UN PORTAL WEB SEGURO Y CONFIABLE. La elección adecuada para asegurar sus sitios y servicios web

Transcripción

1 UN PORTAL WEB SEGURO Y CONFIABLE La elección adecuada para asegurar sus sitios y servicios web

2 Es necesario un certificado SSL?

3 Es necesario un certificado SSL?

4 EXISTE UN MARCO NORMATIVO 1. Decreto 2693 de 2012 de Mintic, se debe garantizar la integridad, coherencia y confiabilidad en la información y los servicios que se realicen a través de medios electrónicos. 2. Manual de Gobierno en línea, las entidades contarán con sedes electrónicas, en donde se dispondrá de acceso multicanal a toda la información, así como a la gestión en línea de trámites y servicios, observando permanentemente las condiciones de accesibilidad, usabilidad, calidad, seguridad, reserva y privacidad. 3. Directiva presidencial No. 04 seguridad y confianza en los tramites electrónicos asegurando la autenticidad, integridad y disponibilidad. 4. Ley 1437 de toda autoridad deberá tener al menos una sede electrónica y garantizando las condiciones de calidad, seguridad, disponibilidad, accesibilidad, neutralidad e interoperabilidad. 5. Ley 1581 de protección de datos medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; 6. Circular 052 Superfinanciera Implementar los algoritmos y protocolos necesarios para brindar unacomunicación segura, escaneos devulnerabilidad,

5 Que significa tener un certificado SSL? Autenticidad = Confianza Demuestran y validan la autenticidad de la fuente del contenido web. Integridad Garantizan que el flujo de información no sufra modificaciones. Cifrado = Confidencialidad El protocolo SSL cifra desde el navegador del usuario hasta el servidor web Seguridad y confianza Mediante el uso del cifrado potente SGC, la barra verde, los sellos de reconocimiento y los servicios de seguridad (escaneos)

6 AHORA NO ES SOLO SEGURIDAD, ES VISIBILIDAD EN INTERNET Desde el 7 de Agosto de 2014, Google oficialmente anunció que el utilizar una conexión incrementa las posibilidades de un mejor posicionamiento en los resultados de búsqueda. Matt Cutts, lider del equipo Webspam en Google, sugirió que le gustaría que todos los sitios web utilizasen una conexión segura donde fuese necesario.

7 No todos los certificados SSL son iguales!

8 No todos los certificados SSL son iguales! 25de septiembre de 2015 Interviene un tercero de confianza (Entidad de certificación Digital CA). Se garantiza la identificación inequívoca. Si el tercero de confianza es reconocido en el mercado la confianza va a ser mayor. La reputación es el factor clave.

9 No todos los certificados SSL son iguales! Se emite rápidamente, en cuestión de minutos, son de muy bajo costo. Al solicitante sólo se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois). No se comprueba ningún dato de la empresa. Desafortunadamente los navegadores no distinguen entre certificados DV y OV. El problema reside en que no se comprueba si el sitio asegurado es un negocio legítimo o si se trata de una estafa. Para los delincuentes es relativamente fácil crear un sitio web falso y conseguir un certificado de validación de dominio para servirse del candado como disfraz de legitimidad. Tras tranquilizar a los clientes con esa falsa sensación de seguridad, los criminales se apoderan fácilmente de sus datos privados. LOS CERTIFICADOS DV SOLO SIRVEN PARA CIFRAR LOS DATOS

10 No todos los certificados SSL son iguales! Según un reciente estudio de Netcraft, el 78 % de los certificados SSL que se encontraron en servidores que albergaban sitios web fraudulentos tenían validación de dominio. No todos los ataques van dirigidos contra grandes empresas. Los delincuentes también atacan con frecuencia a las pymes debido a su escaso nivel de sofisticación en cuestiones informáticas. La información de usuario que se obtiene en los ataques a pequeñas empresas a menudo se puede utilizar para hacerse pasar por ese usuario en otro sitio web, ya que los clientes suelen emplear los mismos nombres de usuario, contraseñas y datos de acceso con frecuencia.

12 No todos los certificados SSL son iguales! Normalmente se emiten de un día para otro. Al solicitante se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois) y que demuestre que la empresa existe y tiene un domicilio válido. Si la información entre el registro de dominio y el registro de la empresa no coincide se solicita información adicional.

14 No todos los certificados SSL son iguales! Normalmente se emiten de 2 a 3 días hábiles. Al solicitante se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois), que demuestre que la empresa existe y tiene un domicilio válido y que la persona que solicita el certificado es un funcionario autorizado y labora con la empresa solicitante. Si la información entre el registro de dominio, el registro de la empresa y la información del contacto no coincide se solicita información adicional y/o incluso documentos adicionales como conceptos de un abogado. La autoridad de certificación realiza una comprobación más rigurosa del solicitante para aumentar el nivel de confianza en la empresa.

16 No todos los certificados SSL son iguales! Este Sitio ha sido identificado por Symantec y Pertenece a

18 No todos los certificados SSL son iguales! El nombre «PayPal» es un anzuelo frecuente para las estafas, las autoridades de certificación han automatizado una comprobación que busca nombres similares, como «pay-pal», o «securepaypal». Pero recientemente poco se emitió un certificado para paypol-france.com que se utilizó en ataques de phishing destinados a robar datos de acceso y no se sabe cuántos usuarios cayeron en la trampa y proporcionaron sus datos. Para estos estafadores, habría sido mucho más difícil obtener un certificado con validación de la empresa (OV) o con extended Validation para ese nombre de dominio.

19 No todos los certificados SSL son iguales! El cambio de un certificado DV a un certificado con validación de la empresa (OV) o con EV implica un gasto adicional para el propietario del sitio web, pero la diferencia es sorprendentemente poca.

20 LA SEGURIDAD ES CLAVE! Es muy fácil fingir que eres otra persona, LA CONFIANZA teniendo ONLINE en cuenta que todos interactuamos en internet, es importante comprender los peligros que existen y contribuir a que el sector pueda tomar medidas. Hay que implementar la tecnología de forma responsable,!el sitio web es un elemento clave : si los clientes no saben distinguir los sitios web de confianza, tenemos un serio problema. Se recomienda que los sitios web de comercio electrónico utilicen, como mínimo, certificados con validación de la empresa o idealmente certificados validación extendida.

21 No todos los certificados SSL son iguales! LA CONFIANZA ONLINE

22 DISTINTAS GAMAS, UN UNICO RESPALDO CERTICÁMARA, DISTRIBUIDOR AUTORIZADO DE SYMANTEC LA CONFIANZA ONLINE

23 CIFRADO FUERTE DE 128 BITS Cuando se conectala a unconfianza sitio web seguro, se establece ONLINE un nivel de cifrado basado en el tipo de certificado, navegador, sistema operativo y capacidades del Servidor, es por esto que todos los certificados soportan desde 40 hasta 256 bits de cifrado. El cifrado fuerte de 128 bits, puede calcular 2^88 mas combinaciones que un cifrado de 40 bits. Es más de un billón de veces más fuerte. A velocidades de computación actuales, un hacker con el tiempo, las herramientas y la motivación para atacar con fuerza bruta requeriría un billón de años para entrar en una sesión protegida por un certificado con SGC.

24 ESCANEO DE VULNERABILIDADES ESCANEO DE VULNERABILIDADES La Evaluación de vulnerabilidades es una manera fácil de identificar las principales vulnerabilidades de su sitio web que los piratas informáticos utilizan con mayor frecuencia: Busca inyecciones de código SQL, scripts entre sitios y otras vulnerabilidades. Realiza análisis semanales en páginas web públicas, aplicaciones basadas en Web, software de servidor y puertos de red en busca de los puntos de entrada que se utilizan con mayor frecuencia para los ataques. Informe procesable y fácil de leer con claros elementos de acción y análisis de riesgos para empresas. Se incluye con los certificados SSL con Extended Validation, Secure Site Pro y Premium.

25 ESCANEO DE MALWARE El análisis malware le ayuda a protegerse contra las inclusiones en las listas negras de los motores de búsqueda y a reducir el riesgo de propagación de virus entre los sistemas de sus clientes: La revisión diaria ayuda a garantizar la supervisión periódica en busca de códigos maliciosos en su sistema. Alerta inmediata por correo electrónico advierte sobre infecciones de programas maliciosos. La lista de páginas infectadas y de problemas ayuda a los administradores a localizar y eliminar los programas maliciosos.

26 UN CIFRADO MAS FUERTE Y RÁPIDO Mayor seguridad ya que las llaves ECC son veces más difícil de romper que una clave RSA 2048-bit. Los certificados Symantec 256-bit ECC ofrecen la seguridad equivalente a un certificado RSA bit. Mejora el rendimiento del servidor durante los picos de carga con capacidad de procesar más solicitudes por segundo con menor utilización de la CPU. Mejora el tiempo de respuesta usuario-servidor. Un servidor con un certificado RSA maneja 450 solicitudes por segundo con un tiempo medio de respuesta de 150 milisegundos. El servidor con un certificado de ECC en las mismas condiciones registró un promedio de respuesta de sólo 75 milisegundos. Se recomiendan para consumo de sitios web desde dispositivos moviles y/o tabletas.

27 LA LINEA DE SEGURIDAD SSL MAS COMPLETA DEL MERCADO 22 de septiembre de 2015 LA CONFIANZA ONLINE

28 ADMINISTRACIÓN DE MULTIPLES CERTIFICADOS SSL MPKI-SSL SYMANTEC No requiere infraestructura propia. Pre-aprobación LA de la CONFIANZA organización, dominio(s) ONLINE y personas de contacto. Emisión instantánea de certificados en dominios previamente aprobados. Compatibilidad con todos los tipos de certificado SSL Symantec. Posibilidad de añadir unidades de certificado a medida que vaya consumiendo el cupo. Certicamara es el único distribuidor en Colombia de MPKI-SSL Autenticación segura con distintos perfiles de usuario por medio de un certificado digital. Acceso a informes de seguridad generados por los escaneos de malware y de vulnerabilidades Generación de inventarios de certificados. Acceso a descuentos por volumen y tipo de certificado. Soporte y servicio Premium 7x24

29 CERTICAMARA RECONOCIDO COMO EL MEJOR ALIADO En julio del presente año, Certicámara SA llevó a cabo su encuesta de satisfacción general LA CONFIANZA SSL sobre una muestra ONLINE de 980 usuarios. Los resultados demuestran el liderazgo! Qué nivel de satisfacción tiene acerca del trato, amabilidad, y calidad de servicio frente a la atención de requerimientos relacionados con Certificados SSL? 5 es la calificación mas alta

30 CERTICAMARA RECONOCIDO COMO EL MEJOR ALIADO LA CONFIANZA ONLINE Qué prioridad asigna al momento de escoger una marca para sus certificados SSL?

31 CERTICAMARA RECONOCIDO COMO EL MEJOR ALIADO LA CONFIANZA ONLINE Cuál de los siguientes temas le gustaría conocer en un foro de seguridad frente a la protección de portales y servicios de Internet, organizado por Certicámara S.A.?