Gestión y mantenimiento de Sitios Web - La seguridad en la red

El protocolo HTTP, utilizado en la Web para la transferencia de datos a través de la red, no es lo suficientemente seguro como para transmitir datos delicados o de índole personal, como pueden ser los números de documento o de tarjeta de crédito de un particular o, determinados archivos comerciales de una empresa.

Por este motivo, se han desarrollado un par de protocolos nuevos que vienen a suplir esta falencia. Estos son el SET, desarrollado por las empresas emisoras de tarjetas de crédito y el SHTTP/SSL, del cual se encargó la empresa Netscape (la del famoso navegador).

El SHTTP/SSL es hoy día el más aceptado de los dos ya que, si bien es menos seguro que el SET, cumple con su cometido eficientemente y es mucho más fácil de implementar. Ud. notará que está utilizando un protocolo seguro cuando vea un candado cerrado en la barra de estado de su navegador IExplorer.

• SET www.setco.org∞
• SHTTP/SSL www.netscape.com∞

Temas de seguridad

Para que los datos viajen en forma segura por la red, deben cumplir los siguientes requisitos:

• Integridad: Asegura que la información enviada no es alterada por terceros.
• Confidencialidad: Asegura que la información enviada no es vista por terceros.
• Autenticación: Asegura que la información es enviada por quien dice ser.
• No repudio: Asegura que el emisor no negará haber enviado la información.

Esto se logra mediante la utilización de los llamados identificadores digitales, los cuales son emitidos por las Autoridades de Certificación.

Los identificadores digitales que utilizan una clave asimérica se componen de una Clave privada y una Clave pública, las cuales conforman una Firma digital.

Autoridades de certificación

• GTE www.mastercard.com∞
• ACE www.ace.es∞
• Thawte www.thawte.com/certs/personal/contents.html∞
• Verisign www.verisign.com∞
• Certisur www.certisur.com.ar∞

Factores de riesgo

• Catástrofe climática
• Incendio
• Hurto
• Sabotaje
• Virus informáticos
• Fraude informático
• Imponderables
• Intrusión

Sabotajes o intrusión

Mucho se viene diciendo sobre los hackers o crackers que están asolando Internet. De ello, la mayoría de las historias son fantasiosas o carecen de sustento lógico.

Pero por otro lado, no se debe obviar el tema de la seguridad en la red. Más si estamos hablando de una enmpresa, sea ésta grande, mediana o pequeña, en la cual se realizan transacciones comerciales con el consiguiente intercambio de datos delicados de clientes a través de la web.

Por lo tanto, siempre se recomiendan una serie de medidas a tomar cada vez que se quiera emprender alguna actividad comercial en la red. Algunas de estas medidas también las deben tomar aquellos profesionales y personas que quieran mantener sus datos a resguardo de ataques dañinos.

Las reglas en estos casos serían las siguientes:

• Elegir un proveedor de acceso a Internet (ISP) serio y profesional. Leer atentamente el contrato que le hace firmar relacionado con las responsabilidades del mismo en este tipo de temas.
• Actualizar constantemente los antivirus de la computadora y del servidor.
• Controlar la información que recibimos a través de la red. Averiguar si las personas que nos envían esa información tiene un antivirus instalado.
• Tener siempre un backup de toda la información. Si no es posible, de aquella más importante.
• Intervenir lo más rápido posible en caso de un ataque informático o de un virus.
• Garantizar la seguridad y la protección de la red.
• Limitar el acceso físico de las personas en la medida de lo posible al lugar en donde se aloja el servidor Web o la computadora.
• Si se tiene un Sitio Web, separar en zonas, una pública y una privada, la información disponible.
• Buscar un consultor experto en el tema de seguridad informática.

Como dice el viejo adagio, mejor es prevenir que curar..

Recursos

• www.trusecure.com∞
• w∞ww.securityfocus.com∞
• www.sans.org/newlook/home.htm∞
• www.cert.org∞
• http://ciac.llnl.gov/cstc/CSTCHome.html∞