2. La seguridad informática conocida como PKIx, se
ha convertido en el candado que nos permite
manejarnos dentro del comercio electrónico de
una manera segura, esta se basa en la utilización
de protocolos de información seguros como: SSL,
PGP, SET, IPSEC, etc.
También utiliza criptografía, métodos de
encriptación, firmas digitales y certificados
digitales, los cuales son aplicables a e-commerce.
3. Desde el punto de vista de los servidores:
Vulnerabilidad de los servidores que darán el servicio
Antivirus instalado y actualizado en los servidores
Parches de seguridad evaluados e instalados según corresponda en
los servidores
Desde el punto de vista de la transferencia de información:
Encriptación de la comunicación entre la organización y la empresa
prestadora de servicios
Desde el punto de la continuidad operacional:
Servidores de respaldo
Máquina especializadas de respaldo
Sitio de respaldo
Pruebas de contingencia.
4. PARA EL CUMPLIMIENTO DE LOS USUARIOS DE COMPUTADORAS
a) El usuario es el único responsable de la información almacenada y del uso
que se esta en la computadora.
b) La clave de acceso al computador o a las aplicaciones informáticas, son de
uso exclusivo del usuario que tiene a cargo de la computadora y el uso
inadecuado será de su exclusiva responsabilidad.
c) La información o documentos calificados serán elaborados y almacenados
en medios magnéticos u ópticos (cintas, diskettes, CD’s, Memoria Flash),
correctamente identificados, etiquetados y marcados los medios tal como
se realiza con los documentos de este tipo y custodiado con las debidas
seguridades físicas (Cajas fuertes, chapas, candados, etc.).
d) Por lo especificado en el literal anterior, se prohíbe guardar en el disco duro
del computador información o documentos que tengan la calificación de
secretísimo, secreto y reservado.
5. PARA EL CUMPLIMIENTO DE LOS ORGANISMOS DE INFORMATICA
Políticas de seguridad administrativa.
La información generada a través de computadoras deberá someterse a las normas y disposiciones legales
(reglamentación institucional).
En su nivel son responsables de investigar, desarrollar y difundir las medidas de seguridad informática.
En su nivel son responsables de supervisar y controlar el cumplimiento de las políticas de seguridad.
En la red Intranet e Internet, se adoptarán las acciones y medidas necesarias para contrarrestar el espionaje
cibernético (hackers - crackers).
Políticas de seguridad lógica.
Todos las Entidades utilizarán el sistema de detección de virus informáticos corporativo definidos.
Proteger la información de los sistemas informáticos mediante el uso de claves compuestas de letras y
números de mínimo 8 caracteres.
Disponer de un registro de control de accesos a los computadores y sistemas informáticos.
Utilizar la información mediante niveles de acceso: administradores, directivos, usuarios, desarrolladores.
6. PARA EL CUMPLIMIENTO DE LOS ORGANISMOS DE INFORMATICA
Políticas de seguridad para el personal
Realizar charlas y seminarios de conocimiento sobre seguridad informática
Instruir, entrenar y especializar al personal en seguridad, a fin de concienciar y exigir una adecuada disciplina de
seguridad.
Disgregar funciones y responsabilidades mediante la transferencia del conocimiento y asignar tareas de acuerdo al
grado de responsabilidad de la seguridad informática.
Políticas de seguridad física.
Contar con un sistema de control físico para el acceso a las instalaciones informáticas.
Disponer de lugares seguros para archivos de documentos y respaldos de información.
Mantener actualizado el Plan de Contingencia.
Revisión periódica de equipos de protección.
Políticas de seguridad en la comunicación de datos.
La administración de la Seguridad de la Red Intranet e Internet estará a cargo de la Unidad Informática.
Proteger la red de datos de accesos no autorizados.
Las comunicaciones y sistemas operativos de red deben ser seguros de acuerdo a estándares internacionales.
El acceso de usuarios locales y externos estarán protegidos por un firewall -VPN, IDS.
7. PARA PALIAR LOS ATAQUES INTERNOS
1. Emplear estrategias completas e integrales (Sistemas Protección) , como antivirus, firewalls, sistemas de protección y
detección de intrusos.
2. Si los códigos maliciosos u otras amenazas atacan a uno o más servicios de redes, deshabilite o bloquee el acceso a estos
servicios hasta que se aplique un parche.
3. Actualizar especialmente en los computadores que albergan servicios públicos y a los que se tiene acceso a través del firewall,
como los servicios http, FTP, email y DNS.
4. Considerar las implementaciones de soluciones de cumplimiento en la red que ayuden a mantener a los usuarios móviles
infectados fuera de la red
5. Implementar una política de contraseña eficaz.
6. Configurar los servidores de correo para bloquear o eliminar el correo electrónico que contiene los archivos adjuntos
(extensión *.VBS, *.BAT, *.EXE, *.PIF, *.SCR).
7. Aislar los computadores infectados para impedir riesgos de mayor infección en la organización. Realizar un análisis forense y
recuperar los computadores con medios magnéticos confiables.
8. Dar a conocer como reconocer los adjuntos de fuente confiable, y como validar con el antivirus.
9. Implantar procedimientos de respuesta a emergencias, que incluyan una solución de copias de respaldo y recuperación en
caso de un ataque y daño de la información.
10. Educar a la alta dirección sobre las necesidades presupuestarias para la seguridad.
11. Probar la seguridad para garantizar que se tiene controles adecuados.
12. Estar alerta de que los riesgos de seguridad pueden instalarse de forma automática en las computadoras con la utilización de
programas para compartir archivos, descargas gratuitas, software gratuito y versiones de software compartido.
8.
9. SSL
Es un protocolo que corre sobre
TCP (protocolo de transporte
punto a punto de Internet 2 OSI).
Este se compone de dos capas y
funciona de la siguiente manera:
La primera capa se encarga
de encapsular los protocolos
de nivel más alto
La segunda capa que se
llama SSL Handshake
Protocol se encarga de la
negociación de los
algoritmos que van a
encriptar y también la
autenticación entre el cliente
y el servidor.
10. PGP
Es un criptosistema híbrido que
combina técnicas de criptografía
simétrica y criptografía asimétrica.
Esta combinación permite
aprovechar lo mejor de cada uno:
• El cifrado simétrico es más
rápido que el asimétrico o de
clave pública,
• Proporciona una solución al
problema de la distribución de
claves en forma segura
• Garantiza el no repudio de los
datos y la no suplantación
11. IPSec
Actúan en la capa de red, la capa 3 del modelo OSI.
IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP,
Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que
una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de
niveles superiores, las aplicaciones tienen que modificar su código
12. SET (Transacción Electrónica
Segura)
Es un protocolo desarrollado
por Visa y Mastercard y que
utiliza el estándar SSL (Secure
Socket Layer).
SET se basa en el uso de una
firma electrónica del
comprador y una transacción
que involucra, no sólo al
comprador y al vendedor, sino
también a sus respectivos
bancos.
13. Es la codificación de
información que se
trasmite a una red de
cómputo para que
solo el emisor y el
receptor la puedan
leer, para hacerlo
incomprensible a los
intrusos que
intercepten esos
mensajes.
Se tiene los cifrados:
Simetrico
Asimetrico
Hashing
14. Encriptación Clave Simétrica. Cada
computadora tiene una clave secreta para
proteger un paquete de información antes
de ser enviada a otra computadora.
Encriptación de Clave Pública. Es una clave
proporcionada por tu computadora a otra
que quiera realizar una comunicación con
él.
Clave Pública SSL. Utiliza certificados
digitales, es una tarjeta de identificación
electrónica emitida por una entidad fiable,
que permite que un usuario verifique al
emisor y al receptor del certificado
mediante el uso del cifrado por clave
pública.
Algoritmo de Encriptación. Función
mediante un algoritmo, tiene un conjunto
de elementos y se convierten en salida
finitos.
15.
16.
17.
18.
19. Existen muchos vacíos legislativos en el ámbito de Internet, especialmente en lo que al contenido generado por usuarios se
refiere.
El acceso a la información no está regulado.
La propiedad intelectual y los derechos de copyright se han visto muy afectados.
Las prácticas y procesos de las empresas no son regulados ni monitoreados.
El control hasta ahora ha estado en manos de los usuarios, y es difícil que lo quieran ceder.
Costumbres del comercio tradicional y del e-commerce son ddiferentes.
DELIMITACIONES
Redes sociales y sus implicaciones jurídicas
La protección de datos personales
El uso inadecuado de las redes sociales
El uso de las relaciones interpersonales para la comercialización (marketing viral)
Insufiente seguridad.
Cultura Informática de los internautas
¿Cómo lesgislar el comercio electrónico?
20. Principios Generales del Comercio Electronico
Reconocimiento jurídico: Se reconoce validez jurídica a los
MENSAJES DE DATOS y se los equipara a los documentos
en soporte material.
EQUIVALENCIA FUNCIONAL
Confidencialidad y reserva: Se sanciona su violación. Art. 5
Información escrita.- Art. 6 de la Ley 67
Información original: Art. 7 íbidem.
20
21. Banca Ecuatoriana
Implementacion de
Certificados Digitales y
Firma Digital
Controles Biometricos
ingreso por usuario y
contrasenia, codigo de
seguridad.
Manejo de los
diferentes protocolos
SSL, IPSec, PGP,
HTTPS, etc
22. La seguridad es un aspecto fundamental en el comercio electrónico, ya que, se depende mucho de la confianza
entre las partes dado que por lo general no existe una interacción física entre las mismas.
El uso y cumplimiento de estándares de seguridad pueden ayudar a garantizar el buen cumplimiento de un
sistema de comercio electrónico.
Se debe verificar, comprobar, ejecutar y validar los requerimientos tanto de sistemas como jurídicos para poder
llevar a buen término un sistema de comercio electrónico seguro.
Se pudo observar de que en los sitos seguros como la banca, de comercio electrónico manejan los diferentes
niveles de seguridad, dando confianza en los clientes y consumidores para realizar las transacciones en linea.
Tambien se pudo comprender de la importancia de saber reconocer los sitios seguros. Revisando si los sitios son
HTTPS, si tiene un certificado valido, como es en el caso de la banca.
La importancia de conocer las politicas de seguridad de la informacion en el comercio electronico y de lasTic’s
en la aplicacion en el e-commers.
La importancia de saber si es un sitio seguro, ya que en anios anteriores se escucho mucho el tema de atracos a
clientes bancarios , y esto era debido a que la gente no tiene conocimiento de como reconocer un sitio seguro y
ingresaban la informacion secreta.
En el ecuador se necesita trabajar mas en el ambito jurico ya que no esta totalmente regulado, en el 2002 se
hizo ulna reforma para la sancion de la suplantacion de identidad y de los diversos temas de extorcion en la
Web.