Seguridad de la Información

La información hoy en día, es uno de los más importantes activos no solo para las empresas y organizaciones, sino para cada individuo. Por este motivo la misma requiere ser asegurada y protegida en forma apropiada. La Seguridad de la Información es el conjunto de metodologías, prácticas y procedimientos que buscan proteger la información como activo valioso, con el fin de minimizar las amenazas y riesgos continuos a los que esta expuesta, a efectos de asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de inversiones y las oportunidades del negocio. Y en el caso de cada individuo de proteger la identidad y la privacidad.

Con frecuencia el concepto de Seguridad de la Información es usado para hacer referencia o de forma alterna a la Seguridad informática, Seguridad de Computación o Aseguramiento de la Información ya que estas áreas se correlacionan entre si y comparten las metas comunes de proteger la confidencialidad, integridad, disponibilidad y fiabilidad de la información; sin embargo, hay algunas diferencias sutiles entre estas áreas. Estas diferencias se acentúan principalmente en las metodologías usadas y las áreas de concentración. Siendo una de las principales características diferenciales de la Seguridad de la Información que esta busca proteger la información sin importar la forma en que la misma pueda tomar: electrónico, impresión, u otras formas

- Para las organizaciones: El propósito de la Seguridad de la Información es proteger los recursos de la organización como son la información, las comunicaciones, el hardware y el software que le pertenecen. Para lograrlo se seleccionan y establecen los controles apropiados. La Seguridad de la información ayuda a la misión de la organización protegiendo sus recursos físicos y financieros, reputación, posición legal, empleados y otros activos tangibles e intangibles.

- Para los individuos: El propósito de la Seguridad de la Información es proteger la privacidad e identidad de los mismos evitando que su información caiga en la manos no adecuadas y sea usada de forma no apropiada.

Conceptos Básicos

Para la correcta administración de la Seguridad de la Información, se deben establecer y mantener programas que busquen cumplir con los tres requerimientos de mayor importancia: La confidencialidad, integridad y la disponibilidad de los recursos de las organizaciones, siendo los tres requerimientos básicos definidos como:

- Confidencialidad: Para la Seguridad de Información, la confidencialidad busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la información. La pérdida de la confidencialidad puede ocurrir de muchas maneras, como por ejemplo con la publicación intencional de información confidencial de la organización.

- Integridad: Para la Seguridad de la Información, el concepto de Integridad busca asegurar:

Que no se realicen modificaciones por personas no autorizadas a los datos, información o procesos.

Que no se realicen modificaciones no autorizadas por personal autorizado a los datos, información o procesos.

Que los datos o información sea consistente tanto interna como externamente.

- Disponibilidad: Para la Seguridad de Información, la disponibilidad busca el acceso confiable y oportuno a los datos, información o recursos para el personal apropiado.

Seguridad en Internet

Intentar comunicar un secreto en un entorno con millones de testigos potenciales como Internet es difícil, y la probabilidad de que alguien escuche una conversación entre dos interlocutores se incrementa conforme lo hace la distancia que las separa. Dado que Internet es verdaderamente global, ningún secreto de valor debería ser comunicado a través de ella sin la ayuda de la criptografía.

En el mundo de los negocios, información como números de tarjetas de crédito, autenticaciones de clientes, correos electrónicos e incluso llamadas telefónicas acaba siendo enrutada a través de Internet. Ya que gran parte de esta información corporativa no debe ser escuchada por terceras personas, la necesidad de seguridad es obvia.

Sin embargo, la Seguridad en Internet no es sólo una preocupación empresarial. Toda persona tiene derecho a la privacidad y cuando ésta accede a Internet su necesidad de privacidad no desaparece. La privacidad no es sólo confidencialidad, sino que también incluye anonimicidad. Lo que leemos, las páginas que visitamos, las cosas que compramos y la gente a la que hablamos representan información que a la mayoría de las personas no les gusta dar a conocer. Si las personas se ven obligadas a exponer información que normalmente desean ocultar por el hecho de conectarse a Internet, probablemente rechazarán todas las actividades relacionadas con la red.

- Gestión de claves (incluyendo negociación de claves y su almacenamiento): Antes de que el tráfico sea enviado/recibido, cada router/cortafuegos/servidor (elemento activo de la red) debe ser capaz de verificar la identidad de su interlocutor.

- Confidencialidad: La información debe ser manipulada de tal forma que ningún atacante pueda leerla. Este servicio es generalmente prestado gracias al cifrado de la información mediante claves conocidas sólo por los interlocutores.

- Imposibilidad de repudio: Ésta es una forma de garantizar que el emisor de un mensaje no podrá posteriormente negar haberlo enviado, mientras que el receptor no podrá negar haberlo recibido.

- Integridad: La autenticación valida la integridad del flujo de información garantizando que no ha sido modificado en el tránsito emisor-receptor. - Autenticación: Confirma el origen/destino de la información -corrobora que los interlocutores son quienes dicen ser.

- Autorización: La autorización se da normalmente en un contexto de autenticación previa. Se trata un mecanismo que permite que el usuario pueda acceder a servicios o realizar distintas actividades conforme a su identidad.

Dependiendo de en qué capa de la pila de protocolos OSI se implemente la seguridad, es posible prestar todos o sólo algunos de los servicios mostrados anteriormente. En algunos casos tiene sentido proveer algunos de ellos en una capa y otros en otra diferente.

Autoridad de Certificación

En criptografía una Autoridad de certificación, certificadora o certificante (AC o CA por sus siglas en inglés Certification Authority) es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de Certificación.

La Autoridad de Certificación, por sí misma o mediante la intervención de una Autoridad de Registro, verifica la identidad del solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad. Los certificados son documentos que recogen ciertos datos de su titular y su clave pública y están firmados electrónicamente por la Autoridad de Certificación utilizando su clave privada. La Autoridad de Certificación es un tipo particular de Prestador de Servicios de Certificación que legitima ante los terceros que confían en sus certificados la relación entre la identidad de un usuario y su clave pública. La confianza de los usuarios en la CA es importante para el funcionamiento del servicio y justifica la filosofía de su empleo, pero no existe un procedimiento normalizado para demostrar que una CA merece dicha confianza.

Un certificado revocado es un certificado que no es válido aunque se emplee dentro de su período de vigencia. Un certificado revocado tiene la condición de suspendido si su vigencia puede restablecerse en determinadas condiciones.

Modo de Funcionamiento

Solicitud de un certificado

El mecanismo habitual de solicitud de un certificado de servidor web a una CA consiste en que la entidad solicitante, utilizando ciertas funciones del software de servidor web, completa ciertos datos identificativos (entre los que se incluye el localizador URL del servidor) y genera una pareja de claves pública/privada. Con esa información el software de servidor compone un fichero que contiene una petición CSR (Certificate Signing Request) en formato PKCS#10 que contiene la clave pública y que se hace llegar a la CA elegida. Esta, tras verificar por sí o mediante los servicios de una RA (Registration Authority, Autoridad de Registro) la información de identificación aportada y la realización del pago, envía el certificado firmado al solicitante, que lo instala en el servidor web con la misma herramienta con la que generó la petición CSR. En este contexto, PKCS corresponde a un conjunto de especificaciones que son estándares de facto denominadas Public-Key Cryptography Standards.

La Jerarquía de Certificación

Las CA disponen de sus propios certificados públicos, cuyas claves privadas asociadas son empleadas por las CA para firmar los certificados que emiten. Un certificado de CA puede estar auto-firmado cuando no hay ninguna CA de rango superior que lo firme. Este es el caso de los certificados de CA raíz, el elemento inicial de cualquier jerarquía de certificación. Una jerarquía de certificación consiste en una estructura jerárquica de CAs en la que se parte de una CA auto-firmada, y en cada nivel, existe una o más CAs que pueden firmar certificados de entidad final (titular de certificado: servidor web, persona, aplicación de software) o bien certificados de otras CA subordinadas plenamente identificadas y cuya Política de Certificación sea compatible con las CAs de rango superior.

Confianza en la C.A.

Una de las formas por las que se establece la confianza en una CA para un usuario consiste en la "instalación" en el ordenador del usuario (tercero que confía) del certificado autofirmado de la CA raíz de la jerarquía en la que se desea confiar. El proceso de instalación puede hacerse, en sistemas operativos de tipo Windows, haciendo doble click en el fichero que contiene el certificado (con la extensión "crt") e iniciando así el "asistente para la importación de certificados". Por regla general el proceso hay que repetirlo por cada uno de los navegadores que existan en el sistema, tales como Opera (navegador), Firefox o Internet Explorer, y en cada caso con sus funciones específicas de importación de certificados.

Si está instalada una CA en el repositorio de CAs de confianza de cada navegador, cualquier certificado firmado por dicha CA se podrá validar, ya que se dispone de la clave pública con la que verificar la firma que lleva el certificado. Cuando el modelo de CA incluye una jerarquía, es preciso establecer explícitamente la confianza en los certificados de todas las cadenas de certificación en las que se confíe. Para ello, se puede localizar sus certificados mediante distintos medios de publicación en internet, pero también es posible que un certificado contenga toda la cadena de certificación necesaria para ser instalado con confianza.

Transport Layer Security

Secure Sockets Layer (SSL) y Transport Layer Security (TLS) -Seguridad de la Capa de Transporte-, su sucesor, son protocolos criptográficos que proporcionan comunicaciones seguras en Internet. Existen pequeñas diferencias entre SSL 3.0 y TLS 1.0, pero el protocolo permanece sustancialmente igual. El término "SSL" según se usa aquí, se aplica a ambos protocolos a menos que el contexto indique lo contrario.

SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de infraestructura de claves públicas (o PKI) para los clientes. Los protocolos permiten a las aplicaciones cliente-servidor comunicarse de una forma diseñada para prevenir escuchas (eavesdropping), la falsificación de la identidad del remitente (phishing) y mantener la integridad del mensaje.

SSL implica una serie de fases básicas:

Negociar entre las partes el algoritmo que se usará en la comunicación

Intercambio de claves públicas y autenticación basada en certificados digitales

Cifrado del tráfico basado en cifrado simétrico.

Durante la primera fase, el cliente y el servidor negocian qué algoritmos criptográficos se van a usar. Las implementaciones actuales proporcionan las siguientes opciones:

Para criptografía de clave pública: RSA, Diffie-Hellman, DSA (Digital Signature Algorithm) o Fortezza.

Para cifrado simétrico: RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES o AES (Advanced Encryption Standard).

Con funciones hash: MD5 o de la familia SHA.

Cómo funciona

El protocolo SSL intercambia registros; opcionalmente, cada registro puede ser comprimido, cifrado y empaquetado con un código de autentificación del mensaje (MAC). Cada registro tiene un campo de content_type que especifica el protocolo de nivel superior que se está usando.

Cuando se inicia la conexión, el nivel de registro encapsula otro protocolo, el protocolo handshake, que tiene el content_type 22.

El cliente envía y recibe varias estructuras handshake:

Envía un mensaje ClientHello especificando una lista de conjunto de cifrados, métodos de compresión y la versión del protocolo SSL más alta permitida. Éste también envía bytes aleatorios que serán usados más tarde (llamados Challenge de Cliente o Reto). Además puede incluir el identificador de la sesión.

Después, recibe un registro ServerHello, en el que el servidor elige los parámetros de conexión a partir de las opciones ofertadas con anterioridad por el cliente.

Cuando los parámetros de la conexión son conocidos, cliente y servidor intercambian certificados (dependiendo de las claves públicas de cifrado seleccionadas). Estos certificados son actualmente X.509, pero hay también un borrador especificando el uso de certificados basados en OpenPGP.

El servidor puede requerir un certificado al cliente, para que la conexión sea mutuamente autenticada.

Cliente y servidor negocian una clave secreta (simétrica) común llamada master secret, posiblemente usando el resultado de un intercambio Diffie-Hellman, o simplemente cifrando una clave secreta con una clave pública que es descifrada con la clave privada de cada uno. Todos los datos de claves restantes son derivados a partir de este master secret (y los valores aleatorios generados en el cliente y el servidor), que son pasados a través una función pseudoaleatoria cuidadosamente elegida.

TLS/SSL poseen una variedad de medidas de seguridad:

Numerando todos los registros y usando el número de secuencia en el MAC.

Usando un resumen de mensaje mejorado con una clave (de forma que solo con dicha clave se pueda comprobar el MAC). Esto se especifica en el RFC 2104). - Protección contra varios ataques conocidos (incluidos ataques man in the middle attack), como los que implican un degradado del protocolo a versiones previas (por tanto, menos seguras), o conjuntos de cifrados más débiles.

El mensaje que finaliza el protocolo handshake (Finished) envía un hash de todos los datos intercambiados y vistos por ambas partes.

La función pseudo aleatoria divide los datos de entrada en 2 mitades y las procesa con algoritmos hash diferentes (MD5 y SHA), después realiza sobre ellos una operación XOR. De esta forma se protege a sí mismo de la eventualidad de que alguno de estos algoritmos se revelen vulnerables en el futuro.

¿Por qué es necesario contar con certificados SSL autenticados?

Las nociones de identidad y autenticación son conceptos fundamentales en cualquier mercado. Los individuos y las instituciones deben conocerse mejor y tener confianza en el otro antes de poder realizar negocios. En el comercio tradicional, la gente se basaba en los documentos físicos (como una licencia comercial o una carta de crédito) para probar su identidad y asegurar a la otra parte su capacidad para realizar una transacción.

En la edad del comercio electrónico, los certificados SSL autenticados proporcionan la indispensable identidad y seguridad en línea que ayuda a establecer una relación de confianza entre las partes involucradas en transacciones electrónicas en redes digitales. Independientemente de si el negocio se realiza en el mundo digital o el físico, las partes involucradas deben poder responder a las siguientes preguntas:

¿Quién eres? (Requisito de identidad).

¿A qué comunidad perteneces? ¿Eres un miembro de confianza? (Respaldo de una asociación).

¿Cómo puedes probar tu identidad? (Validación de la identidad).

Los clientes deben tener la certeza de que el sitio web con el que se están comunicando es auténtico y de que la información que envíen mediante su navegador web seguirá siendo privada y confidencial.

Cifrado

Internet presenta una gama única de problemas relativos a la seguridad, problemas que los negocios deben superar desde el principio para minimizar riesgos. Los clientes envían información y adquieren productos o servicios a través de Internet sólo si se sienten seguros de que la información personal, como los números de sus tarjetas de crédito o sus datos financieros, está segura. La solución para los negocios que se toman el comercio electrónico en serio es implementar una infraestructura segura basada en tecnologías de cifrado. El cifrado es el proceso de transformación de la información que la hace ininteligible para todos excepto para el destinatario original y sienta la bases para la integridad de datos y la privacidad que son imprescindibles para el comercio electrónico.

Autenticación

Algunas autoridades de certificación creen que el cifrado basta por sí mismo para garantizar la seguridad de un sitio web y promover la confianza de los clientes en dicho sitio. Sin embargo, el cifrado no es suficiente, siendo necesario que el sitio web también esté autenticado, lo que mejorará la confianza que los internautas tienen en el sitio web que visitan. Estar autenticado significa que una entidad de confianza puede probar que eres quien dices ser. Para probar que su negocio es auténtico, su sitio web debe estar asegurado por métodos de autenticación y una tecnología de cifrado de la mejor calidad.

Certificados Digitales

Un certificado digital es un archivo electrónico que identifica de forma exclusiva a individuos y sitios web en Internet y permite establecer comunicaciones confidenciales y seguras. Los certificados digitales funcionan como una forma de credencial o pasaporte digital.

Por lo general el “signatario” de un certificado digital es una autoridad de certificación como, por ejemplo, VeriSign. Algunas autoridades de certificación de confianza autentican sus certificados digitales pero, por desgracia, también hay otras que proporcionan certificados SSL sin autenticar. Este hábito expone a los usuarios de Internet al riesgo de que haya negocios fraudulentos operando en la red.

Los certificados SSL autenticados permiten al visitante del sitio web:

Comunicarse de forma segura con el sitio web, de manera que la información suministrada por el visitante no pueda ser interceptada durante la transmisión (confidencialidad) ni alterada sin que nadie lo detecte (integridad).

Comprobar que el sitio que el usuario está visitando realmente pertenece a la compañía, y que no ha sido suplantada (autenticación).

Una autoridad certificadora como VeriSign, garantiza esta confianza reforzando su servicio de autenticación con tecnologías de cifrado de vanguardia en sus soluciones de certificados digitales. La empresa de comercio electrónico solo recibirá un certificado SSL de VeriSign autenticado una vez que: +

Se compruebe la identidad y se confirme que la organización es una entidad legal.

Se confirme que tiene derecho a utilizar el nombre de dominio que se incluye en el certificado. - Se compruebe que la persona que solicitó el certificado SSL en nombre de la organización había sido autorizada a hacerlo.

Funcionamiento de los certificados SSL autenticados

Los certificados SSL autenticados permiten al destinatario de un mensaje digital estar seguro tanto de la identidad del emisor como de la integridad del mensaje. Hay tres pasos básicos de autenticación y verificación que son fundamentales para que una empresa reciba certificados SSL de alta seguridad para su sitio web:

Confirmación de que la empresa nombrada en el certificado tiene derecho a utilizar el nombre de dominio que se incluye en el certificado.

Confirmación de que la empresa nombrada en el certificado es una entidad legal.

Confirmación de que la persona que solicitó el certificado SSL en nombre de la organización había sido autorizada a hacerlo.

Cuando los visitantes se conecten a los sitios web, se encontrarán uno de los dos tipos de servidores. Si encuentran servidores seguros, recibirán mensajes informándoles de ello. De igual forma, si encuentran servidores no seguros, recibirán advertencias a tal efecto. Un servidor web realmente seguro es aquél que cuenta con un certificado SSL seguro. El certificado autenticado asegura a los usuarios que una tercera parte independiente y de confianza ha comprobado que el servidor pertenece a la compañía a la que dice pertenecer. Un certificado autenticado válido asegura a los usuarios que la información confidencial que están enviando llega al lugar al que lo envían.

Un administrador web crea una solicitud de certificado, que a su vez crea dos claves cifradas: una privada y otra pública. El servidor web envía la clave pública a una autoridad de certificación, como VeriSign. Por ello, dichas autoridades de certificación deben entonces asegurarse de que están emitiendo los certificados a la compañía correcta. Las autoridades de certificación deben comprobar:

Que la empresa que están certificando es la propietaria del nombre de dominio de Internet que han certificado.

Que está registrada como empresa en uno o más países.

Que el nombre registrado es igual al del certificado que la autoridad de certificación está firmando.

Que la persona que solicita el certificado trabaja en dicha empresa.

Una vez que se han realizado las debidas comprobaciones y verificaciones, la autoridad de certificación firma la clave pública. La clave pública vuelve al servidor web, que la carga en el servidor. El SSL empezará a funcionar en cuanto la clave privada y la pública se emparejen perfectamente. El protocolo SSL asegura que la información que envía un servidor es idéntica a la que recibe un visitante web, sin que se haya producido ninguna modificación.

Riesgos de los certificados SSL sin autenticar

En la actualidad los navegadores no distinguen entre certificados SSL de alta seguridad (autenticados) y los de baja seguridad (sin autenticar). Generalmente, el usuario confía automáticamente en el certificado SSL cuando la autoridad de certificación lo emite y el nombre del dominio del certificado coincide con el dominio del sitio web visitado.

El icono de candado del navegador del usuario aparecerá indistintamente, tanto si el sitio en particular está utilizando un certificado SSL de alta seguridad autenticado como sin autenticar.

Hasta hace muy poco tiempo, este sencillo método había funcionado adecuadamente, y ha facilitado la expansión del comercio electrónico. Sin embargo, los últimos cambios en el mercado de los certificados SSL suponen una amenaza potencial para la confianza del cliente, y un riesgo para la seguridad de las transacciones en línea. Uno de los mayores riesgos de los certificados SSL sin autenticar es la técnica de las intrusiones ilícitas, también denominada "spoofing". El bajo coste del diseño de un sitio web y la sencillez con la que pueden copiarse las páginas existentes simplifican la creación de sitios falsos que parecen ser seguros y pertenecer a organizaciones establecidas. De hecho, hay casos de expertos del fraude que han conseguido números de tarjetas de crédito estableciendo tiendas de aspecto profesional que imitaban negocios legales, utilizando un nombre de dominio muy similar y presentando contenidos engañosos que hacían que la víctima tomara una decisión que ponía en peligro su seguridad.

Hay otras razones por las que la autenticación es importante. El fraude en Internet sigue constituyendo una gran barrera para el gasto de los consumidores, y un importante número de estafas se debe a que los clientes realizan transacciones con entidades de las que tienen muy poca o ninguna información. A continuación se incluyen algunos datos relacionados con el fraude en Internet:

Según GartnerG2, en 2001 se perdieron por fraude más de 700 millones de dólares en transacciones electrónicas, lo que representa el 1,14 por ciento de los 61.800 millones de ventas anuales en línea. En el año 2001, las pérdidas por fraude fueron 19 veces más altas en las transacciones electrónicas que en las ventas no electrónicas.

Según Gartner Group, el fraude en Internet está causando pérdidas cuantiosas en el sector de los vendedores a través de Internet. Gartner estudió más de 160 empresas y descubrió que existe 12 veces más fraude en las transacciones a través de Internet que en la venta al por menor tradicional. Y lo que es más, los vendedores en línea deben asumir la responsabilidad y los costes en caso de fraude, mientras que en el caso de las transacciones tradicionales son las empresas de tarjetas de crédito las que se hacen cargo de dichos costes, siempre y cuando el vendedor siga los procedimientos y cuente con un recibo firmado.

Las investigaciones llevadas a cabo por Jupiter Media Metrix han demostrado que es más habitual el miedo al fraude en línea que las situaciones de fraude real que se producen.

“La prensa crea una mala imagen de las compras en línea, pero en la mayoría de los casos se trata de empresas que no han utilizado los medios de seguridad adecuados”, asegura Harry Wolhanlder, vicepresidente de Market Research en ActivMedia. “Los negocios en Internet que aplican medios adecuados para comprobar la información de los clientes apenas se ven afectados por este problema y las pérdidas por fraude en este caso se limitan a un 1% aproximadamente. El control del fraude en línea es perfectamente posible, pero hay muchas empresas que no emplean rigurosas medidas de prevención y comprobación”.

La siguiente sección describe algunos de los riesgos de una autenticación insuficiente del usuario e incluye dos posibles situaciones en las que la seguridad del comercio electrónico estaría en riesgo.

Situación 1: La autoridad de certificación no ha autenticado la empresa

Pepe el Pirata se registra en www.abcbancoelectronico.com, piratea el sitio del Banco Mundial ABC, atrae a los clientes desprevenidos al sitio falso que ha creado y consigue un certificado SSL sin autenticar. Este certificado incluye uno de los siguientes elementos en el nombre distintivo (consulte el gráfico anterior).

Cuando un cliente visita el sitio falso de Pepe el Pirata, no puede determinar con facilidad si el sitio es o no legítimo. Si el cliente ve el icono de candado, puede tener una sensación falsa de seguridad. Pensará que está conectado al sitio web del Banco Mundial ABC, aunque en realidad se esté conectando al sitio fraudulento de Pepe el Pirata. Cuando el icono de candado aparece en una página de envío de información, es muy probable que el cliente utilice su contraseña e ID de usuario. Pepe el Pirata puede intentar capturar la contraseña e ID de usuario y reenviar al usuario al sitio auténtico.

Pero si el cliente mira el certificado SSL y ve una exención de responsabilidad de “organización no autenticada” o se percata de que el Banco Mundial ABC no se nombra en el certificado, se podrá frustrar el plan de Pepe el Pirata. Pero sólo ocurriría en el caso de que el usuario tomara unas medidas adicionales antes de introducir su contraseña e ID de usuario o información personal o confidencial.

Supongamos que el Banco Mundial ABC se hubiera registrado el dominio www.bancoabc.com y hubiera implantado un sitio web bancario legítimo en línea mediante un certificado SSL. Este certificado incluye lo siguiente en el nombre distintivo:

Al requerir la autenticación de la organización se evita que una persona o entidad fraudulenta pueda obtener un certificado que contenga el nombre de otra organización. Al incluir un nombre de organización autenticado en el certificado SSL, los usuarios tendrán la seguridad de que la organización que presenta dicho certificado en su sitio web es legítima.

Situación 2: La autoridad de certificación no ha comprobado la existencia de la empresa

Pepe el Pirata registra un dominio como Banco Corporativo de Internet (que no existe) utilizando una tarjeta de crédito robada como medio de pago. Pepe el Pirata crea un sitio web y obtiene un certificado SSL sin autenticar que da a su sitio cierto aspecto de legal. Un cliente ve el icono de candado en el navegador y piensa que su información está segura. Si Pepe ofrece una tasa de interés superior a la normal o una financiación atractiva, puede inducir a los usuarios a introducir información personal. Al exigir que se compruebe la existencia de una organización se evita que una persona finja ser una organización legítima.

Proceso de Autenticación de VeriSign

Los procedimientos de autenticación y verificación fijados por VeriSign ayudan a que los comerciantes experimenten un crecimiento de sus negocios en línea, ya que inspiran confianza en los consumidores mediante la comprobación de la identidad de los negocios en línea y la reducción del riesgo de fraude. Estos procedimientos son el resultado de años utilizando una infraestructura fiable para Internet y autenticando más de medio millón de empresas. A continuación se incluye un resumen del proceso de autenticación de VeriSign que le ayudará a apreciar la seguridad y fiabilidad de este proceso y los beneficios que conlleva para el desarrollo de su negocio en línea:

Paso 1

Para iniciar el proceso de autenticación, las empresas y particulares proporcionan información a VeriSign, lo que forma parte del rápido y sencillo proceso de adquisición de soluciones de certificados digitales en línea.

Paso 2

Entonces VeriSign verifica que: - La empresa y el personal de contacto empresarial no están incluidos en ninguna de las tres listas de entidades no autorizadas del gobierno de EE.UU.: Denied Persons List (lista de personas no autorizadas), Denied Entities List (lista de entidades no autorizadas), US Treasury Department List (lista del Ministerio de Hacienda de EE.UU.)

La empresa cuenta con documentos oficiales, como estatutos de constitución o una licencia comercial que le permita realizar negocios.

La empresa posee el nombre de dominio para el que se emite el certificado o ha obtenido un permiso legal del propietario del mismo para utilizar dicho nombre.

Es posible utilizar números de terceros para comprobar que el personal de contacto empresarial trabaja en la empresa que solicita el certificado.

Paso 3

En ese momento VeriSign emite el certificado según la política de operaciones de VeriSign, que dispone:

La separación de obligaciones: dos empleados de VeriSign diferentes deben completar el proceso de autenticación de la empresa que solicita el certificado y verificar que las personas de contacto trabajan para dicha empresa.

Todos los empleados de VeriSign que procesan certificados digitales deben someterse a exhaustivos controles de sus antecedentes penales y financieros.

Todas las instalaciones en las que se procesan los certificados digitales cuentan con sistemas de alta seguridad y biometría.

Todos los datos de los clientes son estrictamente confidenciales y los centros de datos que almacenan dicha información están ubicados en lugares de alta seguridad con biometría.

Paso 4

Una vez se ha emitido el certificado SSL de VeriSign y que la empresa web autenticada lo coloca en su servidor web, los visitantes pueden acceder instantáneamente a los datos de autenticación. Estos datos aseguran a los visitantes del sitio web que dicho sitio es lo que aparenta ser y pertenece a una empresa real, y para visualizarlos basta con hacer clic en el icono de candado o en el sello Secured Seal de VeriSign que se suministra a todos los sitios web equipados con un certificado SSL.

Razones por las que el Método de Autenticación de VeriSign es más Seguro

El proceso de autenticación de VeriSign es eficaz y seguro, a la vez que ofrecemos el plazo más breve posible de respuesta a las solicitudes de certificado SIN comprometer la fiabilidad del proceso.

Antes de emitir un certificado SSL, VeriSign comprueba sus documentos oficiales y completa el proceso de comprobación de veracidad para asegurar que su empresa es quien dice ser y que no está mostrando una identidad falsa. Después, VeriSign emite para su empresa un certificado SSL, que es una prueba electrónica que su negocio puede presentar para demostrar su identidad o su derecho a acceder a la información.

Beneficios para las empresas

Tras instalar su certificado de VeriSign, su servidor activa automáticamente la tecnología SSL, que sirve para crear un canal de comunicación seguro y autenticado entre su servidor y el navegador del cliente. Su sitio podrá comunicarse de forma segura con cualquier cliente que utilice Mozilla FireFox, Microsoft Internet Explorer y los programas de correo electrónico más conocidos. Una vez haya activado su certificado de servidor, el SSL comenzará inmediatamente a proporcionarle los siguientes beneficios de una transacción electrónica segura:

Atracción de Clientes

Cuando establezca su sitio web seguro, podrá beneficiarse de una gran variedad de opciones de VeriSign para mejorar aún más sus operaciones de comercio electrónico. Con el sello Secure Seal de VeriSign, que se incluye con todos los servicios de Secure Site, podrá utilizar la marca de seguridad número uno en Internet para dar a sus clientes la confianza necesaria para comunicarse y realizar transacciones comerciales en su sitio. Este sello permite a los visitantes de su sitio web comprobar la información y el estado de su certificado SSL en tiempo real, y proporciona protección adicional contra el uso indebido de certificados anulados o que han caducado.

VeriSign asegura más sitios web que ninguna otra empresa del mundo: más de 500.000. Este variado universo de clientes incluye la mayoría de las empresas de la famosa lista Fortune 500 y de los sitios de comercio electrónico más importantes, aunque también pequeñas y medianas empresas que dan sus primeros pasos en la Web.

El número de sitios asegurados por VeriSign es tan grande y la confianza en el sello Secured Seal de VeriSign tan enorme, que sólo en abril de 2002 se hizo clic en los sellos Secured Site Seal de VeriSign más de un millón de veces. El sello proporciona una prueba a los clientes de que el sitio web que están visitando está autenticado como negocio real, y que está asegurado con la tecnología de cifrado SSL.

Ventajas principales de contar con un certificado de servidor de VeriSign en su sitio: Garantizar transacciones electrónicas seguras que protejan a los clientes y a su negocio. Los clientes tendrán la seguridad de que envían su información personal a una empresa legal y no a un impostor. Por su parte, sabrá que su empresa recibe información precisa que el cliente no podrá denegar posteriormente.

Los servicios de seguridad Secure Site de VeriSign le proporcionan los medios para asegurar y activar el comercio electrónico de su sitio web, lo que proporciona al cliente la tranquilidad de que sus operaciones en la Web son seguras. El aumento de la confianza en las transacciones realizadas en línea aporta muchos beneficios. Entre los más importantes están el aumento de los ingresos y la rentabilidad.

Autenticación

Comprobando el certificado de VeriSign, sus clientes pueden asegurarse de que se trata es el propietario del sitio web y no un impostor. Este hecho les proporciona la confianza necesaria para enviar información confidencial.

Privacidad de los Mensajes

El SSL cifra toda la información que se intercambia entre su servidor web y los clientes, como los números de tarjeta de crédito y otros datos personales, mediante una clave de sesión única. Para transmitir la clave de sesión al cliente de manera segura, el servidor la cifra con su clave pública. Cada clave de sesión se utiliza una sola vez, durante una única sesión (que puede incluir una o más transacciones) con un mismo cliente.

Estos niveles de protección de la privacidad aseguran que la información no pueda visualizarse en caso de que terceras partes la intercepten.

Integridad de los Mensajes

Cuando se envía un mensaje, los equipos que lo envían y lo reciben crean una clave que se basa en el contenido de dicho mensaje. Si un sólo carácter del contenido del mensaje se altera en el camino, el equipo receptor crea una clave diferente y advierte al receptor de que el mensaje no es legítimo. Gracias a la integridad de los mensajes, las dos partes involucradas en la transacción saben que lo que reciben es exactamente lo que ha enviado la otra parte.

Auditoria de seguridad de sistemas de información

Una auditoria de seguridad informática o auditoria de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorias de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Fases de una Auditoria

Los servicios de auditoria constan de las siguientes fases: - Enumeración de redes, topologías y protocolos

Identificación de sistemas y dispositivos

Identificación de los sistemas operativos instalados

Análisis de servicios y aplicaciones

Detección, comprobación y evaluación de vulnerabilidades

Medidas específicas de corrección

Recomendaciones sobre implantación de medidas preventivas.

Tipos de Auditoria

Los servicios de auditoria pueden ser de distinta índole:

- Auditoria de seguridad interna. En este tipo de auditoria se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno

- Auditoria de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores

- Test de intrusión. El test de intrusión es un método de auditoria mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoria perimetral.

- Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la in operabilidad del sistema, el análisis se denomina análisis postmortem.

- Auditoria de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.

- Auditoria de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado

Realizar auditorias con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoria.

Estándares de Auditoria Informática y de Seguridad

Una auditoria se realiza con base a un patrón o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorias de informática. Uno de ellos es CoBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoria apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoria y sistemas de gestión de seguridad, como lo es el estándar ISO 27001

ISO/IEC 27001

El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la revisión de la norma británica British Standard BS 7799-2:2002.

Implantación

La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de Seguridad de la Información (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos.

Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión.

Certificación

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.

El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y en base a un sistema de gestión común.

La Serie 27000

La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:

- ISO 27000: Actualmente en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000.

- UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 Noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).

- ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.

- ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

- ISO 27004: En fase de desarrollo; probable publicación en 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.

- ISO 27005: Probable publicación en 2008. Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluirá partes de la ISO 13335.

- ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoria y certificación de sistemas de gestión de seguridad de la información.

Cuestionarios o CheckList de Auditoria de la Información y Transacciones en Línea

Cuestionario para los Usuarios

El siguiente checklist tiene como objetivo realizar un análisis muy simple en cuanto a precauciones que los usuarios deben tomar en relación a mantener un mínimo resguardo con sus datos para evitar algún tipo de problemas ligados a la seguridad informática, ya sea un desastre (que le roben su Notebook o se le queme el disco duro), una suplantación de identidad (ej: estafas bancarias), o que no pueda recuperar sus archivos importantes en caso de que ocurra algo en el medio que los almacena. Este documento está orientado solamente a personas que no tienen grandes conocimientos de computación y requieren una ayuda en el plano de la seguridad. Se trata de controles básicos pero sin duda que ayudarán a reducir los riesgos a quienes se orienten con esta guía.

Lista de chequeo de seguridad nivel usuario

Pregunta

Si

No

Comentario

Su PC tiene un Antivirus instalado

Usted puede distinguir entre un virus y una aplicación legítima

Guarda periódicamente respaldos en CD's o DVD's de sus archivos importantes

Usted no es de las personas que confían en que sus datos están 100% en el disco duro.

Usted no es de las personas que confían en que sus datos están 100% en una memoria externa extraíble (Ej: Pendrive).

Sabe lo que es el Phishing y cómo puede prevenir ser víctima de una estafa

Utiliza diferentes contraseñas para distintos servicios. Ej, su contraseña del correo electrónico no es la misma que el acceso a sus sistemas personales (ej: sistema de la empresa, acceso al banco, contraseña de su PDA, etc)

Tiene conciencia de que Internet es un lugar más bien hostil y los peligros lo acechan en cada instante

Usted se asegura de hacer caso omiso a los correos electrónicos que suponen ser emitidos por su banco para pedirle que ingrese a cierta dirección de Internet a cambiar sus datos personales

Usted se asegura que la página web donde usted ingresa sus datos de login (usuario y contraseña) sea de tipo HTTP Seguro, es decir, que la dirección web comience con "https://"

Usted se asegura que la Autoridad Certificadora que emite el certificado de seguridad en un sitio https, sean un ente reconocido y que el certificado sea válido

Revisa su PC periódicamente con alguna herramienta para detectar los software maliciosos (Malware), como por ejemplo AdAware, Microsoft AntiSpyware, o similares.

Usted tiene la precaución de evitar visitar sitios webs de pornografía y/o cracks, seriales y similares ya que es donde más abundan los virus y malwares.

Usted prefiere confirmar un correo electrónico dudoso por teléfono antes de emitir una respuesta.

Usted tiene duplicados sus datos importantes que maneja en su laptop (notebook) y los almacena en CD's o DVD's ya que está conciente que se lo pueden robar muy fácilmente.

En su empresa o lugar de trabajo conoce y/o respeta las políticas de seguridad que existen.

Usted cambia regularmente sus contraseñas. Regularmente significa al menos una vez al mes. (Si tiene la misma contraseña que hace 1 año, preocúpese)

Usted NO almacena las contraseñas en sus navegadores Web, ya que es muy fácil robárselas.

Fuente: http://www.seguridad-informatica.cl/home/un-simple-checklist-de-seguridad-para-personas-con-conocimiento-a-nivel-usuario

Cuestionario para un Sitio de Comercio Electrónico

En este documento se entrega una serie de elementos que deben ser revisados para determinar si el Sitio Web que se analiza, cumple con las características de Seguridad aconsejadas. Todos los elementos que se abordan en esta lista, son explicados en uno o más capítulos de la guía. Por cada uno de ellos, se debe marcar Sí o No y se espera que un Sitio Web de Gobierno cumpla con todos o la mayoría de ellos. En aquellos que no haya cumplimiento, se deben adoptar las actividades correctivas que correspondan.

Conceptos de Seguridad

Cumple

Sí

No

1

¿El Sitio funciona correctamente y no presenta fallas al navegar por sus páginas o utilizar sus servicios? (especialmente en el caso de Trámites en línea)

2

Los datos ingresados por un usuario a través de formularios, ¿son validados antes de ser enviados y procesados por el servidor del Sitio?

3

¿Todos los vínculos del Sitio tienen una página asociada y el contenido adecuado al vínculo señalado?

4

Frente a una búsqueda dentro del Sitio o cualquier operación en el mismo ¿los resultados se muestran correctamente?

5

¿Los datos privados, entregados voluntariamente por los usuarios, son guardados de manera reservada?

6

¿Se ofrece una Política de Privacidad de los Datos Personales y se informa de su existencia en las páginas pertinentes?

7

¿Los servicios ofrecidos son realizados a través de canales de transacción seguros?

8

¿En los temas que requieren de accesos restringidos, el Sitio provee algún medio para validar el acceso, por ejemplo: a través de una caja de conexión con nombre de usuario y password?

9

¿La política de seguridad implementada para validar el acceso restringido es adecuada a los propósitos del servicio o de la institución?

10

¿Protege la integridad de sus programas y datos?

11

¿Se evita que sea visto, el nombre de los programas y los directorios?

12

¿Se cuenta con un protocolo de seguridad para evitar ataques externos e intrusiones de hackers?

13

¿Se cuenta con una política de respaldo de información que permita superar efectos de fallas derivadas del punto anterior?

Fuente: http://www.guiaweb.gob.cl/guia/checklists/seguridad.htm

Hosted by www.Geocities.ws

Lista de chequeo de seguridad nivel usuario
Pregunta	Si	No	Comentario
Su PC tiene un Antivirus instalado
Usted puede distinguir entre un virus y una aplicación legítima
Guarda periódicamente respaldos en CD's o DVD's de sus archivos importantes
Usted no es de las personas que confían en que sus datos están 100% en el disco duro.
Usted no es de las personas que confían en que sus datos están 100% en una memoria externa extraíble (Ej: Pendrive).
Sabe lo que es el Phishing y cómo puede prevenir ser víctima de una estafa
Utiliza diferentes contraseñas para distintos servicios. Ej, su contraseña del correo electrónico no es la misma que el acceso a sus sistemas personales (ej: sistema de la empresa, acceso al banco, contraseña de su PDA, etc)
Tiene conciencia de que Internet es un lugar más bien hostil y los peligros lo acechan en cada instante
Usted se asegura de hacer caso omiso a los correos electrónicos que suponen ser emitidos por su banco para pedirle que ingrese a cierta dirección de Internet a cambiar sus datos personales
Usted se asegura que la página web donde usted ingresa sus datos de login (usuario y contraseña) sea de tipo HTTP Seguro, es decir, que la dirección web comience con "https://"
Usted se asegura que la Autoridad Certificadora que emite el certificado de seguridad en un sitio https, sean un ente reconocido y que el certificado sea válido
Revisa su PC periódicamente con alguna herramienta para detectar los software maliciosos (Malware), como por ejemplo AdAware, Microsoft AntiSpyware, o similares.
Usted tiene la precaución de evitar visitar sitios webs de pornografía y/o cracks, seriales y similares ya que es donde más abundan los virus y malwares.
Usted prefiere confirmar un correo electrónico dudoso por teléfono antes de emitir una respuesta.
Usted tiene duplicados sus datos importantes que maneja en su laptop (notebook) y los almacena en CD's o DVD's ya que está conciente que se lo pueden robar muy fácilmente.
En su empresa o lugar de trabajo conoce y/o respeta las políticas de seguridad que existen.
Usted cambia regularmente sus contraseñas. Regularmente significa al menos una vez al mes. (Si tiene la misma contraseña que hace 1 año, preocúpese)
Usted NO almacena las contraseñas en sus navegadores Web, ya que es muy fácil robárselas.

Conceptos de Seguridad		Cumple
Conceptos de Seguridad		Sí	No
1	¿El Sitio funciona correctamente y no presenta fallas al navegar por sus páginas o utilizar sus servicios? (especialmente en el caso de Trámites en línea)
2	Los datos ingresados por un usuario a través de formularios, ¿son validados antes de ser enviados y procesados por el servidor del Sitio?
3	¿Todos los vínculos del Sitio tienen una página asociada y el contenido adecuado al vínculo señalado?
4	Frente a una búsqueda dentro del Sitio o cualquier operación en el mismo ¿los resultados se muestran correctamente?
5	¿Los datos privados, entregados voluntariamente por los usuarios, son guardados de manera reservada?
6	¿Se ofrece una Política de Privacidad de los Datos Personales y se informa de su existencia en las páginas pertinentes?
7	¿Los servicios ofrecidos son realizados a través de canales de transacción seguros?
8	¿En los temas que requieren de accesos restringidos, el Sitio provee algún medio para validar el acceso, por ejemplo: a través de una caja de conexión con nombre de usuario y password?
9	¿La política de seguridad implementada para validar el acceso restringido es adecuada a los propósitos del servicio o de la institución?
10	¿Protege la integridad de sus programas y datos?
11	¿Se evita que sea visto, el nombre de los programas y los directorios?
12	¿Se cuenta con un protocolo de seguridad para evitar ataques externos e intrusiones de hackers?
13	¿Se cuenta con una política de respaldo de información que permita superar efectos de fallas derivadas del punto anterior?