HFD> Publicaciones Trabajos

MASTER EN DIRECCIÓN DE SISTEMAS DE INFORMACION
USAL – STATE UNIVERSITY OF NEW YORK
CURSO AÑO 2001

"PROTECCIÓN PÁGINAS WEB INSTITUCIONALES"

ALUMNOS AUTORES:

Lic, Luis Blanco
Lic, Pablo Sandigliano Forni

Cátedra: DERECHO EMPRESARIO
Profesor: Dr. Horacio Fernández Delpech

A menudo quienes violan el acceso lógico a los sistemas son las mismas personas que pueden aprovecharse de las exposiciones de riesgo físico; aunque las destrezas que se requieren para aprovecharse de las exposiciones a riesgos lógicos sean de índole superiormente técnica y complejas.

Los piratas informáticos, por lo general intentan poner a prueba los límites de las restricciones de acceso a los sistemas para demostrar su capacidad para superar los obstáculos que ellos brindan. Algunos de ellos, a menudo no ingresan con el propósito de destrucción, aunque a veces ese es el resultado final.

Por otro lado, los empleados de Sistemas de una compañía generalmente cuentan con acceso a la información más fácilmente debido a que custodian la información. Sobre lo menciondo, los controles de acceso lógico, la buena segregación de funciones y supervisión ayudan a controlarlos.

La exposición a los riesgos de delitos informáticos.

Los delincuentes pueden utilizar los sistemas informáticos para robar dinero, bienes, software o información de la empresa, por ejemplo un listado de clientes. También constituye un delito cuando se manipula el proceso de aplicación o datos para que se acepte información falsa o transacciones no autorizadas. También está el simple expediente para nada técnico de robarse el computador. Pueden cometerse delitos informáticos sin que nada sea sustraído. La mera visualización de información puede brindarle al delincuente suficiente información para robar ideas o información confidencial.

Los delitos informáticos generalmente se cometen con el fin de aprovechar el computador y la información que contiene para realizar un perjuicio para la reputación, la moral y la misma existencia de una organización. El resultado puede consistir en la pérdida de clientes, una situación embarazosa para la gerencia y el inicio de acciones legales contra la organización. Entre las amenazas para la organización se cuentan:

Pérdidas financieras
Pueden ser directas, por la pérdida de fondos electrónicos, o indirectos, a causa de los costos de corregir la exposición al riesgo.

Repercusiones legales
Existen numerosas leyes que protegen derechos de privacidad y los derechos humanos que deben ser tenidos en cuenta por la organización en la etapa de desarrollo de las políticas y procedimientos de seguridad. Estas leyes pueden postergar la organización, pero también proteger de juicios al causante. Asimismo, el hecho de no contar con medidas correctas de seguridad puede exponer a la organización a juicios de los inversores o asegurados si se produjera una pérdida significativa por violación de la seguridad.

La mayoría de las empresas están bajo la supervisión de entes de contralor según el negocio que realizan y cuyas normas deben acatar.

Pérdida de credibilidad o margen de competitividad
Muchas organizaciones, en especial las empresas de servicios como los bancos, entidades de ahorro y préstamo o inversiones, necesitan una alta credibilidad y confianza del público para mantener su competitividad o incluso seguir funcionando. Una violación a la seguridad puede dañar gravemente esa credibilidad, con la consiguiente pérdida de negocios y prestigio.

Chantaje / espionaje industrial
Al lograr acceso a la información confidencial o los medios para efectuar un impacto adverso sobre las operaciones del computador, puede exigírsela a la organización pagos o servicios bajo amenazas de aprovecharse la brecha en la seguridad.

Divulgación de información confidencial, sensible o embarazosa
Tal como se mencionó anteriormente, tales hechos pueden dañar la credibilidad de una organización y los medios que utiliza para realizar el negocio. También puede ocasionar que se presenten acciones legales o de índole administrativa contra la empresa.

Sabotaje
En algunos casos no se busca una ganancia financiera, sino que simplemente mueve el deseo de realizar un daño. Puede darse cuando el causante odia la organización o simplemente desea un reto contra el cual enfrentarse.

A continuación, se describe el proceso de protección de páginas web que actualmente se utiliza en la mayoría de los sitios en Internet.

El uso de Internet ha crecido enormemente durante los recientes años, para ser más específicos, muchas empresas, como por ejemplo las instituciones bancarias en la Argentina, han instalado productos denominados Internet Banking o e-banking, para comercializar sus servicios o productos y, además, permitir a sus clientes operar y/o consultar en forma ON-Line desde cualquier computadora que cuente con conexión a Internet, sus cuentas, saldos, vencimientos, pagos de servicios, etc.

El objetivo principal de este negocio es la instalación de un producto informático que permita a los clientes acceder a sus cuentas por medio de una página en Internet. Para ello las empresas han tenido que invertir e invierten mucho dinero para poder lograr que las páginas institucionales y portales no sean modificadas por personal no autorizado y hagan que dichos problemas causen una mala imagen a la institución.

Sobre lo mencionado, podemos rescatar que existen elementos que por sí son entendibles y conocidos a simple vista, pero existe un grupo de elementos que no se ven y que son ellos los que permiten asegurar que las empresas se encuentran aseguradas contra ataques de todo tipo. Para que se entienda bien este tema, a continuación detallamos elementos que agregan seguridad al comercio electrónico en Internet, a saber:

Internet Banking (IB) se podría categorizar de la siguiente manera:

Servicios electrónicos: Servicios que se realizan sin intervención humana.
Servicios manuales: Se utiliza la intervención humana en el proceso para brindar servicio.
Generalmente los modelos de IB cuentan con un 90 % servicios transaccionales electrónicos y un 10% se basa en transacciones cursadas por e-mail o formularios electrónicos que serán atendidos por algunos sectores del Banco en forma manual.

Seguridad

Los estándares de las empresas y entes reguladores establecen que la seguridad de los servicios brindados por medio de la red de Internet se deben valorizar de la siguiente manera:

Nivel 1: Orientado solamente para propósitos de marketing. Objetivo principal: Recolectar información de los usuarios que visitan la página.

Nivel 2: Consultas de usuarios autorizados a servicios de bajo y mediano riesgo (ej: consultas sobre cuentas).

Nivel 3: Servicio totalmente electrónico. Acceso de usuarios autorizados a servicios valuados como de alto riesgo (ej: transferencia de dinero entre sus cuentas).

Si bien todos estos niveles deben ser protegidos para no permitir el acceso no autorizado a cambios sobre los elementos que componen en servicio de IB, el siguiente cuadro indica un resumen de la protección de seguridad que debería contar cada uno de los niveles mencionados:

Administración de la seguridad lógica:

Por sí sola la seguridad no puede ser administrada, todas las organizaciones que cuentan con este tipo de servicio cuentan con un sector que realiza un seguimiento de los usuarios y control de acceso sobre los equipos y programas. Además, se utilizan registros de auditoría y alarmas activadas para alertar sobre accesos no autorizados o errores en equipos y programas, debiendo ser revisadas diariamente.

Acceso del cliente a la aplicación:

Existen muchos diseños de páginas web distintos para el acceso a los productos que presentan las compañías, algunos se encuentran desarrollados bajo el lenguaje de programación HTML, otros en Java, otros en XML, etc. Esto diseños permiten mostrar modernos sistemas de navegación, haciendo muy atractiva y amigable la operación de los sistemas. Para que los usuarios del sistema puedan acceder, en muchos casos deben autenticarse o darse a conocer ante un sistema de acceso y de acuerdo con los lineamientos de seguridad de datos impuesto por la compañía. Generalmente estos productos (e-banking) cuentan con una conexión segura, luego de ingresar su usuario y password que obtienen de la compañía en donde contienen su dinero. Una vez que la información es aceptada por el sistema, el usuario cuenta con la información necesaria para poder transaccionar con sus propias cuentas.

Para que la conexión sea segura y los datos no puedan ser accedidos y/o modificados por otra persona que no sea el dueño de los datos, la información se transmite cifrada:

Si ponemos el ejemplo de una organización bancaria que cuenta con varias equipos hasta acceder a los datos y luego devolver éstos en forma segura al usuario que los está solicitando, la criptografía debe ser utilizada en toda su arquitectura de comunicación y en todos sus ambientes, debido a que no solo tenemos el riesgo de que alguien de afuera nos esté viendo los datos, sino que puede existir la posibilidad que una persona interna de la organización esté visualizando o modificando los datos, para ellos se deben diseñar un sistema de encriptado de datos en todas las etapas.

Como ejemplo ponemos este diseño de arquitectura de comunicaciones para ser más específicos, a saber:

Etapa 1: Entre el usuario de Internet y el Web Server instalado en el Virtual Vault, se utiliza información cifrada bajo SSL de 128 bits. Además, se manejan certificados a nivel del web server provistos por la empresa Verisign. Este diseño de estructura genera un túnel de conexión seguro donde la información viaja cifrada.

Etapa 2: La conexión que se realiza entre el Web Server y Transacción Manager (le dice donde tiene que ir la información dentro de la empresa), se encuentra cifrada bajo un RSA de 1024, donde todos los mensajes son cifrados y autenticados.

Etapa 3: El cifrado de mensajes entre el servidor de transacciones y el Host o Mainframe, es realizado utilizando un algoritmo DES de 56 bits.

Queda muy claro que desde el cliente hasta el host que contiene los datos la información viaja segura y encriptada a la ida y a la vuelta.

Pistas de Auditoría:

Cada uno de los equipos informáticos y plataformas utilizadas para brindar el servicio de Internet Home Banking, cuenta con su propia pista de Auditoría. Esto permite contar con los registros de lo que ocurrió en cada etapa de la transmisión. Cabe mencionar que hoy en día se cuentan con dos tipos de pistas de Auditoría, aquellos que registran las entradas y salidas de usuarios (Logs) y aquellos que registran las operaciones (Journals).

Protección de las redes de la empresa:

Las empresas utilizan los siguientes productos para poder proteger sus redes de accesos no debidos:

Routers y Firewall ayudan a que la empresa tenga una protección de sus redes contra Internet. Cabe agregar que recientemente se han creado unos productos que simulan una protección de red y además permiten contar con una conexión segura por medio del clave (VPN – Red privada Virtual) a los cuales la gente les tiene un poco de miedo.

Ley de Firma Digital:

Habiéndose consultado con abogados, si existía algún proyecto de ley de firma digital sancionadas o con media sanción en el Congreso de la Nación Argentina para su aprobación, se nos respondió:

Que de acuerdo con lo informado por la Oficina de Información Parlamentaria del Congreso Nacional, aún no se ha sancionado ninguna ley sobre firma digital. Tampoco existen proyectos con media sanción de las Cámaras de Diputados ni Senadores.

Sin perjuicio de lo expuesto, existe un gran número de proyectos de ley sobre el tema. Los más recientes son:

(i) Expte 3534/2000 (Trámite Parlamentario 72)

(ii) Expte 5460/2000 (Trámite Parlamentario 125)

(iii) Expte 7099/2000 (Trámite Parlamentario 168)

(iv) Expte 1555/2000 (Diario de Asuntos Entrados 62)

El Poder Ejecutivo Nacional de la República Argentina dispuso la creación de la Infraestructura de Firma Digital, aplicable al Sector Público Nacional, a través de la aprobación del Decreto Nº 427 del 16 de Abril de 1998.

Esta clase de Infraestructura es también conocida como de "clave pública" o por su equivalente en inglés (Public Key Infrastructure o PKI). La normativa crea el marco regulatorio para el empleo de la firma digital en la instrumentación de los actos internos del Sector Público Nacional que no produzcan efectos jurídicos individuales en forma directa, otorgándole a esta nueva tecnología similares efectos que a la firma ológrafa.

Conclusión:

El negocio de Internet y del e-commerce ha hecho millonarias a muchas personas. Viendo esta situación, muchos bancos en el mundo han comenzado a explotar la utilización de la Internet en sus negocios. En efecto, el comercio en internet debería ser interpretado como el e-commerce. Tecnologías Emergentes para negocios urgentes, las nuevas tecnologías conectan al mundo más y más. Desarrollos de dispositivos móviles, smart cards, redes extendidas (MAN, WAN, etc.), dispositivos biométricos, dispositivos inalámbricos que pueden procesar, almacenar, trasmitir una gran cantidad de datos e información a una velocidad sorprendente, hacen que cada día más se asemejen a los dispositivos que se mostraban en las antiguas series cinematográficas de viajes intergalácticos.

El resultado podría ser que toda transacción que un consumidor (cliente) pudiera hacer, la realice por medio de alguna especie de red de comunicación, que conecte a diversos dispositivos sin importar dónde se encuentre, siendo hoy en día la más preponderante Internet.

Existen interrelaciones que están surgiendo en el E-Mundo a medida que los dispositivos surjan, las capacidades de las redes de comunicación lo permitan, y las entidades financieras estructuren sus negocios, diversos tipos de interrelaciones podrían surgir en el ámbito bancario y/o financiero: Banco a cliente, donde podemos acuñar el término (Bk2C) Banco a negocio (business), y aquí el término (Bk2B) Cliente vendedor a cliente comprador (C2C) Negocio vendedor a cliente comprador (B2C) Negocio vendedor a negocio comprador (B2B).

Esto seguramente irá cambiando, y las nuevas tecnologías crearán y permitirán la posibilidad -a veces la necesidad- de servir como facilitadores y/o intermediadores en distintos segmentos de mercado no tradicional.

Esta situación puede representar una gran oportunidad para todos los negocios, pues pueden proveer una atractiva opción para los clientes que necesitan comerciar en forma online. El problema radica fundamentalmente en que al no contar con leyes que regulen el comercio electrónico de Internet en forma segura, confiable e íntegra, no permite que las empresas implanten nuevos negocios y maximicen su capacidad de comerciar en este medio.

Tal como se como se puede apreciar en el presente trabajo las instituciones privadas de las Argentina utilizan la última tecnología en comercio electrónico, demostrando que se pueden brindar la última tecnología y seguros canales de comercialización sin contar con leyes que lo regulen.

Muchos piensan que las posibilidades en Argentina están limitadas, pero desde nuestro punto de vista no existen límites para esta nueva era.

Hacia una ley de firma digital.

Por el Dr. Antonio Coghlan e-mail: coghlana@estudio-ofarrell.com.ar y el Dr. Alejandro Anderlic e-mail: anderlica@estudio-ofarrell.com.ar del Estudio O´Farrell:

Aceptemos que un archivo electrónico es un verdadero documento, que es de uso cada vez más frecuente en la práctica y que en ocasiones hasta puede reemplazar con gran ventaja formas más tradicionales de instrumentar los negocios. Esto nos lleva a asimilar ese archivo electrónico en principio a lo que en términos jurídicos se conoce como un instrumento privado.

Es cierto que los instrumentos privados, si bien no exigen formalidades especiales, deben tener la firma de las partes. Pero eso no quiere decir que un instrumento no firmado carezca de todo valor, pues vale como prueba, sumada a otros medios probatorios, de la existencia de su contenido, sea este un contrato u otro acto jurídico.

Ahora bien, como la ley argentina supone que la firma debe ser manuscrita y todavía no contiene ninguna referencia a la firma digital, se podrá disentir acerca de si un archivo electrónico que incluye firmas digitales debe ser considerado un instrumento privado firmado o no firmado. Pero, en cualquier caso, lo que no puede ser puesto en duda es que un contrato electrónico que incluye firmas digitales tiene por lógica más peso probatorio que un archivo no firmado.

Por consiguiente, una primera inferencia que se desprende es que de ninguna manera puede ser indiferente para la suerte de un documento que el mismo contenga o no la firma electrónica de las partes interesadas. Y esto es así aun no habiéndose sancionado la ley de firma digital.

Pero, además, se pone de manifiesto que el efecto de la sanción de la ley de firma digital no consiste en otorgar valor probatorio a la firma digital, sino en elevarla a la categoría jurídica de firma legalmente admitida a la par de la manuscrita. Para ello, la ley no debe ocuparse de consagrar una determinada solución técnica para la firma digital, sino que debe diseñar el sistema de certificación de la autoría de la firma digital, cualquiera sea las soluciones técnicas.