Este documento describe los conceptos básicos de la infraestructura de seguridad de la información, incluyendo protocolos de seguridad como HTTPS, SSL y SSH. También cubre temas como firmas digitales, criptografía de claves públicas y privadas, y los pasos típicos del comercio electrónico. Resalta la importancia de elaborar un plan de seguridad para sistemas de e-commerce que ayude a evitar pérdidas y proporcione confidencialidad.
2. Area en los sistemas de informacion enfocada en la
protección de la infraestructura computacional y lo
relacionado con ésta. Con la existencia de una serie de
estándares, protocolos, métodos, reglas, herramientas y
leyes concebidas, minimizando los posibles riesgos a la
infraestructura o a la información de un sistema,
empresa, etc.
3. La seguridad informática comprende:
Software,
Bases de datos,
Metadatos,
Archivos y
Todo lo que la organización valore (activo) y
signifique un riesgo si ésta llega a manos de otras
personas. Este tipo de información se conoce como
información privilegiada o confidencial.
4. Integridad: Componentes del sistema permanecen
inalterados (sin cambios) a menos que sean
modificados por los usuarios autorizados
solamente.
Disponibilidad: Los usuarios deben tener la
posibilidad de disponer de todos los
componentes del sistema cuando lo requieran.
Privacidad: El accesos a los diferentes
componentes del sistema solo pueden realizar
usuarios autorizados.
5. Control: Solo usuarios con la autorización
adecuada deciden cuando y como permitir el
acceso a la información a otros usuarios o sistemas.
Autenticidad: La información definida que sea
requerida sea válida y utilizable en tiempo, forma
y distribución.
No Repudio: La entidad que haya recibido o haya
entregado información alegue que no lo hizo.
Auditoría: Es determinar qué, cuándo, cómo y
quién realiza acciones sobre el sistema.
6. Se esta establece una política de seguridad informática como
forma de comunicarse con los usuarios y los gerentes.
Las PSI establecen el canal formal de actuación del personal,
en relación con los recursos y servicios informáticos,
importantes de la organización.
Descripción de lo que deseamos proteger y el por qué de
ello.
Cada PSI es consciente y vigilante del personal por el uso y
limitaciones de los recursos y servicios informáticos críticos
de la compañía.
Es un conjunto de requisitos definidos por los responsables
de un sistema, que indica en términos generales que está y
que no está permitido en el área de seguridad durante la
operación general del sistema.
7. Alcance de las políticas
Objetivos de las políticas
Responsabilidades
Requerimientos mínimos para configuración
Definición de violaciones
Responsabilidades
8. Software
Una arquitectura de seguridad lógica puede
conformarse por:
Software antivirus,
Herramientas de respaldo,
Herramientas de monitoreo de la infraestructura de
red y enlaces de telecomunicaciones,
Firewalls,
Soluciones de autentificación y
Servicios de seguridad en línea; que informen al
usuario sobre los virus más peligrosos y, a través de
Internet.
9. Hardware
Se refiere a la protección de objetos frente a
intromisiones provocadas por el uso del
hardware.
La seguridad del hardware puede dividirse en:
Seguridad física: se atiende a la protección del
equipamiento hardware de amenazas externas como
manipulación o robo.
Seguridad de difusión: Todo el equipamiento que
almacene o trabaje con información sensible necesita
ser protegido, de modo que resulte imposible que un
intruso acceda físicamente a él.
11. HTTPS
Hypertext Transfer Protocol Secure (ó HTTPS)
es una combinación del protocolo HTTP y
protocolos criptográficos. Se emplea para
lograr conexiones más seguras en la WWW,
generalmente para transacciones de pagos o
cada vez que se
intercambie información sensible (por ejemplo,
claves) en internet.
12. Los protocolos de seguridad son un conjunto de
reglas que gobiernan dentro de la transmisión de
datos entre la comunicación de dispositivos para
ejercer una confidencialidad ,integridad,
autenticación y el no repudio de la información.
Componentes
Criptografía (Cifrado de datos)
Lógica (Estructura y secuencia)
Identificación (Autentication)
13. Secure Sockets Layer (SSL; en español «capa de conexión
segura») es un protocolo criptográficos que
proporcionan comunicaciones seguras por una red,
comúnmente Internet.
Hypertext Transfer Protocol Secure (HTTPS) es un
protocolo de seguridad para la comunicación segura a
través de una red informática, con todo un amplio
despliegue en Internet
SSH (Secure SHell, en español: intérprete de órdenes
segura) es el nombre de un protocolo y
del programa que lo implementa, y sirve para acceder
a máquinas remotas a través de una red.
14. Veamos los procesos típicos del comercio electrónico:
Envío de la orden de pedido al comerciante, junto
con información sobre el instrumento de pago.
Solicitud de autorización del comerciante a la
institución financiera del comprador.
Confirmación de la orden por parte del
comerciante.
Solicitud de reembolso del comerciante a la
institución financiera del comprador
15. DES, como algoritmo de clave privada (este
tipo de algoritmos también recibe la
denominación de algoritmos simétricos)
requiere que las partes intervinientes en un
proceso de encripción/desencripción
compartan la misma clave. Esto plantea, como
cabe suponer, problemas de distribución de
claves en entornos no seguros, como es el caso
de Internet.
16. Los algoritmos de clave pública, como RSA
(también denominados algoritmos asimétricos),
están sustentados en una base matemática tal,
que cada una de las partes intervinientes
dispone de un par de claves: una se denomina
clave pública y está destinada a ser distribuida
libremente.
17. Conjunto de datos en formato electrónico que
identifican y relacionan al titular de la firma
con el mensaje de datos.
Tiene igual validez y efectos jurídicos que
una firma manuscrita.
Para su validez reunirá 5 requisitos, sin
perjuicio del acuerdo que pudieran llegar las
partES.
18. Para firmar archivos puede utilizar aplicaciones
de ofimática (OpenOffice, Microsoft Office
Word) , aplicaciones disponibles en el internet
y la aplicación "Firma Digital de Archivos"
disponible en
http://firmadigital.informatica.gob.ec
19. Al ingresar el URL
http://firmadigital.informatica.gob.ec
en el navegador se observa un menú a la
izquierda con tres opciones:
• Verificar y Ver Documento Firmando
• Firma Digital de Documentos
• Validar Certificado Digital
20. Para la implementación de un sistema de e-
commerce es importante elaborar un plan de
seguridad informática el cual ayudará a evitar
perdidas monetarias.
Las firmas digitales proporciona el máximo
grado de seguridad y confidencialidad en
Internet.
21. Es muy importante conocer bien el negocio
antes de poner en marcha cualquier cambio de
seguridad. Posiblemente existan controles de
seguridad que responden a razones específicas:
contractuales, legales o regulatorias.