¿Como aplicar seguridad en el comercio electrónico?

Los sitios de comercio electrónico son un blanco constante para los ciberdelincuentes que buscan aprovecharse de vulnerabilidades existentes. Es por ello, que una startup, mediana o gran empresa que tiene un canal de comercio electrónico deberá de invertir en establecer controles de seguridad informática que reduzcan el riesgo de fuga de información o de manipulación de las transacciones electrónicas.

• Definir una estrategia de seguridad informática o ciberseguridad
• Definir una política y objetivos de ciberseguridad
• Definir responsabilidades:
  • En toda la organización
  • En caso de fraude, definir cuales son las responsabilidades de tu proveedor de pago (Visanet, MC Procesos, Alignet, Unibanca, etc)
• Entender la solución de pago ofertada por tu proveedor y el flujo transaccional
• Identificar todos los activos digitales del comercio electrónico como aplicación Web, base de datos, webservices, solución de pago entre otros)
• Identificar los potenciales riesgos y aplicar por lo menos los siguientes controles:
  • Aplicar cifrado TLS v1.0 o superior en todo el proceso de compra.
  • Pruebas de seguridad en la modalidad de ethical hacking trimestral o anual.
    • Revisar la existencia de vulnerabilidades categorízadas en el OWASP TOP 10 2017
  • Revisión de código seguridad en todo cambio del comercio electrónico.
  • Revisar el proceso del ciclo de vida del software por lo menos una vez al año.
  • Definir tu proceso de gestión de incidentes de seguridad, cuando ocurra un incidente deberás saber quien y como se responderá para contener e investigar el incidente.
  • Definir y probar tu estrategia de respaldo. De manera frecuente respaldar tu información en repositorios seguros.
  • Adquirir un seguro en caso de fraude informático, si es necesario.

Finalmente, Si una organización ya tiene implementado su canal de comercio electrónico deberá de realizar un análisis de brechas más exhaustivo según las mejores practicas para asegurar una solución de comercio electrónico publicado por PCI SSC, reconocida como un estándar de seguridad para aplicaciones de comercio electrónico. Para evaluar la madurez de la seguridad de la aplicación podemos usar el estándar ISO 15504.

Reflexión del incidente de RENIEC y la continuidad de negocio en el sector público peruano

Esta semana muchos usuarios empezaron a reportar fallas en los servicios digitales de RENIEC (Registro Nacional de Identificación y Estado Civil) desde el lunes 9 de Abril 2018 y se han ido restableciendo progresivamente luego de dos días. Inclusive al momento de publicar este artículo no se han recuperado totalmente. Este incidente me hace reflexionar sobre la situación de la gestión de la continuidad de negocio en el sector público peruano.

Primero, muchos funcionarios públicos en nuestro país aún carecen de un enfoque de riesgos, por consiguiente, consideran cualquier inversión de recuperación o contingencia como un gasto y no se asigna presupuesto a la implementación de continuidad de negocio.

Segundo, las estrategias de continuidad no son lo suficientemente adecuadas a los tiempos objetivos de recuperación (RTO) definidos para la organización de acuerdo al daño de imagen de la institución pública.

Tercero, no se hacen revisiones y pruebas razonables sobre la efectividad de los controles y estrategias de continuidad de negocio ante escenarios de interrupción de energía, interrupción de comunicaciones, falla de hardware, ciberataques (denegación de servicio, propagación de ransomware o intrusión de un ciberdelincuente), pandemias entre otros.

Cuarto, control interno no realiza procedimientos de control sobre el sistema de gestión de continuidad de negocio de la institución pública.

Finalmente, considero que debemos fortalecer la cultura de riesgos en nuestras instituciones públicas desde los gerentes públicos hasta los colaboradores más operativos aumentando sus competencias ante una realidad cada vez más digital. Por ello, las instituciones educativas deben forman funcionarios públicos deben incorporar temas como gestión de riesgos, seguridad de la información, ciberseguridad y continuidad de negocio.