La complejidad de la seguridad de los sistemas de información precisa la preparación de estrategias que permitan que la información circule libremente, garantizando al mismo tiempo la seguridad del uso de los sistemas de información en toda la Comunidad.

Debido a la difusión de las tecnologías de la información, la mayoría de las organizaciones actuales están expuestas a una serie de riesgos derivados de una protección inadecuada o inapropiada de la información o de sus sistemas de tratamiento.

Los riesgos fundamentales asociados con la incorrecta protección de la información son:

· Revelación a personas no autorizadas

· Inexactitud de los datos

· Inaccesibilidad de la información cuando se necesita

Estos aspectos se relacionan con las tres características que debe cubrir un SSI seguro: confidencialidad, integridad y disponibilidad. Así pues, preservar estas tres características de la información constituye el objetivo de la seguridad.

AUDITORÍA

Según The American Accounting Association la define claramente como "El proceso sistemático para evaluar y obtener de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados".

Según Padlocks (s/f) Auditar consiste en: "Conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informáticas y generales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente."

Para Hernández García s/f: toda auditoría y cualquier tipo de auditoria "es una actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas."

La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

Auditoria Informática

Se entiende por Auditoría Informática una serie de exámenes periódicos o esporádicos de un sistema informático cuya finalidad es analizar y evaluar la planificación, el control, la eficacia, la seguridad, la economía y la adecuación de la infraestructura informática de la empresa.

Según Ramos González s/f: propone la siguiente definición: "La Auditoría Informática comprende la revisión y la evaluación independiente y objetiva, por parte de personas independientes y teóricamente competentes del entorno informático de una entidad, abarcando todo o algunas de sus áreas, los estándares y procedimientos en vigor, su idoneidad y el cumplimiento de éstos, de los objetivos fijados, los contratos y las normas legales aplicables, el grado de satisfacción de usuarios y directivos, los controles existentes y el análisis de riesgos".

Según Fernando Catacora Carpio s/f: Especialista en Sistemas de Información Gerencial y profesor de esta cátedra en la Universidad Católica Andrés Bello de Caracas, Venezuela "La Auditoría Informática es aquella que tiene como objetivo principal la evaluación de los controles internos en el área de PED (Procesamiento Electrónico de Datos

Finalmente, de forma sencilla y gráfica podemos decir que la Auditoría Informática es el proceso de recolección y evaluación de evidencia para determinar sí un sistema automatizado:

Salvaguarda activos

{

Daños

Destrucción

Uso no autorizado

Robo

Mantiene la Integridad

de los datos

{

Oportuna

Precisa

Confiable

Completa

Alcanza Metas

Organizacionales

{

Contribución de la función

Informática

Consume recursos

eficientemente

{

Utiliza los recursos adecuadamente

en el procesamiento de la información

Fuente: http://www.rociolopez.8m.com/

Auditoria de seguridad

Con una auditoría de seguridad se da una visión exacta del nivel de exposición de sus Sistemas de Información a nivel de seguridad.

En la auditoría se verifica la seguridad en la autenticidad, confidencialidad, integridad, disponibilidad y auditabilidad de la información tratada por los sistemas.

Los objetivos de una auditoría de seguridad de los sistemas de información son:

• Revisar la seguridad de los entornos y sistemas.

• Verificar el cumplimiento de la normativa y legislación vigentes

• Elaborar un informe independiente.

• Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS

La metodología para una auditoría de sistemas de información establece su ejecución por fases:

1. Definir el alcance de la Auditoría: Análisis Inicial y Plan de Auditoría

2. Recopilación de información, identificación y realización de Pruebas de Auditoría, incluyendo, si se acuerda, acciones de Hacking Ético o análisis de vulnerabilidad de aplicaciones.

3. Análisis de las Evidencias, documentación de los resultados obtenidos y conclusiones.

4. Informe de Auditoría en el que se recogen las acciones realizadas a lo largo de la auditoría y las deficiencias detectadas. El informe contiene un resumen ejecutivo en el que se resaltan los apartados más importantes de la auditoría.

5. Plan de Mejora con el análisis y las recomendaciones propuestas para subsanar las incidencias de seguridad encontradas y mantener en el futuro una situación estable y segura de los Sistemas de Información.

Factores que debemos tomar en cuenta para auditar un sistema.

Según Sayvict (2006), para auditar un Sistema de Información se deben tomar en cuenta algunos aspectos relativos al control de la Seguridad de la Información, en 3 líneas básicas:

1) Aspectos generales relativos a la seguridad:

En este grupo de aspectos se consideran entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles sabotajes, seguridad física de las instalaciones, del personal informático, etc.

2) Aspectos relativos a la confidencialidad y seguridad de la información:

Estos aspectos se refieren no solo a la protección del material, los soportes de la información, sino también al control de acceso a la propia información (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma). A continuación se detallan algunos factores a considerar:

3) Adquisición de Certificados de Seguridad

El certificado de seguridad impide que terceros puedan ver, interceptar y/o alterar los datos, asegurando la transmisión de información en un servidor seguro. Generalmente los certificados se usan para generar confianza en la legitimidad de una clave pública. Esencialmente son documentos digitales que protegen a las claves públicas del fraude, de la falsa representación o de la alteración. Un uso seguro de la autenticación implica adjuntar uno o más certificados con cada mensaje firmado. El receptor del mismo verificará el certificado usando la clave pública de la Autoridad Certificante, y a continuación, asegurada su confianza en la clave pública del remitente, verificará la firma del mensaje.

La encriptación y cifrado de datos, mediante Certificados de Seguridad SSL, permite asegurar la veracidad de la información y la autenticidad de quienes intervienen en las transacciones electrónicas. SSL implementa un protocolo de negociación para establecer una comunicación segura a nivel de socked (nombre de máquina más puerto), de forma transparente al usuario y a las aplicaciones que lo usan.

Durante el proceso de comunicación segura SSL existen dos estados fundamentales, el estado de sesión y el estado de conexión. A cada sesión se le asigna un número identificador arbitrario, elegido por el servidor, un método de compresión de datos, una serie de algoritmos de encriptación y funciones hash, una clave secreta maestra de 48 bytes y un flag de nuevas conexiones, que indica si desde la sesión actual se pueden establecer nuevas conexiones. Cada conexión incluye un número secreto para el cliente y otro para el servidor, usados para calcular los MAC de sus mensajes, una clave secreta de encriptación particular para el cliente y otra para el servidor, unos vectores iniciales en el caso de cifrado de datos en bloque y unos números de secuencia asociados a cada mensaje.

SEGURIDAD Y TRANSACCIONES EN EFECTIVO EN LA WEB

Para muchas aplicaciones de negocios, como la publicidad y promociones simples, es probable que no se necesite tratar con precauciones de seguridad. Pero si se permite que los usuarios tengan acceso a datos delicados, se deberán tomar medidas para proteger a los datos. Debido a que cada vez son más las personas que desean transferir documentos e información de tarjetas de crédito o cualquier tipo de transmisión de datos en forma segura y sin el temor a los crackers y piratas.

Las medidas de seguridad básicas a tener en cuenta son:

LA ENCRIPTACIÓN DE DATOS

Es una técnica para ocultar datos de manera que sólo puedan ser vistos por aquellos que deben verlos. Consiste en reemplazar un mensaje enviado con un algoritmo difícil de adivinar.

Los servidores seguros tratan de encriptar los datos entre el navegador y el servidor.

En algún momento durante el ciclo de compras, después que los datos llegan al servidor seguro, el sistema debe desencriptar los datos. Aun si los datos son desencriptados sólo por un instante, la información podría ser interceptada por algún pirata. Crear un sistema en el que la información permanezca encriptada a lo largo del ciclo es prácticamente imposible.

La configuración más segura es una que transmita la información al propietario de la empresa en formato encriptado, pase la información a una computadora que no esté en Internet y luego desencripte la información.

Además si en una empresa se utiliza un mismo algoritmo para encriptar y desencriptar datos, se necesitará que alguna tercera pieza de datos desencripte el código, que seria una clave.

Esto sólo funcionará si tanto la persona transmisora como la parte receptora conocen la clave. Si la persona receptora no conoce la clave, tiene que enviar la clave a esa parte, y está puede ser interceptada.

FIRMA DIGITAL

Ofrece un método de encriptación de datos que evita tener que compartir claves para leer mensajes.

Es la técnica llamada encriptación de clave pública, donde cada usuario tiene dos claves: una clave pública y una clave privada.

Los algoritmos de encriptación y desencriptación son adaptados de manera que sólo la clave pública puede desencriptar los datos encriptados por la clave privada. Por consiguiente, puede transmitir con libertad la clave pública al mundo.

CREACIÓN DE UN SITIO SEGURO

Las ventajas de crear un sistema seguro antes de ser pirateado deben ser obvias. La prevención es la mejor medicina y esto se aplica también ala seguridad de las computadoras.

Se debe mantener la seguridad de los archivos de datos de tal forma que solo las personas correctas puedan verlos. Esto es crucial para los siguientes tipos de datos y archivos: contraseñas de usuarios, archivos de facturación, registros de sistema y de usuarios, información de tarjetas de créditos, información confinada de sistemas remotos, compiladores, herramientas de administración.

FIREWALLS, WRAPPERS Y PROXIES

Un firewall o cortafuegos se utiliza para proteger la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.

Los firewalls pueden disfrazar la identidad de su computadora para que los intentos de intrusión o rastreo de su computadora por parte de los allanadores no regresen el tipo de información que facilita la invasión. Los firewalls permiten que tengan acceso al sistema sólo ciertos nombres de dominio confiables.

Los firewalls, wrappers y proxies ofrecen una buena línea de defensa para los propietarios de servidores Web y administradores de sistemas.

Los wrappers se encuentran disponibles en CERT al igual que en otros archivos en Internet. Los wrappers se ejecutan como una capa de software alrededor de su otro software. Un usuario que se conecta a FTP primero entraría en contacto con el wrapper, el cual luego habilitaría al FTP. El usuario no sabe que existe el wrapper y no puede detectar ninguna diferencia en el sistema.

Los wrappers son interesantes porque son flexibles. Pueden actuar como firewalls y en realidad pueden rechazar usuarios con base en sus nombres de usuarios al igual que en sus nombres de dominios. Además permite crear callejones sin salida que permiten atrapar piratas.

El modo proxy es un método permite ocultar datos por medio de reenrutamiento de las solicitudes. Es útil para usuarios que están detrás de una firewall. Los usuarios establecen una dirección proxy de su navegador para que apunte hacia su servidor Web. El servidor Web maneja entonces la dirección real de los datos hacia el mundo exterior. Esto reduce la dirección que el usuario está tomando cuando deja su sistema, permitiéndole al usuario enrutar los datos los datos a través de los agujeros en sus propias firewalls. La otra ventaja es que las solicitudes pueden ser filtradas por el software del servidor. Al filtrar la información, puede restringir el contenido y rastrear el uso al igual que modificar la información en ese instante.

Los servidores proxy también pueden ser dirigidos a otros servidores proxy, lo cual les permite ocultar datos en forma efectiva.

Otra ventaja de los servidores proxy es que los servicios como FTP, Telnet, Gopher, NetnNews, etc., pueden ser erutados a servidores diferentes. Esto le permite distribuir diversas cargas de servidor Web a diferentes servidores físicos. Además de beneficiarse con el ocultamiento de los datos, ser reduce la carga del servidor.

Hay 3 tipos de firewalls:

Firewalls personales (o de software). Tiene un costo módico. Los más conocidos: Microsoft, Symantec, McAfee, Zone Labs, Sygate y Internet Security Systems.
Enrutadores de Hardware. Aunque no son verdaderas firewalls realizan ciertas funciones, como la de disfrazar la dirección y puertos de su computadora a los intrusos. Se puede conectar desde uno a cuatro accesorios de computación.
Firewalls de Hardware. Son más caros y complejos de manejar, los firewalls de Hardware son más apropiados para negocios que tienen múltiples computadoras conectadas.

CÓMO MANTENER SU FIREWALL EN ÓPTIMAS CONDICIONAS

Cuando no esté utilizando la conexión, apáguela.
Actualizaciones de software. Vaya al Sitio Web del vendedor de su firewall, y suscríbase para recibir avisos de actualizaciones.
Revise las bitácoras. Esté atento de la cantidad de tráfico que está rebotando su firewall.

CÓMO PROTEGER SU COMPUTADORA ADEMÁS DEL FIREWALL

Utilice un buen antivirus.
Mantenga su software actualizado.
Cheque su configuración de seguridad.
Cree contraseñas seguras. Actualícelas con frecuencia.
Controle el acceso de su computadora a ciertos sitios Web.

QUÉ BENEFICIOS NOS BRINDAN LOS FIREWALLS

Evitan los ataques de otros servidores a la red privada.
Permiten al administrador de la red definir un embudo, manteniendo al margen los usuarios no-autorizados.
Permiten monitorear la seguridad, cuando aparece alguna actividad sospechosa, éste generará una alarma.
Un hacker prefiere una computadora sin firewalls.
Concentran la seguridad, centralizan los accesos.
Generan alarmas de seguridad. Traducen direcciones (NAT).
Monitorean y registran el uso de servicios de WWW y FTP.
Controlan el uso de Internet. Permiten bloquear el material no-adecuado.

El Firewall le proporcionará la mayoría de las herramientas para complementar su seguridad en la red, mediante la imposición de políticas de seguridad, en el acceso a los recursos de la red y hacia la red externa, es importante monitorear frecuentemente para poder detectar un posible intruso y así proteger la información.

Certificados SSL

En un entorno virtual siempre existe un margen de duda cuando se envía o se recibe información sensible. Una amplia mayoría de los usuarios de internet abandonan los sitios web cuando se les pide que proporcionen información personal, simplemente porque el sitio web que se lo solicita no es un sitio seguro. No hay mejor forma de brindarle confianza a sus visitantes que habiltar SSL en su sitio web y obtener un Certificado SSL que acredite su nivel de seguridad.

Para que pueda convertir a su sitio web en un sitio seguro, le ofrecemos los Certificados SSL de Thawte -

· Thawte es una compañía de Verisign, que fue la primer empresa a nivel mundial en ofrecer certificados digitales.

· Se trata de la más antigua y la más confiable marca de Certificados Digitales que operan en el mercado.

· Thawte es una marca reconocida por los usuarios de todo el mundo. Obteniendo un certificado digital Thawte para su sitio web incrementará notablemente la sensación de seguridad y de comodidad que experimentarán sus Clientes al realizar transacciones a través de su sitio web.

El sistema SSL es el mas utilizado en las tiendas virtuales. Funciona encriptando los datos que el comprador envía (datos del pedido, número de tarjeta de crédito, etc.) mediante el sistema de cifrado RSA cuando está ubicado en una zona segura de un navegador. El programa navegador -Netscape o Explorer-, encripta los datos de forma que aunque alguien consiga apropiarse de ella, no podrá leerlos ya que no dispone de la clave necesaria.

Cada vez que un usuario se conecta a un servidor seguro, éste se encarga de generar una clave para la sesión que está estableciendo con el usuario, mientras que el navegador del cliente genera otra clave, igualmente aleatoria, que le sirve para identificarse ante el servidor.

¿Cómo saber si un servidor incorpora SSL?

Para saber si estamos usando un servidor seguro SSL, podemos fijarnos en un candado o llave que aparece en la esquina inferior del programa navegador. Además el URL cambia de http a https. Por ejemplo en cualquier banco al que accedamos, al entrar a la banca electrónica cambia el servidor a SSL.

Si navega en esta misma página de ciberconta, y hace doble click en su navegador al lado de la bola del mundo donde pone Internet comprobará que no incorpora SSL.

Servicios de certificación

¿Quien nos garantiza que la empresa es realmente quien dice ser?

Cuando accedemos a un servidor de una empresa en busca de un producto, además de asegurarnos que los medios de pago propuestos son adecuados ¿quien nos garantiza que la empresa es realmente quien dice ser?. Ahí intervienen las autoridades de certificación de las que hemos hablado anteriormente.

¿Cómo saber quien emite el certificado de seguridad?

En cualquier tienda virtual o banco podemos consultar en el navegador la opción "obtener información". (Pinchando en el candadito que aparece en la parte de abajo) Y nos dirá algo así como o "This is a secure document that uses a medium-grade encryption key suited for U.S. export (RC4-40, 128 bit with 40 secret)", en este ultimo caso tendremos información sobre a quien pertenece el certificado (la tienda) y quien lo emite, por ejemplo: "This Certificate was issued by: FESTE".

Ejercicio: Compruebe la banca electrónica de Ibercaja (http://edi.ibercaja.es) quien es el emisor del certificado.

Transport Layer Security

Saltar a navegación, búsqueda

Secure Sockets Layer (SSL) y Transport Layer Security (TLS) -Seguridad de la Capa de Transporte-, su ssucesor, son protocolos criptográficos que proporcionan comunicaciones seguras en Internet. Existen pequeñas diferencias entre SSL 3.0 y TLS 1.0, pero el protocolo permanece sustancialmente igual. El término "SSL" según se usa aquí, se aplica a ambos protocolos a menos que el contexto indique lo contrario.

SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de infraestructura de claves públicas (o PKI) para los clientes. Los protocolos permiten a las aplicaciones cliente-servidor comunicarse de una forma diseñada para prevenir escuchas (eavesdropping), la falsificación de la identidad del remitente (phishing) y mantener la integridad del mensaje.

Ejemplo de Seguridad de hacer pagos con tarjetas de crédito en la tienda oficial de cada artista

El sitio muestra un link de Seguridad en donde nos informa: Para La Tienda Oficial del Medio artístico S.A. de C.V. tu tranquilidad y seguridad es muy importante, por eso la seguridad de tu compra se multiplica con varios dispositivos desde que introduces tus datos de registro hasta concretar tu pedido, para las operaciones de compra con tarjetas de crédito contamos con enlaces directos a los bancos vía encriptación de datos para evitar la fuga o intrusión de la información, actualmente los sistemas que se utilizan para este tipo de operaciones por internet son lo mas seguras.

Dada la tecnología actual y los avances en comercio electrónico en México ya es muy seguro hacer este tipo de operaciones con tarjetas de crédito.

La seguridad del sitio se multiplica con varios dispositivos empezando con nuestro servidor y concretando su operación con los servidores bancarios que son los que autorizan finalmente sus tarjetas de crédito.

Al momento de meter los datos de la tarjeta de crédito se deben de asegurar que en la dirección de internet en tu navegador empiece con https:// la letra 's' es muy importante porque solo los servidores seguros la utilizan, esto quiere decir que desde ese momento la información que introduzca en el sitio está codificada utilizando SSL antes de la transmisión al banco, (esto solo debe aparecer cuando se agregan los datos de la tarjeta de crédito), antes o después de los datos de la tarjeta de crédito la dirección normal de internet deberá ser sin la letra 's' así http://.

De clic aquí para ver un ejemplo de la dirección segura de la Tienda Oficial, la cual solo se activara cuando se agreguen sus datos personales y los de la tarjeta de crédito.

El servidor seguro encripta los datos mediante el protocolo SSL (Secure Socket Layer) a 256 bit, asegurando que las transacciones vía Internet sean privadas y protegidas, una vez que los recibimos, éstos se envían al banco emisor para su autorización, El protocolo SSL funciona de la siguiente manera:

Se basa en dos llaves de encriptación de datos, una pública que se brinda a todos los clientes y que es con la que serán encriptados los datos, y una privada que sólo la posee el servidor y con ella se desencriptan los datos.

1. El cliente envía una petición de acceso al servidor. Esto se hace antes de mandar la información sensible hacia el servidor (por ejemplo antes de oprimir "ingresar" o "guardar").

2. El servidor responde con una llave de encriptación pública al cliente.

3. Con esta llave se encriptan los datos; así, lo que mande el cliente al servidor será visto por todos, pero encriptado, y sólo podrá saber su significado el que posea la llave privada.

Los datos llegan al servidor, que es el único que posee la llave privada, y con ella los datos son desencriptados e interpretados.

Algunos ataques que pueden ocurrir en un sistema Web:

1. Ejecución de código remotamente

2. Inyección de código SQL (SQL inyection)

3. Cross Site Scripting (XSS)

1.- Ejecución de código remotamente

Como su nombre lo indica, esta vulnerabilidad permite al atacante ejecutar código en el servidor vulnerable y obtener información almacenada en él. Los errores de codificación impropios resultan de esta vulnerabilidad.

a.- Dos tipos de estas desesperantes vulnerabilidades son:

1. Obteniendo ventaja de la configuración register- global: register_globals es una configuración de PHP que controla la disponibilidad de las variables superglobales en un script php (Tales como información posteada de formularios (post), datos desde la url (get), o información traida de las cookies).

b.- Vulnerabilidades XMLRPC en PHP

1. Un común desperfecto está en los distintas implementaciones de XML-RPC en PHP pasando entradas de datos del usuario sin filtrar por la función eval() en el servidor XML-RPC. Esto permite al atacante ejecutar código, en el sistema vulnerable. Cualquier usuario con habilidad de subir XML manualmente al servidor puede insertar código PHP que puede ser ejecutado por la aplicación Web vulnerable.

Medidas para solucionar el problema

Las versiones recientes de PHP, por default traen register_globals en Off, sin embargo algunos usuarios cambian esta configuración para aplicaciones que lo requieren. Esta configuración puede ser definida en “On” o en “Off” en el archivo php.ini o un .htaccess. La variable deberá ser propiamente inicializada si el registro está definido en “On”.
Se debe filtrar todas las entradas de datos del usuario antes de procesarlas. Hasta donde sea posible, tratar de no utilizar comandos de la shell. Sin embargo, si son requeridos, asegurarse que solo datos filtrados sean usados para construir la cadena a ser ejecutada.

1. Inyección de código SQL (SQL inyection)

Es una vulnerabilidad de las Web, que afectan directamente a las bases de datos de una aplicación, El problema radica al filtrar erróneamente las variables utilizadas en parte de la página con código SQL.

Medidas para solucionar el problema

Escapara todos los datos externos que serán introducidos en la consulta. PHP tiene funciones especiales: addslashes y mysql_real_escape_string.

3.- Cross Site Scripting (XSS)

Es el ataque basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. El problema es que normalmente no se valida correctamente. Esta vulnerabilidad puede estar presente de forma directa (foros, mensajes de error) o indirecta (redirecciones, framesets). Cada una se trata de forma diferente

1. Esto se debe a que no filtramos los datos introducidos por el usuario.

Para solucionar este problema utilizaremos la función htmlentities(), quien convierte los caracteres especiales en su entidad html por ejemplo el carácter < en <, > en >, etc.

Procesamiento de los datos de las tarjetas de crédito después que llegan al servidor.

Con la puesta en marcha de diversos medios de pago digitales, se está incrementando la existencia de transacciones comerciales llevadas a cabo en su totalidad a través de la red (desde el lanzamiento de la oferta hasta el pago por el consumidor o usuarios del producto o los servicios ofertados).

Un servidor seguro es un procesador que permite que la información que viaja entre el Servidor y el PC del usuario vaya "encriptada" y "controlada" de forma que no pueda ser leída ni manipulada por terceras personas.

El funcionamiento al conectarse a un servidor seguro, éste le obliga a que se autentifique. La seguridad de estar en un servidor seguro se obtiene mediante un certificado digital, el cual es expedido por una compañía independiente, la cual está autorizada legalmente para garantizar que un determinado servidor pertenece a una compañía determinada. A través del certificado de seguridad el usuario obtiene la confirmación de que está enviando la información al lugar correcto. Finalidad Incrementar la confidencialidad y la fiabilidad de las transacciones on-line y mantener en todo momento la privacidad de los datos emitidos. Este sistema de protección criptográfica impide que los datos transmitidos puedan ser reconocidos por un tercero ajeno a la transacción que logre infiltrarse ilegalmente en la comunicación (como puede ser el caso de un hacker).

El protocolo SSL proporciona los servicios de cifrado de datos, autenticación de servidores, integridad de mensajes y, en menor grado, la identificación del cliente para conexiones TCP/IP (Transmission Control Protocol/ Internet Protocol). El protocolo SSL proporciona un canal de comunicaciones entre los servidores y los navegadores a través del cual, cifrando los datos intercambiados, las partes pueden celebrar transacciones electrónicas con seguridad.

El SSL funciona de forma sencilla, se basa en la encriptación de los datos mediante la utilización de una clave de sesión y la aplicación de una clave pública (normalmente la RSA). El funcionamiento del protocolo SSL puede resumirse en 4 fases:

1. La denominada "Fase Hola", momento en el cual el navegador y el servidor se deben poner de acuerdo respecto a los algoritmos necesarios para mantener la confidencialidad y la autenticación.

2. Una vez alcanzado el acuerdo se inicia la "Fase de Autentificación", etapa en la cual el servidor envía al navegador el certificado que contiene su clave pública, solicitando al mismo tiempo el certificado del cliente.

3. Después, el cliente envía al servidor una clave maestra, con la cual se genera la clave de sesión que cifrará los datos que las partes intercambien a través del algoritmo de cifrado acordado. La clave de sesión es remitida por el usuario debidamente cifrada gracias a la utilización de la clave pública del servidor. Esta parte del proceso se conoce como "Fase de Creación de Clave de Sesión".

4. Por último, en la "Fase de Verificación" se comprueba tanto la autenticidad del servidor y del usuario, como la seguridad del canal establecido. Concluida esta ultima fase, se da inicio a una sesión segura entre las partes.

Estrategia para crear confianza a sus clientes que van introducir sus tarjetas de crédito y no van ser estafados.

Las principales empresas de tarjetas de crédito están luchando por detener los incidentes de fraude financiero que han afectado a varias organizaciones y a sus consumidores. Consecuentemente, las organizaciones que aceptan transacciones de pagos con tarjeta tienen que comprometerse a cumplir PCI DSS para finales de 2007. Las organizaciones que no puedan cumplir, se arriesgan a no tener permitido el tratamiento de información de titulares de tarjeta y a sanciones de hasta 500.000$ si los datos son perdidos o robados.

El marco de seguridad de datos de la Industria de Pagos con Tarjeta (PCI) fue creado por American Express, Discover Financial Services, JCB, MasterCard Worldwide, y Visa Internacional. Antes de 2004, cada una de las asociaciones tenía un conjunto propietario de requerimientos de seguridad de la información que a menudo eran agobiantes y repetitivas para los participantes en redes de varias marcas. Posteriormente las asociaciones crearon un conjunto uniforme de requerimientos de seguridad de la información para todas las marcas nacionales de tarjetas (exclusiva de boutiques y etiquetas privadas). Estos requerimientos han pasado a ser conocidos como el Estándar de Seguridad de Datos PCI (PCI DSS), que rige en todos los canales de pago: Venta al detalle, por correo, por teléfono y comercio electrónico.

¿Qué es el consejo de estándares PCI? El Consejo de Estándares de la Industria de Pagos con Tarjeta es una institución puesta en marcha por American Express, Discover Financial Services, JCB, MasterCard Worldwide y Visa International con el objetivo de mejorar la seguridad de las cuentas de pago. Aspira a conseguir este objetivo mediante la adopción obligatoria del Estándar de Seguridad de Datos PCI (PCI DSS) - por todos los negocios que almacenan, procesan y/o transmiten información de tarjetas de crédito/débito.

¿Qué es PCI DSS? PCI DSS significa Estándar de Seguridad de Datos de la Industria de Pagos con Tarjeta. Este estándar (conocido comúnmente como ‘PCI’) representa un conjunto común de prácticas convenientes de seguridad que ayudan a garantizar la seguridad en el manejo de información de pagos con tarjeta. Creada por las 5 principales empresas de tarjetas (American Express, JCB, MasterCard y Visa) este estándar comprende 12 diferentes requerimientos que están diseñados para:

1. Construir y mantener una red segura

2. Proteger la información (de titulares de tarjeta) en tránsito o inactiva

3. Mantener un programa de gestión de vulnerabilidad

4. Implementar fuertes medidas de control de acceso

5. Monitorear y probar regularmente su infraestructura de TI Mantener una directiva de seguridad de la información.

Para crear confianza a los clientes que van introducir sus tarjetas de crédito y no van a ser estafados, es necesario cumplir con los doce requerimientos del PCI DSS, que definen la necesidad de:

1. Instalar y mantener una configuración de cortafuegos para proteger la información de titulares de tarjeta.

2. No utilizar las contraseñas y otros parámetros de seguridad del sistema predefinidos por el fabricante.

3. Proteger la información almacenada de titulares de tarjeta.

4. Encriptar la transmisión de información de titulares de tarjeta a través de redes públicas, abiertas.

5. Utilizar software o programas anti-virus actualizados regularmente.

6. Desarrollar y mantener sistemas y aplicaciones seguros.

7. Restringir el acceso a información de titulares de tarjeta según la necesidad del negocio.

8. Asignar un Identificador único a cada persona con acceso a un ordenador.

9. Restringir el acceso físico a la información de titulares de tarjeta.

10. Seguir y monitorear todos los accesos a los recursos de red y a la información de titulares de tarjeta.

11. Probar regularmente los sistemas y procesos de seguridad.

12. Mantener una directiva que dirija la seguridad de información de empleados y contratistas.

Aspectos jurídicos y económicos relativos a la seguridad de la información

En este grupo de aspectos se trata de analizar la adecuada aplicación del sistema de información en la empresa en cuanto al derecho a la intimidad y el derecho a la información, y controlar los delitos informáticos que se cometen en la empresa.

Normas

1) ISO 20000:

La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software. La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC).

La certificación ISO 20000 proporciona a las organizaciones un planteamiento estructurado para desarrollar servicios de tecnología de la información fiables, es un reto, pero también es una oportunidad que tienen las empresas para salvaguardar sus sistemas de gestión de tecnología de la información, mejorar la satisfacción global de sus clientes/empleados, así como mejorar continuamente su imagen como empresa.

2) La serie ISO/IEC 27000:

Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. En esta serie de estándares se encuentran:

• ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita.

• ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI (Sistema de Gestión de la Seguridad de la Información) de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

• ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable.

• ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

• ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

• ISO 27005: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2008. Consistirá en una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI.

• ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

• ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.

• ISO 27011: En fase de desarrollo; su fecha prevista de publicación es Enero de 2008. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

• ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

• ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad.

• ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028.

• ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones.

• ISO 27799: En fase de desarrollo; su fecha prevista de publicación es 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002).

CONCLUSIONES

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización, y el aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

En la tradicional auditoría de sistemas, el auditor aplica directamente a los mismos sus herramientas de auditoría o sus ‘prácticas cerebrales’ para comprobar la solidez de dicho sistema. Incide de forma clara sobre el mismo en la búsqueda de agujeros de seguridad que explotar de cara a incluirlos en su informe final. Se utilizan técnicas de hacking ético u otras de ingeniería social en muchos de los casos.

En un instante dado, la Auditoría de Sistemas puede aportar hallazgos para la mejora del SGSI, requiere de personal altamente cualificado en sistemas informáticos y en el análisis de vulnerabilidades y amenazas a los que se ven sometidos los sistemas. La especialización aplica también, incluso, a la tipología de máquinas a auditar.

En resumen, la Auditoría de Sistemas Informáticos tiene una vertiente más técnica y se centra en la verificación de controles en el procesado de información en sistemas informáticos, incidiendo sobre los mismos para poder evaluar su eficacia y poder presentar el correspondiente informe a la alta dirección. Se verifica la información en términos de confidencialidad, integridad, disponibilidad, entre otros.

Durante las actuaciones de auditoría se examinan y evalúan los procesos dentro del Área de Procesado de Datos, analizando los recursos aplicados al procesado y así poder tomar conclusiones sobre los sistemas computarizados, con la consecuente toma de evidencias que respalden sus juicios sobre los sistemas.

INFOGRAFÍA

Documento en línea. Disponible: http://europa.eu/scadplus/leg/es/lvb/l24121.htm [Consulta: 03 de marzo de 2008].

Documento en línea. Disponible: http://www.ciberconta.unizar.es/leccion/seguro/INICIO.HTML [Consulta: 03 de marzo de 2008].

Documento en línea. Disponible: http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml [Consulta: 03 de marzo de 2008].

Documento en línea. Disponible: http://www.monografias.com/trabajos12/fichagr/fichagr.shtml [Consulta: 03 de marzo de 2008].

Documento en línea. Disponible: http://www.monografias.com/trabajos32/auditoria-seguridad-informatica/auditoria-seguridad-informatica.shtml [Consulta: 03 de marzo de 2008].

Documento en línea. Disponible: http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html [Consulta: 03 de marzo de 2008].

Documento en línea. Disponible: http://www.definicion.org/auditoria-de-sistemas [Consulta: 03 de marzo de 2008].

Documento en línea. Disponible: http://auditoriasistemas.com/auditoria-de-seguridad/ [Consulta: 03 de marzo de 2008].

Padlocks (s/f). Auditoria de Sistemas. Documento en línea. Disponible:

http://vbarreto.ve.tripod.com/keys/audi/audi01.html [Consulta: 03 de marzo de 2008].

Sayvict, D. (2006). Monografias.com - Auditoría de Sistemas. Disponible:

http://www.monografias.com/trabajos40/auditoria-de-sistemas/auditoria-de-sistemas.shtml [Consulta: 03 de marzo de 2008].

Documento en línea. Disponible: http://www.desarrolloweb.com/articulos/seguridad-en-la-red-firewall.html [Consulta: 03 de marzo de 2008].

Documento en línea. Disponible: Página de la Tienda oficial del artista

https://secure.netsolhost.com/tiendaoficial.com/ [Consulta: 03 de marzo de 2008].

Historia y funcionamiento de Internet. Seguridad en la Red. Documento en línea. Disponible: http://www.wikilearning.com/ [Consulta: 03 de marzo de 2008].

Documento en línea. Disponible: www.wikilearning.com/monografia/historia_y_funcionamiento_de_internet-seguridad_en_paginas_web [Consulta: 03 de marzo de 2008].

Segu-info(2006). Seguridad de la información. Documento en línea. Disponible: http://www.segu-info.com.ar/terceros/jpecantet_auditoria-seguridad.htm [Consulta: 03 de marzo de 2008].

SGS (2007). ISO 20000. Disponible: http://www.es.sgs.com/es/iso_20000?serviceId=10009985&lobId=19982. [Consulta: 03 de marzo de 2008].

Sayvict, D. (2006). Monografias.com - Auditoría de Sistemas. Disponible: http://www.monografias.com/trabajos40/auditoria-de-sistemas/auditoria-de-sistemas.shtml. [Consulta: 03 de marzo de 2008].

Webtaller (2007). ¿Que es un certificado de seguridad SSL?. Disponible: http://www.webtaller.com/maletin/articulos/que-es-certificado-seguridad-ssl.php. [Consulta: 03 de marzo de 2008].

WWW.ISO27000.ES (s/f). ISO 27000. Disponible: http://www.iso27000.es/download/doc_iso27000_all.pdf. [Consulta: 03 de marzo de 2008].

http://eadmin.nireblog.com/blogs/eadmin/files/auditoria.jpg

www.assess.com.mx/auditoria.jpg

http://www.eurogaran.com/es/files/imagemanagermodule/@random42d259f70c413/chain_computer3final.png

http://www.internetworks.com.mx/images/noticias/cobro.con.tarjeta.de.credito.gif

http://vafag.com/images/ssl-es.jpg

http://www.drsubasta.com/drs/Blog/uploaded_images/comercio_electronico-730765.jpg

http://bp0.blogger.com/_XNk9RdaWBng/RxyXlbM9atI/AAAAAAAAACQ/x7sOVkIvGpY/s1600-h/seguridad.gif