- .- Que la página Web es puesta on-line en Internet por un proveedor del servicio de conexión a Internet.
- .- La actualización y modificación del servicio corren por cuenta del dueño por medio de un acceso al sitio del proveedor protegido por algún tipo de sistema de seguridad ( por ej: un sistema de paswwords)
Analizamos las responsabilidades del prestador del servicio y del creador de la páginas en estos tres aspectos fundamentales de la seguridad:
Operatividad
La información que contenga la página debe estar siempre en condiciones operativas para quienes acceden a la misma puedan recorrerla sin problemas, sin encontrar fallas, faltas, o cualquier tipo de anomalía.
Responsabilidad del encargado de la página: la información añadida o modificada por un responsable de la página debe ser colocada en ella en los formatos establecidos y verificado su correcto funcionamiento dentro de la estructura de programación.
Responsabilidad del prestador del servicio: todo sistema de computadoras está expuesto a fallas de hardware, software y de tipo externo como fallas de suministro eléctrico. Para esto deberá tener un plan de soluciones y un mantenimiento preventivo. También debe garantizar que si una información es colocada en la página según las especificaciones y procedimientos acordados, ésta funcionará correctamente.
Hay que considerar también que el ingreso de un intruso al sistema puede provocar daños que afecten a la operatividad.
El prestador del servicio deberá tener un sistema de seguridad, por ejemplo, en barreras de protección como firewalls, proxis, etc., que impidan los accesos no autorizados.
Integridad
De nada sirve que una información esté en condiciones operativas si es incompleta o está alterada. Para que una información resulte inútil no es necesario que sea destruida, puede ser suficiente una acción tan sutil como cambiar los unos por ceros. Por lo tanto la integridad de la información que se muestra en una página Web es uno de los factores más importantes de la seguridad, pues de él dependen el interés y la credibilidad de la página. La integridad de la página puede ser dañada por fallas de hardware o software, o atacada por intrusos en el sistema que toman el control sobre algún sector y modifican el contenido de las páginas
Responsabilidades del dueño de la página: la información que es agregada o modificada en la página debe estar en condiciones de integridad cuando llega a ella, y tratando de que se mantenga hasta que termine, pues puede ser afectada por la transmisión hasta el sitio o por algún problema de su funcionamiento o seguridad.
Responsabilidades del prestador del servicio: asegurar la integridad de la información que contiene una página Web, en lo que atañe a accesos no autorizados al sistema. Los bugs (errores estructurales) de los programas utilizados también pueden ser la puerta de entrada para los accesos no autorizados. Se debe exigir que el sistema del proveedor esté depurado de este tipo de fallas.
Privacidad
Es lógico pensar que quien quiere que una información sea privada no debe colocarla en una página Web. Pero puede ocurrir que parte de la información esté reservada a usuarios registrados o que exista algún tipo de restricción.
Responsabilidades del dueño de la página: el dueño de la página debe definir y separar claramente cuál es la información de dominio público y cual de acceso restringido, y manejarlas en zonas separadas en la programación de su página.
Responsabilidades del prestador del servicio: el acceso restringido a parte de la información de una página debe ser sustentado por el prestador del servicio asegurando que los mecanismos de control de acceso de la página funcionen correctamente en su sistema
SEGURIDAD Y TRANSACCIONES EN EFECTIVO EN LA WEB
Para muchas aplicaciones de negocios, como la publicidad y promociones simples, es probable que no se necesite tratar con precauciones de seguridad. Pero si se permite que los usuarios tengan acceso a datos delicados, se deberán tomar medidas para proteger a los datos. Debido a que cada vez son más las personas que desean transferir documentos e información de tarjetas de crédito o cualquier tipo de transmisión de datos en forma segura y sin el temor a los crackers y piratas.
Las medidas de seguridad básicas a tener en cuenta son:
LA ENCRIPTACIÓN DE DATOS
Es una técnica para ocultar datos de manera que sólo puedan ser vistos por aquellos que deben verlos. Consiste en reemplazar un mensaje enviado con un algoritmo difícil de adivinar.
Los servidores seguros tratan de encriptar los datos entre el navegador y el servidor.
En algún momento durante el ciclo de compras, después que los datos llegan al servidor seguro, el sistema debe desencriptar los datos. Aun si los datos son desencriptados sólo por un instante, la información podría ser interceptada por algún pirata. Crear un sistema en el que la información permanezca encriptada a lo largo del ciclo es prácticamente imposible.
La configuración más segura es una que transmita la información al propietario de la empresa en formato encriptado, pase la información a una computadora que no esté en Internet y luego desencripte la información.
Además si en una empresa se utiliza un mismo algoritmo para encriptar y desencripar datos, se necesitará que alguna tercera pieza de datos desencripte el código, que seria una clave. Esto sólo
funcionará si tanto la persona transmisora como la parte receptora conocen la clave. Si la persona receptora no conoce la clave, tiene que enviar la clave a esa parte, y está puede ser interceptada.
FIRMA DIGITAL
Ofrece un método de encriptación de datos que evita tener que compartir claves para leer mensajes.
Es la técnica llamada encriptación de clave pública, donde cada usuario tiene dos claves: una clave pública y una clave privada.
Los algoritmos de encriptación y desencriptación son adaptados de manera que sólo la clave pública puede desencriptar los datos encriptados por la clave privada. Por consiguiente, puede transmitir con libertad la clave pública al mundo.
CREACIÓN DE UN SITIO SEGURO
Las ventajas de crear un sistema seguro antes de ser pirateado deben ser obvias. La prevención es la mejor medicina y esto se aplica también ala seguridad de las computadoras.
Se debe mantener la seguridad de los archivos de datos de tal forma que solo las personas correctas puedan verlos. Esto es crucial para los siguientes tipos de datos y archivos: contraseñas de usuarios, archivos de facturación, registros de sistema y de usuarios, información de tarjetas de créditos, información confinada de sistemas remotos, compiladores, herramientas de administración.
FIREWALLS, WRAPPERS Y PROXIES
Los firewalls, wrappers y proxies ofrecen una buena línea de defensa para los propietarios de servidores Web y administradores de sistemas.
Los firewalls pueden ser software o hardware que protege los puertos y evita que los piratas penetren al sistema. Los firewalls permiten que tengan acceso al sistema sólo ciertos nombres de dominio confiables.
Los wrappers se encuentran disponibles en CERT al igual que en otros archivos en Internet. Los wrappers se ejecutan como una capa de software alrededor de su otro software. Un usuario que se conecta a FTP primero entraría en contacto con el wrapper, el cual luego habilitaría al FTP. El usuario no sabe que existe el wrapper y no puede detectar ninguna diferencia en el sistema.
Los wrappers son interesantes porque son flexibles. Pueden actuar como firewalls y en realidad pueden rechazar usuarios con base en sus nombres de usuarios al igual que en sus nombres de dominios. Además permite crear callejones sin salida que permiten atrapar piratas.
El modo proxy es un método permite ocultar datos por medio de reenrutamiento de las solicitudes. Es útil para usuarios que están detrás de una firewall. Los usuarios establecen una dirección proxy de su navegador para que apunte hacia su servidor Web. El servidor Web maneja entonces la dirección real de los datos hacia el mundo exterior. Esto reduce la dirección que el usuario está tomando cuando deja su sistema, permitiéndole al usuario enrutar los datos los datos a través de los agujeros en sus propias firewalls. La otra ventaja es que las solicitudes pueden ser filtradas por el software del servidor. Al filtrar la información, puede restringir el contenido y rastrear el uso al igual que modificar la información en ese instante.
Los servidores proxy también pueden ser dirigidos a otros servidores proxy, lo cual les permite ocultar datos en forma efectiva.
Otra ventaja de los servidores proxy es que los servicios como FTP, Telnet, Gopher, NetnNews, etc., pueden ser erutados a servidores diferentes. Esto le permite distribuir diversas cargas de servidor Web a diferentes servidores físicos. Además de beneficiarse con el ocultamiento de los datos, ser reduce la carga del servidor.
0 comentarios:
Publicar un comentario