UN PORTAL WEB SEGURO Y CONFIABLE. La elección adecuada para asegurar sus sitios y servicios web

(1)

UN PORTAL WEB SEGURO Y

CONFIABLE

La elección adecuada para asegurar sus

sitios y servicios web

(2)

“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015

(3)

(4)

EXISTE UN MARCO NORMATIVO

1. Decreto 2693 de 2012 de Mintic, se debe garantizar la integridad, coherencia y confiabilidad en la información y los servicios que se realicen a través de medios electrónicos.

2. Manual de Gobierno en línea, las entidades contarán con sedes electrónicas, en donde se dispondrá de acceso multicanal a toda la información, así como a la gestión en línea de trámites y servicios, observando permanentemente las condiciones de accesibilidad, usabilidad, calidad, seguridad, reserva y privacidad.

3. Directiva presidencial No. 04 … seguridad y confianza en los tramites electrónicos asegurando la autenticidad,integridad y disponibilidad.

4. Ley 1437 de 2011 - toda autoridad deberá tener al menos una sede electrónica y garantizando las condiciones de calidad,seguridad,disponibilidad, accesibilidad, neutralidad e interoperabilidad.

5. Ley 1581 de protección de datos … medidas técnicas, humanas y administrativas que sean necesarias para otorgar

seguridad

a los registros evitando su

adulteración, pérdida,

consulta, uso o acceso no autorizado o fraudulento;

6. Circular 052 – Superfinanciera Implementar los algoritmos y protocolos necesarios para brindar unacomunicación segura, … escaneos de vulnerabilidad,

(5)

¿Que significa tener un

certificado SSL?

Autenticidad = Confianza

Demuestran y validan la autenticidad de la fuente del contenido web.

Integridad

Garantizan que el flujo de información no sufra modificaciones.

Cifrado = Confidencialidad

El protocolo SSL cifra desde el navegador del usuario hasta el servidor web

Seguridad y confianza

Mediante el uso del cifrado potente SGC, la barra verde, los sellos de

reconocimiento y los servicios de seguridad (escaneos)

(6)

AHORA NO ES SOLO SEGURIDAD, ES

VISIBILIDAD EN INTERNET

Desde el 7 de Agosto de 2014,

Google oficialmente anunció

que

el utilizar

una conexión https:// incrementa las posibilidades de un mejor

posicionamiento en los resultados de búsqueda.

Matt Cutts, lider del equipo Webspam en Google, sugirió que le gustaría que

todos los sitios web utilizasen una conexión segura

donde fuese necesario.

(7)

¡No todos los certificados SSL

son iguales!

(8)

“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25de septiembre de 2015

¡No todos los certificados SSL

son iguales!

• Interviene un

tercero de confianza

(Entidad de certificación Digital – CA).

• Se garantiza la

identificación

inequívoca

.

• Si el tercero de confianza es reconocido en el mercado

la confianza va a ser

mayor.

(9)

¡No todos los certificados SSL

son iguales!

• Se emite rápidamente, en cuestión de minutos, son de muy bajo costo.

• Al solicitante sólo se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois).

• No se comprueba ningún dato de la empresa.

El problema reside en que no se comprueba si el sitio asegurado es un negocio legítimo o si se trata de una estafa.

Para los delincuentes es relativamente fácil crear un sitio web falso y conseguir un certificado de validación de dominio para servirse del candado como disfraz de legitimidad. Tras tranquilizar a los clientes con esa falsa sensación de seguridad, los

criminales se apoderan fácilmente de sus datos privados. LOS CERTIFICADOS DV SOLO SIRVEN PARA CIFRAR LOS DATOS

(10)

¡No todos los certificados SSL

son iguales!

Según un reciente estudio de Netcraft, el

78 % de los

certificados SSL

que se encontraron en servidores que

albergaban sitios web

fraudulentos

tenían

validación de dominio

.

No todos los ataques van dirigidos contra grandes empresas

. Los

delincuentes también atacan con frecuencia a las pymes

debido a su

escaso nivel de sofisticación

en cuestiones informáticas. La información

de usuario que se obtiene en los ataques a pequeñas empresas a menudo

se puede utilizar para

hacerse pasar por ese usuario en otro sitio web

, ya

que los clientes suelen emplear los mismos nombres de usuario,

contraseñas y datos de acceso con frecuencia.

(11)

¡No todos los certificados SSL

son iguales!

(12)

¡No todos los certificados SSL

son iguales!

• Normalmente se emiten de un día para otro.

• Al solicitante se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois) y que demuestre que la empresa existe y tiene un domicilio válido.

• Si la información entre el registro de dominio y el registro de la empresa no coincide se solicita información adicional.

(13)

¡No todos los certificados SSL

son iguales!

(14)

¡No todos los certificados SSL

son iguales!

• Normalmente se emiten de 2 a 3 días hábiles.

• Al solicitante se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois), que demuestre que la empresa existe y tiene un domicilio válido y que la persona que solicita el certificado es un funcionario autorizado y labora con la empresa solicitante.

• Si la información entre el registro de dominio, el registro de la empresa y la información del contacto no coincide se solicita información adicional y/o incluso documentos adicionales como conceptos de un abogado.

• La autoridad de certificación realiza una comprobación más rigurosa del solicitante para aumentar el nivel de confianza en la empresa.

(15)

¡No todos los certificados SSL

son iguales!

(16)

¡No todos los certificados SSL

son iguales!

Este Sitio ha sido identificado por Symantec y Pertenece a “ “

(17)

¡No todos los certificados SSL

son iguales!

(18)

¡No todos los certificados SSL

son iguales!

El nombre «PayPal» es un anzuelo frecuente para las estafas,

las autoridades de

certificación han automatizado una comprobación que busca nombres

similares

, como «pay-pal», «p@ypal» o «securepaypal».

Pero recientemente poco se emitió un certificado para paypol-france.com que se utilizó en ataques de phishing destinados a robar datos de acceso y no se sabe cuántos usuarios cayeron en la trampa y proporcionaron sus datos. Para estos estafadores,

habría sido mucho más difícil obtener un certificado con validación de la

empresa (OV) o con extended Validation para ese nombre de dominio.

(19)

¡No todos los certificados SSL

son iguales!

El cambio de un certificado DV a un certificado con validación de la empresa (OV) o con EV implica un gasto adicional para el propietario del sitio web, pero la diferencia es

(20)

¡LA SEGURIDAD ES CLAVE!

LA CONFIANZA ONLINE

Es muy fácil fingir que eres otra persona, teniendo en cuenta que todos interactuamos en internet, es importante comprender los peligros que existen y

contribuir a que el sector pueda tomar medidas.

Hay que implementar la tecnología de forma responsable, !El sitio web es un elemento clave¡: si los clientes no saben distinguir los sitios web de confianza, tenemos un serio problema.

Se recomienda que los sitios web de comercio electrónico utilicen, como mínimo, certificados con validación de la empresa o idealmente certificados validación extendida.

(21)

¡No todos los certificados SSL

son iguales!

(22)

DISTINTAS GAMAS,

UN UNICO RESPALDO

LA CONFIANZA ONLINE

(23)

CIFRADO FUERTE DE 128 BITS

LA CONFIANZA ONLINE

Cuando se conecta a un sitio web seguro, se establece un nivel de cifrado basado en el tipo de certificado, navegador, sistema operativo y capacidades del Servidor, es por esto que todos los certificados soportan desde 40 hasta 256 bits de cifrado.

A velocidades de computación actuales, un hacker con el tiempo, las herramientas y la motivación para atacar con fuerza bruta requeriría un billón de años para entrar en una sesión protegida

El cifrado fuerte de 128 bits, puede calcular

2^88 mas combinaciones que un cifrado de 40 bits.

Es más de un billón de veces más fuerte.

(24)

ESCANEO DE VULNERABILIDADES

La Evaluación de vulnerabilidades es una manera fácil de identificar las principales vulnerabilidades de su sitio web que los piratas informáticos utilizan con mayor frecuencia:

• Busca inyecciones de código SQL, scripts entre sitios y otras vulnerabilidades.

• Realiza análisis semanales en páginas web públicas, aplicaciones basadas en Web, software de servidor y puertos de red en busca de los puntos de entrada que se utilizan con mayor frecuencia para los ataques.

• Informe procesable y fácil de leer con claros elementos de acción y análisis de riesgos para empresas.

• Se incluye con los certificados SSL con Extended Validation, Secure Site Pro y Premium.

(25)

ESCANEO DE MALWARE

El análisis malware le ayuda a protegerse contra las inclusiones en las listas negras de los motores de búsqueda y a reducir el riesgo de propagación de virus entre los sistemas de sus clientes:

• La revisión diaria ayuda a garantizar la supervisión

periódica en busca de códigos maliciosos en su sistema.

• Alerta inmediata por correo electrónico advierte sobre infecciones de programas maliciosos.

• La lista de páginas infectadas y de problemas ayuda a los

administradores a localizar y eliminar los programas

(26)

UN CIFRADO MAS FUERTE Y RÁPIDO

• Mayor seguridad ya que las llaves ECC son 10.000 veces más difícil de romper que una clave RSA 2048-bit.

• Los certificados Symantec 256-bit ECC ofrecen la seguridad equivalente a un certificado RSA 3072-bit.

• Mejora el rendimiento del servidor durante los picos de carga con capacidad de procesar más solicitudes por segundo con menor utilización de la CPU.

• Mejora el tiempo de respuesta usuario-servidor. Un servidor con un certificado RSA maneja 450 solicitudes por segundo con un tiempo medio de respuesta de 150 milisegundos. El servidor con un certificado de ECC en las mismas condiciones registró un promedio de respuesta de sólo 75 milisegundos.

• Se recomiendan para consumo de sitios web desde dispositivos moviles y/o tabletas.

(27)

LA LINEA DE SEGURIDAD SSL MAS

COMPLETA DEL MERCADO

(28)

ADMINISTRACIÓN DE MULTIPLES

CERTIFICADOS SSL

LA CONFIANZA ONLINE

• No requiere infraestructura propia.

• Pre-aprobación de la organización, dominio(s) y personas de contacto.

• Emisión instantánea de certificados en dominios previamente aprobados.

• Compatibilidad con todos los tipos de certificado SSL Symantec.

• Posibilidad de añadir unidades de certificado a medida que vaya consumiendo el cupo.

Certicamara es el único distribuidor

en Colombia de MPKI-SSL

• Autenticación segura con distintos perfiles de usuario por medio de un certificado digital.

• Acceso a informes de seguridad generados por los escaneos de malware y de vulnerabilidades

• Generación de inventarios de certificados.

• Acceso a descuentos por volumen y tipo de certificado.

• Soporte y servicio Premium 7x24

(29)

CERTICAMARA RECONOCIDO

COMO EL MEJOR ALIADO

LA CONFIANZA ONLINE

En julio del presente año, Certicámara SA llevó a cabo su encuesta de

satisfacción general SSL sobre una muestra de 980 usuarios.

¿Qué

nivel de satisfacción

tiene

acerca

del

trato,

amabilidad,

y

calidad

de

servicio

frente a la atención de

requerimientos

relacionados

con Certificados SSL?

5 es la calificación mas alta

(30)

CERTICAMARA RECONOCIDO

COMO EL MEJOR ALIADO

LA CONFIANZA ONLINE

¿Qué prioridad asigna al

momento de escoger una

marca para sus certificados

SSL?

(31)

CERTICAMARA RECONOCIDO

COMO EL MEJOR ALIADO

LA CONFIANZA ONLINE

¿

Cuál de los siguientes temas le

gustaría conocer en un foro de

seguridad frente a la protección de

portales y servicios de Internet,

organizado por Certicámara S.A.

?

(32)

PREGUNTAS?

David Kummers

Ejecutivo Comercial

david.Kummers@Certicamara.com

Tel 57-1-3790300 Ext 1404

Cel 57-3015309901

(33)

Fuentes de consulta:

• Symantec: Reporte Peligros ocultos del comercio electrónico: Uso de certificados SSL adecuados para reducir las estafas

• http://www.canstockphoto.es/candado-pasador-resistido-pintado-puerta-1702531.html

• http://www.radio-ptuj.si/na-ptujskem-manj-vlomov