Professional Documents
Culture Documents
Publicidad.
Los servidores web son la cara que las organizaciones presentan al pblico y al mundo
electrnico. Un ataque exitoso a alguno de ellos es un acto pblico que puede ser visto en
unas horas por cientos de miles de personas. Los ataques pueden lanzarse por razones
ideolgicas o financieras, o ser simples actos vandlicos cometidos al azar.
Comercio.
Muchos servidores web estn relacionados con el comercio y con dinero. De hecho, los
protocolos criptogrficos integrados a Navigator de Netscape y otros navegadores fueron
originalmente incluidos para permitir a los usuarios enviar nmeros de tarjetas de crdito
por Internet sin preocuparse de que fueran interceptados. De esta forma, los servidores Web
se han convertido en repositorios de informacin financiera confidencial, lo cual los
convierte en un blanco atractivo para los atacantes. Adems , los servicios comerciales que
prestan tambin los tornan interesantes.
Informacin confidencial.
Para las organizaciones, la tecnologa del Web se ha convertido en una forma de distribuir
informacin con gran sencillez, tanto internamente, a sus propios miembros, como de
manera externa, a sus socios en todo el mundo. Esta informacin confidencial es un blanco
atractivo para sus competidores y enemigos.
Soporte complicado.
Los navegadores necesitan servicios externos, como DNS(Servicio de Nombres de
Dominio) y el enrutamiento del protocolo IP(Protocolo Internet) para funcionar bien. La
robustez y confiabilidad de tales servicios pueden ser desconocidas y vulnerables a errores
de programacin, accidentes y subversin. La subversin de un servicio de ms bajo nivel
puede causar problemas tambin a los navegadores.
Ritmo de desarrollo.
El crecimiento explosivo del comercio electrnico y del WWW ha sido empujado ( y a su
vez empuja) por un ritmo frentico de innovacin y desarrollo. Los proveedores liberan
Terminologa.
Una red de computadoras es un conjunto de computadoras conectadas entre s, tanto fsica
como lgicamente , para permitir el intercambio de informacin. Una red de rea
local(LAN o local Area Network) es una red en la cual todas las computadoras estn
conectadas fsicamente a un segmento corto(hasta algunos cientos de metros) de red
Ethernet o Token Ring, o estn conectadas al mismo concentrador. Una red de rea
amplia(WAN O Wide Area Network) es una red en la cual las computadoras estn
separadas por una distancia considerable, cas siempre de kilmetros y en ocasiones,, miles
de kilmetros. Una Interre(Internetwork) es una red de redes de computadoras. La interred
ms grande del Mundo es, hoy en da, Internet, la cual ha existido en una forma u otra
desde principios de la dcada de los setenta y se basa en el conjunto de protocolos IP.
La informacin viaja por Internet est dividida en piezas compactas llamadas paquetes. El
cmo la informacin se divide y vuelve a ensamblarse est especificado por el protocolo
IP. La informacin de los usuarios puede transmitirse en forma de flujo(una secuencia de
bytes) mediante el protocolo TCP(Protocolo de Control de Transmisin, Transmisin
Control Protocol), o como un conjunto de paquetes mediante el protocolo UDP(Protocolo
de Datagrama de Usuario o User Datagram Protocol). Existen tambin otros protocolos que
sirven para enviar informacin de control.
Las computadoras pueden conectarse a una o ms redes, las que estn conectadas a por lo
menos una red se conocen como Hosts o anfitriones. Una computadora conectada a ms de
una red se conoce como anfitrin multiconectado(multi-homed host). Si la computadora
puede transmitir paquetes automticamente de una red a otra, se le conoce como gateway o
compuerta. Una compuerta que examina paquetes y determina a qu red debe enviarlos se
conoce como enrutador(router). Una computadora tambin puede actuar como repetidor, al
pasar todos los paquetes que llegan por una red a otra, o como puente (Bridge), en cuyo
caso solamente pasa los paquetes que necesitan ser transferidos. Un firewall es un tipo
especial de computadora conectada a dos redes que deja pasar la informacin en forma
selectiva. Hay dos tipos fundamentales de firewalls: el de filtro de paquetes, que
decide si deja pasar o no un paquete con base solo a la informacin contenida en l. La otra
forma de construir firewall es mediante programas especficos para cada aplicacin,
conocidos como proxies, los cuales operan a un nivel ms alto. Como pueden ejercer un
control ms estricto sobre la informacin que pasa entres dos redes, se considera que los
firewalls, mejoran la seguridad computacional.
La mayora de los servicios de Internet se basan en el modelo cliente/servidor, conforme el
cual un programa solicita servicios de otro. Ambos pueden ejecutarse en la misma
Qu es un servidor seguro?
La frase servidor seguro ha adquirido diferentes significados para distintas personas:
Para los proveedores de software que los venden, un servidor seguro es un programa que
instrumenta ciertos protocolos criptogrficos, de forma que la informacin transferida entre
el servidor y un navegador no pueda ser interceptada.
Para los usuarios, un servidor web seguro es el que resguarda toda la informacin personal
que se reciba o recoja. Es un servidor que asegura su privaca y no subvierte a su navegador
para bajar virus u otros programas hostiles a su computadora.
Para la compaa que lo administra,un servidor web seguro es el que resiste determinados
tipos de ataques , ya sean a travs de Internet o de usuarios internos.
Un servidor web seguro es todo y ms. Es un servidor confiable. Es un servidor que posee
un espejo o que se respalda, de tal suerte que en caso de fallas de software o hardware
puede restablecerse con rapidez. Es un servidor expandible, de forma que pueda dar buen
servicio a grandes cantidades de trfico.
Desafortunadamente, cuando los proveedores utilizan la frase servidores seguros por lo
general se refieren a un servidor que instrumenta ciertos protocolos criptogrficos, los
cuales permiten a los navegadores y servidores web intercambiar informacin sin riesgo de
que la intercepten terceros que tengan acceso a los mensajes durante su recorrido. La
encriptacin hecha por tales protocolos es ampliamente reconocida como prerrequisito para
el comercio en Internet.
Aunque los protocolos criptogrficos son tiles para proteger informacin que viaja por
Internet contra la intercepcin, no son estrictamente necesarios para la seguridad en la Web,
ni suficientes para garantizarla.
La seguridad web requiere de ms que la simple proteccin contra la intercepcin.
Asegurar el servidor y los datos que contiene. Es necesario asegurarse de que el servidor
pueda continuar operando, que la informacin que reside en l no sea modificada sin
autorizacin y que sea distribuida solo a quienes se desea distribuir.
Asegurar la informacin que viaja entre el servidor y el usuario. Es deseable que la
informacin que proporciona el usuario al servidor web(nombre de usuario, claves de
acceso , informacin financiera, etc)no pueda ser leda, modificada ni destruida por
terceros. Muchas tecnologas de red son en particular susceptibles a la intercepcin, ya que
los datos se transmiten fsicamente a todas las computadoras de la red del rea local.
Asegurar la computadora del usuario. Es necesario tener una forma de garantizar a los
usuarios que la informacin, datos o programas descargados a sus sistemas no ocasionarn
daos, de otro modo se mostraran recios a utilizar el servicio, Adems, es deseable tener
una forma de asegurarse de que la informacin descargada sea controlada despus,
conforme el acuerdo de licencia de usuario y o los derechos de autor.
Junto con todas estas consideraciones, pueden existir otros requisitos.Por ejemplo, en
algunos casos existen los siguientes retos:
Verificar la identidad del usuario al servidor.
Verificar la identidad del servidor al usuario.
Asegurar que los mensajes sean enviados entre clientes y servidor en forma oportuna,
confiable y sin repeticiones.
Llevar bitcoras y auditar informacin sobre la transaccin con propsitos de facturacin,
resolucin de conflictos, no reclamo e investigacin de uso incorrecto.
Equilibrar la carga entre varios servidores.
Para responder de modo adecuado a tales preocupaciones es necesaria la interaccin de
varios de los tres componentes bsicos, adems de la red y sistema operativo subyacentes.
Aseguramiento del servidor Web.
Asegurar un servidor es un proceso de dos partes:
Primera, la computadora en s debe ser asegurada mediante tcnicas tradicionales de
seguridad computacional, que garantizan que los usuarios autorizados del sistema tengan
las capacidades necesarias para hacer su trabajo y solo estas capacidades. De esta manera,
puede autorizar a usuarios annimos a leer el contenido de la pgina Web principal, pero no
a apagar la computadora o modificar las bitcoras del sistema. Tales tcnicas tradicionales
tambin garantizan que los usuarios de Internet que no estn autorizados por el sistema, no
puedan irrumpir en l y tomar el control.
La seguridad del servidor se complica cuando la computadora sirve de modo simultneo
como sistema multiusuario tradicional y como servidor web. Esto se debe a que el servidor
web puede utilizarse para explorar errores en la seguridad del anfitrin, y las fallas en la
seguridad de este pueden usarse para buscar problemas con el servidor web. Por ejemplo,
un programa de CGI mal escrito puede permitir a cualquier usuario cambiar los archivos de
configuracin del servidor web, los cuales pueden entonces ser modificados para que el
servidor se ejecute con mayores privilegios. Un atacante podra asi, explotar una falla en la
seguridad del anfitrin y crear un programa CGI privilegiado que al final le otorgara
acceso total al sistema. Por esto, una de las mejores estrategias para mejorar la seguridad e
un servidor web es reducir el nmero de servicios que proporciona la computadora en la
que se ejecuta. Si es necesario tener un servidor web y uno de correo electrnico, lo ms
recomendable es ejecutarlos en computadoras independientes.
Otra buena estrategia para asegurar la informacin del servidor web es restringir el acceso a
l. El servidor debe encontrarse en un sitio seguro, de forma que no haya acceso fsico de
personal no autorizado. Se debe limitar el nmero de usuarios que puedan iniciar sesiones
interactivas con la computadora. El servidor debe emplearse solo para un prposito, de otra
forma, quienes tengan acceso a l podran acceder tambin a la informacin que contiene.
Adems, se debe exigir que quienes acceden al servidor con propsitos administrativos lo
hagan utilizando un mtodo seguro, como el Telnet kerberizado, SecureID, S/KEY o SSH.
Aseguramiento de la informacin en trnsito.
Mucha de la atencin prestada a la seguridad en el Web ha estado relacionada con el
problema de cmo proteger la informacin a fin de que no sufra una intercepcin no
autorizada mientras viaja por Internet.
Existen muchas formas de hacerlo:
Asegurar fsicamente la red, de forma que la intercepcin sea imposible.
Ocultar la informacin que se desea asegurar dentro de informacin que parece no tener
importancia.
Encriptar la informacin de forma que no pueda ser decodificada por nadie que no posea la
llave correcta.
La nica prctica es la encriptacin . Asegurar Internet Fsicamente es imposible. Ocultar la
informacin solo funciona si la gente de la que se oculta no sabe cmo est oculta.
Una de las primeras innovaciones de Netscape Communications fue su nivel de conexiones
Seguras (SSL,Secure sockets Layer), un sistema para encriptar la informacin de modo
automtico conforme se enva por Internet y desencriptarla antes de utilizarla.
SSL es una parte importante de la seguridad en el Web, sin embargo, es solo un
componente. Irnicamente, aunque en sus orgenes SSL fue desarrollado para permitir la
transmisin por Internet de informacin tal como nmeros de tarjetas de crdito, hay
nuevos protocolos que puedan permitir la realizacin de transacciones financieras en forma
ms sencilla y segura. Mientras tanto, existen otras tecnologas, como los certificados
digitales, que estn eliminando la necesidad de la criptografa mediante SSL para enviar
nombres de usuario y claves de acceso. Para ello, la verdadera expectativa de SSL puede
ser del proporcionar acceso administrativo seguro a servidores web y permitir a las
empresas informacin propietaria sobre redes pblicas.
Las implementaciones actuales de SSL en Estados Unidos proporcionan dos niveles de
seguridad:domstica y exportable. Tales niveles son resultado directo de las restricciones
impuestas por el gobierno de ese pas a la exportacin de tecnologa criptografica. La
seguridad de nivel exportable protege la informacin contra la intercepcin casual, pero no
puede resistir un ataque concertado. Por ejemplo, un novato en una computadora Pentium
puede desencriptar por la fuerza un mensaje de SSL de nivel exportable en menos de un
ao. Mediante una bsqueda o ataque de fuerza bruta(probando todas las llaves de
encriptacin posibles). La seguridad de nivel domstico es mucho ms estricta: para fines
prcticos, los mensajes encriptados mediante SSL de nivel domstido deben resistir los
intentos de desencriptarlos por fuerza bruta por lo menos durante diez aos, y tal vez sean
seguros durante treinta aos o ms. Por desgracias, la mayora de las versiones de
Navigator Netscape que se encuentran en circulacin proporcionan nicamente seguridad
de nivel exportable, no domstica.
Otro riesgo que corre la informacin en trnsito son los ataques de negacin del servicio
resultantes de interrupciones en la red. Una negacin del servicio puede ser resultado de un
evento fsico, por ejemplo, el corte de un cable, o de un evento lgico, digamos un error en
los usuarios descarguen los datos directamente para que sea posible rastrear las descargas,
obtener informacin adicional sobre sus lectores, y quiz, cobrar ms a sus anunciantes.
Es imposible imponer soluciones tcnicas que limiten la divulgacin de informacin una
vez que esta ha sido proporcionada al usuario. Si la informacin se despliega en la pantalla
del usuario, simplemente puede ser copiada e impresa o almacenada en un archivo. Aunque
se han propuesto(y comercializado) varios sistemas de proteccin contra copia de
informacin en el Web, todos pueden ser violados. Tal vez el mejor mtodo disponible para
algunos tipos de datos binarios es la marca de agua digital. Esto implica hacer cambios
muy pequeos y ocultos en los datos para as almacenar una identificacin del material.
Tales cambios no pueden ser detectados por el usuario y se realizan en forma especial para
evitar los intentos de eliminarlos. Las imgenes , archivos de sonido y otros datos con
marca de agua pueden examinarse mediante programas que localizan y despliegan la
informacin identificatoria, mostrando al verdadero dueo y, posiblemente , el nombre de
la persona para la que fue hecha la primera copia.
Es precisamente para combatir estos dos riesgos que fue diseado el SSL de Netscape. SSL
utiliza encriptacin, una tcnica matemtica para revolver la informacin, de forma que los
datos enviados entre el navegador de Sonio y el almacn de discos compactos en lnea no
puedan monitorearse secretamente mientras estn en trnsito. SSL tambin soporta un
complejo sistema de identificacin digital, de forma que Sonia tiene la certeza de que las
personas que operan el almacn de msica son en realidad quienes dicen ser.
SSL hace un buen trabajo al proteger la informacin mientras est en trnsito y al dar a los
usuarios del Web la seguridad de que estn comunicndose con los sitios con los cuales
creen que lo estn haciendo. Existen dos versiones de programas que instrumentan el
protocolo SSL una versin de fuerza reducida que venden las compaas estadounidenses
fuera de ese pas, y una versin de fuerza completa que venden las compaas extranjeras
fuera de Estados Unidos, as como por compaas estadounidenses para su uso interno en
ese pas . Sin embargo, aunque se ha armado gran alharaca acerca de la versin reducida de
SSL no es tan segura, quiz sigue siendo suficientemente buena para encriptar la mayora
de las transacciones de tarjeta de crdito.
Sin embargo, es irnico que SSL fue propuesto al principio como una forma de enviar
nmeros de tarjeta de crdito por Internet, ya que era necesario para este propsito.
De acuerdo con las leyes que gobiernan el uso de tarjetas de crdito en Estados Unidos , el
consumidor solo es responsable por los primeros 50 dlares de transacciones fraudulentas
con tarjeta de crdito. En la mayora de los casos, las compaas emisoras de tarjetas de
crdito ni siquiera imponen tal lmite: los consumidores que detectan cargo fraudulentos
pueden simplemente dar aviso a su banco y no pagar. Por ello, en realidad no hay riesgo
para los consumidores si se interceptan sus nmeros de tarjeta de crdito en Internet.
Si a Sonia se le cobrara un disco compacto y este nunca llegara, lo nico que tendra que
hacer su padre seria escribir a la compaa emisora de su tarjeta de crdito par
inconformarse con el cargo.
No es necesario que el consumidor verifique la identidad de los comerciantes que aceptan
tarjetas de crdito, ya que los bancos que abren a los comerciantes lneas de crdito para
cuentas de tarjetas ya lo han hecho. Los comerciantes no pueden cobrar mediante una
tarjeta de crdito a menos que primero obtengan una lnea de crdito para tarjeta, lo cual
implica un largo procedimiento de solicitud, una verificacin de fondo y, por lo comn, una
visita fsica. De hecho, las compaas emisoras de tarjetas de crdito realizan mucho mejor
trabajo en esto que lo que podra hacer Sonia jams.
La idea de que SSL poda asegurar las transacciones de crdito fue un elemento importante
al vender la idea del comercio por Internet-especialmente los productos de Netscape-a los
consumidores. El mensaje era simple y efectivo:No haga negocios con mensaje fue
demasiado efectivo: muchos usuarios de Internet, incluyendo algunos periodistas, se
sintieron tan intimidados por la idea de que la informacin de su tarjeta fuera robada en
Internet que rehusaron hacer negocios incluso con comerciantes que tenan servidores web
criptogrficos.
Irnicamente, las personas a quienes en realidad protegi la tecnologa de Netscape no
fueron los consumidores, sino los bancos y comerciantes. Esto se debe a que son ellos los
responsables finales del fraude con tarjetas de crdito. Si un comerciante hace un cargo por
tarjeta y enva un producto, el banco est obligado a pagrselo, aun si la tarjeta se reporta
robada ms tarde ese mismo da. La encriptacin tambin protege a los comerciantes: si un
nmero de tarjeta es robado debido a la negligencia de un comerciante, este puede ser
responsable ante el banco por cualquier fraude cometido con ese nmero. ( A partir de esto
las compaas emisoras de tarjetas de crdito han afirmado que, en efecto, un comerciante
es responsable de cualquier fraude con nmeros de tarjeta de crdito robados si no utiliza
un servidor web con caractersticas criptogrficas. Sin embargo, hasta ahora no se ha
informado pblicamente de algn caso de un nmero de tarjeta de crdito interceptado en
una conexin de red, encriptada o no.).
La Asociacin Estadounidense de Banqueros sostiene que es un beneficio de los
consumidores proteger a los comerciantes y bancos del fraude. Despus de todo, el fraude
merma las ganancias de los bancos, forzndolos a elevar las tasas de inters y
dificultndoles el ofrecimiento de nuevos servicios. Lidiar con fraudes tambin puede ser
muy difcil para algunos consumidores. Ciertas personas entran en pnico al ver un estado
de cuenta de tarjeta de crdito con miles de dlares de cargos fraudulentos. Otras
simplemente lo ignoran. Desafortunadamente, al hacerlo corren peligro despus de un
lapso(el cual depende de la institucin financiera), los consumidores son responsables de
cargos fraudulentos por los que no se inconformen.
El riesgo de que la informacin que proporciona para esta transaccin sea utilizada
en su contra en el futuro. Por ejemplo, un estafador podra obtener su informacin
personal y utilizarla para ganar su confianza. O bien, su direccin podra terminar
en una lista de correo y ser utilizada para bombardearla con correo no deseado,
electrnico o fsico.
El riesgo de que el comerciante pueda experimentar con la sensibilidad de Sonia a
los precios o tener conocimiento de las otras tiendas en las que Sonia compra, lo
cual le permitira incrementar selectivamente los precios ofrecidos a ella de forma
que sean tan altos como est dispuesta (o pueda) a pagar, y definitivamente ms
altos que los que le cobra al cliente promedio.
El riesgo de que el comerciante pueda, de alguna manera, obtener el control del
navegador de Sonia y utilizarlo y utilizarlo subrepticiamente para obtener
informacin de su computadora sobre sus preferencias y deseos.
El riesgo de que Cracker logre controlar el navegador de Sonia. El navegador
podra entonces ser utilizado para reformatear el disco duro de Sonia, an peor, el
cracker podra descargar un programa que escudriara la computadora de Sonia en
busca de informacin confidencial (nmeros de cuenta de banco, informacin de
tarjetas de crdito, cdigos de acceso, nmeros del Seguro Social, etc) para luego
enviarla de modo subrepticio a otros sitios de Internet para su posterior explotacin.
Sonia podra intentar entrar al sitio Web del comerciante y encontrarse que est
cado o terriblemente lento. Desilusionada, compra los discos de un competidor, an
peor, despus publica sus comentarios en listas de correo y en su propia pgina web.
Sonia podra ser, en realidad, un competidor-o, de hecho, un robot de un sitio web
de la competencia-que sistemticamente escudria el inventario del almacn de
msica y obtiene una lista de precios completa.
Sonia podra ser, en realidad, Miguel, un hacker de 14 aos que ha robado el
nmero de tarjeta de crdito de Sonia y lo utiliza ilegalmente para mejorar su
coleccin de discos.
Una vez que el comerciante obtiene el nmero de tarjeta de crdito de Sonia, lo
almacena en el disco duro de su computadora. Miguel podra violar la computadora
y robar todos los nmeros de tarjeta de crdito, haciendo responsable al
comerciante.
Una vez que Miguel entra a la computadora del comerciante, podra introducir
rdenes fraudulentas directamente en su base de datos de pedidos. Unos das
despus, Miguel recibira miles de discos compactos por correo.
Miguel podra tener su propia tarjeta de crdito. Una vez violada por completo la
computadora del comerciante, Miguel podra agregar rdenes para revertir cargos
en el sistema de procesamiento de tarjetas de crdito. Dichos crditos aparecen en la
tarjeta de Miguel. Unos das despus, utiliza un cajero automtico para convertir el
crdito en efectivo.
Como broma o como venganza por alguna ofensa imaginaria. Miguel podra alterar
la base de datos o las pginas web del almacn de forma que todos los discos
recibidos por los clientes no sean los que ordenaron. Esto podra no ser descubierto
una semana o dos, despus de enviados miles de pedidos. El comerciante tendra
entonces que pagar por todos los discos devueltos, procesar las devoluciones y
perder la confianza de sus clientes.
Miguel podra simplemente, saborear el almacn en lnea, etiquetando los precios de
la mercanca por debajo de sus precios.
Estos son los riesgos reales de hacer negocios en Internet.
Una de las razones del aumento del riesgo en las redes actuales es que Internet facilita
montar ataques annimos o casi annimos contra usuarios y negocios. Estos ataques, a su
vez, pueden ser automatizados, lo cual hace posible que un cracker busque una
vulnerabilidad especifica en miles de sitios web y millones de usuarios en un lapso muy
breve.Por ltimo , una consecuencia desafortunada de la naturaleza trasnacional de Internet
es que tales ataques pueden ser conducidos a nivel mundial.
Debido a que a menudo los firewalls se emplean de forma errneas, los autores tienen una
actitud ambivalente frente a ellos. En demasiadas ocasiones se han encontrado con firewalls
utilizados como sucedneos de la solucin real. Muchos ataques provienen de empleados
descontentos o deshonestos, no de personas externas, por lo que las firewalls desvan la
atencin de los verdaderos problemas de vulnerabilidad de las redes y de los anfitriones, de
la mala planeacin y de la falta de polticas organizacionales. Debido a ello, en muchas
ocasiones mejoran la seguridad en muy bajo grado, y en el proceso, dan una falsa sensacin
de seguridad de sus dueos.
Existen algunas situaciones reales en las que se deben utilizar los firewalls. Una de ellas, se
presenta cuando algunas organizaciones deben utilizar viejos sistemas heredados que no
pueden asegurarse : un firewall puede servir para controlar todo acceso a ellos en vez de
utilizarse solo para controlar el acceso desde fuera de la organizacin. Otra razn para
utilizar un firewall es que es mucho ms difcil rastrear a un atacante externo a la red que
uno que se encuentra dentro.
Por todo esto, un firewall debe emplearse solo para obtener seguridad adicional, junco con
controles internos, no como sucedneo de estos.
Otra razn para colocar el servidor web fuera del firewall es que una de las computadoras
que con mayor probabilidad ser comprometida por un atacante externo debido a su
visibilidad y disponibilidad. Si coloca el servidor web dentro del firewalls por lo general
tienen una seguridad interna ms debil que las que implantan estrictas medidas de
seguridad interna para evitar ataques y usos no autorizados.
Si un servidor web es atacado en repetidas ocasiones desde un anfitrin especfico, una
solucin de corto plazo es colocar un enrutador adicional entre la conexin a la red externa
y el servidor web, y configurarlo de forma que los paquetes de ataque sean eliminados en
vez de pasar al servidor. Una solucin a ms largo plazo es comunicarse con el proveedor
de servicio de Internet del atacante, notificar a alguna instancia legal.
Administracin de Riesgos.
La seguridad en el Web no es cosa de todo o nada es cuestin de grados. Entre ms
medidas de seguridad se utilicen , ms se reduce el riesgo. La meta debe ser reducir el
riesgo tanto como sea prctico( y se pueda pagar), para luego tomar medidas adicionales de
forma que, en caso de ocurrir un incidente de seguridad, sea posible una rpida
recuperacin.
Algunas personas creen que la seguridad es difcil y que es imposible tener un sistema
completamente seguro, as que por qu intentarlo siquiera? Es posible que su
organizacin exista este tipo de gente.
Desafortunadamente, el hecho es que la seguridad computacional no es fcil ni gratuita.
Las organizaciones que olvidan la seguridad y deciden arriesgarse viven en un ambiente
ms riesgoso. Un administrador de computadoras que instala un sistema sin seguridad que
no sufre ms adelante una violacin puede ser premiado por su descuido-acaso sea
promovido o contratado por otra organizacin-. Si despus ocurre un incidente de
seguridad, quizs el administrador hace tiempo que desapareci.
Por otro lado , cada vez es ms fcil implementar y trabajar con una buena seguridad en el
Web. Adems, al convertirse el comercio electrnico en parte de Internet, se esperan
avances para mantener una buena seguridad. Lo importante es darse cuenta de que la
seguridad no es solo un producto que puede comprarse: debe ser parte integral de la
operacin de una organizacin.
Tomado del libro:
Seguridad y Comercio en el Web
Mc Graw Hill O Reilly
Simson Garfinkel
Gene Spafford