Información

Seguridad de comercio electrónico

Seguridad de comercio electrónico



We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Seguridad: el estado de protección contra posibles daños, la capacidad de contener o detener influencias peligrosas, así como de compensar rápidamente el daño causado. La seguridad significa que el sistema mantiene la estabilidad, la estabilidad y la posibilidad de autodesarrollo. Uno de los temas de discusión más populares es la seguridad del comercio electrónico.

Pero hasta ahora, a pesar de todas las valiosas opiniones y declaraciones, no existe una guía práctica "terrenal" sobre lo que sigue siendo el tema de la seguridad del comercio electrónico. Este artículo proporciona algunos puntos de vista sobre este tema e intenta separar los mitos de la realidad. Intentemos responder algunas preguntas básicas que son obvias para los expertos.

Los sistemas pueden hacerse seguros. Los sistemas solo pueden protegerse de las amenazas conocidas, y la cantidad de riesgos asociados se reduce a un nivel aceptable. Solo usted puede determinar el equilibrio correcto entre el nivel deseado de reducción de riesgos y el costo de la solución. La seguridad en general es uno de los aspectos de la gestión de riesgos. Y la seguridad de la información es una combinación de sentido común, gestión de riesgos empresariales y habilidades técnicas básicas bajo el control de una gestión decente, el uso racional de productos especializados, capacidades y experiencia, y las tecnologías de desarrollo adecuadas. Al mismo tiempo, un sitio web es solo un medio de entregar información a un consumidor.

La seguridad del sitio web es un problema puramente técnico. Con demasiada frecuencia, la seguridad es más un control sobre el proceso de desarrollo, la gestión adecuada de la configuración del sistema operativo y, en general, una gestión del sitio coherente. La seguridad real está bajo su control directo: lo que es aceptable en el desarrollo de sistemas internos puede no ser adecuado para servicios que se comparten por completo. Los problemas del sistema que afectan solo a unos pocos empleados de confianza dentro de una empresa se vuelven aparentes al pasar a entornos compartidos.

Los medios informan regularmente sobre todas las debilidades y riesgos de seguridad. A menudo, los medios solo informan sobre aquellos problemas que pueden atraer la atención de todos y no requieren habilidades especiales para comprender el problema subyacente. Tales mensajes rara vez reflejan amenazas reales para el negocio desde una perspectiva de seguridad, y a menudo no tienen nada que ver con la seguridad.

La información de la tarjeta de crédito en Internet no es segura. De hecho, la información de la tarjeta de crédito es mucho menos susceptible al robo cuando se transmite por Internet que desde una tienda o restaurante cercano. Una empresa sin escrúpulos puede estar interesada en el uso no autorizado de dicha información, y la forma en que trabaja con ella, a través de Internet o no, ya no es tan importante. Es posible aumentar la seguridad de la información transmitida real mediante el uso de canales de transmisión seguros y sitios confiables. Un componente esencial de muchos sistemas de comercio electrónico es la necesidad de una identificación confiable del consumidor. El método de identificación afecta directamente no solo el grado de riesgo, sino incluso el tipo de enjuiciamiento penal.

Las contraseñas identifican a las personas. Las contraseñas solo proporcionan una verificación básica: que alguien que está autorizado a usar un sistema en particular se está conectando. Las personas tienden a no ocultar demasiado sus contraseñas a los demás, especialmente a familiares y colegas cercanos. Una tecnología de autenticación más sofisticada puede ser mucho más rentable. El nivel de autenticación utilizado debe reflejar el riesgo de acceso a la información por parte de personas aleatorias, independientemente del consentimiento de su propietario real.

Una vez configurado e instalado, una solución de seguridad sigue siendo confiable con el tiempo. Las empresas no siempre instalan sistemas como se espera, los cambios comerciales, y también lo hacen las amenazas. Debe asegurarse de que los sistemas mantengan perfiles de seguridad y de que su perfil se reevalúe continuamente en términos de desarrollo empresarial y medio ambiente. La tecnología es igualmente importante, pero debería verse como parte de un espectro más amplio de controles de seguridad. Los firewalls se conocen comúnmente como la solución para proteger el contenido de los sitios de comercio electrónico, pero incluso estos tienen sus puntos débiles.

Los cortafuegos son impenetrables. Al implementar un firewall, puede descansar en sus laureles con la seguridad de que los atacantes nunca lo penetrarán. El problema es que deben configurarse para que parte del tráfico fluya a través de ellos y en ambas direcciones. Debe considerar cuidadosamente lo que está tratando de proteger. Prevenir un ataque a la página de inicio de su sitio es significativamente diferente de evitar que su servidor web se use como una ruta a los sistemas de su servidor, y los requisitos de firewall son muy diferentes en ambos casos. Muchos sistemas requieren una seguridad sofisticada de varias capas para garantizar que los datos autorizados solo sean accesibles para usuarios autorizados. El correo electrónico suele ser la clave de cualquier sitio de comercio electrónico. Sin embargo, trae consigo una serie de desafíos de seguridad que no se pueden ignorar, que se dividen en dos categorías principales:
Protección del contenido del correo electrónico: puede ser confuso o leído.
Protegiendo su sistema de ataques de correo electrónico entrantes.
Si tiene la intención de trabajar con información confidencial o sensible a la integridad de la correspondencia, existen muchos productos para protegerla.

Los virus ya no son un problema. Los virus aún representan una seria amenaza. El último pasatiempo de los creadores de virus son los archivos adjuntos a las letras, que, cuando se abren, ejecutan una macro que realiza acciones no autorizadas por el destinatario. Pero también se están desarrollando otros medios para propagar virus, por ejemplo, a través de páginas web HTML. Asegúrese de que sus productos antivirus estén actualizados. Si se diseñaron para buscar virus, es posible que solo puedan detectar virus, no eliminarlos.

Una empresa que tiene un certificado de clave pública de una Autoridad de Certificación (CA) respetada ya es confiable por derecho propio. El certificado simplemente implica algo como: "En el momento de la solicitud del certificado, yo, la CA, he realizado acciones conocidas para verificar la identidad de esta compañía. Puede o no estar satisfecho. No estoy familiarizado con esta compañía y no sé si puede confiar en ella, e incluso, cuál es exactamente su negocio. Hasta que me informen que la clave pública ha sido desacreditada, ni siquiera sé que, por ejemplo, ha sido robada o transferida a otra persona, y usted debe verificarla, no se cancela. Mi responsabilidad se limita a las disposiciones de la Declaración de política, que debe leer antes de usar las claves asociadas con esta empresa ".

Las firmas digitales son el equivalente electrónico de las firmas manuscritas. Hay algunas similitudes, pero hay muchas diferencias muy significativas, por lo que no es razonable considerar que estos dos tipos de firmas sean equivalentes. Su confiabilidad también depende de cuán estrictamente se establezca que la clave privada está realmente en uso individual. Las diferencias clave también son que:
- Las firmas manuscritas están completamente bajo el control del firmante, mientras que las firmas digitales se crean utilizando una computadora y un software que pueden funcionar o no de una manera en la que se puede confiar.
- Las firmas manuscritas, a diferencia de las digitales, tienen un original que se puede copiar.
- Las firmas manuscritas no están muy relacionadas con lo que firman, el contenido de los documentos firmados se puede cambiar después de la firma. Las firmas digitales están intrincadamente vinculadas al contenido específico de los datos que firmaron.
- La capacidad de realizar una firma manuscrita no puede ser objeto de robo, a diferencia de una clave privada.
- Las firmas manuscritas se pueden copiar con distintos grados de similitud, mientras que las copias de firmas digitales solo se pueden crear utilizando claves robadas y tienen una identidad del 100% de la firma del verdadero propietario de la clave.
- Algunos protocolos de autenticación requieren que firme digitalmente los datos en su nombre, y nunca se sabe lo que se firmó. Puede verse obligado a firmar digitalmente casi cualquier cosa.

Los productos de seguridad se pueden clasificar según su funcionalidad, al igual que las suites de negocios. También requieren una evaluación de la seguridad de su implementación y de aquellas amenazas de las que no pueden protegerse (que pueden no estar documentadas). En general, las aplicaciones comerciales se seleccionan en función de su funcionalidad y facilidad de uso. A menudo se da por sentado que las funciones se realizan como se esperaba (por ejemplo, el paquete de cálculo de impuestos calcula los impuestos correctamente). Pero esto no es justo para los productos de seguridad. La pregunta más importante aquí es cómo se implementan las funciones de protección. Por ejemplo, un paquete podría ofrecer una autenticación de contraseña poderosa para los usuarios, pero aun así almacenar contraseñas en un archivo de texto simple que casi cualquiera puede leer. Y eso estaría lejos de ser obvio y podría crear una falsa sensación de seguridad.

Los productos de seguridad son fáciles de instalar. La mayoría de los productos se envían con la configuración predeterminada. Sin embargo, las organizaciones tienen diferentes políticas de seguridad y configuraciones de todos los sistemas y estaciones de trabajo rara vez coinciden. En la práctica, la instalación debe adaptarse a la política de seguridad de la organización y a cada una de las configuraciones de plataforma específicas. Validar los mecanismos de mantenimiento para un número cada vez mayor de usuarios y otros atributos para crear un entorno seguro para cientos de usuarios existentes puede ser un proceso complejo y largo.

Los productos PKI protegen el comercio electrónico fuera de la caja. Los productos PKI son un conjunto de herramientas básicas para ayudar a implementar soluciones de seguridad, pero solo como parte del paquete completo, que también incluye elementos legales, de procedimiento y otros elementos técnicos. En la práctica, esto suele ser mucho más difícil y costoso que instalar una PKI básica.

Los consultores de seguridad merecen absoluta confianza. Recuerde que los consultores de seguridad tendrán acceso a todos sus procesos y datos más sensibles. Si los consultores invitados no trabajan para ninguna empresa de buena reputación, es necesario obtener información de una fuente desinteresada sobre su competencia y experiencia, por ejemplo, hablar con sus clientes anteriores. Hay muchos consultores que afirman ser profesionales de seguridad de la información, pero de hecho tienen poca o ninguna idea de lo que es. Incluso pueden crear una falsa sensación de seguridad al convencerlo de que sus sistemas son más seguros de lo que realmente son.

Conclusiones

Entonces, antes de hojear los folletos de seguridad más actualizados, resuelva lo esencial:
- Calcule cuidadosamente los tipos de riesgos que amenazan su negocio de comercio electrónico y lo que le costarían, y no gaste más en protección que este costo estimado de riesgo.
- Conseguir un equilibrio entre los controles de seguridad técnicos y de procedimiento
- Desarrollar un proyecto completo en el que la seguridad sea uno de los componentes fundamentales y no se presente post facto, después de algunas deliberaciones.
- Seleccione los productos de seguridad apropiados para este proyecto.


Ver el vídeo: Seguridad informática en la Red: Comercio Electrónico (Agosto 2022).