Universidad Yacambú

Vicerrectorado de Educación a Distancia

Maestría en Educación

Cátedra: Innovaciones Pedagógicas

Facilitador: Prof. Yaros Pérez

Autores: -Prof. Fernando L. López Rosario  C.I: 5.971.924  MGE

               -Lic. Mary Parra C.I: 13.579.126  MFN

Sistema de Información Gerencial

Auditar la Seguridad de un Sistema de Datos desarrollado Vía Wed.

Trabajo 5 

Introducción

    Los sistemas de tecnología de la información desempeñan un papel importante en casi la totalidad de las empresas de ventas vía Wed y cada vez es más frecuente encontrar portales que ofrecen productos y servicios a través de la Red, por lo que la seguridad de las tecnologías de información que por ella se procesan, se convierte en un tema de crucial importancia. Las auditorías de estos sistemas son una herramienta para mejorar rentabilidad, seguridad y la eficacia de sus procesos; no son sólo una herramienta de medida sino también un elemento constructivo básico de reingeniería para sus sistemas y de mejoramiento continuo.

Definiciones Básicas:

Base de datos: Es cualquier conjunto de datos organizados para su almacenamiento en la memoria de un ordenador o computadora, diseñado para facilitar su mantenimiento y acceso de una forma estándar. La información se organiza en campos y registros. Un campo se refiere a un tipo o atributo de información, y un registro, a toda la información sobre un individuo. Por ejemplo, en una base de datos que almacene información de tipo agenda, un campo será el NOMBRE, otro el NIF, otro la DIRECCIÓN..., mientras que un registro viene a ser como la ficha en la que se recogen todos los valores de los distintos campos para un individuo, esto es, su nombre, NIF, dirección... Los datos pueden aparecer en forma de texto, números, gráficos, sonido o vídeo. Normalmente las bases de datos presentan la posibilidad de consultar datos, bien los de un registro o los de una serie de registros que cumplan una condición.

Ordenador o Computadora: Dispositivo electrónico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y correlacionando otros tipos de información.

Un sistema de información: Es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa o negocio.

Las auditorías: Son una herramienta para mejorar rentabilidad, seguridad y la eficacia de sus procesos; no son sólo una herramienta de medida sino también un elemento constructivo básico de sus sistemas de mejora continua.

Auditoria de la Seguridad Informática: Es donde se considera la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total.

La seguridad informática: Es un atributo relativo a la percepción; resultado del equilibrio conseguido entre el riesgo y las medidas establecidas para paliarlo, manteniendo la confidencialidad, integridad y disponibilidad de la informaci.

a) La empresa debe adquirir un Certificado de Seguridad - SSLCertificate (Verign, Thawte, etc )

 

a.1) ¿Qué es SSL?

    Secure Socket Layer (SSL) es un protocolo desarrollado por Netscape en 1996 que pronto se convirtió en el método elegido para asegurar las transmisiones de datos por Internet. SSL es una parte integral de la mayoría de los exploradores y servidores web y hace uso del sistema de codificación con dos claves: una pública y una privada, desarrollado por RSA. Para establecer una conexión SSL, el protocolo SSL requiere que el servidor tenga instalado un certificado digital. Un certificado digital es un archivo electrónico que identifica de modo único a individuos y servidores. Los certificados digitales funcionan como una especie de pasaporte o credencial digital que autentica al servidor antes de establecer la sesión SSL. Por lo general, los certificados digitales están firmados por un tercero independiente y fiable para garantizar su validez. El “firmante” de un certificado se denomina autoridad de certificación (CA).

  SSL proporciona comunicaciones seguras mediante la combinación de los siguientes dos elementos:

1] Autenticación – el certificado digital va unido a un dominio específico y una CA realiza una cantidad de verificaciones para confirmar la identidad de la organización que solicita el certificado antes de emitirlo. De este modo, el certificado sólo puede instalarse en el dominio contra el cual ha sido autenticado, ofreciendo a los usuarios la seguridad que necesitan.

2] Codificación – la codificación es el proceso de transformar la información para hacerla incomprensible para todos salvo el receptor al que va dirigida. Esto constituye la base de la integridad y privacidad de los datos, necesarias para el comercio electrónico. La aplicación más corriente de los certificados SSL es la de asegurar la transferencia de datos entre exploradores y servidores web.

 

 

 

a.2) Cómo saber si un sitio Web es seguro

    La primera clave para establecer si un sitio web está asegurado con un certificado SSL se encuentra en la barra de estado del explorador: busque si tiene un icono con un candado. En los exploradores de Internet, cuando las páginas no están aseguradas, el icono del candado no estará visible. Sin embargo, cuando se establece una sesión SSL, aparecerá el icono del candado. En Netscape, hay iconos con candados “cerrados” y “abiertos”, que indican sitios web seguros e inseguros, respectivamente.

 

 

 

 

   La otra clave que debe buscar está en la barra de dirección. Si se establece una sesión segura entre el explorador y el servidor de la Web, la porción “http:” de la dirección de la Web cambiará a “https”. Por ejemplo: “http://www.thawte.com” se convierte en “https://www.thawte.com”.También es posible conocer la fortaleza de la codificación de una sesión SSL particular. En Internet Explorer, simplemente desplace el ratón sobre el candado para ver la fortaleza de la codificación. En Netscape, haga doble clic sobre el candado para ver el certificado. La fortaleza de la codificación se detalla en la primera ficha del certificado.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

a.3) ¿Cómo se ve un certificado SSL?

    Para ver el certificado de un sitio web, haga doble clic sobre el icono del candado cerrado que aparece en la barra de estado inferior. Certificado digital visto con un explorador Netscape 7.0:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Certificado digital usado con un explorador IE 6.0:

 

 

 

 

 

 

Un certificado de servidor web SSL o un SuperCert SGC permite que sus clientes vean la siguiente información:

• El dominio para el cual se emitió el certificado. Esto les permite verificar que el certificado de servidor web SSL fue emitido para su host y dominio exacto (www.midominio.com).

• El propietario del certificado. Esto funciona como garantía adicional, ya que los clientes pueden ver con quién están haciendo negocio.

• La ubicación física del propietario. Una vez más, esto garantiza a los clientes que están tratando con una entidad de existencia real.

• Las fechas de validez del certificado. Esto es de suma importancia, ya que muestra a los usuarios que su certificado digital está vigente

 

a.4) Alertas de seguridad del explorador

    Su explorador cuenta con una función de seguridad incorporada que muestra un mensaje de advertencia cuando usted intenta enviar un mensaje a un sitio Web que tiene algún problema con el certificado.

    Por otra parte, se informará al usuario que accede a un sitio web con certificado válido que el sitio Web que está visitando cuenta con certificado digital emitido por una autoridad de certificación (CA) reconocida,  y que todos los datos que envíe serán codificados. Al controlar el certificado, el cliente puede verificar que el sitio web es propiedad de una empresa real, dueña del nombre del dominio al que está accediendo.

 

a.5) Clave pública y privada

    Al solicitar un certificado, usted genera un par de claves en su servidor: una pública y una privada. Cuando se genera un par de claves para su negocio, su clave privada se instala en su servidor y es de crucial importancia que nadie más tenga acceso a la misma. Su clave privada crea firmas digitales que, de hecho, funcionan como el sello de su empresa en línea. Es esencial mantener esta clave lo más segura posible. Si usted pierde su clave privada, ya no podrá seguir usando su certificado. Por esta razón, es esencial que guarde una copia de seguridad de toda la clave privada como una buena práctica de la gestión continuada de las claves.

    La clave pública concordante se instala en el servidor de la Web como parte del certificado digital. Ambas claves, pública y privada, se relacionan matemáticamente, pero no son idénticas. Los clientes que deseen comunicarse con usted en privado (mediante SSL) usan la clave pública de su certificado para codificar la información antes de enviársela. Este proceso es instantáneo y perfecto para el usuario. Sólo la clave privada del servidor web puede decodificar esta información. Los clientes sentirán la seguridad de que nada de lo que envíen podrá ser visto por un tercero.

 

a.6) Aplicaciones de SSL

Existen dos áreas amplias de aplicación para los certificados SSL:

1] Asegurar la comunicación entre el explorador y el servidor web es actualmente la principal aplicación y se aplica con mayor frecuencia a los sitios web de comercio electrónico para garantizar la transferencia de información sobre pagos. El tipo de datos considerados sensibles se está ampliando actualmente desde los datos financieros para incluir toda la información personal identificable, incluidos los números de identidad y seguridad social, y, cada vez más, las direcciones de correo electrónico.

2] Asegurar la comunicación entre servidores - Cada vez recurren más empresas a certificados SSL para asegurar las comunicaciones entre servidores. Esta es un área de aplicación que ofrece a las empresas varias opciones para mejorar la seguridad de los datos y la privacidad de la red. Actualmente, asegurar la comunicación entre servidores de correo electrónico es la aplicación más usual, si bien también es posible asegurar sitios ftp, bases de datos y servidores de aplicaciones, entre otros.

 

a.7) ¿Cuándo es apropiada la utilización de certificados SSL?

    La decisión de utilizar certificados SSL gira en torno a la importancia asociada con la seguridad de la transferencia de datos en línea. Por ejemplo, si está gestionando transacciones financieras en su sitio web, no hay duda de que necesita certificados SSL. Si está gestionando datos sensibles de los clientes, como números de seguridad social o números de identidad, merece la pena considerar seriamente la utilización de certificados SSL, en especial si la seguridad de sus clientes/miembros ocupa un lugar destacado en su lista de prioridades.

    Desde el punto de vista comercial, la utilización de certificados SSL provee a los clientes/usuarios la garantía de que no quedarán expuestos a ningún riesgo asociado con la transmisión de datos por una red abierta. Esto en sí mismo presenta muchos beneficios para su negocio, la mayoría de los cuales fluyen a partir de una mayor fiabilidad al tratar con su organización en línea. Por tanto, si su negocio se basa en el establecimiento de relaciones comerciales fiables.

 

a.8) Soluciones de certificados SSL

Certificados SSL123

    SSL123 es un certificado seguro validado a un dominio capaz de encripcion de 256-bit depende del nivel del cifrado apoyado por el explorador del cliente. Este producto se puede emitir dentro de unos minutos y es ideal para un negocio que desea instalar seguridad básica entre su sitio Web y sus usuarios en línea así como usos generales tales como asegurar intranets.

 

b) Qué pasa con los datos de tarjetas de crédito después que llegan al servidor.

 

Cuando hacemos compras en línea los datos pasan por cuatro fases:

 

b.1) Autenticidad: Todas las entidades participantes en la transacción están perfecta y debidamente identificadas antes de comenzar la misma. No se tiene la certeza de saber con quién estamos comunicándonos. Lo ideal en este sentido es que el cliente en una transacción de compra por Internet sólo debiera garantizar que es el legítimo propietario de la tarjeta de crédito que está usando en la misma, sin tener que hacer pública su identidad, por muchas leyes de protección de datos que estén vigentes. La Autenticidad se consigue mediante el uso de los certificados y firmas digitales.

 

b.2) Confidencialidad: El software de seguridad se asegura de que  los datos que  se envían solo son leídos por el destinatario final deseado. O en su defecto, aseguran que si alguien quiere obtener los datos, éstos ya no sirvan para nada. Lo ideal en este aspecto sería que las entidades implicadas en la transacción no llegaran a conocer más que los datos imprescindibles para realizar su función. La confidencialidad se consigue en las transacciones electrónicas con el uso de la Criptografía (256-bit).

 

b.3) Integridad: El software  se asegura  de que los datos que se enviaron  llegan íntegros, sin modificaciones, a su destino final. La integridad se consigue combinando Criptografía, funciones hash y firmas digitales.

 

b.4) No repudio: El software se asegura de que una vez enviado un mensaje con datos importantes o sensibles el destinatario de los mismos no pueda negar el haberlos recibido. El no repudio se consigue mediante los certificados y la firma digital.

 

c) Que estrategias se deben dar a la empresa que venden un producto por la Wed, para crear confianza a sus clientes que van a introducir datos de su tarjeta de crédito y no van ser estafados.

 

c.1) Cumplir con la normativa PCI DSS: El marco de seguridad de datos de la Industria de Pagos con Tarjeta (PCI) fue creado por American Express, Discover Financial Services, JCB, MasterCard Worldwide, y Visa Internacional, este estándar comprende doce (12) diferentes requerimientos:

 

1. Instalar y mantener una configuración de cortafuegos para proteger la información de titulares de tarjeta.

2. No utilizar las contraseñas y otros parámetros de seguridad del sistema predefinidos por el fabricante.

3. Proteger la información almacenada de titulares de tarjeta.

4. Encriptar la transmisión de información de titulares de tarjeta a través de redes públicas, abiertas.

5. Utilizar software o programas anti-virus actualizados regularmente.

6. Desarrollar y mantener sistemas y aplicaciones seguros.

7. Restringir el acceso a información de titulares de tarjeta según la necesidad del negocio.

8. Asignar un Identificador único a cada persona con acceso a un ordenador.

9. Restringir el acceso físico a la información de titulares de tarjeta.

10. Seguir y monitorear todos los accesos a los recursos de red y a la información de titulares de tarjeta.

11. Probar regularmente los sistemas y procesos de seguridad.

12. Mantener una directiva que dirija la seguridad de información de empleados y contratistas.

 

 

 

c.2) Cumplir con las siguientes y futuras normas ISO:

-ISO 20000: La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software. La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC). La certificación ISO 20000 proporciona a las organizaciones un planteamiento estructurado para desarrollar servicios de tecnología de la información fiables, es un reto, pero también es una oportunidad que tienen las empresas para salvaguardar sus sistemas de gestión de tecnología de la información, mejorar la satisfacción global de sus clientes/empleados, así como mejorar continuamente su imagen como empresa.

- La serie ISO/IEC 27000: Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. En esta serie de estándares se encuentran:

• ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita.

• ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI (Sistema de Gestión de la Seguridad de la Información) de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

• ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable.

• ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

• ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

• ISO 27005: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2008. Consistirá en una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI.

• ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

• ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.

• ISO 27011: En fase de desarrollo; su fecha prevista de publicación es Enero de 2008. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

• ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

• ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad.

• ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y remuneración de ISO 18028.

• ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones.

• ISO 27799: En fase de desarrollo; su fecha prevista de publicación es 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002).

c.3) Sensación de pertenencia al mundo real

    La recomendación mas pertinente, es la de diseñar la pagina dando la mayor sensación de pertenecía a un mundo real, por que un sitio web es intangible, no se puede hablar directamente con el encargado. La información que remarque la existencia real de una organización o autor detrás de una página  es esencial. El sitio web debe incluir información sobre la organización o autores, su dirección física, teléfono, e-mail, fotografías y muy fácil de navegar.

Conclusión

 

    El manejo de la  información y de base datos, es un valor clave para un negocio, para resguardar la integridad y la seguridad de la data, es importante estar claro e identificar con quién se está tratando y si los datos que recibe son fiables y confiables, la autenticación, el encriptamiento, el manejo de claves, la firma electrónica, contribuyen al aumento de la sensación de seguridad y confianza entre las partes involucradas, en todos los tipos de transacciones tras abordar sólo un conjunto de medidas de seguridad, que pasan por todos los aspectos anteriormente expuestos.

 

Fuente:

-Biblioteca de Consulta Microsoft ® Encarta ® 2005. © 1993-2004 Microsoft Corporation.

-Transferencia de datos en línea SSL. Thawte it`s a trust thins.

- Webtaller (2007). ¿Que es un certificado de seguridad SSL?. Disponible: http://www.webtaller.com/maletin/articulos/que-es-certificado-seguridad-ssl.php.

-http://www.hispasec.com/corporate/auditoria.html

 

- WWW.ISO27000.ES (s/f). ISO 27000. Disponible: http://www.iso27000.es/download/doc_iso27000_all.pdf.

- SGS (2007). ISO 20000. Disponible: http://www.es.sgs.com/es/iso_20000?serviceId=10009985&lobId=19982.

- Padlocks (s/f). Auditoria de Sistemas. Disponible: http://vbarreto.tripod.com.ve/keys/audi/audi01.html.

- Einnova (2007). Auditoria informática y sistemas de la información. Disponible: http://www.auditoriasistemas.com/.

-Seguridad de las transacciones on-line. Disponible: http://www.ipr-helpdesk.org/docs/docs.ES/securityOLTransactions.html#N10044

- Usos de  la Web en las empresas. Intranets y Extranets. Privacidad y  Seguridad. Firewalls. Disponible: http://www.gestiopolis.com/administracion-estrategia/usos-de-la-web-en-las-empresas-intranet-extranet-firewalls.htm