Universidad
Yacambú
Vicerrectorado
de Educación a Distancia
Maestría en
Educación
Cátedra:
Innovaciones Pedagógicas
Facilitador: Prof.
Yaros Pérez
Autores: -Prof.
Fernando L. López Rosario C.I: 5.971.924 MGE
-Lic. Mary Parra C.I:
13.579.126 MFN
Sistema de Información Gerencial
Auditar
Trabajo 5
Introducción
Los sistemas de tecnología de la información desempeñan un papel
importante en casi la totalidad de las empresas de ventas vía Wed y cada vez es
más frecuente encontrar portales que ofrecen productos y servicios a través de
Definiciones Básicas:
Base
de datos: Es cualquier conjunto de datos
organizados para su almacenamiento en la memoria de un ordenador o computadora,
diseñado para facilitar su mantenimiento y acceso de una forma estándar. La
información se organiza en campos y registros. Un campo se refiere a un tipo o
atributo de información, y un registro, a toda la información sobre un
individuo. Por ejemplo, en una base de datos que almacene información de tipo
agenda, un campo será el NOMBRE, otro el NIF, otro
Ordenador o Computadora: Dispositivo electrónico
capaz de recibir un conjunto de instrucciones y ejecutarlas realizando cálculos
sobre los datos numéricos, o bien compilando y correlacionando otros tipos de
información.
Un
sistema de información: Es un conjunto de
elementos que interactúan entre sí con el fin de apoyar las actividades de una
empresa o negocio.
Las
auditorías: Son una herramienta para mejorar
rentabilidad, seguridad y la eficacia de sus procesos; no son sólo una
herramienta de medida sino también un elemento constructivo básico de sus
sistemas de mejora continua.
Auditoria de
La
seguridad informática: Es un atributo relativo
a la percepción; resultado del equilibrio conseguido entre el riesgo y las
medidas establecidas para paliarlo, manteniendo la confidencialidad, integridad
y disponibilidad de la informaci.
a) La empresa debe
adquirir un Certificado de Seguridad - SSLCertificate (Verign, Thawte, etc )
a.1) ¿Qué es SSL?
Secure
Socket Layer (SSL) es un protocolo desarrollado
por Netscape en 1996 que pronto se convirtió en el método elegido para asegurar
las transmisiones de datos por Internet. SSL es una parte integral de la
mayoría de los exploradores y servidores web y hace uso del sistema de
codificación con dos claves: una pública y una privada, desarrollado por RSA.
Para establecer una conexión SSL, el protocolo SSL
requiere que el servidor tenga instalado un certificado digital. Un
certificado digital es un archivo electrónico que identifica de modo único a
individuos y servidores. Los certificados digitales funcionan como una especie
de pasaporte o credencial digital que autentica al servidor antes de establecer
la sesión SSL. Por lo general, los certificados digitales están firmados por un
tercero independiente y fiable para garantizar su validez. El “firmante” de un
certificado se denomina autoridad de certificación (CA).
SSL proporciona comunicaciones seguras
mediante la combinación de los siguientes dos elementos:
1] Autenticación –
el certificado digital va unido a un dominio específico y una CA realiza una
cantidad de verificaciones para confirmar la identidad de la organización que
solicita el certificado antes de emitirlo. De este modo, el certificado sólo puede instalarse en el dominio contra
el cual ha sido autenticado, ofreciendo a los usuarios la seguridad que
necesitan.
2] Codificación –
la codificación es el proceso de transformar la información para hacerla
incomprensible para todos salvo el receptor al que va dirigida. Esto constituye
la base de la integridad y privacidad de los datos, necesarias para el comercio
electrónico. La aplicación más corriente de los certificados SSL es la de
asegurar la transferencia de datos entre exploradores y servidores web.
a.2) Cómo saber si un sitio Web es seguro
La primera clave para establecer si un sitio
web está asegurado con un certificado SSL se encuentra
en la barra de estado del explorador: busque si
tiene un icono con un candado. En los
exploradores de Internet, cuando las páginas no están
aseguradas, el icono del candado no estará
visible. Sin embargo, cuando se establece una sesión
SSL, aparecerá el icono del candado. En Netscape, hay iconos con candados
“cerrados” y “abiertos”, que indican sitios web seguros e
inseguros, respectivamente.
La otra clave que debe buscar está en la
barra de dirección. Si se establece una sesión
segura entre el explorador y el servidor de
a.3) ¿Cómo se ve un certificado SSL?
Para ver el certificado de un sitio web,
haga doble clic sobre el icono del candado cerrado que aparece en la barra de
estado inferior. Certificado digital visto con un explorador Netscape 7.0:
Certificado digital usado con un explorador
IE 6.0:
Un
certificado de servidor web SSL o un SuperCert SGC permite que sus clientes
vean la siguiente información:
• El dominio para el cual se emitió el certificado. Esto les
permite verificar que el certificado de servidor web SSL fue emitido para su
host y dominio exacto (www.midominio.com).
• El propietario del certificado. Esto funciona como garantía
adicional, ya que los clientes pueden ver con quién están haciendo negocio.
• La ubicación física del
propietario. Una vez más, esto garantiza a los clientes que están tratando con
una entidad de existencia real.
• Las fechas de
validez del certificado. Esto es de suma importancia, ya que muestra a
los usuarios que su certificado digital está vigente
a.4) Alertas de seguridad del explorador
Su explorador cuenta con una función de
seguridad incorporada que muestra un mensaje de advertencia cuando usted
intenta enviar un mensaje a un sitio Web que tiene algún problema con el
certificado.
Por otra parte, se informará al usuario que
accede a un sitio web con certificado válido que el
sitio Web que está visitando cuenta con certificado digital emitido por una
autoridad de certificación (CA) reconocida,
y que todos los datos que envíe serán codificados. Al controlar
el certificado, el cliente puede verificar que el sitio web es propiedad de una
empresa real, dueña del nombre del dominio al que está accediendo.
a.5) Clave pública y privada
Al solicitar un
certificado, usted genera un par de claves en su servidor: una pública y una
privada. Cuando se genera un par de claves para su negocio, su clave
privada se instala en su servidor y es de crucial importancia que nadie más
tenga acceso a la misma. Su clave privada crea
firmas digitales que, de hecho, funcionan como el sello de su empresa en línea.
Es esencial mantener esta clave lo más segura posible. Si
usted pierde su clave privada, ya no podrá seguir usando su certificado. Por
esta razón, es esencial que guarde una copia de seguridad de toda la clave
privada como una buena práctica de la gestión continuada de las claves.
La clave
pública concordante se instala en el servidor de
a.6) Aplicaciones de SSL
Existen dos áreas amplias
de aplicación para los certificados SSL:
1] Asegurar la comunicación entre el explorador y el
servidor web es actualmente la principal aplicación y se aplica con
mayor frecuencia a los sitios web de comercio electrónico para garantizar la
transferencia de información sobre pagos. El tipo de datos considerados
sensibles se está ampliando actualmente desde los datos financieros para
incluir toda la información personal identificable, incluidos los números de
identidad y seguridad social, y, cada vez más, las direcciones de correo
electrónico.
2] Asegurar la comunicación entre servidores - Cada
vez recurren más empresas a certificados SSL para asegurar las comunicaciones
entre servidores. Esta es un área de aplicación que ofrece a las empresas
varias opciones para mejorar la seguridad de los datos y la privacidad de la
red. Actualmente, asegurar la comunicación entre servidores de correo
electrónico es la aplicación más usual, si bien también es posible asegurar sitios ftp, bases de datos y servidores de
aplicaciones, entre otros.
a.7) ¿Cuándo es apropiada la utilización de certificados SSL?
La decisión de
utilizar certificados SSL gira en torno a la importancia asociada con la seguridad
de la transferencia de datos en línea. Por ejemplo, si está gestionando
transacciones financieras en su sitio web, no hay duda de que necesita
certificados SSL. Si está gestionando datos sensibles de los clientes, como
números de seguridad social o números de identidad, merece la pena considerar
seriamente la utilización de certificados SSL, en especial si la seguridad de
sus clientes/miembros ocupa un lugar destacado en su lista de prioridades.
Desde el punto
de vista comercial, la utilización de certificados SSL provee a los
clientes/usuarios la garantía de que no quedarán expuestos a ningún riesgo
asociado con la transmisión de datos por una red abierta. Esto en sí
mismo presenta muchos beneficios para su negocio, la mayoría de los cuales
fluyen a partir de una mayor fiabilidad al tratar con su organización en línea.
Por tanto, si su negocio se basa en el establecimiento de relaciones
comerciales fiables.
a.8) Soluciones de certificados SSL
Certificados SSL123
SSL123 es un certificado seguro validado a un dominio
capaz de encripcion de 256-bit depende del nivel del cifrado apoyado
por el explorador del cliente. Este producto se puede emitir dentro de unos
minutos y es ideal para un negocio que desea instalar seguridad básica entre su
sitio Web y sus usuarios en línea así como usos generales tales como asegurar
intranets.
b) Qué pasa con los datos de tarjetas de crédito después que llegan al
servidor.
Cuando
hacemos compras en línea los datos pasan por cuatro fases:
b.1)
Autenticidad: Todas las entidades participantes en la
transacción están perfecta y debidamente identificadas antes de comenzar la
misma. No se tiene la certeza de saber con quién estamos comunicándonos. Lo
ideal en este sentido es que el cliente en una transacción de compra por
Internet sólo debiera garantizar que es el legítimo propietario de la tarjeta
de crédito que está usando en la misma, sin tener que hacer pública su
identidad, por muchas leyes de protección de datos que estén vigentes.
b.2)
Confidencialidad: El software de
seguridad se asegura de que los datos que se envían solo son leídos
por el destinatario final deseado. O en su defecto, aseguran que si alguien
quiere obtener los datos, éstos ya no sirvan para nada. Lo ideal en este
aspecto sería que las entidades implicadas en la transacción no llegaran a
conocer más que los datos imprescindibles para realizar su función. La confidencialidad se consigue
en las transacciones electrónicas con el uso de
b.3)
Integridad: El software se asegura de
que los datos que se enviaron llegan íntegros, sin modificaciones, a su
destino final. La
integridad se consigue combinando Criptografía, funciones hash y firmas
digitales.
b.4)
No repudio: El software se asegura de que una vez
enviado un mensaje con datos importantes o sensibles el destinatario de los
mismos no pueda negar el haberlos recibido. El no repudio se consigue mediante los certificados
y la firma digital.
c) Que estrategias se deben dar a la empresa que venden un producto
por
c.1)
Cumplir con la normativa PCI DSS: El marco de seguridad de datos de
1.
Instalar y mantener una configuración de cortafuegos para proteger la
información de titulares de tarjeta.
2. No utilizar las contraseñas y otros
parámetros de seguridad del sistema predefinidos por el fabricante.
3. Proteger la información almacenada de
titulares de tarjeta.
4. Encriptar la transmisión de
información de titulares de tarjeta a través de redes públicas, abiertas.
5. Utilizar software o programas
anti-virus actualizados regularmente.
6. Desarrollar y mantener sistemas y
aplicaciones seguros.
7. Restringir el acceso a información de
titulares de tarjeta según la necesidad del negocio.
8. Asignar un Identificador único a cada
persona con acceso a un ordenador.
9. Restringir el acceso físico a la
información de titulares de tarjeta.
10. Seguir y monitorear todos los accesos
a los recursos de red y a la información de titulares de tarjeta.
11. Probar regularmente los sistemas y
procesos de seguridad.
12. Mantener una directiva que dirija la
seguridad de información de empleados y contratistas.
c.2) Cumplir con las
siguientes y futuras normas ISO:
-ISO 20000: La norma ISO 20000 se concentra en la gestión de problemas de
tecnología de la información mediante el uso de un planteamiento de servicio de
asistencia - los problemas se clasifican, lo que ayuda a identificar problemas
continuados o interrelaciones. La norma considera
también la capacidad del sistema, los niveles de gestión necesarios cuando
cambia el sistema, la asignación de presupuestos financieros y el control y
distribución del software. La norma ISO 20000 se denominó anteriormente
BS 15000 y está alineada con el planteamiento del proceso definido por
- La serie
ISO/IEC 27000: Es un conjunto de
estándares desarrollados -o en fase de desarrollo- por ISO (International
Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión
de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña. En esta serie de estándares
se encuentran:
•
ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre
de 2008. Contendrá términos y definiciones que se emplean en toda la serie
27000. La aplicación de cualquier estándar necesita de un vocabulario
claramente definido, que evite distintas interpretaciones de conceptos técnicos
y de gestión. Esta norma está previsto que sea gratuita.
• ISO 27001: Publicada el 15 de
Octubre de 2005. Es la norma principal de requisitos del sistema de gestión de
seguridad de la información. Tiene su origen en
• ISO 27002: Desde el 1 de Julio
de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de
edición. Es una guía de buenas prácticas que
describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información. No es certificable.
• ISO 27003: En fase de
desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e
información acerca del uso del modelo PDCA y de los requerimientos de sus
diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y
en la serie de documentos publicados por BSI a lo largo de los años con
recomendaciones y guías de implantación.
• ISO 27004: En fase de
desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará las métricas y las técnicas de medida
aplicables para determinar la eficacia de un SGSI y de los controles
relacionados. Estas métricas se usan fundamentalmente para la medición
de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
• ISO 27005: En fase de
desarrollo; su fecha prevista de publicación es Mayo de 2008. Consistirá en una guía de técnicas para la gestión del
riesgo de la seguridad de la información y servirá, por tanto, de apoyo a
• ISO 27006: Publicada el 1 de
Marzo de 2007. Especifica los requisitos para la
acreditación de entidades de auditoría y certificación de sistemas de gestión
de seguridad de la información. Ayuda a interpretar los criterios de
acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de
ISO 27001, pero no es una norma de acreditación por sí misma.
• ISO 27007: En fase de
desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.
• ISO 27011: En fase de
desarrollo; su fecha prevista de publicación es Enero de 2008. Consistirá en una guía de gestión de seguridad de la información
específica para telecomunicaciones, elaborada conjuntamente con
• ISO 27031: En fase de
desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en
cuanto a tecnologías de la información y comunicaciones.
• ISO 27032: En fase de
desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad.
• ISO 27033: En fase de
desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de
seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de
referencia, aseguramiento de las comunicaciones entre redes mediante gateways,
acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño
e implementación de seguridad en redes. Provendrá de la revisión, ampliación y
remuneración de ISO 18028.
• ISO 27034: En fase de
desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en
una guía de seguridad en aplicaciones.
• ISO 27799: En fase de
desarrollo; su fecha prevista de publicación es 2008. Es un estándar de gestión
de seguridad de la información en el sector sanitario aplicando ISO 17799
(actual ISO 27002).
c.3) Sensación de pertenencia al mundo real
La recomendación mas pertinente, es la de diseñar la pagina dando la mayor sensación de pertenecía a un mundo real,
por que un sitio web es intangible, no se puede hablar directamente con el
encargado. La información que remarque la existencia real de una organización o
autor detrás de una página es esencial.
El sitio web debe incluir información sobre la organización o autores, su
dirección física, teléfono, e-mail, fotografías y muy fácil de navegar.
Conclusión
El manejo de la información y de
base datos, es un valor clave para un negocio, para resguardar la integridad y
la seguridad de la data, es importante estar claro e identificar con quién se
está tratando y si los datos que recibe son fiables y confiables, la
autenticación, el encriptamiento, el manejo de claves, la firma electrónica,
contribuyen al aumento de la sensación de seguridad y confianza entre las
partes involucradas, en todos los tipos de transacciones tras abordar sólo un
conjunto de medidas de seguridad, que pasan por todos los aspectos
anteriormente expuestos.
Fuente:
-Biblioteca de Consulta
Microsoft ® Encarta ® 2005. © 1993-2004 Microsoft Corporation.
-Transferencia de datos
en línea SSL. Thawte it`s a trust
thins.
- Webtaller (2007). ¿Que es un certificado de seguridad SSL?.
Disponible: http://www.webtaller.com/maletin/articulos/que-es-certificado-seguridad-ssl.php.
-http://www.hispasec.com/corporate/auditoria.html
- WWW.ISO27000.ES (s/f). ISO 27000. Disponible: http://www.iso27000.es/download/doc_iso27000_all.pdf.
- SGS (2007). ISO 20000. Disponible: http://www.es.sgs.com/es/iso_20000?serviceId=10009985&lobId=19982.
- Padlocks (s/f). Auditoria de Sistemas. Disponible: http://vbarreto.tripod.com.ve/keys/audi/audi01.html.
- Einnova (2007). Auditoria informática y sistemas de la información.
Disponible: http://www.auditoriasistemas.com/.
-Seguridad de las transacciones on-line. Disponible: http://www.ipr-helpdesk.org/docs/docs.ES/securityOLTransactions.html#N10044
- Usos de