Infrestructura PKIx

ESCUELA POLITÉCNICA DELEJERCITO COMERCIO ELECTRÓNICO Christian Alexander Yépez Carrera

La seguridad informática conocida como PKIx, se ha convertido en el candado que nos permite manejarnos dentro del comercio electrónico de una manera segura, esta se basa en la utilización de protocolos de información seguros como: SSL, PGP, SET, IPSEC, etc. También utiliza criptografía, métodos de encriptación, firmas digitales y certificados digitales, los cuales son aplicables a e-commerce.

Desde el punto de vista de los servidores: Vulnerabilidad de los servidores que darán el servicio

Antivirus instalado y actualizado en los servidores

Parches de seguridad evaluados e instalados según corresponda en

los servidores

Desde el punto de vista de la transferencia de información: Encriptación de la comunicación entre la organización y la empresa

prestadora de servicios Desde el punto de la continuidad operacional: Servidores de respaldo

Máquina especializadas de respaldo

Sitio de respaldo Pruebas de contingencia.

PARA EL CUMPLIMIENTO DE LOS USUARIOS DE COMPUTADORAS

a) El usuario es el único responsable de la información almacenada y del uso que se esta en la computadora.

b) La clave de acceso al computador o a las aplicaciones informáticas, son de uso exclusivo del usuario que tiene a cargo de la computadora y el uso inadecuado será de su exclusiva responsabilidad.

c) La información o documentos calificados serán elaborados y almacenados en medios magnéticos u ópticos (cintas, diskettes, CD’s, Memoria Flash), correctamente identificados, etiquetados y marcados los medios tal como se realiza con los documentos de este tipo y custodiado con las debidas seguridades físicas (Cajas fuertes, chapas, candados, etc.).

d) Por lo especificado en el literal anterior, se prohíbe guardar en el disco duro del computador información o documentos que tengan la calificación de secretísimo, secreto y reservado.

PARA EL CUMPLIMIENTO DE LOS ORGANISMOS DE INFORMATICA Políticas de seguridad administrativa. La información generada a través de computadoras deberá someterse a las normas y disposiciones legales

(reglamentación institucional).

En su nivel son responsables de investigar, desarrollar y difundir las medidas de seguridad informática.

En su nivel son responsables de supervisar y controlar el cumplimiento de las políticas de seguridad.

En la red Intranet e Internet, se adoptarán las acciones y medidas necesarias para contrarrestar el espionaje cibernético (hackers - crackers).

Políticas de seguridad lógica.

Todos las Entidades utilizarán el sistema de detección de virus informáticos corporativo definidos.

Proteger la información de los sistemas informáticos mediante el uso de claves compuestas de letras y

números de mínimo 8 caracteres.

Disponer de un registro de control de accesos a los computadores y sistemas informáticos.

Utilizar la información mediante niveles de acceso: administradores, directivos, usuarios, desarrolladores.

PARA EL CUMPLIMIENTO DE LOS ORGANISMOS DE INFORMATICA

Políticas de seguridad para el personal Realizar charlas y seminarios de conocimiento sobre seguridad informática

Instruir, entrenar y especializar al personal en seguridad, a fin de concienciar y exigir una adecuada disciplina de

seguridad.

Disgregar funciones y responsabilidades mediante la transferencia del conocimiento y asignar tareas de acuerdo al grado de responsabilidad de la seguridad informática.

Políticas de seguridad física. Contar con un sistema de control físico para el acceso a las instalaciones informáticas.

Disponer de lugares seguros para archivos de documentos y respaldos de información.

Mantener actualizado el Plan de Contingencia.

Revisión periódica de equipos de protección.

Políticas de seguridad en la comunicación de datos. La administración de la Seguridad de la Red Intranet e Internet estará a cargo de la Unidad Informática.

Proteger la red de datos de accesos no autorizados.

Las comunicaciones y sistemas operativos de red deben ser seguros de acuerdo a estándares internacionales.

El acceso de usuarios locales y externos estarán protegidos por un firewall - VPN, IDS.

PARA PALIAR LOS ATAQUES INTERNOS 1. Emplear estrategias completas e integrales (Sistemas Protección) , como antivirus, firewalls, sistemas de protección y

detección de intrusos.

2. Si los códigos maliciosos u otras amenazas atacan a uno o más servicios de redes, deshabilite o bloquee el acceso a estos servicios hasta que se aplique un parche.

3. Actualizar especialmente en los computadores que albergan servicios públicos y a los que se tiene acceso a través del firewall, como los servicios http, FTP, email y DNS.

4. Considerar las implementaciones de soluciones de cumplimiento en la red que ayuden a mantener a los usuarios móviles infectados fuera de la red

5. Implementar una política de contraseña eficaz.

6. Configurar los servidores de correo para bloquear o eliminar el correo electrónico que contiene los archivos adjuntos (extensión *.VBS, *.BAT, *.EXE, *.PIF, *.SCR).

7. Aislar los computadores infectados para impedir riesgos de mayor infección en la organización. Realizar un análisis forense y recuperar los computadores con medios magnéticos confiables.

8. Dar a conocer como reconocer los adjuntos de fuente confiable, y como validar con el antivirus.

9. Implantar procedimientos de respuesta a emergencias, que incluyan una solución de copias de respaldo y recuperación en caso de un ataque y daño de la información.

10. Educar a la alta dirección sobre las necesidades presupuestarias para la seguridad.

11. Probar la seguridad para garantizar que se tiene controles adecuados.

12. Estar alerta de que los riesgos de seguridad pueden instalarse de forma automática en las computadoras con la utilización de programas para compartir archivos, descargas gratuitas, software gratuito y versiones de software compartido.

SSL Es un protocolo que corre sobre TCP (protocolo de transporte punto a punto de Internet 2 OSI). Este se compone de dos capas y funciona de la siguiente manera:

La primera capa se encarga de encapsular los protocolos de nivel más alto

La segunda capa que se llama SSL Handshake Protocol se encarga de la negociación de los algoritmos que van a encriptar y también la autenticación entre el cliente y el servidor.

PGP Es un criptosistema híbrido que combina técnicas de criptografía simétrica y criptografía asimétrica. Esta combinación permite aprovechar lo mejor de cada uno: • El cifrado simétrico es más

rápido que el asimétrico o de clave pública,

• Proporciona una solución al

problema de la distribución de claves en forma segura

• Garantiza el no repudio de los datos y la no suplantación

IPSec

Actúan en la capa de red, la capa 3 del modelo OSI.

IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP,

Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código

SET (Transacción Electrónica Segura) Es un protocolo desarrollado

por Visa y Mastercard y que utiliza el estándar SSL (Secure Socket Layer).

SET se basa en el uso de una firma electrónica del comprador y una transacción que involucra, no sólo al comprador y al vendedor, sino también a sus respectivos bancos.

Es la codificación de información que se trasmite a una red de cómputo para que solo el emisor y el receptor la puedan leer, para hacerlo incomprensible a los intrusos que intercepten esos mensajes.

Se tiene los cifrados: Simetrico Asimetrico Hashing

Encriptación Clave Simétrica. Cada computadora tiene una clave secreta para proteger un paquete de información antes de ser enviada a otra computadora.

Encriptación de Clave Pública. Es una clave proporcionada por tu computadora a otra que quiera realizar una comunicación con él.

Clave Pública SSL. Utiliza certificados digitales, es una tarjeta de identificación electrónica emitida por una entidad fiable, que permite que un usuario verifique al emisor y al receptor del certificado mediante el uso del cifrado por clave pública.

Algoritmo de Encriptación. Función mediante un algoritmo, tiene un conjunto de elementos y se convierten en salida finitos.

http://www.google.com/url?sa=i&source=images&cd=&cad=rja&docid=I7aVXxNIuTodmM&tbnid=oxj9Mh0oDDJOMM:&ved=0CAgQjRwwADgQ&url=http://www.sat.gob.mx/sitio_internet/e_sat/tu_firma/60_11503.html&ei=3Fc-UsvoLNer4AOBroHQBA&psig=AFQjCNErOCZN0K20dWJJZcl_d--Ceqqayw&ust=1379903836768449

http://www.google.com/url?sa=i&source=images&cd=&cad=rja&docid=mLPT8ziPIThT9M&tbnid=OT95wCMUMBRS_M:&ved=0CAgQjRwwAA&url=http://commons.wikimedia.org/wiki/File:Firma_Digital.png&ei=vVg-Uuz_KaHi4AOU3YDQBQ&psig=AFQjCNFCazzvxPZnrWTpYrHRvMHusykLZQ&ust=1379904061722706

Existen muchos vacíos legislativos en el ámbito de Internet, especialmente en lo que al contenido generado por usuarios se refiere.

El acceso a la información no está regulado.

La propiedad intelectual y los derechos de copyright se han visto muy afectados.

Las prácticas y procesos de las empresas no son regulados ni monitoreados.

El control hasta ahora ha estado en manos de los usuarios, y es difícil que lo quieran ceder.

Costumbres del comercio tradicional y del e-commerce son ddiferentes.

DELIMITACIONES

Redes sociales y sus implicaciones jurídicas La protección de datos personales El uso inadecuado de las redes sociales El uso de las relaciones interpersonales para la comercialización (marketing viral) Insufiente seguridad. Cultura Informática de los internautas ¿Cómo lesgislar el comercio electrónico?

Principios Generales del Comercio Electronico

Reconocimiento jurídico: Se reconoce validez jurídica a los MENSAJES DE DATOS y se los equipara a los documentos en soporte material.

EQUIVALENCIA FUNCIONAL Confidencialidad y reserva: Se sanciona su violación. Art. 5

Información escrita.- Art. 6 de la Ley 67

Información original: Art. 7 íbidem.

20

Banca Ecuatoriana

Implementacion de Certificados Digitales y Firma Digital

Controles Biometricos ingreso por usuario y contrasenia, codigo de seguridad.

Manejo de los diferentes protocolos SSL, IPSec, PGP, HTTPS, etc

La seguridad es un aspecto fundamental en el comercio electrónico, ya que, se depende mucho de la confianza entre las partes dado que por lo general no existe una interacción física entre las mismas.

El uso y cumplimiento de estándares de seguridad pueden ayudar a garantizar el buen cumplimiento de un sistema de comercio electrónico.

Se debe verificar, comprobar, ejecutar y validar los requerimientos tanto de sistemas como jurídicos para poder llevar a buen término un sistema de comercio electrónico seguro.

Se pudo observar de que en los sitos seguros como la banca, de comercio electrónico manejan los diferentes niveles de seguridad, dando confianza en los clientes y consumidores para realizar las transacciones en linea.

Tambien se pudo comprender de la importancia de saber reconocer los sitios seguros. Revisando si los sitios son HTTPS, si tiene un certificado valido, como es en el caso de la banca.

La importancia de conocer las politicas de seguridad de la informacion en el comercio electronico y de las Tic’s en la aplicacion en el e-commers.

La importancia de saber si es un sitio seguro, ya que en anios anteriores se escucho mucho el tema de atracos a clientes bancarios , y esto era debido a que la gente no tiene conocimiento de como reconocer un sitio seguro y ingresaban la informacion secreta.

En el ecuador se necesita trabajar mas en el ambito jurico ya que no esta totalmente regulado, en el 2002 se hizo ulna reforma para la sancion de la suplantacion de identidad y de los diversos temas de extorcion en la Web.