Seguridad Informática

Es el área de la informática que se enfoca

en la protección de la infraestructura

computacional y todo lo relacionado con

ésta (incluyendo la información contenida).

Para ello existen una serie de estándares,

protocolos, métodos, reglas, herramientas y

leyes concebidas para minimizar los

posibles riesgos a la infraestructura o a la

información.

La seguridad informática comprende

software, bases de datos, metadatos,

archivos y todo lo que la organización

valore (activo) y signifique un riesgo si

ésta llega a manos de otras personas.

Este tipo de información se conoce

como información privilegiada o

confidencial.

ELEMENTOS DE SEGURIDAD

INFORMATICA

Integridad: Los componentes del sistema permanecen inalterados a menos que sean modificados por los usuarios autorizados.

Disponibilidad: Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen.

Privacidad: Los componentes del sistema son accesibles sólo por los usuarios autorizados.

Control: Solo los usuarios autorizados deciden cuando y como permitir el acceso a la información.

Autenticidad: Definir que la información requerida es válida y utilizable en tiempo, forma y distribución.

No Repudio: Evita que cualquier entidad que envió o recibió información alegue, que no lo hizo.

Auditoría: Determinar qué, cuándo, cómo y quién realiza acciones sobre el sistema.

Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización.

Es una descripción de lo que deseamos proteger y el por qué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía. Es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema.

Elementos políticas de

seguridad

Alcance de las políticas

Objetivos de las políticas

Responsabilidades

Requerimientos mínimos para configuración

Definición de violaciones

Responsabilidades

Software

Desde el punto de vista de soluciones tecnológicas, una arquitectura de seguridad lógica puede conformarse por: software antivirus, herramientas de respaldo, de monitoreo de la infraestructura de red y enlaces de telecomunicaciones, firewalls, soluciones de autentificación y servicios de seguridad en línea; que informen al usuario sobre los virus más peligrosos y, a través de Internet, enviar la vacuna a todos los nodos de la red empresarial, por mencionar un ejemplo.

Hardware

La seguridad del hardware se refiere a la protección de objetos frente a intromisiones provocadas por el uso del hardware. A su vez, la seguridad del hardware puede dividirse en seguridad física y seguridad de difusión. En el primer caso se atiende a la protección del equipamiento hardware de amenazas externas como manipulación o robo. Todo el equipamiento que almacene o trabaje con información sensible necesita ser protegido, de modo que resulte imposible que un intruso acceda físicamente a él. La solución más común es la ubicación del equipamiento en un entorno seguro.

Firewall

Protocolo 802.1x

HTTPS

Hypertext Transfer Protocol Secure (ó

HTTPS) es una combinación del

protocolo HTTP y protocolos

criptográficos. Se emplea para lograr

conexiones más seguras en la WWW,

generalmente para transacciones de

pagos o cada vez que se

intercambie información sensible (por

ejemplo, claves) en internet.

Carecterísticas

Para distinguir una comunicación o página web segura, la URL debe comenzar con "https://" (empleando el puerto 443 por defecto); en tanto la tradicional es "http://" (empleando el puerto 80 por defecto).

Originalmente HTTPS sólo utilizaba encriptación SSL, luego reemplazado por TLS.

HTTPS fue adoptado como estándar web por el grupo IETF tras la publicación del RFC 2818 en mayo de 2000.

HTTP opera en la capa más alta del modelo TCP/IP, la capa de Aplicación. Pero el protocolo de seguridad trabaja en una subcapa inferior, codificando el mensaje HTTP antes de ser transmitido y decodificando el mensaje antes de que llegue.

Los protocolos de seguridad son un

conjunto de reglas que gobiernan dentro

de la transmisión de datos entre la

comunicación de dispositivos para

ejercer una confidencialidad ,integridad,

autenticación y el no repudio de la

información.

Componentes

• Criptografía (Cifrado de datos)

• Lógica (Estructura y secuencia)

• Identificación (Autentication)

Secure Sockets Layer (SSL; en español «capa de conexión segura») es un protocolo criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.

Hypertext Transfer Protocol Secure (HTTPS) es un protocolo de seguridad para la comunicación segura a través de una red informática, con todo un amplio despliegue en Internet

SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red.

Veamos los procesos típicos del comercio electrónico:

Envío de la orden de pedido al comerciante, junto con información sobre el instrumento de pago.

Solicitud de autorización del comerciante a la institución financiera del comprador.

Confirmación de la orden por parte del comerciante.

Solicitud de reembolso del comerciante a la institución financiera del comprador

Clave Privada vs. Clave Pública

DES, como algoritmo de clave privada (este tipo de algoritmos también recibe la denominación de algoritmos simétricos) requiere que las partes intervinientes en un proceso de encripción/desencripción compartan la misma clave. Esto plantea, como cabe suponer, problemas de distribución de claves en entornos no seguros, como es el caso de Internet.

Los algoritmos de clave pública, como

RSA (también denominados algoritmos

asimétricos), están sustentados en una

base matemática tal, que cada una de

las partes intervinientes dispone de un

par de claves: una se denomina clave

pública y está destinada a ser

distribuida libremente.

Firma electrónica

Conjunto de datos en formato electrónico que identifican y relacionan al titular de la firma con el mensaje de datos.

Tiene igual validez y efectos jurídicos que una firma manuscrita.

Para su validez reunirá 5 requisitos, sin perjuicio del acuerdo que pudieran llegar las partES.

Herramienta para firmar

documentos y/o archivosPara firmar archivos puede utilizar aplicaciones de ofimática (OpenOffice, Microsoft Office Word) , aplicaciones disponibles en el internet y la aplicación "Firma Digital de Archivos" disponible en

http://firmadigital.informatica.gob.ec

Esta aplicación permite firmar con certificados digitales en un token, emitido por el Banco Central del Ecuador, cualquier documento, archivo, imagen. Es de Acceso Público no requiere tener un usuario y clave.

Previo a la utlización del token para firmar debe instalar el driver del token en el computador que va ha realizar la firma. Instalación Driver del Token

Aplicación Firma Digital de

ArchivosAl ingresar el URL

http://firmadigital.informatica.gob.ec

en el navegador se observa un menú a la izquierda con tres opciones:

• Verificar y Ver Documento Firmando

• Firma Digital de Documentos

• Validar Certificado Digital

Concluciones

Para la implementación de un sistema

de e-commerce es importante elaborar

un plan de seguridad informática el cual

ayudará a evitar perdidas monetarias.

Las firmas digitales proporciona el

máximo grado de seguridad y

confidencialidad en Internet.

Recomendaciones

Es muy importante conocer bien el

negocio antes de poner en marcha

cualquier cambio de seguridad.

Posiblemente existan controles de

seguridad que responden a razones

específicas: contractuales, legales o

regulatorias.