manual procedimiento

ESCUELA POLITÉCNICA DEL EJÉRCITO

COMERCIO ELECTRONICO DANIEL QUISHPI

DEPARTAMENTO DE CIENCIAS DE LA

COMPUTACIÓN

CARRERA INGENIERÍA EN SISTEMAS

PAC

ACTIVIDAD 7

ALUMNO: DANIEL QUISHPI



Manual políticas de seguridad

POLÍTICAS DE SEGURIDAD

GENERALIDADES

La seguridad informática ha tomado gran auge, debido a las cambiantes

condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad

de interconectarse a través de redes, ha abierto nuevos horizontes a las

empresas para mejorar su productividad y poder explorar más allá de las

fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de

nuevas amenazas para los sistemas de información.

ALCANCE DE LAS POLÍTICAS

Este manual de políticas de seguridad es elaborado de acuerdo al análisis de riesgos y de vulnerabilidades

OBJETIVOS

Desarrollar un manual de seguridad significa "planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad física de los recursos informáticos, así como resguardar los activos de la empresa".

ANÁLISIS DE LAS RAZONES QUE IMPIDEN LA APLICACIÓN DE LAS

POLÍTICAS DE SEGURIDAD INFORMÁTICA

A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática.

RESPONSABILIDADES

Es responsabilidad del supervisor de Seguridad Informática, desarrollar los Procedimientos de Seguridad. Asimismo, es responsabilidad del supervisor inmediato capacitar a sus empleados en lo relacionado con los Procedimientos de Seguridad.



BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD INFORMÁTICA

Los beneficios de un sistema de seguridad con políticas claramente

concebidas bien elaboradas son inmediatos, ya que trabajará sobre una

plataforma confiable.

PLAN DE CONTINGENCIAS

o Continuar con la operación del área con procedimientos informáticos

alternos.

o Tener los respaldos de información en un lugar seguro, fuera del lugar

en el que se encuentran los equipos.

o Tener el apoyo por medios magnéticos o en forma documental, de las

operaciones necesarias para reconstruir los archivos dañados.

o Ejecutar pruebas de la funcionalidad del plan.

¿QUÉ ES UN CERTIFICADO?

Un certificado electrónico es un documento firmado electrónicamente

por un prestador de servicios de certificación que vincula la identidad

de cada usuario con las herramientas de firma electrónica (claves

criptográficas), dándole a conocer como firmante en el ámbito

telemático.

SÍ, ¿PERO DÓNDE ESTÁ?, ¿CÓMO LO VEO?

EL certificado, como documento que es, no es otra cosa que un

conjunto de datos cuya representación se puede ver de la siguiente manera:

Por ejemplo, para Internet Explorer, acceder al menú Herramientas,

Opciones de Internet, una vez allí seleccionaremos la pestaña

Contenido. En el apartado de certificados pulsaremos el botón de

Certificados y una vez en la ventana pulsaremos la pestaña Personal.

Aquí se nos muestra una pantalla con la relación de certificados

personales instalados en nuestro navegador.

¿QUÉ TIENE UN CERTIFICADO?



Un certificado no es otra cosa que un conjunto de datos vinculados

entre sí y una identidad, la del titular o firmante, y cuya unión o

vínculo viene avalada y garantizada por un prestador de servicios de

certificación. Es la herramienta básica para la realización de gestiones

desde su propio ordenador sin necesidad de desplazarse.

¿QUÉ SIGNIFICAN TODOS ESOS APARTADOS QUE APARECEN

AL VISUALIZAR EL CERTIFICADO?

Si seguimos los pasos del punto anterior, obtendremos una pantalla

en la que se nos muestra algunos campos o propiedades del

certificado. Ésta tiene un aspecto similar a:

En ella podemos observar que se nos muestra la identidad del titular

del certificado y el emisor del mismo. Por otra parte, se nos indica con una secuencia de números los usos

y responsabilidades en relación con el certificado (1.3.6.1.4.1.5734.3.5). Esta secuencia de números se corresponde

con la Política de Certificación.

Asimismo, también podemos ver el periodo de validez del certificado (Válido desde xx hasta yy).

Si seleccionamos la pestaña “Detalles” se nos muestra más

información sobre el certificado. Aquí encontraremos campos como “Número de serie, que es un número secuencial que asigna la

autoridad de certificación a los certificados que emite y que, por otra



parte, es el número que se incluye en la lista de revocados en caso

de que se quiera interrumpir la vigencia del certificado. También encontraremos información sobre el tamaño de las claves

criptográficas, el uso que se le pueda dar éstas y el algoritmo con el

que la autoridad de certificación firma el certificado en cuestión, así como el correo electrónico asociado al certificado.

¿QUÉ ES LA FIRMA ELECTRÓNICA?

La firma electrónica es el conjunto de datos relativos a una persona consignados en forma electrónica, y que junto a otros o asociados

con ellos, pueden ser utilizados como medio de identificación del firmante, teniendo el mismo valor que la firma manuscrita.

Permite que tanto el receptor como el emisor de un contenido puedan identificarse mutuamente con la certeza de que son ellos los que

están interactuando, evita que terceras personas intercepten esos contenidos y que los mismos puedan ser alterados, así como que

alguna de las partes pueda "repudiar" la información que recibió de la otra y que inicialmente fue aceptada.

¿QUÉ ES UN PRESTADOR DE SERVICIOS DE CERTIFICACIÓN?

Es aquella persona física o jurídica que, cumpliendo los requisitos que determina la legislación establecida sobre firma electrónica, está

capacitado para emitir certificados electrónicos. En la legislación española a los prestadores de servicios de

certificación se les denomina “terceras partes de confianza” o “prestador de servicios de certificación”. Esta denominación se origina

por las propias funciones que realizan, y que está dirigida a que los usuarios de esta infraestructura tengan la seguridad de que el sujeto

con el que se contacta es quién dice ser sin posibilidad de error. Es importante seleccionar como tercera parte de confianza una que

realmente nos ofrezca la suficiente garantía.

¿CÓMO PUEDO TENER UN CERTIFICADO? (PERSONA FÍSICA)

Para obtener un certificado de firma electrónica y si se trata de una

persona física (no persona jurídica), es imprescindible contar con un ordenador que tenga acceso a Internet.

Ejemplo práctico: Acceder a la página www.ceres.fnmt.es. y seguir los tres pasos que

se indican a continuación:

1. Solicitud del certificado 2. Acreditación de la identidad mediante personación física en una

oficina de registro.



3. Descarga del certificado desde Internet.

Paso 1: Solicitud del certificado

Para realizar el primer punto, seleccionaremos “Solicitud del

certificado” (margen izquierdo de la pantalla)

Si ha optado por la opción “alto” el sistema le va a solicitar que establezca una contraseña para el acceso a su certificado y que

confirme la misma. Esa contraseña le será solicitada cada vez que pretenda hacer uso del

certificado.

También existe la posibilidad de obtener el certificado en una tarjeta

criptográfica. En este caso el solicitante deberá proveerse de la misma así como de un lector de tarjetas en el caso de que su equipo

no venga provisto del mismo.

Paso 2: Acreditación de la identidad mediante personación física en una oficina de registro.



Este punto es de vital importancia puesto que gracias a él proporcionaremos la identidad que figurará en el certificado y, por

este motivo, se puede identificar a una persona como “firmante” de

los documentos.

Paso 3: Descarga del certificado

Descargar el certificado desde la pantalla que se le mostrará al pulsar la opción “Descarga del certificado”

Pulsar el botón “Enviar petición” el certificado se instalará

automáticamente en su ordenador.

YA TENGO CERTIFICADO

Si usted ya tiene un certificado, ya tiene capacidad para realizar

firmas electrónicas y acceder a los servicios que las distintas

administraciones y empresas ponen a disposición de sus usuarios y clientes a través de Internet.

No obstante, antes de empezar a utilizarlo debe tener en cuenta varios aspectos:

Como consecuencia de un borrado de datos en el ordenador o una

avería es posible que pierda su certificado, luego le recomendamos que haga una copia de seguridad para evitarle molestias y tener

que volverse a desplazar a una oficina de registro.

El certificado consta de dos partes: una parte pública que es la que tiene la identidad del firmante o usuario y otra privada que tiene

unas claves criptográficas para llevar a cabo el algoritmo de firma electrónica.

Los certificados, al igual que las tarjetas bancarias tienen un

periodo de vigencia y además se pueden cancelar o revocar.

EL CERTIFICADO Y MI CORREO ELECTRÓNICO



El certificado también puede ser utilizado por algunos agentes de

correo electrónico, como por ejemplo, MS Outlook. Para ello es necesario que la dirección de correo electrónico incluida en el

certificado (proporcionada en el momento de la acreditación) coincida

con la dirección de correo que queremos utilizar para enviar un correo firmado.

DEFINICIONES

CRIPTOGRAFÍA: Es una rama de las matemáticas que al aplicarse a

mensajes digitales proporciona las herramientas idóneas para solucionar los problemas confidencialidad, integridad y autenticidad.

FIRMA ELECTRÓNICA (simple): Datos que puedan ser usados para

identificar al firmante (p.e. identidad en Outlook).

FIRMA ELECTRÓNICA AVANZADA: Además de identificar al firmante permite garantizar la integridad del documento.

FIRMA ELECTRÓNICA RECONOCIDA: Es la firma avanzada ejecutada

con un dispositivo seguro de creación de firma y amparada por un

certificado reconocido, certificado que se otorga tras la verificación presencial de la identidad del firmante.

CERTIFICADO DIGITAL: es un documento digital mediante el cual un

tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto y su clave pública.

CERTIFICADO DE EMPLEADO PÚBLICO: Es una firma electrónica reconocida, distinta a la personal, que garantice la gestión interna

electrónica integral de todos los procedimientos y trámites con la administración y aporte información adicional del trabajador.

FIRMA ELECTRÓNICA MOVIL: Deberá disponer de un certificado

electrónico FNMT y de una tarjeta SIM habilitada para Firma Electrónica Móvil (sólo Telefónica y Vodafone).

Caso práctico en Ecuador Base Legal

El proceso de autorización para la emisión de documentos

electrónicos se basa conforme a lo dispuesto en el inciso tercero del número 3 del artículo 6 del Reglamento de Comprobantes de Venta,

Retención y Documentos Complementarios vigente y conforme lo norma la resolución establecida para el efecto. Ley de Comercio

Electrónico, Firmas y Mensajes de Datos publicado en el Suplemento del Registro Oficial No. 557 de 17 de abril de 2002.



Reglamento a la Ley de Comercio Electrónico, Firmas y Mensajes de Datos, publicado en el Registro Oficial No. 735 de 31 de diciembre de

2002. Decreto No. 181 publicado en el Registro Oficial No. 553 de 11

de octubre del 2011, en el cual norma la numeración de identificadores de campo y campos mínimos de los tipos de

certificados. Los contribuyentes que ingresen una solicitud de certificación y emisión de documentos electrónicos, deberán emitir los

comprobantes de venta, retención y documentos complementarios firmados electrónicamente bajo las condiciones señaladas en esta

ficha técnica.

Proceso de Solicitud de Certificación de emisión de Documentos Electrónicos

El sujeto pasivo previo a la solicitud de certificación debe tener

conocimiento general del proceso de la modalidad de emisión de documentos electrónicos propuesto por la Administración Tributaria

(puede solicitar asistencia llamando al Centro de Atención Telefónica

1700 774 774 o solicitar información y asistencia a los funcionarios del SRI a nivel nacional a través de nuestro canal de atención

presencial).

El sujeto pasivo que se incorpore a la modalidad de emisión electrónica de documentos, deberá obtener un certificado digital de

firma electrónica que puede ser adquirido en cualquier Entidad de Certificación autorizada por el Organismo Competente. Se detalla a

continuación las direcciones electrónicas de las tres entidades en donde se puede encontrar detalles específicos de los certificados

digitales de firma electrónica:

ENTIDADES DE

CERTIFICACION

INFORMACION

Banco Central del Ecuador http://www.eci.bce.ec

Security Data http://www.securitydata.net.ec/

ANF www.anf.ec

manual procedimiento

Education

Transcript of manual procedimiento