1. COMERCIO
ELECTONICO-
SEGURIDAD
INFORMATICA
¡Bienvenido al mundo del comercio electrónico y de los negocios
electrónicos en línea, en tiempo real y justo a tiempo,
todo ello a través de Internet!
2. PRELIMINARES
A menos que la computadora que sé este tratando
de proteger se encuentre en una habitación cerrada,
en la que se controle el acceso y no existan
conexiones con el exterior, la computadora estará en
peligro.
Toda la información procesada a través de un
computador, es susceptible de ser interceptada o
accesada, con fines de copiado, adulteración o
borrado, violentando las normas de manejo de
información propietaria; por lo que es necesario
tomar todas las medidas precautelatorias para
obtener privacidad e integridad de la información y
autentificación efectiva para el acceso a los datos.
3. PRELIMINARES
En nuestros días existen especialistas
persistentes, que desentrañan los sistemas
computacionales y averiguan como funcionan.
Una gran mayoría de quienes se dedican a esta
actividad son considerados genios de la
computación (Hackers). Estos, dedicados a
CAUSAR DAÑO se les conoce como Crackers.
Los vándalos quieren tener acceso a los sistemas
por una u otra de las siguientes razones: sólo por
diversión; sólo para mirar; para robar recursos del
sistema, como tiempo de CPU o para robar
secretos de defensa; y, otra información
propietaria.
4. INTRODUCCION
En materia de seguridad de la información
existen muchas amenazas tales como: Virus,
Troyanos, Backdoors, Gusanos, Hackers,
Crackers, Phreaks, Virtual Gangs,
Navegación a sitios web de hackers y sitios
improductivos, Tráfico expuesto a ser espiado
en Internet, Passwords débiles, Ataques,
SPAM, Usuarios o empleados mal
intencionados, Spyware, Adware, Greyware,
Phishing, etc.
5. INTRODUCCION
Aspectos a considerar en la Seguridad de Información.
Desde el punto de vista de los servidores:
Vulnerabilidad de los servidores que darán el servicio
Antivirus instalado y actualizado en los servidores que darán el
servicio
Parches de seguridad evaluados e instalados según corresponda en
los servidores que darán el servicio
Desde el punto de vista de la transferencia de información:
Encriptación de la comunicación entre la organización y la empresa
prestadora de servicios
Desde el punto de la continuidad operacional:
Servidores de respaldo
Máquina especializadas de respaldo
Site de respaldo
Pruebas de contingencia.
6.
7. SEGURIDAD DE DATOS E INFORMACION
Confidencialidad, Integridad y Disponibilidad
Virus computacionales
Autentificación y autorización de acceso
SEGURIDAD DE RED
Niveles de seguridad
Nivel D1
Nivel C1 y C2
Nivel B1, B2 y B3
Nivel A
8. NIVEL DE SEGURIDAD D1
El nivel D1 es la forma mas baja de seguridad. Esta
norma establece que el sistema entero no es confiable.
No se dispone de protección para el hardware; el
sistema operativo se compromete fácilmente y no existe
autentificación respecto de los usuarios y los derechos a
tener acceso a la información almacenada en la
computadora. Este nivel de seguridad por lo general se
refiere a los sistemas operativos como MS-DOS, MS
Windows y el Sistema 7.x de Apple Mcintosh.
Estos sistemas operativos no distinguen entre los
usuarios y no tienen definido ningún método para
determinar quien esta en el teclado. Así mismo, no
tienen ningún control con respecto a la información a la
que se puede tener acceso en las unidades de disco duro
de la computadora.
9. NIVEL DE SEGURIDAD C
Nivel C1
El nivel C1, sistema de protección de seguridad
discrecional, se refiere a la seguridad disponible en un
sistema Unix típico. Existe cierto nivel de protección
para el hardware, ya que éste no puede comprometerse
fácilmente, aunque es posible. Los usuarios deben
identificarse ante el sistema mediante su login y su
contraseña. Se emplea esta combinación para
determinar los derechos de acceso a programas e
información que tiene cada usuario.
10. NIVEL DE SEGURIDAD C
Nivel C2
El segundo subnivel, C2, esta diseñado para ayudar a
resolver los problemas anteriores. Además de las
funciones del C1, el nivel C2 cuenta con características
adicionales que crean un ambiente de acceso controlado.
Este ambiente tiene la capacidad de restringir aun más
el que los usuarios, ejecuten ciertos comandos o tengan
acceso a ciertos archivos, con base no sólo en los
permisos, sino también en los niveles de autorización.
Además, este nivel de seguridad requiere que se audite
al sistema, lo cual implica registrar una auditoría por
cada acción que ocurra en el sistema.
11. NIVEL DE SEGURIDAD B
Nivel B1
El nivel de seguridad B consta de tres niveles. El nivel B1
llamado Protección de Seguridad Etiquetada, es el primer
nivel con soporte para seguridad de multinivel, como el
secreto y el ultrasecreto. En este nivel se establece que el
dueño del archivo no puede modificar los permisos de un
objeto que esta bajo control de acceso obligatorio.
Nivel B2
El nivel B2, conocido como Protección Estructurada,
requiere que todos los objetos estén etiquetados. Los
dispositivos como discos, cintas y terminales pueden tener
asignado uno o varios niveles de seguridad. Este es el
primer nivel en el que se aborda el problema de la
comunicación de un objeto con otro que se encuentra en un
nivel de seguridad inferior.
12. NIVEL DE SEGURIDAD B
Nivel B3
El nivel B3 llamado de Dominios de Seguridad,
refuerza los dominios con la instalación de hardware.
Por ejemplo, se utiliza hardware de manejo de memoria
para proteger el dominio de seguridad contra accesos no
autorizados y modificaciones de objetos en diferentes
dominios de seguridad. Este nivel requiere también que
la terminal del usuario este conectada al sistema a través
de una ruta de acceso confiable.
13. NIVEL DE SEGURIDAD A
El nivel A, conocido como de Diseño Verificado,
constituye actualmente el nivel de seguridad validada
más alto en todo el Libro Naranja de la Unión
Internacional de Telecomunicaciones (ITU – organismo
regulador de las telecomunicaciones), entre las distintas
administraciones y empresas operadoras.. Cuenta con
un proceso escrito de diseño, control y verificación.
Para alcanzar este nivel de seguridad, deben incluirse
todos los componentes de los niveles inferiores; el
diseño debe verificarse matemáticamente, y debe
realizarse un análisis de los canales cubiertos y de
distribución confiable. La distribución confiable
significa que el hardware y el software hayan estado
protegidos durante su traslado para evitar violaciones de
los sistemas de seguridad.
14. COMPONENTES DE SEGURIDAD
Políticas de seguridad
El archivo Pasword
El archivo Group
Caducidad y control de contraseña
Vándalos y contraseñas
OTP (sistema de contraseña usada una sola vez)
Seguridad C2 y la Base de Computo Confiable
La equivalencia de red
Comprensión de los permisos
Exploración de los métodos de encripción de datos
Autentificación Kerberos
Mecanismos adicionales
15. FIREWALL PARA EL ACCESO A INTERNET
SERVIDOR
Red Ethernet
MODEM
RUTEADOR
SELECCION
SWITCH
FIREWALL
22. 1.- POLITICAS DE SEGURIDAD PARA EL
CUMPLIMIENTO DE LOS USUARIOS DE
COMPUTADORAS
a.- El usuario al tener a su cargo una computadora, es el único
responsable de la información almacenada y del uso que se de a la
misma.
b.- La clave de acceso al computador o a las aplicaciones
informáticas, son de uso exclusivo del usuario que tiene a cargo de la
computadora y el uso inadecuado será de su exclusiva
responsabilidad.
c.- La información o documentos calificados serán elaborados y
almacenados en medios magnéticos u ópticos (cintas, diskettes, CD’s,
Memoria Flash), correctamente identificados, etiquetados y marcados
los medios tal como se realiza con los documentos de este tipo y
custodiado con las debidas seguridades físicas (Cajas fuertes, chapas,
candados, etc.).
d.- Por lo especificado en el literal anterior, se prohíbe guardar en el
disco duro del computador información o documentos que tengan la
calificación de secretísimo, secreto y reservado.
23. 2.- POLITICAS DE SEGURIDAD PARA EL
CUMPLIMIENTO DE LOS ORGANISMOS DE
INFORMATICA
a.- Políticas de seguridad administrativa.
1) La información generada a través de computadoras
deberá someterse a las normas y disposiciones legales
(reglamentación institucional).
2) En su nivel son responsables de investigar, desarrollar y
difundir las medidas de seguridad informática.
3) En su nivel son responsables de supervisar y controlar el
cumplimiento de las políticas de seguridad.
4) En la red Intranet e Internet, se adoptarán las acciones y
medidas necesarias para contrarrestar el espionaje
cibernético (hackers - crackers).
24. 2.- POLITICAS DE SEGURIDAD PARA EL
CUMPLIMIENTO DE LOS ORGANISMOS DE
INFORMATICA
b.- Políticas de seguridad lógica.
1) Todos las Entidades utilizarán el sistema de detección de
virus informáticos corporativo definidos.
2) Proteger la información de los sistemas informáticos
mediante el uso de claves compuestas de letras y números
de mínimo 8 caracteres.
3) Disponer de un registro de control de accesos a los
computadores y sistemas informáticos.
4) Utilizar la información mediante niveles de acceso:
administradores, directivos, usuarios, desarrolladores.
25. 2.- POLITICAS DE SEGURIDAD PARA EL
CUMPLIMIENTO DE LOS ORGANISMOS DE
INFORMATICA
c.- Políticas de seguridad para el personal
1) Realizar charlas y seminarios de conocimiento sobre
seguridad informática, a fin de familiarizar, indicar los riesgos y
perjuicios relacionados con las violaciones de seguridad, es
decir enseñar el porqué existen y en que consisten las políticas
de seguridad.
2) En su nivel, instruir, entrenar y especializar al personal en
seguridad informática e incorporar en los planes de estudio, a
fin de concienciar y exigir una adecuada disciplina de
seguridad.
3) Disgregar funciones y responsabilidades mediante la
transferencia del conocimiento y asignar tareas de acuerdo al
grado de responsabilidad de la seguridad informática.
26. 2.- POLITICAS DE SEGURIDAD PARA EL
CUMPLIMIENTO DE LOS ORGANISMOS DE
INFORMATICA
d.- Políticas de seguridad física.
1) Contar con un sistema de control físico para el
acceso a las instalaciones informáticas.
2) Disponer de bibliotecas adecuadas para el
almacenamiento de archivos de documentos y
respaldos de información.
3) Mantener actualizado el Plan de Contingencia.
4) Revisión periódica de equipos de protección.
27. 2.- POLITICAS DE SEGURIDAD PARA EL
CUMPLIMIENTO DE LOS ORGANISMOS DE
INFORMATICA
e.- Políticas de seguridad en la comunicación de datos.
1) La administración de la Seguridad de la Red
Intranet e Internet estará a cargo de la Unidad
Informática.
2) Proteger la red de datos de accesos no autorizados.
3) Las comunicaciones y sistemas operativos de red
deben ser seguros de acuerdo a estándares
internacionales.
4) El acceso de usuarios locales y externos estarán
protegidos por un firewall - VPN, IDS.
28. 3.- POLITICAS DE SEGURIDAD PARA PALIAR
LOS ATAQUES INTERNOS
1) Emplear estrategias completas e integrales, que
enfaticen sistemas de protección múltiple. Esto debe
incluir la instalación de antivirus, firewalls, sistemas de
protección y detección de intrusos en las estaciones de
trabajo.
2) Si los códigos maliciosos u otras amenazas atacan a uno
o más servicios de redes, deshabilite o bloquee el acceso
a estos servicios hasta que se aplique un parche.
3) Actualizar siempre los niveles de parche, especialmente
en los computadores que albergan servicios públicos y a
los que se tiene acceso a través del firewall, como los
servicios http, FTP, email y DNS.
29. 3.- POLITICAS DE SEGURIDAD PARA PALIAR
LOS ATAQUES INTERNOS
4) Considerar las implementaciones de soluciones de
cumplimiento en la red que ayuden a mantener a los
usuarios móviles infectados fuera de la red (y desifectarlos
antes de que se reintegren).
5) Implementar una política de contraseña eficaz.
6) Configurar los servidores de correo para bloquear o
eliminar el correo electrónico que contiene los archivos
adjuntos que se usan frecuentemente para propagar virus,
como los archivos de extensión *.VBS, *.BAT, *.EXE, *.PIF,
*.SCR.
7) Aislar los computadores infectados para impedir riesgos de
mayor infección en la organización. Realizar un análisis
forense y recuperar los computadores con medios
magnéticos confiables.
30. 3.- POLITICAS DE SEGURIDAD PARA PALIAR
LOS ATAQUES INTERNOS
8) Entrenar a los usuarios finales para que no abran archivos
adjuntos a menos que vengan de una fuente confiable y
conocida, y para que no ejecuten software descargado de
Internet a menos que haya sido explorado previamente en
busca de virus.
9) Implantar procedimientos de respuesta a emergencias, que
incluyan una solución de copias de respaldo y recuperación
para obtener información perdida o en peligro, en caso de
un ataque exitoso o pérdida catastrófica de la información.
10) Educar a la alta dirección sobre las necesidades
presupuestarias para la seguridad.
11) Probar la seguridad para garantizar que se tiene controles
adecuados.
31. 3.- POLITICAS DE SEGURIDAD PARA PALIAR
LOS ATAQUES INTERNOS
12) Estar alerta de que los riesgos de seguridad pueden
instalarse de forma automática en las computadoras con la
utilización de programas para compartir archivos,
descargas gratuitas, software gratuito y versiones de
software compartido. Al hacer clic en ligar y/o archivos vía
mensajeros instantáneos podría exponer las computadoras
a un riesgo innecesario. Asegúrese de que sólo las
aplicaciones aprobadas por la organización están
instaladas en el computador de escritorio.
32.
33. ATAQUES
ATAQUES
SUPLANTACIÓN DE
PERSONALIDAD
INTERCEPCIÓN DEL
CONTENIDO
MODIFICACIÓN DEL
CONTENIDO
NEGACIÓN DEL
SERVICIO
34. PROTOCOLOS DE SEGURIDAD
Un protocolo de seguridad es la parte visible de una
aplicación, es el conjunto de programas y actividades
programadas que cumplen con un objetivo específico
mediante el uso de esquemas de seguridad criptográfica.
Los principales protocolos que sirven para resolver algunos
de los problemas de seguridad como la integridad, la
confidencialidad, la autenticación y el no rechazo, mediante
sus diferentes características, son: SSL ( Secure Sockets
Layer) integrado en un Browser por ejemplo Netscape el cual
muestra un candado en la barra de herramientas cerrado y
también la dirección de Internet cambia de http a https. PGP
que es un protocolo libre ampliamente usado de intercambio
de correo electrónico seguro. Otro conocido y muy
publicitado SET que es un protocolo que permite dar
seguridad en las transacciones por Internet usando tarjeta de
crédito y proporciona seguridad en la conexión de IPsec
Internet a un nivel más bajo.
35. PROTOCOLOS DE SEGURIDAD
Las características de los protocolos se derivan de las
múltiples posibilidades con que se puede romper un sistema,
es decir, robar información, cambiar información, leer
información no autorizada, y todo lo que se considere no
autorizado por los usuarios de una comunicación por red.
La seguridad por Internet se deben de considerar las
siguientes tres partes: seguridad en el browser (Netscape o
Explorer), la seguridad en el Web server (el servidor al cual
nos conectamos) y la seguridad de la conexión.
SSL ( Secure Sockets Layer)
El protocolo SSL es un sistema de seguridad desarrollado por
Netscape en 1994 y utilizado actualmente por la mayoría de
empresas que comercializan a través de Internet. SSL actúa
en la capa de comunicación situada entre el protocolo de la
capa de red (Ej. TCP/IP) y un protocolo de la capa de
aplicación (Ej. HTTP), es como un túnel que protege a toda
la información enviada y recibida.
36. PROTOCOLOS DE SEGURIDAD
HTTPS
Uno de los usos comunes de SSL es el de establecer una
comunicación Web segura entre un browser y un Web Server.
Es aquí donde se usa https que es básicamente http sobre ssl
con un esquema de invocación por medio de url. Es
importante hacer notar que el uso del protocolo https no
impide en caso alguno que se pueda utilizar http, por lo que la
mayoría de los browsers advierten cuando una página tiene
elementos que no son seguros en entornos seguros, como
también advierten cuando se invoca un protocolo distinto al
de la pagina actual (http -> https o https -> http)
37. PROTOCOLOS DE SEGURIDAD
SET (Secure Electronic Transaction)
El estándar SET fue desarrollado en 1995 por Visa y
MasterCard, con la colaboración de gigantes de la
industria del software, como Microsoft, IBM y
Netscape. La gran ventaja de este protocolo es que
ofrece autenticación de todas las partes implicadas (el
cliente, el comerciante y los bancos, emisor y
adquiriente); confidencialidad e integridad, gracias a
técnicas criptográficas robustas, que impiden que el
comerciante acceda a la información de pago
(eliminando así su potencial de fraude) y que el banco
acceda a la información de los pedidos (previniendo
que confeccione perfiles de compra); y sobre todo
gestión del pago, ya que SET gestiona tareas
asociadas a la actividad comercial de gran
importancia, como registro del titular y del
comerciante, autorizaciones y liquidaciones de pagos,
anulaciones, etc.
38. APLICACIONES DE SEGURIDAD
S/MIME, para correo electrónico que firma y
comprueba firmas, permitiendo
comunicaciones de forma segura. Se emplea
en pedidos comerciales por correo.
SSL (Secure Socket Layer), aplicación para el
protocolo HTTP para hacer seguras las
conexiones web. Es decir, se emplea como
elemento de seguridad (HTTPS) para el
comercio electrónico.
SSH.- aplicación para emplear un terminal de
ordenador a distancia, de forma segura.
SET.- aplicación desarrollada por VISA y
MASTERCARD para el pago por medios
electrónicos85.
39. “Cuando se fija una meta, hay que
asegurar que las medidas correctivas
lleven a la meta”
Dr. Deming
FIN