UNIDAD 2FUNCIONES Y COMPONENTES DE SEGURIDAD
LA FIRMA DIGITAL
La
firma o mecanismo digital es un programa tecnológico que le permite al emisor
de una determinada información
garantizar su autenticidad y por lo tanto su confiabilidad para la toma
de decisiones. Regularmente la firma
digital es emitida por el organismo receptor de la información lo que garantiza
la confiabilidad de la misma.
Este
sistema se le emite generalmente a las personas naturales responsables de los
entes jurídicos, llámense representantes legales, gerentes, presidentes etc. y
para el caso de la información contable y financiera a los contadores y
revisores fiscales.
Este
mecanismo digital tiene un tiempo de vigencia, regularmente entre dos y tres
años, tiempo durante el cual debe ser renovado o revalidado. Cuando el
mecanismo se emite a una persona natural por ser el responsable de una persona
jurídica, en caso que éste llegue a ser reemplazado, quien lo sustituya deberá
solicitar su propio mecanismo. Para
seguridad la firma digital solo se ejecutara con un Password que solo conoce
su poseedor.
En
Colombia son varios los organismos estatales que expiden la firma digital para
que sus ciudadanos clientes o las personas jurídicas envíen la información
requerida al Estado de manera oportuna, rápida y confiable, como también para
que validen procesos sin tener que desplazarse a las oficinas estatales.
CERTÍCAMARA
S.A: En Colombia es la única Empresa líder en certificación. Es una entidad de
certificación digital abierta, constituida con el propósito de asegurar
jurídica y técnicamente las transacciones, comunicaciones, aplicaciones y en
general cualquier proceso de administración de la información digital de
conformidad con la Ley 527 de 1999 y los estándares técnicos internacionales.
Los
servicios de Certificación Digital están soportados con tecnología PKI, de
origen europeo, para el envío, recepción, archivo y procesamiento de la
información electrónica.
Actualmente CERTICÁMARA
cuenta con la acreditación de la Superintendencia de Industria y Comercio;
certificaciones de seguridad de la información ISO 27001 y de calidad 9001,
sello WEB TRUST.
Ofrece mecanismos de
autenticación certificados como:
Las
Firmas electrónicas: firmas digitales, firma biométrica, huella biométrica,
validación biométrica de voz, claves dinámicas de un solo uso y contraseñas
seguras.
Pasos para solicitar el
Certificado de firma digital:
Figura No. 1
Productos y servicios.
A través de la
Página oficial de Certicámara https://web.certicamara.com/, en productos y Servicios damos clic en certificados
de firma digital; para ingresar a la página donde se encuentra la información
relacionada con firmas digitales.
El certificado de
firmas digitales es un mecanismo que equivale a una firma manuscrita que
garantiza la identidad y responsabilidad del autor de un documento o
transacción electrónica, permitiendo así comprobar que la información no ha
sido alterada (integridad) y que sólo pueda ser conocida por su emisor y los
receptores autorizados (confidencialidad).
Figura No. 2 Como
adquirir el certificado.
Proporcionamos los datos de la Empresa como Tipo de Identificación: NIT y Numero de identificación.
Figura No. 6 Tipo de capital de la
Empresa.
IMPLEMENTAR
POLÍTICA DE SEGURIDAD
DE LA INFORMACIÓN
Se debe implementar una
Política de Seguridad de la Información donde se contemplen todos los planes
de contingencia que permitan disminuir y controlar los Ataques, por tal razón
se debe tener en cuenta lo siguiente:
ACCESOS
SEGUROS Y SEGURIDAD FÍSICA Y DE RED
ACCESO SEGURO: El control de acceso a la
red es muy importante implementarlo en este caso ya que permite controlar el
acceso de los usuarios a la red en un punto de acceso verificando además de su
identidad el cumplimiento de todas las políticas se seguridad establecidas por
la empresa, es decir que el equipo que trate de conectarse este actualizado,
tenga todas las herramientas de seguridad exigidas por la empresa, incluyendo también el control sobre lo que pueden hacer, a que contenidos e información
pueden acceder estos usuarios y que sistemas o recursos son accesibles una vez
admitidos en la red.
SEGURIDAD FÍSICA Y DE
RED: Esta Política se aplicara a todos los recursos físicos
relativos a los Sistemas de Información de la empresa: Instalaciones,
equipamiento, cableado, energía, aire acondicionado, Archivo, medios de
almacenamiento, etc.
Se definirán las medidas de
seguridad física y ambiental para el resguardo de los activos críticos, en
función a un análisis de riesgos, y se
controlará su implementación, de esta manera podremos disminuir
significativamente la perdida de confidencialidad, integridad y autenticidad de
la información que se maneje.
HACKER: es una persona con amplio conocimiento
en seguridad informática , su principal objetivo es encontrar errores de
seguridad y reportar estos mismos sin realizar ningún daño al sistema , en
pocas palabras son los encargados de dar seguridad a los sistemas
informáticos , encuentran
vulnerabilidades y reportan esto para su corrección.
CRACKER: al igual que el hacker son personas con amplio
conocimiento en seguridad informática, la diferencia es que este tipo de
personas, trata de entrar a los sistemas, simplemente para dañarlos, o para
obtener algún beneficio, el beneficio puede ser económico o simplemente para
llenar su ego, por lo general buscan desafíos que tratan de romper y hacen el
daño y dejan huella de esto para que sepan que lograron con su cometido.
El Cracker se vale de
ingeniería inversa para modificar comportamientos del software o hardware, se
vale de la ingeniería social para cumplir su ataque, y tomar el control de un
sistema, borrar datos, obtener información, etc.
DELITOS INFORMÁTICOS
Los Delitos
Informáticos son actos o conductas ilícita e ilegal que puede ser considerada
como criminal dirigido a alterar, socavar, destruir o manipular cualquier sistema
informático o alguna de sus partes componentes que tenga como finalidad causar
una lesión o poner en peligro un bien jurídico cualquiera.
Dentro de los
más comunes están Hacking, Bluejacking, sabotaje informático, Hammering, Pharming, Phishing, Software, Robo
de datos personales, Espía o Spyware, Virus, Fraude y estafa en los negocios,
piratería informática entre otros.
En Colombia el 5
de enero de 2009, el Congreso de la República de Colombia divulgó la LEY 1273 DE 2009, Por medio de la cual se
modifica el Código Penal, donde se crea un nuevo bien jurídico tutelado
denominado "De la protección de la información y de los datos" y se
preservan integralmente los sistemas que utilicen las tecnologías de la
información y las comunicaciones, entre otras disposiciones.
En el Capítulo
I:
De los atentados
contra la confidencialidad, la integridad y la disponibilidad de los datos y delos sistemas informáticos.
Artículo 269A: Acceso abusivo a
un sistema informático.
Artículo 269B: Obstaculización
ilegítima de sistema informático o red de tecomunicación.
Artículo 269C: Interceptación
de datos informáticos.
Artículo 269D: Daño
Informático
Artículo 269E: Uso de software
malicioso.
Artículo 269F: Violación de
datos personales.
Artículo 269G: Suplantación de
sitios web para capturar datos personales.
Artículo 269H: Circunstancias
de agravación punitiva
Capítulo II:
De los atentados
informáticos y otras infracciones
Artículo 269I: Hurto por medios
informáticos y semejantes.
Artículo 269J: Transferencia no
consentida de activos.
Las principales
fuentes para cometer delitos informáticos son:
Las redes
sociales,
El correo
electrónico personal y corporativo y
Las cuentas
bancarias.
Para concluir
podemos decir que se deben tomar medidas de prevención para evitar ser víctima
de Delitos Informáticos y ser presa fácil de los delincuentes y que los
Ingenieros de Sistemas Especialistas en Seguridad Informática deben estar
constantemente actualizando sus conocimientos, competencias, destrezas y
habilidades para mitigarlo.
