Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Extreme Adventure Tours ( EAT) inicio sus operaciones en marzo del 2008. Unas parejas de esposos
fundaron la agencia de viajes con un nuevo enfoque. EAT se especializo en el turismo de aventura
extrema. Sus paquetes más populares son la travesía al Sahara, Tailandia y una expedición canoa en
Canadá.
EAT alquila sus locales comerciales en un edificio de oficinas situado en el centro de la ciudad. Las
parejas de esposos se han centrado en la creación de una red de distribuidores y una agencia de viaje
virtual.
La empresa actualmente factura 10 millones de dólares canadienses, solo tiene 15 empleados a tiempo
completo y 8 empleados a tiempo parcial que trabajan principalmente desde su casa. Los guías
turísticos son empelados contratados que reciben pagos fijos por todos sus servicios. EAT tiene
una base de datos alrededor de un centenar de guías potenciales pre calificados. Cada vez que se
confirma una gira, EAT lo publica en su intranet y los guías pueden postularse para ser contratados.
Pero en la empresa no tos es felicidad, últimamente se han producido algunos incidentes, por ejemplo,
algunos socios se han quejado por errores en las facturas emitidas por EAT. Algunos
clientes que escribieron mensajes por correo electrónico no recibieron hasta después de varias
semanas.
Para el desarrollo de la página web y el nuevo sistema, EAT hizo varios llamados a licitación y
contrato los servicios de Web Transit, una compáñia consultora de renombre en el ámbito del
comercio electrónico.
La primera etapa consistió en el desarrollo de una Intranet para la administración y la integración del
nuevo sistema contable. El objetivo de la segunda etapa es mejorar la comunicación entre los socios,
guías de turismo asociados, consultores y la sede central, garantizando la consulta remota de bases de
datos y de informes financieros. La intranet también permite entrada de información a distancia, tal
como informes de gatos y hojas de asistencias para acelerar le procesamiento, y, a un costo menor.
La segunda etapa fue trasformar el sitio web promocional en un sitio web transaccional para ser sede
de la agencia de viaje virtual. EAT ha automatizado y simplificado el máximo número de sus
operaciones gracias a los pagos electrónicos y ha integrado en parte la Gestión Electrónica de
Documentos.
Los cambios realizados Internet ocupa un, lugar importante en las operaciones comerciales de EAT.
En primer lugar, los clientes potenciales consultan el sitio web para obtener información sobre los
diferentes productos y servicios ofrecidos, así como la información general sobre la empresa.
El cliente que quiere realizar una orden de compra o consultar una guía de viajes personalizada debe
registrase primero, para ellos debe completar un formulario en pantalla, indicando sus nombres,
información de contacto, correo, número de tarjeta de crédito e información personal (edad, sexo,
áreas de interés, etc.). Al llenar el formulario de inscripción, el cliente acepta recibir un boletín
electrónico de EAT por correo electrónico. También autoriza a promocionar esta información los
socios comerciales, para ser uso con fines promocionales. Solo la información de la tarjeta de crédito
se mantiene en confidencial.
Todo esto se registra en la gran base de datos de EAT. El cliente puede acceder al sitio utilizando su
código de usuario y su contraseña que fue creada considerando que debe contener como mínimo 08
caracteres como política de contraseña. Pude realizar comparar de paquetes en línea turísticos y
pagarlo con total seguridad. A pesar de la automatización del proceso, EAT quiere asegurase de
mantener un servicio de alta calidad para su base de clientes.
El sistema de recepción de órdenes de compra y el sistema de administración del sitio web son
versiones personalizadas de software desarrollado especialmente y que son propiedad de Web Transit
para el comercio electrónico en al ámbito de viajes. EAT no tiene acceso a la versión del código de los
programas y sistemas, y todos los cambios deben ser realizados por Web Transit.
El servicio de información esta garantizo por el encargado de mantener el sitio web habilitado
( Webmster) y un administrador de la red. El administrador de la red es responsable del mantenimiento
de todos los sistemas de información y de redes, la gestión de la seguridad, la administración de las
bases de datos, la gestión de incidentes y soporte a los empleados. El Webmaster se encarga
especialmente de actualizar el contenido del sitio web y ayudar al administrador de red con el soporte
al usuario.
Arquitectura del Sistema de Información y descripción de la Red
EAT utiliza el sistema operativo Windows server 2008 incluyendo el servicio de información de
internet de Microsoft IIS para operar el servicio de servidor de internet. Se cuenta con tres servidores.
El primero contiene las bases de datos, segundo tiene todas las aplicaciones para e sistema de toma de
órdenes de compra y el sistema de contabilidad, y el ultimo se dedica a la administración del sitio web
y de los correos electrónicos.
Las estaciones de trabajo son equipos IBM , con sistema operativo Windows XP y Windows 7 con
aplicaciones básicas como Herramientas ofimática, están vinculadas a la red de datos ( LAN ) y con
router que garantiza una conexión permanente a la red e internet.
Pregunta 01 : Explique Ud. como especialista en seguridad ¿Por qué necesita mi empresa
implementar una ISO 27001? (03 puntos).
03 activos de información
02 procesos de negocio
o Procesos de creación de productos turísticos.
o Procesos de la gestión de los socios.
Proceso de Contabilidad
Información personal de los clientes
Página web Transaccional
PROCESO 1: PROCESO DE CONTABILIDAD
2
NO ACTUALIZACIÒN Y NO ACTULIZACIÒN DE NUEVAS NORMATIVIDADES DE ECONOMICAS, EMPRESA
MEJORAMIENTO DE PROCESOS DE CONTABILIDAD DESACTULIZADA EN SU INFORMACIÒN 2 3 2
CONTABILIDAD ACTUALIZADOS QUE EMITE
2 2 3
1. El protocolo SET
Uno de los primeros protocolos diseñado específicamente para proteger los pagos en Internet fue
SET (Secure Electronic Transactions). Este protocolo fue implementado por las grandes
empresas titulares de las marcas de tarjetas (Visa y Masterd Card), con la finalidad de proveer
seguridad al pago mediante tarjetas de crédito, gracias a la autenticación de las partes y al
mantenimiento de la privacidad de sus datos. Al garantizar la inviolabilidad de los mensajes
transmitidos, aporta seguridad a la transacción, impidiendo el acceso a los datos asociados a la
tarjeta, su uso fraudulento y la alteración del mensaje.
El mecanismo empleado por SET se basa en el sistema de cifrado doble, el titular cifra el pedido
con la clave pública del proveedor de bienes y/o servicios (de manera que sólo pueda ser éste
quien descifre el mensaje con su clave privada). La parte referente al pago la cifra con clave
pública de la entidad emisora o adquirente según los casos, siendo éstos los únicos que en su caso
podrán descifrar esta parte del mensaje mediante la aplicación de su clave privada. El proveedor
de bienes al recibir el pedido, remite la orden al emisor quien no tendrá acceso al contenido del
pedido pero sí a los datos necesarios para autorizar o denegar la operación, de esta manera se
garantiza la confidencialidad de la información.
Los niveles de seguridad ofrecidos por SET son bastante altos, aparte de suministrar
confidencialidad a la información, garantiza la autenticidad, la integridad y no repudio del
mensaje. No obstante la utilidad de este protocolo hemos de destacar que en la práctica comercial
no ha tenido mucho éxito, ya que para los usuarios representa un mecanismo complicado al exigir
la autenticación de todas las partes y el uso de la firma electrónica.
2. El protocolo SSL
SSL (Secure Sockets Layer) es un protocolo de uso general que facilita el cifrado de la
información, la autenticación de servidores, la integridad del mensaje y opcionalmente la
autenticación del cliente. SSL suministra servicios de seguridad en los canales de transmisión
entre vendedores y compradores, ocultando los datos intercambiados mediante un algoritmo de
cifrado simétrico que proporciona confidencialidad a la operación. A diferencia del protocolo
SET, carece de capacidad para verificar la validez del número de tarjeta, autorizar la transacción
y procesar la operación con el banco adquirente; su funcionamiento sólo asegura que la
información viaja oculta, si alguna persona intercepta el mensaje no podrá acceder a su
contenido.
3. El protocolo 3D Secure
Este protocolo permite verificar la identidad del titular de la tarjeta a través de Internet,
garantizando la seguridad de la operación. Su funcionamiento se basa en un método de
autenticación que usa los mecanismos de cifrado empleados por SSL y un software que es
facilitado por el emisor del instrumento de pago. El software se instala en el sitio web del
proveedor de bienes y/o servicios y permite la verificación de la identidad del titular, a la vez que
protege la información y los datos de la tarjeta durante su transmisión, proporcionando
confidencialidad a la transacción.
Para acceder al servicio es necesario darse de alta previamente, para ello, el usuario selecciona
una clave secreta y un mensaje de garantía personal que serán utilizados como mecanismos de
autenticación. La contraseña de seguridad es distinta del PIN (Personal Identificación Number)
que se emplea normalmente en las tarjetas, esta clave es denominada CIP (Código Internet
Personal) y sirve para que el banco emisor pueda autenticar al titular cuando desee utilizar su
tarjeta en Internet.
Frente a SET, el protocolo 3D ofrece la ventaja que no exige al usuario ningún software especial
para su funcionamiento, el sistema es fácil y sencillo de utilizar, ya que sólo se necesita una clave
secreta y el número de la tarjeta. En términos del artículo 40 de la LPCU, éste sería un
mecanismo de pago fácil y seguro.
4. LOS EQUIPOS
La verdad comúnmente aceptada es que no existen equipos que garanticen en un 100% la
seguridad de las transacciones electrónicas de fondos. Ello, si bien es cierto, no implica de
manera alguna que debamos entregarnos sin resistencia a la realidad de tener que trabajar en
un medio infinitamente asimétrico, en el cual personas con elevados conocimientos de
programación y de sistemas pueden vulnerar virtualmente todas las barreras físicas o lógicas
que se interpongan entre el recurso que se quiere proteger y los riesgos que lo acechan.
La mejor manera de proteger los equipos utilizados en los procesos de creación de archivos
planos para pagos y para liberación de dichos pagos en el sistema, consiste en no exponerlos a
ambientes potencialmente peligrosos. El uso exclusivo y dedicado de equipos para estas labores
es aconsejable, ya que si se limita su uso únicamente a la conexión con la sucursal virtual del
banco, se reducen las posibilidades de infección o contaminación por uno de los incontables
virus, malware, key loggers y demás exponentes de la inagotable cantidad de programas
maliciosos que abundan en la Red y que en muchas ocasiones son indetectables para las
contramedidas más comúnmente utilizadas en nuestro medio.
5. Protección:
Las claves de acceso al sistema deben ser no solo seguras, sino personales y privadas. Una
clave debe tener como mínimo 8 caracteres incluyendo al menos una mayúscula, un número y
un carácter especial. Además de ser cambiada como máximo cada tres meses, debe elevarse a
la categoría de falta disciplinaria grave el darla a conocer a otras personas, dentro o fuera de la
organización.
Por otro lado, deben establecerse topes de autoridad a los empleados para efectuar
transacciones hasta un monto; y definir con los bancos los horarios en los cuales se pueden
realizar transferencias.