Menu Principal:
El Comercio Electrónico y el Control Interno
El comercio electrónico puede resultar de alto beneficio para la reducción de los costos de las organizaciones y en sus negocios, y crear oportunidades en nuevos y mejores servicios a los clientes. Sin embargo, los sistemas electrónicos y la infraestructura que le da soporte al comercio electrónico son susceptibles de situaciones de abuso, mal uso y fallas en muchas de sus formas. Un gran perjuicio puede ocurrir a cualquiera de las partes intervinientes en las transacciones por comercio electrónico, incluyendo a comerciantes, entidades financieras, proveedores de servicios, y clientes particulares. Desde la perspectiva del negocio, las consecuencias más comunes del abuso, el mal uso y las fallas, pueden incluir:
· Pérdidas financieras como resultado de un fraude: alguien puede transferir fondos, en forma fraudulenta, de una cuenta a otra, o destruir importantes registros financieros.
· Pérdidas de información confidencial de valor: una intrusión puede revelar información a partes no autorizadas para su conocimiento, resultando en un daño muy importante.
· Pérdidas de oportunidad de negocio a través de discontinuidad del servicio: los servicios comerciales, electrónicamente dependientes, pueden ser interrumpidos por largos o inaceptables períodos de tiempo, como resultado de ataques deliberados o eventos accidentales. El costo puede ser catastrófico.
· Utilización no autorizada de los recursos: un ataque externo puede generar acceso a los recursos no autorizados, y hacer uso de la información para el beneficio propio.
· Pérdida de confidencia o respeto del cliente: una organización puede sufrir significantes pérdidas como resultado de la publicidad negativa de una intrusión o falla.
Algunas de estas consecuencias pueden ser minimizadas por adecuadas y sanas prácticas en los controles internos de la tecnología informática dentro de la organización. Un ejemplo: para disminuir las posibles pérdidas por discontinuidad de servicios, podría ser tomar medidas de planificación de contingencias y de seguridad física. No obstante, el escenario en el cual se desenvuelven las transacciones del comercio electrónico es global, va mas allá de los entornos de las organizaciones involucradas, y los riesgos no siempre pueden ser minimizados con los tradicionales métodos de seguridad y/o prevención.
Para dar respuesta a estos y otros factores críticos dentro de la estrategia de implantación del comercio electrónico, el papel y responsabilidad de las empresas de medios de pago, las instituciones financieras, y los comerciantes es crucial para establecer especificaciones que permitan, mínimamente, los objetivos de:
· Proporcionar confidencialidad en las comunicaciones. · Autenticar todas las partes involucradas. · Garantizar la integridad de las instrucciones de pago. · Autenticar la identidad del usuario y el comerciante.
Administración de riesgos
Para que el auditor pueda identificar el ambiente de control, es necesario que pueda definir como se considera la existencia de los riegos, como se los evalúa y que medidas de detección y coerción se aplican. La seguridad en el comercio electrónico es difícilmente absoluta, mientras más medidas de seguridad se utilicen, menor es el riesgo que se corre. Se debe reducir el riesgo tanto como sea posible y planear las medidas para recuperarse rápidamente de un incidente de seguridad. La seguridad Web no es fácil ni barata pero la inseguridad puede ser aún más costosa. La seguridad no es un producto que pueda comprarse, es parte integral de una organización y de sus componentes.
Razones de querer atacar al sitio de comercio electrónico:
Algunas de las razones del porque los atacantes querrían introducirse y atacar en un servidor de comercio electrónico: Publicidad: Un sitio de comercio electrónico es la cara visible de una empresa al mundo, y el violar la seguridad de un espacio visitado por cientos de miles de personas en pocas horas, es atractivo para atacantes ideológicos. Comercio: Muchos servidores Web están relacionados con el comercio y con dinero. Por esta razón los protocolos criptográficos integrados a diferentes navegadores fueron originalmente incluidos para permitir a los usuarios enviar números de tarjetas de crédito por Internet sin preocuparse de que fueran interceptados. Así los servidores de comercio electrónico se han convertido en repositorios de información financiera confidencial, blanco interesante para los atacantes. Sabotaje: Ex empleados descontentos pueden querer perjudicar a la organización donde prestaron servicio.
Vil competencia: En un mundo en recesión, el capitalismo atravesando su mayor crisis es altamente probable que se genere un ambiente muy competitivo que pueda generar una desleal carrera para perjudicar a otros negocios pares que ingresan o residen gracias al comercio electrónico.
Defensas - El uso de la criptografía:
La encriptación es la única tecnología viable para proteger la transacción de datos mientras son transportados de una computadora a otra a través de la red pública. Las funciones de la encriptación permiten brindar seguridad a un sitio de comercio electrónico mediante los siguientes conceptos: Confidencialidad: la encriptación se usa para ocultar información enviada a través de Internet y almacenarla de forma que si alguien intercepta la comunicación no puede acceder al contenido de los datos ya que los mismos le resultan incomprensibles. Autenticación: la encriptación es utilizada para realizar firmas digitales, para identificar al autor de un mensaje, comprobando su identidad. Integridad: la criptografía sirve también para verificar que un mensaje no ha sido modificado mientras se encontraba en tránsito, ya sea por una voluntad de modificarlo o por un ruido accidental en la línea de comunicación. No repudiación: mediante la encriptación se crean remitos de forma que un autor de un mensaje no pueda negar su autoría.