tecnologías de seguridad 2

Publicado en por cris.eduardo.over-blog.net


Cumplimiento LOPD (Privacidad)

Hemos “parido” en Microsoft ibérica un Handbook técnico-legal sobre cumplimiento técnico de la LOPD (Ley Orgánica de protección de Datos) con tecnología Microsoft llamado:


El libro está ya descargable on line en nuestra web de Technet de forma gratuita en PDF y XPS.

Y es que hace poco más de un año, se aprobó el nuevo Real Decreto 1720/2007 que desarrolla la Ley orgánica de Protección de Datos (LOPD), entrando en vigor a principios del 2008.

Este Real Decreto, para entendernos, dice como y de que forma hay que cumplir con dicha ley, que afecta a TODAS las empresas, Administraciones, independientemente de su tamaño, condición, etc .. Es decir, entre otras muchas cosas dice como las empresas tienen que proteger los datos personales almacenados en sus Sistemas de Información en función de su sensibilidad, información en papel etc..

En el año 2002, y ante la publicación del anterior Real Decreto de Protección de Datos, hicimos algo similar desde Microsoft ibérica:  un manual técnico sobre como pensábamos nosotros que se debería cumplir con dicha legislación desde la perspectiva técnica,  a modo de “detallada” recomendación. El resultado fue un libro de unas 200 páginas que aun podéis encontrar aquí y que nos consta se usó de forma intensa en Empresas, Partners, Consultoras, Universidades etc.

Pues bien, 6 años después, y al hilo de la publicación del nuevo Real Decreto (1720/2007) que entró en vigor hace unos meses, y que sustituye al anterior, acabamos de terminar lasegunda edición de esta compleja aventura, con la participación desinteresada de mucha gente de dentro y fuera de Microsoft (Microsoft, Informática64, Solid Quality, IPSCA, HELA Consultores.


En redes de computadorasacceder desde una computadora a un recurso ubicado físicamente en otra computadora, a través de una red local o externa (como internet).

En el acceso remoto se ven implicados protocolos para la comunicación entre máquinas, yaplicaciones en ambas computadoras que permitan recibir/enviar los datos necesarios. Además deben contar con un fuerte sistema de seguridad (tanto la red, como los protocolos y las aplicaciones).

Remotamente se puede acceder prácticamente a cualquier recurso que ofrece una o más computadoras. Se pueden acceder a archivos, dispositivos periféricos (como impresoras),configuraciones, etc. Por ejemplo, se puede acceder a un servidor de forma remota paraconfigurarlo, controlar el estado de sus servicios, transferir archivos, etc.

Existen múltiples programas que permiten controlar una computadora remotamente, entre ellosuno de los más populares es el VNC, que es gratuito y libre. También existen aplicaciones webque permiten el acceso remoto a determinados recursos utilizando sólo un navegador web, ya sea a través de internet o cualquier otra red.

Otra forma fácil (porque es gráfica) de acceso remoto es a través de un Escritorio remoto.

Existen programas para el acceso remoto a través de comandos de textopero suelen ser más complicados de usar.

Firma digital

Se denomina firma digital a un esquema matemático que sirve para demostrar la autenticidad de un mensaje digital o de un documento electrónico. Una firma digital da al destinatario seguridad en que el mensaje fue creado por el remitente, y que no fue alterado durante la transmisión. Las firmas digitales se utilizan comúnmente para la distribución de software, transacciones financieras y en otras áreas donde es importante detectar la falsificación y la manipulación.

Consiste en un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje.

La firma electrónica, como la firma hológrafa (autógrafa, manuscrita), puede vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad) con el contenido, para indicar que se ha leído y, en su defecto mostrar el tipo de firma y garantizar que no se pueda modificar su contenido.

Terminología

Los términos de firma digital y firma electrónica se utilizan con frecuencia como sinónimos, pero este uso en realidad es incorrecto.

Mientras que firma digital hace referencia a una serie de métodos criptográficos, firma electrónica es un término de naturaleza fundamentalmente legal y más amplio desde un punto de vista técnico, ya que puede contemplar métodos no criptográficos.

Un ejemplo claro de la importancia de esta distinción es el uso por la Comisión europea. En el desarrollo de la Directiva europea 1999/93/CE que establece un marco europeo común para la firma electrónica empezó utilizando el término de firma digital en el primer borrador, pero finalmente acabó utilizando el término de firma electrónica para desacoplar la regulación legal de este tipo de firma de la tecnología utilizada en su implementación.

La teoría

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma electrónica o digital. El software de firma digital debe además efectuar varias validaciones, entre las cuales podemos mencionar:

§  Vigencia del certificado digital del firmante,

§  Revocación del certificado digital del firmante (puede ser por OCSP o CRL),

§  Inclusión de sello de tiempo.

La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados digitalmente. Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la entrada es un documento, el resultado de la función es un número que identifica inequívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido. Ello no obstante, este tipo de operaciones no están pensadas para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la función de calcular el valor hash como su verificación posterior.

Las posibilidades de red

Para que sea de utilidad, una función hash debe satisfacer dos importantes requisitos:

1.   debe ser difícil encontrar dos documentos cuyo valor para la función hash sea idéntico.

2.   dado uno de estos valores, debe ser imposible producir un documento con sentido que de lugar a ese hash.

Existen funciones hash específicamente designadas para satisfacer estas dos importantes propiedades. SHA y MD5 son dos ejemplos de este tipo de algoritmos.

Algunos sistemas de cifrado de clave pública se pueden usar para firmar documentos. El firmante cifra el hash calculado de un documento con su clave privada y cualquiera que quiera comprobar la firma y ver el documento, no tiene más que usar la clave pública del firmante para descifrar el hash, y comprobar que es el que corresponde al documento. Transferencia Electrónica de Fondos (Eft) y el Intercambio Electrónico de Datos (Edi)?

Tradicionalmente, las dependencias del sostenimiento a los hijos han recibido por correo los pagos que  han retenido. Sin embargo, actualmente, un número de dependencias estatales del sostenimiento a los hijos están ofreciendo un nuevo servicio que le permitirá entregar las retenciones de sus ingresos electrónicamente utilizando la Transferencia Electrónica de Fondos o el Intercambio Electrónico de Datos (EFT/EDI). EFT es un proceso que electrónicamente transfiere dólares de la cuenta de un banco a otro. EDI transfiere información. En las solicitudes de sostenimiento a los hijos, se utilizan EFT/EDI para transmitir electrónicamente los pagos del sostenimiento a los hijos y remitir información a las dependencias estatales del sostenimiento a los hijos. El uso de EFT/EDI ha probado ser más rápido y más eficiente que el envío por correo de cheques y la remisión de copias impresas. Ahorra los costos de correo y del procedimiento administrativo y reduce las posibilidades de error. Asimismo. los ahorros para las dependencias estatales del sostenimiento a los hijos son de significación. Si usted está interesado en utilizar EFT/EDI para entregar las retenciones de ingresos, debería comunicarse con la dependencia estatal del sostenimiento a los hijos a la que envía dichas retenciones. Existe un formato específico para los pagos del sostenimiento a los hijos vía EFT/EDI. Los formatos para remitir información han sido desarrollados por Bankers EDI Council of the National Automated Clearing House Association (NACHA). Estos formatos especifican como los empleadores y compañías que pagan nóminas envían electrónicamente la información y el potencial que el Estado debe tener para recibir información. El apoyo para la centralización de los cobros y EFT/EDI viene de grupos tales como la Asociación Americana de Pagos de Nóminas y la Coalición de Empleadores para la Ejecución del Sostenimiento a los Hijos. EFT/EDI puede lograr que la retención de ingresos para el sostenimiento de los hijos sea más fácil para usted. A su elección, los fondos para el sostenimiento de los hijos pueden ser remitidos electrónicamente vía EFT de su banco a la Unidad de Desembolsos Estatales. Toda la información necesaria (identificación de los casos, fecha de la retención, etc.) es enviada junto con los pagos electrónicos vía EDI. EFT/EDI se encuentra actualmente disponible en el Estado de Maryland.

 

Redes Privadas Virtuales

Una red privada virtual consiste en utilizar una canal de comunicaciones público como es Internet para comunicaciones privadas.

Hay dos tipos de conexiones en las redes privadas virutales (VPN)

1. Un usuario remoto que establece un tunel con la oficina principal. (client-to-site) Este es el caso de un vendedor o socio de negocios que requiere entrar a nuestra red.

2. Una sede remota (oficina) con varios usuarios que se une a la red central (site-to-site) Este es el caso de un almacen o sucursal remota que puede reemplazar un enalce privado costoso por una solución más económica.

 

La seguridad de un enlace por VPN está garantizada cuando se tienen en cuenta todos estos elementos:

Autenticación de Usuarios: La solución controla quien y cuando se accede a los recursos
Manejo de direcciónes: La solución asigna direcciones privadas (propias de

la VPN) a los clientes y las mantiene en secreto

Encripción de Datos: Todos los datos son encriptados con el fin de poder ser transportados con seguridad sobre el enlace público.

Manejo de Claves: Se generan y refrescan llaves de encripción entre la sede principal r y los clientes o sucursales.

Las VPNs se pueden establecer utilizando dispositivos dedicados a esta tarea appliances o tambien mediante el uso de software que corra en servidores. Microsoft provee funcionalidad de VPN en sus servidores de Microsoft Windows 2003 y Microsoft Small Business Server.

Es bien importante que los equipos que se utilicen para establecer las VPNs o Firewalls tengan sus sistema operativo endurecido "hardened" esto significa que se quiten todas aquellas funcionalidades que no son críticas para el sistema. EN algunos casos el fabricante incluso desmota la interface gráfica GUI. El fin de endurecer el sistema operativo es reducir los puntos vulnerables y limitar la capacidad de un eventual intruso de explotar dichas vulnerabilidades mediante servicios que corran a nivel de sistema operativo y no estén configurados adecuadamente. Es decir entre menos modulos tenga cargado el OS, más dificil será encontrar un punto vulnerable.

Los Appliances son un buen ejemplo de sistema operativo endurecido, como son construidos especificamente para una labor, el fabricante personaliza el sistema operativo embebido en la máquina (Normalmente Linux) y sobre este Mini-Kernel monta toda la funcionalidad del Appliance. Estas Cajas estan diseñadas desde el principio con un objetivo en mente y tanto su memoria como procesador y arquitectura estan optimizados para la labor de tunel de VPNs o Firewall según el caso.

PAGO ELECTRONICO

OTRA INNOVACION AL SERVICIO DEL CONTRIBUYENTE

La Administración Tributaria cuenta con el servicio "Pago Electrónico" que brinda al Contribuyente, que hace uso de la Clave de Acceso, la posibilidad de abonar sus débitos fiscales mediante una transferencia electrónica de fondos desde su cuenta bancaria a la cuenta corriente de la SET.

 

Este nuevo servicio usted lo podrá utilizar ingresando a la página WEB de la SET "www.set.gov.py", accediendo al Sistema de Gestión Tributaria Marangatú en donde podrá seleccionar la deuda tributaria que desea cancelar, generando la Boleta de Pago respectiva.

 

Posteriormente deberá ingresar a la página WEB del Banco de plaza habilitado por la SET, en el cual usted tiene disponible cuentas bancarias, y a través de los servicios en línea ofrecidos por esa Entidad Bancaria podrá abonar la deuda tributaria correspondiente, por medio de un débito electrónico en su cuenta bancaria.

 

Este proceso será en tiempo real (On line), por lo que una vez que se realice el Pago Electrónico el Contribuyente puede comprobar la operación, ingresando al sistema de la SET con su Clave de Acceso para visualizar en la Cuenta Corriente Tributaria la imputación respectiva del pago efectuado.

 

Por otro lado puede verificar el débito que se registró en su cuenta bancaria, ingresando a la opción respectiva en la página Web de la Entidad Bancaria.

EL PAGO ELECTRONICO PERMITE

• Realizar pagos de liquidaciones impositivas, usando el esquema de Pagos Electrónicos de forma segura, práctica y sin limitación de horario ni filas.

• Ofrecer un servicio ágil y dinámico para clientes corporativos y demás Contribuyentes.

• Cargar, autorizar y consultar los pagos de liquidaciones tributarias realizados a través de débito en la cuenta de la Entidad Bancaria

• Consultar e imprimir, en el sistema de la Entidad Bancaria y el Sistema de Gestión Tributaria Marangatú, el comprobante del pago realizado.

• Realizar las transacciones de forma segura, ya que todo el proceso es realizado con páginas publicadas en un sitio web seguro (SSL con 128 bytes de encriptación).

REQUERIMIENTOS PARA LA UTILIZACION DEL SERVICIO

• Poseer Clave de Acceso para Contribuyentes del Sistema de Gestión Tributaria Marangatú.

• Ser cliente de una Entidad Bancaria que tenga convenio con la SET.

• Disponer de una PC con acceso a Internet, usando Internet Explorer, Netscape o Mozilla Firefox.

• Contar con usuario y clave, proveído por la Entidad Bancaria, para acceso a sus respectivos servicios on line.

BENEFICIOS DEL SERVICIO

• Amplia cobertura de servicios tecnológicos para los Contribuyentes.

• Disponibilidad del servicio las 24 horas, los 365 días del año.
Transparencia e información oportuna y confiable.

• Facilidad de pago, agilidad.

• Seguridad.

• Autogestión.

• Confiabilidad.

• Evita formar fila.

Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional [ReEx00].

La informática forense hace entonces su aparición como una disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un proce[Acis06].

Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional.

Dentro de lo forense encontramos varias definiciones [Acis06]:

Computación forense (computer forensics) que entendemos por disciplina de las ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso; o como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos.

Forensia en redes (network forensics)

Es un escenario aún más complejo, pues es necesario comprender la manera como los protocolos, configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento específico en el tiempo y un comportamiento particular.

Recuperacion de Datos

Stellar Information Systems Ltd, (una compañía ISO-9001:2000 ) facilita inmunidad de la pérdida de los datos proporcionando el Software premiado para la recuperación de los datos de unidad de disco duro en la India y al exterior. Mercados importantes son los E.E.U.U., Reino Unido, Europa y Asia.

El software para la recuperación de unidad de disco duro ofrecido por Stellar le ayuda realizar la Recuperación de los Datos después de los incidentes de la pérdida de los datos causados por formatos accidental, problemas del virus, el malfuncionamiento del software, la supresión del fichero /directorio o el sabotaje.

Stellar Phoenix - El Software para la Recuperación de los Datos un utilitario de la recuperación del fichero de datos NO DESTRUCTIVO y DE SOLA LECTURA que le ayuda en la recuperación de sus todos los datos importantes contra las amenazas numerosas - formato accidental, problemas del virus, malfuncionamiento del software, supresión de fichero /directorio, o ¡aún un sabotaje!

Stellar Phoenix - Software de Recuperación de Datos le ayuda a recuperar datos perdidos después de

·     Un formato accidental

·     El ataque del virus

·     Error humano

·     La pérdida de la partición

·     El funcionamiento defectuoso del software

·     El borrado del archivo/directorio o aun el sabotaje.

Stellar Phoenix examina su unidad de disco duro inaccesible para los daños y corrupción y recupera los datos en minutos.

Hay herramientas que sirven para proteger a sus hijos de peligros relacionados con el uso de Internet o el celular, pero que pueden ser usadas para vigilar a clientes, parejas y empleados.

Para muchos padres, tener a los hijos en casa, sentados frente al PC durante horas, es sinónimo de seguridad y tranquilidad. Sin embargo, esto puede ser un espejismo. En la Red pululan serios riesgos para los niños, como pornografía, acoso de otros menores, presencia de abusadores y hasta amenazas reales de secuestro.

Hay herramientas que sirven para proteger a sus hijos de peligros relacionados con el uso de Internet o el celular, pero que pueden ser usadas para vigilar a clientes, parejas y empleados.

Para muchos padres, tener a los hijos en casa, sentados frente al PC durante horas, es sinónimo de seguridad y tranquilidad. Sin embargo, esto puede ser un espejismo. En la Red pululan serios riesgos para los niños, como pornografía, acoso de otros menores, presencia de abusadores y hasta amenazas reales de secuestro.

Para evitar esto, la tecnología provee programas y servicios web que ayudan a los padres. “A veces los niños no tienen claro qué es peligroso. Mi hijo aceptaba en sus redes sociales a personas a las que no conocía sólo porque eran ‘amigos de mis amigos’. Yo no se lo permito y lo prevengo con servicios web gratuitos que me avisan cuando pasa”, dice David Castiglioni, de Microsoft.

Para este ejecutivo, las tecnologías de monitoreo se deben usar, de forma negociada, para prevenir riesgos.

“Yo contraté un servicio cuando vivía en Alemania, que me permitía conocer la ubicación del celular de mi hijo de 15 años mediante un mapa satelital a través de Internet. Así estaba tranquila cuando él salía”, dice Renata Andrade, una colombiana residente en E.U.

Pero una cosa es cuidar a los hijos y otra vigilar ilegalmente a empleados, amigos o la pareja, algo que está contemplado como delito.

 

Sólo una entidad de Policía o jurídica puede hacerlo amparada en una orden judicial.

“Instalar programas de espionaje o sistemas para captar el contenido de una llamada o el correo es considerado una violación del derecho a la intimidad”, explica la abogada constitucionalista Clara Inés Vargas.

Sin embargo, una empresa sí puede monitorear, con ayuda de la tecnología, las actividades que realiza un empleado en el PC o el celular que le provee para trabajar. “Las empresas pueden indagar en qué sitios navegan sus empleados o con quién se comunican desde los PC de trabajo, sin que ello constituya una violación”, dice. Lo que no puede hacer una compañía, afirma la abogada, es escuchar las llamadas o leer los contenidos de las comunicaciones.

Lo mismo se aplica en el espionaje de la pareja, cuando se sospecha que hay una infidelidad. La ley contempla que “los detalles y testimonios obtenidos por intervención ilegal de las comunicaciones de una persona no son válidos como prueba en un juicio”, dice Vargas.

 

 

 

 

 

 

Para estar informado de los últimos artículos, suscríbase:

Comentar este post