Haga click para descargar y leer el informe.
Resumen ejecutivo
El Intercambio Electrónico de Datos (“Electronic Data Interchange” – EDI) representa para muchos una de las primeras tecnologías de información que cruzó la barrera entre las actividades internas de los usuarios y los negocios. El EDI, precursor del comercio electrónico, también extendió la definición clásica de seguridad: confidencialidad, integridad, privacidad y disponibilidad, para incorporar los conceptos de legalidad y asignación de responsabilidades. Este cambio significativo se ha producido porque ahora los negocios están operando sobre la base de enviar y recibir mensajes electrónicos que reemplazan a los tradicionales documentos físicos. Para considerar la seguridad, las empresas deben revisar cuidadosamente los procesos que están reemplazando, en todo o en parte, con las nuevas tecnologías computacionales.
Desde que IBM acuñara el término e-business en 1997, se ha venido produciendo un cambio de paradigma en la forma de hacer negocios utilizando plataformas electrónicas. Porque el e-commerce era hasta ese momento el concepto asociado con las operaciones de compra y venta por Internet. Sin embargo, hoy en día e-commerce representa uno de los varios aspectos del e-business, junto con las franquicias electrónicas, el correo y el marketing electrónicos*.
Quizá uno de los aspectos más relevantes de un proyecto de negocios electrónicos es la seguridad. Sin importar si estamos utilizando una aplicación de negocio-a-negocio o de negocio-a-consumidor, existirán siempre ciertos elementos (personas o procesos) que pretendan obtener acceso y tomar los bienes corporativos en forma no autorizada, o simplemente causar inconvenientes en la operación de los sistemas.
Como lo establece [VERISIGN 2001]: “Los negocios que sepan administrar y procesar transacciones electrónicas pueden obtener una ventaja competitiva alcanzando una audiencia global a muy bajo costo. Pero la Web posee un conjunto único de aspectos de confiabilidad que las empresas deben considerar para minimizar los riesgos. Los clientes suministran información y adquieren bienes y servicios vía Internet solo cuando tienen la certeza de que sus datos personales, tal como los números de tarjeta de crédito y la información financiera, están seguros y se manejan confidencialmente.”
“La solución para las compañías que pretendan ingresar seriamente al comercio electrónico es implantar una estructura de negocios confiable. La criptografía de llave pública (PKI) y la tecnología de firmas digitales, aplicadas mediante certificados digitales, proporcionan las características de autenticación, integridad y privacidad de la información, necesarias para un ambiente adecuado de comercio electrónico. Los sistemas de pago por Internet, proporcionan a su vez la capacidad para aceptar y procesar una variedad de transacciones de compra-venta para los clientes.”
El objetivo fundamental de este trabajo es desarrollar de una manera integral los principios de seguridad y protección de la información que las personas o las organizaciones deben considerar si desean incorporarse al mundo de los negocios digitales.
El documento se estructura en tres grandes temas:
– Comercio electrónico del cual se incorpora una breve relación debido a que existe un informe previo del Club de Investigación elaborado por el Dr. Roberto Sasso, donde se desarrollan clara y precisamente sus conceptos esenciales;
– Red Internet enfatizando sus orígenes, los componentes principales, la naturaleza de su funcionamiento y la necesidad de incorporar nociones de resguardo y protección en su uso diario y
– Técnicas de seguridad (herramientas y mecanismos) estándares más efectivas para promover y garantizar los negocios tecnológicos.
El documento no presenta un capítulo separado de conclusiones, ya que las recomendaciones se dan a lo largo del texto. Por la amplitud del tema, el Club editará informes adicionales que profundicen más sobre la temática de la seguridad informática.
De los autores
Edgar Hernández es consultor independiente en Computación e Informática y profesor del Centro de Formación en Tecnologías de Información (CENFOTEC). Posee una licenciatura en Informática y es egresado del Programa de Maestría en Computación del Instituto Tecnológico de Costa Rica.
Marco Gámez trabaja en el Departamento de Auditoría Interna de la Superintendencia General de Entidades Financieras (SUGEF) como Auditor de Sistemas. Tiene una licenciatura en Sistemas de Información por la Universidad Internacional de las Américas y actualmente se encuentra preparando su trabajo de tesis en el Programa de Maestría en Computación del Instituto Tecnológico de Costa Rica.
Agradecimientos
Se agradece a Ignacio Trejos y Xinia Robles por la pertinencia de sus observaciones y comentarios que contribuyeron en gran medida a presentar a los lectores un trabajo de mayor calidad. Los autores asumen la total responsabilidad de cualquier error de contenido o de forma que pueda tener el informe.