El ambiente digital trae consigo nuevos retos, sobre todo de seguridad. Para que todos los participantes del comercio electrónico, tanto consumidores como comerciantes tengan la confianza de que la información proporcionada es confiable, es importante tomar en cuenta varios aspectos. Para empezar hay seis dimensiones de seguridad en el comercio electrónico:
Integridad – Asegurar que la información desplegada en el sitio Web no ha sido modificada por terceros.
No-rechazo – Asegura que los participantes del comercio electrónico no negarán sus acciones.
Autenticidad-Conocer la identidad de la persona con la que se interactúa en Internet.
Confidencialidad-Asegurar que la información está solamente disponible para una persona autorizada para ver dicha información.
Privacidad-Controlar el uso de información que el consumidor provee al comerciante.
Disponibilidad-Asegurar que el sitio continuará funcionando.
¿Por qué se dificulta tener seguridad de comercio electrónico? Porque mientras se implemente más seguridad…
...la página se vuelve más complicada para entender y utilizar.
...el sitio se vuelve más lento.
...los usuarios no pueden interactuar de forma anónima.
Así como el comercio electrónico ofrece ventajas, también se tienen varias amenazas al implementar una página en línea.
Los códigos maliciosos (como virus, gusanos) amenazan la integridad del sistema, cambiando la forma en que funciona o alterando documentos creados en el sistema.
Los programas no solicitados (como los adwares y spywares), surge al instalar clandestinamente un programa en una computadora.
La actividad de phishing, que es un atentado en línea de parte de terceros con la finalidad de obtener información financiera confidencial de los usuarios y hacer uso de ella.
El cibervandalismo consiste en la creación intencional de problemas, mensajes, o realizar la destrucción de un sitio Web.
El hacker es un individuo que tiene acceso a un sistema pero sin autorización. No todos los hackers son malos, ya que algunos ayudan a localizar defectos en la seguridad de las páginas de una compañía, así éstas pueden mejorar su página. Otros creen que están haciendo un bien y por eso actúan con maldad. Otros sí tienen malas intenciones. Dentro de toda esta “comunidad” se denomina cracker a un hacker con intenciones criminales.
Se da también el fraude o robo de tarjeta de crédito, por lo general es una tarjeta robada o perdida que es utilizada por alguien más; también puede darse el robo de información de parte de algún empleado de cuentas de los clientes. (Lo que nos lleva a la amenaza de Trabajadores internos, que tienen acceso a información y/o procedimientos que se realizan dentro de la compañía).
El spoofing ocurre cuando los hackers ocultan su identidad o se hacen pasar por alguien más. También es cuando de un link se redirecciona a una página diferente haciendo pasar la otra página como la verdadera.
Con los ataques de Negación de servicio, los hackers llenan un sitio web de tráfico inútil con la finalidad de paralizar la red y dañar la reputación de un sitio.
El sniffing es un tipo de programa que monitorea a escondidas información a través de la red, permitiendo a los hackers robar información confidencial que pueden hacer pública después.
Un último problema es el software diseñado pobremente entre cliente y servidor, ya que mientras más complejo se vuelve el software, es más vulnerable y tiende a tener más defectos.
La Encriptación es el proceso de transformar texto simple en datos o texto cifrados que no puede ser leído para nadie más que el remitente y el receptor. Realizar este proceso cubre cuatro de las seis dimensiones de seguridad en el e-commerce:
Integridad No-rechazo Autentificación Confidencialidad
Adicional a la encriptación, hay otras herramientas que pueden utilizarse para asegurar los canales de comunicación:
SSL (Secure Sockets Layer). Provee encriptación de datos, identificación de usuarios, del cliente e integridad del mensaje.
S-HTTP (Secure Hypertext Transfer Protocol). Asegura los protocolos de web y solo sirve para asegurar mensajes HTTP.
VPN (Redes virtuales privadas). Permiten a los usuarios remotos ingresar a redes internas de forma segura.
Las siguientes son herramientas que sirven para incrementar la seguridad de la red, el servidor y el cliente:
[Firewall] Aplicación de software que actúa como un filtro entre la red de la empresa y el Internet, negando a usuarios remotos el acceso a la red de la compañía.
[Proxies] Limitan el acceso de los clientes internos a los servidores externos de Internet.
[Control de sistema operativo] Requisitos de nombre de usuario y password para autentificar el usuario del sistema operativo.
[Software anti-virus] Para eliminar cualquier virus que haya entrado en la computadora antes de que cause algún daño a la página.
Hay ciertos puntos o pasos que se deben cubrir para desarrollar un plan de seguridad para un comercio electrónico:
+ Evaluar los posibles riesgos y puntos vulnerables.
+ Desarrollar una política de seguridad para establecer cómo se mantendrá a la página web fuera de riesgo.
+ Crear un plan de implementación que incluya herramientas, tecnologías y procedimientos que se utilizarán en el control del riesgo.
+ Crear un equipo de individuos que se encarguen de la seguridad (mantenimiento, mejoras, etc.)
+ Realizar auditorías frecuentes para detectar patrones inusuales de actividades.
No hay comentarios:
Publicar un comentario