Professional Documents
Culture Documents
1
ÍNDICE GENERAL
CAPITULO I
COMERCIO ELECTRONICO ENTRE EMPRESAS
(BUSINESS TO BUSINESS) Pág. 5
1.Comercio Electrónico Pág. 5
1.1 .Marco Conceptual Pág. 6
1.2 Implicaciones y Estrategias Pág. 6
2. Business to Business Pág. 7
CAPITULO II
COMERCIO ELECTRONICO ENTRE EMPRESAS Y CLIENTES
(BUSINESS TO CONSUMER) Pág. 8
2.1 Business to Consumer Pág. 8
2.2 Ventajas del comercio electrónico B2C Pág. 9
2.3 Tipos de empresas en comercio electrónico B2C Pág.9
2.4 Modelos basados en la publicidad Pág.9
2.5 Modelos basados en la comunidad Pág.9
2.6 Modelos basados en tarifas Pág.10
2.7 Los retos que enfrenta B2C e-comercio Pág.10
CAPITULO III
POLITICAS DE SEGURIDAD: PASARELAS DE PAGO Pág.11
3.1 Seguridad en los negocios electrónicos Pág.11
3.1.1 Amenazas a los negocios electrónicos Pág.12
3.1.2 Definición de Seguridad Pág.12
3.1.3 Creación de un ambiente seguro Pág.13
3.2 Plan de seguridad y control del negocio Pág.14
3.2.1 Aspectos de la seguridad Pág.16
3.2.1.1 Seguridad en los mensajes Pág.16
3.2.1.2 Seguridad en las comunicaciones Pág.18
3.2.1.3 Seguridad en los servidores Pág.18
3.2.2 Percepción por parte del usuario Pág.19
3.2.3 Estado actual del comercio electrónico por Internet Pág.20
3.2.4 Usar sitios seguros de Internet para las transacciones Pág.21
3.3 Tratamiento de datos personales Pág.21
3.3.1 Defensa y derechos del usuario Pág.22
3.4 Marketing y Publicidad Pág.23
3.4.1 Descripción del producto o servicio:
prevención de errores de interpretación del usuario Pág.23
3.4.2 Normativa sobre publicidad Pág.23
3.5 Métodos de pago Pág.24
3.5.1 Tarjetas de crédito Pág.24
3.5.2 Tarjetas de Débito Pág.26
3.5.3 Pagos Off-line Pág.27
3.6 Atención al cliente Pág.29
3.7 ¿Qué es, cómo funciona y cuánto cuesta la implementación de la pasarela
de pago, el certificado de seguridad de IP fija en
2
un alojamiento web? Pág.30
3.8 Conclusiones Pág.32
CAPITULO IV
AUDITORIA DE SEGURIDAD: NIVELES DE SEGURIDAD Pág.33
4.1 AUDITORIA INFORMATICA (AUD). Pág.33
4.1.1 Alcance de la Auditoría Informática Pág.35
4.1.2 Importancia de la Auditoría Informática Pág.35
4.1.2.1 Auditoría Informática de Producción o Explotación Pág.36
4.1.2.2 Auditoría Informática de Desarrollo de Proyectos Pág.36
4.1.2.3 Auditoría Informática de Sistemas Pág.37
4.1.2.4 Auditoría Informática de Comunicaciones y Redes Pág.37
4.1.2.5. Auditoría de la Seguridad Informática Pág.37
4.1.2.6. Auditoría Informática para Aplicaciones en Internet. Pág.37
4.2 Politicas de seguridad informatica (SEG) Pág.38
4.2.2 Elementos de una Política de Seguridad Informática Pág.39
4.2.3 Parámetros para Establecer Políticas de Seguridad Pág.39
4.2.4 Razones que Impiden la Aplicación de las
Políticas de Seguridad Informática Pág.40
4.3 Privacidad en la red y control de intrusos Pág.40
4.3.1. Privacidad en la Red Pág.40
4.3.2 Definición de Privacidad de las Redes Pág.41
4.3.3 Requisitos para Mantener la Privacidad de las Redes Pág.41
4.3.4 Riesgos o Amenazas a la Privacidad de las Redes Pág.42
4.4 Detección de intrusos Pág.43
4.4.1 Factores que Propician el Acceso de Intrusos a la Redes y Sistemas Pág.43
4.4.2 Medidas para Controlar el Acceso de Intrusos Pág.44
4.4.3 Principales Actividades de los Intrusos o Piratas Informáticos Pág.44
4.5Virus y Antivirus Pág.45
4.5.1. Virus Pág.45
4.5.2 Definiciones Pág.45
4.5.3 Características Pág.46
4.5.4. ¿Quiénes hacen los virus? Pág.46
4.5.5 Síntomas Más Comunes de Virus Pág.47
4.5.6 Clasificación Pág.47
4.5.7 Ciclo de Infección Pág.48
4.5.8 Medidas de Protección Efectivas Pág.49
4.6 Antivirus Pág.49
4.6.1 Definición de Antivirus Pág.50
4.6.2 Los Antivirus Más Buscados Pág.50
4.6.3 Antivirus al Rescate Pág.51
4.6.4 Conozca Bien su Antivirus Pág.51
4.6.5 Importancia del Antivirus Pág.52
4.6.5.1 Controles Pág.52
4.5.6.2 Bloqueos Pág.53
4.7 Seguridad Pág.54
4.7.1 Seguridad de su Corre "e" Pág.54
CAPITULO V
SOLUCIONES BASADAS EN CLAVE PUBLICA Pág.58
3
CAPITULO VI
EQUIPOS CERT, TIGER, TEAMS Pág.59
6.1 Cert Pág.59
6.2 Tiger Versión 10.4: "Tiger" Pág.59
CAPITULO VII
EMPRESAS QUE SE DEDICAN A LA SEGURIDAD DE LOS WEBS Pág.61
CAPITULO VIII
TECNOLOGIAS PARA LA SEGURIDAD Pág.62
CAPITULO IX
DEFINICIONES Y ESTRATEGIAS BASICAS DE
MARKETING EN INTERNET Pág.66
9.1 ¿Qué se necesita para definir una buena estrategia de marketing?
También en Internet. Pág.66
CAPITULO X
MARKETING DIRECTO CON E-MAIL Y NEWSLETTERS Pág.68
10.1 Definición de Marketing Directo Pág.68
10.2 Marketing directo en el marketing mix Pág.68
10.3 ¿Cómo funciona el marketing directo? Pág.68
10.4 ¿Qué cuota de respuesta cabe esperar? Pág.69
10.5 Importancia del marketing directo Pág.69
10.6 E-mail Marketing Pág.70
10.7 NEWSLETTERS Pág.71
CAPITULO XI
MARKETING VIRAL A TRAVÉS DE LA RED Pág.73
11.1 Marketing Viral en Internet: ¿Qué funciona en el Marketing Viral? Pág.73
CAPITULO XII
ESTRATÉGIAS PARA MONTAR UN NEGOCIO EN LA RED.
ANALISIS DE LAS DIFERENTES ETAPAS DE UN PROYECTO
DE IMPLEMENTACION DE COMERCIO ELECTRONICO. Pág.76
ANEXOS Pág.80
BIBLIOGRAFIA Pág.94
4
COMERCIO ELECTRÓNICO
CAPITULO I
COMERCIO ELECTRONICO ENTRE EMPRESAS (Business to Business)
1. Comercio Electrónico
Definición
Definido de una forma muy amplia e ideal, comercio electrónico o e-commerce es una
moderna metodología que da respuesta a varias necesidades de empresas y
consumidores, como reducir costes, mejorar la calidad de productos y servicios, acortar
el tiempo de entrega o mejorar la comunicación con el cliente. Más típicamente se suele
aplicar a la compra y venta de información, productos y servicios a través de redes de
ordenadores. En los últimos tiempos el termino se presenta siempre como
invariablemente ligado al desarrollo de Internet, se dice que la mensajería electrónica o
e-mail fue el primer incentivo para que Internet se convirtiese en una herramienta
habitual en la vida de mucha gente, y que el comercio electrónico podría ser ese
segundo gran empujón que la red necesita para que su uso se convierta de verdad en
algo general y cotidiano.
Pensemos, por contra, en una empresa de coches: uno puede conectarse a la red, ver que
coches hay, decidirse por alguno, verlo, adaptarlo a sus preferencias, ponerle el color, la
tapicería y los extras que quiera y ver cuanto le cuesta. Podría hasta pagarlo, pero en el
momento final, alguien tendrá que moverse para ir a buscar el coche porque, nos
pongamos como nos pongamos, un coche no es reducible a bits, sino a átomos. Esta
dualidad de producto/bit o producto/átomo, idea de Nicholas Negroponte (cuyo libro
“El Mundo Digital” es una lectura obligada para cualquiera que quiera iniciarse en estos
temas) es la primera reflexión que toda persona que medite sobre el comercio
electrónico debe hacerse.
5
1.1 .Marco Conceptual
Se asienta básicamente sobre dos pilares: por un lado, el marco legal, por ahora
escasamente desarrollado, que dictará los aspectos de privacidad, seguridad y acceso a
la información y, por otro, el marco tecnológico, los estándares técnicos para la
transmisión de información, los medios o canales para transmitirla y sus limitaciones.
Entre estos dos pilares fundamentales se asienta la necesidad de un sistema de prácticas
habituales o “códigos de uso”, como esquemas de seguridad en las transacciones,
autentificación, copyright, medios de pago electrónicos o uso de directorios y catálogos,
o el desarrollo de sistemas de marketing adecuados a este nuevo canal.
Características
Tengo que tener en cuenta también como me van a encontrar y a comparar: el tema de
cómo me encuentran se soluciona normalmente con los llamados catálogos y con los
motores de búsqueda, que localizan la información y la organizan para que el usuario la
encuentre. Los catálogos son herramientas en su mayoría voluntarias, uno pone su
página en Internet, y “avisa” a estos catálogos con el fin de aparecer en ellos. Los
motores de búsqueda, en cambio, funcionan en su mayoría como programas robot
(también llamados “arañas”) que circulan por la red, localizan páginas nuevas y las
ordenan. Para ello se basan en su título, contenido, o en las llamadas meta-tags, palabras
clave que el diseñador de la página decide incluir para hacer más fácil la localización.
Las estrategias más típicas hoy en día incluyen la gestión cuidadosa de estas meta-tags,
que deben incluir por supuesto el nombre de la empresa, el del producto, pero que
también pueden incluir el de las principales empresas de la competencia (para aparecer
al lado en la lista de resultados o “hits” cuando el usuario busca el producto), o trucos
parecidos.
De nada sirve tener una página maravillosa, de cuidado diseño y unos productos
excelentes, si no hay manera de localizarme en la red, sería como poner la mejor de las
tiendas en una calle desconocida en el extrarradio de un pueblo perdido. De ahí que la
gestión de los motores de búsqueda y el registro en los catálogos tengan una
importancia fundamental de cara al éxito del negocio.
6
uso de estos agentes? Mercados en los que el coste de obtener información adicional es
cero, y por tanto el cliente puede ver toda la oferta disponible antes de decidirse… lo
mas cercano al “mercado de información perfecta” de los economistas… Si su empresa
o su producto soportan bien este tipo de comparaciones, bien. Sino, piense
estratégicamente en como evitar la comparación en base al frío precio y como ganar
otros elementos de diferenciación que le hagan ser elegido cuando la comparación es
inevitable.
Finalmente… ¿cómo gano dinero con ésto? ¿cómo cobro a estos “clientes virtuales” a
los que nunca veo la cara? Básicamente se habla de dos esquemas: el primero es el
llamado “micropago”, un sistema que permitiría a la empresa cobrarle a un cliente una
cantidad de, pongamos, dos duros, de una manera económicamente eficiente. En el
establecimiento de estos sistemas se dice que esta el futuro de las transacciones en la
red, el beneficio vendría del volumen potencial frente al no-coste de poner ese artículo a
su alcance. La otra estrategia, llamada “bundling”, o “lote”, consiste en incluir un lote
grande de información y servicios y cobrar una tarifa plana por acceder a ella,
independientemente de a que información acceda el usuario.
2. Business to Business
Empresas que hacen negocios entre ellas. Por ejemplo los fabricantes que les venden a
distribuidores y los mayoristas que venden a detallistas. Aquí el precio se basa en el
volumen y es a menudo negociable.
7
CAPITULO II
COMERCIO ELECTRONICO ENTRE EMPRESAS Y CLIENTES (BUSINESS
TO CONSUMER)
B2C se refiere a la estrategia que desarrollan las empresas comerciales para llegar
directamente al cliente o usuario final.
A pesar del sentido amplio de la expresión B2C, en la práctica, suele referirse a las
plataformas virtuales utilizadas en el comercio electrónico para comunicar empresas
(vendedoras) con particulares (compradores). Por eso, el uso más frecuente es
«Comercio electrónico B2C»
El comercio electrónico B2C también llamado Bajas Calorías es una forma de venta con
gran potencial a largo plazo; en la actualidad, lo están desarrollando los sectores de
distribución de artículos de alimentación y consumo. Así, las grandes cadenas de
distribución: supermercados, hipermercados, grandes almacenes ya disponen de portales
propios para la venta a través de Internet.
B2C también se aplica a instituciones financieras y cualquier otro tipo de empresa que
establezca relaciones comerciales directas con sus clientes a través de Internet.
8
El éxito de las transacciones electrónicas B2C depende de la fiabilidad de los sistemas
de pago, que suelen ser a través de tarjetas de crédito, en otros casos se posibilitan otras
formas de pago como contra reembolso, en efectivo o la utilización de servicios
proporcionados por otras empresas como PayPal. En Colombia, una forma de pago
adicional a las tarjetas de crédito es el débito on-line de las cuentas de ahorro y
corrientes directamente en las entidades bancarias.
Intermediarios on-line
Los intermediarios on-line son compañías que facilitan las transacciones entre
compradores y vendedores, como contraprestación económica reciben un porcentaje del
valor de la transacción. La mayoría de las transacciones se realizan a través de estos
intemediarios, que pueden ser brokers o «informediarios», genéricos o especializados,
respectivamente.
En una publicidad basada en el sistema, las empresas tienen sitios web de un inventario,
que venden a las partes interesadas. Existen dos filosofías rectores para esta práctica: de
alto tráfico o de nicho. Los anunciantes tienen un alto tráfico de enfoque al intentar
llegar a un público más amplio. Estos anunciantes están dispuestos a pagar una prima
por un sitio que puede ofrecer un número elevado, por ejemplo, anuncios en Yahoo! o
Google. Cuando los anunciantes están tratando de llegar a un grupo más pequeño de
compradores, se llevan a un nicho. Estos compradores están bien definidos, claramente
identificados, y deseable. El nicho de enfoque se centra en la calidad, no cantidad. Por
ejemplo, un anuncio de WSJ.com en el que principalmente quieren ser vistos por la
gente de negocios y ejecutivos.
En una comunidad basada en el sistema, las empresas permiten a los usuarios en todo el
mundo el acceso a interactuar unos con otros sobre la base de áreas similares de interés.
Estas empresas ganan dinero por medio de la acumulación leales usuarios y la
orientación con la publicidad.
9
2.6 Modelos basados en tarifas
Los dos principales desafíos que enfrenta B2C de comercio electrónico son la creación
de tráfico y el mantenimiento de la fidelidad de los clientes. Debido al ganador se lo
lleva todo la naturaleza de la estructura B2C, muchas pequeñas empresas tienen
dificultades para entrar en un mercado y seguir siendo competitivos. Además, los
compradores en línea son muy sensibles al precio y son fácilmente atraídos lejos, por lo
que la adquisición y mantenimiento de nuevos clientes es difícil.
Un estudio de las principales empresas B2C de McKinsey encontró que: Arriba los
artistas intérpretes o ejecutantes tienen más de tres veces más de visitantes únicos al mes
a más de la mediana. Además, la parte superior intérprete había 2500 veces más
visitantes que el peor intérprete. Arriba los artistas intérpretes o ejecutantes tenía un
18% el porcentaje de conversiones de usuarios nuevos, el doble que la de la mediana.
Arriba los artistas intérpretes o ejecutantes tienen un ingreso por operación de 2,5 veces
la mediana. Arriba los artistas intérpretes o ejecutantes tuvo un margen bruto promedio
de tres veces la mediana. No hubo diferencias significativas en el número de
transacciones por cliente y el coste de adquisición de visitantes. En esencia, estos
maestros de B2C de comercio electrónico (Amazon, etc) permanecen en la parte
superior a causa de una comunicación eficaz y el valor para el cliente.
10
CAPITULO III
POLITICAS DE SEGURIDAD: PASARELAS DE PAGO
Aspectos Legales
Sucede que en la Red un cliente puede estar en un país, la empresa en otro, y el servidor
en otro. Pueden surgir problemas entre cliente y vendedor como: malas entregas,
clientes que no pagan, envíos no pedidos; etc.
Los reglamentos legales a utilizarse en estos casos son los del país donde se encuentra el
vendedor, aunque el reclamo generalizado de los clientes, es que se utilice el marco
legal del país donde se realiza la compra. Igualmente surgen y surgirán situaciones
nuevas de conflicto que no están contempladas. Sucede que algunas afirmaciones
válidas para una región no lo son para otras. En todos los casos, conviene consultar a un
letrado de la región geográfica específica.
En el ámbito internacional, cabe destacar en esta materia la Ley Modelo sobre Comercio
Electrónico de la de la Comisión de las Naciones Unidas para el Derecho del Comercio
11
Internacional (UNCITRAL), que regula las firmas y documentos electrónicos y que
otorga a los mensajes digitales el mismo valor que a los documentos impresos en papel.
Se define como la protección contra riesgos, o las medidas que se pueden tomar contra
el espionaje, el sabotaje, el ataque o el delito.
Para lograr dicha confianza en el cliente, son importantes los siguientes aspectos:
• Disponibilidad: es la característica que asegura que los recursos del sistema y la
información estarán disponibles a los usuarios autorizados, siempre que éstos los
necesiten.
• Integridad: involucra la protección de los datos almacenados o en tránsito contra
toda modificación.
12
• Autenticación: es la capacidad de un individuo o entidad de probar su identidad
electrónicamente.
• Autorización: implica el control de acceso a determinada información para
usuarios autenticados.
• Confidencialidad: es la característica que asegura que las personas no tienen
acceso a los datos, a no ser que estén autorizadas para conocerlos.
• No repudio: el emisor de un mensaje no puede negar haberlo enviado.
Algunas de las potenciales amenazas y ataques, a los cuales, son susceptibles las
actividades comerciales a través de redes públicas son:
• Acceso no autorizado a recursos de red.
• Destrucción de información y de recursos de red.
• Alteración, inserción o modificación de información.
• Conocimiento de información por personas no autorizadas.
• Interrupciones o disrupciones en los servicios de red.
• Robo de información y/o recursos de red.
• Negación de servicios recibidos y/o de información enviada o recibida.
• Alegación/afirmación de haber enviado o recibido información no suministrada.
Estos factores se suelen utilizar en combinación. Algunos de los métodos más comunes
son, como se dijo antes, las passwords, los números de identificación personal (PINs),
firmas digitales y certificados.
13
La autorización abarca mecanismos de control de acceso a: entidades de red, recursos de
red y derechos de acceso. Estos últimos describen los privilegios o permisos de la
entidad, y bajo qué condiciones esa entidad puede acceder a un recurso de red, y de qué
forma están habilitados a acceder.
Estos privilegios los puede controlar un usuario o administrador empleando una lista de
control de accesos (access control list – ACL), en la cual se detallan recurso por recurso,
los permisos de cada usuario autenticado.
La autorización también se relaciona con las publicaciones y la protección de los
derechos intelectuales.
Para adecuar las distintas necesidades, deben incluirse políticas relativas a la circulación
de información, las cuales determinarán, no sólo si un objeto puede o no librarse, sino
también de qué manera se lo hará; por ejemplo:
Encriptación, la confidencialidad debe asegurar que la información no pueda ser leída,
copiada, modificada o divulgada, sin la propia autorización, y que las comunicaciones a
través de redes no serán interceptadas. Para satisfacer estos requisitos se diseñan
técnicas de encriptación basadas en criptografía.
No se trata de un aspecto adicional al comercio electrónico, sino más bien que es uno de
los aspectos que más influyen para su correcto funcionamiento. Los consumidores,
entendiblemente, evitan aquellos sitios en los cuales saben o intuyen que la información
que provean no será manipulada confidencialmente, así como escaparán de compañías
que no adopten medidas de seguridad para proteger su propia base de datos.
14
Para destacar esta necesidad de controles de negocio en sistemas de comercio
electrónico seguro, los resultados que mostraron las encuestas realizadas por Ernst &
Young LLP, el FBI y el Computer Security Institute (CSI), es que un 46 por ciento de
los sitios corporativos de Internet creados en los últimos años, ya han quebrado.
Por ejemplo, la norma de seguridad puede listar las posibles amenazas de las que
deberían protegerse los recursos de red, y los métodos y niveles de protección que se
pondrían en práctica.
Por otra parte, una política de seguridad debería definir los límites de comportamiento
aceptable del sistema, determinar las acciones que se deberían llevar a cabo cuando
ocurriera algún tipo de violación a la seguridad, y también, especificar los protocolos y
permisos a usarse en ese sistema de seguridad.
2) políticas de control de acceso: deberán decidir qué entidades dentro del sistema
deben ser controladas, así como los privilegios de las mismas.
Todos estos mecanismos deben ser controlados por medio de auditorías y análisis de
riesgos.
Una auditoria de seguridad en e-commerce incluye registrar y reportar todos los eventos
que ocurran en la red que tengan relevancia para la seguridad. Este proceso se lleva a
cabo por etapas:
15
maliciosamente ir deduciendo de las cuentas de los clientes fracciones de centavos, lo
cual por ser tan aparentemente insignificante, que podría pasar desapercibido por los
contadores. Los controles de auditoria son métodos muy efectivos para casos como éste.
La seguridad del lado del cliente es un concepto general que es aplicable a cualquier uso
de Internet. Para el comercio electrónico nos enfocaremos en las transacciones y el
servidor.
- iguales: tanto el emisor como el receptor utilizan la misma clave. Esto implica que la
clave sólo es conocida por ellos (es “privada”) y plantea la necesidad de hacerla
conocida de manera segura por ambas partes; además, no permite identificar quién es el
emisor de un mensaje, ya que la misma clave es utilizada para encriptar y desencriptar
en ambos extremos de la comunicación.
- distintas: el emisor de un mensaje lo encripta utilizando una clave “pública”, no
secreta, perteneciente al receptor, quien es el único que lo puede descifrar con una clave
“privada” conocida solamente por él; de esa manera se asegura que solamente el
receptor deseado pueda desencriptarlo. La clave privada y la pública son
independientes, no se puede deducir una de la otra.
16
El nivel de protección que ofrecen las claves es proporcional a su longitud, la cual se
mide en bits; a medida que mejora la tecnología y la velocidad de procesamiento, la
longitud de las claves aumenta, ya que se hace más sencillo obtener la clave por el
método de “fuerza bruta”, es decir, prueba y error.
Las Firmas Digitales son métodos de cifrado que tienen dos propósitos:
- Validar el contenido de un mensaje electrónico, y que se puede utilizar posteriormente
para comprobar que un emisor envió de hecho ese mensaje.
- Probar que no se ha falsificado un mensaje durante su envío. Las firmas digitales
respaldan la autenticidad del correo electrónico, transacciones de contabilidad, órdenes
de empresa,documentos para grupos de trabajo y otros mensajes y archivos que se
trasladan entre sistemas, usuarios u organizaciones.
Las firmas digitales se basan en el hecho de que dos grupos pueden autentificarse el uno
al otro para le intercambio seguro de documentos, pero la relación entre ellos no se basa
en una confianza total.
Por ejemplo, una persona podría enviar un mensaje para apostar a un caballo de carreras
y después, si el caballo pierde la carrera, negar haber enviado dicho mensaje. Aunque se
sabe a través del proceso de autentificación que esta persona realmente envió ese
mensaje, sin una firma digital no se podría probar técnicamente que el mensaje no se
modificó. El emisor podría decir, "sí, yo le mandé un mensaje, pero usted lo cambió".
Las firmas digitales autentifican los mensajes y se usan para validar compras,
transferencias de fondos y otras transacciones de negocios.
Un formulario con una firma digital debe incluir el nombre del emisor, la fecha y hora,
junto con una secuencia numérica o identificación que identifique positivamente a la
persona o a la transmisión.
17
3.2.1.2 Seguridad en las comunicaciones
La manera más común de impedir el acceso a una red es mediante el uso de un firewall.
Éste es un equipo o un software, cuya función es filtrar los posibles accesos desde
Internet a la red de la empresa, permitiendo sólo ciertas conexiones o la utilización de
ciertos servicios únicamente.
Para realizar conexiones seguras a equipos remotos se puede utilizar algunos de los
siguientes protocolos:
- SSL (Secure Sockets Layer): es un protocolo que utiliza claves públicas y privadas
para la autenticación, encriptación de mensajes e integridad de los mismos. Para cada
una de estas funciones se usan pares de claves distintas, lo que le da seguridad
adicional; sin embargo, esto también ocasiona que las comunicaciones se vuelvan más
lentas por el tiempo adicional que requiere codificar y decodificar los mensajes.
- SHTTP (Secure Hypertext Transfer Protocol): este protocolo es una derivación del
HTTP, un protocolo utilizado para navegar por Internet, que tiene características de
seguridad adicionales.
Los mensajes de correo también pueden ser codificados utilizando alguno de estos
protocolos:
- PGP (Pretty Good Privacy): utiliza claves públicas y privadas para encriptar la
información. A diferencia de las otras implementaciones, las claves PGP no tienen fecha
de vencimiento, por lo que, si se descubre la clave de una persona, se podrá utilizar la
misma por tiempo indefinido.
- S/MIME (Secure Multipurpose Internet Mail Extensions): este protocolo es una
extensión del MIME, y al igual que PGP utiliza claves públicas y privadas.
Los servidores, es decir, los equipos que proveen los servicios de e-commerce, deben
ser protegidos contra ataques externos e internos y contra caídas en el sistema. Los
sistemas críticos que hay que proteger son:
- los servidores de Internet.
- las aplicaciones propiamente dichas.
- las bases de datos.
Cada uno de estos puntos daría para escribir un libro entero, por lo que nos dedicaremos
a destacarlos puntos más importantes a tener en cuenta:
18
Es muy importante impedir el acceso no autorizado a recursos internos. Esto se logra
mediante:
- Firewalls
- permisos de usuario
- y especialmente la correcta configuración de los servicios.
Un negocio debe implementar políticas de seguridad para proteger contra riesgos sus
iniciativas. Existen mecanismos robustos que soportan los requerimientos de seguridad,
pero todavía hay un desafío que falta cubrir para el comercio electrónico. El elemento
faltante es la confianza.
En el mundo de los negocios más allá del comercio electrónico, los niveles de confianza
están implícitos en actividades y transacciones de forma tan obvia, que no son siquiera
tomados en cuenta, y los mecanismos utilizados se presentan de forma casi transparente.
Esto no sucede en el comercio electrónico, siendo muy importante la percepción del
usuario y su confianza para el futuro de este tipo de negocios. Crear y mantener esta
confianza implica, más que definir requerimientos de seguridad, verificar que todos los
componentes de la parte técnica cumplan con los requerimientos.
En un ambiente digital, definir los elementos que caractericen la confianza puede ser
muy complejo, están muy relacionados con requisitos de autorización.
La falta de confianza puede tener como consecuencia la denegación de la autorización
necesaria. Sin embargo, establecer la confianza puede ser más complicado aún, ya que
una percepción individual de confianza sobre un problema en particular puede depender
de cómo la situación se desenvuelva.
Se recomienda una lista de medidas de seguridad que un sistema debe implementar para
maximizar la confianza, que son:
• Comparar el software sin costo o de bajo costo con los riesgos que su uso
involucra. Utilizar productos de empresas confiables que implementen los
controles de calidad apropiados puede reducir los riesgos.
19
• Prestar especial atención a la protección en ambientes que contengan software
crítico. La captura de información es de suma importancia para un análisis
posterior de problemas de seguridad y para las auditorías de los sistemas.
• El software es generalmente más susceptible a ser poco confiable que el
hardware, ya que es más fácil de modificar y más propenso a las fallas. Por esta
razón, se deberían utilizar componentes de software reconocidos para funciones
críticas.
Actualmente, muchas de las empresas que venden productos por Internet le comunican
al comprador, antes de comenzar a llenar la orden de compra, que el procedimiento que
se va a realizar cuenta con un mecanismo de seguridad, que por lo general es de
encriptación.
También, desde hace unos meses, las páginas Web de algunas empresas muestran su
aval de certificación.
La certificación de los usuarios es un proceso que está menos avanzado, pero
seguramente terminará imponiéndose como requisito para efectuar determinadas
operaciones en Internet.
Un certificado de seguridad, ya sea personal o de sitio Web, asocia una identidad a una
"clave pública". Sólo el propietario conoce la correspondiente "clave privada" que le
permite "descifrar" o crear una "firma digital".
20
El componente de firma digital de un certificado de seguridad es su tarjeta de identidad
electrónica. La firma digital indica al destinatario que la información procede realmente
de usted y que nadie la ha falsificado ni suplantado.
Muchos sitios de Internet están configurados para evitar que personas no autorizadas
vean los datos enviados a esos sitios o desde ellos. Reciben el nombre de sitios
"seguros". Como Internet Explorer es compatible con los protocolos de seguridad
utilizados por los sitios seguros, puede enviar información a un sitio seguro con total
seguridad y confianza.
Cuando visita un sitio Web seguro, éste le envía automáticamente su certificado e
Internet Explorer muestra un icono de cerradura en la barra de estado.
Si va a enviar información (como el número de su tarjeta de crédito) a un sitio no
seguro, Internet Explorer puede advertirle de que el sitio no es seguro. Si el sitio afirma
ser seguro pero sus credenciales de seguridad son sospechosas, Internet Explorer puede
advertirle de que el sitio puede estar intervenido o desvirtuado.
Entre los derechos que se intentan resguardar está, el derecho a la intimidad o, más
ampliamente, a la privacidad, concepto formado por un conjunto de facetas de la
personalidad del individuo que, coherentemente enlazadas entre sí, arrojan un retrato del
mismo, que éste, tiene derecho de mantener reservado.
21
Esto es, por ejemplo, lo que sucede con los sistemas de puntos de las tarjetas de crédito,
en los que queda registrado todas las operaciones realizadas, fecha y lugar de las
mismas; de modo que puede servir para establecer un perfil del titular y, de hecho, son
usados por las fuerzas de seguridad para localizar a un sospechoso.
En Internet, se pueden recoger datos de diversas maneras, entre ellas, mediante el uso de
cookies, pequeños archivos de datos que se generan a través de las instrucciones que los
servidores webs envían a los programas navegadores (Explorer, Netscape), y que se
guardan en un directorio específico de la pc del usuario. Este, tiene la posibilidad de
desactivarlas mediante la correspondiente opción de su navegador, sin prejuicio de que
esto pueda afectar el buen funcionamiento de la página en cuestión.
Por otra parte, los datos también pueden ser obtenidos mediante la cumplimentación de
un formulario en Internet, ya sea para suscribirse a un determinado servicio, introducir
los datos para el abono de un bien o servicio o, simplemente, para la participación en un
chat.
Otros medios utilizados para obtener un perfil certero del usuario, son las aplicaciones
que se instalan en el navegador, y desafortunadamente, en ese sentido existe una gran
desprotección por cuanto el usuario no es consciente en este seguimiento. Como
ejemplo, podemos citar que en Estados Unidos ya se descubrió a una empresa famosa
que ofrecía la personalización de cursores con formas divertidas, con el propósito de
registrar todos los movimientos del usuario, y esos datos se facilitaban a empresas de
marketing.
Ante las múltiples formas que existen para recabar datos personales en Internet, ¿cuáles
son los medios de defensa de los que dispone el usuario?. En este sentido
distinguiremos dos ámbitos de protección:
• el genérico, que son los medios disponibles por todo internauta en la Red,
• y otro específico que hace referencia a la protección legal vigente en el país.
Una vez que los datos del usuario han sido recabados por parte de alguna empresa,
reviste gran trascendencia el tratamiento automatizado que vaya a hacerse de los
mismos. Circunstancia habitual en Internet es el hecho de que, al ir el usuario mostrando
a través de la navegación sus preferencias y hábitos de consumo, las empresas de
comercio electrónico establecen perfiles de los individuos que les permiten
posteriormente un envío de ofertas y mensajes publicitarios más acordes con dicho
perfil.
En ese sentido, la Ley 25.326 de Protección de los Datos Personales, que se tiene en
cuenta en el Anteproyecto de Ley sobre Formato Digital de los Actos Jurídicos y
Comercio Electrónico preparado por la Jefatura de Gabinete, establece la obligación de
la empresa de comercio electrónico, de utilizar los datos personales sólo para
finalidades compatibles con aquellas para las cuales los datos hubieran sido recogidos.
Por ello, el usuario debe procurar averiguar la política de sus proveedores y
administradores de listas y directorios, en lo que se refiere a venta, intercambio o
alquiler de los datos que les suministra.
22
Hay que tener en cuenta, que cuando el usuario introduce su dirección de correo
electrónico en un directorio, lista de distribución o grupo de noticias, dicha dirección
puede ser recogida por terceros para ser utilizada para una finalidad diferente, como por
ejemplo, remitirle publicidad no deseada (spam).
En este apartado se analizan los principales aspectos jurídicos que afectan a las
actividades realizadas en Internet para promover la contratación de productos o
servicios; así tanto el usuario, en ente caso consumidor, como el oferente tendrán que
tener en cuenta que se respetan los siguientes puntos:
Uno de los principales objetivos en el diseño de una oferta a través de Internet es que la
descripción del producto sea clara, con el fin de evitar dificultades en la interpretación
de sus cualidades o características técnicas por parte del usuario.
Pensemos que se trata de una venta a distancia, y que el usuario no puede apreciar de
forma directa, la calidad del producto. Es en ese punto donde la publicidad cobra un
papel relevante, ya que va a influir en el consumidor impactándole para que se decida
por un determinado producto, careciendo el usuario de Internet de otros elementos de
juicio, debido a que no accede físicamente al objeto de la compra.
El uso de Internet con fines publicitarios hace que se trasladen a la Red, los mensajes
publicitarios que se difunden en la vida real. Pero la aparente falta de control ha creado
cierta sensación de impunidad en la Red, que puede ocasionar la aparición de supuestos
de publicidad ilícita o contraria a la legalidad vigente.
23
también, la publicidad que silencie datos fundamentales de los bienes, actividades o
servicios cuando dicha omisión induzca a error de los destinatarios).
c) la publicidad desleal, es aquella que por su contenido, forma de presentación o
difusión provoca el descrédito, denigración o menosprecio directo o indirecto de una
persona, empresa o de sus productos, servicios o actividades.
La que induce a confusión con las empresas, actividades, productos, nombres, marcas u
otros signos distintivos de los competidores, así como la que haga uso injustificado de la
denominación, siglas, marcas o distintivos de otras empresas o instituciones y, en
general, la que sea contraria a las normas de corrección y buenos usos mercantiles. La
publicidad comparativa cuando no se apoye en características esenciales, afines y
objetivamente demostrables de los productos o servicios, o cuando se contrapongan
bienes o servicios con otros no similares o desconocidos, o de limitada participación en
el mercado.
d) La publicidad subliminal.
e) La que infrinja lo dispuesto por la normativa que regule la publicidad de
determinados productos, bienes, actividades o servicios.
El protocolo SET fue desarrollado por Visa y MasterCard, con la colaboración de otras
compañías líderes, como Microsoft, IBM, Netscape, RSA, VeriSign y otras. El pago
mediante tarjeta es un proceso complejo en el cual participan varios actores:
- El banco emisor: emite la tarjeta del cliente, extiende su crédito y es responsable de la
facturación, recolección y servicio al consumidor.
- El banco adquiriente: establece una relación con el comerciante, procesando las
transacciones con tarjeta y las autorizaciones de pago.
- El titular de la tarjeta: posee la tarjeta emitida por el banco emisor y realiza y paga las
compras.
- El comerciante: vende productos, servicios o información y acepta el pago electrónico,
que es gestionado por su entidad financiera (adquiriente).
- La pasarela de pagos: mecanismo mediante el cual se procesan y autorizan las
transacciones del comerciante. La pasarela puede pertenecer a una entidad financiera
(adquiriente) o a un operador de medio de pago, el cual procesa todas las transacciones
de un conjunto de entidades.
- El procesador (redes de medios de pago): proporciona servicios adicionales operando
la infraestructura de telecomunicaciones sobre las que se realizan las transacciones.
- Autoridad de certificación: certifica las claves públicas del titular de la tarjeta, del
comerciante y de los bancos.
Una transacción SET típica, funciona de forma muy parecida a una transacción
convencional con tarjeta de crédito. El cliente navega por el sitio web del comerciante y
decide comprar un artículo.
24
Para ello, rellena un formulario y posiblemente haga uso de alguna aplicación tipo
carrito de la compra, para ir almacenando diversos artículos y pagarlos todos al final.
El protocolo SET se inicia cuando el comprador pulsa el botón de Pagar. El servidor del
comerciante envía una descripción del pedido que despierta a la aplicación monedero
del cliente. El cliente comprueba el pedido y transmite una orden de pago de vuelta al
comerciante. La aplicación monedero crea dos mensajes que envía al comerciante.
El primero, lleva la información del pedido y contiene los datos del pedido; mientras
que el segundo, contiene las instrucciones de pago del cliente (número de tarjeta de
crédito, banco emisor, etc.) para el banco adquiriente.
En ese momento, el software monedero del cliente genera una firma dual, que permite
juntar en un solo mensaje la información del pedido y las instrucciones de pago, de
manera que el comerciante puede acceder a la información del pedido, pero no a las
instrucciones de pago, mientras que el banco puede acceder a las instrucciones de pago,
pero no a la información del pedido.
El software SET en el servidor del comerciante crea una petición de autorización que
envía a la pasarela de pagos, incluyendo el importe a ser autorizado, el identificador de
la transacción y otra información relevante acerca de la misma, todo ello
convenientemente cifrado y firmado. Entonces se envían al banco adquiriente la
petición de autorización junto con las instrucciones de pago (que el comerciante no
puede examinar, ya que van cifradas con la clave pública del adquiriente).
Si el proceso tiene éxito, obtiene a continuación las instrucciones de pago del cliente,
que verifica a su vez, para asegurarse de la identidad del titular de la tarjeta y de la
integridad de los datos.
25
firmas digitales y la información para asegurarse de que todo está en orden. El software
del servidor almacena la autorización y el testigo de transferencia de fondos.
El protocolo definido por SET especifica el formato de los mensajes, las codificaciones
y las operaciones criptográficas que deben usarse. No requiere un método particular de
transporte, de manera que los mensajes SET pueden transportarse sobre HTTP en
aplicaciones web, sobre correo electrónico o cualquier otro método. Como los mensajes
no necesitan transmitirse en tiempo presente, son posibles implantaciones de SET
eficientes basadas en correo electrónico.
A diferencia de las tarjetas de crédito, las tarjetas de débito requieren un PIN (número
de identificación personal). El usuario debe tener previamente depositado en su cuenta
bancaria el dinero necesario para la compra que va a realizar, y los pagos no pueden ser
financiados en cuotas. Las tarjetas de débito funcionan a través de dispositivos físicos
capaces de leer la información almacenada en su banda magnética. En rigor, y por este
motivo, no son utilizadas actualmente para el comercio electrónico, pues sería necesario
que cada cliente tuviera el hardware necesario para leer y validar la tarjeta. Sin
embargo, muchas empresas han desarrollado soluciones de pago inspiradas en este
sistema, que aunque no se ajustan perfectamente a esta definición, son consideradas
tarjetas de débito.
En esta línea está el llamado "efectivo electrónico". Se trata de dinero virtual, pero con
las mismas ventajas del dinero ordinario: anónimo, no puede ser rastreado, puede ser
dividido en distintos montos, puede ser usado por menores y por cualquier persona sin
necesidad de que tenga una cuenta bancaria. Por supuesto, también tiene las mismas
desventajas (como la posibilidad de ser falsificado).
Para que exista el dinero electrónico es necesario una entidad financiera que lo emita y
lo respalde, y comerciantes que lo acepten como dinero "real". Varias organizaciones
financieras en todo el mundo han desarrollado soluciones basadas en el concepto de
"efectivo electrónico" y cada modelo presenta distintivas particularidades según la
región donde se aplica.
26
Novacash es una tarjeta de débito prepaga que sirve para realizar compras por Internet
de modo anónimo.
El cliente debe comprar la tarjeta en una sucursal "física" de alguno de los comercios
adheridos (Grimoldi, Musimundo, etc.) y activarla. La activación consiste en "cargarla
con dinero" y validarla con un PIN.
El cliente elige la suma de efectivo que derivará a la tarjeta y seguidamente tendrá que
abonarlo. El vendedor ingresa en la tarjeta el monto recibido y extiende un
comprobante. Inmediatamente, el cliente ingresa un número de PIN para la tarjeta a
través de un dispositivo electrónico que le es proporcionado. Luego de esto, el usuario
ya está en condiciones de comprar por Internet de una forma anónima y segura.
El usuario sólo podrá comprar hasta la cantidad de dinero que tenga almacenado en la
tarjeta, pero podrá recargarla cuantas veces quiera.
Además, sólo podrá comprar en los comercios adheridos a Novacash (ya que son los
únicos que reconocen ese débito como dinero).
Aunque la red Novacash es todavía pobre, la solución que plantea para las compras
electrónicas locales es muy prometedora y es de esperar que la cantidad de comercios
adheridos crezca en el futuro cercano.
La principal ventaja de este sistema es que uno no puede gastar más dinero que el que
tiene almacenado en la tarjeta, las posibilidades de abusos o estafas son pocas y casi
nulas si el usuario sabe administrar las tarjetas con inteligencia. Novacash permite
transferir fondos entre tarjetas, por lo cual un cliente puede tener una tarjeta maestra
desde donde administra sus fondos y varias tarjetas "satélite" a las que deriva la
cantidad exacta de dinero que quiere gastar en una compra determinada. Otra
característica prometedora es que los usuarios de Novacash pueden ser menores de edad
o gente al margen del sistema financiero.
El método más difundido es el Pago Contra Entrega. Es una forma de pago conocida y
aceptada por todo el mundo. Es segura tanto para el cliente como para el vendedor. La
mercadería se envía al destinatario a través del correo. Para poder recibir el paquete el
cliente debe abonar al empleado postal la suma de dinero indicada por el remitente.
Luego, el Correo reembolsa al remitente lo cobrado mediante un giro postal.
27
- La desventaja principal es que mercaderías muy voluminosas o pesadas encarecen el
precio final del producto de un modo dramático.
Otro método utilizado con menos éxito que el Pago Contra Reembolso es, el Depósito
Previo en Cuenta Bancaria. Junto con su oferta de productos y servicios, el vendedor
publica en su sitio web una lista de Sucursales Bancarias donde es posible depositar
dinero en una cuenta determinada.
Luego envía por fax o correo al vendedor una copia del comprobante de depósito. El
vendedor envía al cliente la mercadería por la vía que acordaron previamente.
Aunque no resulte un método que logre entusiasmar a los nuevos usuarios, puede ser
muy efectivo con aquellos clientes con los cuales ya hemos establecido relaciones de
confianza, sobre todo si se trata de cobros regulares como una suscripción o una
membresía que debe ser renovada cada cierto tiempo. Una variante del Depósito
Bancario es el Giro Bancario. Aquí el cliente informa a su Banco que transfiera la
cantidad de dinero pactada desde su cuenta a la cuenta del vendedor (que suele
pertenecer a otro Banco).
Existe una diferencia importante en cuanto al tipo de solución que se debe aplicar y está
dada por el soporte de nuestro producto. Las mercaderías soportadas en átomos
requieren infraestructura que es innecesaria para las mercaderías soportadas en bytes, y
viceversa. Esta diferencia influye en forma dramática sobre el precio final de cada
producto.
Los átomos (muebles, flores, electrodomésticos, artesanías, etc.) ocupan espacio, pesan
y deben atravesar fronteras físicas cuando son despachados. Esto los hace muy
28
propensos a cargar y cargar impuestos. También exigen fuerza de trabajo humana para
moverlos, almacenarlos y embalarlos. Cuando se suman todas las cargas impositivas y
de intermediarios, y principalmente si no se ha planificado una estrategia de logística,
tratar de vender átomos por Internet puede parecer bastante desolador.
Sin embargo, hay algo que los átomos tienen que los bytes carecen, y es: que la gente
los prefiere. Cuando el consumidor tiene que optar entre un mismo producto soportado
en átomos o bytes siempre va a tener preferencia por el primero.
A la gente le gusta comprar cosas que pueda ver, coleccionar y “acariciar de vez en
cuando”.
La psicología de la propiedad funciona mejor sobre los átomos que sobre los bytes, por
lo cual, aunque un producto resulte encarecido por su soporte puede terminar siendo
más rentable.
Se puede recurrir a un único socio logístico que resuelva todas o parte de las etapas del
proceso que no son fáciles de absorber. Todas las empresas de correo importantes tienen
planes de logística para e-commerce que contemplan soluciones para la totalidad del
proceso.
Otra alternativa pasa por vincularse con diferentes socios para cada etapa en particular,
pero eso depende de la estrategia y el plan general del sitio web.
Los bytes (contenidos, traducciones, software, etc.) tienen la enorme ventaja de poder
ser transmitidos al cliente en tiempo real inmediatamente después de efectivizada la
compra. Generalmente tienen el beneficio de la reducción de impuestos en las
operaciones internacionales.
En primer lugar, todo sitio web debe contar con una sección de FAQs (Respuestas a
Preguntas Frecuentes), o un manual de especificaciones o de uso, según el caso. Esto se
29
establece para despejar las inquietudes más comunes de los usuarios y como una
primera alternativa adonde acudir en caso de dudas. A partir de aquí, es conveniente
instalar una serie de herramientas que colaboren con el usuario desde lo general a lo
particular.
Un salón de chat permite que el usuario converse, en tiempo real, tanto con nosotros
como con otros navegantes conectados. La práctica demuestra que los navegantes son
solidarios entre sí y tienden a ayudarse, por lo que descubriremos que varios de nuestros
usuarios pueden terminar comportándose como si fueran parte de nuestro staff de
atención al cliente.
La programación de la pasarela de pago, es algo que siempre hay que hacer cuando se
hace una Web nueva y no es algo que se pueda migrar de una Web vieja a otra nueva,
así como los certificados de seguridad tampoco son migrables, es por ello que siempre
se cobra el primer año dicho servicio con los proyectos nuevos o rediseños que
requieran una pasarela de pago.
30
Mediante la instalación de un Certificado de Seguridad SSL adquirido a través de
Serviweb, cualquier información enviada a su servidor es encriptada, imposibilitando su
intercepción o robo.
Además muestra la identidad del individuo o empresa responsable del sitio Web y el
nombre de la autoridad independiente que ha verificado dicha identidad (Thawte en éste
caso).
El Certificado de Seguridad se conectará a través de 128 bit, 56 bit o 40 bit dependiendo
de la capacidad del navegador del cliente.
Por tal motivo, si deseas que la información de tus clientes sea totalmente privada y
confidencial, un Certificado de Seguridad Web SSL es la única forma de asegurar a tus
clientes de que no se exponen a ningún riesgo al enviar datos a través de la red.
Los clientes on-line están libres de cualquier riesgo asociado a la compra a través de
Internet o el envío de sus datos personales, de cualquier intercepción de sus datos por
parte de personas no autorizadas.
Utilizando los certificados de seguridad de Thawte de Serviweb, los clientes sabrán que
están trabajando con una empresa u organización cuya seguridad en cuanto a envío de
datos y/o transacciones on-line está totalmente verificada y asegurada.
Precio
Estos servicios normalmente se venden unidos cuando el cliente quiere realizar una
pasarela de pago con un banco especifico, con el siguiente concepto:
31
Módulo Pasarela de pago con tarjeta de crédito personalizada (permite el pago con
tarjeta de crédito con un Banco especifico): 395€ (el primer año y 195€ los años
siguientes).
Nota: Aunque su precio puede variar a 195 € de instalación y ninguna cuota anual (ver
más abajo).
3.8 Conclusiones
32
CAPITULO IV
AUDITORIA DE SEGURIDAD: NIVELES DE SEGURIDAD
Generalidades
Una definición podría ser la siguiente: "Se entiende por Auditoría Informática una serie
de exámenes periódicos o esporádicos de un sistema informático cuya finalidad es
analizar y evaluar la planificación, el control, la eficacia, la seguridad, la economía y la
adecuación de la infraestructura informática de la empresa".
33
normas legales aplicables, el grado de satisfacción de usuarios y directivos, los controles
existentes y el análisis de riesgos".
Otra definición nos indica que la Auditoría Informática es aquella que tiene como
objetivos evaluar los controles de la función informática, analizar la eficiencia de los
sistemas, verificar el cumplimiento de las políticas y procedimientos de la empresa en
este ámbito y revisar que los recursos materiales y humanos de esta área se utilicen
eficientemente. El auditor informático debe velar por la correcta utilización de los
recursos que la empresa dispone para lograr un eficiente y eficaz Sistema de
Información.
Daños
Destrucción
Salvaguarda activos {
Uso no autorizado
Robo
Oportuna
Completa
Así pues, debemos reafirmar que la Auditoría Informática, también conocida en nuestro
medio como Auditoría de Sistemas, surge debido a que la información se convierte en
uno de los activos más importante de las empresas, lo cual se puede confirmar si
consideramos el hecho de que si se queman las instalaciones físicas de cualquier
organización, sin que sufran daños los ordenadores, servidor eso equipo de cómputo, la
entidad podría retomar su operación normal en un menor tiempo, que si ocurre lo
34
contrario. A raíz de esto, la información adquiere gran importancia en la empresa
moderna debido a su poder estratégico y a que se invierten grandes sumas de dinero y
tiempo en la creación de sistemas de información con el fin de obtener una mayor
productividad.
El alcance de la Auditoría Informática no es nada más que la precisión con que se define
el entorno y los límites en que va a desarrollarse la misma y se complementa con los
objetivos establecidos para la revisión. El alcance de la Auditoría Informática deberá
definirse de forma clara en el Informe Final, detallando no solamente los temas que
fueron examinados, sino también indicando cuales se omitieron.
A pesar de ser una disciplina cuya práctica ha aumentado en nuestro país durante los
últimos años, la Auditoría Informática, es importante en las organizaciones por las
siguientes razones:
35
• Mantener la continuidad del servicio y la elaboración y actualización de los planes de
contingencia para lograr este objetivo.
• Los recursos tecnológicos de la empresa incluyendo instalaciones físicas, personal
subalterno, horas de trabajo pagadas, programas, aplicaciones, servicios de correo,
Internet, o comunicaciones; son utilizados por el personal sin importar su nivel
jerárquico, para asuntos personales, alejados totalmente de las operaciones de la
empresa o de las labores para las cuales fue contratado.
• El uso inadecuado de la computadora para usos ajenos de la organización, la copia de
programas para fines de comercialización sin reportar los derechos de autor y el acceso
por vía telefónica a bases de datos a fin de modificar la información con propósitos
fraudulentos.
Estas fases deben estar sometidas a un exigente control interno, ya que en caso
contrario, los costos pueden excederse, puede producirse la insatisfacción del usuario.
36
La auditoría en este caso deberá principalmente comprobar la seguridad de los
programas en el sentido de garantizar que lo ejecutado por la máquina sea exactamente
lo previsto o lo solicitado inicialmente.
Este tipo de revisión se enfoca en las redes, líneas, concentradores, multiplexores, etc.
Así pues, la Auditoría Informática ha de analizar situaciones y hechos algunas veces
alejados entre sí, y está condicionada a la participación de la empresa telefónica que
presta el soporte. Para este tipo de auditoría se requiere un equipo de especialistas y
expertos en comunicaciones y redes.
El auditor informático deberá inquirir sobre los índices de utilización de las líneas
contratadas, solicitar información sobre tiempos de desuso; deberá proveerse de la
topología de la red de comunicaciones actualizada, ya que la desactualización de esta
documentación significaría una grave debilidad. Por otro lado, será necesario que
obtenga información sobre la cantidad de líneas existentes, cómo son y donde están
instaladas, sin embargo, las debilidades más frecuentes o importantes se encuentran en
las disfunciones organizativas, pues la contratación e instalación de líneas va asociada a
la instalación de los puestos de trabajo correspondientes (pantallas, servidores de redes
locales, computadoras, impresoras, etc.).
El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que
no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no
exista la posibilidad de transmisión de virus.
37
• Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así
como su probabilidad de ocurrencia.
• Evaluación de vulnerabilidades y la arquitectura de seguridad implementada.
• Verificar la confidencialidad de las aplicaciones y la publicidad negativa como
consecuencia de ataques exitosos por parte de hackers.
En este sentido, las políticas de seguridad informática surgen como una herramienta
organizacional para concientizar a los colaboradores de la organización sobre la
importancia y sensibilidad de la información y servicios críticos que permiten a la
empresa crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar
una política de seguridad requiere un alto compromiso con la organización, agudeza
técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha
política en función del dinámico ambiente que rodea las organizaciones modernas.
Una política de seguridad informática es una forma de comunicarse con los usuarios, ya
que las mismas establecen un canal formal de actuación del personal, en relación con
los recursos y servicios informáticos de la organización.
38
reconocer la información como uno de sus principales activos así como, un motor de
intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de
seguridad deben concluir en una posición consciente y vigilante del personal por el uso
y limitaciones de los recursos y servicios informáticos.
Como una política de seguridad debe orientar las decisiones que se toman en relación
con la seguridad, se requiere la disposición de todos los miembros de la empresa para
lograr una visión conjunta de lo que se considera importante.
Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje
sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una
comprensión clara de las mismas, claro está sin sacrificar su precisión.
Por último, y no menos importante, el que las políticas de seguridad, deben seguir un
proceso de actualización periódica sujeto a los cambios organizacionales relevantes,
como son: el aumento de personal, cambios en la infraestructura computacional, alta
rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa,
cambio diversificación del área de negocios, etc.
• Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las
políticas a la realidad de la empresa.
• Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la
experiencia y son la principal fuente para establecer el alcance y definir las violaciones
a las políticas.
39
• Comunicar a todo el personal involucrado sobre el desarrollo de las políticas,
incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus
elementos de seguridad.
• Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues
son ellos los interesados en salvaguardar los activos críticos su área.
• Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma
tal, que ante cambios las políticas puedan actualizarse oportunamente.
• Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar
situaciones de tensión al momento de establecer los mecanismos de seguridad que
respondan a las políticas trazadas.
A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir
directrices de seguridad y concretarlas en documentos que orienten las acciones de las
mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es
convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de
seguridad informática.
Esta situación ha llevado a que muchas empresas con activos muy importantes, se
encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en
muchos casos comprometen información sensitiva y por ende su imagen corporativa.
Ante esta situación, los encargados de la seguridad deben confirmar que las personas
entienden los asuntos importantes de la seguridad, conocen sus alcances y están de
acuerdo con las decisiones tomadas en relación con esos asuntos.
Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las
estrategias del negocio, a su misión y visión, con el propósito de que los que toman las
decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de
la compañía.
Finalmente, es importante señalar que las políticas por sí solas no constituyen una
garantía para la seguridad de la organización, ellas deben responder a intereses y
necesidades organizacionales basadas en la visión de negocio, que lleven a un esfuerzo
conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos
de seguridad informática factores que facilitan la formalización y materialización de los
compromisos adquiridos con la organización.
Las comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna
empresa podría sobrevivir. Por tal razón, es necesario que las organizaciones mantengan
sus servidores, datos e instalaciones lejos de los hackers y piratas informáticos.
40
La temática de la privacidad de las redes ha ido cobrando, desde hace más de una
década, un lugar bien importante en el entorno del desarrollo de la informática, ya que
las empresas se sienten amenazadas por el crimen informático y busca incansablemente
tecnologías que las protejan del mismo, para lo cual destinan partidas en sus
presupuestos para fortalecer la seguridad de la información y de las comunicaciones.
Conectadas a las redes existe un número cada vez mayor de aplicaciones (sistemas de
entrega de correo electrónico, navegadores, etc.) y equipos terminales (servidores,
teléfonos, computadoras personales, teléfonos móviles, etc.).
Así pues, las redes en las empresas, son los medios que permiten la comunicación de
diversos equipos y usuarios, pero también están propensas a ser controladas o accesadas
por personas no autorizadas. Cuando nos referimos a la privacidad de la red, se evoca al
cuidado o medidas establecidas para que la información de los sistemas como puede ser
datos de clientes, servicios contratados, reportes financieros y administrativos,
estrategias de mercado, etc., no sea consultada por intrusos.
Las redes deben cumplir los siguientes requisitos o características para mantener su
privacidad y poder ser más seguras ante las posibilidades de intrusión.
41
4. Confidencialidad: protección de las comunicaciones o los datos almacenados contra
su interceptación y lectura por parte de personas no autorizadas. La confidencialidad es
necesaria para la transmisión de datos sensibles y es uno de los requisitos principales a
la hora de dar respuesta a las inquietudes en materia de intimidad de los usuarios de las
redes de comunicación.
Es preciso tener en cuenta todos los factores que pueden amenazar la privacidad y no
solamente los intencionados. Desde el punto de vista de los usuarios, los peligros
derivados de los incidentes del entorno o de errores humanos que alteren la red pueden
ser tan costosos como los ataques intencionados. La seguridad de las redes y la
información puede entenderse como la capacidad de las redes o de los sistemas de
información para resistir, con un determinado nivel de confianza, todos los accidentes o
acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad,
integridad y confidencialidad de los datos almacenados o transmitidos y de los
correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes
son:
42
función del contexto de la comunicación. Para la red, el mayor riesgo de ataque
procede de la gente que conoce el contexto. Por tal razón, las declaraciones
falsas de personas físicas o jurídicas pueden causar daños de diversos tipos.
como pueden ser transmitir datos confidenciales a personas no autorizadas,
rechazo de un contrato, etc.
• Accidentes no Provocados: numerosos problemas de seguridad se deben a
accidentes imprevistos o no provocados como: son tormentas, inundaciones,
incendios, terremotos, interrupción del servicio por obras de construcción,
defectos de programas y errores humanos o deficiencias de la gestión del
operador, el proveedor de servicio o el usuario.
Entre los primeros intrusos o piratas informáticos famosos están Steve Wozniak, Bill
Gates y Linus Torvalds, quienes ahora son reconocidos creadores de muchas de las
tecnologías informáticas que utilizamos en la actualidad. Estos primeros intrusos de
redes amaban la tecnología, sentían la imperiosa necesidad de saber como funcionaba
todo y su objetivo era impulsar los programas que trascendieran el objetivo para el cual
fueron diseñados. En ese entonces, la palabra intruso o pirata informático no tenía la
connotación negativa que tiene hoy, ya que ha desaparecido la ética original que
provenía de la simple curiosidad y la necesidad de afrontar desafíos.
Los objetivos de los primeros intrusos informáticos no podrían estar más ajenos a los
objetivos de los piratas actuales. Lo que motiva a esta nueva generación no parece ser la
curiosidad o el afán del conocimiento, como solía ser, al contrario, los motiva la codicia,
el poder, la venganza y otras intenciones maliciosas.
Los ataques a la seguridad han sobrepasando las estimaciones esperadas, y además del
crecimiento de los sitios de Internet relacionados con piratería, también hay otros
aspectos que propician esta situación:
43
• Falta de seguridad física en algunas empresas y falta de políticas de seguridad
informática. Por ejemplo, muchos empleados se ausentan y dejan desprotegida su
computadora.
• Los empleados no siempre siguen y reconocen la importancia de las políticas de
seguridad: La capacitación y entrenamiento que se les brinde a los empleados no cuenta
mucho si ignoran las advertencias sobre los peligros de abrir los archivos adjuntos
sospechosos del correo electrónico.
• Requerimientos cada vez mayores de disponibilidad de redes y acceso a ellas.
Algunas medidas que se pueden poner en práctica para controlar los accesos de intrusos
pueden ser las siguientes:
• Desfiguramiento de los sitios web: esto ocurre cuando se entra al servidor web y se
altera o reemplaza la página principal. Los desfiguramientos de los sitios web es una
práctica común, pues se lleva a cabo simplemente descargando de Internet un programa
que está diseñado para aprovecharse de las vulnerabilidades de los sistemas.
• Hurto de la información de las tarjetas de crédito: La información de la tarjeta de
crédito puede ser hurtada por medio de las mismas herramientas de ataque que están tras
los desfiguramientos de los sitios web. Una vez los piratas informáticos tienen acceso a
la red, pueden analizar las bases de datos en busca de archivos que puedan tener
información valiosa, como archivos de clientes. Todo archivo que sea interesante para el
intruso puede ser descargado a su computadora.
44
• Ataque a los programas instructores del servidor: Los programas instructores del
servidor permiten las comunicaciones bidireccionales entre los servidores y usuarios
web. Las instrucciones del servidor también es un objetivo común de los intrusos y lo
hacen ejecutando comandos, leyendo los archivos del sistema o modificando los
mismos.
• Ataques de negación de servicio: la negación de servicio se produce cuando alguien
o algo impide que se realice una tarea u operación deseada. Los intrusos o piratas logran
esto principalmente con el consumo del ancho de banda, inundando la red con datos,
agotando los recursos del sistema, fallas de programación, etc.
Ataques de negación distribuida de servicio: se refiere cuando muchas computadoras se
asaltan y se les ordena inundar un sitio determinado con paquetes o solicitud de
información, negando así el servicio a usuarios legítimos.
4.5Virus y Antivirus
4.5.1. Virus
Antes de profundizar en este tema, debemos aclarar que los virus de computadoras son
simplemente programas, y como tales hechos por programadores. Son programas que
debido a sus características particulares son especiales. Para hacer un virus de
computadora no se requiere capacitación especial, ni una genialidad significativa, sino
conocimientos de lenguajes de programación para el público en general y algunos
conocimientos puntuales sobre el ambiente de programación y arquitectura de las PC’s.
Nuestro trabajo capta el problema del virus, desde el punto de vista funcional. En la
vida diaria, cuando un programa invade inadvertidamente el sistema, se replica sin
conocimiento del usuario y produce daños, pérdida de información o fallas del sistema,
reconocemos que existe un virus. Los virus actúan enmarcados por "debajo" del sistema
operativo, como regla general, y para actuar sobre los periféricos del sistema, tales
como disco rígido, disketteras, ZIP’s CD-R’s, hacen uso de sus propias rutinas aunque
no exclusivamente. Un programa normal, por llamarlo así, utiliza las rutinas del sistema
operativo para acceder al control de los periféricos del sistema, y eso hace que el
usuario sepa exactamente las operaciones que realiza, teniendo control sobre ellas. Los
virus, por el contrario, para ocultarse a los ojos del usuario, tienen sus propias rutinas
para conectarse con los periféricos de la computadora, lo que les garantiza cierto grado
de inmunidad a los ojos del usuario, que no advierte su presencia, ya que el sistema
operativo no refleja su actividad en la PC. Una de las principales bases del poder
destructivo de estos programas radica en el uso de funciones de manera "sigilosa",
oculta a los ojos del usuario común.
El virus, por tratarse de un programa, para su activación debe ser ejecutado y funcionar
dentro del sistema al menos una vez. Demás esta decir, que los virus no surgen de las
computadoras espontáneamente, sino que ingresan al sistema inadvertidamente para el
usuario, y al ser ejecutados, se activan y actúan con la computadora huésped.
4.5.2 Definiciones
45
2. Un virus es una porción de código ejecutable, que tiene la habilidad única de
reproducirse. Se adhieren a cualquier tipo de archivo y se diseminan con los archivos
que se copian y envían de persona a persona.
Además de reproducirse, algunos virus informáticos tienen algo en común: una rutina
dañina, que el virus descarga como una bomba, mientras que las descargas pueden ser
simples mensajes o imágenes, éstas también pueden borrar archivos, reformatear el
disco duro o causar otro tipo de daño. Si el virus no contiene una rutina dañina, aún
puede causar problemas, como tomar espacio libre del disco y de la memoria, y también
disminuir el rendimiento de la computadora.
Los virus de las computadoras no son más que programas; y estos virus casi siempre los
acarrean las copias ilegales o piratas. Provocan desde la pérdida de datos o archivos en
los medios de almacenamiento de información (diskette, disco duro, cinta), hasta daños
al sistema y, algunas veces, incluyen instrucciones que pueden ocasionar daños al
equipo.
4.5.3 Características
Hay que recordar que un virus no puede ejecutarse por sí solo, pues necesita un
programa portador para poder cargarse en memoria e infectar; asimismo, para poder
unirse en un programa portador, el virus precisa modificar la estructura de aquél,
posibilitando que durante su ejecución pueda realizar una llamada al código del virus.
Los virus informáticos son hechos por personas con conocimiento de programación,
pero que no son necesariamente genios de las computadoras. Tienen conocimiento de
lenguaje ensamblador y de cómo funciona internamente la computadora. A diferencia
de los virus que causan resfriados y enfermedades en humanos, los virus
computacionales no ocurren de forma natural, cada uno es programado. No existen virus
benéficos. Algunas veces son escritos como una broma, desplegando un mensaje
humorístico. En estos casos, el virus no es más que una molestia. Muchas veces son
creados por personas que se sienten aburridas, con coraje, como reto intelectual;
cualquiera que sea el motivo, los efectos pueden ser devastadores.
46
4.5.5 Síntomas Más Comunes de Virus
La mejor forma de detectar un virus es, obviamente un antivirus, pero en ocasiones los
antivirus pueden fallar en la detección. Puede ser que el escaneo no detecte nada y sí el
análisis heurístico. Puede ser que no detectemos nada y aún seguir con problemas. En
estos casos debemos notar algunos síntomas posibles:
4.5.6 Clasificación
A continuación esbozamos una clasificación que tiende a catalogar los virus actuales,
sin intentar crear una clasificación académica, sino una orientación en cuanto a
funcionalidad de los virus:
47
luego se copian en otro lugar y se borran del que ocupaban, y así sucesivamente. Esto
hace que queden borradas los programas o la información que encuentran a su paso por
la memoria, lo que causa problemas de operación o pérdidas de datos.
• Caballos de Troya: Son aquellos que se introducen al sistema bajo una apariencia
totalmente diferente a la de su objetivo final; esto es, que se presentan como
información perdida o "basura", sin ningún sentido. Pero al cabo de algún tiempo, y
esperando la indicación programada, "despiertan" y comienzan a ejecutarse y a mostrar
sus verdaderas intenciones.
• Bomba de Tiempo: Son los programas ocultos en la memoria del sistema o en los
discos, o en los archivos de programas ejecutables con tipo COM o EXE. En espera de
una fecha o una hora determinadas para "explotar". Algunos de estos virus no son
destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la
"explosión". Llegado el momento, se activan cuando se ejecuta el programa que las
contiene.
• Autorreplicables: Son los virus que realizan las funciones más parecidas a los virus
biológicos, ya que se autoreproducen e infectan los programas ejecutables que se
encuentran en el disco. Se activan en una fecha u hora programadas o cada determinado
tiempo, contado a partir de su última ejecución, o simplemente al "sentir" que se les
trata de detectar. Un ejemplo de estos es el virus del viernes 13, que se ejecuta en esa
fecha o se borra (junto con los programas infectados), evitando así ser detectado.
• Infectores del área de carga inicial: Infectan los diskettes o el disco duro, alojándose
inmediatamente en el área de carga. Toman el control cuando se enciende la
computadora y lo conservan todo el tiempo.
• Infectores del sistema: Se introducen en los programas del sistema, por ejemplo
COMMAND.COM y otros se alojan como residentes en memoria. Los comandos del
Sistema Operativo, como COPY, DIR o DEL, son programas que se introducen en la
memoria al cargar el Sistema Operativo y es así como el virus adquiere el control para
infectar todo disco que sea introducido a la unidad con la finalidad de copiarlo o
simplemente para ver sus carpetas (también llamadas: folders, subdirectorios,
directorios).
• Infectores de programas ejecutables: Estos son los virus más peligrosos porque se
diseminan fácilmente hacia cualquier programa (como hojas de cálculo, juegos,
procesadores de palabras). La infección se realiza al ejecutar el programa que contiene
al virus, que en ese momento se posesiona en la memoria de la computadora y a partir
de entonces infectará todos los programas cuyo tipo sea EXE o COM, en el instante de
ejecutarlos, para invadirlos autocopiándose en ellos.
Todos estos programas tienen en común la creación de efectos perniciosos, sin embargo,
no todos pueden ser considerados como virus propiamente dichos. La barrera entre virus
puros y el resto de programas malignos es muy difusa, prácticamente invisible, puesto
que ya casi todos los virus incorporan características propias de uno o de varios de estos
programas.
Como mencionamos con anterioridad, para que un virus se active en memoria, se debe
ejecutar el programa infectado en primer término, para que el virus inicie sus
actividades dentro de nuestro sistema. En este caso, no es necesario arrancar ningún
programa, sino simplemente abrir un archivo de Word o Excel infectado.
48
• Se abre el archivo infectado, con lo cual se activa en memoria.
• Infecta sin que el usuario se dé cuanta al NORMAL.DOT, con eso se asegura que el
usuario sea un reproductor del virus sin sospecharlo.
• Si está programado para eso, busca dentro de la PC los archivos de Word, Excel, etc.
que puedan ser infectados y los infecta.
• Si está programado, verifica un evento de activación, que puede ser una fecha, y
genera el problema dentro de la pc (borrar archivos, destruir información, etc.).
• Ahora bien, en el caso de mails vía Internet. Los mails no son programas. Algunos no
poseen macros (los que sí poseen macros son los mails de Microsoft Outlook). Aquellos
que no tienen lenguaje de macros (NO PUEDEN CONTENER VIRUS).
• Los archivos adjuntos asociados al mail pueden llevar virus (siempre que sean
susceptibles de ser infectados). Bajen el adjunto, y verifíquenlo. Asegúrense que el
antivirus chequee los zipeados o comprimidos si lo adjuntado es un archivo de ese tipo.
Si el adjunto es un documento que puede tener macros, desactiven las macros del
programa Word antes de abrirlo. Si el adjunto es un archivo de texto plano, pueden
quedarse tranquilos.
4.6 Antivirus
49
• La conocida técnica de escaneo, consistente en tener una gran base de datos con
fragmentos víricos para comparar los archivos con esa inmensa biblioteca del wildlist.
• La tecnología heurística es fundamental en estos momentos, y en mi opinión, los
antivirus han de ofrecer como alternativa al escaneo común (aún necesario) la búsqueda
heurística. Esta técnica permite detectar virus que aún no estén en la base de datos
scaning, y es muy útil cuando padecemos la infección de un virus que aún no ha sido
estudiado ni incorporado a los programas antivirus.
Actualmente, los virus no sólo son más potentes que sus predecesores, sino que se
propagan más rápido. En los años 80, los virus del sector de arranque se multiplicaban a
través del intercambio de discos flexibles. A finales de los 90, el correo electrónico era
quien transportaba virus de macros que venían en documentos anexos de Microsoft
Word.
Por su parte, los virus de los macros están en un distante segundo lugar y los de guión
vienen pegados en un tercer lugar. Ahora los virus del sector arranque sólo representan
cerca del 1% de las infecciones.
50
estos tres requisitos, recomendamos en el mismo orden Scan de McAffee que es un
producto gratuito y se puede conseguir fácilmente en el Internet o Norton Antivirus para
el cual tendrá que invertir algunos dólares.
A juzgar por la evaluación de siete productos que llevan a cabo, los fabricantes de
antivirus, los mismos han respondido bastante bien ante las amenazas: Estos productos
son: Etrust EZ Antivirus 5.4, de Computer Associates; Anti-Virus Personal Por 4, de
Kaspersky Lab; McAfee Virus Scan 6.02, de Network Associates; Virus Control 5.2, de
Norman; Antivirus Platinum 6.25, de Panda; Norton AntiVirus 2002, de Symantec; y
PC-cillin 2002, de Trend Micro. Los productos de Norton, Kaspersky y McAfee fueron
los que mejor erradicaron los virus, pero Norton se llevó el premio a la mejor compra
gracias a su interfaz intuitiva.
Debido a que en todo momento aparecen nuevos virus, es necesario actualizar con
facilidad las definiciones. Todos los programas probados, excepto Etrust, ofrecen
actualizaciones automáticas programadas. Sin embargo, nuestro tanto a favor es para
Norton, que revisa si hay actualizaciones de manera prefijada, al momento de ser
instalado y después, cada 4 horas. Norton también gana puntos por tener la interfaz más
lógica, de fácil dominio.
1. Deben actualizar los patrones o firmas, por lo menos una vez por semana.
2. La empresa que los promueve debe contar con un equipo de soporte técnico con
acceso a un laboratorio especializado en códigos maliciosos y un tiempo de respuesta no
mayor a 48 horas, el cual me pueda orientar, en mi idioma, en caso de que yo contraiga
una infección.
51
3. Deben contar con distintos métodos de verificación y análisis de posibles códigos
maliciosos, incluyendo el heurístico, el cual no se basa en firmas virales sino en el
comportamiento de un archivo, y así poder detener amenazas incluso de posibles virus
nuevos.
4. Se deben poder adaptar a las necesidades de diferentes usuarios.
5. Deben poder realizar la instalación remota tanto en una red LAN como en una WAN.
6. Deben constar de alguna consola central en donde se puedan recibir reportes de virus,
mandar actualizaciones y personalizar a distintos usuarios.
7. Deben ser verdaderamente efectivos para efectos de detección y eliminación correcta
y exacta de los distintos virus que puedan amenazar a los sistemas.
8. Deben de permitir la creación de discos de emergencia o de rescate de una manera
clara y satisfactoria.
9. No deben de afectar el rendimiento o desempeño normal de los equipos, y de ser
preferible lo que se desea es que su residente en memoria sea de lo más pequeño.
10.El número de falsos positivos que se den tanto en el rastreo normal como en el
heurístico debe de ser el mínimo posible.
11.Su mecanismo de auto-protección debe de poder alertar sobre una posible infección a
través de las distintas vías de entrada, ya sea Internet, correo electrónico, red o discos
flexibles, etc.
12.Deben de tener posibilidad de chequear el arranque, así como los posibles cambios
en el registro de las aplicaciones.
En base a estos parámetros, uno mismo puede poner a prueba los distintos productos
que hay en el mercado y de acuerdo a nuestras prioridades sacar conclusiones.
Actualmente, no es difícil suponer que cada vez hay mas personas que están conscientes
de la necesidad de hacer uso de algún antivirus como medida de protección básica.
• Desde el punto de vista del administrador, este desea primordialmente tener resultados
al problema de administración centralizada. Es decir, desea que un antivirus posea una
consola que permita la instalación remota tanto en una red LAN como en una WAN y
no verse obligado a instalar el producto a pie en cada una de las estaciones de trabajo.
• Desde el punto de vista del usuario final, a quien le interesa no infectarse por ningún
motivo y que la protección en memoria del producto sea de lo más eficaz, tanto para
detectar y remover cualquier virus que pueda presentarse.
Basados en estas necesidades, podemos darles los siguientes tips:
4.6.5.1 Controles
52
4.5.6.2 Bloqueos
Diskettes
Estos son puntos muy importantes, ¡prácticamente todos los virus se introducen a una
computadora por medio de diskettes! Y en caso de un desastre, las copias de respaldo en
diskette serán la salvación de nuestros datos.
Vacunas Antivirus
Otros
53
4.7.Seguridad
◦ A nivel departamental
◦ A nivel institucional
• Organizar y dividir las responsabilidades
• Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones,
etc.)
• Definir prácticas de seguridad para el personal.
• Plan de emergencia, plan de evacuación, uso de recursos de emergencia como
extinguidores.
• Definir el tipo de pólizas de seguros.
• Definir elementos técnicos de procedimientos.
• Definir las necesidades de sistemas de seguridad para hardware y software
• Flujo de energía.
• Cableados locales y externos
• Aplicación de los sistemas de seguridad incluyendo datos y archivos.
• Planificación de los papeles de los auditores internos y externos.
• Planificación de programas de desastre y sus pruebas (simulación).
• Planificación de equipos de contingencia con carácter periódico.
• Control de desechos de los nodos importantes del sistema.
• Política de destrucción de basura, copias, fotocopias, etc.
Para dotar de medios necesarios al elaborar su sistema de seguridad se debe considerar
los siguientes puntos:
Cada día son más las organizaciones que utilizan el correo electrónico como
herramienta fundamental de sus negocios, por ende, es indispensable que se cuente con
soluciones confiables y escalables que permitan que las comunicaciones, utilizando este
tipo de medio, se realicen de forma segura y confiable. La nueva versión del programa
de administración de listas de correo electrónico LISTSERV, viene a satisfacer esta
54
demanda, pues está repleta de nuevas y mejoradas características, está dotada de
protección contra virus y de una mayor facilidad de uso.
LISTSERV trabajo bajo una interfaz rediseñada tipo Web que facilita la administración
de la lista. Incluye un Experto de Tarea, que guía al administrador de la lista con
instrucciones detalladas paso a paso.
Asimismo, con la proliferación de los virus a través del correo electrónico, L-Soft ha
integrado a su lista el programa de protección contra virus de F-Secure para
inspeccionar el correo electrónico.
Este protocolo establece ciertos requisitos para que pueda ser cumplido por el operador
en primer término y efectivo en segundo lugar. Le aseguramos que un protocolo puede
ser muy efectivo pero si es COMPLICADO, no será puesto en funcionamiento nunca
por el operador.
55
9. Si por nuestras actividades generamos grandes bibliotecas de diskettes conteniendo
información, al guardar los diskettes en la biblioteca, verificarlos por última vez,
protegerlos contra escritura y fecharlos para saber cuándo fue el último escaneo.
10. Haga el backup periódico de sus archivos. Una vez cada 15 días es lo mínimo
recomendado para un usuario doméstico. Si usa con fines profesionales su PC, debe
hacer backup parcial de archivos cada 48 horas como mínimo. Backup parcial de
archivos es la copia en diskette de los documentos que graba.
• Etapas para Implantar un Sistema de Seguridad
Para que su plan de seguridad entre en vigor y los elementos empiecen a funcionar y se
observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de
seguridad se deben seguir los siguientes 8 pasos:
• Aumento de la productividad.
• Aumento de la motivación del personal.
• Compromiso con la misión de la compañía.
• Mejora de las relaciones laborales.
• Ayuda a formar equipos competentes.
• Mejora de los climas laborales para los RR.HH.
56
• Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar
que los programadores no cuenten con acceso a la sección de operación y viceversa.
• Que los operadores no sean los únicos en resolver los problemas que se presentan.
57
CAPITULO V
SOLUCIONES BASADAS EN CLAVE PUBLICA
Con "clave pública" o "clave asimétrica" criptografía, sin embargo, cada persona recibe
un par de claves, conocida como la clave pública y la clave privada. La clave pública
se genera a partir de la clave privada utilizando un complejo algoritmo, tras lo cual la
clave pública puede ser publicado, mientras que la clave privada se mantiene en secreto.
Ahora bien, si Bob quiere enviar un mensaje a Alice (Alice y Bob son la industria
favorito par la criptografía), se cifrará utilizando la clave pública de Alice (que pueden
ser publicados en un directorio o distribuidos a través de correo electrónico no
garantizados). La única persona que puede descifrar el mensaje resultante es el titular
de la clave privada adecuada - Alice.
Supongamos que Alice desea enviar un mensaje cifrado a Bob. Ella primero cifra el
mensaje con DES, utilizando una elegidos al azar del DES "secreto" clave que puede ser
diferente para cada mensaje enviado. Luego se usa la clave pública de Bob para cifrar
la clave DES. El mensaje cifrado DES y el cifrado de clave DES-RSA en conjunto
forman una digital "sobre" y se les envía a Bob. Al recibir el sobre digital, Bob
desencripta la clave DES con su clave privada, por último con la clave DES para
desencriptar el mensaje mismo.
58
CAPITULO VI
EQUIPOS CERT, TIGER, TEAMS
6.1 Cert
Uno de los problemas de esta asociación es el poco capital, según el estudio "eEurope -
Co-operation amongst national CERTs", de la Comunidad Europea. Este equipo de
seguridad para la coordinación de emergencias en redes telemáticas nace como primer
centro español dedicado a asesorar, prevenir y resolver incidencias de seguridad en
entornos telemáticos.
Tanto esCERT como IRIS-CERT empezaron con muy pocas personas contratadas ya
que no eran muy frecuentes los incidentes informáticos. Hoy día cada una de las
organizaciones tiene incluso distintos grupos de trabajo en distintos lugares de España.
Mac OS X v10.4 "Tiger" se puso a la venta el 29 de abril de 2005. Contiene más de 150
nuevas mejoras, pero como sucedió con el lanzamiento de Panther, algunas máquinas
antiguas han dejado de ser soportadas; en particular, cualquier equipo Apple que no
cuente con conexión FireWire no está ya soportado en Tiger.68 69 Como curiosidad cabe
comentar que Apple dispone a partir de Tiger, de una versión "paralela" compilada para
59
procesadores Intel, si bien, teóricamente, sólo podrá instalarse bajo ciertas restricciones
de hardware y en procesadores con soporte SSE3. Esta versión apareció en forma oficial
el día 10 de enero del 2006 con los primeros equipos "Mac Intel": El iMac Core Duo
(ex iMac G5), Mac mini Core Solo y Core Duo (ex Mac mini G4) además de los nuevos
portátiles denominados MacBook y MacBook Pro, ambos equipados con procesadores
Intel Core Duo. También han existido versiones para G4 de este sistema operativo,
incluida al menos en los últimos PowerBook G4 a la venta.
60
CAPITULO VII
EMPRESAS QUE SE DEDICAN A LA SEGURIDAD DE LOS WEBS
El punto crucial entre el exito y el fracaso de una aplicacion web, radican en su mayoría,
en el aspecto de la seguridad.
Muchas aplicaciones webs hoy muy populares, en su momento fueron no mas que un
queso gruyere que la comunidad fue parcheando poco a poco. Pero, no todos los
proyectos tienen la misma suerte de una comunidad que aporta para el crecimiento…
hay otras comunidades que prefieren aprovecharse de esa oportunidad.
Por otro lado, no toda vulnerabilidad es realmente una vulnerabilidad con chances de ser
aprovechada, sino que mas bien a la hora de realizar un escaneo de seguridad, podemos
encontrarnos con que con determinados escenarios (privilegios, sesiones, etc) algunas
vulnerabilidades existen y otras no. Un ejemplo de esto será que un Administrador tiene
acceso de escritura, lectura y ejecución… y claro, si no lo tiene, difícilmente pueda
realizar su tarea.
El articulo publicado por Security Pro News se enfoca básicamente en como detectar
falsos positivos, como no alarmarse, y finalmente como dedicir un plan de acción a la
hora de analizar la seguridad de nuestra aplicacion web.
61
CAPITULO VIII
TECNOLOGIAS PARA LA SEGURIDAD
En esta nueva versión número 4.5, Mx One Antivirus ofrece las siguientes novedades:
62
QualysGuard Malware Detection, escanea tu sitio web en busca de malware|
Categorías:Servicios web
En la lucha contra el malware no sólo los usuarios tienen que tomar medidas de
protección, también los dueños de sitios web tiene que velar porque su sitio no sea un
propagador de malware.
Para utilizarlo en tu sitio web lo primero que tienes que hacer es registrarte. Después de
esto puedes agregar el título y la URL del sitio web. Para verificar que tienes algo que
ver con el sitio web que ingresaste, tienes que dar tu correo electrónico con el dominio
del sitio. Lo demás son parámetros del escaneo, como la frecuencia, la profundidad,
máximo de páginas, etc.
63
Oracle publica un parche de seguridad para Java
Categorías:Actualizaciones
Viendo las críticas que le llegaban por no parchear una vulnerabilidad crítica en Java,
Oracle lanzó hoy una actualización de emergencia que elimina la amenaza de día-cero.
El parche se produce menos de una semana después de que Sun le dijo a un investigador
de Google que no consideraba la cuestión lo suficientemente grave como para justificar
un parche fuera del ciclo de actualización prevista para el mes de julio y menos de un
día después de que los investigadores hallaran a un sitio web de letras de una canciones
explotando dicha vulnerabilidad.
64
Variadas actualizaciones en Debian Linux
• 20 de April 2010
• Categorías:Actualizaciones, Software
Por esto y otros motivos se recomienda actualizar el sistema a través de las herramientas
automáticas apt-get.
65
CAPITULO IX
DEFINICIONES Y ESTRATEGIAS BASICAS DE MARKETING EN
INTERNET
Para entender un poco más el efímero concepto de estrategia quiero compararlo con el
concepto de táctica o acción de marketing y a la vez utilizar un ejemplo lo más visual
posible, para terminar de entender correctamente el tema de estrategia de marketing que
tantas página se libros y bits se le han dedicado.
En este objetivo trazaremos una estrategia a seguir para conseguirlo: Que en nuestro
caso podría ser el trazado, la ruta o el camino a seguir para conseguir nuestro objetivo,
definiendo eso sí los recursos, limitaciones, presupuesto, ambiente y elementos que
influirán en nuestro viaje.
Y ¿dónde queda la táctica o las acciones de marketing? Podríamos hablar que las
acciones de marketing son aquellos medios que utilizaremos para recorrer el camino
trazado cuando cuando planeábamos nuestro viaje, es decir cuando definíamos la
estrategia para conseguir el objetivo.
Resumiendo:
9.1 ¿Qué se necesita para definir una buena estrategia de marketing? También en
Internet.
De nuestro ejemplo visual se deduce rápidamente que para definir correctamente una
estrategia de marketing de éxito se precisa:
66
(a) Tener un objetivo bien definido, claro, conciso y limitado en el tiempo
(b) Realizar una análisis del entorno, un estudio de mercado si se prefiere que nos
muestre el medio ambiente en el que desarrollaremos la estrategia de marketing.
(c) Resumir el estudio de entorno en una ANALISIS DAFO que nos permita tener un
cuadro rápido de situación
(d) Planear varias rutas con sus alternativas y analizar cómo estas repercuten en cada
uno de los elementos externos y prever cómo estos elementos externos reaccionan. A
veces una reacción no prevista, por ejemplo de la competencia, puede arruinar toda la
estrategia, por lo tanto será bueno intentar vislumbrar las posibilidades.
(e) Evaluar los recursos necesarios y nuestra capacidad de conseguir los medios
(acciones de marketing) que nos permitan poner en marcha nuestra estrategia de
marketing.
---
67
CAPITULO X
MARKETING DIRECTO CON E-MAIL Y NEWSLETTERS
68
Sin embargo, hoy por hoy el marketing directo no se limita únicamente al objetivo de
obtener una cuota de respuestas lo más alta posible. Gracias al marketing directo se
puede hacer llegar contenidos que pueden estimarse incluso cuando no se formaliza un
pedido o cuando no puede formalizarse. Por este motivo, el marketing directo se utiliza
con frecuencia para la promoción de la imagen.
Elección y formación del medio publicitario Cuanto mayor sea la preparación de una
campaña de marketing directo, mayor será la cuota de respuesta. De este modo, unos
catálogos (extensos) alcanzan una cuota de respuesta que oscila entre un 5 y un 30%.
Unos mailings sencillos alcanzan cuotas que oscilan entre un 1 y un 3%.
Volumen de pedidos y necesidad de aclaración Cuanto más alta sea la facturación que
una empresa obtenga de un cliente típico, tanto menor será la cuota de respuesta. Ello
puede explicarse por el hecho de que la necesidad de información antes de formalizar la
compra de un producto crece ¿A quién se le ocurriría comprar una costosa maquinaria
de fábrica vía carta y cupón respuesta?
La explicación a este hecho hay que buscarla en una mayor competencia en diversos
mercados, que ha hecho necesaria la comunicación individual con el cliente, y en el
deseo de muchas empresas anunciantes de medir el éxito de los gastos publicitarios.
Los expertos cuentan con que en un futuro, un 75% de todos los gastos publicitarios se
dirigirán al marketing directo, reservándose solamente un 25% para la publicidad
tradicional.
69
10.6 E-mail Marketing
Mínima inversión: Se reduce la inversión necesaria dado que este método elimina los
costos fijos de realización, tiene un mínimo costo por contacto y permite la planeación
de gastos y el control total de la inversión
Universalidad: Posibilita el contacto inmediato con cualquier parte del mundo. No hay
ningún otro medio que logre este nivel de universalidad a un costo tan
extraordinariamente bajo
70
Medio no intrusivo: Recibir una comunicación deseada hace que ésta no sea intrusiva y
ello asegura el éxito de la campaña. Siempre hay que seguir una de las reglas básicas de
la nueva comunicación online: los envío se realizan sólo a aquellos receptores que así lo
desean y sobre el contenido que desean.
Alto nivel de respuesta: Las campañas de permission marketing resultan tener mayor
tasa de respuesta que otros tipos de publicidad online y que el marketing directo
tradicional.
Medición eficaz de resultados: Permite seguir con total exactitud y en tiempo real los
resultados de una campaña en toda su extensión.
Buen Complemento para otras herramientas: Puede ayudar para crear recordación de
marca, testear e investigar, derivarlos a un sitio y generar tráfico, generar leads, crear
bases de datos, incrementar las ventas y retener clientes.
Más del 95% de las grandes y medianas empresas de Estados Unidos están utilizando el
e-mail como una herramienta de comunicación con el consumidor ya que permite, a
muy bajo costo, promover el cross-selling, up-selling y apoyar las estrategias de
marketing tradicional.
10.7 NEWSLETTERS
LSSI
La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de
comercio electrónico (LSSI) dedica todo su Título III a las newsletters o
71
comunicaciones comerciales por vía electrónica, las cuales deberán ser claramente
identificables como tales y la persona física o jurídica en nombre de la cual se realizan
también deberá ser claramente identificable.
-En el caso en el que tengan lugar a través de correo electrónico u otro medio de
comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra
publicidad o la abreviatura publi.
72
CAPITULO XI
MARKETING VIRAL A TRAVÉS DE LA RED
Las campañas de marketing viral en Internet bien enfocadas son las que producen el
mayor número de visitas a un sitio Web al menor coste posible. En ocasiones el
factor suerte provoca el éxito, pero en la mayoría de los casos, una adecuada
planificación de la estrategia a seguir y de las herramientas a utilizar es la clave del
éxito de una campaña de marketing viral en Internet.
El Marketing viral en Internet es una estrategia más dentro del mix de herramientas que
tenemos a disposición en el marketing digital. El concepto “marketing viral” se refiere a
la idea que los usuarios pasarán y compartirán los contenidos fácilmente. Con el
marketing viral nuestras campañas se propagan como una virus a través de la red. Al ser
los propios usuarios quienes comparten y transmiten el mensaje publicitario los costes
de esta estrategia son tremendamente bajos o nulos. En ocasiones se pueden obtener
más de 1000 veces más impactos o impresiones que una campaña tradicional en
Internet.
-Si publicamos un artículo súper interesante en un blog debemos permitir que con
pinchar en un botón el lector puede reenviar a un amigo dicho artículo
-Si publicamos un vídeo debemos procurar que éste se pueda descargar en un formato
compatible por la mayoría de usuarios y adicionalmetne que pueda ser reenviado con
facilidad a otros usuarios.
-Si publicamos una imagen que esta pueda ser descargada y reenviada con facilidad.
-Que el dominio web del site que queremos que se propague de forma viral sea fácil de
dictar o recordar por el usuario para ser recomendada a otros usuarios.
-Si creamos una aplicación o un widget que este se pueda instalar en cualquier sistema
operativo.
-Si creamos un artículo que este se pueda agregar a las redes sociales o a los marcadores
sociales más importantes de la red
• ¿Qué tipo de herramientas o técnicas son las que mejor funcionan como
contenidos virales?
73
El Test o Encuesta: el gusanillo de medir conocimientos de forma competitiva
Los usuarios les encanta las cosas que le hacen más fácil la vida en Internet. Ofrecer una
aplicación que resuelva alguna tarea de nuestros potenciales clientes en la red es una
carnada perfecta para fidelizarlos y para propagar nuestra marca. También podemos
ofrecer tutoriales, guías especializadas, etc. cuyos contenidos son bien valorados y en
consecuencia apetecibles de compartir.
A los usuarios les encanta la información en listas. Los listados son fáciles y rápidos de
leer, resumen muy bien la información y despiertan la curiosidad. Sobretodo cuando un
listado se encuentra en un formato de ranking despierta más atención en el usuario.
Artículos con títulos como “Los 10 mejores”, “Las 20 cosas que no puede dejar de…”,
“Los 15 típicos errores de” son los más leídos y propagados por la red.
Son muchos los elementos que pueden convertir un video en viral. Los que mejor
funcionan radican en que un video sea humorístico y corto. Normalmente la manera de
difundirlo es a través de los portales de alojamiento y publicación de videos ya que son
portales con miles de visitas diarias. En muchas ocasiones estos videos son publicados
por las cadenas de televisión y se multiplica su efecto viral.
Los juegos online esta obteniendo una popularidad significativa en los últimos años.
Cada vez más se pueden programar juegos más complejos sin necesidad de aumentar el
peso de los archivos que lo componen haciendo que su descarga y jugabilidad sean lo
más cómodos posibles. Asimismo ha crecido la factibilidad de reenviar los juegos
online a otros usuarios. Dentro de los juegos online podemos aplicar una de las mejores
técnicas de publicidad como es el Advergaming, que consiste en usar videojuegos para
publicitar una marca, producto, organización o idea. Uno de los elementos que hacen
que un juego online sea más viral es la posibilidad de registrar el puntaje obtenido y
visualizarlo a través de un ranking con los mejores jugadores.
74
• Marketing Viral: ¿Qué estamos haciendo para convertir nuestros contenidos web
en virales?
75
CAPITULO XII
ESTRATÉGIAS PARA MONTAR UN NEGOCIO EN LA RED. ANALISIS DE
LAS DIFERENTES ETAPAS DE UN PROYECTO DE IMPLEMENTACION DE
COMERCIO ELECTRONICO.
1. Una idea.
En Internet una idea es la base de cualquier buen negocio. Si la idea es innovadora y
creativa, mucho mejor, pero estas condiciones no son imprescindibles: basta con que
responda a necesidades concretas y aporte una propuesta de valor real para personas
reales.
Internet es un canal con un alcance sin precedentes, pero no se debe perder de vista que
la interacción final se hace con personas de carne y hueso, con intereses y necesidades
legítimos. Se debe considerar cuál será el rol de la red para el desarrollo de la idea de
negocio, pues hacer negocios en la Web no consiste en contar con un lindo sitio web,
sino en tener una propuesta de valor canalizada a través de Internet como plataforma.
2. Investigación de mercados.
No hay que dejarse llevar por la emoción si se cree que hay una buena idea y tres
amigos le han pronosticado el éxito. Antes de hacer inversiones o tomar decisiones
conviene dedicar un tiempo para investigar el mercado –si habrá demanda para el nuevo
producto o servicio, si los precios son razonables, si la idea ya ha sido desarrollada por
alguien y qué competidores locales y globales existen, entre otros aspectos–.
•El buscador Google (www.google.com) será su gran aliado para encontrar respuesta a
todas las preguntas que se plantee durante esta investigación de mercados. Además,
podrá usar Google Alertas (www.google.com/alerts) para programar búsquedas
recurrentes, es decir, para que Google haga automáticamente las búsquedas por la Web.
76
3. El plan de negocios en línea.
Escribir un plan de negocios parece ser un asunto para expertos, y si la idea es muy
buena, parecerá una tarea innecesaria o aburrida. Sin embargo, vale la pena dedicar
tiempo a esta labor: si las empresas que ya existen tienen y actualizan sus planes de
negocios, ¿cómo no hacerlo para un proyecto nuevo? Este documento será el mapa de
navegación, o la hoja de ruta, que guiará al emprendedor en aspectos como la estrategia
de negocios, la fuente de ingresos, los mercados potenciales y las acciones de mercadeo
y comunicación.
• No se requiere una maestría en negocios para hacer un buen plan. Si usted no tiene las
bases para hacerlo, busque en Google expresiones como ‘plan de negocio ejemplos’,
‘plan de negocio Internet’, ‘formato plan de negocio’, o incluso planes para un proyecto
similar al suyo, por ejemplo ‘plan de negocio pizzeria Internet’.
Pero tener todo esto para un proyecto o una empresa de la manera tradicional –
comprando servidores y computadores, instalando software y actualizaciones,
implementando soluciones de seguridad informática y contratando personal técnico,
entre otros– resulta demasiado costoso, exigente y, con frecuencia, frustrante.
• El paquete de aplicaciones en línea para empresas e instituciones educativas Google
Apps le permitirá crear una cuenta de correo electrónico con el dominio de su negocio,
proyecto o empresa (sunombre@suempresa.com), utilizar las aplicaciones de
productividad en línea más popular en la Web, Google Docs (que le permitirá crear,
modificar, compartir y trabajar colaborativamente sobre documentos de texto, hojas de
cálculo, presentaciones y formularios), administrar un calendario compartido, realizar
chats, audio y videoconferencias, entre otras funciones. El servicio, disponible en
www.google.com/a, es gratuito para entidades educativas y para empresas con menos de
50 usuarios.
5. El sitio web.
Con todas las bases de negocio y técnicas listas, es la hora de aterrizar: el sitio web debe
nacer. Se debe tener en cuenta que el sitio no es el objetivo del negocio, sino el medio –
o uno de los medios– para hacer el negocio una realidad.
El diseño del sitio web es importante; pero, más que la estética, tal como un edificio
debe tener cimientos sólidos. Así que antes de contratar a un diseñador o una empresa
de diseño, se debe escoger una plataforma web flexible, tecnológicamente segura y
confiable, y preparada para que el sitio web crezca en tamaño y funciones –comercio
electrónico, videos, foros, blogs, etc.– cuando el negocio lo exija.
En el mercado hay una gran variedad de opciones para montar un sitio web, desde
acudir a grandes empresas de diseño y desarrollo web, que cobran millones de pesos,
hasta contratar diseñadores independientes, así como montar directamente el sitio por
medio de software comercial o gratuito.
•Google Sites (sites.google.com, y también dentro de Google Apps) es la oferta gratuita
de Google que permite crear sitios web públicos e internos en pocas horas, con alta
77
flexibilidad y con todos los elementos multimedia e interactivos que actualmente se
imponen.
7. El tráfico.
Una variable directamente asociada al éxito del negocio en línea es la cantidad de
visitantes y usuarios que tenga. ¿Cómo atraerlos frente a la gran cantidad de sitios web?
Aquí los buscadores web, como Google, cumplen un rol clave, por lo que la
optimización del sitio web (SEO: Search Engine Optimization) para que aparezca en los
primeros resultados de búsqueda es fundamental. Además, para atraer potenciales
clientes se deben utilizar plataformas de publicidad en línea que promocionen el sitio
tanto en buscadores como en blogs, sitios de noticias y sitios web en general.
• En Colombia, nueve de cada diez búsquedas en la Web se hacen a través de Google,
por lo que optimizar su sitio para que aparezca en los primeros lugares cuando las
personas busquen palabras relacionadas con su negocio será clave para su éxito.
•La plataforma publicitaria más exitosa en Internet es Google AdWords
(www.adwords.google.com), la cual permite crear campañas con alta flexibilidad,
máximo control y presupuestos ajustados a sus posibilidades (desde unos pocos miles
de pesos mensuales hasta millones). Google AdWords es fácil de usar y usted podrá
montar su propia campaña, o también puede acudir a personas o empresas certificadas
por Google que le garantizarán buenos resultados.
8. Camino a la exportación.
Si en la idea inicial o en el plan de negocio no se estableció que el mercado potencial va
más allá de lo local, cualquier momento será oportuno para mirar más allá de las
fronteras aprovechando el alcance global de Internet, que permite no restringir el
negocio a una geografía o un idioma.
• Usted podrá descubrir qué es lo que la gente está buscando en Internet en distintas
ciudades de Colombia, sino también en cualquier país del mundo en un período
determinado, a través de la herramienta Google Insights for Search
(www.google.com/insights/search).•Si al hacer esta investigación encuentra un mercado
potencial en otro país e idioma, y no tiene el presupuesto para contratar una traducción
78
profesional, puede acudir a Google Translate (translate.google.com), que le permitirá
incluir un pequeño gadget traductor al inglés y otras 40 lenguas.
79
ANEXOS
Existen muchos sitios web que ofrecen anuncios clasificados gratis, subastas online y
foros en donde la gente puede comprar y vender gracias a los sistemas de pago en línea,
tales como PayPal mediante el cual se puede enviar y recibir dinero en línea con
facilidad. Ejemplos clásicos son eBay y MercadoLibre.
80
ADOPCIÓN E IMPLEMENTACIÓN DEL
COMERCIO ELECTRÓNICO POR
EMPRESAS MEDIANAS EN EL PERÚ
Un estudio de casos*
Resumen
Este trabajo examina los factores asociados con la adopción del comercio electrónico y
la relación entre estos factores y el grado de implementación de esta tecnología en
empresas medianas en el Perú. Lo hace a partir de la evidencia empírica
proporcionada por empresas que representan experiencias exitosas de uso del comercio
electrónico.
Asimismo, como respuesta a la necesidad de emplear una unidad de medida diferente
de la binaria adopta/no adopta para establecer el grado de implementación de la
tecnología de comercio electrónico, esta investigación presenta una propuesta de
medición que considera cuatro dimensiones: volumen, diversidad, amplitud y
profundidad. El marco de análisis proviene de la teoría de la difusión de innovaciones.
La identidad de las empresas se basa en lograr una relación más cercana con sus
clientes. En consecuencia, en esta era de la nueva economía, la adopción e
implementación exitosa de la tecnología de comercio electrónico es un asunto
fundamental para estas empresas. Pero para que ellas puedan aprovechar las ventajas
derivadas de los muchos beneficios de esta tecnología, se requiere la aplicación de
nuevos conceptos y modelos.
81
2) explorar los factores que causan el incremento del grado de implementación de esta
tecnología en empresas medianas,
3) desarrollar una propuesta conceptual sobre las dimensiones del grado de
implementación del comercio electrónico en empresas medianas y
4) brindar a los profesionales un marco de análisis para entender cómo las empresas
medianas usan de manera exitosa la tecnología de comercio electrónico.
2. Enfoque de la investigación
Por ejemplo, muchos estudios han investigado la relación entre las características de la
innovación y la adopción y difusión de las innovaciones (Rogers, 1983). Tornatzky y
Klein (1982) proponen algunas generalizaciones sobre la relación entre unas pocas
características de la innovación y la adopción/difusión.
Su análisis revela que los hallazgos de estudios anteriores eran inconsistentes y que sólo
tres características eran lo suficientemente consistentes para ser significativas:
82
compatibilidad, ventaja relativa y complejidad. Respecto a estudios en el campo de los
sistemas de información, investigaciones anteriores han puesto énfasis en modelos de
difusión integrando las teorías del cambio gerencial, innovación y la literatura acerca de
la difusión tecnológica (Larsen y McGuire, 1998).
Hay algunos estudios que muestran que estos conceptos previos pueden ser aplicados a
la adopción de tecnologías de comercio electrónico por parte de las empresas
(Mehrtens, Cragg y Mills, 2001; Chengalur-Smith y Duchessi, 1999; y Beatty, Shim y
Jones, 2001).
Nuestra revisión de la literatura sobre comercio electrónico sugiere que aún es escasa la
investigación acerca de la adopción e implementación de esta tecnología. Por lo tanto,
este trabajo examina la adopción y el grado de la implementación de la tecnología de
comercio electrónico en empresas medianas usando como marco de análisis la teoría de
la difusión de innovaciones.
83
i) beneficios percibidos,
ii) factores organizacionales y
iii) factores del entorno (Mehrtens, Cragg y Mills, 2001; Iacovou, Benbasat y
Dexter,1995; McGowan y Madey, 1998).
Algunos estudios muestran que estos factores pueden aplicarse para entender la
adopción de la tecnología de comercio electrónico por parte de las empresas medianas
(Mehrtens, Cragg y Mills, 2001),y que pueden influir en la adopción e implementación
del comercio electrónico.
Luego, entender estos conceptos puede ayudar a las empresas medianas a incrementar
sus ventas, reducir sus costos y mejorar su comunicación con sus clientes (Schneider y
Perry, 2001).
4. Metodología de investigación
Con la finalidad de investigar la adopción y el grado de la implementación de la
tecnología de comercio electrónico, se realizó un estudios de casos, método de
investigación apropiado para estudiar la adopción de esta nueva tecnología porque el
tema es relativamente nuevo. Así,
Implementó su primer sitio web en 1999. Utiliza el sitio web y el correo electrónico en
sus operaciones de marketing y servicio al cliente.
84
Ha implementado un avanzado CRM en el año 2000. Utiliza el sitio web y el correo
electrónico en sus funciones de
marketing, compras, finanzas y logística para incrementar la eficiencia de sus
operaciones y reducir costos.
Su primer sitio web data de 1999 y fue implementado para proyectar una imagen de
líder innovador en tecnología.
Implementó su primer EDI VAN en 1996 su primer EDI WEB en el 2001.
Los estudios de casos son la estrategia preferida cuando las preguntas planteadas son
«cómo» y «porqué», cuando el investigador tiene poco control sobre los hechos y
cuando el interés se centra en un campo nuevo. Los estudios de casos pueden ser usados
para generar, describir y/o probar una teoría. El propósito
de esta investigación fue realizar un estudio exploratorio sobre la adopción del comercio
electrónico y el grado en el que éste ha sido implementado.
85
adopta y pone en práctica la tecnología de comercio electrónico en las empresas
medianas.
Los tres casos mencionados: AFP Perdura, Cestefín y Pariluz fueron usados para
sustentar nuestro modelo de adopción de tecnología de comercio electrónico por parte
de empresas medianas. La siguiente
figura muestra el proceso de adopción e implementación de la tecnología de comercio
electrónico.
Las tres organizaciones usan el sitio web, el CRM y/o el correo electrónico para mejorar
su servicio al cliente, sus comunicaciones y sus procesos de negocios.Estas tecnologías
de comercio electrónicos
son consideradas muy similares y han sido tratadas como una sola (Mehrtens, Cragg y
Mills, 2001).
Ventaja relativa
A partir de los tres casos estudiados, se puede identificar la ventaja relativa de la
tecnología de comercio electrónico sobre los métodos tradicionales de comunicación,
como el teléfono y el facsímil. Por ejemplo, el sitio web puede ser visitado por el mundo
entero.
Las tres empresas estudiadas manifestaron que en las etapas iniciales no obtenían
beneficio económico alguno con el uso del sitio web. Pero reconocían que podían
mejorar su servicio a través de la tecnología de comercio electrónico, con las
aplicaciones de Customer Relationship Management (CRM) y el sitio web.
Las tres empresas estaban llevando a cabo el esfuerzo de implementar el CRM vía la
tecnología de comercio electrónico.
AFP Perdura, que ha recibido el reconocimiento del público usuario por su excelente
servicio al cliente, consideraba que esta tecnología era una necesidad impuesta por la
competencia. Esta AFP ha desarrollado incluso un sitio web denominado «perdura hoy.
com», dirigido a mejorar la calidad de vida de sus clientes y ya ha implementado un
buen nivel de Customer Relationship Management (CRM) a través de la tecnología de
comercio electrónico.
Pariluz usa el sitio web como un nuevo canal de promoción de sus productos y
servicios, pero es sabido que considera el nuevo medio como un complemento de sus
canales tradicionales. Pariluz mencionó que recibió de sus clientes sugerencias acerca
de sus productos y servicios a través de su sitio web y señaló que estaba comprometida
con la implementación de un CRM de un buen nivel.
Cestefín advirtió que el sitio web le daba una ventaja en el establecimiento de negocios
electrónicos con inmigrantes peruanos, principalmente en Estados Unidos y Japón, y
manifestó que también estaba usando este canal para promover algunos de sus
productos y servicios. Comenzó a utilizar la modalidad empresaconsumidor
86
(B2C) en 1999 y estaba comprometida en un esfuerzo para implementar la modalidad
empresa-empresa (B2B) con sus proveedores desde el 2001.
Por lo tanto, la ventaja relativa parece ser un tipo de beneficio percibido y un criterio
tenido en cuenta para impulsar la adopción e incrementar el grado de implementación
del comercio electrónico.
Comunicaciones
Las empresas usan el correo electrónico y los sitios web para mejorar sus relaciones con
los clientes. Las aplicaciones de CRM a través de la tecnología de comercio electrónico
las ayuda a mantener comunicaciones personales con ellos. Estas empresas pueden
enviar información vía su sitio web y algunas de ellas pueden establecer una
comunicación interactiva con ellos.
Las comunicaciones parecen ser un tipo de beneficio percibido y un criterio tenido en
cuenta para impulsar la adopción e incrementar el grado de implementación del
comercio electrónico.
Ámbito global
Estas tres empresas son muy proactivas. Saben que Internet y la tecnología han
cambiado la forma de competir y que el comercio electrónico es global, no local. La
esfera global parece ser un tipo de beneficio percibido y un criterio tenido en cuenta
para impulsar la adopción e incrementar el grado de implementación del comercio
electrónico.
Sus metas eran usar el nivel existente de relación con el cliente para incrementar las
utilidades, aprovechar la integración de la información para brindar un servicio
excelente, introducir procedimientos
y procesos de venta más efectivos, crear un valor nuevo y desarrollar la lealtad del
consumidor. Y consideraban que estas metas podían ser conseguidas con el soporte de
la tecnología de comercio electrónico.
Por ejemplo, AFP Perdura manifestó que el CRM era un requisito indispensable para la
competencia y que ya había implementado un excelente servicio al cliente vía la
tecnología de comercio electrónico.
Mencionó que años atrás sus servicios no gozaban de la aprobación de sus clientes, pero
que esta situación había cambiado desde que se empezó a implementarel CRM.
Cestefín fue premiada como la mejor empresa peruana en brindar una excelente calidad
de servicio al cliente, que era precisamente una de sus aspiraciones. Estaba empeñada
en lograr un excelente servicio al cliente y creía que la tecnología de comercio
electrónico podía ayudarla a alcanzar esta meta.
Por su parte, Pariluz estaba comprometida en un proyecto para implementar el CRM.
La relación con el cliente parecer ser un tipo de beneficio percibido y un criterio tenido
en cuenta para impulsar la adopción e incrementar el grado de implementación del
comercio electrónico.
Posición en el mercado
87
Las tres empresas del estudio están consideradas como «buenas empresas peruanas », de
modo que creen que deben cuidar también su imagen de líderes innovadores en
tecnología. Por ejemplo, Cestefín consideraba muy crítico el asunto de la
implementación de un sitio web, ya que fue pionera de muchas tecnologías en el Perú.
Por su posición de mercado, Pariluz consideraba que la implementación del comercio
electrónico era muy importante para andar al paso de la nueva era. Estas dos empresas
fueron adoptadoras tempranas de las tecnologías de comercio electrónico. La posición
en el mercado parece ser un tipo de beneficio percibido y un criterio tenido en cuenta
para impulsar la adopción e incrementar el grado de implementación del comercio
electrónico.
Integración de aplicaciones
Las empresas tenían que integrar sistemas back-end para proveer información precisa y
en tiempo real a sus clientes. La tecnología de comercio electrónico debe encajar en un
formato efectivo de negocio para generar un valor diferenciado o sustentable. Por
ejemplo, AFP Perdura ha integrado sus aplicaciones de CRM con sus aplicaciones de
Enterprise Resource Planning (ERP) en el diseño de sus campañas de marketing.
La integración de aplicaciones parece ser un tipo de beneficio percibido y un criterio
tenido en cuenta para impulsar la adopción e incrementar el grado de implementación
del comercio electrónico.
Apoyo de la gerencia
Los casos estudiados ponen en evidencia un alto grado de involucramiento de la
gerencia en la implementación de la tecnología de comercio electrónico. En Cestefín, el
propio gerente general impulsó
la adopción de esta tecnología y el uso del sitio web, y alentó en los empleadosla
búsqueda de la innovación y la colaboración para el logro de los objetivos de la
empresa.
Experiencia técnica
Se esperaba observar el más alto nivel de implementación de la tecnología de comercio
electrónico en una organización que tuviera el más alto grado de conocimiento respecto
de esta materia. Sobre la base de las razones expuestas por las tres empresas estudiadas
y la literatura previa se identificó tres tipos de experiencia técnica:
88
Nivel de conocimientos sobre tecnología de la información entre los profesionales del
área. Las tres empresas estudiadas tenían un departamento de Sistemas con un alto
grado de conocimiento sobre tecnología de la información. El personal profesional
estaba al tanto de las últimas tecnologías y mostraba también un adecuado conocimiento
de la tecnologíade comercio electrónico.
Cultura
Los tres casos estudiados sugieren que las empresas que tienen una cultura de
innovación tecnológica son más proactivas en adoptar e implementar sitios web de
elevado nivel. Las empresas del estudio mencionaron estar muy interesadas en mejorar
su servicio al cliente y sus operaciones de negocios y creían que la tecnología de
comercio electrónico podía ayudarlas a logras estas metas.
Cestefín y Pariluz tienen una cultura abierta a la innovación y muestran un gran interés
en las tecnologías nuevas. Por ejemplo, el gerente general de Cestefín visita
aproximadamente 500 tiendas
89
minoristas alrededor del mundo con la finalidad de obtener nuevas ideas relacionadas
con la tecnología para aplicarlas en su empresa. Debido a su liderazgo, el gerente
general ha establecido una cultura de la innovación en el conocido supermercado.
Recursos financieros
Los ejecutivos de Cestefín mencionaron que en las etapas iniciales los recursos
financieros no fueron un elemento fundamental en la implementación del sitio web,
pero sí lo fueron (costo de las aplicaciones, costo de la integración, etc.) en las
subsiguientes etapas. En cuanto a AFP Perdura y Pariluz, éstas consideraron desde el
comienzo que los recursos financieros eran un elemento de importancia por
tener en cuenta al evaluar la implementación del sitio web.
La influencia del cliente parece ser un tipo de factor del entorno y un criterio tenido en
cuenta para impulsar la adopción e incrementar el grado de implementación del
comercio electrónico.
90
Cestefín obtuvo apoyo del vendedor para lograr un mejor conocimiento de la adopción e
implementación de esta tecnología y lo considera un aspecto fundamental de este
proceso. Es más, considera a los vendedores como socios tecnológicos
. Por su parte, Pariluz y AFP Perdura manifestaron haber recibido apoyo de los
vendedores para elaborar el plan de implementación del sitio web.
El apoyo del vendedor parece ser un tipo de factor del entorno y un criterio tenido en
cuenta para impulsar la adopción e incrementar el grado de implementación del
comercio electrónico.
Volumen
El volumen del comercio electrónico se refiere al grado en el que los documentos se
intercambian vía las conexiones de comercio electrónico en la organización. Se
determina por el porcentaje de documentos digitales –es decir, manejados vía comercio
electrónico– con relación al total de documentos de la organización.
AFP Perdura estima que el 20% de sus documentos son digitales, es decir, se
intercambian vía las conexiones de comercio electrónico. Los departamentos más
proactivos en el uso de documentos digitales son los de marketing, órdenes de venta y
servicio al cliente. Por ejemplo, la AFP envía boletines digitales a sus clientes más
importantes para establecer un contacto más estrecho con ellos.
Las tres empresas consideraron que la tecnología del correo electrónico podría
ayudarlos a usar documentos digitales y a ahorrar papel.
Amplitud
La amplitud se refiere al grado en el que la organización ha establecido conexiones de
comercio electrónico con clientes, proveedores, acreedores y otros agentes relacionados
(stakeholders).
Por ejemplo, Cestefín ha desarrollado dos modalidades de comercio electrónico:
empresa-empresa (B2B) y empresa- consumidor (B2C). Respecto del intercambio
electrónico de datos (EDI), Cestefín está conectado con sus 35 principales proveedores
a través de las redes de valor agregado (value added networks,VAN), y está conectado
con 10 de sus principales proveedores a través del sitio web.
Por su parte, AFP Perdura ha establecido relaciones personales con sus principales
clientes a través de su página web; por ejemplo, les envía información por este medio.
91
Diversidad
La diversidad se refiere al número de distintas funciones que una organización maneja
vía conexiones de comercio electrónico con clientes, proveedores, acreedores
y otros agentes relacionados (stakeholders).
Siguiendo los trabajos de Kalakota y Robinson (1999), Schneider y Perry (2001) y Fink
(2001) se han considerado las siguientes funciones para el caso de los sitios web:
1) hacer publicidad, 2) contrarrestar las iniciativas de los competidores,
3) brindar información sobre productos y servicios, 4) generar transacciones en línea, 5)
apoyar las consultas sobre ventas que no se hacen en línea, 6) permitir la interacción con
clientes específicos, (7) proporcionar servicios al cliente (por ejemplo, manejo de
reclamos),8) facilitar el desarrollo de relaciones con los clientes, 9) brindar información
a los clientes, (10) aprender sobre los requerimientos de los clientes, (11) reducir costos,
entre otras.
Por ejemplo, AFP Perdura y Pariluz utilizan sus sitios web para ofrecer información
sobre sus productos y servicios, generar operaciones en línea, permitir la interacción con
sus principales clientes y proveer servicios al cliente vía CRM.
Profundidad
La profundidad en el comercio electrónico se refiere al grado de consolidación
electrónica de esta tecnología en la organización.
Siguiendo a Kowtha y Whai Ip Choon (2001), en este trabajo se considera cuatro etapas
o grados de consolidación del comercio electrónico:
• 1a generación: página principal, presencia estática e informativa en la página web.
• 2da generación: catálogo electrónico, recolección de datos.
• 3ra generación: sitio interactivo, transacciones de negocios.
• 4ta generación: multimedia, integración de flujo de trabajo, reingeniería de procesos.
• 5ta generación: expansión de plataforma de entrega, individualización.
Las tres empresas estudiadas han implementado sus respectivos sitios web, que son
interactivos y sustentan transacciones de negocios. Es sabido que la implementación de
sitios web tiene diferentes características. Por ejemplo, Pariluz implementó un sitio web
de tercera generación desde el comienzo, mientras que los sitios web de Cestefín y AFP
Perdura evolucionaron gradualmente. Ahora, los sitios web de estas dos empresas tienen
características de cuarta generación y algunas pocas características de quintageneración.
7. Discusión y conclusiones
Las empresas estudiadas son conscientes de que ahora, más que nunca, el cliente es el
rey. Las tres están orientadas al cliente y creen que la tecnología de comercioelectrónico
les podrá proporcionar una ventaja competitiva.
92
tenía un buen conocimiento de la tecnología, apoyó los proyectos de comercio
electrónico.
Los principales factores que influyen en este proceso son: los beneficios percibidos, los
factores organizacionales y los factores del entorno. La investigación se centró en la
adopción y el grado de implementación de las tecnologías de correo electrónico y sitio
web (implementación de sitio web, gerencia de la relación con el cliente e intercambio
electrónico de datos vía web).
8. Investigaciones futuras
Esta investigación se ha centrado en la adopción e implementación de la tecnología de
comercio electrónico. Los trabajos futuros pueden usar los estudios previos acerca de la
adopción del intercambio electrónico de datos, ya que esta tecnología presenta
similitudes con la tecnología de comercio electrónico.
http://www.esan.edu.pe/paginas/pdf/YamakawaSerida.pdf
93
BIBLIOGRAFÍA
94
MARKETING DIRECTO “Definición de Marketing Directo”
http://www.marketingdirecto.com/definicion-de-marketing-directo/
95