Contenido:
COMPUTER & INTERNET
Editorial - Procedimientos y políticas de seguridad . - Protección de sitios
Criptografía
Firmas digítales
Control de acceso y autentificación
Auditoria y Certificación
Conceptos legales de Internet y Comercio Electrónico
Códigos uniformes y acuerdos internacionales. - COSO - COBIT - ITIL - NORMA 17799, 27000
Derechos y obligaciones del proveedor como del consumidor. — Ley Nº45 del 31 de Octubre del 2007 — Ley Nº43 del 31 de Julio del 2007
Editorial Vivimos en un mundo donde constantemente la tecnología avanza a gran velocidad es por ello que debemos tratar de documentar las decisiones y acciones relacionadas con la seguridad de la información o la construcción de un Sistema de Gestión de la Seguridad de la Información, aparecen diferentes tipos de documentos es decir, leyes que contribuyen a lograr ese objetivo. Por lo tanto hay que dar a conocer los procedimientos y políticas que permiten un correcto funcionamiento de las herramientas tecnológicas teniendo seguridad al momento de utilizar aplicaciones en cualquier dispositivo donde tengas información importe ya sea de manera personal o de una organización. Hoy en día, la seguridad en cómputo constituye un asunto de protección de las personas. Por ello, no es posible resguardar un sistema informático, una computadora, una red o una supercomputadora sin tener presente que esos bienes digitales derivan del trabajo de uno, decenas, miles o millones de humanos. Edgar Navarro
Procedimientos y políticas de seguridad Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y defínelos criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios.
Código Penal Adoptado por la Ley 14 de 2007, con las modificaciones y adiciones introducidas por la Ley 26 de 2008, la Ley 5 de2009, la Ley 68 de 2009 y la Ley 14 de 2010 Título VIII Delitos contra la Seguridad Jurídica de los Medios Electrónicos
Fuentes: https://es.slideshare.net/carolcols/politicas-y-medidas-de-seguridad LEYES DE DELITOS INFORMÁTICOS EN INFORMÁTICA. https://es.scribd.com/doc/57036727/Leyes-sobredelitos-informaticos-en-Panama, autora: Hilda Quirós
Protección de sitios El factor más importante dentro de la protección de activos de información se basa en la administración de la seguridad de la información. El aumento de los servicios de correo electrónico externos, la pérdida de barreras organizacionales a través del uso de facilidades de acceso remoto; exposiciones de seguridad tales como virus, negaciones de servicio, intrusiones, accesos no autorizados, nos lleva a la necesidad de una administración efectiva de la seguridad de la información. La seguridad informática se resume, por lo general, en cinco objetivos principales:
Integridad: garantizar que los datos sean los que se supone que son
Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian
Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información
Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
Autenticación: asegurar que las entidades que se comunican son los que dicen que son.
La Seguridad Informática no se limita al software y hardware, considera:
Uso adecuado de las instalaciones donde se manejan los sistemas informáticos,
Políticas de seguridad
Medidas de contingencia
Cultura de las personas y la organización
Fuente: https://www.gestiopolis.com/procedimientos-de-seguridad-informatica-en-sitios-web/
Criptografía La criptografía es la técnica que protege documentos y datos. Funciona a través de la utilización de cifras o códigos para escribir algo secreto en documentos y datos confidenciales que circulan en redes locales o en internet. Su utilización es tan
A partir de la evolución de las computadoras, la criptografía fue ampliamente divulgada, empleada y modificada, y se constituyó luego con algoritmos matemáticos. Además de mantener la seguridad del usuario, la criptografía preserva la integridad de la web.
Las llaves pueden ser: 1. Simétricas: Es la utilización de determinados algoritmos para descifrar y encriptar (ocultar) documentos. Son grupos de algoritmos distintos que se relacionan unos con otros para mantener la conexión confidencial de la información. 2. Asimétrica: Es una fórmula matemática que utiliza dos llaves, una pública y la otra privada. La llave pública es aquella a la que cualquier persona puede tener acceso, mientras que la llave privada es aquella que sólo la persona que la recibe es capaz de descifrar.
Finalidades de la Criptografia: autentificar la identidad de usuarios; - autentificar y proteger el sigilo de comunicaciones personales y de transacciones comerciales y bancarias; proteger la integridad de transferencias electrónicas de fondos. Los métodos de criptografía actuales son seguros y eficientes y basan su uso en una o más llaves. La llave es una secuencia de caracteres, que puede contener letras, dígitos y símbolos (como una contraseña), y que es convertida en un número, utilizada por los métodos de criptografía para codificar y decodificar mensajes.
Fuentes: http://www.informatica-hoy.com.ar/seguridad-informatica/Criptografia.php
Firmas digitales
En Panamá entró a regir recientemente la Ley 43 del 31 de julio del 2001, promulgada en la Gaceta Oficial No.24,359 del 3 de agosto del 2001, la cual define y regula los documentos y firmas electrónicas, las entidades de certificación en el comercio electrónico, la prestación de servicios de certificación, el proceso voluntario de acreditación de prestadores de servicios de certificación y el intercambio de documentos electrónicos. Las actividades reguladas por la Ley 43 están sometidas a los principios de libertad de prestación de servicios, libre competencia, neutralidad tecnológica, compatibilidad internacional, equivalencia del soporte electrónico al soporte de papel y equivalencia funcional del comercio tradicional con el comercio electrónico.
Definición de Firma Electrónica Tal como las define la Ley 43, las firmas electrónicas son todo sonido, símbolo o proceso electrónico vinculado a o lógicamente asociado con un mensaje, y otorgado o adoptado por una persona con la intención de firmar el mensaje que permite al receptor identificar a su autor. Al igual que lo establece la Ley Modelo de UNCITRAL sobre Comercio Electrónico en su artículo séptimo (7°), la Ley 43 de 2001 concede a la firma electrónica los mismos efectos legales que a la firma manuscrita. Específicamente, en su artículo séptimo (7°), la ley panameña equipara la firma manuscrita a la electrónica, siempre que la misma cumpla con los siguientes requisitos: a. Sea única a la persona que la usa; b. Sea susceptible de ser verificada; c. Esté bajo el control exclusivo de la persona que la usa;
Los certificados también protegen la información transmitida, garantizando que no haya sido manipulada o leída por terceros, es decir, que garantizan la integridad y confidencialidad del contenido de los documentos. Un certificado emitido por una entidad de certificación, además de estar firmado electrónicamente por ésta, debe contener por lo menos lo siguiente: 1. Nombre, dirección y domicilio del suscriptor 2. Identificación del suscriptor nombrado en el certificado 3. El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación 4. La metodología para verificar la firma electrónica del suscriptor impuesta en el mensaje de datos Fuentes: Nueva Legislación Panameña de Comercio Electrónico. http://www.legalinfopanama.com/articulos/articulos_60a.htm, autoras: Cristina Lewis y Rebeca Herrera D.
Recomendaciones de Seguridad
Control de acceso y autentificación
Según la Ley 51 de 22 de julio de 2008, en el Artículo 48 se regula la Autenticación de documentos almacenados tecnológicamente. Es decir, las películas, reproducciones, microfichas, discos o certificaciones que han resultado de la utilización de algún sistema de almacenamiento tecnológico permitido por esta Ley serán autenticados por el jefe del archivo u oficina, pública o privada, que ostenta la custodia. Igualmente, en el Artículo 52, se regula la Supervisión
y Control de los prestadores de servicios de almacenamiento tecnológico de documentos que brinden servicios a terceros, que quedará sujeto a las facultades de supervisión y control de la Dirección General de Comercio Electrónico, para los efectos de velar por el cumplimiento de las obligaciones correspondientes que establece esa Ley y sus reglamentos.
Auditoria y certificación
Los certificados, según la ley 43 del 31 de julio del 2001, son la manifestación que hace la entidad de certificación, como resultado de la verificación que efectúa sobre la autenticidad, veracidad y legitimidad de las firmas electrónicas o la integridad de un mensaje. Es un documento de identidad para que las empresas puedan comprar y vender a través de la red con las máximas condiciones de seguridad, permitiendo al titular identificarse ante terceros, así como informar sobre su capacidad para actuar en representación de la empresa y firmar documentos electrónicamente con el mismo valor legal que la firma manuscrita, de manera que se garantice la irrefutabilidad de los compromisos adquiridos. En Panamá, por medio de la Ley No.43 de 2001, se crea la Dirección de Comercio Electrónico, adscrita a la Dirección Nacional de Comercio, con facultades para acreditar y supervisar a las entidades de certificación, de acuerdo con criterios y normas internacionales, con el propósito de garantizar la seguridad y calidad de los servicios prestados por las entidades de certificación. El objetivo de las entidades de certificación es constatar la validez de las firmas y los códigos digitales en las transacciones. Esta herramienta nos permite asegurarnos que nuestros datos confidenciales están protegidas. Por otro lado, la auditoría es el pro-ceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de InformaFuentes: Nueva Legislación Panameña de Comercio Electrónico. http://www.legalinfopanama.com/articulos/articulos_60a.htm, autoras: Cristina Lewis y Rebeca Herrera D.
Conceptos legales de internet y comercio electrónico Entre algunos con conceptos le-gales que podemos encontrar en la Ley Nº43 del 31 de Julio del 2001 son:
Documento electrónico: To-da representación electró-nica que da testimonio de un hecho, una imagen o una idea.
Entidad de certificación: Persona que emite certificados electrónicos en relación con las firmas electrónicas de las personas, ofrece o facilita los servicios de registro y estampado crono-lógico de la transmisión y recepción de mensajes de datos y realiza otras funciones relativas a las firmas electrónicas. Mensaje de datos: Información generada, enviada, recibida o archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax. Repositorio: Sistema de información utilizado para guardar y recuperar certificados u otro tipo de información relevante para la expedición de éstos.
Ley 51 del 22 de julio de 2008 Que define y regula los documentos electrónicos y las firmas electrónicas y la prestación de servicios de almacenamiento tecnológico de documentos y de certificación de firmas electrónicas y adopta otras disposiciones para el desarrollo del comercio electrónico. Encontramos conceptos claves como: Certificado electrónico. Documento electrónico expedido por un prestador de servicios de certificación de firmas ele ctrónicas, que vincula los datos de verificación de una firma electrónica a un firmante y confirma su identidad. Códigos de conducta. Declaración formal de los valores, la ética y las prácticas empresariales de una persona o de un grupo de personas, naturales o jurídicas, en la que se presentan políticas y directrices, preestablecidas y aplicables a determinadas situaciones, con la finalidad de facilitar las relaciones entre las autoridades, los prestadores de servicios y los usuarios o destinatarios. Comercio electrónico. Toda forma de transacción o intercambio de información con fines comerciales en la que las partes interactúan utilizando Internet, en lugar de hacerlo por intercambio o contacto físico directo. Datos de verificación de firma electrónica. Son los datos, como códigos o claves criptográficas, que se utilizan para verificar la firma electrónica. Factura electrónica. Documento electrónico mediante el cual se deja constancia de la realización de la venta de bienes o de la prestación de servicios por parte de un prestador de servicios comerciales por medios electrónicos y que, a la vez, permite dar validez tributaria a operaciones comerciales efectuadas.
Fuentes: https://www.firmaelectronica.gob.pa/documentos/Ley_51Firma_electronicas_almacenamiento_tecnologico_y_comercio_electronico.pdf - LEYES DE DELITOS INFORMÁTICOS EN INFORMÁTICA, https://es.scribd.com/doc/57036727/Leyes-sobre- delitos-informaticos-en-Panama, autora: Hilda Quirós
Códigos uniformes y acuerdos internacionales COSO El Committee of Sponsoring Organizations of the Tradeway Commission de Estados Unidos publicó en 1992 un documento, denominado Framework Internal Control Integrated (Marco Integrado del Control Interno) más conocido como el Modelo de Control COSO el cual dispone un marco general para la evaluación del control interno.
COSO está enfocado a toda la organización, contempla políticas, procedimientos y estructuras organizativas además de procesos para definir el modelo de control interno. COSO ofrece un marco integrado que define al Control Interno con cinco componentes interrelacionados: 1)
Ambiente de Control
2)
Evaluación del Riesgo
3)
Actividades de Control
4) 5)
Información y Comunicación Supervisión
COSO permite facilitar las actividades de los encargados del control interno, auditores internos y externos, y gerencias de las organizaciones preocupadas por mejorar sus resultados.
Fuente: COSO-COBIT. http://carmenmorales.bligoo.com/content/view/283929/COSO-COBIT.html#.WTvGpLA2zIU Autora: Carmen Morales. Fecha de Consulta: 10/6/17.
COBIT El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association).
ITIL Es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. Brinda descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Contiene las mejores prácticas de Administración de Servicio.
Fuente: http://www.eafit.edu.co/escuelas/administracion/consultorio-contable/Documents/boletines/auditoriacontrol/b13.pdf
NORMA 17799, 27000 ISO 17799 ¿Qué es la norma ISO 17799? ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. Objetivo de la norma ISO 17799 El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas. Ventajas de la adopción de la norma ISO 17799
Aumento de la seguridad efectiva de los sistemas de información.
Correcta planificación y gestión de la seguridad.
Garantías de continuidad del negocio.
Mejora continua a través del proceso de auditoría interna.
Incremento de los niveles de confianza de los clientes y socios de negocios.
Aumento del valor comercial y mejora de la imagen de la organización.
Fuente: https://es.slideshare.net/haroll1/norma-iso-27000
¿QUE ES ISO 27000? Es una familia de estándares de internacionales para sistemas de gestión de la seguridad de la información (sgsi) que proporcionan un marco de gestión de la seguridad de la información. OBJETIVO DE LA NORMA ISO 27000 Tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña. CARACTERISTICAS ISO27000
DE
LA
NORMA
CONFIDENCIALIDAD: la propiedad que esta información este disponible no sea divulgada a personas, entidades o procesos no autorizados. SEGURIDAD DE INFORMACIÓN: preservación de la confidencialidad, integridad, disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, norepudio, y confiabilidad. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: es la parte del sistema gerencial general, basada en un enfoque de riesgo comercial; para establecer, implementar, monitorear, revisar, mantener y mejorar la seguridad de la información
Derechos y obligaciones del proveedor como del consumidor Ley Nº45 del 31 de Octubre del 2007
Ley Nº43 del 31 de Julio del 2007
La cual define y regula los documentos y firmas electrónicas, las entidades de certificación en el comercio electrónico, la prestación de servicios de certificación, el proceso voluntario de acreditación de prestadores de servicios de certificación y el intercambio de documentos electrónicos.
Esta legislación fue promulgada en Gaceta Oficial y unifico la Ley No. 29 de 1996 y el Decreto Ley No. 9 de 2006. Esta Ley “DICTA NORMAS SOBRE PROTECCIÓN AL CONSUMIDOR Y DEFENSA DE LA COMPETENCIA Y OTRA DISPOSICION”. La Ley define que la libre concurrencia consiste en la posibilidad de acceso de nuevos competidores al mercado pertinente, además que serán derechos de los consumidores recibir de los proveedores toda la información sobre las características del producto o servicio ofrecido, de manera clara y veraz, para tomar una decisión al adquirir un producto o servicio. También los consumidores tendrán potestad de tener acceso a una variedad de productos y servicios competitivos que les permitan elegir libremente lo que deseen.
Las actividades reguladas por la Ley 43 están sometidas a los principios de libertad de prestación de servicios, libre competencia, neutralidad tecnológica, compatibilidad internacional, equivalencia del soporte electrónico al soporte de papel y equivalencia funcional del comercio tradicional con el comercio electrónico.
Cuadro Comparativo
Concepto y propósito
Ventaja
COSO
COBIT
ITIL
NORMA 17799, 27000
Ley Nº45 del 31 de Octubre del 2007
Ley Nº43 del 31 de Julio del 2007
Un marco integrado que define al Control Interno con cinco componentes interrelacionados:
Auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.
Son conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general.
ISO 17799 ofrecer recomendaciones de seguridad. ISO 27000 proporcionan un marco de gestión de la seguridad de la información.
“Dicta normas sobre protección al consumidor y defensa de la competencia y otra disposición”.
La cual define y regula los documentos y firmas electrónicas, las entidades de certificación en el comercio electrónico, etc.
Evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT.
Se maneja mejor la calidad y los costos de los servicios.
ISO 17799
Llibre concurrencia consiste en la posibilidad de acceso de nuevos competidores al mercado
Libertad de prestación de servicios, libre competencia, neutralidad tecnológica, etc.
Ambiente de Control, Evaluación del Riesgo, Actividades de Control, Información e Comunicación y Supervisión.
Facilitar las actividades de los encargados del control interno, auditores internos y externos
Correcta planificación y gestión de la seguridad. ISO 27000
Garantizar la selección de controles de seguridad adecuados.