Republica Bolivariana De Venezuela
Universidad Yacambu
Especialización En Gerencia de Sistemas de Información
Asignatura: Sistemas de Información Gerencia
Profesor: Yaros Pérez
TRABAJO 2
Realizado por: Aris Mateo C.I. 9.587.458
Introducción:
Esta trabajo se compone de una serie de artículos dedicados al tema de la Seguridad (Opción 2 Trabajo 2) en el mundo informático, y especialmente a todos aquellos temas que afecten a las redes de ordenadores y a Internet.
OPCION 2:
Seguridad en los sistemas de información desarrollados vía WEB.
En la actualidad nos contratan para desarrollar sistemas de información vía web y nos preocupamos solo en desarrollar y obviamos el tema de la Seguridad de los Datos porque asumimos que es responsabilidad de otros departamentos en la empresa.
Ahora supongamos que nosotros nos contratan para auditar la seguridad de un sistemas desarrollado vía web. Que factores debemos tomar en cuenta para auditar ese sistema.
1. Definiciones:
La seguridad informática: es un atributo relativo, resultado del equilibrio conseguido entre el riesgo y las medidas establecidas para paliarlo.
Mantenimiento de la confidencialidad, integridad y disponibilidad de la información:
Confidencialidad:
Integridad:
Disponibilidad:
Seguridad
Informática
● Actualidad
● Futuro
Introducción a la
Seguridad Informática
● Sistema de
información: Se trata de un conjunto de elementos hardware, software, datos y
personas que permiten el almacenamiento, proceso y transmisión con el objetivo
de realizar determinadas tareas.
● Amenaza:
Acción o acontecimiento que puede atentar contra la seguridad.
● Impacto:
Es la consecuencia que la materialización de una amenaza provoca en los activos
del sistema de información.
● Activos:
Los activos son todos aquellos recursos del sistema de información o
relacionados con éste
●
Vulnerabilidad de un activo: Es la potencialidad o posibilidad de ocurrencia de
la materialización de una amenaza sobre dicho activo.
Servicios y
mecanismos de seguridad
Servicio de
seguridad: Servicio suministrado por uno o más niveles de un sistema abierto de
comunicación, que garantiza la seguridad del sistema y de las transferencias de
datos. Los servicios reconocidos por la norma ISO-7498-2 son: confidencialidad,
autenticación, integridad, no repudio, control de acceso y disponibilidad.
Mecanismo de
seguridad: Es el dispositivo, físico o lógico, que reduce el riesgo.
Servicios y
mecanismos de seguridad
Los mecanismos de
seguridad pueden clasificarse como:
Los mecanismos de
seguridad operan de dos formas:
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad de SI
permiten conocer en el momento de su realización cuál es la situación exacta de
sus activos de información en cuanto a protección, control y medidas de
seguridad.
Los servicios de auditoría constan de las siguientes fases:
Los servicios de auditoría pueden ser de distinta índole:
Realizar auditorías con cierta frecuencia
asegura la integridad de los controles de seguridad aplicados a los sistemas de
información. Acciones como el constante cambio en las configuraciones, la
instalación de parches, actualización de los softwares y la adquisición de
nuevo hardware hacen necesario que los sistemas estén continuamente verificados
mediante auditoría.
3. Soluciones e-business:
El e-business, engloban a toda una serie de modelos de
negocio basados en tecnología internet encaminados a mejorar las relaciones
comerciales entre empresas, cadenas de aprovisionamiento, mercados verticales y
un largo etcétera de posibilidades. En última instancia un sistema de
e-business puede tomar múltiples formas y es la empresa quien debe decidir la
mejor o más adecuada según sus necesidades.
A continuación se describen brevemente los modelos que
con toda seguridad más tendrán que digerir las empresas en los próximos años:
ERP (Enterprise Resuorce Planning). Podemos considerar
este software como la tecnología subyacente de gestión interna sobre la cual
basar el resto de modelos de negocio de e-business. El término ERP deriva de
MRP (Material Requirement Planning) herramienta para el control de procesos
productivos. Los sistemas ERP administran los procesos internos del negocio
para la optimización de la cadena de valor que sirve a todos los departamentos
dentro de la empresa. El software ERP incluye diversas funcionalidades:
facturación, contabilidad, compras, producción, transporte, informes de gestión
y recursos humanos entre otras.
SCM (Supply Chain Management). Gestiona los procesos
de negocio tanto internos como externos de la empresa implicando a todos los
agentes que directa o indirectamente están implicados, desde la producción a la
distribución. El SCM incluye el aprovisionamiento de materias primas,
proveedores, la atención al cliente, la logística y en general todo la cadena
de valor de la empresa, optimizando los procesos más que automatizándolos, como
es el caso del ERP.
CRM (Customer Relatinship Management). Dirigido a
todos los aspectos relacionados con la atención y el servicio al cliente,
coordina a todos los departamentos involucrados en esta atención: departamentos
de ventas, marketing y relaciones con los clientes. Las soluciones CRM
gestionan conjuntamente el servicio de reclamaciones, la gestión de
incidencias, vendedores y seguimiento de ventas. Al funcionar sobre sistemas de
Datawarehouse permiten obtener perfiles de usuario, preferencias y hábitos de
compra.
Marketplaces. Mercados virtuales para la venta, compra
e intercambio de información entre múltiples participantes. Básicamente
consiste en un directorio de empresas con información sobre los productos de
cada una donde compradores y vendedores buscan productos o servicios, solicitan
ofertas y procesan pedidos.
E-procurement. Abastecimiento electrónico de productos
y servicios vía internet. Bajo estas plataformas se gestionan los procesos de
compra a proveedores bien sean compras de productos directos (implicados en el
proceso de producción del producto final): materias primas, o indirectas (no
implicadas en el producto final): papelería, informática, servicios varios. La
principal ventaja del uso de estas plataformas radica en el ahorro de tiempo en
la gestión de compras, la comodidad y la reducción de los precios de
adquisición de productos y la posibilidad de acceder a nuevos proveedores.
Existen más modelos de e-business como el BI (Business
Intelligence) centrado en el apoyo a la toma de decisiones y la evaluación de
indicadores de negocio. El KM (Knowledge Management) para la gestión del
conocimiento y cuyo objetivo es lograr que la información dentro de una
organización llegue a todo aquel que la necesite, procesada de forma tal que
sea posible llevarla a la práctica. Pero antes de perdernos en la telaraña de
siglas y posibilidades, es preciso comentar que la empresa debe más que nada
comprenderlas y conocer las posibilidades para poder así aplicar modelos personalizados
basados en las necesidades de cada organización, es lo que denominamos la
convergencia en los distintos modelos de e-business para llegar a la
e-organización.
Como vemos, este nuevo uso de internet como
herramienta de apoyo a la gestión global de la empresa no se presenta como la
nueva panacea de los grandes beneficios. Lo que nos muestran estas soluciones
son una nueva visión de internet como un terreno de enormes posibilidades para
el desarrollo y fortalecimiento de las empresas.
4. La empresa debe adquirir un Certificado de
Seguridad - SSLCertificate (Verign, Thawte, etc )
Security Certificate
(Certificado de Seguridad) -- Es una serie de datos (por lo regular almacenados como archivo de texto) que son usados por el protocolo SSL para establecer una conexión segura. Los Certificados de Seguridad contienen información sobre el propietario, sobre quién lo publicó, un número de serie único o alguna otra información específica, fechas válidas y una "huella digital" encriptada que puede ser utilizada para corroborar el contenido del certificado. Para que una conexión SSL sea creada, se requiere que en ambos lados de la conexión se tenga un Certificado de Seguridad válido.
SSL
(Secure Sockets Layer) -- Es un protocolo diseñado por Netscape Communications
para habilitar las comunicaciones de manera encriptada y autenticada a través
del Internet. SSL es usado principalmente (aunque no de manera exclusiva) en
comunicaciones entre browsers y web servers. Todos los URL's que inician con
"https" indican que se está usando una conexión SSL. El SSL brinda 3
cosas importantes: Privacidad, Autentificación e Integridad en los Mensajes.
Para que una conexión SSL sea creada, se requiere que en ambos lados de la
conexión se tenga un Certificado de Seguridad válido. De esta manera, se
encripta todo lo que se envía en cada extremo utilizando la información
contenida en el Certificado de ambos, asegurando que sólo el destinatario
deseado pueda descifrarlo. De igual manera, el extremo receptor puede
asegurarse que los datos provienen del lugar a dónde se están solicitando y que
el mensaje no ha sido alterado o manipulado por ajenos.
A la luz de los
riesgos asociados al comercio electrónico y la comunicación en línea, es
importante no sólo utilizar tecnología
de cifrado seguro cuando se realizan negocios en Internet, sino también probar
la propia identidad y desarrollar relaciones de confianza con socios y
clientes.
Para poder
establecer estas relaciones en línea, es necesaria la autenticación de una
tercera parte de confianza, así como recibir un certificado SSL (Secure Sockets
Layer) firmado por esa tercera parte. El cifrado es el proceso de
transformación de la información que la hace ininteligible para todos excepto
para el
destinatario original y sienta la base para la integridad de datos y la
privacidad imprescindibles para el comercio electrónico. Sin embargo, sin la
autenticación, la tecnología de cifrado no es suficiente para proteger a los
usuarios de estos servicios electrónicos. Es necesario utilizar la autenticación
junto con el cifrado para proporcionar:
• Confirmación de
que la empresa nombrada en el certificado tiene derecho a utilizar el nombre de
dominio que se incluye en el certificado.
• Confirmación de
que la empresa nombrada en el certificado es una entidad legal.
• Confirmación de
que la persona que solicitó el certificado SSL en nombre de la organización
había sido autorizada a hacerlo.
Algunas
autoridades de certificación (Certificate Authorities, CA) creen que el cifrado
basta por sí mismo para garantizar la
seguridad de un sitio web y promover la confianza de los clientes en dicho
sitio. Pero de hecho, hay una diferencia entre certificados autenticados (“alta
seguridad”), que nos dan confianza y
seguridad, y los certificados no autenticados (“baja seguridad”), que socavan
la confianza del cliente y vulneran la seguridad en la red. Además de utilizar
la tecnología de cifrado, es de vital importancia que el sitio web esté
autenticado, lo que aumentará la confianza de los internautas que visiten su sitio
web y su negocio.
Si protege su
sitio web con VeriSign, podrá beneficiarse de una gran variedad de opciones
para mejorar aún más sus operaciones de comercio electrónico.
Con el sello
Secured Seal de VeriSign, que se incluye con todos los servicios Secure Site,
podrá utilizar la marca de seguridad número uno en Internet para dar a sus
clientes la confianza necesaria para comunicarse y realizar transacciones
comerciales en su sitio.
Con el sello, los
visitantes de su sitio podrán además comprobar la información de su certificado
SSL y el estado del mismo en tiempo real, lo que contribuye a aumentar la
confianza en su negocio en línea y por lo tanto a incrementar las ventas e
ingresos.
Los servicios de
seguridad Secure Site de VeriSign ofrecen los medios para asegurar y activar el
comercio electrónico de su sitio web, lo que proporciona al cliente la
tranquilidad de que sus operaciones en la Web son seguras. El aumento de la
confianza en las transacciones realizadas en línea aporta muchos beneficios.
Entre los más importantes están el aumento de los ingresos y la rentabilidad.
El comercio electrónico nos presenta auténticos desafíos (e importantes
oportunidades) para poder proporcionar el mismo nivel de confianza y
personalización en Internet que los que ofrecen los comercios físicos.
Descripción
general
Hasta muy
recientemente, la mayoría de los certificados SSL podían clasificarse como
certificados de seguridad media a alta que proporcionaban los siguientes tres
servicios de seguridad: confidencialidad, autenticación e integridad. Los
certificados digitales sólo identifican a sitios web e individuos y permiten
comunicaciones seguras y confidenciales. Por desgracia, algunos proveedores de
certificados SSL han preferido proporcionar certificados SSL de baja seguridad,
para así poder disminuir los costes y acelerar el proceso de solicitud. Esto
entra en conflicto con los métodos generalmente aceptados por el sector, socava
la confianza del cliente y crea confusión entre los visitantes de los sitios
web.
Los certificados
SSL de “baja seguridad” proporcionan confidencialidad e integridad, pero no
autenticación. En el pasado, el icono de candado que aparecía en el navegador
del usuario se consideraba un signo fiable de autenticación. Ahora, los
usuarios se ven obligados a examinar el propio certificado SSL para poder
distinguir entre certificados autenticados de alta seguridad y certificados sin
autenticar de baja seguridad.
Por ejemplo, si un
usuario intenta comunicarse de forma segura con un sitio web que cuente con un
certificado SSL con el nombre comercial de “ABC Inc.”, dicho usuario deberá
comprobar si el certificado está autenticado por una tercera parte. El
certificado SSL intenta transmitir la confianza de que el sitio web que se está
visitando (como www.abc-incorporated.com) es definitivamente un sitio de “ABC
Inc.” y no cualquier otra entidad que simula serlo para engañar a los
visitantes del sitio web y obtener beneficios a su costa.
Una autenticación
rigurosa es la única prueba que una empresa puede presentar a clientes y socios
para probar que el sitio web es auténtico y tiene derecho a utilizar el nombre
de dominio que aparece en el certificado.
¿Por qué es
necesario contar con certificados SSL autenticados?
Las nociones de
identidad y autenticación son conceptos fundamentales en cualquier mercado. Los
individuos y las instituciones deben conocerse mejor y tener confianza en el
otro antes de poder realizar negocios. En el comercio tradicional, la gente se
basaba en los documentos físicos (como una licencia
comercial o una
carta de crédito) para probar su identidad y asegurar a la otra parte su
capacidad para realizar una transacción.
En la edad del
comercio electrónico, los certificados SSL autenticados proporcionan la
indispensable identidad y seguridad en línea que ayuda a establecer una
relación de confianza entre las partes involucradas en transacciones
electrónicas en redes digitales. Independientemente de si el negocio se realiza
en el mundo digital o el físico, las partes involucradas deben poder responder
a las siguientes preguntas:
• ¿Quién eres?
(Requisito de identidad).
• ¿A qué comunidad
perteneces? ¿Eres un miembro de confianza? (Respaldo de una asociación).
• ¿Cómo puedes
probar tu identidad? (Validación de la identidad).
Los clientes deben
tener la certeza de que el sitio web con el que se están comunicando es
auténtico y de que la información que envíen mediante su navegador web seguirá
siendo privada y confidencial.
Cifrado
Internet presenta
una gama única de problemas relativos a la seguridad, problemas que los
negocios deben superar desde el principio para minimizar riesgos. Los clientes
envían información y adquieren productos o servicios a través de Internet sólo
si se sienten seguros de que la información personal, como los números de sus
tarjetas de crédito o sus datos financieros, está segura. La solución para los
negocios que se toman el comercio electrónico en serio es implementar una
infraestructura segura basada en tecnologías de cifrado. El cifrado es el
proceso de transformación de la información que la hace ininteligible para
todos excepto para el destinatario original y sienta la bases para la
integridad de datos y la privacidad que son imprescindibles para el comercio
electrónico.
Autenticación
Algunas autoridades
de certificación creen que el cifrado basta por sí mismo para garantizar la
seguridad de un sitio web y promover la confianza de los clientes en dicho
sitio. Sin embargo, el cifrado no es suficiente, siendo necesario que el sitio
web también esté autenticado, lo que mejorará la confianza que los internautas
tienen en el sitio web que visitan.
Estar autenticado
significa que una entidad de confianza puede probar que eres quien dices ser.
Para probar que su negocio es auténtico, su sitio web debe estar asegurado por
métodos de autenticación y una tecnología de cifrado de la mejor calidad.
Certificados
digitales
Un certificado
digital es un archivo electrónico que identifica de forma exclusiva a
individuos y sitios web en Internet y permite establecer comunicaciones
confidenciales y seguras.
Los certificados
digitales funcionan como una forma de credencial o pasaporte digital.
Por lo general el
“signatario” de un certificado digital es una autoridad de certificación como,
por ejemplo, VeriSign. Algunas autoridades de certificación de confianza
autentican sus certificados digitales pero, por desgracia, también hay otras
que proporcionan certificados SSL sin autenticar. Este hábito expone a los
usuarios de Internet al riesgo de que haya negocios fraudulentos operando en la
red. Como proveedor líder de servicios de confianza, VeriSign proporciona
certificados SSL autenticados que aseguran
una relación de confianza entre usted y sus clientes.
Los certificados
SSL autenticados permiten al visitante del sitio web:
• Comunicarse de
forma segura con el sitio web, de manera que la información suministrada por el
visitante no pueda ser interceptada durante la transmisión (confidencialidad)
ni alterada sin que nadie lo detecte (integridad).
• Comprobar que el
sitio que el usuario está visitando realmente pertenece a la compañía, y que no
ha sido suplantada (autenticación).
VeriSign garantiza
esta confianza reforzando su servicio de autenticación con tecnologías de
cifrado de vanguardia en sus soluciones de certificados digitales. Su empresa
de comercio electrónico solo recibirá un certificado SSL de VeriSign
autenticado una vez que:
• Se compruebe la
identidad y se confirme que la organización es una entidad legal.
• Se confirme que
tiene derecho a utilizar el nombre de dominio que se incluye en el certificado.
• Se compruebe que
la persona que solicitó el certificado SSL en nombre de la organización había
sido autorizada a hacerlo.
Riesgos de los
certificados SSL sin autenticar
En la actualidad
los navegadores no distinguen entre certificados SSL de alta seguridad
(autenticados) y los de baja seguridad (sin autenticar).
Generalmente, el
usuario confía automáticamente en el certificado SSL cuando la autoridad de
certificación lo emite y el nombre del dominio del certificado coincide con el
dominio del sitio web visitado.
El icono de
candado del navegador del usuario aparecerá indistintamente, tanto si el sitio
en particular está utilizando un certificado SSL de alta seguridad autenticado
como sin autenticar.
Hasta hace muy
poco tiempo, este sencillo método había funcionado adecuadamente, y ha
facilitado la expansión del comercio electrónico. Sin embargo, los últimos
cambios en el mercado de los certificados SSL suponen una amenaza potencial
para la confianza del cliente, y un riesgo para la seguridad de las
transacciones en línea. Uno de los mayores riesgos de los certificados SSL sin
autenticar es la técnica de las intrusiones ilícitas, también denominada
"spoofing". El bajo coste del diseño de un sitio web y la sencillez
con la que pueden copiarse las páginas existentes simplifican la creación de
sitios falsos que parecen ser seguros y pertenecer a organizaciones
establecidas. De hecho, hay casos de expertos del fraude que han conseguido
números de tarjetas de crédito estableciendo tiendas de aspecto profesional que
imitaban negocios legales, utilizando un nombre de dominio muy similar y
presentando contenidos engañosos que hacían que la víctima tomara una decisión
que ponía en peligro su seguridad.
Hay otras razones
por las que la autenticación es importante.
El fraude en
Internet sigue constituyendo una gran barrera para el gasto de los
consumidores, y un importante número de estafas se debe a que los clientes
realizan transacciones con entidades de las que tienen muy poca o ninguna
información.
A continuación se
incluyen algunos datos relacionados con el fraude en Internet:
• Según GartnerG2,
en 2001 se perdieron por fraude más de 700 millones de dólares en transacciones
electrónicas, lo que representa el 1,14 por ciento de los 61.800 millones de
ventas anuales en línea. En el año 2001, las pérdidas por fraude fueron 19
veces más altas en las transacciones electrónicas que en las ventas no
electrónicas.
• Según Gartner
Group, el fraude en Internet está causando pérdidas cuantiosas en el sector de
los vendedores a través de Internet. Gartner estudió más de 160 empresas y
descubrió que existe 12 veces más fraude en las transacciones a través de
Internet que en la venta al por menor tradicional. Y lo
que es más, los
vendedores en línea deben asumir la responsabilidad y los costes en caso de
fraude, mientras que en el caso de las transacciones tradicionales son las
empresas de tarjetas de crédito las que se hacen cargo de dichos costes,
siempre y cuando el vendedor siga los procedimientos y cuente con un recibo
firmado.
• Las
investigaciones llevadas a cabo por Jupiter Media Metrix han demostrado que es
más habitual el miedo al fraude en línea que las situaciones de fraude real que
se producen.
“La prensa crea
una mala imagen de las compras en línea, pero en la mayoría de los casos se
trata de empresas que no han utilizado los medios de seguridad adecuados”,
asegura Harry Wolhanlder,
vicepresidente de
Market Research en ActivMedia.
“Los negocios en
Internet que aplican medios adecuados para comprobar la información de los
clientes apenas se ven afectados por este problema y las pérdidas por fraude en
este caso se limitan a un 1%
aproximadamente.
El control del fraude en línea es perfectamente posible, pero hay muchas empresas
que no emplean rigurosas medidas de prevención y comprobación”.
Cómo saber si un
sitio web es auténtico
Antes de enviar
información o adquirir productos de un vendedor en línea, debe saber que la
empresa con la que está realizando la transacción es quien dice ser. Aunque los
sitios web pueden comprar certificados de servidor de muchas autoridades de
certificación, los navegadores de Internet están configurados para que sólo
confíen en los certificados de servidor que provengan de empresas de buena
reputación. Cuando visita un negocio en línea que está asegurado por VeriSign,
por ejemplo, puede estar seguro de que el sitio es auténtico.
Aunque muchos
consumidores y empresarios no comprenden totalmente el exhaustivo método de los
servicios de autenticación de VeriSign, saben que pueden tomar el sello Secured
Seal de VeriSign como prueba de que una empresa es real y que constituye un
lugar seguro en el que comprar.
Todas las empresas
web autenticadas obtienen un sello con su solución de certificado para aumentar
la confianza de los clientes en su sitio.
Los navegadores
Netscape Navigator y Microsoft Internet Explorer incorporan mecanismos de
seguridad que impiden que los usuarios envíen involuntariamente información
confidencial a través de canales poco seguros. Si un usuario intenta enviar
información a un sitio no seguro (un sitio sin un certificado SSL autenticado),
el navegador mostrará de forma predeterminada un mensaje de advertencia,
indicando que el proceso de compra puede suponer un riesgo.
Los certificados
de VeriSign demuestran su identidad en el momento de realizar las transacciones
electrónicas, de la misma forma que los permisos de conducir y el pasaporte lo
hacen en situaciones de contacto directo.
Gracias al
certificado SSL de VeriSign podrá asegurar a sus clientes que la información
electrónica que reciben de usted es auténtica.
Razones por las
que el método de autenticación de VeriSign es más seguro
El proceso de
autenticación de VeriSign es eficaz y seguro, a la vez que ofrecemos el plazo
más breve posible de respuesta a las solicitudes de certificado SIN comprometer
la fiabilidad del proceso.
Antes de emitir un
certificado SSL, VeriSign comprueba sus documentos oficiales y completa el
proceso de comprobación de veracidad para asegurar que su empresa es quien dice
ser y que no está mostrando una identidad falsa. Después, VeriSign emite para
su empresa un certificado SSL, que es una prueba
electrónica que su
negocio puede presentar para demostrar su identidad o su derecho a acceder a la
información.
Beneficios para su
empresa
Tras instalar su
certificado de VeriSign, su servidor activa automáticamente la tecnología SSL,
que sirve para crear un canal de comunicación seguro y autenticado entre su
servidor y el navegador del cliente. Su sitio podrá comunicarse de forma segura
con cualquier cliente que utilice Netscape Navigator, Microsoft Internet
Explorer y los programas de correo electrónico más conocidos. Una vez haya
activado su
certificado de
servidor, el SSL comenzará inmediatamente a proporcionarle los siguientes
beneficios de una transacción electrónica segura:
Atracción de
clientes
Cuando establezca
su sitio web seguro, podrá beneficiarse de una gran variedad de opciones de
VeriSign para mejorar aún más sus operaciones de comercio electrónico.
Con el sello
Secure Seal de VeriSign, que se incluye con todos los servicios de Secure Site,
podrá utilizar la marca de seguridad número uno en Internet para dar a sus
clientes la confianza necesaria para comunicarse y realizar transacciones
comerciales en su sitio. Este sello permite a los visitantes de su sitio web
comprobar la información y el estado de su certificado SSL en tiempo real, y
proporciona protección adicional contra el uso indebido de certificados
anulados o que han caducado.
Ventajas
principales de contar con un certificado de servidor de VeriSign en su sitio:
Garantizar transacciones electrónicas seguras que protejan a los clientes y a su negocio. Los clientes tendrán la seguridad de que envían su información personal a una empresa legal y no a un impostor. Por su parte, sabrá que su empresa recibe información precisa que el cliente no podrá denegar posteriormente.
Los servicios de
seguridad Secure Site de VeriSign le proporcionan los medios para asegurar y
activar el comercio electrónico de su sitio web, lo que proporciona al cliente
la tranquilidad de que sus operaciones en la Web son seguras. El aumento de la
confianza en las transacciones realizadas en línea aporta muchos beneficios.
Entre los más importantes están el aumento de los ingresos y la rentabilidad.
Autenticación
Comprobando el
certificado de VeriSign, sus clientes pueden asegurarse de que se trata es el
propietario del sitio web y no un impostor. Este hecho les proporciona la
confianza necesaria para enviar información confidencial.
Privacidad de los
mensajes
El SSL cifra toda
la información que se intercambia entre su servidor web y los clientes, como
los números de tarjeta de crédito y otros datos personales, mediante una clave
de sesión única. Para transmitir la clave de sesión al cliente de manera
segura, el servidor la cifra con su clave pública. Cada clave de sesión se
utiliza una sola vez, durante una única sesión (que puede incluir una o más
transacciones) con un mismo cliente.
Estos niveles de
protección de la privacidad aseguran que la información no pueda visualizarse
en caso de que terceras partes la intercepten.
Integridad de los
mensajes
Cuando se envía un
mensaje, los equipos que lo envían y lo reciben crean una clave que se basa en
el contenido de dicho mensaje. Si un sólo carácter del contenido del mensaje se
altera en el camino, el equipo receptor crea una clave diferente y advierte al
receptor de que el mensaje no es legítimo. Gracias a
la integridad de
los mensajes, las dos partes involucradas en la transacción saben que lo que
reciben es exactamente lo que ha enviado la otra parte.
Debemos ser conscientes de que Internet es, por propia naturaleza, un medio de comunicación global no seguro, por lo que es de especial importancia para todo desarrollador de aplicaciones basadas en la gran red el conocer las limitaciones que puede encontrar y que van a afectar a su trabajo.
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Actualmente
existen soluciones con las que se puede dar una nueva visión de internet como
un terreno de enormes posibilidades para el desarrollo y fortalecimiento de las
empresas. El e-business, engloban a toda una serie de modelos de negocio
basados en tecnología internet encaminados a mejorar las relaciones comerciales
entre empresas, cadenas de aprovisionamiento, mercados verticales y un largo
etcétera de posibilidades.
A la luz de los
riesgos asociados al comercio electrónico y la comunicación en línea, es
importante no sólo utilizar tecnología
segura cuando se realizan negocios en Internet, sino también probar la propia
identidad y desarrollar relaciones de confianza con socios y clientes.
Los certificados
SSL sin autenticar proporcionan confidencialidad e integridad, pero carecen de
la autenticación de terceras partes tan necesaria para:
• Comprobar que el
sitio que el usuario está visitando realmente pertenece a la compañía y no a un
suplantador.
• Permitir al
destinatario de un mensaje digital estar seguro tanto de la identidad del
emisor como de la integridad del mensaje.
• Garantizar
transacciones electrónicas seguras que protejan a los clientes y a su negocio.
Por estas razones,
es de vital importancia que su sitio web esté autenticado, lo que aumentará la
confianza que los visitantes de la Web depositan en su sitio y en su negocio.
Por otra parte, si
hay partes sin autorizar que emiten certificados, la veracidad de éstos suele
verse mermada.
Al requerir que se
compruebe el derecho que tiene un solicitante de certificado para realizar
dicha solicitud (por ejemplo, si está empleado en la empresa nombrada en el
certificado) se evita el riesgo de emitir un certificado para un individuo con
intenciones fraudulentas que no esté empleado en la empresa.
1. Definiciones:
http://es.wikipedia.org/wiki/Auditor%C3%ADa_de_seguridad_de_sistemas_de_informaci%C3%B3n
3. Soluciones e-business:
http://www.desarrolloweb.com/articulos/676.php
4. La empresa debe adquirir un Certificado de
Seguridad - SSLCertificate (Verign, Thawte, etc )
Security Certificate http://www.helpcenter.com.mx/glosario2.asp
SSL. http://www.helpcenter.com.mx/glosario2.asp#ssl