Your SlideShare is downloading. ×
  • Like
Comercio elec y seguridad informatica
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply
Published

Seguridades en el CE

Seguridades en el CE

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,013
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
35
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • 1

Transcript

  • 1. COMERCIO ELECTONICO- SEGURIDAD INFORMATICA¡Bienvenido al mundo del comercio electrónico y de los negocios electrónicos en línea, en tiempo real y justo a tiempo, todo ello a través de Internet!
  • 2. PRELIMINARESA menos que la computadora que sé este tratandode proteger se encuentre en una habitación cerrada,en la que se controle el acceso y no existanconexiones con el exterior, la computadora estará enpeligro.Toda la información procesada a través de uncomputador, es susceptible de ser interceptada oaccesada, con fines de copiado, adulteración oborrado, violentando las normas de manejo deinformación propietaria; por lo que es necesariotomar todas las medidas precautelatorias paraobtener privacidad e integridad de la información yautentificación efectiva para el acceso a los datos.
  • 3. PRELIMINARESEn nuestros días existen especialistaspersistentes, que desentrañan los sistemascomputacionales y averiguan como funcionan.Una gran mayoría de quienes se dedican a estaactividad son considerados genios de lacomputación (Hackers). Estos, dedicados aCAUSAR DAÑO se les conoce como Crackers.Los vándalos quieren tener acceso a los sistemaspor una u otra de las siguientes razones: sólo pordiversión; sólo para mirar; para robar recursos delsistema, como tiempo de CPU o para robarsecretos de defensa; y, otra informaciónpropietaria.
  • 4. INTRODUCCIONEn materia de seguridad de la informaciónexisten muchas amenazas tales como: Virus,Troyanos, Backdoors, Gusanos, Hackers,Crackers, Phreaks, Virtual Gangs,Navegación a sitios web de hackers y sitiosimproductivos, Tráfico expuesto a ser espiadoen Internet, Passwords débiles, Ataques,SPAM, Usuarios o empleados malintencionados, Spyware, Adware, Greyware,Phishing, etc.
  • 5. INTRODUCCION Aspectos a considerar en la Seguridad de Información.Desde el punto de vista de los servidores:Vulnerabilidad de los servidores que darán el servicioAntivirus instalado y actualizado en los servidores que darán elservicioParches de seguridad evaluados e instalados según corresponda enlos servidores que darán el servicioDesde el punto de vista de la transferencia de información:Encriptación de la comunicación entre la organización y la empresaprestadora de serviciosDesde el punto de la continuidad operacional:Servidores de respaldoMáquina especializadas de respaldoSite de respaldoPruebas de contingencia.
  • 6. SEGURIDAD DE DATOS E INFORMACIONConfidencialidad, Integridad y DisponibilidadVirus computacionalesAutentificación y autorización de acceso SEGURIDAD DE RED Niveles de seguridad  Nivel D1  Nivel C1 y C2  Nivel B1, B2 y B3  Nivel A
  • 7. NIVEL DE SEGURIDAD D1El nivel D1 es la forma mas baja de seguridad. Estanorma establece que el sistema entero no es confiable.No se dispone de protección para el hardware; elsistema operativo se compromete fácilmente y no existeautentificación respecto de los usuarios y los derechos atener acceso a la información almacenada en lacomputadora. Este nivel de seguridad por lo general serefiere a los sistemas operativos como MS-DOS, MSWindows y el Sistema 7.x de Apple Mcintosh.Estos sistemas operativos no distinguen entre losusuarios y no tienen definido ningún método paradeterminar quien esta en el teclado. Así mismo, notienen ningún control con respecto a la información a laque se puede tener acceso en las unidades de disco durode la computadora.
  • 8. NIVEL DE SEGURIDAD CNivel C1El nivel C1, sistema de protección de seguridaddiscrecional, se refiere a la seguridad disponible en unsistema Unix típico. Existe cierto nivel de protecciónpara el hardware, ya que éste no puede comprometersefácilmente, aunque es posible. Los usuarios debenidentificarse ante el sistema mediante su login y sucontraseña. Se emplea esta combinación paradeterminar los derechos de acceso a programas einformación que tiene cada usuario.
  • 9. NIVEL DE SEGURIDAD CNivel C2El segundo subnivel, C2, esta diseñado para ayudar aresolver los problemas anteriores. Además de lasfunciones del C1, el nivel C2 cuenta con característicasadicionales que crean un ambiente de acceso controlado. Este ambiente tiene la capacidad de restringir aun másel que los usuarios, ejecuten ciertos comandos o tenganacceso a ciertos archivos, con base no sólo en lospermisos, sino también en los niveles de autorización.Además, este nivel de seguridad requiere que se auditeal sistema, lo cual implica registrar una auditoría porcada acción que ocurra en el sistema.
  • 10. NIVEL DE SEGURIDAD BNivel B1El nivel de seguridad B consta de tres niveles. El nivel B1llamado Protección de Seguridad Etiquetada, es el primernivel con soporte para seguridad de multinivel, como elsecreto y el ultrasecreto. En este nivel se establece que eldueño del archivo no puede modificar los permisos de unobjeto que esta bajo control de acceso obligatorio.Nivel B2El nivel B2, conocido como Protección Estructurada,requiere que todos los objetos estén etiquetados. Losdispositivos como discos, cintas y terminales pueden tenerasignado uno o varios niveles de seguridad. Este es elprimer nivel en el que se aborda el problema de lacomunicación de un objeto con otro que se encuentra en unnivel de seguridad inferior.
  • 11. NIVEL DE SEGURIDAD BNivel B3El nivel B3 llamado de Dominios de Seguridad,refuerza los dominios con la instalación de hardware.Por ejemplo, se utiliza hardware de manejo de memoriapara proteger el dominio de seguridad contra accesos noautorizados y modificaciones de objetos en diferentesdominios de seguridad. Este nivel requiere también quela terminal del usuario este conectada al sistema a travésde una ruta de acceso confiable.
  • 12. NIVEL DE SEGURIDAD AEl nivel A, conocido como de Diseño Verificado,constituye actualmente el nivel de seguridad validadamás alto en todo el Libro Naranja de la UniónInternacional de Telecomunicaciones (ITU – organismoregulador de las telecomunicaciones), entre las distintasadministraciones y empresas operadoras.. Cuenta conun proceso escrito de diseño, control y verificación.Para alcanzar este nivel de seguridad, deben incluirsetodos los componentes de los niveles inferiores; eldiseño debe verificarse matemáticamente, y deberealizarse un análisis de los canales cubiertos y dedistribución confiable. La distribución confiablesignifica que el hardware y el software hayan estadoprotegidos durante su traslado para evitar violaciones delos sistemas de seguridad.
  • 13. COMPONENTES DE SEGURIDADPolíticas de seguridadEl archivo PaswordEl archivo GroupCaducidad y control de contraseñaVándalos y contraseñasOTP (sistema de contraseña usada una sola vez)Seguridad C2 y la Base de Computo ConfiableLa equivalencia de redComprensión de los permisosExploración de los métodos de encripción de datosAutentificación KerberosMecanismos adicionales
  • 14. FIREWALL PARA EL ACCESO A INTERNETSERVIDOR Red Ethernet MODEM RUTEADOR SELECCION SWITCH FIREWALL
  • 15. SOLUCION VPN PARA EL ACCESO A INTERNET
  • 16. SOLUCION DE SEGURIDAD 802.1x
  • 17. SOLUCION DE MONITOREO Y PREVENCION
  • 18. TUNELES VPNSEGURIDAD INTEGRADA
  • 19. SOLUCION DE SEGURIDADPARA EL COMERCIO ELECTRONICO
  • 20. 1.- POLITICAS DE SEGURIDAD PARA EL CUMPLIMIENTO DE LOS USUARIOS DE COMPUTADORASa.- El usuario al tener a su cargo una computadora, es el únicoresponsable de la información almacenada y del uso que se de a lamisma.b.- La clave de acceso al computador o a las aplicacionesinformáticas, son de uso exclusivo del usuario que tiene a cargo de lacomputadora y el uso inadecuado será de su exclusivaresponsabilidad.c.- La información o documentos calificados serán elaborados yalmacenados en medios magnéticos u ópticos (cintas, diskettes, CD’s,Memoria Flash), correctamente identificados, etiquetados y marcadoslos medios tal como se realiza con los documentos de este tipo ycustodiado con las debidas seguridades físicas (Cajas fuertes, chapas,candados, etc.).d.- Por lo especificado en el literal anterior, se prohíbe guardar en eldisco duro del computador información o documentos que tengan lacalificación de secretísimo, secreto y reservado.
  • 21. 2.- POLITICAS DE SEGURIDAD PARA EL CUMPLIMIENTO DE LOS ORGANISMOS DE INFORMATICAa.- Políticas de seguridad administrativa.1) La información generada a través de computadorasdeberá someterse a las normas y disposiciones legales(reglamentación institucional).2) En su nivel son responsables de investigar, desarrollar ydifundir las medidas de seguridad informática.3) En su nivel son responsables de supervisar y controlar elcumplimiento de las políticas de seguridad.4) En la red Intranet e Internet, se adoptarán las acciones ymedidas necesarias para contrarrestar el espionajecibernético (hackers - crackers).
  • 22. 2.- POLITICAS DE SEGURIDAD PARA EL CUMPLIMIENTO DE LOS ORGANISMOS DE INFORMATICAb.- Políticas de seguridad lógica.1) Todos las Entidades utilizarán el sistema de detección devirus informáticos corporativo definidos.2) Proteger la información de los sistemas informáticosmediante el uso de claves compuestas de letras y númerosde mínimo 8 caracteres.3) Disponer de un registro de control de accesos a loscomputadores y sistemas informáticos.4) Utilizar la información mediante niveles de acceso:administradores, directivos, usuarios, desarrolladores.
  • 23. 2.- POLITICAS DE SEGURIDAD PARA EL CUMPLIMIENTO DE LOS ORGANISMOS DE INFORMATICAc.- Políticas de seguridad para el personal1) Realizar charlas y seminarios de conocimiento sobreseguridad informática, a fin de familiarizar, indicar los riesgos yperjuicios relacionados con las violaciones de seguridad, esdecir enseñar el porqué existen y en que consisten las políticasde seguridad.2) En su nivel, instruir, entrenar y especializar al personal enseguridad informática e incorporar en los planes de estudio, afin de concienciar y exigir una adecuada disciplina deseguridad.3) Disgregar funciones y responsabilidades mediante latransferencia del conocimiento y asignar tareas de acuerdo algrado de responsabilidad de la seguridad informática.
  • 24. 2.- POLITICAS DE SEGURIDAD PARA EL CUMPLIMIENTO DE LOS ORGANISMOS DE INFORMATICAd.- Políticas de seguridad física.1) Contar con un sistema de control físico para elacceso a las instalaciones informáticas.2) Disponer de bibliotecas adecuadas para elalmacenamiento de archivos de documentos yrespaldos de información.3) Mantener actualizado el Plan de Contingencia.4) Revisión periódica de equipos de protección.
  • 25. 2.- POLITICAS DE SEGURIDAD PARA EL CUMPLIMIENTO DE LOS ORGANISMOS DE INFORMATICAe.- Políticas de seguridad en la comunicación de datos.1) La administración de la Seguridad de la RedIntranet e Internet estará a cargo de la UnidadInformática.2) Proteger la red de datos de accesos no autorizados.3) Las comunicaciones y sistemas operativos de reddeben ser seguros de acuerdo a estándaresinternacionales.4) El acceso de usuarios locales y externos estaránprotegidos por un firewall - VPN, IDS.
  • 26. 3.- POLITICAS DE SEGURIDAD PARA PALIAR LOS ATAQUES INTERNOS1) Emplear estrategias completas e integrales, que enfaticen sistemas de protección múltiple. Esto debe incluir la instalación de antivirus, firewalls, sistemas de protección y detección de intrusos en las estaciones de trabajo.2) Si los códigos maliciosos u otras amenazas atacan a uno o más servicios de redes, deshabilite o bloquee el acceso a estos servicios hasta que se aplique un parche.3) Actualizar siempre los niveles de parche, especialmente en los computadores que albergan servicios públicos y a los que se tiene acceso a través del firewall, como los servicios http, FTP, email y DNS.
  • 27. 3.- POLITICAS DE SEGURIDAD PARA PALIAR LOS ATAQUES INTERNOS4) Considerar las implementaciones de soluciones de cumplimiento en la red que ayuden a mantener a los usuarios móviles infectados fuera de la red (y desifectarlos antes de que se reintegren).5) Implementar una política de contraseña eficaz.6) Configurar los servidores de correo para bloquear o eliminar el correo electrónico que contiene los archivos adjuntos que se usan frecuentemente para propagar virus, como los archivos de extensión *.VBS, *.BAT, *.EXE, *.PIF, *.SCR.7) Aislar los computadores infectados para impedir riesgos de mayor infección en la organización. Realizar un análisis forense y recuperar los computadores con medios magnéticos confiables.
  • 28. 3.- POLITICAS DE SEGURIDAD PARA PALIAR LOS ATAQUES INTERNOS8) Entrenar a los usuarios finales para que no abran archivos adjuntos a menos que vengan de una fuente confiable y conocida, y para que no ejecuten software descargado de Internet a menos que haya sido explorado previamente en busca de virus.9) Implantar procedimientos de respuesta a emergencias, que incluyan una solución de copias de respaldo y recuperación para obtener información perdida o en peligro, en caso de un ataque exitoso o pérdida catastrófica de la información.10) Educar a la alta dirección sobre las necesidades presupuestarias para la seguridad.11) Probar la seguridad para garantizar que se tiene controles adecuados.
  • 29. 3.- POLITICAS DE SEGURIDAD PARA PALIAR LOS ATAQUES INTERNOS12) Estar alerta de que los riesgos de seguridad pueden instalarse de forma automática en las computadoras con la utilización de programas para compartir archivos, descargas gratuitas, software gratuito y versiones de software compartido. Al hacer clic en ligar y/o archivos vía mensajeros instantáneos podría exponer las computadoras a un riesgo innecesario. Asegúrese de que sólo las aplicaciones aprobadas por la organización están instaladas en el computador de escritorio.
  • 30. ATAQUES ATAQUESSUPLANTACIÓN DEPERSONALIDADINTERCEPCIÓN DELCONTENIDOMODIFICACIÓN DELCONTENIDONEGACIÓN DELSERVICIO
  • 31. PROTOCOLOS DE SEGURIDADUn protocolo de seguridad es la parte visible de unaaplicación, es el conjunto de programas y actividadesprogramadas que cumplen con un objetivo específicomediante el uso de esquemas de seguridad criptográfica.Los principales protocolos que sirven para resolver algunosde los problemas de seguridad como la integridad, laconfidencialidad, la autenticación y el no rechazo, mediantesus diferentes características, son: SSL ( Secure SocketsLayer) integrado en un Browser por ejemplo Netscape el cual muestra un candado en la barra de herramientas cerrado ytambién la dirección de Internet cambia de http a https. PGPque es un protocolo libre ampliamente usado de intercambiode correo electrónico seguro. Otro conocido y muypublicitado SET que es un protocolo que permite darseguridad en las transacciones por Internet usando tarjeta decrédito y proporciona seguridad en la conexión de IPsecInternet a un nivel más bajo.
  • 32. PROTOCOLOS DE SEGURIDADLas características de los protocolos se derivan de lasmúltiples posibilidades con que se puede romper un sistema,es decir, robar información, cambiar información, leerinformación no autorizada, y todo lo que se considere noautorizado por los usuarios de una comunicación por red.La seguridad por Internet se deben de considerar lassiguientes tres partes: seguridad en el browser (Netscape oExplorer), la seguridad en el Web server (el servidor al cualnos conectamos) y la seguridad de la conexión.SSL ( Secure Sockets Layer)El protocolo SSL es un sistema de seguridad desarrollado porNetscape en 1994 y utilizado actualmente por la mayoría deempresas que comercializan a través de Internet. SSL actúaen la capa de comunicación situada entre el protocolo de lacapa de red (Ej. TCP/IP) y un protocolo de la capa deaplicación (Ej. HTTP), es como un túnel que protege a todala información enviada y recibida.
  • 33. PROTOCOLOS DE SEGURIDADHTTPSUno de los usos comunes de SSL es el de establecer unacomunicación Web segura entre un browser y un Web Server.Es aquí donde se usa https que es básicamente http sobre sslcon un esquema de invocación por medio de url. Esimportante hacer notar que el uso del protocolo https noimpide en caso alguno que se pueda utilizar http, por lo que la mayoría de los browsers advierten cuando una página tieneelementos que no son seguros en entornos seguros, comotambién advierten cuando se invoca un protocolo distinto alde la pagina actual (http -> https o https -> http)
  • 34. PROTOCOLOS DE SEGURIDADSET (Secure Electronic Transaction)El estándar SET fue desarrollado en 1995 por Visa yMasterCard, con la colaboración de gigantes de laindustria del software, como Microsoft, IBM yNetscape. La gran ventaja de este protocolo es queofrece autenticación de todas las partes implicadas (elcliente, el comerciante y los bancos, emisor yadquiriente); confidencialidad e integridad, gracias atécnicas criptográficas robustas, que impiden que elcomerciante acceda a la información de pago(eliminando así su potencial de fraude) y que el bancoacceda a la información de los pedidos (previniendoque confeccione perfiles de compra); y sobre todogestión del pago, ya que SET gestiona tareasasociadas a la actividad comercial de granimportancia, como registro del titular y delcomerciante, autorizaciones y liquidaciones de pagos,anulaciones, etc.
  • 35. APLICACIONES DE SEGURIDADS/MIME, para correo electrónico que firma ycomprueba firmas, permitiendocomunicaciones de forma segura. Se empleaen pedidos comerciales por correo.SSL (Secure Socket Layer), aplicación para elprotocolo HTTP para hacer seguras lasconexiones web. Es decir, se emplea comoelemento de seguridad (HTTPS) para elcomercio electrónico.SSH.- aplicación para emplear un terminal deordenador a distancia, de forma segura.SET.- aplicación desarrollada por VISA yMASTERCARD para el pago por medioselectrónicos85.
  • 36. “Cuando se fija una meta, hay queasegurar que las medidas correctivas lleven a la meta” Dr. Deming FIN