UN PORTAL WEB SEGURO Y CONFIABLE La elección adecuada para asegurar sus sitios y servicios web “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¿Es necesario un certificado SSL? “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¿Es necesario un certificado SSL? “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 EXISTE UN MARCO NORMATIVO 1. Decreto 2693 de 2012 de Mintic, se debe garantizar la integridad, coherencia y confiabilidad en la información y los servicios que se realicen a través de medios electrónicos. 2. Manual de Gobierno en línea, las entidades contarán con sedes electrónicas, en donde se dispondrá de acceso multicanal a toda la información, así como a la gestión en línea de trámites y servicios, observando permanentemente las condiciones de accesibilidad, usabilidad, calidad, seguridad, reserva y privacidad. 3. Directiva presidencial No. 04 … seguridad y confianza en los tramites electrónicos asegurando la autenticidad, integridad y disponibilidad. 4. Ley 1437 de 2011 - toda autoridad deberá tener al menos una sede electrónica y garantizando las condiciones de calidad, seguridad, disponibilidad, accesibilidad, neutralidad e interoperabilidad. 5. Ley 1581 de protección de datos … medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; 6. Circular 052 – Superfinanciera Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura, … escaneos de vulnerabilidad, “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¿Que significa tener un certificado SSL? Autenticidad = Confianza Demuestran y validan la autenticidad de la fuente del contenido web. Integridad Garantizan que el flujo de información no sufra modificaciones. Cifrado = Confidencialidad El protocolo SSL cifra desde el navegador del usuario hasta el servidor web Seguridad y confianza Mediante el uso del cifrado potente SGC, la barra verde, los sellos de reconocimiento y los servicios de seguridad (escaneos) “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 AHORA NO ES SOLO SEGURIDAD, ES VISIBILIDAD EN INTERNET Desde el 7 de Agosto de 2014, Google oficialmente anunció que el utilizar una conexión https:// incrementa las posibilidades de un mejor posicionamiento en los resultados de búsqueda. Matt Cutts, lider del equipo Webspam en Google, sugirió que le gustaría que todos los sitios web utilizasen una conexión segura donde fuese necesario. “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! • Interviene un tercero de confianza (Entidad de certificación Digital – CA). • Se garantiza inequívoca. la identificación • Si el tercero de confianza es reconocido en el mercado la confianza va a ser mayor. • La reputación es el factor clave. “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25de septiembre de 2015 ¡No todos los certificados SSL son iguales! • Se emite rápidamente, en cuestión de minutos, son de muy bajo costo. • Al solicitante sólo se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois). • No se comprueba ningún dato de la empresa. • Desafortunadamente los navegadores no distinguen entre certificados DV y OV. El problema reside en que no se comprueba si el sitio asegurado es un negocio legítimo o si se trata de una estafa. Para los delincuentes es relativamente fácil crear un sitio web falso y conseguir un certificado de validación de dominio para servirse del candado como disfraz de legitimidad. Tras tranquilizar a los clientes con esa falsa sensación de seguridad, los criminales se apoderan fácilmente de sus datos privados. LOS CERTIFICADOS DV SOLO SIRVEN PARA CIFRAR LOS DATOS “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! Según un reciente estudio de Netcraft, el 78 % de los certificados SSL que se encontraron en servidores que albergaban sitios web fraudulentos tenían validación de dominio. No todos los ataques van dirigidos contra grandes empresas. Los delincuentes también atacan con frecuencia a las pymes debido a su escaso nivel de sofisticación en cuestiones informáticas. La información de usuario que se obtiene en los ataques a pequeñas empresas a menudo se puede utilizar para hacerse pasar por ese usuario en otro sitio web, ya que los clientes suelen emplear los mismos nombres de usuario, contraseñas y datos de acceso con frecuencia. “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! • Normalmente se emiten de un día para otro. • Al solicitante se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois) y que demuestre que la empresa existe y tiene un domicilio válido. • Si la información entre el registro de dominio y el registro de la empresa no coincide se solicita información adicional. “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! • Normalmente se emiten de 2 a 3 días hábiles. • Al solicitante se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois), que demuestre que la empresa existe y tiene un domicilio válido y que la persona que solicita el certificado es un funcionario autorizado y labora con la empresa solicitante. • Si la información entre el registro de dominio, el registro de la empresa y la información del contacto no coincide se solicita información adicional y/o incluso documentos adicionales como conceptos de un abogado. • La autoridad de certificación realiza una comprobación más rigurosa del solicitante para aumentar el nivel de confianza en la empresa. “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! Este Sitio ha sido identificado por Symantec y Pertenece a “ “ ¡No todos los certificados SSL son iguales! “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! El nombre «PayPal» es un anzuelo frecuente para las estafas, las autoridades de certificación han automatizado una comprobación que busca nombres similares, como «pay-pal», «p@ypal» o «securepaypal». Pero recientemente poco se emitió un certificado para paypol-france.com que se utilizó en ataques de phishing destinados a robar datos de acceso y no se sabe cuántos usuarios cayeron en la trampa y proporcionaron sus datos. Para estos estafadores, habría sido mucho más difícil obtener un certificado con validación de la empresa (OV) o con extended Validation para ese nombre de dominio. “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! El cambio de un certificado DV a un certificado con validación de la empresa (OV) o con EV implica un gasto adicional para el propietario del sitio web, pero la diferencia es sorprendentemente poca. “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡LA SEGURIDAD ES CLAVE! Es muy fácil fingir que eres otra persona, teniendo en cuenta que todos interactuamos en internet, es importante comprender los peligros que existen y contribuir a que el sector pueda tomar medidas. LA CONFIANZA ONLINE Hay que implementar la tecnología de forma responsable, !El sitio web es un elemento clave¡: si los clientes no saben distinguir los sitios web de confianza, tenemos un serio problema. Se recomienda que los sitios web de comercio electrónico utilicen, como mínimo, certificados con validación de la empresa o idealmente certificados validación extendida. “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 ¡No todos los certificados SSL son iguales! LA CONFIANZA ONLINE “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 DISTINTAS GAMAS, UN UNICO RESPALDO CERTICÁMARA, DISTRIBUIDOR AUTORIZADO DE SYMANTEC LA CONFIANZA ONLINE “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 CIFRADO FUERTE DE 128 BITS LA CONFIANZA ONLINE Cuando se conecta a un sitio web seguro, se establece un nivel de cifrado basado en el tipo de certificado, navegador, sistema operativo y capacidades del Servidor, es por esto que todos los certificados soportan desde 40 hasta 256 bits de cifrado. El cifrado fuerte de 128 bits, puede calcular 2^88 mas combinaciones que un cifrado de 40 bits. Es más de un billón de veces más fuerte. A velocidades de computación actuales, un hacker con el tiempo, las herramientas y la motivación para atacar con fuerza bruta requeriría un billón de años para entrar en una sesión protegida por un certificado con SGC. ESCANEO DE VULNERABILIDADES ESCANEO DE VULNERABILIDADES La Evaluación de vulnerabilidades es una manera fácil de identificar las principales vulnerabilidades de su sitio web que los piratas informáticos utilizan con mayor frecuencia: • Busca inyecciones de código SQL, scripts entre sitios y otras vulnerabilidades. • Realiza análisis semanales en páginas web públicas, aplicaciones basadas en Web, software de servidor y puertos de red en busca de los puntos de entrada que se utilizan con mayor frecuencia para los ataques. • Informe procesable y fácil de leer con claros elementos de acción y análisis de riesgos para empresas. • Se incluye con los certificados SSL con Extended Validation, Secure Site Pro y Premium. ESCANEO DE MALWARE El análisis malware le ayuda a protegerse contra las inclusiones en las listas negras de los motores de búsqueda y a reducir el riesgo de propagación de virus entre los sistemas de sus clientes: • La revisión diaria ayuda a garantizar la supervisión periódica en busca de códigos maliciosos en su sistema. • Alerta inmediata por correo electrónico advierte sobre infecciones de programas maliciosos. • La lista de páginas infectadas y de problemas ayuda a los administradores a localizar y eliminar los programas maliciosos. UN CIFRADO MAS FUERTE Y RÁPIDO • Mayor seguridad ya que las llaves ECC son 10.000 veces más difícil de romper que una clave RSA 2048-bit. • Los certificados Symantec 256-bit ECC ofrecen la seguridad equivalente a un certificado RSA 3072bit. • Mejora el rendimiento del servidor durante los picos de carga con capacidad de procesar más solicitudes por segundo con menor utilización de la CPU. • Mejora el tiempo de respuesta usuario-servidor. Un servidor con un certificado RSA maneja 450 solicitudes por segundo con un tiempo medio de respuesta de 150 milisegundos. El servidor con un certificado de ECC en las mismas condiciones registró un promedio de respuesta de sólo 75 milisegundos. • Se recomiendan para consumo de sitios web desde dispositivos moviles y/o tabletas. LA LINEA DE SEGURIDAD SSL MAS COMPLETA DEL MERCADO LA CONFIANZA ONLINE “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 22 de septiembre de 2015 ADMINISTRACIÓN DE MULTIPLES CERTIFICADOS SSL • • • • • MPKI-SSL SYMANTEC No requiere infraestructura propia. Pre-aprobación de la organización, dominio(s) y personas de contacto. Emisión instantánea de certificados en dominios previamente aprobados. Compatibilidad con todos los tipos de certificado SSL Symantec. Posibilidad de añadir unidades de certificado a medida que vaya consumiendo el cupo. LA CONFIANZA ONLINE Certicamara es el único distribuidor en Colombia de MPKI-SSL • Autenticación segura con distintos perfiles de usuario por medio de un certificado digital. • Acceso a informes de seguridad generados por los escaneos de malware y de vulnerabilidades • Generación de inventarios de certificados. • Acceso a descuentos por volumen y tipo de certificado. • Soporte y servicio Premium 7x24 CERTICAMARA RECONOCIDO COMO EL MEJOR ALIADO En julio del presente año, Certicámara SA llevó a cabo su encuesta de LA CONFIANZA ONLINE satisfacción general SSL sobre una muestra de 980 usuarios. Los resultados demuestran el liderazgo! ¿Qué nivel de satisfacción tiene acerca del trato, amabilidad, y calidad de servicio frente a la atención de requerimientos relacionados con Certificados SSL? 5 es la calificación mas alta CERTICAMARA RECONOCIDO COMO EL MEJOR ALIADO LA CONFIANZA ONLINE ¿Qué prioridad asigna al momento de escoger una marca para sus certificados SSL? CERTICAMARA RECONOCIDO COMO EL MEJOR ALIADO ¿Cuál de los siguientes temas le LAenCONFIANZA gustaría conocer un foro de seguridad frente a la protección de portales y servicios de Internet, organizado por Certicámara S.A.? ONLINE PREGUNTAS? David Kummers Ejecutivo Comercial [email protected] Tel 57-1-3790300 Ext 1404 Cel 57-3015309901 “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015 Fuentes de consulta: • • • • Symantec: Reporte Peligros ocultos del comercio electrónico: Uso de certificados SSL adecuados para reducir las est http://www.canstockphoto.es/candado-pasador-resistido-pintado-puerta-1702531.html http://www.radio-ptuj.si/na-ptujskem-manj-vlomov http://obstacol.com/funny-pictures/funny-door-lock-maze/ “ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015