Aspectos técnicos y de mercado

Autor:Raúl Rubio Velázquez/Carlos Rodríguez Sau/Ramiro Muñoz Muñoz
Cargo del Autor:Abogado/Abogado/Diplomado en Informática
Páginas:165-292
RESUMEN

XV. Introducción - XVI. Seguridad en los sistemas de información - 37. ¿Qué tipos de amenazas podemos encontrarnos en Internet de las que deberíamos protegernos? - 37.1. Confidencialidad - 37.2. Integridad - 37.3. Autenticidad - 37.4. Disponibilidad - 37.5. Repudio - 38. ¿Cuáles son los salvaguardas de los que disponemos para cubrir estas amenazas? - XVII.Criptografía - 39. Criptografía simétrica - 40. Criptografía asimétrica o de clave pública - 41. Doble uso de la clave privada - 42. Procesos de intercambio de clave simétrica... (ver resumen completo)

 
ÍNDICE
EXTRACTO GRATUITO

Page 167

XV Introducción

Es innegable que la firma electrónica tiene un perfil técnico muy significativo que es recomendable conocer para analizarla y entenderla correctamente. Este es el principal objetivo de esta parte, intentaremos dar una visión lo mas simple y amena posible para aquellos cuyo perfil no sea técnico, pero a la vez intentando no perder los puntos esenciales sin los cuales no podríamos entender en toda su amplitud la firma electrónica.

De la misma forma que utilizamos un coche y no tenemos que conocer todos sus mecanismos, deberíamos ser capaces de utilizar la firma sin ser unos expertos en criptografía. Claro que siempre es mejor tener algunos conceptos de mecánica (¿quien no lo ha echado en falta en más de una ocasión?).

Este apartado se destina a aquel que quiere iniciarse en el uso de los certificados y firmas digitales y conocer su entorno técnico-organizativo. Todo esto tomando como marco la nueva Ley 59/2003, de 19 de diciembre, de firma electrónica y la Directiva 1999/93/CE.

La firma electrónica debe considerarse principal-mente un elemento de control del riesgo en transacciones electrónicas, una herramienta capaz de dotar a dichas transacciones de las propiedades necesarias para trasladar los trámites que actualmente se realizan en un entorno físico a un entorno electrónico. El traspaso al mundo digital nos revierte múltiples beneficios sobre todo cuando el acceso a las redes de comunicación especialmente Internet, esta siendo un servicio universalmente extendido.

Para ofrecer algunos datos diríamos que una compañía de 1.000 empleados gasta sobre 81.700 horas hombre anualmente gestionando documentos físicos,
1.000.000 faxes, 9.000.000 de páginas impresas y
4.000.000 de fotocopias. Contemos también con los ahorros de tiempo en gestionar físicamente transacciones con la administración pública, con nuestras entidades bancarias, con nuestra empresa de seguros, con el supermercado, etc. Las ventajas del viaje al mundo digital son incuestionables.

Existen múltiples ventajas, pero también barreras cul-

Page 168

turales y legales así como desafíos técnicos que necesitan ser resueltos. Este viaje al mundo digital no está libre de riesgos, riesgos que deben ser evaluados y resueltos. Es necesario encontrar soluciones efectivas a precios razonables. No tiene sentido aplicar medidas de control más caras que el valor económico de las transacciones que queremos proteger. Ni cubrir con remedios poco efectivos, transacciones de alto nivel de riesgo, ya sean económicos o de imagen.

La presencia física para poder facilitar el acceso a muchos servicios, son uno de los obstáculos mas importantes en el desarrollo de las transacciones electrónicas. Necesitamos encontrar un proceso remoto que sustituya a la firma manuscrita, es decir una prueba fehaciente sobre la voluntad de una persona de suscribir los términos descritos en un documento o en una transacción.

En este apartado revisaremos:

Aspectos técnicos:

Un ligero repaso a los conceptos técnicos en los que se basan la creación y contenido de los certificados digitales y por consiguiente la firma electrónica avanzada.

Aspectos organizativos:

Posteriormente trataremos los certificados digitales, las infraestructuras de clave pública, los servicios de sellado de tiempo, los sistemas de consulta OCSP y los prestadores de servicios de certificación.

Veremos los distintos mecanismos y modelos de confianza que nos permitirán intercambiar acre-ditaciones digitales entre comunidades distintas.

Aplicaciones:

Por fin veremos las aplicaciones y usos más comunes de los certificados digitales.

Page 171

XVI Seguridad en los sistemas de información

Hablar de seguridad en los sistemas de información es algo relativamente novedoso al menos en lo que respecta a los sistemas comerciales, centrados principalmente en objetivos más prosaicos. Trasladando al mundo informático aquella máxima usada por ciertos medios de comunicación: “No dejemos que la verdad estropee una buena noticia” podríamos decir “No dejemos que la falta de seguridad retrase la puesta en marcha de una aplicación”. La tecnología es un arma de doble filo, mal usada puede producir desde pequeñas tragedias a auténticos desastres (quien no conoce o ha sufrido en sus propias carnes alguno). La seguridad siempre ha sido un elemento residual, principalmente porque la seguridad significa costes e incomodidades y un retorno de la inversión nunca inmediato (tendremos que esperar a que se produzca una incidencia para valorarlo). Pero la utilización de medidas de seguridad proporcionadas define claramente la madurez tecnológica de una empresa.

¿Cuáles han sido las causas que han hecho que la seguridad informática sea un asunto del que poco a poco se va teniendo más en cuenta?. ¿Qué ha cambiado desde el uso de los grandes sistemas “Mainframe” a los actuales dispositivos móviles?.

La respuesta a esta pregunta la encontramos en la “conectividad”. Las máquinas han pasado de tener el control absoluto a distribuirlo a máquinas mas pequeñas y ágiles. Esta distribución (downsizing) trae como consecuencia la descentralización y delegación de los mecanismos de seguridad. Aunque este movimiento ya se estaba produciendo antes de la aparición de Internet, es indudable que la red de redes ha influido de forma considerable en la aceleración de este proceso de distribución de la inseguridad.

Podemos decir que a la conectividad total, se añade la estandarización de sistemas y protocolos. Un sistema propietario, no es mucho mas seguro, pero es conocido por un universo relativamente pequeño de personas y por tanto el riesgo de incidentes debido a lo limitado de la amenaza es muy pequeño. Los incidentes en este caso provienen mayoritariamente de

Page 172

fuentes internas (empleados). Los incidentes en sistemas ampliamente conocidos digamos…. Windows, son exageradamente altos, cualquier vulnerabilidad del sistema tiene unas probabilidades muy altas de ser: localizado, utilizado y distribuido en forma de Exploit.

Es impensable hoy en día trabajar desconectados. Es impresionante los cambios producidos y que han revolucionado la Informática en los últimos 30 años. Pero el más impactante y el que ha puesto todo “patas arriba” ha sido la irrupción y la explosiva expansión de Internet.

El comercio electrónico (que ya existía antes de Internet), encuentra en este nuevo medio un potenciador, una herramienta fundamental para su expansión, dando acceso a un número inmenso y creciente de posibles clientes, permitiendo estar en contacto 24 horas al día, 7 días a la semana y de manera inmediata. Los servicios posibles son muchos y diversos, no solamente con los clientes (Internet), sino con los proveedores (extranet) y con los propios recursos internos (intranet).

Partiendo de este importante hecho, se pone de manifiesto que la seguridad de Internet no es lo suficientemente consistente para soportar el peso de lo que se le viene encima. Internet no fue diseñado para lo que es actualmente. Los protocolos (TCP/IP) sobre los que se estructura la red no están pensados para ofrecer seguridad...

Para continuar leyendo

SOLICITA TU PRUEBA