Infraestructura PKI
Páginas: 6 (1329 palabras)
Publicado: 23 de mayo de 2013
ESCENARIO EVALUADO. MODULOS V-VI
La empresa “INVERSIONES Y DESARROLLOS BURSATILES S.A. (IDEBUSA)” es una
corporación financiera regional con operaciones en varios países de la región entre los
que se incluyen El Salvador, Guatemala, Costa Rica y Panamá. Esta empresa brinda
servicios financieros a sus clientes fungiendo como intermediaria de inversiones, en los
mercados bursátiles de laregión centroamericana y
recientemente ha vendido una
participación mayoritaria de sus acciones a un Conglomerado Norteamericano con sede
en NY y operaciones a nivel mundial, por lo que ha expandido también su alcance al
mercado de inversiones de tipo global. Sus clientes son principalmente inversionistas
particulares, empresas e instituciones públicas y privadas y entidades financieras dueñasde fondos mutuos de inversión. Uno de las principales propuestas de valor de la
compañía para sus clientes es asegurar la seguridad de la información de los clientes, así
como una adecuada gestión de sus fondos en todo momento del ciclo de los procesos
financieros que llevan a cabo, de tal manera que los inversionistas puedan sentirse
seguros que las transacciones que realizan a través demedio electrónicos, están
debidamente protegidas contra fraude y cualquier delito electrónico.
Adicionalmente, al ser ahora la compañía parte de un conglomerado norteamericano, esta
obligada a cumplir exhaustivas regulaciones federales del gobierno de Estados Unidos,
sobre el manejo de la información, a fin de garantizar el cumplimiento de requisitos sobre
la integridad y veracidad de lainformación, como por ejemplo la Ley Sarbanes and Oaxley
(SOX), o las Leyes Federales de protección de datos personales, asi como estándares
internacionales de seguridad de información como ISO 27001.
Para cumplir de forma adecuada con estos requerimientos, la compañía ha implementado
plataformas que garantizan la seguridad de las transacciones en línea a través de su
portal web, haciendo uso deprotocolos de encriptación basados en tecnologías SSL. Para
ello ha invertido en una infraestructura de servidores HTTPS que se encargan de la
distribución de claves públicas a sus clientes, a través de certificados digitales que son
emitidos por entidades de reconocida confianza a nivel mundial, como por ejemplo
VeriSign. Sin embargo la organización ha realizado este esfuerzo únicamente en suentorno público de transacciones, el cual mayoritariamente es a través de INTERNET, o
en algunos casos a través de EXTRANETS. Sin embargo, las regulaciones federales
obligan ahora a la compañía a que dichas medidas de protección y verificación de
integridad y aseguramiento de la información, sean implementadas a TODOS los niveles
en que la información de los inversionistas sea manipulada, estoes tanto a nivel externo
(Internet y redes públicas) como a nivel Interno (Empleados y corredores de bolsa que
operan desde entornos privados de la compañía) y en general en cualquier entorno donde
se manipulen o almacenen datos de los clientes o las transacciones que estos realizan.
Por supuesto, también deben garantizarse atributos como una autenticación segura, No
repudio y determinación deresponsabilidad.
Para llevar a cabo el cumplimiento de estos requerimientos, la organización desea
implementar una infraestructura que les permita el uso de tecnologías de encripción para
aseguramiento de sus datos y sus operaciones, de modo que todos los equipos y
usuarios de la compañía, generen llaves de encripción que puedan ser intercambiadas de
modo seguro y previniendo fraudesinformáticos como suplantación de identidad,
phishing, y eavesdropping (escucha silenciosa). Los representantes de la empresa son
conscientes que no pueden proveer a todos sus empleados, de certificados digitales para
verificación de claves públicas, que hayan sido extendidos por autoridades de certificación
públicas, porque esto volvería excesivamente costoso el mecanismo de seguridad
deseado,...
La empresa “INVERSIONES Y DESARROLLOS BURSATILES S.A. (IDEBUSA)” es una
corporación financiera regional con operaciones en varios países de la región entre los
que se incluyen El Salvador, Guatemala, Costa Rica y Panamá. Esta empresa brinda
servicios financieros a sus clientes fungiendo como intermediaria de inversiones, en los
mercados bursátiles de laregión centroamericana y
recientemente ha vendido una
participación mayoritaria de sus acciones a un Conglomerado Norteamericano con sede
en NY y operaciones a nivel mundial, por lo que ha expandido también su alcance al
mercado de inversiones de tipo global. Sus clientes son principalmente inversionistas
particulares, empresas e instituciones públicas y privadas y entidades financieras dueñasde fondos mutuos de inversión. Uno de las principales propuestas de valor de la
compañía para sus clientes es asegurar la seguridad de la información de los clientes, así
como una adecuada gestión de sus fondos en todo momento del ciclo de los procesos
financieros que llevan a cabo, de tal manera que los inversionistas puedan sentirse
seguros que las transacciones que realizan a través demedio electrónicos, están
debidamente protegidas contra fraude y cualquier delito electrónico.
Adicionalmente, al ser ahora la compañía parte de un conglomerado norteamericano, esta
obligada a cumplir exhaustivas regulaciones federales del gobierno de Estados Unidos,
sobre el manejo de la información, a fin de garantizar el cumplimiento de requisitos sobre
la integridad y veracidad de lainformación, como por ejemplo la Ley Sarbanes and Oaxley
(SOX), o las Leyes Federales de protección de datos personales, asi como estándares
internacionales de seguridad de información como ISO 27001.
Para cumplir de forma adecuada con estos requerimientos, la compañía ha implementado
plataformas que garantizan la seguridad de las transacciones en línea a través de su
portal web, haciendo uso deprotocolos de encriptación basados en tecnologías SSL. Para
ello ha invertido en una infraestructura de servidores HTTPS que se encargan de la
distribución de claves públicas a sus clientes, a través de certificados digitales que son
emitidos por entidades de reconocida confianza a nivel mundial, como por ejemplo
VeriSign. Sin embargo la organización ha realizado este esfuerzo únicamente en suentorno público de transacciones, el cual mayoritariamente es a través de INTERNET, o
en algunos casos a través de EXTRANETS. Sin embargo, las regulaciones federales
obligan ahora a la compañía a que dichas medidas de protección y verificación de
integridad y aseguramiento de la información, sean implementadas a TODOS los niveles
en que la información de los inversionistas sea manipulada, estoes tanto a nivel externo
(Internet y redes públicas) como a nivel Interno (Empleados y corredores de bolsa que
operan desde entornos privados de la compañía) y en general en cualquier entorno donde
se manipulen o almacenen datos de los clientes o las transacciones que estos realizan.
Por supuesto, también deben garantizarse atributos como una autenticación segura, No
repudio y determinación deresponsabilidad.
Para llevar a cabo el cumplimiento de estos requerimientos, la organización desea
implementar una infraestructura que les permita el uso de tecnologías de encripción para
aseguramiento de sus datos y sus operaciones, de modo que todos los equipos y
usuarios de la compañía, generen llaves de encripción que puedan ser intercambiadas de
modo seguro y previniendo fraudesinformáticos como suplantación de identidad,
phishing, y eavesdropping (escucha silenciosa). Los representantes de la empresa son
conscientes que no pueden proveer a todos sus empleados, de certificados digitales para
verificación de claves públicas, que hayan sido extendidos por autoridades de certificación
públicas, porque esto volvería excesivamente costoso el mecanismo de seguridad
deseado,...
Leer documento completo
Regístrate para leer el documento completo.