UNIVERSIDAD YACAMBÚ

UNIVERSIDAD YACAMBÚ

VICERRECTORADO DE ESTUDIOS VIRTUALES

CURSO: SISTEMAS DE INFORMACION GERENCIAL

AUTORES: RICARDO CÁRDENAS HERNÁNDEZ

ISLEYDA CAROLINA MORENO

SONIA RAMIREZ LUJAN

JAMAL TAYEB

TRABAJO 2

SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN DESARROLLADOS VIA WEB.

1. Algunos conceptos primordiales.

Un sistema de información es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa o negocio.

El equipo computacional: el hardware necesario para que el sistema de información pueda operar.

El recurso humano que interactúa con el Sistema de Información, el cual está formado por las personas que utilizan el sistema.

Un sistema de información realiza cuatro actividades básicas: entrada, almacenamiento, procesamiento y salida de información.

Entrada de Información: Es el proceso mediante el cual el Sistema de Información toma los datos que requiere para procesar la información. Las entradas pueden ser manuales o automáticas. Las manuales son aquellas que se proporcionan en forma directa por el usuario, mientras que las automáticas son datos o información que provienen o son tomados de otros sistemas o módulos. Esto último se denomina interfases automáticas.

Las unidades típicas de entrada de datos a las computadoras son las terminales, las cintas magnéticas, las unidades de diskette, los códigos de barras, los escáners, la voz, los monitores sensibles al tacto, el teclado y el mouse, entre otras.

Almacenamiento de información: El almacenamiento es una de las actividades o capacidades más importantes que tiene una computadora, ya que a través de esta propiedad el sistema puede recordar la información guardada en la sección o proceso anterior. Esta información suele ser almacenada en estructuras de información denominadas archivos. La unidad típica de almacenamiento son los discos magnéticos o discos duros, los discos flexibles o diskettes y los discos compactos (CD-ROM).

Procesamiento de Información: Es la capacidad del Sistema de Información para efectuar cálculos de acuerdo con una secuencia de operaciones preestablecida. Estos cálculos pueden efectuarse con datos introducidos recientemente en el sistema o bien con datos que están almacenados. Esta característica de los sistemas permite la transformación de datos fuente en información que puede ser utilizada para la toma de decisiones, lo que hace posible, entre otras cosas, que un tomador de decisiones genere una proyección financiera a partir de los datos que contiene un estado de resultados o un balance general de un año base.

Salida de Información: La salida es la capacidad de un Sistema de Información para sacar la información procesada o bien datos de entrada al exterior. Las unidades típicas de salida son las impresoras, terminales, diskettes, cintas magnéticas, la voz, los graficadores y los plotters, entre otros. Es importante aclarar que la salida de un Sistema de Información puede constituir la entrada a otro Sistema de Información o módulo. En este caso, también existe una interfase automática de salida. Por ejemplo, el Sistema de Control de Clientes tiene una interfase automática de salida con el Sistema de Contabilidad, ya que genera las pólizas contables de los movimientos procesales de los clientes.

Tipos y Usos de los Sistemas de Información

Los Sistemas de Información cumplirán tres objetivos básicos dentro de las organizaciones:

- Automatización de procesos operativos.

- Proporcionar información que sirva de apoyo al proceso de toma de decisiones.

- Lograr ventajas competitivas a través de su implantación y uso.

Los Sistemas de Información que logran la automatización de procesos operativos dentro de una organización, son llamados frecuentemente Sistemas Transaccionales, ya que su función primordial consiste en procesar transacciones tales como pagos, cobros, pólizas, entradas, salidas, etc.

Por otra parte, los Sistemas de Información que apoyan el proceso de toma de decisiones son los Sistemas de Soporte a la Toma de Decisiones, Sistemas para la Toma de Decisión de Grupo, Sistemas Expertos de Soporte a la Toma de Decisiones y Sistema de Información para Ejecutivos.

El tercer tipo de sistema, de acuerdo con su uso u objetivos que cumplen, es el de los Sistemas Estratégicos, los cuales se desarrollan en las organizaciones con el fin de lograr ventajas competitivas, a través del uso de la tecnología de información.

Algunos autores consideran un cuarto tipo de sistemas de información denominado Sistemas Personales de Información, el cual está enfocado a incrementar la productividad de sus usuarios.

Los Certificados Digitales o Certificados Electrónicos son documentos electrónicos basados en la criptografía de clave pública y en el sistema de firmas digitales. La misión principal de un Certificado Digital es garantizar con toda confianza el vínculo existente entre una persona, entidad o servidor Web con una pareja de claves correspondientes a un sistema criptográfico de clave pública.

2. Auditar la Seguridad del Sistema. ¿Que factores debemos tomar en cuenta para auditar ese Sistema ?.

El objetivo principal de una auditoria es la revisión y monitoreo de la eficiencia de los sistemas de información que se tienen en la organización. La auditoria comprende tanto los equipos de cómputo, como los procesos de entrada y salida de los sistemas y la obtención de datos y archivos de estos.

Entre los factores que debemos tomar en cuenta para auditar ese sistema se encuentran:

La adquisición de un Certificado de Seguridad - SSLCertificate (Verign, Thawte, etc ):

Mediante la instalación de un Certificado de Seguridad SSL adquirido a través de empresas como veriSign, Geotrust, Thawte entre otras, cualquier información enviada a su servidor es encriptada, imposibilitando su intercepción o robo. Además muestra la identidad del individuo o empresa responsable del sitio web y el nombre de la autoridad independiente que ha verificado dicha identidad,

El Certificado de Seguridad se conectará a través de 128 bit, 56 bit o 40 bit dependiendo de la capacidad del navegador del cliente.

Es sumamente importante asegurar la transmisión de la información financiera en un comercio electrónico es la principal aplicación de los certificados SSL. Si realizan transacciones financieras a través de su sitio Web, no cabe duda de que necesita un certificados SSL. Si maneja datos sensibles los clientes, vale la pena considerar seriamente el uso de certificados SSL, especialmente si la seguridad y privacidad de sus clientes o miembros ocupa uno de los primeros lugares en las prioridades de la empresa.

Secure Socket Layer es un sistema de protocolos de caracter general diseñado en 1994 por la empresa Nestcape Communcations Corporation, y está basado en la aplicación conjunta de Criptografía Simétrica, Criptografía Asimétrica (de llave pública), certificados digitales y firmas digitales para conseguir un canal o medio seguro de comunicación a través de Internet. De los sistemas criptográficos simétricos, motor principal de la encriptación de datos transferidos en la comunicación, se aprovecha la rapidez de operación, mientras que los sistemas asimétricos se usan para el intercambio seguro de las claves simétricas, consiguiendo con ello resolver el problema de la Confidencialidad en la transmisión de datos.

SSL implementa un protocolo de negociación para establecer una comunicaión segura a nivel de socked (nombre de máquina más puerto), de forma transparente al usuario y a las aplicaciones que lo usan.

¿Por qué se debería usar un certificado digital?

Hay dos razones importantes:

- Probar la identidad de su empresa (o de su servidor) en línea, y al hacerlo, esto da un sentido de fiabilidad y confianza a quien usa su sitio Web.

- Ofrecer protección de los datos enviados a su sitio Web (o entre servidores) mediante el uso de codificación, de esta manera si por alguna razon se llegara interceptarse cualquier información, sería imposible descifrarla sin la clave que debe utilizarse para la decodificación.

Cuando se evalúe un producto certificador, se debe asegurar de que cumpla con cada uno de estos requisitos.

El propósito principal es probar que su identidad es la correcta, y poder interactuar de manera segura en línea.

La autenticación constituye el elemento más importante de un certificado digital ya que garantizaa al usuario:

[1] Su empresa es actúa de buena fe en el mundo real.

[2] se están conectando con el servidor correcto.

El nivel de autenticación de un certificado puede ser visto como una indicación de la calidad: cuanto mas sea el nivel de autenticación provisto, más será la calidad del certificado. Por lo tanto, es importante comprender que cada uno de los certificados digitales disponibles difiere en el nivel de autenticación según la CA emisora o inclusive el producto específico. Algunas CA sólo realizan una autenticación muy básica antes de emitir un certificado, mientras que otras realizan extensas verificaciones para asegurar la identidad de la organización solicitante.

Las diversas verificaciones de autenticación que realizan las CA:

· Búsqueda del dominio para confirmar que la empresa solicitante es la propietaria del mismo.

· Comprobación de la existencia de la empresa para confirmar que se trata de una organización legalmente registrada.

· Verificación de la identidad de la persona que solicita el certificado para confirmar que se trata de un representante autorizado.

Para solucionar el problema de la Autentificación en las transacciones por Internet se buscó algún sistema identificativo único de una entidad o persona. Ya existían los sistemas criptográficos de clave asimétrica, mediante los cuales una persona disponía de dos claves, una pública, al alcance de todos, y otra privada, sólo conocida por el propietario. Cuando deseamos enviar un mensaje confidencial a otra persona, basta pues con cifrarlo con su clave pública, y así estaremos seguros de que sólo el destinatario correcto podrá leer el mensaje en claro.

El problema era estar seguro de que efectivamente la clave pública que nos envían sea de la persona correcta, y no de un suplantador. Entonces se pensó en implementar una especie de documento de identidad electrónica que identificara sin dudas a su emisor.

La solución a este problema la trajo la aparición de los Certificados Digitales o Certificados Electrónicos, documentos electrónicos basados en la criptografía de clave pública y en el sistema de firmas digitales.

Los datos que figuran generalmente en un certificado son:

1. Versión: versión del estándar X.509, generalmente la 3, que es la más actual.

2. Número de serie: número identificador del certificado, único para cada certificado expedido por una AC determinada.

3. Algoritmo de firma: algoritmo criptográfico usado para la firma digital.

4. Autoridad Certificadora: datos sobre la autoridad que expide el certificado.

5. Fechas de inicio y de fin de validez del certificado. Definen el periodo de validez del mismo, que generalmente es de un año.

6. Propietario: persona o entidad vinculada al certificado. Dentro de este apartado se usan una serie de abreviaturas para establecer datos de identidad. Un ejemplo sería:

7. Llave pública: representación de la llave pública vinculada a la persona o entidad (en hexadecimal), junto con el algoritmo criptográfico para el que es aplicable.

8. Algoritmo usado para la misma para obtener la firma digital de la Autoridad Certificadora.

9. Firma de la Autoridad Certificadora, que asegura la autenticidad del mismo.

10. Información adicional, como tipo de certificado, etc.

Cada certificado emitido por una AC debe estar firmado por una AC de mayor grado en el esquema jerárquico de autoridades certificadoras, formándose así una cadena de certificados, en los que unas AC se avalan a otras hasta llegar a la AC superior, que se avala a sí misma. La jerarquía de firmas y la cadena con ella formada están contempladas en el estándar X.509 v3, que indica la forma correcta de realizar estas cadenas de certificaciones.

El certificado Digital vincula pues indisolublemente a una persona o entidad con una llave pública, y mediante el sistema de firma digital se asegura que el certificado que recibimos es realmente de la persona que consta en el mismo. El sistema de firma digital liga un documento digital con una clave de cifrado.

El procedimiento de firma digital lo que hace es obtener un resumen de un documento o de un texto aleatorio y cifrarlo con llave privada del propietario del certificado. Cuando nos llega un certificado, y su firma digital asociada, tan sólo debemos obtener nosotros el resumen el mismo, descifrar la firma con la llave pública del remitente y comprobar que ambos resúmenes coinciden, lo que nos hace estar totalmente seguros de la autenticidad del certificado. Se firma un resumen del documento y no el documento mismo para evitar ataques contra el sistema de cifrado RSA (por ejemplo, encriptar un documento especialmente concebido por un pirata, con lo que éste podría llegar a obtener la llave privada) y para no hacer el proceso demasiado lento.

Para obtener el resumen del documento se utilizan las funciones hash o de resumen, algoritmos criptográficos muy rápidos, de uso público e irreversibles (de un sólo sentido). Son funciones de dispersión que no usan ninguna clave, y que transforman el mensaje original en una cadena de dígitos de longitud fija (generalmente de entre 16 y 128 bits).

Los procesos de validación de certificados, obtención de resúmenes, descifrados y comprobación de coincidencia se realizan por el software adecuado del navegador web o programa de seguridad particular de forma transparente al usuario, por lo que éste será informado sólo en el caso de que el certificado no sea válido.

Validez de los Certificados Digitales.-

Los certificados, debido a su propia naturaleza y al papel que desempeñan, no son documentos imperecederos, al igual que sucede con el resto de documentos de autentificación de otros tipos.

En primer lugar, al estar basados en el uso de claves no conviene que sean válidos por periodos de tiempo largos, ya que uno de los principales problemas del manejo de claves es que cuanto más vida tienen más facil es que alguien extraño se apodere de ellas. Además, con el paso del tiempo los equipos informáticos van teniendo cada vez más poder de cálculo, facilitando con ello la labor de los criptoanalistas, por lo que es conveniente que cada cierto tiempo se vaya aumentando el tamaño de las claves criptográficas. Por este motivo los Certificados Digitales tienen estipulado un periodo de validez, que suele ser de un año.

En segundo lugar, es posible que un certificado convenga anularlo en un momento dado, bien porque se crea que las claves estén comprometidas, bien porque la persona o entidad propietaria haya caido en quiebra o delito. Es por esto que existe la posibilidad de revocar o anular un certificado, y esta revocación puede llevarla a cabo el propietario del mismo, la Autoridad Certificadora o las autoridades judiciales.

Para llevar un control de los certificados revocados (no válidos) las Autoridades de Certificación han implementado unos servidores especiales que contienen bases de datos en las que figuran los certificados anulados, que se conocen con el nombre de Lista de Certificados Revocados, CRL. Un CRL es pués un archivo, firmado por la Autoridad Certificadora, que contiene la fecha de emisión del mismo y una lista de certificados revocados, figurando para cada uno de ellos su número de identificación y la fecha en que ha sido revocado.

Cuando el software de seguridad recibe un Certificado Digital de otra persona o entidad comprueba antes de darlo por bueno si dicho certificado se encuentra en la lista más actualizada de certificados revocados. Si está en la lista, el certificado será rechazado.

Ahora bien, imaginemos que recibimos un certificado como medio de autentificación en una transacción, nuestro software comprueba que no está revocado en la última CRL y lo da por válido, pero resulta que al día siguiente aparece como revocado en la CRL nueva. En estos casos deberemos poder demostrar de algún modo que hemos recibido el certificado antes de que se produjera la actualización.

Para solucionar este tipo de situaciones existen los documentos digitales denominados recibos. Un recibo es un documento firmado digitalmente por una persona o entidad de confianza, llamada Autoridad de Oficialía de Partes, que añade la fecha actual a los documentos que recibe para su certificación, firmando luego el resultado con su llave privada. De esta forma los usuarios disponen de un documento que atestigua la hora y fecha excata en la que envía o recibe un Certificado Digital u otro documento electrónico cualquiera.

El uso de un CRL en un proceso de Autentificación presenta varios problemas adicionales. En primer lugar sólo podemos considerarlo válido cuando la fecha del mismo es igual o posterior a la que queremos usar como referencia en la validez del documento, y en segundo lugar, también puede resultar inadecuado en aquellas operaciones que exijan una velocidad alta en la transacción, sobre todo si el CRL a consultar tiene un tamaño muy grande.

La solución a estos problemas la dan los Servicios de Directorios o de Consulta de Certificados, servicios ofrecidos por personas o entidades de confianza aceptada, por el que al recibir una petición de validez de un certificado responde al instante si en esa fecha y hora concreta el mismo es válido o si por el contrario está revocado, en cuyo caso proporcionará también la fecha UTC de revocación. Para dar validez a la respuesta, el Servicio de Directorios firma con su llave privada la misma, con lo que el usuario estará seguro de la Autenticidad de la respuesta recibida.

Emisión de Certificados Digitales.-

Los Certificados Digitales, como ya hemos dicho, son emitidos por las Autoridades de Certificación, entidades consideradas de confianza probada, como Verisign, Cybertrust o Nortel. Al hacerse responsables estas entidades de los certificados que emiten, dando fe de la relación existente entre los datos que figuran en un certificado y la persona o entidad que lo solicita, una de las tareas más importantes de las mismas en ejercer un control estricto sobre la exactitud y veracidad de los datos incorporados en el certificado.

Para que se pueda obtener con facilidad el Certificado Digital de cualquier persona o entidad las Autoridades de Certificación disponen de servidores de acceso público que realizan la función de depósito de certificados, en los que se puede buscar el deseado y descargarlo a nuestro ordenador. Es ésta una forma más segura que la de usar directamente un certificado recibido por correo o descargado de una página web, ya que la Autoridad de Certificación responsable del servidor es la encargada de verificar constantemente la validez y autenticidad de los certificados que distribuye.

Además de las Autoridades de Certificación reconocidas existen otras entidades que también pueden expedir certificados. Este es el caso de entidades gubernamentales (como el Servicio Postal de EEUU) y ciertas corporaciones empresariales que compran un servicio de certificación a un vendedor que haya sido a su vez certificado por una AC. Estos certificados se suelen usar para empleados de la propia compañía que deben hacer negocios para ella. Se espera que en el futuro este tipo de certificados adquiera cada vez mayor importancia.

Tipos de certificados.-

Dependiendo del uso que se vaya a dar al certificado y de qué persona o entidad lo solicita, las Autoridades Certificadoras han dividido los certificados en varios tipos. Del tipo de certificado a emitir van a depender las medidas de comprobación de los datos y el precio del mismo.

Los certificados, según las comprobaciones de los datos que se realizan, se dividen en cuatro clases:

* Certificados de Clase 1: corresponde a los certificados más fáciles de obtener e involucran pocas verificaciones de los datos que figuran en él: sólo el nombre y la dirección de correo electrónico del titular.

* Certificados de Clase 2: en los que la Autoridad Certificadora comprueba además el permiso de conducir, el número de la Seguridad Social y la fecha de nacimiento.

* Certificados de Clase 3: en la que se añaden a las comprobaciones de la Clase 2 la verificación de crédito de la persona o empresa mediante un servicio como Equifax.

* Certificados de Clase 4: que a todas las comprobaciones anteriores suma la verificación del cargo o la posición de una persona dentro de una organización (todavía no formalizados los requerimientos; está en estudio).

Desde el punto de vista de la finalidad, los certificados electrónicos se dividen en:

1. Certificados SSL para cliente: usados para identificar y autenticar a clientes ante servidores en comunicaciones mediante el protocolo Secure Socket Layer, y se expiden normalmente a una persona física, bien un particular, bien un empleado de una empresa.

2. Certificados SSL para servidor: usados para identificar a un servidor ante un cliente en comunicaciones mediante el protocolo Secure Socket Layer, y se expiden generalmente a nombre de la empresa propietaria del servidor seguro o del servicio que éste va a ofrecer, vinculando también el dominio por el que se debe acceder al servidor. La presencia de éste certificado es condición imprescindible para establecer comunicaciones seguras SSL.

3. Certificados S/MIME : usados para servicios de correo electrónico firmado y cifrado, que se expiden generalmente a una persona física. El mensaje lo firma digitalmente el remitente, lo que proporciona Autenticación, Integridad y No Rechazo. También se puede cifrar el mensaje con la llave pública del destinatario, lo que proporciona Confidencialidad al envío.

4. Certificados de firma de objetos: usados para identificar al autor de ficheros o porciones de código en cualquier lenguaje de programación que se deba ejecutar en red (Java, JavaScript, CGI, etc). Cuando un código de éste tipo puede resultar peligroso para el sistema del usuario, el navegador lanza un aviso de alerta, en el que figurará si existe certificado que avale al código, con lo que el usuario puede elegir si confía en el autor, dejando que se ejecute el código, o si por el contrario no confía en él, con lo que el código será rechazado.

5. Certificados para AC: que identifican a las propias Autoridades Certificadoras, y es usado por el software cliente para determinar si pueden confiar en un certificado cualquiera, accediendo al certificado de la AC y comprobando que ésta es de confianza.

Toda persona o entidad que desee obtener un certificado debe pagar una cuota a las Autoridades de Certificación, cuota que irá en función de la clase del certificado y del uso que se le vaya a dar al mismo (ambas están relacionadas). A mayor nivel de comprobación de datos (clase mayor), más costará el certificado

Actualmente es el estandar de comunicación segura en los navegadores web más importantes (protocolo HTTP), como Nestcape Navigator e Internet Explorer, y se espera que pronto se saquen versiones para otras otros protocolos de la capa de Aplicación (correo, FTP, etc.).

La identidad del servidor web seguro (y a veces también del usuario cliente) se consigue mediante el Certificado Digital correspondiente, del que se comprueba su validez antes de iniciar el intercambio de datos sensibles (Autenticación), mientras que de la seguridad de Integridad de los datos intercambiados se encarga la Firma Digital mediante funciones hash y la comprobación de resúmenes de todos los datos enviados y recibidos.

Toda transacción segura por la red debe contemplar los aspectos de Autenticidad, Integridad, Confidencialidad y No Repudio. Son varios los sistemas y tecnologías que se han desarrollado para intentar implementar estos aspectos en las transacciones electrónicas, siendo sin duda SSL el más conocido y usado en la actualidad. SSL permite la Confidencialidad y la Autentificación en las transacciones por Internet, siendo usado principalmente en aquellas transacciones en la que se intercambian datos sensibles, como números de tarjetas de crédito o contraseñas de acceso a sistemas privados. SSL es una de las formas base para la implementación de soluciones PKI (Infraestructuras de Clave Pública).

3. ¿Qué ocurre con nuestros datos de tarjetas de crédito cuando llegan al servidor?

La www ha sido tomada como base para una nueva forma de economía, basada en el comercio electrónico, que actualmente mueve miles de millones de dólares en todo el mundo.

Internet fue diseñada y construida como un sistema de libre intercambio de información, por lo que aspectos como la seguridad en las transacciones realizadas no fueron implementados a su tiempo, con la consecuencia de que para hacerlo luego ha sido necesario apoyarse en una serie de sistemas y tecnologías adicionales.

Y es que una de las principales barreras que he encontrado el comercio electrónico ha sido precisamente la desconfianza de los usuarios frente a los sistemas de identificación, intercambio de datos personales y pago de productos a través de la gran red. Cosa por otro lado lógica, ya que, como hemos dicho antes, Internet es por propia naturaleza un sistema no-seguro.

Muchos han sido los intentos de las empresas y bancos por romper ese miedo innato de los usuarios, y muchos los sistemas que se han creado para ofrecerles medios seguros de comunicación y de pago (sobre todo, de pago), siempre con vistas a poder realizar esos negocios fabulosos que en un principio los visionarios de la red pronosticaban.

Los modernos sistemas de seguridad en transacciones a través de redes están basados en el uso de Infraestructuras de Clave Pública, basadas en un conjunto de elementos como Certificados Digitales, Criptografía simétrica y de clave pública, firmas digitales, Listas de Certificados Revocados, etc., que garantizan el cumplimiento de los 4 pilares de las comunicaciones seguras.

Con el objeto de conocer un poco más cómo se produce el intercambio de datos sensibles, como el número de nuestra tarjeta de crédito y nuestros datos de cuentas, a través de la red de redes, estudiaremos un poco qué son los certificados digitales, los Secure Socket Layer, SSL, y Secure Electronic Transation, SET,

Lo que realmente pasa cuando colocamos nuestros datos en un de la tarjeta de crédito en un servidor.-

Cuando hacemos compras en internet, la data pasa por cuatro momentos:

1. Autenticidad: todas las entidades participantes en la transacción están perfecta y debidamente identificadas antes de comenzar la misma.

No se tiene la certeza de saber con quién estamos comunicándonos. Lo ideal en este sentido es que el cliente en una transacción de compra por Internet sólo debiera garantizar que es el legítimo propietario de la tarjeta de crédito que está usando en la misma, sin tener que hacer pública su identidad, por muchas leyes de protección de datos que estén vigentes.

La Autenticidad se consigue mediante el uso de los certificados y firmas digitales.

2. Confidencialidad: El software de seguridad se asegura de que los datos que se envían solo son leídos por el destinatario final deseado. O en su defecto, aseguran que si alguien quiere obtener los datos, éstos ya no sirvan para nada. Lo ideal en este aspecto sería que las entidades implicadas en la transacción no llegaran a conocer más que los datos imprescindibles para realizar su función.

La confidencialidad se consigue en las transacciones electrónicas con el uso de la Criptografía.

3. Integridad: el software se asegura de que los datos que se enviaron llegan íntegros, sin modificaciones, a su destino final.

La integridad se consigue combinando Criptografía, funciones hash y firmas digitales.

4. No repudio: el software se asegura de que una vez enviado un mensaje con datos importantes o sensibles el destinatario de los mismos no pueda negar el haberlos recibido.

El no repudio se consigue mediante los certificados y la firma digital.

4. ¿Qué estrategia debe dar la empresa que vende un producto y necesita crear confianza a sus clientes que van introducir sus números de tarjetas de crédito y no van a ser estafados?.

En principio debemos definir lo que significa la auditoria de la seguridad del Sistema desarrollado en la Web, pudiéramos decir que comprenden el estudio de los sistemas para gestionar las vulnerabilidades que pudieran estar presentes en sus sistemas. Una vez localizadas, las anomalías se documentan, se informa de los resultados a los responsables y se establecen medidas proactivas de refuerzo, siguiendo siempre un proceso secuencial que permita que los sistemas mejoren su seguridad aprendiendo de los errores pasados.

Las auditorias de sus sistemas le permiten conocer en el momento de su realización cual es la situación exacta de sus activos de información, en cuanto a protección, control y medidas de seguridad. Una auditoria de sistemas es una radiografía completa de la situación de sus sistemas, y aunque existen diferentes tipos de auditoria, en este trabajo nos concentraremos en la de Auditoria de Paginas Web, Entendida como el análisis externo de la Web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.

El problema de seguridad de los sistemas informáticos y de la información es al preocupación de la mayoría, sin embargo el esfuerzo de la empresas fundamentadas en el negocio electrónico por implantar políticas de seguridad adecuadas a su e-business, muchas de ellas persisten en errores anteriores y aunque la mayoría de los problemas de seguridad se atribuyen a los hackers o las inadecuadas aplicaciones de tales políticas, no toman en cuenta los peligros procedentes del interior de la compañía: los empleados constituyen la principal amenaza del negocio electrónico. Según un estudio, la mayoría de los fallos de seguridad son cometidos por individuos con un amplio conocimiento de loas sistemas de la compañía a la que atacan (muchas veces antiguos trabajadores, empleados poco satisfechos o ex proveedores externos)

Debemos evitar que pasen situaciones como estos dos casos de dos compañías diferentes:

Una de ellas decidió sacar en menos de 1 mes un sitio de comercio electrónico para vender vinos por Internet. El sistema de comercio electrónico, inventario y transporte nunca estuvo listo aun después de el lanzamiento, así que los datos fueron recolectados sin encriptación en el protocolo http ni en la base de datos en donde guardaron los números de tarjetas de crédito para luego ser procesados manualmente por una persona que pasaba la tarjeta de crédito por un punto de venta hasta hacer el envío. Esta demás que el sitio Web nunca hizo dinero y fue cerrado a poco tiempo.
El otro sitio Web venezolano se decidió a recibir envió de comida por Internet. lo que pasaba tras bastidores era patético: Una persona recibía la orden y comenzaba a llamar por teléfono a los restaurantes para hacer la orden manualmente. De nuevo las tarjetas de crédito eran guardadas sin encriptación en una base de datos a la cual todos los desarrolladores y administradores tenían acceso. La compañía quebró al poco tiempo y como el caso anterior el paradero de los números de esas tarjetas de crédito es desconocido.

¿Como generar confianza en su sitio Web? primero tenemos que entender ¿Por qué hay tan poca confianza en Internet? La mayoría de los sitios webs de comercio electrónico se ajustan a esta descripción "alguien a quien no conocemos, nos quiere vender un producto que no podemos ver ni tocar. En muchos casos nos esconde el precio todo lo posible y por si fuera poco nos pide datos personales innecesarios para hacer una compra. Las políticas de devolución no suelen ser claras ni adecuadas a tanta incertidumbre y los costes de envío son sospechosamente altos"¿Si el vendedor de la esquina nos pidiera tanta confianza le compraríamos algo?; por consiguiente, podemos afirmar que:

Generación de confianza = reducción de la incertidumbre

Ante una pagina Web desconocida que genera mucha incertidumbre ¿que podemos hacer para generar confianza? se deben introducir elementos de diseño que la reduzcan.

Actualmente no ha sido publicada ninguna investigación sistematica sobre los factores que generan confianza en una Web; sin embargo, exiten algunos trabajos que pueden apuntar hacia la dirección correcta en esta área. Un estudio de webcredibility.org (PDF 352Kb/ 8 pág.) identifica 7 factores importantes en la generación de confianza a partir del análisis factorial de 51 ítems. Estos factores parecen un buen punto de partida.

Cinco de los factores del estudio anterior correlacionan positivamente con confianza, y son por orden de importancia

1- Sensación de pertenencia al mundo real

Un sitio web es intangible, no se puede tocar, no se puede hablar directamente con el encargado. La información que remarque la existencia real de una organización o autor detrás de una web es esencial. El sitio web debe incluir información sobre la organización o autores, su dirección física, teléfono, e-mail y sus fotografías.

2- Facilidad de uso / Usabilidad

Los principios heurísticos generan confianza porque son en sí mismos elementos de reducción de incertidumbre y se refieren al control del usuario sobre el proceso, feedback informativo, indicaciones de situación, etc.

Cuando existe menor complejidad y mayor simplicidad en una web, hay menos incógnitas para resolver y por tanto se genera más confianza.

Un sitio web adaptado a los modelos mentales de los usuarios hace que no sea percibido como una caja negra de la que se obtienen resultados sin saber cómo, y lo convierte en un sitio que los usuarios controlan totalmente. Los buenos mensajes de error también contribuyen a aumentar la sensación de control y reducen la incertidumbre.

3- Profesionalidad

El sitio debe dejar claro que el autor/organización conoce bien el tema tratado. Para reforzar esta impresión se han de incluir las credenciales del autor en cada artículo. Realizar citas y referencias con el formato correcto demuestra una formación cultural adecuada.

4- Transparencia

Los precios

Deben mostrarse claramente incluyendo impuestos y si es posible costes de envío. La información de los productos ha de ser suficiente para tomar una decisión de compra a distancia de un producto de ese coste.

Objetivos de la web y política de contenidos

Una web tiene unos objetivos formales que suelen ser claramente visibles, por ejemplo vender productos para la practica del alpinismo. Pero además existen otros objetivos del autor/organización, por ejemplo, les encantaba el alpinismo y al no encontrar un sitio así decidieron crearlo.

Incluir una política de contenidos definida, explicar la razón que lleva al sitio a hacer las cosas de una determinada manera ayuda a los usuarios a confiar en la organización. Por ejemplo si una web no incluye productos de bajo precio puede explicar que el retorno de productos defectuosos adquiridos por Internet es especialmente problemático y molesto para vendedor y comprador, y por tanto la estrategia del sitio no es vender cualquier cosa. Dejar claros estos aspectos es un ejercicio de honestidad que los usuarios aprecian.

Detallar los objetivos, la perspectiva del sitio y su política de contenidos es extraordinariamente apreciado por los usuarios.

Política de devoluciones

Deben existir vínculos muy visibles a las páginas de política de devoluciones. Ante la inseguridad que genera Internet una de las principales prioridades de un usuario es saber las condiciones de devolución del artículo antes de comprarlo.

Dos factores del estudio anterior correlacionan negativamente con confianza.

1- Implicaciones comerciales

Las pop-up y banners publicitarios hacen disminuir la confianza en los sitios web. Aunque un estudio concluye que los banners publicitarios aumentan la confianza en una web, otros estudios concluyen lo contrario. En cualquier caso y para que ese efecto se produjese no debería existir la ceguera a los banners.

Aunque es posible que contener banners de empresas con buena imagen de marca, contener banners publicitarios de poca confianza puede ser un elemento que haga perderla.

Registro y datos personales

Se debe evitar la obligatoriedad del registro en un sitio o en su defecto retrasarlo lo máximo posible. Proporcionar datos personales es algo incómodo para los usuarios y aún más cuando no forman parte de su objetivo (comprar algo) sino de los objetivos de la web (almacenar los datos para futuros usos comerciales). Es más adecuado reaprovechar los datos introducidos en la compra para ofrecer la posibilidad de registro al final.

En caso de necesitar el e-mail o teléfono del usuario se deben explicar las razones de esta demanda. La política de privacidad ha de ser clara y visible.

2- Amateurismo

Los elementos opuestos a los enumerados anteriormente generan percepción de amateurismo y perdida de confianza. La falta de actualización de los contenidos, el hospedaje en sitios gratuitos, las urls no coincidentes con el nombre de la organización, los errores de ortografía, la indisponibilidad frecuente, los vínculos rotos o sitios con problemas (frames), etc.

Otros elementos que influyen en la confianza

¿Información secreta?

Dar información que podría ser secreta y que teóricamente puede ayudar a la competencia es algo que incrementa la confianza en un sitio web. Las políticas de secretismo están ancladas en el pasado, van contra la propia esencia del hipertexto y demuestran que no se entiende bien el medio. Obviamente no se puede dar todo, pero cuanto mas se da, más valor adquiere lo que no se da. Por otro lado no hay que tanto que temer puesto que la información procedimental no se puede aprender más que de la práctica constante.

¿Diseño elegante?

Muchos diseñadores piensan que para generar confianza un diseño gráfico elegante y sobrio es esencial. Sin embargo los sitios web que más confianza generan en Internet, Yahoo, Amazon, eBay o Google tienen diseños en las antípodas de las webs elegantes de empresas equivalentes del mundo físico. La relación entre diseño elegante y confianza es muy dudosa.

Certificados de seguridad o confianza

La mayoría de ellos no son efectivos porque son totalmente desconocidos para los usuarios. Un certificado es efectivo en cuanto es emitido por una tercera partes acreditada y conocida. Los usuarios españoles no conocen los certificados de seguridad de EE.UU. o los de tecnología y pueden confiar más en el certificado de la Organización de Consumidores y Usuarios, más cercana y conocida.

Valoraciones de anteriores compradores

Son muy eficaces para generar confianza, pero para que sean creíbles han de incluirse tanto las de signo positivo como las de signo negativo tal y como hace Amazon. Si todas las valoraciones son positivas no aportan ningún valor.

Y aunque los factores anteriormente, no entra en detalle el aspecto de seguridad podemos considerar lo siguiente:

Puedes ofrecerle seguridad a tu cliente con algunos puntos específicos. Primero la seguridad en la transacción, es decir, la seguridad de sus datos al momento de realizar el pago en línea. Debes tener un sistema de cobros con servidores seguros, certificados vigentes, servicio excepcional, respaldo en todo momento, etc. Como ejemplo puedo darte a ClickBank, que es el sistema de cobros que yo utilizo para los cobros en línea.

ClickBank se encarga de todos los aspectos de seguridad y yo me encargo de las ventas.

Otra forma muy importante de darle seguridad a tu cliente es con tu política de garantías. Al ofrecer una excelente garantía, tu cliente tiene la seguridad de que si el producto no cumple con sus expectativas, le devuelves su dinero.

Este último punto va de la mano con tu sistema de cobros. Lo ideal es que el mismo sistema de cobros te permita realizar los reembolsos.

Además un cliente al pagar a través de sistemas como el de ClickBank, tiene la seguridad de que si el vendedor no responde a su solicitud de garantía, puede ir directamente con ClickBank y solicitar el reembolso.

Otra estrategia complemento a lo que hemos mencionado, es usar una lista de auto evaluación de mercados electrónicos de calidad de carácter gratuito que ha sido desarrollado por eMarket Services y Det Norske Veritas. DNV es una empresa de certificación y gestión de riesgo que dispone de una red mundial de 300 oficinas repartidas en 100 países. (para ver la lista, clic aquí)

5. Resumen

La información es la sangre de todas las organizaciones y puede existir de muchas formas. Puede ser impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o electrónicamente, ilustrada en películas, o hablada en conversaciones. En el ambiente competitivo de hoy en los negocios, esa información está constantemente bajo la amenaza de muchas fuentes, que pueden ser internas, externas, accidentales o maliciosas. Con el incremento del uso de nueva tecnología para almacenar, transmitir y recobrar información, nos hemos abierto a un mayor número y tipos de amenazas.

Se requiere establecer un programa comprensivo de seguridad de la información dentro de todas las organizaciones. Necesita asegurar la confidencialidad, integridad y disponibilidad de información vital corporativa y la información sobre los clientes. La norma para el Sistema Administrativo de Seguridad de la Información (SMS) BS 7799 / ISO/IEC 17799 se ha convertido en una de las mayores ventas establecidas mundialmente. BSI, Inc. ofrece un servicio independiente de certificación, con una gran relación costo/beneficio, y altamente eficiente, para ayudarle a lograr la certificación en un Sistema Administrativo de Seguridad de la Información. (ISMS)

La información es hoy en día uno de los activos más importantes de las organizaciones y como tal requiere de una protección adecuada. La seguridad de la información protege a ésta de un amplio espectro de amenazas, a efectos de asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de inversiones y las oportunidades del negocio.

Las recientes violaciones a la seguridad de la información de alto perfil y el valor de la información están enfatizando la creciente necesidad de que las organizaciones protejan su información. Los Sistemas Administrativos de Seguridad de la Información (Information Security Management Systems, ISMS) son una manera sistemática de manejar la información sensible de una compañía para que permanezca protegida. Abarca a personas, procesos y Tecnologías de la Información.

INFOGRAFIA

http://www.hispasec.com/corporate/auditoria.html

http://www.instisec.com/publico/auditoria.asp?id=2

https://www.microsoft.com/spanish/msdn/articulos/archivo/301101/voices/Services09052001.asp

https://www.microsoft.com/spanish/msdn/articulos/archivo/301101/voices/service09192001.asp

http://www.belt.es/articulos/articulo.asp?id=65

http://kodegeek.com/2006/04/seguridad-de-aplicaciones-web-mito-o.shtml

http://www.deltaasesores.com/prof/ART0026.html

http://www.wikilearning.com/seguridad_en_paginas_web-wkccp-3443-18.htm

http://www.fenicios.com/merce1.htm

http://www.ainda.info/generacion_confianza.html

http://www.tecnicasmarketing.com/articulo1.htm