Menu Principal:
Introducción
El presente trabajo va a tratar sobre el comercio electrónico enfocándonos en sus riesgos, controles y seguridad. Empezamos describiendo al comercio electrónico como el proceso de comprar y vender bienes y servicios electrónicamente, mediante transacciones a través de Internet y otras tecnologías digitales. Se ha escuchado decir que el comercio electrónico ha cambiado la forma de hacer negocios. Hoy en día el comercio electrónico es un mecanismo aceptado para hacer negocios. Es usado para entregar productos y servicios a clientes alrededor del mundo. También es utilizado para automatizar procesos de trabajo como ser: - Búsqueda de productos - Pedidos de presupuestos - Consultas de clientes - Pagos electrónicos - Soporte al cliente El comercio electrónico también cambio la forma en que se realizan las transacciones de negocio. Uno puede realizar compras en línea de innumerable cantidad de bienes y servicios. Pagar las compras con tarjeta de débito, tarjeta de crédito o dinero electrónico. Operar con bancos a través de Internet también es posible. Los clientes pueden pagar las cuentas, transferir dinero e incluso monitorear sus inversiones en línea. Cuentas bancarias, tarjetas prepagas de crédito se pueden abrir online. El dinero se puede depositar electrónicamente y mover fondos alrededor del mundo con tan solo un "click". También se dice que un cliente esta a solo un "click" de distancia del próximo negocio. El comercio electrónico es resultado de negocios globalizados. Con el advenimiento de Internet y el correo electrónico ahora la información puede estar disponible literalmente alrededor del mundo en cuestión de segundos. Las transacciones de negocios pueden ahora provenir de clientes de cualquier parte del mundo. Los clientes pueden comprar bienes y servicios en cualquier momento del día, cualquier día de la semana, y en cualquier zona horaria. Los clientes pueden conocer; las líneas de productos y servicios que brinda una organización, la descripción del producto, precios e información de entrega. En vez de enviar miles de catálogos a clientes alrededor del mundo, aplicaciones de negocios a través de Internet pueden reenviar los catálogos electrónicamente al cliente o hacer que el cliente baje los mismos de la red. Se pueden buscar nuevos clientes y expandir el mercado en nuevos países. Los costos incrementales del comercio electrónico están bajando. La velocidad ha aumentado drásticamente. Los costos de marketing son más bajos. Mientras el comercio electrónico es considerado nuevo, en realidad existe desde décadas atrás en otras modalidades como ser su precursor el "intercambio electrónico de datos" (en su sigla de ingles EDI). No obstante con todo el auge de estar en la red de redes, muchas organizaciones toman atajos. Como resultado los controles que se requieren no se cumplen. Hay muchas amenazas; "Hackers" pueden atacar la organización a su voluntad. Sus ataques pueden hacer caer o discontinuar la marcha del negocio creando denegaciones de servicio. Ellos pueden plantar virus y programas troyanos que pueden debilitar el sitio entero de comercio electrónico. (Un programa troyano es un programa que contiene código no autorizado, el cual puede activarse ante un evento específico para causar los efectos que se hayan buscado). Pueden llegar a obtener información súper sensible como ser claves de acceso de los clientes, incluso información de tarjetas de crédito. Todo esto puede causar serios problemas financieros, fraudes o divulgamiento de información no autorizada. Como se puede ver el comercio electrónico global tiene tanto riesgos como beneficios. Es relativamente fácil y el costo beneficio es conveniente, para cualquier negocio, establecer un sitio global de comercio electrónico, sin embargo hay serios asuntos sobre la seguridad que se deben tratar. Hay riesgos específicos y una serie de controles estructurados para mitigarlos.
Amenazas especÍficas al comercio electrónico
Según el informe Nº 6 es necesario identificar los riesgos del sistema, para luego proponer la realización de un análisis de cómo cada riesgo está cubierto por un control diseñado al efecto. La lista de amenazas y/o riesgos que puede llegar a tener un sitio de comercio electrónico es larga.
Algunos posibles ataques son:
- Accesos no autorizados mediante ataques de piratas informáticos.
- Accesos por fuerza bruta. Si bien las claves deberían contener caracteres especiales, alfanuméricos y ser de una longitud de una cierta cantidad mínima de caracteres, muchas claves se pueden descifrar por fuerza bruta en cuestión de horas a algunos días con un computador de alta performance. Es por eso que se requieren tomar ciertas medidas adicionales para evitar estos ataques.
- Cesación de la operatoria normal de las operaciones de la empresa debido a ataques de denegación de servicio. La instalación adecuada y configuración de "corta fuegos" (firewall), buenas técnicas contra fallas y respuestas ante incidentes , y procedimientos y planes de contingencia ayudan a reducir el impacto de los ataques de denegaciones de servicio.
- Los virus, bombas de tiempo (virus que se activan en una determinada fecha u hora determinada), y troyanos (programa que son alojados directamente en las computadoras por piratas informáticos para lograr acceso a la computadora, datos y archivos en el momento que deseen) son otros riesgos serios para vulnerar el sitio de comercio electrónico.
- Fallas en el aplicativo del sitio de comercio electrónico o del sistema operativo. Si son inesperadas y no concurrente generalmente se requiere que se reinicie el sistema para su inmediata solución. También pueden ser concurrentes debido a una mala programación o por haber sido la aplicación puesta en producción sin las debidas pruebas exhaustivas. Se recomienda tener controles y gestión ante cambios y no poner en producción los cambios antes que se hayan hecho las pruebas necesarias.
- Fallas en los sistemas operativos que pueden ser explotadas por los piratas informáticos. Para prevenirlas se recomienda estar actualizado con los últimos parches de seguridad en el sistema operativo junto con otras medidas de seguridad.
- Fallas en el hardware también pueden causar que el comercio electrónico no este operativo. Aquí la solución es que haya redundancia de hardware y programas de mantenimiento de los equipos.
- Errores provenientes de los técnicos de nuestro proveedor, puede generar una discontinuidad de la operatoria por mas tiempo del que tendría que haber sido necesario. Es conveniente hacer seguimiento de los tiempos de resolución y además de los técnicos que han participado en la solución y detección de problemas.
- Errores humanos pueden comprometer la continuidad del comercio electrónico. Simplemente si no cuenta con un lugar adecuado los equipos que sostienen el sitio de comercio electrónico, un cable suelto puede generar la caída del sistema. Se recomienda cableado estructurado. - Fallas en el proveedor de servicios de Internet o en la red pueden generar la caída del sitio de comercio electrónico. Se recomienda tener la posibilidad de re rutar por otro proveedor de servicio.
- Por ultimo un sabotaje puede causar una caída al sitio de comercio electrónico. Algunas veces piratas informáticos, empleados descontentos, o competidores de la industria pueden intentar alterar o destruir el sitio de comercio electrónico. La mejor prevención es asegurar razonablemente el sitio de comercio electrónico (nada es 100% seguro). La puesta a prueba de la vulnerabilidad del sitio debería ser realizada periódicamente. Muchas cosas pueden afectar la performance y continuidad de la operatividad del sitio de comercio electrónico, por eso es imperativo que haya controles que aseguren el sitio para que sea tanto físicamente como lógicamente seguro.
Seguridad del comercio electrónico
La seguridad en la Web es un conjunto de procedimientos, prácticas y tecnologías para proteger a los servidores y usuarios de la Web contra el comportamiento inesperado. El comercio electrónico puede comprender el uso de intercambio electrónico de datos (EDI), correo electrónico y transacciones en línea a través de redes públicas como Internet. El comercio electrónico es vulnerable a diversas amenazas relativas a redes, que pueden tener como resultado actividades fraudulentas, disputas contractuales y divulgación o modificación de información. Se deben aplicar servicios de seguridad que son controles y medidas de resguardo para proteger al comercio electrónico de dichas amenazas. Respecto a la seguridad se deben identificar los siguientes aspectos, que es donde debe aplicarse
Controles Internos:
- Ques es la Autenticación y identificación: Hay un servicio de seguridad que diferencia a los usuarios y verifica que ellos son lo que claman ser? Qué nivel de confianza recíproca deben requerir el cliente y comerciante con respecto a la identidad alegada por cada uno de ellos? Típicamente las claves son usadas, pero hay métodos mas fuertes que verifican lo que uno tiene por ejemplo mediante un objeto físico (en ingles llamados "token security" dispositivo de hardware que autoriza el acceso a la red, usualmente una "tarjeta inteligente") o verifican quien uno es (por ejemplo biométricas) y no solo por lo que uno sabe (ejemplo clave de acceso o PIN - Numero de Identificación Personal) - Autorización: Determina que privilegios de acceso un usuario requiere dentro de un sistema. El acceso puede ser a los datos, sistema operativo, funciones transaccionales o procesales. El acceso debe ser provisto por el administrador que conoce el sistema antes que el acceso sea permitido. Por ejemplo, usuarios autorizados solo pueden acceder a la información que requieran para sus trabajos. También aquí se responde preguntas como: Quién está autorizado a fijar precios, emitir o firmar los documentos comerciales clave? Cómo conoce este punto el otro participante de la transacción?
- Que es la Autenticidad: es un servicio de seguridad que valida una transacción y une la transacción registrándola a una persona o entidad. También llamado "no repudio", la autenticidad asegura que una persona no puede iniciar disputas sobre una transacción. Esto es especialmente útil para las formas contractuales y asuntos legales. -
Procesos de oferta y contratación: Cuáles son los requerimientos de confidencialidad, integridad y prueba de envío y recepción de documentos clave y de no repudio de contratos?
- Información sobre fijación de precios: Qué nivel de confianza puede depositarse en la integridad del listado de precios publicado y en la confidencialidad de los acuerdos relativas a descuentos? - Controles en la integridad del sistema: Se debe asegurar que los sistemas no hayan sido alterados o modificados por accesos no autorizados. Por ejemplo: en las transacciones de compra; Cómo es la confidencialidad e integridad de los datos suministrados con respecto a órdenes, pagos y direcciones de entrega, y confirmación de recepción? - Verificación: Qué grado de verificación es apropiado para constatar la información de pago suministrada por el cliente?
- Cierre de la transacción: Cuál es forma de pago más adecuada para evitar fraudes?
- Formalidades de respaldo: Los acuerdos de comercio electrónico entre partes, deben ser respaldados por un acuerdo documentado que comprometa a las mismas a respetar los términos y condiciones acordados, incluyendo los detalles de autorización mencionados anteriormente. Los sistemas públicos de transacciones deben dar a conocer a sus clientes sus términos y condiciones comerciales. Deben tenerse en cuenta las obligaciones y derechos establecidos en la Ley de Habeas Data.
- Confidencialidad y encriptación: Qué protección se requiere para mantener la confidencialidad e integridad de la información sobre órdenes de compra? Hay servicios que aseguren los datos mientras estos son almacenados o en transito desde una maquina a otra? Existe una amplia gama de productos de encriptación, la organización debe elegir la que mejor se adapta a su aplicación en desarrollo. - Completitud: Qué protección se requiere para mantener la controles para evitar la pérdida o duplicación de transacciones?
- Responsabilidad: Quién asume el riesgo de eventuales transacciones fraudulenta? - Monitoreo y auditoria: El sistema guarda los registros históricos de una transacción? Los "logs" de auditoria consisten en "logs" de sistemas operativos, "logs" de las transacciones de las aplicaciones, "logs" de la base de datos, y "logs" del trafico de la red. El monitoreo de estos "logs" para encontrar eventos anormales es considerado una de las mejores practicas. - Controles en los accesos y detenciones de intrusiones: Estos servicios de seguridad son técnicos, físicos y administrativos para prevenir acceso no autoriza al hardware, software o la información. Los datos deben ser protegidos de su alteración, robo o destrucción. Los controles de accesos son preventivos, impidiendo que ocurran accesos no autorizados. La detección de intrusiones cachea accesos no autorizados después de que estos ocurran, así el daño de puede minimizar y cortar el acceso al mismo. Estos controles son especialmente necesarios cuando información critica o confidencial es procesada. - Comunicación confiable: Cuenta con servicios que aseguren que las comunicaciones son seguras? En las mayorías de las instancias donde se usa Internet una comunicación confiable es una que cuenta con encriptación. De hecho gran parte de las consideraciones mencionadas pueden resolverse mediante la aplicación de técnicas criptográficas.
- Anti-Virus: es un servicio de seguridad que previene, detecta y limpia los virus, programas troyanos y otros programas con código malicioso. - Retención y eliminación de datos: es un servicio de seguridad que mantiene información que se requiere archivada o los datos borrados cuando ya no son más requeridos. La habilidad para retener datos es crítica cuando una emergencia ocurre y se necesita contar con la misma. Esto tiene que ver con las políticas de backup.
- Clasificación de los datos: es un servicio de seguridad que identifica sensibilidad y confidencialidad de la información, la encasilla y protege durante la vida de la información. Se debe identificar los servicios de seguridad necesarios para asegurar los activos más valiosos de la organización. De hecho el administrador puede considerar los servicios aceptados de acuerdo con sus expectativas de riesgo aceptada. Todos los recursos que utiliza el comercio electrónico pueden ocasionar problemas para el control interno. Una falla en la seguridad, por ejemplo puede provocar trastornos en servidores, paquetes de datos lo que afecta directamente a la eficiencia y eficacia de las operaciones. Una falla en la autenticación de usuarios puede provocar que la información financiera ingresada no sea confiable. Una falla en la confidencialidad puede provocar que información sensible sea divulgada infringiendo con las normas y reglamentaciones aplicables a la entidad.