Boletines de Sistemas
27-01-2021
Seguridad Digital
En varios de nuestros boletines hemos hablado brevemente sobre la Seguridad Digital, si bien es fundamental e importante implementarla, a menudo no suele dársele la relevancia que tiene, más en el mundo empresarial. Por ese motivo vamos a profundizar sobre que es la seguridad digital, los distintos certificados que deberemos adquirir y como comenzar a implementarlo en las empresas que aún tienen pendiente este tema.
¿Qué es la Seguridad digital?
El campo de la seguridad de la información ha crecido y evolucionado considerablemente. La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, confidencialidad, integridad y autenticación. Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información.
Cuando hablamos sobre seguridad digital, una de las empresas más prestigiosas en el mercado argentino es CertiSur, llevan 20 años desarrollando, implementando e integrando soluciones de confianza que permiten proteger datos y transacciones, permitiendo a las empresas cuidar sus recursos de IT, hacer un uso óptimo de ellos y reducir sus costos. Ellos destacan que la esencia de la seguridad es la prevención. Tomar las medidas adecuadas en tiempo oportuno reduce las vulnerabilidades y las amenazas en la seguridad de una empresa.
Por lo dicho anteriormente vamos a detallar distintas soluciones que posibilitan y aseguran procesos electrónicos de negocio.
Certificados SSL – Las principales ventajas de utilizarlo en su sitio web
Para establecer una conexión segura se instala en el servidor web un certificado SSL (también llamado «certificado digital») que cumple dos funciones: Autenticar la identidad del sitio web, garantizando a los visitantes que no están en un sitio falso y cifrar la información transmitida. Los certificados digitales permiten el intercambio de información segura y cifrada entre navegadores, servidores web y redes.
¿Alguna vez se preguntaron por qué algunos sitios web tienen un candado mientras que otros tienen la advertencia «No seguro» en rojo? La diferencia está en el tipo de conexión que cada uno de estos sitios web establece con su servidor web backend. Los que tienen las advertencias de seguridad utilizan un canal inseguro y no cifrado y quienes tienen el candado pequeño en la barra de direcciones utilizan un certificado SSL para establecer un canal de comunicación encriptado mientras hablan con su servidor correspondiente.
Existen varios beneficios al proteger su canal de comunicación, especialmente si recolectas datos personales, claves de usuario o cualquier otra información confidencial:
- 1. Se cifran los datos confidenciales y se evita la manipulación de dato
El cifrado se refiere a la codificación de datos después de pasarlos a través de un algoritmo de cifrado. Estos datos confusos (también conocidos como texto cifrado), en una forma ilegible, se transmiten al servidor web. Incluso si un atacante está escuchando la conexión, no podrá entender los datos sin su clave de descifrado correspondiente.
- 2. Se genera confianza en sus clientes en línea. Al tener un sitio web que muestra una advertencia de seguridad no solo puede reducir sus tasas de conversión, sino que la reputación de su marca también puede verse afectada. Al instalar un certificado SSL / TLS, elimina los mensajes de advertencia y puede aprovechar otros indicadores visuales de confianza como el símbolo del candado en la barra de direcciones y el sello del sitio seguro.
- 3. Mejora su clasificación de Google para aumentar el tráfico de su siti HTTPS se ha utilizado como un factor de ranking de clasificación desde 2014. El uso de un certificado digital lo ayudará a obtener visibilidad en Google, lo que generará más tráfico en su página.
- 4. Autentica la identidad de tu sitio web ¿Cómo podemos estar seguro de que el sitio web con el que te estás comunicando es genuino y no simplemente se hace pasar por otro sitio legítimo? La verificación de identidad es un aspecto destacado del uso de un certificado SSL. Estos certificados son emitidos por una CA (autoridad certificante) que, según el nivel de validación de su certificado SSL, realizará una verificación de su identidad comercial. Hay tres niveles de validación: validación de dominio (DV), validación de organización (OV) y validación extendida (EV). De los tres, los certificados EV tienen el proceso de verificación más exhaustivo, mientras que los certificados DV se someten a la validación menos rigurosa. Puede ver esta información haciendo clic en el candado y viendo los detalles del certificado.
- 5. Cumplir con los requisitos de PCI DSS.
Según el país donde esté registrada su empresa y el tipo de datos que recopile, almacene, procese o transmita, la instalación de un SSL puede ser un requisito de cumplimiento obligatorio, especialmente si procesa pagos con tarjeta. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) recomienda usar TLS 1.2 o TLS 1.3 para proteger los datos del titular de la tarjeta en tránsito.
¿Certificados SSL pagos o Certificados «gratuitos»?
¿Deberemos optar por un certificado SSL pago de una CA de confianza o uno gratuito de una autoridad como Let’s Encrypt?
Ambas opciones ofrecen el cifrado, pero los certificados SSL gratuitos no tienen garantía ni soporte al cliente. Además, tienen un período de validez de 90 días (incluso con renovaciones automáticas pueden tener errores), ofrecen solo certificados de validación de dominio (validación menos rigurosa). Estos certificados tienen un costo cero, eso es un gran beneficio, particularmente si la alternativa es prescindir de ningún tipo de cifrado. Sin embargo, si el costo no es el único factor, considere buscar otras opciones que vienen con los beneficios de la atención al cliente, garantía y los sellos del sitio, por nombrar algunas.
Firma digital o electrónica de documentos
Con ellas podemos firmar documentos en forma remota de manera segura en cualquier momento, desde cualquier parte del mundo y en cualquier dispositivo. Por lo tanto, éste es el momento adecuado para incorporar la firma, ahorrando tiempo, brindando seguridad y teniendo la tranquilidad de que los documentos firmados nunca caducarán.
¿En qué consiste la firma de documentos digitales?
La firma de un documento digital permite a las personas y organizaciones realizar un proceso criptográfico sobre el mismo, permitiendo a todos quienes acceden a dicho documento comprobar la identidad y autoría de quién lo generó y al mismo tiempo asegurar su autenticidad, indicando indubitablemente que no ha sido cambiado desde su generación. De esta forma, se reemplaza de manera eficiente la firma manuscrita de documentos, ya que es un procedimiento que generalmente se puede realizar mucho más rápido que la firma en persona y habilita el intercambio de documentos firmados sin importar la distancia física existente.
La firma digital implica una seguridad sustantivamente mayor que otros procedimientos, como puede ser la utilización de firmas escaneadas, que pueden ser fácilmente manipuladas y no aseguran en modo alguna la identidad del firmante.
Las firmas digitales o electrónicas se generan utilizando certificados digitales emitidos bajo una Infraestructura de Clave Pública (PKI por sus siglas en inglés). Los certificados digitales que emite la empresa CertiSur son procesados criptográficamente por DigiCert, líder mundial de esta tecnología, cumpliendo con todos los estándares y certificaciones en la materia.
Para poder funcionar, una firma digital requiere la emisión de un certificado con información del titular del certificado para garantizar que la identidad sea precisa. Este certificado contiene una clave pública, que es empleada para verificar las firmas generadas por su titular, y se asocia criptográficamente a una clave privada, que solamente está en posesión del firmante. Las autoridades de certificación, como CertiSur, validan la autenticidad de quienes solicitan un certificado digital antes de emitirlo.
La seguridad de los documentos firmados electrónicamente está proporcionada por la firma digital, que en realidad es un hash cifrado criptográficamente que puede ser interpretado solamente utilizando la clave pública contenida en el certificado del firmante. De esta forma, se garantiza que el contenido del documento digital, cualquiera sea el mismo (texto, fotos, gráficos, etc.), no se ha modificado y se pueda comprobar su origen, al identificar al remitente.
Un tema muy importante es que la firma digital nunca caduca. En cualquier momento en el tiempo se puede verificar la integridad de un documento y su autoría. Los documentos firmados también pueden incluir un sellado de tiempo, que asegura que el mismo ha existido en determinado momento en el tiempo.
CertiSur brinda en forma gratuita en su sitio Web el servicio de sellado de tiempo (Time Stamping), a través de su propia Autoridad Certificante, incorporando de esta manera un elemento adicional de seguridad a los documentos firmados digitalmente.
Diferencias entre firma electrónica y digital
Tanto la firma electrónica como la digital tienen validez jurídica y ambas reemplazan a la firma manuscrita, si bien esta última se considera válida, salvo prueba en contrario. La validez de la firma electrónica, por su parte, implica la carga de la prueba para quién la invoca, en caso de desconocimiento de la misma por quién la generó.
Conclusiones
En primer lugar, vimos la importancia, beneficios y necesidad de aplicar certificados SSL a nuestras páginas web.
Tener un certificado SSL no es obligatorio, pero sin duda implementarlo puede tener importantes ventajas para nuestro negocio. Garantizar la seguridad con un certificado SSL no solo es un factor de confianza, sino también de reputación, además de ayudar a mejorar su posicionamiento web.
En segundo lugar, hablamos de firmas electrónicas. Cada vez más empresas son conscientes de la importancia de cuidar la seguridad y conferir garantías legales a todos los documentos que firman, tanto sus clientes como sus proveedores o empleados.
Dos temas de significativa importancia que no deben pasar desapercibidos a la hora de abarcar temas relacionados con la seguridad de nuestra empresa. Como mencionamos al principio de este boletín, una empresa especializada en la materia es CertiSur donde pueden orientar y ayudar a empresas y particulares sobre las distintas soluciones en el mercado para asegurar los procesos electrónicos de negocios seguros, lo cual ayudará también a afrontar el proceso de oficina sin papel de tu negocio poco a poco.
Si tiene alguna consulta en relación a esta temática, por favor no dude en contactarse con nosotros.
Departamento de Sistemas
Enero 2021
Este boletín informativo ha sido preparado por mgi Jebsen & Co. para información de clientes y amigos. Si bien ha sido confeccionado con el mayor cuidado y celo profesional, mgi Jebsen & Co. no asume responsabilidades por eventuales inexactitudes que este boletín pudiera presentar.