS Y LÓGICAS PARA GARANTIZAR LA INTEGRIDAD DE LA INFORMACIÓN

Las organizaciones deben plantearse procedimientos, destinados a proteger el acceso a los archivos almacenados en los equipos, cubriendo las necesidades y riesgos tanto remotos como internos, esto con el fin de que personas inescrupulosas tengan acceso a información confidencial que afecte directamente el desarrollo y crecimiento de la empresa, como quienes son sus clientes permanentes, cual es el nivel de sus compras, sus datos de contacto, entre otras, información que puede ser muy útil a empresas competidoras. NIVEL EXTERNO Con el propósito de enfrentar eficazmente los intentos de acceder a la información mediante equipos remotos, cuyo objetivos pueden ser: husmear, denegar el servicio, modificar la información, instalar virus, entre otros, la empresa debe contar con lineamientos de seguridad que incluyan la seguridad perimetral 19 (Agregado de hardware, software y políticas para proteger una red en la que se tiene confianza (intranet¨) de otras redes en las que no se tiene confianza (extranets, Internet))

NIVEL INTERNO Con el fin de proteger la operatividad y la integridad física( incluyendo la información almacenada en los equipos), estos no deben disponerse al alcance de personas ajenas al desarrollo de la organización, y en un sentido más estricto no deben ser manipulados por personal no autorizado o asignado al equipo, para esto el centro de cómputo debe contar con barreras de acceso a los equipos, pero si las barreras físicas

19

Tomado de: http://www-gris.det.uvigo.es/wiki/pub/Main/PaginaNST/SEC_III_NST.pdf

27


son traspasadas deben existir medidas de contingencia 20 que atenúen y contribuyan a disminuir el impacto del ataque entre las cuales se encuentran, las claves de usuario y asociadas a estas una identificación de usuario que permita conocer quién y de qué forma ha utilizado la información almacenada.

7.2.2. ALTERNATIVAS DE SOLUCIÓN

A continuación se detallan unas medidas de seguridad básicas a nivel externo e interno que la empresa debe considerar en su plan de seguridad, además de esto si el plan de seguridad falla, debe existir un plan de respuesta y recuperación ante incidentes de seguridad.

NIVEL EXTERNO Protección y prevención en seguridad física  Solicitar identificación de los empleados en el momento de ingresar a la empresa.  Realizar un registro de los visitantes  Reportar evento debilidades de seguridad física Protección y prevención en seguridad lógica     

Instalar un firewall para bloquear el acceso no autorizado pero permitiendo las comunicaciones que si están permitidas. Seleccionar programas antivirus y anti espías adecuados para las necesidades de las empresas Tener planes de contingencia que filtren y desvíen el spam, para que no se congestione el sitio web de la empresa. Reportar evento debilidades de seguridad lógica Reportar eventos en la seguridad de la información

20

Para entidades que requieren confidencialidad y control de la información, las medidas a tomar incluyen ingresos por controles biométricos, como huellas dactilar, identificador de voz, iris, etc.

28


Bloquear el acceso a los sitios donde se comparte información con los clientes y proveedores, al (n) intento fallido y generar procedimientos de verificación de usuario, tal como autenticación por correo electrónico, celular, llamada telefónica, entre otras. (se recomienda n=<3)21

NIVEL INTERNO Protección y prevención en seguridad física     

       

Controlar el acceso al centro de cómputo. Mantener un inventario actualizado de los activos computacionales y tecnológicos de la empresa Verificar que los equipos no se encuentren expuestos a fallas eléctricas Verificar que los equipos no se encuentren expuestos a factores climáticos Asegurarse que los equipos no se encuentran cerca de elementos que se puedan caer o derramar cerca de los equipos, tales como bebidas, alimentos, exceso de polvo o material particulado, químicos, entre otros. Generar cronogramas de mantenimiento para los equipos para evitar su deterioro Generar usuarios y contraseñas para los empleados de acuerdo a su nivel de acceso a la información Crear barreras que impidan el acceso a extraños a equipos que puedan contener información Bloquear sesiones de usuario cuando el equipo no se esté usando Establecer un control de ingreso y salida de equipos de la empresa, donde se señale responsable, quien autoriza y destino. Los Discos y documentos con información sensible deberán guardarse bajo llave. Retirar puertos USB, y quemadores de CD Las carpetas o documentos que contengan información confidencial deberían estar protegidos de acuerdo a su relevancia para la compañía.

21

Sugerencia de los autores, basada en la experiencia de situaciones similares, en paginas como Hotmail, yahoo, uffmovil, entre otras.

29


Protección y prevención en seguridad lógica        

Adquirir medios informáticos acorde con las necesidades de la empresa Restringir la instalación de software, solicitando para la instalación claves de administrador Chequear las aplicaciones regularmente para el cumplimiento con los estándares de seguridad Delimitar bien las funciones de los empleados para poder limitar el acceso a la información a solo aquella que necesiten para su trabajo Generar un registro de fallas bien sea humanas o técnicas que se produzcan en la empresa Crear y manejar las bases de datos Asignar responsabilidades y responsables de la seguridad de la información Utilizar medidas que impidan cambiar la configuración del equipo, o intenten solucionar posibles problemas de funcionamiento. En dicho caso, se deberá comunicar inmediatamente a la persona encargada del mantenimiento de los equipos. Bloquear el acceso a los equipos al (n) intento fallido y generar procedimientos de verificación de usuario, tal como autenticación por correo electrónico, celular, llamada telefónica, entre otras. En la figura No. 1 se muestra como al armonizar las diferentes medidas de seguridad física con las de seguridad lógica, unido a la capacitación en las dos áreas, esta estrategia de defensa logra dificultar el acceso a la información por parte de personal no autorizado.

30


Figura No. solución

1. Representación grafica del funcionamiento de las alternativas de

Fuente: Autores

Estructura de un plan de respuesta y recuperación ante incidentes de seguridad. A continuación se muestra el orden lógico para llevar a cabo un plan de respuesta y recuperación ante incidentes de seguridad,

31


Figura No. 2. Estructura plan de contingencias y recuperación ante incidentes de seguridad.

Actividades previas a la falla o desastre Elaborar Panorama de riesgos Entrenamiento

Generar plan de contingencias y de recuperación

Actividades durante la falla o desastre

Identificar la falla o desastre

Aplicar la contingencia para contener el daño de la falla o desastre

Actividades después de la falla o desastre Evaluación de los daños

Efectuar las actividades del plan de recuperación

Identificacion de falencia que permitio la falla o desatre

Mejorar el plan de seguridad y retroalimentar los planes de contingencia y recuperacion

Fuente: Autores

32


7.3.

BUENAS PRACTICAS EN LA CONTRATACIÓN, Y CAPACITACIÓN DEL PERSONAL

Las personas constituyen uno de los problemas más importantes de seguridad para cualquier organización porque a diferencia de los componentes tecnológicos, son el único elemento, dentro de un entorno seguro, con la capacidad de decidir “romper” las reglas establecidas en las políticas de seguridad de la información. La única manera de hacer frente a los métodos de ingeniería social es la capacitación, y esta debe incluir los métodos de engaño más empleados por los atacantes, para que logren identificarlos y dar aviso de cualquier anomalía que se produzca en el equipo o en determinado ambiente. 22 De acuerdo a la premisa anterior se tiene que “una organización puede tener el mejor sistema de seguridad para resguardar su información, pero sólo basta contactar a un empleado desprevenido para poder ingresar al corazón de ella. Por ende, cada persona puede transformarse, sin querer, en una puerta de entrada para los ciberdelincuentes”23.

7.3.1. AMENAZAS QUE SE ORIGINAN EN EL PERSONAL

Estas amenazas derivan de acciones realizadas por el personal en forma deliberada, por desconocimiento, o accidentalmente, cuyo resultado es revelar vulnerabilidades en la seguridad física o lógica a intrusos. Una de las más usuales es la ingeniería social, que puede utilizar métodos como la suplantación de identidad de un amigo, o un jefe con el fin de obtener claves y usuarios de ingreso (phishing), para acceder a la información, o ganarse la simpatía de un empleado de la organización para que le permita el ingreso a las instalaciones específicamente al centro de cómputo. 22

Tomado de: https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf Palabras de Edgar Rojas, gerente general de la consultora The Muro Group, para el artículo “The Muro Group advierte a empresas sobre los peligros de la ingeniería social” consultado en: http://www.ebanking.cl/seguridad/muro-group-advierteempresas-sobre-los-peligros-ingenieria-social-003854 . 18-10-2011 23

33


Como ya se ha mencionado el acceso a la información por intrusos, permite a estos alterar los datos, dañarlos, venderlos, publicarlos, entre otras. A nivel físico el intruso puede deliberadamente ingresar al sistema, dañar los equipos, provocar cortos circuitos, incendios, robar los equipos, bloquearlos entre otras actividades, con lo cual podría afectar la disponibilidad del sitio web, y representa una amenaza a la integridad de la información. Para esto señalamos unas pautas a nivel de vinculación de personal y capacitación, que buscan generar conciencia en el empleado de la importancia de salvaguardar la integridad y operatividad de la información y los equipos a él confiados.

7.3.2. ALTERNATIVAS DE SOLUCION 7.3.2.1.

Seguridad frente al personal

La política de seguridad del sistema informático frente al personal de la organización requiere contemplar los siguientes aspectos. 24 Alta de empleados El procedimiento de alta de nuevos empleados requiere prestar atención a aspectos como el adecuado chequeo de referencias y la incorporación de determinadas cláusulas de confidencialidad en los contratos, sobre todo si la persona en cuestión va a tener acceso a datos sensibles y/o va a manejar aplicaciones críticas dentro del sistema informático. Asimismo, es necesario definir claramente el procedimiento seguido para la creación de nuevas cuentas de usuarios dentro del sistema, así como para la posterior asignación de permisos en función de las atribuciones y áreas de responsabilidad de cada empleado.

24

Gómez Vieities, Alvaro. “ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA” alfaomega. México. 2007. Pág. 39.

34


Por último, no se debería descuidar una adecuada formación de estos nuevos empleados, trasladando claramente cuáles son sus obligaciones y responsabilidades en relación con la seguridad de los datos y las aplicaciones del sistema informático de la organización. Baja de empleados: El procedimiento de actuación ante una baja de un empleado también debería quedar claramente definido, de tal modo que los responsables del sistema informático puedan proceder a la cancelación o bloqueo inmediato de las cuentas de usuario y a la revocación de los permisos y privilegios que tenían concedidos. Así mismo, este procedimiento debe contemplar la devolución de los equipos, tarjetas de acceso y otros dispositivos en poder de los empleados que causan baja en la organización. Funciones, obligaciones y derechos de los usuarios: La organización debe definir con claridad cuáles son los distintos niveles de acceso a los servicios y recursos de su sistema informático. De este modo, en función de las distintas atribuciones de los usuarios y del personal de la organización, se tendrá que establecer quien está autorizado para realizar una serie de actividades y operaciones dentro del sistema informático; a que datos, aplicaciones y servicios puede acceder cada usuario; desde que equipos o instalaciones podrá acceder al sistema y en que intervalo temporal (día de la semana y horario). Formación y sensibilización de los usuarios La organización deberá informar puntualmente a sus empleados con acceso al sistema de información de cuáles son sus obligaciones en materia de seguridad. Asimismo, debería llevar a cabo acciones de formación de forma periódica para mejorar los conocimientos informáticos y en materia de seguridad de estos empleados, Las personas que se incorporen a la organización tendrán que ser informadas y entrenadas de forma adecuada, sobre todo en las áreas de trabajo con acceso a datos sensibles y aplicaciones importantes para el funcionamiento de la organización.

35


7.3.3. VINCULACIÓN DEL PERSONAL

Para prevenir recomienda: 

   

  

que personal mal intencionado se vincule a la organización se

Antes de realizar la vinculación de personal nuevo se deben conocer sus antecedentes, referencias personales y laborales, con el fin de determinar que no genera una amenaza para la empresa. El contrato de vinculación debe incluir cláusulas de confidencialidad asociadas a la protección de la información y a los delitos contenidos en la ley 1273 de 2009 que apliquen a la empresa. La empresa debe asignar un usuario al nuevo personal junto con una contraseña que el usuario pueda cambiar. Delimitar y estratificar la información de acuerdo a la información requerida para las actividades del cargo. Si es posible se asignara un equipo al nuevo personal, con el fin de conocer los usos que le da a los recursos de la empresa. Si es posible asignación de una cuenta de correo electrónico empresarial, que le permita al empresario filtrar la información que pueden compartir sus empleados, como se mencionó anteriormente “la información confidencial de la empresa es un activo valioso para los competidores”. El contrato de vinculación debe informar en qué condiciones se auditara el correo electrónico institucional del empleado. Informar a los empleado que el acceso a internet solo estará disponible a fines profesionales Notificar los derechos, responsabilidades y deberes que asumen en cada cargo en cuanto a la seguridad del equipo y la información contenida en este.

36


7.3.4. CAPACITACIÓN

Gómez 25presenta una relación de los temas a incluir en la formación básica sobre seguridad informática para los empleados de la organización:  

   

Utilización segura de las aplicaciones corporativas Utilización segura de los servicios que hayan sido autorizados de internet: o Navegación por páginas Web evitando engaños y posibles contenidos dañinos o Utilización de la firma electrónica y la criptografía en el correo electrónico para garantizar la autenticidad, integridad y confidencialidad de los mensajes sensibles o Como llevar a cabo transacciones en servidores seguros; etcétera. Como evitar la entrada de virus y otros códigos dañinos: o Reconocimiento de mensajes falsos o con ficheros adjuntos sospechosos o Protección a la hora de instalar herramientas o acceder a determinados servicios de internet, etcétera. Reconocer las técnicas más frecuentes de ingeniería social, para evitar ser víctimas de este tipo de engaños Conocimiento de sus obligaciones y responsabilidades derivadas del actual marco normativo. Como gestionar los soportes informáticos, los equipos y los dispositivos portátiles. Como reaccionar ante determinados incidentes que puedan comprometer la seguridad de la información o el acceso a los recursos del sistema.

A las propuestas por Gómez, se sugiere considerar las siguientes 

25

Promover capacitaciones que faculten al empleado para identificar e informar, las amenazas hacia el comercio electrónico y los riesgos de seguridad física y lógica, que puedan afectar el buen funcionamiento de la empresa.

Gómez Vieities, Alvaro. “ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA” alfaomega. México. 2007. Pág. 89.

37


   

  

Informar al empleado sobre el nivel de auditoria de los recursos informáticos, es decir el empresario podrá conocer que sitios web ha visitado determinado usuario, el tiempo de permanencia. Y en base a esto estipular llamados de atención, que orienten a hacer un manejo más eficiente de los recursos. Generar capacitaciones que impulsen la conservación de los equipos. Familiarizar e informar al personal los procedimientos asociados al movimiento de equipos interna y externamente en la organización. Adiestrar a los usuarios para jamás publicar cuentas de correo en áreas públicas que permitan sean cosechadas por software para este fin. Adiestrar al usuario para evitar proporcionar cuentas de correo electrónico y otros datos personales a personas o entidades que puedan utilizar estos con otros fines. Evitar publicar direcciones de correo electrónico en formularios destinados a recabar datos de los clientes utilizando formularios que oculten la dirección de correo electrónico. Adiestrar al usuario a utilizar claves de acceso más complejas. Adiestrar al usuario para jamás responder a un mensaje de spam. Adiestrar al usuario a no hacer clic en los enlaces en los mensajes de spam y que pueden ser utilizados para confirmar al spammer que se trata de una cuenta de correo activa. Informar al personal que sólo se utilizarán las herramientas corporativas, quedando prohibida la instalación de cualquier software en las computadoras de la empresa que no haya sido expresamente autorizado.

La asistencia a estas capacitaciones debe registrarse y el empleado debe firmar como constancia de que ha sido instruido en los riesgos, amenazas y el compromiso a reportar los incidentes. Estas acciones de formación se podrían completar con la elaboración de un manual básico para los usuarios del sistema informático, que incluya las principales recomendaciones de la empresa y recuerde cuales son las obligaciones y responsabilidades de los usuarios, así como los límites establecidos por la organizaciones en el uso de los servicios de internet 26.

26

Gómez Vieities, Alvaro. “ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA” alfaomega. México. 2007. Pág. 89.

38


En definitiva, los usuarios finales deberían ser conscientes de los retos para la organización si no cumplen con las medidas básicas de seguridad en la utilización de los servicios informáticos y de su red de ordenadores. A su vez, los directivos deberían ser conscientes de la necesidad de destinar recursos y de contemplar la seguridad de la información en todos los proyectos que se encuentren bajo su responsabilidad y supervisión directa.27

27

Gómez Vieities, Alvaro. “ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA” alfaomega. México. 2007. Pág. 90.

39


7.4.

BUENAS PRÁCTICAS PARA EL USO DE INTERNET

En este apartado hemos incluido el buen manejo que se debe promover en la organización del acceso a internet. Dado que aunque este hace posible el comercio electrónico y los procesos asociados a el, también facilita el acceso a programas que pueden afectar los equipos.

7.4.1. EL USO DE LOS SERVICIOS DE INTERNET EN EL TRABAJO

La implantación de la conexión a internet en las organizaciones está planteando nuevos problemas que afectan a las actividades cotidianas de los empleados en sus puestos de trabajo, entre los que cabría destacar28:  La limitación de los servicios de internet y del correo electrónico en la empresa para usos exclusivamente profesionales.  La posibilidad de que el empresario o directivo pueda abrir el correo electrónico de un empleado.  El acceso al ordenador de un trabajador y a sus archivos y carpetas informáticas.  La potestad para controlar el uso que los empleados hacen de los servicios y la conexión a internet.  La capacidad de los representantes sindicales para utilizar el correo electrónico para sus comunicaciones con los empleados Abusar del acceso a internet y del correo electrónico desde el lugar del trabajo para fines distintos de los estrictamente profesionales puede tener consecuencias graves para los trabajadores. Esa es la tendencia de las últimas sentencias dadas a conocer en España, que consideraron procedente el despido de trabajadores que abusaron del uso de internet en sus empresas (por ejemplo, por la consulta reiterada a sitios de ocio en internet durante la jornada de trabajo y utilizando el ordenador de la empresa).

28

Gómez Vieities, Alvaro. “ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA” alfaomega. México. 2007. Pág. 91.

40


7.4.2. AMENAZAS QUE AFECTAN A LOS USUARIOS DE INTERNET

Una de las principales amenazas es el uso desmesurado e inconsciente de internet. Aunque es la herramienta que facilita el comercio electrónico, tiene riesgos implícitos esto se debe a que internet “es una red conceptualmente insegura ya que fue diseñada con un alto nivel de operatividad” 29. Entre los Riesgos implícitos encontramos riesgos como virus, gusanos, páginas de phishing, husmeo, seguridad en las comunicaciones, ciberdelincuencia. Etc. Por otro lado, el permitir que los empleados utilicen los recursos de la empresa para fines personales como sitios web de entretenimiento, videos, correo electrónico personal, redes sociales, contenidos pornográficos entre otros, consumen el ancho de banda y la capacidad de los servidores, limitando la operatividad de las aplicaciones que trabajan en línea generando retrasos y congestión en el sistema.

7.4.3. MEDIDAS DE SEGURIDAD EN EL CORREO ELECTRÓNICO

“Las denominadas Nuevas Tecnologías de la Información y la Comunicación (NTIC) han venido para quedarse en la empresa y debemos ser conscientes de que muchas veces el uso indebido del trabajador de esas (NTIC) es la cara de la moneda que, porque no decirlo, es la que más veces se suele mirar, examinar y salir a la luz o tener más repercusión mediática pero, también hay que ser conscientes de que esa moneda tiene como reverso el uso, en muchos casos indebido, por parte del empresario de esas NTIC”30 En la actualidad el uso del correo electrónico se ha estandarizado en las comunicaciones ya sea a nivel personal o a nivel laboral, por tanto el acceso a este recurso no se podría denegar en una empresa, pero surge la pregunta ¿Cómo controlar

29

“Seguridad en las transacciones online del comercio electrónico” Tesis. Tomado de: http://www.monografias.com/trabajospdf/seguridad-e-comerce/seguridad-e-comerce.shtml 30 Antoni Roig Batalla, “El uso laboral y sindical del correo electrónico e Internet en la empresa, Aspectos constitucionales, penales y laborales”. Derecho y tics, ed. tirant lo Blanch. Valencia. 2007. Pág. 148

41


un medio que facilita la fuga de información confidencial y por el cual se abre la puerta a un sin fin de ataques de ciberdelincuencia?

7.4.4. ALTERNATIVAS DE SOLUCIÓN

Para promover la dirección de estos recursos estrictamente al área laboral la seguridad informática recomienda que se debe tener como orientación la siguiente premisa “lo que no está permitido debe estar prohibido” que también se puede ver como “lo que no está prohibido está permitido”. De acuerdo a esto la empresa debe escoger si definir una lista de sitios web permitidos o prohibidos, de acuerdo a su conveniencia o facilidad tecnológica, a continuación se muestra una tabla con sugerencias de los sitios web a permitir o prohibir según sea el caso.

42


Tabla 4. Sugerencias de características de sitios web a prohibir o permitir según la filosofía de la empresa Filosofía “lo que no está prohibido está permitido”

Filosofía “Lo que no está permitido está prohibido”

Política prohibitiva: definir las características de los sitios web que no pueden ser visitados en la organización.

Política permisiva: definir las características de los sitios web que pueden ser visitados en la organización

• •

• • •

Sitios con contenido sexual Sitios de entretenimiento videos, música, fotografías, chistes, entre otras Servidores de correo electrónico personal Sitios web que permitan compartir información Redes sociales

• • • • • •

Sitios web de soporte técnico para el software y las aplicaciones Sitios web de aliados comerciales Sitios web de entidades bancarias Sitios web de clientes Sitios web de información Sitios web del estado

Fuente: Autores

Uso apropiado de las NTIC31 Los administradores de sistemas de una empresa, o los encargados de los servicios externos que proporciona acceso a la red pueden diseñar políticas de prevención del uso por parte de los empleados, Y, sin duda alguna, ese es el mejor mecanismo para evitar, no solo abusos por parte de los empleados, sino, también, por parte de los empresarios. Se pueden instalar “cortafuegos” que permiten establecer una serie de filtros “de salida”, evitando que se pueda acceder a determinadas páginas web o que se puedan enviar correos a determinadas direcciones. En este sentido, el mejor control empresarial, a juicio de José Muños Lorente32, es la prevención de los abusos a través 31

Antoni Roig Batalla, “El uso laboral y sindical del correo electrónico e Internet en la empresa, Aspectos consitucionales, penales y laborales”. Derecho y tics, ed. tirant lo Blanch. Valencia. 2007. Pág. 173. 32 Escritor del Capitulo II “Los límites penales en el uso del correo electrónico e internet en la empresa” tomado del libro Antoni Roig Batalla, “El uso laboral y sindical del correo electrónico e Internet en la empresa, Aspectos consitucionales, penales y laborales”. Derecho y tics, ed. tirant lo Blanch. Valencia. 2007. Pág. 173.

43


de esos mecanismos tecnológicos de los que ya se dispone en la actualidad, en este sentido, y si por razones laborales, fuese necesario acceder a alguna página web o a una dirección de correo electrónico respecto de las cuales se ha establecido un filtro “de salida” bastaría con que el superior jerárquico autorizase dicho acceso o dicho envío. Con ello se evitarían problemas, tanto para los empleados—que tendrían claro como podrán utilizar y como no las NTIC--, como para el empresario que no se vería obligado a Realizar controles sobre la utilización de las NTIC por parte de sus empleados evitando, al mismo tiempo, que esos controles pudieran de algún modo constituir un delito contra la intimidad del trabajador. Uso apropiado del correo electrónico La razón por la que aconsejamos no usar el correo personal para actividades laborales, es porque el correo le permite al usuario compartir información de forma eficiente y ágil, que puede generar incidentes de seguridad, por otro lado la mayoría de riesgos asociados al comercio electrónico son asociados al correo electrónico, es así como si llega un correo de una persona conocida indicando un link muy probablemente el empleado va a acceder a este, lo que puede concluir en la instalación de malware en el equipo, permitiéndole a los delincuentes mantener una ventana abierta a las comunicación de la empresa. Por otro lado la revisión del correo electrónico personal en horario laboral puede generar que el empleado pierda la concentración en el desarrollo de sus actividades, generando la disminución del tiempo productivo del empleado. Del mismo modo es aconsejable que el empleado no use la cuenta de correo institucional para sus asuntos personales, dado que si bien no puede compartir información confidencial a través de este, si puede permitir el ingreso de amenazas lógicas al sistema informático de la organización como virus, malware, ciberdelincuencia, ingeniería social, etc. A esto se le suma que en la legislación colombiana las comunicaciones de las personas están protegidas por el derecho constitucional a la intimidad, por tanto los correos electrónicos personales o empresariales están protegidos por el derecho a la intimidad, sin embargo el correo empresarial puede ser controlado mas no leído, permitiendo así definir en caso de una fuga de información quien fue el responsable y ejecutar las medidas legales a que haya lugar de acuerdo a la ley 1273 de 2009,

44


Principios que deben respetarse ante una actividad de control empresarial. 33 Para que la vigilancia sea legitima, esta ha de ser necesaria, dirigida a un fin concreto, realizada de forma abierta y clara, según los principios de adecuación, pertinencia y proporcionalidad, y con las mínimas repercusiones sobre el derecho a la intimidad de los trabajadores. El directivo o empresario no puede actuar “a escondidas” y de forma discriminatoria y masiva en la apertura de correos electrónicos de los trabadores. En este sentido, conviene tener en cuenta las siguientes recomendaciones: 

33

Sería conveniente mostrar un mensaje de aviso en cada inicio de sesión de un usuario en el sistema informático de la organización para informarle de que sus actividades pueden estar siendo registradas por motivos de seguridad. La empresa debería limitarse a listar los correos o la relación de páginas Web visitadas y no a leer sus contenidos (al igual que en el caso de las llamadas telefónicas) En el momento de producirse la apertura y lectura de mensajes de correo electrónico el empresario debería contar con testigos, representantes sindicales u otros trabajadores de la empresa, a los oportunos efectos probatorios. Esta misma recomendación se debería tener en cuenta a la hora de acceder a carpetas o documentos guardados en el ordenador asignado a un determinado trabajador.

Gómez Vieites, Álvaro. “enciclopedia de la seguridad informática” editorial ALFAOMEGA, 2007. México. PÁG. 96

45


7.5.

BUENAS PRACTICAS DE SEGURIDAD EN LAS COMUNICACIONES

La información depositada en las comunicaciones necesarias para el comercio electrónico incluye datos confidenciales y sensibles por tanto es necesario utilizar los recursos necesarios para protegerla, en este apartado hemos incluido la posición de VeriSign34 líder en la seguridad en internet , quien explica las medidas de seguridad y cómo funcionan en su publicación “la seguridad y la confianza, claves del comercio electrónico”35 del cual señalamos la información relevante para las buenas prácticas de seguridad en las comunicaciones. Donde se detallan los requerimientos necesarios para proveer un ambiente de seguridad”. El abandono de transacciones se ha convertido en un lastre para el comercio electrónico. Según un estudio sobre este tema, el 21% de los internautas han dejado a medias una compra en alguna ocasión porque les preocupaba la seguridad de los datos de su tarjeta de crédito y, por motivos similares, otros hacen compras de menor cuantía36 Es evidente, por tanto, que la tranquilidad de los clientes puede reportar grandes dividendos a las empresas que operan por Internet y ven mermadas sus ventas por el miedo al fraude. Según un estudio de TNS realizado en marzo de 2010, en Estados Unidos, el 73% de los internautas considera que podría ser víctima de un robo de identidad. Ante el temor a sucumbir a una estafa en línea, los clientes no sólo realizan menos transacciones, sino que también evitan realizar grandes gastos, por lo que ganarse su confianza trae consigo un gran potencial de ingresos. Todo esto, por supuesto, resulta igual de ventajoso para los consumidores, ya que comprar por Internet es más cómodo y ofrece muchas más posibilidades de ahorro que cualquier otro medio. Normalmente, cuando una persona busca un artículo en concreto, consulta varios sitios web que le merecerán más o menos confianza. Esa posibilidad de acudir a 34

VeriSign Authentication Services, ahora parte de Symantec Corp. (NASDAQ: SYMC), proporciona soluciones que permiten que las empresas y los consumidores participen en comunicaciones y comercio en línea con confianza. El sello VeriSign, que tiene más de un millón de servidores web que usan sus certificados SSL, una infraestructura que procesa más de dos mil millones de verificaciones de certificados por día y un logotipo que es visto hasta 250 millones de veces diariamente, es el símbolo de confianza más reconocido de Internet. 35 Verisign. “la seguridad y la confianza, claves del comercio electrónico”. 2010. Tomado de: http://www.verisign.es/ssl/sslinformation-center/ssl-resources/whitepaper-security-trust.pdf 36 “Según una encuesta, el riesgo asociado a la compra electrónica pone freno a su avance” (artículo en inglés de junio de 2009): www.eweek.com/c/a/Midmarket/Security-Concerns-Hinder- Online-Shopping-Survey-Finds-288359/, referenciado por: VeriSign. “la seguridad y la confianza, claves del comercio electrónico” 2010.

46


varios sitios es lo que le permite tomar la mejor decisión, siempre y cuando pueda confiar en ellos y sepa que su información privada está protegida. Afortunadamente, las empresas de comercio electrónico tienen a su disposición una serie de tecnologías destinadas a proteger los datos personales de sus clientes, autenticar sus sitios web y mejorar el grado de confianza de los consumidores. Si se usan los medios adecuados, los clientes podrán distinguir fácilmente los sitios web auténticos de las posibles réplicas que pueda haber creado un usuario malintencionado. Para abordar este complejo tema, primero se explicara las tecnologías de cifrado y los certificados que actualmente se usan, los protocolos en los que participan, y dando continuación a esto explicaremos en detalle cómo funciona el protocolo SSL (Que es el más usado en el mundo) y en base a esto se brindaran sugerencias de implantación en las pequeñas y medianas empresas

7.5.1. TECNOLOGÍA DE CIFRADO Y CERTIFICADOS

Laudon 37 explica que un sistema criptográfico moderno se basa en un determinado algoritmo de encriptación que realiza unas transformaciones sobre el texto original, conocido como texto claro, para obtener un texto modificado, conocido como texto cifrado o criptograma. Mediante el procedimiento inverso, utilizando un determinado algoritmo de desencriptación, se puede recuperar el texto original, el funcionamiento de los algoritmos de encriptación y desencriptación depende de unas claves, que determinan totalmente el resultado obtenido, de este modo, aunque los algoritmos sean públicos y conocidos por todos, si no se dispone de las claves, resulta imposible (siempre y cuando los algoritmos sean lo suficientemente robustos) realizar el proceso desencriptación. 37

Laudon, Kenneth y Guercio Traver, Carol. “E-commerce. Negocios, tecnología, sociedad”. Cuarta edición. Pearson educación. México. 2009. Pág. 325.

47


Figura No. 3. Funcionamiento de un sistema criptográfico

Fuente: Laudon, Kenneth y Guercio Traver, Carol. “E-commerce. Negocios, tecnología, sociedad”. Cuarta edición. Pearson educación. México. 2009. Pág. 325. 7.5.2. TIPOS DE SISTEMAS O TECNOLOGÍAS CRIPTOGRÁFICOS

Como se ha mencionado son muchos los riesgos que existen en internet no se debe desconocer que la tecnología también ayuda a proteger la seguridad de los mensajes que se envían usando la red 38 , entre los cuales se han desarrollado métodos de encriptación o cifrado, que proporcionan cuatro de los principios de seguridad en el comercio electrónico (integridad del mensaje, no repudiación, autenticación, confidencialidad), de acuerdo a esto en la actualidad se usan varias tecnologías de cifrado entre las cuales contamos: Cifrado por clave simétrica: tanto el emisor como el receptor utilizan la misma clave para cifrar y descifrar un mensaje. AES (Estándar de Cifrado Avanzado) es el sistema de cifrado por clave simétrica más utilizada en la red. Criptografía de clave pública: se utilizan dos claves digitales relacionadas en sentido matemático: una clave pública y una clave privada. El propietario mantiene la clave privada secreta, y la clave pública se distribuye ampliamente. Ambas claves se pueden utilizar para cifrar y descifrar un mensaje. Una vez que se utilizan las claves para cifrar un mensaje, no se pueden utilizar para descifrarlo. 38

Ídem 16.

48


Cifrado de clave pública utilizando firmas digitales y resúmenes de hash: este método utiliza un algoritmo matemático llamado función de hash para producir un número de longitud física, conocido como resumen de hash. Los resultados de aplicar la función de hash se envían del emisor al receptor. Al momento de recibirlos, el receptor aplica la función de hash al mensaje recibido y comprueba que se produzca el mismo resultado. Después el emisor cifra tanto el resultado de hash como el mensaje original, usando la clave pública del receptor para producir un solo bloque de texto cifrado. Para asegurar tanto la autenticidad del mensaje como la no repudiación, el emisor cifra todo el bloque de texto cifrado una vez más, usando su clave privada. Esto produce una firma digital, o texto cifrado “firmado”, que se puede enviar por internet para asegurar la confidencialidad del mensaje y autenticar al emisor. Envoltura digital: este método utiliza el cifrado simétrico para cifrar y descifrar el documento, pero utiliza el cifrado de clave pública para cifrar y enviar la clave simétrica. Certificados digitales e infraestructura de clave pública: este método se basa en las autoridades de certificación que emiten, verifican y garantizan los certificados digitales (un documento digital que contiene el nombre del sujeto o empresa, la clave pública del sujeto, un número de serie de certificado digital, una fecha de expiración, una fecha de emisión, la firma digital de la autoridad de certificación y demás información de identificación). Firmas digitales39 : Se define la firma digital como un valor numérico, que se crea con la clave privada del firmante. Para crear firmas digitales se utiliza un programa de computador basado en un procedimiento matemático denominado algoritmo de creación de firmas. La firma digital cambia de un documento a otro en la medida en que los datos de la clave privada se mezclan con los datos de cada documento que sea firmado con la misma clave privada. Para cada documento firmado se crea una nueva firma digital. Lo que no cambia es la clave privada. El procedimiento de verificación de la autenticidad de las firmas, es un programa de computador basado en un procedimiento matemático que se denomina algoritmo de verificación de firmas. A través de este procedimiento se verifica que el documento fue firmado con la clave

39

Memorias V encuentro red socio jurídica. “Contratación por medios electrónicos una perspectiva desde el derecho comparado”. Grupo de Globalización y Derecho. Universidad Sergio Arboleda. 2006. Pág. 35.

49


privada del firmante (autenticidad) y que la información del documento se conserva completa e inalterada (integridad). De acuerdo a Zubieta y según el modelo de las normas colombianas se pueden ver tres tipos de equivalencia, a saber: a) firma, b) firma digital y c) firma digital con certificado de entidad de certificación abierta, y estas equivalencias se pueden resumir en la Tabla 5. Tabla 5. Equivalencia entre firmas

Fuente: Zubieta Uribe, Hermann, “los mensajes de datos y las entidades de certificación”, en Internet Comercio Electrónico y Telecomunicaciones, Grupo de Estudios en Internet, Comercio Electrónico y Telecomunicaciones, Bogotá, Universidad de los Andes, Legis, 2003.

50


7.5.3. PROTOCOLOS DE ELECTRONICO

ENCRIPTACION

USADOS

EN

SEGURE ELECTRONIC TRANSACTION (SET)

EL

COMERCIO

40

SET fue expresamente diseñado para el comercio electrónico y no sirve para ninguna otra cosa, por eso no supone ninguna mejora en cuanto a la seguridad en la comunicación propiamente dicha, pero mejora las condiciones en las que el proceso de comercio electrónico tiene lugar. Una vez que cada participante ha obtenido un certificado, SET se rige por un diálogo entre tres entidades ●

El poseedor de la tarjeta de crédito o comprador. ● El comerciante. ● La pasarela de pago, que está controlada por un banco. La seguridad del protocolo se basa fundamentalmente en un sistema estricto de certificación (norma X509) y en que cada uno de los agentes conoce exclusivamente la información que le concierne y que le es estrictamente necesaria para poder realizar la compra, la venta o la transacción. Así el comerciante no llegará a saber cuál es el número de tarjeta de crédito del comprador, ni la pasarela de pago cuales son los productos comprados por el consumidor. De acuerdo a esto Puentes 41 nos permite apreciar de manera gráfica cómo funciona el esquema de comunicaciones bajo el protocolo SET.

40 41

Tomado de: http://www.instisec.com/publico/verarticulo.asp?id=42 Puentes Calvo, Juan Francisco. “Principios de seguridad en el comercio electrónico”. Alfaomega, México. 2009. pág. 137.

51


Figura No. 4. Esquema de comunicaciones SET

Fuente: Puentes Calvo, Juan Francisco. “Principios de seguridad en el comercio electrónico”. Alfaomega, México. 2009.

SEGURE SOCKET LAYER (SSL) 42

Es un proceso que administra la seguridad de las transacciones que se realizan a través de Internet. El estándar SSL fue desarrollado por Netscape, junto con Mastercard, Bank of America, MCI y Silicon Graphics. Se basa en un proceso de cifrado de clave pública que garantiza la seguridad de los datos que se envían a través de Internet. Su principio consiste en el establecimiento de un canal de comunicación seguro (cifrado) entre dos equipos (el cliente y el servidor) después de una fase de autenticación. De esta forma, SSL es transparente para el usuario (es decir, el usuario puede no conocer que está usando SSL). Por ejemplo, un usuario que utiliza un navegador de

42

Tomado de: http://es.kioskea.net/contents/crypto/ssl.php3

52


Internet para conectarse a una página Web de comercio electrónico protegido por SSL enviará datos cifrados sin tener que realizar ninguna operación especial.

Actualmente, casi todos los navegadores soportan el protocolo SSL. Por ejemplo, Netscape Navigator muestra un candado cerrado para indicar la conexión a un sitio Web con seguridad SSL y un candado abierto en el caso opuesto, en tanto que Microsoft Internet Explorer muestra un candado sólo si establece una conexión con un sitio Web SSL. Un servidor de Web seguro tiene una dirección URL que empieza con https://, en el que la "s" obviamente significa secured, seguro. Figura No. 5. Funcionamiento del protocolo SSL

Fuente: Verisign. “la seguridad y la confianza, claves del comercio electrónico”. 2010.

53


TRANSPORT LAYER SECURITY (TLS)

Es una característica de los servidores de correo diseñados para asegurar la transmisión de correo electrónico de un servidor a otro mediante la tecnología de encriptación. TLS puede reducir el riesgo de espionaje, manipulación y falsificación de comunicaciones de mensajes de correo. TLS es un protocolo de seguridad de la Internet Engineering Task Force (IETF) que se basa en el protocolo Secure Sockets Layer (SSL). El protocolo TLS se compone de dos capas. 43  

El protocolo de registro TLS está diseñado para proteger la confidencialidad mediante el cifrado de datos simétrica. El protocolo de enlace TLS permite la autenticación entre el servidor y el cliente y la negociación de un algoritmo y claves de codificación antes de que el protocolo de aplicación transmita o reciba cualquier dato.

ENTIDADES CERTIFICADORAS

Es aquella persona que, autorizada conforme a la ley 527 de 1999 44, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales. Las entidades certificadoras pueden ser abiertas o cerradas: Entidad de certificación cerrada: entidad que ofrece servicios propios de las entidades de certificación sólo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneración por ello.

43

Transport Layer security (TLS), Frecuently Asked Question, The Bank of New York Mellon, 2008. Tomado de: http://www.bnymellon.com/security/tlsencryption.pdf 44 Ley 527 de 1999. “Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”. Articulo 2. Numeral d.

54


Entidad de certificación abierta: ofrece servicios propios de las entidades certificación, tales que:  

de

Su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor, o Recibe remuneración por éstos.

En Colombia actualmente existen dos entidades certificadoras, Gestión de Seguridad Electrónica S.A. –GSA (creada en el 2010) y la Sociedad Cameral de Certificación Digital CERTICAMARA S.A (creada en el 2001), aunque estas son las únicas a nivel nacional si la empresa lo desea puede certificarse por una entidad internacional. Para este análisis de seguridad en las comunicaciones analizaremos los servicios de Certicamara S.A., por su trayectoria y experiencia.

Certicamara S.A. Es una entidad de certificación digital abierta autorizada por la Superintendencia de Industria y Comercio, constituida por las cámaras de comercio del país con el fin de proveer la seguridad jurídica y tecnológica en entornos electrónicos cumpliendo el marco legal, las normas y estándares internacionales de certificación digital. Proveemos un portafolio integrado de soluciones de certificación digital al Estado, la comunidad empresarial, los profesionales y ciudadanos, apoyados en un equipo humano e infraestructura idóneos, generando sostenibilidad y rentabilidad a nuestros accionistas Cuenta con certificación de Calidad ISO 9001:2008, de seguridad de la información ISO 27001:2005, certificación de socio Verisign Partner Program, y Certificacion WebTrust, que garantizan que los sitios certificados por ellos cuentan con estándares mundiales de protección de las comunicaciones y de la información.

55


Tabla 6. Productos de Certicamara S.A Productos Certificado digital de firma: Son documentos electrónicos que emite CERTICAMARA S.A. y que permiten identificar de manera inequívoca a una persona en medios digitales. La certificación de Firma Digital permite garantizar:

Seguridad en redes. Asegure sus servicios, aplicaciones y negocios a través de Internet mediante el uso de certificados digitales SSL, mecanismos de seguridad que le permiten otorgar a sus clientes y usuarios la confianza necesaria y suficiente para la ejecución de sus transacciones por medios electrónicos. Un certificado digital SSL le permite otorgar:

Ventajas • • • •

Identidad y capacidad de las partes que tratan entre sí sin conocerse (emisor y receptor del mensaje). Integridad de la transacción (verificar que la información no fue manipulada). Irrefutabilidad de los compromisos adquiridos (no repudiación). Confidencialidad de los contenidos de los mensajes (solamente conocidos por quienes estén autorizados).

Garantía de autenticidad de la identidad de su sitio, aplicativo o servicio Web. El certificado digital SSL contiene información de identificación del propietario del sitio, aplicativo o servicio Web protegido, permitiendo a los usuarios que acceden a él tener plena certeza de su autenticidad. Emplear certificados SSL para la autenticación de sus sitios, aplicaciones o servicios Web mitiga el riesgo de ataques de suplantación de identidad o phishing. Garantía de confidencialidad de la información intercambiada entre los clientes y el sitio, aplicativo o servicio Web protegido. Se establecen conexiones seguras en las cuales se cifra la información garantizando así que la información solamente pueda ser conocida por los extremos autorizados de la comunicación. Garantía de integridad de la información intercambiada entre los clientes y el sitio, aplicativo o servicio Web protegido. Garantiza la integridad de la información intercambiada, de tal forma que sea posible detectar cualquier alteración o modificación no autorizada ejecutada sobre el contenido transmitido.

Aplicaciones de firma digital. Es una interfaz de programación de aplicaciones o API (del inglés Application Programming Interface), para la generación de correos electrónicos firmados digitalmente.

• • • • •

En los mensajes de correo electrónico garantiza Autenticidad Confidencialidad Integridad No repudiación

Aplicaciones de estampado cronológico. Integra automáticamente en sus aplicaciones y sistemas de información, registros certificados con la fecha y hora legal colombiana.

Incorpora a los certificados la referencia temporal permitiendo comprobar en qué momento fue enviado, y en cual recibido y su hubo cambios en el trayecto. Igualmente garantiza: Autenticidad Confidencialidad Integridad

• • •

56


Servidor de Firma Automatizada. Es una aplicación a nivel de servidor que permite firmar digitalmente y de forma masiva, grandes volúmenes de información electrónica, de manera automatizada.

Sistema Administrador de Firmas Digitales (SAFD). Es un aplicativo para la gestión, administración y custodia de evidencia digital que se puede integrar fácilmente a todo aquel proceso de negocio o sistema de información que involucre funcionalidades de recepción y validación de documentos o transacciones firmadas digitalmente

• •

No repudiación referencia temporal

Facilita la firma digital de los documentos garantizando los siguientes principios Autenticidad Confidencialidad Integridad No repudiación referencia temporal

• • • • •

Además de suministrar las garantías de la firma digital, provee un repositorio centralizado de evidencia digital con carga jurídica probatoria, en el cual se puedan almacenar e indexar de forma segura y metódica, todos aquellos documentos firmados digitalmente, enviados o generados por un sistema de información determinado.

Fuente: http://web.certicamara.com/Home1.aspx

Tabla 7. Servicios de Certicamara S.A. Servicios de Certicamara S.A.

Qué es estampado cronológico. El estampado cronológico es un servicio mediante el cual se puede garantizar la existencia de un documento (o mensaje de datos en general) en un determinado instante de tiempo. Mediante la emisión de una estampa de tiempo es posible garantizar el instante de creación, modificación, recepción, etc., de un determinado mensaje de datos impidiendo su posterior alteración, haciendo uso de la hora legal colombiana Certisubasta. El servicio de Subasta Electrónica de CERTICAMARA le permite a las entidades públicas y empresas privadas, la compra o venta de bienes y servicios mediante un esquema en línea (a través de internet) de negociación (puja) dinámica de precios entre proponentes previamente seleccionados. Más allá de ser una eficiente solución tecnológica, Certisubasta aporta también un sólido valor jurídico probatorio al trámite de contratación en entornos electrónicos, mediante el uso de Certificación Digital de Firma y Estampado Cronológico Certificado. Certifique el envío y entrega de sus mensajes de correo electrónico. Es un sistema que garantiza la identidad y otras cualificaciones de una persona natural o jurídica que actúa a través de una red informática, un sistema de información, y en general, cualquier medio de comunicación y/o información

57


digital

CertiFactura - Factura Electrónica. Permite la integración de la factura electrónica a las transacciones realizadas por sus clientes Certiarchivo. El servicio asegura la responsabilidad de crear y de almacenar evidencia y/o de recibir y de almacenar datos, para garantizar su integridad, y para mantener la accesibilidad de los datos y la evidencia de los mismos. Por lo anterior nos referiremos a las entidades de archivo confiable (TAA, Trusted Archive Authority por sus siglas en ingles). Consultoría Técnica. CERTICAMARA S.A. cuenta con una División de CONSULTORIA E IMPLEMENTACION DE TECNOLOGÍAS DE CERTIFICACIÓN DIGITAL, para responder a sus necesidades, contamos con un grupo de especialistas en la tecnología de Certificación Digital con amplia experiencia en la planeación, diseño e implementación de soluciones de integración de certificados de firmas digitales, Estampado Cronológico, Archivo Electrónico Seguro. Consultoría Jurídica. Certicámara cuenta con una División Legal Especializada que se dedica única y exclusivamente a apoyar todos aspectos jurídicos en materia de comercio electrónico y Entidades de Certificación. Tiene la capacidad de proveer una asesoría y apoyo jurídico integral que satisfaga las necesidades específicas de sus clientes, en relación con la implementación de procedimientos administrativos por medios electrónicos que requieren de soporte jurídico especializado. Teniendo en cuenta la legislación aplicable a los medios electrónicos en Colombia (Ley 527 de 1999) y la habilitación específica que recientemente ha hecho el legislador (Ley 962 de 2005) para utilizar las nuevas tecnologías al interior de la administración pública o privada en todo tipo de trámites y procesos, todo lo anterior en búsqueda de establecer la posibilidad de desmaterializar procedimientos, dentro de principios propios de la economía, la eficiencia y eficacia.

Fuente: http://web.certicamara.com/Home1.aspx

7.5.4. RECOMENDACIONES DE SEGURIDAD EN LAS COMUNICACIONES

Las comunicaciones escritas se han trasladado al entorno virtual debido al avance de las Tecnologías de la Información y la comunicaciones, en Colombia los mensajes de datos son tan validos como los mensajes impresos 45, Para proteger la información contenida en los mensajes electrónicos las medidas de precaución no son suficientes,

45

Ley 527 de 1999. “Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”

58


es necesario implementar medidas técnicas avaladas por entidades certificadoras que permitan garantizar la seguridad y confidencialidad de la información transmitida. Certifique su sitio web Para que su cliente no asocie el nombre de su empresa con sitios que tengan el mismo nombre o imagen y que soliciten datos personales en los cuales se pueda ver perjudicado económicamente, o personalmente, se debe certificar la autenticidad del sitio con lo que se garantiza al cliente que esta negociando con la persona (jurídica o natural) que dice ser. Actualmente existen tres niveles de certificación que pueden dividirse en bajo (autenticación del dominio de su sitio), medio (autenticación del nombre de la empresa) y alto (autenticación mediante certificados con Validación Extendida). A continuación se describe que incluye la certificación otorgada por VeriSign46 y se recomienda que el pequeño y mediano empresario escoja aquella que considere pertinente para sus actividades. 

Autenticar el dominio de su sito: es uno de los certificados más rudimentarios, y se limitan a autenticar un dominio de internet. Para ello la entidad responsable de la emisión comprueba que la entidad que solicita un certificado SSL de este tipo es propietaria del dominio o tiene derecho a utilizarlo.

Autenticación del nombre de la empresa: En primer lugar, la autoridad de certificación busca algún tipo de información oficial que demuestre la existencia de la empresa (por ejemplo, mediante búsquedas en bases de datos estatales o privadas). Si lo considera necesario, es posible que solicite sus estatutos, su habilitación comercial o, si utiliza un sobrenombre, algún documento que lo corrobore. Antes de emitir un certificado, las autoridades de certificación comprueban que una empresa es quien dice ser, que existe como entidad legal, que tiene derecho a usar el nombre de dominio incluido en el certificado y que la persona que realizó la solicitud en representación suya lo hizo con su consentimiento.

46

Verisign. “la seguridad y la confianza, claves del comercio electrónico”. 2010. Tomado de: http://www.verisign.es/ssl/sslinformation-center/ssl-resources/whitepaper-security-trust.pdf

59


Autenticación mediante certificados con Validación Extendida (Extended Validation- EV: Estos certificados ofrecen una autenticación superior a la de cualquier otro certificado SSL, más estructurada y con controles más estrictos. En primer lugar, la persona de contacto de la empresa deberá aportar un documento firmado que confirme la solicitud. En caso de que la autoridad de certificación no pudiera confirmar la información identificativa de la empresa en una base de datos oficial, es posible que solicite la documentación de inscripción en el registro mercantil. Por último, también podría solicitarse un dictamen jurídico donde se confirme lo siguiente: o El lugar en el que la empresa lleva a cabo su actividad. o Su número de teléfono. o Su derecho exclusivo a usar el dominio. o Si tiene menos de tres años de antigüedad, otras pruebas que demuestren su existencia. o Que la persona de contacto designada trabaja para la empresa solicitante. Todo esto apenas plantea dificultades para las empresas que realizan una solicitud legítima, pero supone un obstáculo considerable para evitar el fraude.

Usos de firmas digitales: la firma digital más el algoritmo de encriptación, cifran el mensaje y garantizan que solo el propietario de la firma ha manipulado y enviado el mensaje. Esto le muestra al cliente o a la entidad que la información contenida en el mensaje es verídica y refleja la opinión del firmante Solicite un toquen a su entidad bancaria: si usted realiza transacciones por internet para abastecerse de insumos, es de esperarse que los recursos en su cuenta bancaria sean altos y que los montos para las transacciones que usted ha autorizado sean acordes a sus gastos regulares, por tanto con el fin de garantizar que solo la persona autorizada pueda ingresar a realizar transacciones en línea, se debe contar con un token (llave privada) que autentica a la persona autorizada y le permite realizar las transacciones. Entiéndase token como 47 : un dispositivo que genera de forma aleatoria una clave diferente cada 60 segundos, la cual se debe ingresar para acceder a los servicios transaccionales la Banca Online y Banca Telefónica. Cada Usuario autorizado por la 47

Tomado de: https://www.grupohelm.com/sites/default/files/token/info1.html

60


empresa para utilizar la Banca Online y la Banca Telefónica podrá tener un Token. Las claves aleatorias que genera se encuentran sincronizadas al sistema de verificación de la entidad bancaria, lo que ofrece más seguridad en las transacciones online. El Administrador o Usuario de la empresa al que se le asigne un Token, debe ingresar el código que aparece en la pantalla de este, una vez haya digitado su usuario y contraseña de acceso a la Banca Online o la Banca Telefónica. Informe y capacite a su cliente: así como para usted la información es importante, para su cliente también, por tanto incluya en su sitio web recomendaciones de seguridad en cuanto a las transacciones, y como identificar un sitio seguro y verdadero.

61


7.6.

BUENAS PRACTICAS APLICABLES AL PORTAL W EB DE COMERCIO ELECTRÓNICO

El diseño, operatividad y disponibilidad del sitio web de comercio electrónico son la imagen de la compañía en internet es así como estos deben estar orientados a satisfacer las necesidades del cliente de forma ágil, rápida y segura En este apartado queremos ofrecer algunas sugerencias que buscan garantizar el cumplimiento de los principios asociados al comercio electrónico como:        

Autenticidad Disponibilidad Auditabilidad Referencia Temporal Prueba De La Transacción Referencia Temporal Confidencialidad Privacidad

Para esto señalaremos algunas condiciones relevantes que debe conocer el empresario con el fin de aplicarlas a su propio sitio web dedicado al comercio electrónico, esto con el objetivo de facilitar la interacción del usuario con el sitio y sus herramientas.

62


7.6.1. ALTERNATIVAS DE SOLUCION 7.6.1.1.

Diseño

Cuando colabore en el diseño de su sitio web tenga en cuenta las siguientes sugerencias realizadas por diferentes diseñadores web.48 Analice el sitio Web de la competencia. Sin ánimo de copiar o imitar a nadie, siempre es interesante estudiar a los rivales. Ver de qué manera le dan solución al mismo problema. Sirve para estudiar como distribuyen la información y para intentar superarlos brindando opciones que a ellos les falte. Busque un sitio Web de referencia. La mayoría de clientes no entienden de diseño, por eso contratan a otra persona para que lo haga. Que no entiendan de diseño no quiere decir que no sepan lo que les gusta y lo que no les gusta, por tanto visite sitios de comercio electrónico y escoja aquellos que mas le gustaron, y registre que fue lo que mas le gusto de estos, de esas herramientas cuales deben estar en su sitio web, para que usted este a gusto con el sitio web diseñado para su compañía. Diseño limpio y amigable. Aunque parezca obvio, no todas las tiendas lo tienen claro: el diseño no puede ser confuso, ni recargado con incontables elementos que distraen la atención del visitante. El diseño de la tienda debe ser limpio, predecible, fácil de navegar y visualmente atractivo. Algunos expertos recomiendan usar colores tranquilos, como el blanco y el azul claro, y alejarse de colores amenazantes, como un fondo de color rojo. También es importante el llamado a la acción: lo que a usted le interesa es que la gente mande cosas al carrito de compras, así que destaque ese botón, cuya función no puede ser confusa (debe ser grande, estar visible fácilmente y tener un color destacado, que en este caso sí podría ser el rojo). Así mismo, el diseño debe ayudar a 48

compilación realizada por los autores al consultar los siguientes sitios web: http://www.creativasfera.com/2011/06/buenaspracticas-en-diseno-web/ http://theproc.es/2009/9/24/2914/buenas-practicas-del-proceso-de-diseno-web http://comohacernegociosporinternet.com/ebuenas-practicas/diseno-y-usabilidad/ http://www.enter.co/internet/internet/10-consejos-para-tener-una-tienda-en-linea-vendedora/

63


la gente a ubicarse (que sepan en todo momento en qué sección del sitio están) y debe brindar ayudas, como una barra de progreso –al cerrar la compra– que les indique en qué parte del proceso de pago están. Incluya una sección “Quienes somos”. En esta sección usted se presentara ante el cliente, buscando generar una buena impresión y recordación en él, resaltara su experiencia en el negocio, sus políticas de cumplimiento, de calidad, de eficiencia, y de seguridad. Trate temas de transparencia y confianza. Incluya una sección “Consejos de seguridad”. En esta sección usted le informa al cliente como se esta protegiendo usted, que entidades lo avalan , recomendaciones y sugerencias que le permitan al cliente aprender como se maneja la seguridad en el comercio electrónico, políticas de creación y manejo de contraseñas, todo esto con el fin de incrementar la confianza del cliente en el comercio electrónico. Use la misma estructura de diseño en todas las páginas del sitio web. Hay sitios web que cuando se da clic en un enlace interno parece que ha accedido a otra web por la falta de concordancia en el diseño. Exija a su diseñador una estructura de sitio con un diseño unificado. Utilice un tamaño de fuente adecuado. Si la letra esta muy pequeña el cliente forzara la vista lo cual lo cansara, por el contrario si la letra es muy grande saturara la vista del cliente y como resultado optara por abandonar el sitio. Incluya un menú de navegación visible en todas las páginas. Aunque parezca evidente, hay sitios web con páginas sin menú que obligan a utilizar los botones de atrás y adelante del navegador. Cree un menú de fácil visualización y que se mantenga en la misma posición en todo el sitio web. Integre el Carrito de la compra en un proceso rápido y sencillo donde se detallen los plazos de entrega, los gastos de envío, impuestos e importe total. Un proceso largo y complejo aumentará el porcentaje de abandonos del carro de la compra. Proceso de compra en un solo paso. Evitar los procesos largos y tediosos que puedan agotar al cliente y animarlo a que abandone. Ofrezca al cliente diferentes medios de pago, como consignación, pago por tarjeta de crédito, debito con botón PSE, transferencias, para que esto no desanime al cliente

64


Genere factura electrónica. En Colombia la factura electrónica es tan valida como la física, utilice e incluya en esta, la fecha y hora en la que se realizo la transacción, la descripción del producto o servicio, de cuanto fue el valor de la compra, los impuestos aplicados, los costos extra (ej. transporte, empaque, personalización del articulo), Compruebe la velocidad de carga de la página web. Si el sitio web es lento, perderá seguidores, porque a un sólo clic hay mil páginas más de la misma temática 7.6.1.2.

Desarrollo y comercialización

Motor de búsqueda: incluya una ayuda para buscar artículos sin tener que ver todo el catalogo de productos integrado en la tienda online y que permita identificar un artículo del catálogo según diversos criterios: precio, nombre, categoría, etc. Mantenga Información actualizada de precio y producto. Actualice con frecuencia los precios y los productos disponibles esto se reflejara en la credibilidad de sus clientes, imagínese el impacto en las ventas que puede generar una valoración negativa. Destaque las ofertas, promociones y descuentos. Es importante que incluya un espacio para las ofertas del día, del mes o la temporada, de esta forma facilitara la búsqueda del usuario. Certificación de terceros. Uno de los principales cometidos de los certificados de terceros es demostrar a los clientes que el sitio web al que están accediendo no es falso, ya que ha sido autenticado por una entidad externa de confianza. La autenticación mediante certificados ofrece distintos niveles de validación:   

Autenticación de dominio. Autenticación del nombre de la empresa. Autenticación mediante certificados con Extended Validation (EV).

Proveer la información necesaria: Ofrezca toda la información posible sobre cada artículo, pero de forma progresiva para que la página del producto no sea pesada. Para ello, puede utilizar enlaces a otras páginas (por ejemplo, vínculos a más información, comentarios de los usuarios, etc.) o emplear pestañas (características, especificaciones, etc.).

65


Solicite solo la información necesaria en el formulario de inscripción. Imagine que visita una tienda en un centro comercial, en la que no sabe si volverá a comprar, y le piden que llene un formulario con sus datos, incluyendo algunos tan fuera de sitio como su fecha de cumpleaños, sus aficiones o a qué se dedica. ¿Usted seguiría con la compra o se marcharía al local de al lado? Es curioso que en Internet algunas tiendas pretendan obligar a la gente a hacer exactamente eso: entregar una gran cantidad de información solo por el hecho de comprar allí, como si le estuvieran haciendo un favor al usuario; lo único que la tienda necesita saber es a dónde le envía el producto y los datos de su medio de pago. Por eso, si pretende hacer que los visitantes de su tienda se registren, pida pocos datos y ofrézcales una buena razón para que los entreguen, como explicarles qué beneficios obtienen: ¿les va a dar algún descuento?, ¿se compromete a personalizar el sitio para ellos?, ¿si les pregunta su cumpleaños, les va a ofrecer una promoción especial ese día? Informe con detalle los costos y condiciones de entrega. Informe con claridad cuáles son los costos del envío del producto, cuánto se demorará en llegar, quién le puede ayudar a la persona en caso de que tenga un problema con el artículo o el envío, cuál es la política de devoluciones, etc. La meta es reducir al máximo la incertidumbre. Incorpore un sistema de recomendación. El sistema de recomendación es un tipo específico de filtro de información cuya técnica trata de presentar a los usuarios ítems de información (de productos, películas, música, libros, noticias, páginas web), que comparten características con aquellos en los que el cliente se ha mostrado interesado. Para hacer esto el perfil de usuario es contrastado con las características de los ítems. Estas características pueden provenir del contenido del ítem (aproximación basada en el contenido, en inglés, content-based approach) o en el ambiente social del usuario (aproximación basada en la colaboración, conocido en inglés como collaborative filtering) No sature el correo de sus clientes: Pregunte a sus clientes que información desean recibir y cada cuanto, no envié dos o tres correos al día ofreciendo cuanta promoción, o nuevos productos haya, el cliente probablemente se aburra y lo incluya en la lista de correo no deseado, si lo desea envié un catalogo periódicamente y que este

66


personalizado, teniendo en cuenta los artículos que ha visto o comprado el cliente en ocasiones anteriores, utilice para esto los sistemas de recomendación. Acompañe los productos de Imágenes. Hay estudios que indican que la gente ‘escanea’ más de lo que lee en Internet. Por ello, las imágenes juegan un papel importante en la tienda. Las páginas de productos deben incluir fotos atractivas, grandes pero livianas, y el sitio requiere un buen equilibrio entre la cantidad de texto e imágenes. Facilite la búsqueda: No todas las personas buscarán las cosas en la tienda de la misma manera; por ello, se les debe ofrecer varias opciones. Algunos clientes llegan con una idea precisa de lo que quieren comprar y por eso recurren al motor de búsqueda para entrar directamente a la página del producto. Otros no tienen tan claro qué van a llevar y para ellos es útil que la tienda presente los productos agrupados en categorías claras y fáciles de recorrer. Como más vendidos, novedades, etc. No genere distracciones en el momento del pago. El objetivo más importante de su tienda en línea es que, una vez que la gente toma la decisión de compra, pueda pagar lo más rápido posible. Entonces, no la distraiga o le complique la vida una vez se inicia el proceso de pago. Este debe ser lo más rápido y fluido posible. Curiosamente, no es lo que sucede y esa falla tiene un impacto grande. Según Santiago Baraya, de PagosOnline, un gran porcentaje de la gente que visita sitios de comercio electrónico abandona la tienda al momento de pagar. Por ello, la tienda debe evitar distraer a la persona que está a punto de pagar, por ejemplo, con banners o enlaces a promociones de productos; eso debería verlo el cliente en la página de información del producto, pero no durante el cierre de la transacción. Y está de más decir que un formulario con casillas que la persona no sepa llenar o un check out con errores técnicos pueden ser suficiente razón para que la persona no solo abandone la compra sino que no vuelva al sitio web. Manejo de las relaciones con los clientes. Tenga presente una frase de cajón que encierra una gran verdad: es más costoso conseguir un cliente nuevo que retener a uno antiguo. Usted debe lograr que las personas que compran una vez en su tienda se vuelvan clientes habituales, y esto se logra ofreciéndoles un excelente servicio postventa, inspirándoles confianza, evitando llenarlos de correo basura y manejando su información de forma confidencial, entre otros.

67


7.7.

BUENAS PRACTICAS PERSONALES

PARA

LA

PROTECCIÓN

DE

DATOS

La pyme independientemente de su sector empresarial y del nivel de implantación del comercio electrónico debe generar unas políticas en cuanto al manejo de la información de sus clientes internos y externos (titulares de la información 49 ), por tanto debe garantizar a estos el buen manejo de esta, ya que sus datos están protegidos por el articulo 15 de la constitución política de Colombia y por la ley 1266 de 200850. Para esto se recomienda Integrar en una política de seguridad global todas las Consideraciones abordadas a lo largo de este manual con el fin de propender la optima utilización de los recursos en forma segura y garantizando la seguridad de los clientes y de su organización. 7.7.1. PROTECCIÓN DE DATOS Y DOCUMENTOS SENSIBLES 51

La Política de Seguridad relacionada con la protección de datos debe contemplar en primer lugar la clasificación de los documentos y los datos de la organización atendiendo a su nivel de confidencialidad. Una posible clasificación de los documentos y los datos que se podría adoptar en una empresa seria la que se presenta a continuación en la tabla 8:

49

Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto al derecho de habeas data. De acuerdo a la ley 1266 50 Ley 1266 de 2008. “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros paises y se dictan otras disposiciones.” 51 Gómez Vieities, Alvaro. “ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA” alfaomega. México. 2007. Pág. 67

68


Tabla 8. Clasificación de los datos y documentos sensibles Tipo de información

Acceso

Información sin clasificar o desclasificada

Podría ser conocida por personas ajenas a la empresa

Información de uso interno

Conocida y utilizada solo por empleados de la organización, así como por algún colaborador externo autorizado no obstante, no conviene que esta sea divulgada a terceros

Información confidencial

Solo puede ser conocida y utilizada por un determinado grupo de empleados. Su divulgación podría ocasionar daños significativos para la organización

Información reservada

secreta

o

Solo puede ser conocida y utilizada por un grupo muy reducido de empleados (generalmente directivos de la empresa). Su divulgación podría ocasionar graves daños para la organización.

Fuente: Gómez Vieities, Alvaro. “Enciclopedia de la seguridad informática” Alfaomega. México. 2007. Pág. 67

Una vez definida una determinada clasificación, será necesario proceder al marcado o etiquetado de los documentos y datos de la organización. Para ello, debería figurar el nivel de clasificación de los documentos (o por lo menos de aquellos mas sensibles o de mayor nivel de confidencialidad) en las páginas impresas, medios de almacenamiento (cintas, CDs, DVDs..) e incluso en la pantalla del usuario que accede a ellos a través de un ordenador. La organización tendría que mantener una base de datos actualizada con relación de los documentos mas sensibles, registrando la fecha de creación, la utilización prevista, la fecha de destrucción, el cambio de clasificación del documento, etcétera. Esta base de datos podría servir de soporte al “ciclo de vida” dé cada documento, reflejando su creación, utilización, modificación y, finalmente, su destrucción. La política de seguridad también debería especificar qué medidas de protección se tendrían que adoptar en la manipulación de los documentos sensibles: operaciones de almacenamiento, transmisión, transporte, tratamiento en informático, impresión o

69


destrucción. Así, por ejemplo, para el almacenamiento de documentos impresos o soportes con material sensible se deberían utilizar cajas de seguridad. También seria recomendable incluir clausulas de confidencialidad en los contratos de los empleados con acceso a los documentos y datos mas sensibles de la organización. Del mismo modo, la revelación de información o documentos sensibles a terceros debería contemplar la exigencia de firmar acuerdos o de incluir en los contratos Clausulas de Confidencialidad y de No Divulgación. 7.7.2. ALTERNATIVAS DE SOLUCION 

En la sección Buenas practicas aplicables al portal web de comercio electrónico se recomendó que, se solicitara solo la información necesaria, en esta parte debemos agregar que se informe al usuario como serán tratados sus datos, los mecanismos de protección que se usan para proteger sus comunicaciones (certificación, firmas digitales, protocolos, etc.), con el fin de transmitir confianza al cliente para que ingrese la información necesaria para realizar transacciones en el comercio electrónico. Dado que muchos clientes abandonan las páginas de comercio electrónico cuando se les solicita el número de tarjeta.

Se recomienda Adoptar un documento interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley 1266 de 2008, incluyendo un apartado especial, para la atención de consultas y reclamos por parte de los titulares Para esto se sugiere que a nivel organizacional la empresa genere una política de protección de información personal, destinada a proteger la intimidad de las personas, idealmente esta política debe de ir acompañada de un procedimiento, donde se informe al titular de la información como van a ser manejados los datos y de ser el caso solicitar su autorización si estos van a ser suministrarse a terceros En la figura no. 6. Se muestra un ejemplo de un procedimiento a seguir en cuanto a la recolección de los datos personales que hace la empresa. Allí se puede apreciar que cuando el titular de la información no acepta las condiciones y políticas impuestas por la empresa (contrato de adhesión), esta no puede

70


aceptar a este usuario, tal como pasa en otras páginas de comercio electrónico, tales como Amazon, e-bay, kactoos, etc. Esto sucede porque el objetivo de la compañía es comercializar y eventualmente deben suministrar datos como dirección y teléfonos a compañías de mensajería, proveedores y otros asociados comerciales. Se aconseja que la pyme siga este ejemplo, explicando en las políticas de confidencialidad del contrato electrónico de forma clara, cuándo y por qué motivos algunos datos personales son comunicados a otras compañías, con el fin de manejar una política de transparencia hacia el cliente

71


Figura No. 6. Ejemplo procedimiento solicitud y tratamiento de datos personales

Fuente: Autores 

En la figura 7. Se muestra un ejemplo basado en lo dictado por la ley 1266, y donde solo se analizan el tratamiento de los datos comerciales, ya que este manual va destinado a los pequeños y medianos empresarios que se dedican a comerciar productos y servicios usando como medio el comercio electrónico. Además se ofrece unas recomendaciones para implantar de acuerdo a la clasificación de los datos.

72


Figura No. 7. Ejemplo plan interno de manejo de datos

Fuente: Autores

73


7.8.

BUENAS PRACTICAS PARA LA CONTRATACION POR MEDIOS ELECTRONICOS

Un contrato 52 se entiende como un acuerdo de voluntades, verbal o escrito, manifestado en común entre dos, o más, personas con capacidad (partes del contrato), que se obligan en virtud del mismo, regulando sus relaciones relativas a una determinada finalidad o cosa, y a cuyo cumplimiento pueden compelerse de manera recíproca, si el contrato es bilateral, o compelerse una parte a la otra, si el contrato es unilateral. Es el es un acuerdo de voluntades que genera «derechos y obligaciones relativos», es decir, sólo para las partes contratantes y sus causahabientes. Pero, además del acuerdo de voluntades, algunos contratos exigen, para su perfección, otros hechos o actos de alcance jurídico, tales como efectuar una determinada entrega (contratos reales), o exigen ser formalizados en documento especial (contratos formales), de modo que, en esos casos especiales, no basta con la sola voluntad. De todos modos, el contrato, en general, tiene una connotación patrimonial, incluso parcialmente en aquellos celebrados en el marco del derecho de familia, y es parte de la categoría más amplia de los negocios jurídicos. Es función elemental del contrato originar efectos jurídicos (es decir, obligaciones exigibles), de modo que a aquella relación de sujetos que no derive en efectos jurídicos no se le puede atribuir cualidad contractual. En las buenas prácticas de contratación electrónica se debe tener en cuenta el tipo de negocio que se quiere realizar y de acuerdo a esto considerar el tipo de contratación electrónica que mas se ajuste a sus necesidades, a continuación se mostraran algunos de los tipos de contratación electrónica y los aspectos a tener en cuenta.

7.8.1. TIPOS DE CONTRATACIÓN ELECTRÓNICA53

INTERCAMBIO ELECTRÓNICO DE DATOS El intercambio electrónico de datos EDI54Se define como aquel que se ejecuta por intercambio de datos electrónicos entre computadores, en formatos estandarizados, que substituyen documentos tradicionales en papel como lo son (orden de compra,

52

Tomado de: http://es.wikipedia.org/wiki/Contrato Calderón Harrison Fernando, Rodríguez Angélica y, Siatoba Mónica. Modelo de comercio electrónico fundamentado en sistemas terciarios. 2008. pág. 123 54 Del ingles Electronic Data Interchange 53

74


requisición, lista de precios, facturas, etc) por formatos normalizados y aceptados por las partes.

Cuando se decide contratar de esta manera se debe considerar lo siguiente:  

Puntos referentes a la tecnología a utilizar Criterios legales

CONTRATOS DE SERVICIOS POR INTERNET

En este tipo de contratos se acuerda la realización de una actividad, en donde surgen obligaciones y derechos para las partes, a cambio de un pago, la organización mundial del comercio en el acuerdo general sobre la prestación de servicios internacionalmente, no importa si estos servicios son prestados por internet o de forma física. Los acuerdos que se decidan serán obligatorios para las partes, estos tipos de contratos deben contener. 

Tipos de servicios a ofrecer

Tiempos de entrega

Cuantías y formas de pago

Identificación completa de las partes

Condiciones especiales

Validez jurídica

COMPRAVENTAS NACIONALES E INTERNACIONALES POR INTERNET 55

Busca generar un contrato electrónico soportado posteriormente por un documento al momento de la entrega del producto, este documento puede ser de la naturaleza física aunque preferiblemente no lo es, este tipo de contrato debe contener los elementos básicos que garanticen al consumidor como al vendedor la posibilidad de una transacción responsable, estos elementos son:

55

Calderón Harrison Fernando, Rodríguez Angélica y, Siatoba Mónica. Modelo de comercio electrónico fundamentado en sistemas terciarios. 2008. Pág. 123

75


Lugar y fecha de celebración

Lugar y fecha de entrega

Tiempo de procesamiento

El tipo de servicio a ofrecer

Requerimientos del cliente

Tiempo de entrega

Cuantía y forma de pago

Identificación completa de las partes

Condiciones especiales

Validez jurídica CONTRATOS DE ADHESION

Este tipo de contratos se usa generalmente cuando el bien adquirido es un software, allí las partes interesadas interactúan de la siguiente forma, el contratista establece los parámetros del contrato, en este especifica la tecnología usada, acceso, distribución, aspectos legales a tener en cuenta. Con lo anterior el contratante puede aceptar o rechazar el contrato, aceptando todos los términos del mismo, en caso contrario el no podrá utilizar dicho producto. En este tipo de contratos el creador debe tener como mínimo los siguientes aspectos: 

   

Expresar claramente los términos y condiciones contractuales existentes en el sitio web, para la realización de transacciones, bien sea para la adquisición del software o simple uso de la página. La existencia de términos y condiciones contractuales Que se ofrezca a los usuarios del sitio, para revisar los términos de la transacción antes que se realice Facilitar la aceptación de los usuarios por medio de un botón de aceptación Ofrecer la posibilidad al usuario de rechazar los términos de la licencia, para evitar que los contratos no tengan la validez por no ofrecer las posibilidades al consumidor para analizar el contrato, evitando que el contrato este viciado y no sea ejecutable.

76


8. BIBLIOGRAFÍA. Calderón Harrison Fernando, Rodríguez Angélica y, Siatoba Mónica. Modelo de comercio electrónico fundamentado en sistemas terciarios. 2008 Gómez Vieites, Alvaro. “enciclopedia de la seguridad informática” editorial ALFAOMEGA, 2007. México Laudon. “e-commerce, negocios, tecnología, sociedad”. Cuarta edición. Pearson educación. Mexico. 2009. Pagina. Ley 527 de 1999. “Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”. Ley 1266 de 2008. “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros paises y se dictan otras disposiciones.” Memorias V encuentro red socio jurídica. “Contratación por medios electrónicos una perspectiva desde el derecho comparado”. Grupo de Globalización y Derecho. Universidad Sergio Arboleda. 2006. Pág. 35. Puentes Calvo, Juan Francisco. “Principios de seguridad en el comercio electrónico”. Alfa omega, México. 2009. Verisign. “la seguridad y la confianza, claves del comercio electrónico”. 2010.

8.1.

PAGINAS W EB CONSULTADAS

http://www-gris.det.uvigo.es/wiki/pub/Main/PaginaNST/SEC_III_NST.pdf http://www.verisign.es/ssl/ssl-information-center/ssl-resources/whitepaper-security-trust.pdf http://www.acis.org.co/fileadmin/Base_de_Conocimiento/V_Jornada_de_Seguridad/IngenieraSocial_CarlosBiscione.pdf http://www.zonavirus.com/articulos/ingenieria-social.asp http://www.microsoft.com/business/smb/es-es/guia_lopd/medidas_seguridad.mspx https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf http://www.ebanking.cl/seguridad/muro-group-advierte-empresas-sobre-los-peligros-ingenieria-social-003854 http://www.monografias.com/trabajos-pdf/seguridad-e-comerce/seguridad-e-comerce.shtml http://www.instisec.com/publico/verarticulo.asp?id=42 http://es.kioskea.net/contents/crypto/ssl.php3 http://www.bnymellon.com/security/tlsencryption.pdf http://web.certicamara.com/Home1.aspx http://www.creativasfera.com/2011/06/buenas-practicas-en-diseno-web/ http://theproc.es/2009/9/24/2914/buenas-practicas-del-proceso-de-diseno-web http://comohacernegociosporinternet.com/ebuenas-practicas/diseno-y-usabilidad/ http://www.enter.co/internet/internet/10-consejos-para-tener-una-tienda-en-linea-vendedora/ http://es.wikipedia.org/wiki/Contrato

https://www.grupohelm.com/sites/default/files/token/info1.html

77

Manual de buenas practicas en la seguridad informatica  

El manual de buenas practicas quiere mostrar algunas practicas basicas para que las PYMES colombianas puedan adoptar el comercio electronico

Manual de buenas practicas en la seguridad informatica  

El manual de buenas practicas quiere mostrar algunas practicas basicas para que las PYMES colombianas puedan adoptar el comercio electronico

Advertisement