|
|
Seguridad en Internet
José Camilo Daccach T.
Hace unas semanas respondí un cuestionario que me envió la gente de Kamaleon sobre el tema de Seguridad en Internet. Dado que el cuestionario es bastante completo y las respuestas resumen en términos generales el tema de seguridad en varios aspectos, a continuación relaciono el resultado de esta entrevista.
- ¿Cómo evalúa usted la capacidad de los comerciantes que están ingresando al comercio electrónico en Colombia para garantizar la seguridad en las transacciones?
La tecnología de Internet ha permitido que los proyectos que se realicen con base en ésta tecnología no necesariamente incluya personas expertas en el área de seguridad y/o en el manejo de este tema. Por lo genera los proyectos se nacen en las áreas comerciales, se incluyen diseñadores y se hace caso omiso de las técnicas tradicionales de planeación de un proyecto de tecnología donde se contempla el tema. Considero que los comerciantes que ingresan al comercio electrónico en Colombia tienen el conocimiento suficiente que los haría capaces para implementar un buen nivel de seguridad transaccional. Sin embargo, algunos optan por no incluir este tema desde el inicio del proyecto.
Es importante también tener en cuenta que la seguridad de la transacción es solo un componente del sistema completo de seguridad, donde además de ella, se debe también garantizar que el cliente es quien dice ser y que el proveedor es quien dice ser (un sistema de certificación) y además se deben tener controles adecuados de acceso a los sistemas de información donde reposan los datos de los compradores.
- ¿Cuáles son las soluciones más accesibles y más fiables que existen en el marcado para asegurar las transacciones a través de la red, tanto para B2B como B2C?
Desafortunadamente no hay una sola solución al tema completo. Desde el punto de vista de conexión entre el cliente y el proveedor, bien sea B2C (NAC) o B2B (NAN), se pueden utilizar, para asegurar la transmisión de información, tanto el SSL (secure socket layer) que proveen la mayoría de los sistemas ya instalados, o el SET, que es un protocolo desarrollado por la banca primordialmente para efectuar transacciones electrónicas seguras (secure electronic transaction). La primera, el SSL, es la más común ya que no requiere de aditamentos especiales en ningún punto del negocio y maneja estándares de libre disponibilidad. La transacción mediante protocolos SET requiere de ciertos desarrollos de mayor nivel, y en algunos casos, de la incorporación
de equipos adicionales a los que comúnmente maneja un consumidor.
3. ¿Cuál forma recomendaría usted como la mejor para realizar pagos a través de Internet?
Hay dos requerimientos completamente distintos. Para el caso de las transacciones entre un proveedor y un consumidor final, la tarjeta de crédito seguirá siendo el medio por excelencia por su facilidad de uso. A pesar de todo lo que se ha advertido sobre su riesgo, mucho de este riesgo está en hábitos de compra y no en el uso del plástico, por lo que se seguirá afianzando su uso. Están también en desarrollo alternativas como "billeteras electrónicas" que permitirán que a través de un dispositivo que se inserte en la unidad de disquete de los PC, se puedan leer las tarjetas inteligentes ya desarrolladas y en uso en aplicaciones como las de pago anticipado de entradas a cine.
Para el caso de las transacciones NAN (B2B) es importante resaltar que la Internet en estos casos por lo general afianza una relación previamente establecida en el mundo físico, por lo que no se utilizarían los medios de pago que actualmente se utilizan sin recurrir a la red. En el caso de nuevas relaciones comerciales, por lo general en los negocios NAN se utiliza el sistema financiero como intermediario, sistema que desde hace ya varios años utiliza las redes de comunicaciones para establecer transacciones bancarias.
4. ¿Cuáles son las formas más comunes y nocivas en que se puede violentar un sistema de información o de comercio electrónico? ¿Cuáles son los sectores más vulnerables?
Un sistema de información seguro debe proteger tanto contra acceso indebido a la información, como la interceptación de la información mientras viaja por el sistema. Realmente no es fácil la incursión por ninguna de estas dos vías a los sistemas de información y requiere de personas con conocimientos de sistemas de seguridad para violarlas. Sin embargo, algunas tecnologías de Internet, por su velocidad al salir al mercado, han presentado "huecos" de vulnerabilidad que facilitan la labor de quien quiera violar un sistema. La forma más común es que alguien tenga acceso a un sistema a través de estos orificios o puertas traseras y pueda obtener información privilegiada, y en el caso de las transacciones se utilizan aplicaciones y equipos conocidos como "sniffers" u olfateadores, que tratan de rastrear los mensajes que se envían desde o hacia un sitio en particular.
5. ¿Se conocen cifras de defraudación en comercio electrónico a nivel mundial?
Como todas las estadísticas en Internet, las cifras por defraudación tienen un rango tremendamente alto entre quienes dicen que la Internet es segura y quienes abogan por un sistema de control transaccional, por lo que el monto de la defraudación pierde relevancia. Lo que si se puede encontrar son cifras de tendencias y de montos promedio por defraudación, cifras que se pueden consultar para Estados Unidos, comparadas 1999 hasta Sep. 2000 en la dirección http://www.fraud.org/internet/lt00stat.htm Es importante sin embargo resaltar que la mayor causa para estas defraudaciones no son causadas por la tecnología ni la Internet misma, sino por falta de cuidado en quienes están haciendo la compra.
6. Además de los servicios de una entidad certificadora, ¿qué otras formas existen para asegurar el comercio electrónico? ¿qué otras estrategias paralelas pueden adoptar las empresas para aumentar la confianza de los clientes?
Es tremendamente importante que quienes vayan a comprar por la red no se dejen obnubilar por la facilidad de la transacción y empleen los mismos criterios y cuidados de cuando efectúan una compra en el mundo físico. Internet es solo un medio que
facilita la transacción, pero los cuidados en selección de las características del producto, las características del proveedor, y en general todos los cuidados que permiten aumentar la confianza en la transacción se deben aplicar. La confianza de los clientes se ha ido afianzando en la medida en que se efectúan mas y mas transacciones en la red. Lo que deben hacer las empresas es garantizar, además de seguridad en el pago, un sistema eficiente de reclamo y atención del mismo por parte de la empresa. Es importante mostrar sitios físicos donde se pueda devolver o cambiar una mercancía, un número telefónico donde se pueda efectuar el reclamo pueden ser alternativas para aumentar esta confianza. Es claro estadísticamente que las personas están satisfechas con una compra por la red y despersonalizada, pero casi que exigen que la atención del reclamo sea a través de medios
tradicionales.
7. ¿Cómo aseguran las empresas que realizan transacciones por correo electrónico con sus clientes, la confidencialidad de los datos que manejan sobre ellos?
La única herramienta que se tiene para esto es la declaración de privacidad que se encuentra en los diferentes sitios de comercio. De ahí a que el sitio la cumpla es otro trecho, sin embargo, una empresa que incumpla sus promesas de privacidad y/o confidencialidad en la red, puede estar sujeta a una terminación de sus negocios ya que el "chisme" se propagaría con una velocidad enorme y elevaría la desconfianza con el sitio de inmediato.
8. ¿Qué lugar ocupa la confianza en la lista de requerimientos para un adecuado desarrollo del comercio electrónico en el país?
En mi opinión la confianza es el mayor requerimiento que se debe incorporar en un proyecto de comercio electrónico. Desafortunadamente la metodología para el establecimiento de esta confianza no se incorporan en los proyectos y hacen que su nivel transaccional sea muy bajo. Existen múltiples formas de establecer esta confianza, desde la existencia de un sitio físico para la empresa (que no sea solo virtual) hasta inclusión de testimonios en el sitio Web.
9. En cuanto a la legislación, además de la Ley de comercio electrónico y su respectiva reglamentación ¿qué herramientas hacen falta para fortalecer el comercio electrónico?
Ya se implementó en Colombia la tarifa plana para acceso a la Internet, lo que hace que el costo mismo de acceso sea menor. Igualmente hay varios artículos en la nueva reforma tributaria que impulsan la tecnología informática y en especial la de Internet, a través de la Agenda de Conectividad del Gobierno central. La reducción del costo de acceso (aprox 40%), al igual que la eliminación del IVA a equipos de menor valor (US$1,500) que significa una reducción aproximada del 16% del costo que pagan por un PC, permitirá que se amplíe la cobertura de la red y por lo tanto la masa crítica para efectuar compras.
Se debe tener en cuenta que en nuestro país la mayoría de empresas son pequeñas y medianas, por lo cual tendría buena acogida empresas que presten el servicio completo de comercio electrónico a los productores, desde la creación de catálogos hasta la gestión del pago.
10. ¿Podría hablarse del futuro desarrollo del negocio de aseguramiento de las transacciones y la información a través de Internet en Colombia?
La ley 527 de Comercio electrónico creo y dio vida a las entidades certificadoras. En agosto del 2000 se expidieron las normas reglamentarias para la implementación de ésta ley y estableció los parámetros operativos de estas entidades. Estimo que durante el 2001 se gestarán estas entidades certificadoras y en los años venideros habrá un proceso de consolidación como lo hubo con los ISP y en general con los prestadores de servicios relacionados con la Internet.
|
