manual procedimiento

285 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
285
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

manual procedimiento

  1. 1. ESCUELA POLITÉCNICA DEL EJÉRCITOCOMERCIO ELECTRONICO DANIEL QUISHPIDEPARTAMENTO DE CIENCIAS DE LACOMPUTACIÓNCARRERA INGENIERÍA EN SISTEMASPACACTIVIDAD 7ALUMNO: DANIEL QUISHPI
  2. 2. ESCUELA POLITÉCNICA DEL EJÉRCITOCOMERCIO ELECTRONICO DANIEL QUISHPIManual políticas de seguridadPOLÍTICAS DE SEGURIDADGENERALIDADESLa seguridad informática ha tomado gran auge, debido a las cambiantescondiciones y nuevas plataformas tecnológicas disponibles. La posibilidadde interconectarse a través de redes, ha abierto nuevos horizontes a lasempresas para mejorar su productividad y poder explorar más allá de lasfronteras nacionales, lo cual lógicamente ha traído consigo, la aparición denuevas amenazas para los sistemas de información.ALCANCE DE LAS POLÍTICASEste manual de políticas de seguridad es elaborado de acuerdo al análisisde riesgos y de vulnerabilidadesOBJETIVOSDesarrollar un manual de seguridad significa "planear, organizar, dirigir ycontrolar las actividades para mantener y garantizar la integridad física delos recursos informáticos, así como resguardar los activos de la empresa".ANÁLISIS DE LAS RAZONES QUE IMPIDEN LA APLICACIÓN DE LASPOLÍTICAS DE SEGURIDAD INFORMÁTICAA pesar de que un gran número de organizaciones canalizan sus esfuerzospara definir directrices de seguridad y concretarlas en documentos queorienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que laprimera barrera que se enfrenta es convencer a los altos ejecutivos de lanecesidad y beneficios de buenas políticas de seguridad informática.RESPONSABILIDADESEs responsabilidad del supervisor de Seguridad Informática, desarrollar losProcedimientos de Seguridad. Asimismo, es responsabilidad del supervisorinmediato capacitar a sus empleados en lo relacionado con losProcedimientos de Seguridad.
  3. 3. ESCUELA POLITÉCNICA DEL EJÉRCITOCOMERCIO ELECTRONICO DANIEL QUISHPIBENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD INFORMÁTICALos beneficios de un sistema de seguridad con políticas claramenteconcebidas bien elaboradas son inmediatos, ya que trabajará sobre unaplataforma confiable.PLAN DE CONTINGENCIASo Continuar con la operación del área con procedimientos informáticosalternos.o Tener los respaldos de información en un lugar seguro, fuera del lugaren el que se encuentran los equipos.o Tener el apoyo por medios magnéticos o en forma documental, de lasoperaciones necesarias para reconstruir los archivos dañados.o Ejecutar pruebas de la funcionalidad del plan.¿QUÉ ES UN CERTIFICADO?Un certificado electrónico es un documento firmado electrónicamentepor un prestador de servicios de certificación que vincula la identidadde cada usuario con las herramientas de firma electrónica (clavescriptográficas), dándole a conocer como firmante en el ámbitotelemático.SÍ, ¿PERO DÓNDE ESTÁ?, ¿CÓMO LO VEO?EL certificado, como documento que es, no es otra cosa que unconjunto de datos cuya representación se puede ver de la siguientemanera:Por ejemplo, para Internet Explorer, acceder al menú Herramientas,Opciones de Internet, una vez allí seleccionaremos la pestañaContenido. En el apartado de certificados pulsaremos el botón deCertificados y una vez en la ventana pulsaremos la pestaña Personal.Aquí se nos muestra una pantalla con la relación de certificadospersonales instalados en nuestro navegador.¿QUÉ TIENE UN CERTIFICADO?
  4. 4. ESCUELA POLITÉCNICA DEL EJÉRCITOCOMERCIO ELECTRONICO DANIEL QUISHPIUn certificado no es otra cosa que un conjunto de datos vinculadosentre sí y una identidad, la del titular o firmante, y cuya unión ovínculo viene avalada y garantizada por un prestador de servicios decertificación. Es la herramienta básica para la realización de gestionesdesde su propio ordenador sin necesidad de desplazarse.¿QUÉ SIGNIFICAN TODOS ESOS APARTADOS QUE APARECENAL VISUALIZAR EL CERTIFICADO?Si seguimos los pasos del punto anterior, obtendremos una pantallaen la que se nos muestra algunos campos o propiedades delcertificado. Ésta tiene un aspecto similar a:En ella podemos observar que se nos muestra la identidad del titulardel certificado y el emisor del mismo.Por otra parte, se nos indica con una secuencia de números los usosy responsabilidades en relación con el certificado(1.3.6.1.4.1.5734.3.5). Esta secuencia de números se correspondecon la Política de Certificación.Asimismo, también podemos ver el periodo de validez del certificado(Válido desde xx hasta yy).Si seleccionamos la pestaña “Detalles” se nos muestra másinformación sobre el certificado. Aquí encontraremos campos como“Número de serie, que es un número secuencial que asigna laautoridad de certificación a los certificados que emite y que, por otra
  5. 5. ESCUELA POLITÉCNICA DEL EJÉRCITOCOMERCIO ELECTRONICO DANIEL QUISHPIparte, es el número que se incluye en la lista de revocados en casode que se quiera interrumpir la vigencia del certificado. Tambiénencontraremos información sobre el tamaño de las clavescriptográficas, el uso que se le pueda dar éstas y el algoritmo con elque la autoridad de certificación firma el certificado en cuestión, asícomo el correo electrónico asociado al certificado.¿QUÉ ES LA FIRMA ELECTRÓNICA?La firma electrónica es el conjunto de datos relativos a una personaconsignados en forma electrónica, y que junto a otros o asociadoscon ellos, pueden ser utilizados como medio de identificación delfirmante, teniendo el mismo valor que la firma manuscrita.Permite que tanto el receptor como el emisor de un contenido puedanidentificarse mutuamente con la certeza de que son ellos los queestán interactuando, evita que terceras personas intercepten esoscontenidos y que los mismos puedan ser alterados, así como quealguna de las partes pueda "repudiar" la información que recibió de laotra y que inicialmente fue aceptada.¿QUÉ ES UN PRESTADOR DE SERVICIOS DE CERTIFICACIÓN?Es aquella persona física o jurídica que, cumpliendo los requisitos quedetermina la legislación establecida sobre firma electrónica, estácapacitado para emitir certificados electrónicos.En la legislación española a los prestadores de servicios decertificación se les denomina “terceras partes de confianza” o“prestador de servicios de certificación”. Esta denominación se originapor las propias funciones que realizan, y que está dirigida a que losusuarios de esta infraestructura tengan la seguridad de que el sujetocon el que se contacta es quién dice ser sin posibilidad de error.Es importante seleccionar como tercera parte de confianza una querealmente nos ofrezca la suficiente garantía.¿CÓMO PUEDO TENER UN CERTIFICADO? (PERSONA FÍSICA)Para obtener un certificado de firma electrónica y si se trata de unapersona física (no persona jurídica), es imprescindible contar con unordenador que tenga acceso a Internet.Ejemplo práctico:Acceder a la página www.ceres.fnmt.es. y seguir los tres pasos quese indican a continuación:1. Solicitud del certificado2. Acreditación de la identidad mediante personación física en unaoficina de registro.
  6. 6. ESCUELA POLITÉCNICA DEL EJÉRCITOCOMERCIO ELECTRONICO DANIEL QUISHPI3. Descarga del certificado desde Internet.Paso 1: Solicitud del certificadoPara realizar el primer punto, seleccionaremos “Solicitud delcertificado” (margen izquierdo de la pantalla)Si ha optado por la opción “alto” el sistema le va a solicitar queestablezca una contraseña para el acceso a su certificado y queconfirme la misma.Esa contraseña le será solicitada cada vez que pretenda hacer uso delcertificado.También existe la posibilidad de obtener el certificado en una tarjetacriptográfica. En este caso el solicitante deberá proveerse de lamisma así como de un lector de tarjetas en el caso de que su equipono venga provisto del mismo.Paso 2: Acreditación de la identidad mediante personaciónfísica en una oficina de registro.
  7. 7. ESCUELA POLITÉCNICA DEL EJÉRCITOCOMERCIO ELECTRONICO DANIEL QUISHPIEste punto es de vital importancia puesto que gracias a élproporcionaremos la identidad que figurará en el certificado y, poreste motivo, se puede identificar a una persona como “firmante” delos documentos.Paso 3: Descarga del certificadoDescargar el certificado desde la pantalla que se le mostrará al pulsarla opción “Descarga del certificado”Pulsar el botón “Enviar petición” el certificado se instalaráautomáticamente en su ordenador.YA TENGO CERTIFICADOSi usted ya tiene un certificado, ya tiene capacidad para realizarfirmas electrónicas y acceder a los servicios que las distintasadministraciones y empresas ponen a disposición de sus usuarios yclientes a través de Internet.No obstante, antes de empezar a utilizarlo debe tener en cuentavarios aspectos:Como consecuencia de un borrado de datos en el ordenador o unaavería es posible que pierda su certificado, luego le recomendamosque haga una copia de seguridad para evitarle molestias y tenerque volverse a desplazar a una oficina de registro.El certificado consta de dos partes: una parte pública que es laque tiene la identidad del firmante o usuario y otra privada que tieneunas claves criptográficas para llevar a cabo el algoritmo de firmaelectrónica.Los certificados, al igual que las tarjetas bancarias tienen unperiodo de vigencia y además se pueden cancelar o revocar.EL CERTIFICADO Y MI CORREO ELECTRÓNICO
  8. 8. ESCUELA POLITÉCNICA DEL EJÉRCITOCOMERCIO ELECTRONICO DANIEL QUISHPIEl certificado también puede ser utilizado por algunos agentes decorreo electrónico, como por ejemplo, MS Outlook. Para ello esnecesario que la dirección de correo electrónico incluida en elcertificado (proporcionada en el momento de la acreditación) coincidacon la dirección de correo que queremos utilizar para enviar uncorreo firmado.DEFINICIONESCRIPTOGRAFÍA: Es una rama de las matemáticas que al aplicarse amensajes digitales proporciona las herramientas idóneas parasolucionar los problemas confidencialidad, integridad y autenticidad.FIRMA ELECTRÓNICA (simple): Datos que puedan ser usados paraidentificar al firmante (p.e. identidad en Outlook).FIRMA ELECTRÓNICA AVANZADA: Además de identificar al firmantepermite garantizar la integridad del documento.FIRMA ELECTRÓNICA RECONOCIDA: Es la firma avanzada ejecutadacon un dispositivo seguro de creación de firma y amparada por uncertificado reconocido, certificado que se otorga tras la verificaciónpresencial de la identidad del firmante.CERTIFICADO DIGITAL: es un documento digital mediante el cual untercero confiable (una autoridad de certificación) garantiza lavinculación entre la identidad de un sujeto y su clave pública.CERTIFICADO DE EMPLEADO PÚBLICO: Es una firma electrónicareconocida, distinta a la personal, que garantice la gestión internaelectrónica integral de todos los procedimientos y trámites con laadministración y aporte información adicional del trabajador.FIRMA ELECTRÓNICA MOVIL: Deberá disponer de un certificadoelectrónico FNMT y de una tarjeta SIM habilitada para FirmaElectrónica Móvil (sólo Telefónica y Vodafone).Caso práctico en EcuadorBase LegalEl proceso de autorización para la emisión de documentoselectrónicos se basa conforme a lo dispuesto en el inciso tercero delnúmero 3 del artículo 6 del Reglamento de Comprobantes de Venta,Retención y Documentos Complementarios vigente y conforme lonorma la resolución establecida para el efecto. Ley de ComercioElectrónico, Firmas y Mensajes de Datos publicado en el Suplementodel Registro Oficial No. 557 de 17 de abril de 2002.
  9. 9. ESCUELA POLITÉCNICA DEL EJÉRCITOCOMERCIO ELECTRONICO DANIEL QUISHPIReglamento a la Ley de Comercio Electrónico, Firmas y Mensajes deDatos, publicado en el Registro Oficial No. 735 de 31 de diciembre de2002. Decreto No. 181 publicado en el Registro Oficial No. 553 de 11de octubre del 2011, en el cual norma la numeración deidentificadores de campo y campos mínimos de los tipos decertificados. Los contribuyentes que ingresen una solicitud decertificación y emisión de documentos electrónicos, deberán emitir loscomprobantes de venta, retención y documentos complementariosfirmados electrónicamente bajo las condiciones señaladas en estaficha técnica.Proceso de Solicitud de Certificación de emisión deDocumentos ElectrónicosEl sujeto pasivo previo a la solicitud de certificación debe tenerconocimiento general del proceso de la modalidad de emisión dedocumentos electrónicos propuesto por la Administración Tributaria(puede solicitar asistencia llamando al Centro de Atención Telefónica1700 774 774 o solicitar información y asistencia a los funcionariosdel SRI a nivel nacional a través de nuestro canal de atenciónpresencial).El sujeto pasivo que se incorpore a la modalidad de emisiónelectrónica de documentos, deberá obtener un certificado digital defirma electrónica que puede ser adquirido en cualquier Entidad deCertificación autorizada por el Organismo Competente. Se detalla acontinuación las direcciones electrónicas de las tres entidades endonde se puede encontrar detalles específicos de los certificadosdigitales de firma electrónica:ENTIDADES DECERTIFICACIONINFORMACIONBanco Central del Ecuador http://www.eci.bce.ecSecurity Data http://www.securitydata.net.ec/ANF www.anf.ec

×