Seguridad del e commerce

AutorAntoni Martín, Francisco de Quinto Zumárraga

9.1. La evolución del e-commerce

Habíamos definido el e-commerce o comercio electrónico como parte del e-business, orientado a la venta y compra de productos y servicios a través de internet. La seguridad y la privacidad de la información son fundamentales, por tanto, a la hora de adquirir un producto o servicio que ofrezca al usuario doméstico o a la empresa en una web.

El e-commerce en España está todavía por desarrollar y llegar a los niveles de otros países del nivel tecnológico equivalente, sobre todo a niveles de consumidor. Basta con citar la comparación de que por ejemplo en EEUU el 80% de los billetes se compran a través de websites de compañías aéreas y agencias de viajes. En el ámbito europeo, muchas de las incertidumbres que existen para la explosión y crecimiento del comercio electrónico se han centrado en la seguridad de las transacciones. Por lo que este crecimiento previsto se debe ?aprovechar? para adecuar las tiendas virtuales a los niveles requeridos sobre seguridad y privacidad.

EL E-COMMERCE EN ESPAÑA

1997 4,81

1998 20,43

1999 51,09

2000 126,21

2001 383,15

2002 1.532,58

Cifras en millones de euros.

Fuente: ACE

UN DATO CLAVE

Según la Agencia de Protección de Datos el 80% de los websites no cumplen la normativa sobre protección de datos.

Fig. IX-1. Algunos datos relevantes del e-commerce en España.

9.2. Seguridad en las Bases de datos del e-business

Las aplicaciones de negocio internas y externas de una organización dentro de su e-business suelen funcionar junto con bases de datos, las cuales son los contenedores de la información, alguna de ella restringida, y representan por lo tanto, el corazón de la seguridad de la información. Esta capa de información, la última empezando por el usuario es la contenedora del repositorio de valor de la empresa: aquello que quiere proteger la empresa es la información y ésta se localiza en las bases de datos.

Las aplicaciones de las empresas orientadas a Internet que utilizan bases de datos podemos clasificarlas en:

? ERP. Conjunto de aplicaciones de gestión para llevar la facturación, contabilidad, recursos humanos, gestión de almacén, clientes, etc.

? Extranets. Donde el cliente de la empresa accede directamente a su información para poder consultarla (por ejemplo, las facturas pendientes) y en algunos casos poder interactuar con ella.

? CRM (Costumer Relationships Manager). Aplicaciones orientadas a mejorar el servicio al cliente para ofrecerle el mejor servicio desde la identificación de sus necesidades a la captación de clientes perdidos. Son aplicaciones orientadas al equipo comercial y de marketing.

? Business Intelligence-Datawarehouse. Representan un último grado de conocimiento de la información interna de la empresa, para poder extrapolar conocimiento de las mismas bases de datos de los ERP, CRM, etc, y tomar conclusiones de negocio.

Las técnicas asociadas a la seguridad en las bases de datos, están tendiendo en las siguientes áreas de trabajo:

? Técnicas de control de acceso y modelos de seguridad. Este campo estará orientado tanto al diseño de nuevas técnicas de control de acceso como al perfeccionamiento de técnicas de control de acceso ya existentes, incorporándole aspectos de otras modalidades de control de acceso, como por ejemplo considerar el control de acceso obligatorio, añadiendo la clasificación tanto de objetos como de sujetos en roles. Las últimas versiones de bases de datos, SQL Server, Oracle, etc, disponen de herramientas de seguridad de control de acceso y autenticación para poder disponer de un sistema homogéneo de seguridad en la organización.

? Bases de datos Multinivel. Investigaciones en el diseño de bases de datos multinivel que permitan clasificar en diversos niveles de seguridad tanto los objetos como los sujetos, estableciendo arquitecturas que aseguren la confidencialidad de la información, de tal forma que sólo aquellos sujetos que tengan un nivel de autorización suficiente puedan acceder a la información dependiendo del nivel de seguridad que ésta tenga.

? Seguridad en DataWarehouse. Tanto la aparición de los almacenes de datos (data warehousing) como la utilización de técnicas de recuperación de datos (data mining) están provocando la necesidad de establecer nuevas técnicas de seguridad debido a problemas arquitecturales, de inferencia, de administración, de auditoría y de privacidad. Por lo tanto la investigación de estas técnicas será una de las actividades a las que prestaremos más atención dentro de la red temática de seguridad.

? Metodologías para el diseño de bases de datos seguras. Se pretende realizar investigaciones sobre metodologías completas para el diseño de bases de datos seguras multinivel, considerando nuevos ciclos de vida, nuevos modelos y nuevas técnicas de seguridad, de tal forma que la seguridad esté presente en todas las fases de las metodologías. Todas estas metodologías de seguridad deben estra orientadas a la normativa de Protección de Datos Personales.

? Seguridad en bases de datos orientadas a web. Puesto que el desarrollo del Comercio Electrónico depende de la comunicación entre front-ends de acceso a la información basados en un servidor Web y de sistemas de bases de datos que mantienen la información que se ofrece, resulta muy importante realizar investigaciones para garantizar la seguridad de la información almacenada en esas bases de datos, y del flujo de información a través de las redes. Estos servicios orientado normalmente en Extranets.

Fig. IX-2. La plataforma CCS Profesionales incorpora funcionalidades BI mediante el módulo

CMI-Cuadro de Mando Integral. CMI es una herramienta de análisis de datos y de ayuda en la toma de decisiones para despachos profesionales.

Fig. IX-3. Las Bases de datos alojadas en servidores web, son algunos servicios que pueden ofrecer un ISP. La seguridad se hace en este caso vital, teniendo cada BBDD su usuario y su rol, como es el caso del ejemplo con SQL Server funcionando en hosting.

? Criptografía en Bases de Datos. Uno de los principales aspectos característicos de la seguridad es la confidencialidad, y para poder garantizarla es necesario evitar que sujetos no autorizados accedan a la información confidencial. Puesto que en muchos casos las bases de datos almacenan información secreta, que debe ser protegida por su carácter personal, o que requiere ser especialmente protegida, es vital cifrar la información con nuevas técnicas de criptografía que garanticen la confidencialidad de la información.

Añadimos aquí las copias de respaldo de las bases de datos que de igual manera conviene cifralas por los mismo motivos anteriores.

RecuerdeEl objetivo principal de la seguridad en Internet y en el comercio electrónico reside en la seguridad de la información, cuyo repositorio final son las BASES DE DATOS de la organización, que deberán aportar todas las herramientas y funciones de seguridad posibles.

9.3. Soluciones de seguridad

9.3.1. El círculo tecnológico de seguridad

Fig. IX-4. El círculo tecnológico de seguridad en Internet.

El siguiente cuadro pretende resumir las tecnologías de seguridad en una arquitectura ebusiness enfocadas en las claves de seguridad (o requisitos) que juntos formarían la arquitectura de seguridad de la organización, soluciones a integrar en el CIRCULO DE SEGURIDAD:

AUTENTICACIÓN Contraseñas, tokens, Certificados digitales ?firma electrónica-, dispositivos biométricos.

CONTROL DE ACCESO Filtrado IP/host, Socks, Gateways, DMZ, ACLs, Certifi cados.

CONFIDENCIALIDAD Encriptación simétrica/asimétrica.

INTEGRIDAD Message Authenticaction Code (MAC), Hash, Firma electrónica, Antivirus.

NO REPUDIO Firma electrónica, Trusted Third Parties...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR