SlideShare uma empresa Scribd logo

Ciberseguridad MIPYMES: Protege tu web y tienda online

Wilson Cardenas
Wilson Cardenas

Este documento describe varias medidas para mejorar la ciberseguridad de las pequeñas y medianas empresas. Explica la importancia de proteger la web y tienda online de una empresa, ya que de ello depende su supervivencia en el entorno digital. Además, recomienda contratar desarrolladores y proveedores de alojamiento web comprometidos con la seguridad, cumplir con la legislación de protección de datos, utilizar comunicaciones y métodos de pago seguros, y adoptar medidas para asegurar el servidor y sistema de gestión de contenidos.

Engenharia
1 de 52
Baixar para ler offline
INICIO GRABACIÓN
CIBERSEGURIDAD MIPYMES TU WEB, ES TU TARJETA DE PRESENTACIÓN PARTE
OBJETIVOS • Concienciar sobre la necesidad de proteger la web, comprendiendo las motivaciones de los ciberdelincuentes. • Describir los pasos a seguir para dotar a una web o una tienda online de un nivel de ciberseguridad aceptable, tanto para el propietario como para el cliente. • Establecer unos requisitos de seguridad en las aplicaciones web, para que los clientes tengan una experiencia digital segura. • Describir las principales ciberamenazas y las recomendaciones que hay que aplicar para reducir el riesgo de que se produzcan. • Conocer como se puede aumentar la confianza de los clientes en la web o en la tienda online, ofreciendo un valor añadido con respecto a la competencia.
1. ¿POR QUÉ PROTEGER MI WEB Y MI TIENDA ONLINE? ¿Porquéquerríanatacar nuestra tienda? • Para robar nuestros datosdeclientes, suscontraseñas, datos de pago, correos electrónicos, ... y utilizarlos, publicarlos o venderlos. • Utilizar nuestro servidor web parasimularserotro negocio fraudulentoo instalarpublicidad engañosa. • Dejar fuerade servicio nuestraweb paradesprestigiarnos. • Utilizar nuestroservidorweb para reivindicar ideas políticas, sociales,… • Robar nuestras contraseñas de acceso a otros sistemas, acceder y utilizarlos para fines maliciosos (spam, distribución de malware, lanzar ataquesdedenegaciónde servicio …)
¿CÓMO NOS PUEDEN ATACAR? VECTORES DE ATAQUE • Las amenazas a nuestra tiendaonline utilizan bien el factor humano bien el fallo tecnológico o una combinación deambos. • En cuanto al factor humano, se aprovechande la ingenuidad o de la buenadisposiciónde las personas paraconseguir lo quequieren. • En cuanto a los fallos tecnológicos (del software o de su configuración), son en muchoscasos fallosconocidos, que no están parcheados o no se protegen correctamente.
¿CÓMO NOS PUEDEN ATACAR? FORMAS DE ATAQUE
FORMAS DE ATAQUE ATAQUES DE INGENIERÍA SOCIAL: ¿SABES IDENTIFICARLOS?
FORMAS DE ATAQUE INGENIERÍA SOCIAL: MENSAJES DE PHISHING Y SPEAR PHISHING
FORMAS DE ATAQUE FALLO TECNOLÓGICO: PHISHING A NUESTRA WEB
FORMAS DE ATAQUE FALLO TECNOLÓGICO: PHISHING A NUESTRA WEB
FORMAS DE ATAQUE FALLO TECNOLÓGICO: INYECCIÓN SQL
FORMAS DE ATAQUE FALLO TECNOLÓGICO: FALSIFICACIÓN – CROSS SITE SCRIPTING (XSS)
FORMAS DE ATAQUE FALLO TECNOLÓGICO O INGENIERÍA SOCIAL: DEFACEMENT
FORMAS DE ATAQUE ATAQUES A NUESTRA IDENTIDAD Y REPUTACIÓN ONLINE
¿QUÉ ES IDENTIDAD DIGITAL Y REPUTACIÓN ONLINE? La identidad digital corporativa puede ser definidacomoel conjuntode la información sobre una empresa expuesta en Internet (datos, imágenes, registros, noticias, comentarios, etc.) queconforma una descripción de dicha organización en el planodigital.
¿QUÉ ES IDENTIDAD DIGITAL Y REPUTACIÓN ONLINE? • la reputación corporativa es el concepto que mide cuál es la valoración que hace el público de una compañía. Esta definición es trasladableal mundo de Internety a la Web Social o Web 2.0, donde aparece la ideade reputaciónonlinecorporativa. • La reputación online puede definirse como la valoración alcanzada por una empresa a través del uso, o mal uso, de las posibilidades que ofrece Internet.
¿CÓMO GESTIONAR NUESTRA IDENTIDAD Y REPUTACIÓN ONLINE? • Para gestionar adecuadamente nuestra identidad y monitorizar nuestra reputación online, debemos teneren cuentaestas situacionesque pueden influir negativamente: • la utilización noconsentidade nuestra marca; • cybersquatting y typosquatting oel registroabusivode nombrededominio (y extorsión); • publicaciones por tercerosde informaciones negativas; • fugade información con repercusiones legales; • suplantaciónde identidad con phishing y pharming (redireccionana páginasquesuplantanal original); • ataquesdedenegación de servicio.
WEBS y TIENDAS ONLINE: LA SEGURIDAD CLAVE PARA LA SUPERVIVENCIA DEL NEGOCIO • La ciberseguridad esclavepara la supervivenciadel negocioen el entornodigital: • Identidad y reputación: nuestra imagen estáen juego. • Generarconfianza: • protegerlas transacciones • respetarla privacidad y los derechosde los consumidores • Evitar fraudeonline, la fugade datos, quedar fuera de servicio, daños de imagen, sanciones legales,…
¿CÓMO GENERAR CONFIANZA? • Cumpliendocon la legislación. • Ofreciendo interfaces de accesoy comunicaciones seguras para autenticacióny transacciones. • Garantizando la confidencialidad de losdatos recibidos. • Manteniendo la disponibilidad de losservicios. • Mostrando nuestro compromiso con laseguridad.
2. CONTRATANDO EL DESARROLLO Y EL ALOJAMIENTO • La selección de proveedores TIC hade hacerse siempre, ademásdecon criterios económicos, decalidad y de funcionalidad, con criteriosde seguridad. • El desarrolladorde nuestrawebo el proveedorde servicios dealojamiento webdeben demostrarnossu compromiso con laseguridad. • Nosotros debemosexigirlo. • La seguridad incluyeaspectos como: • La confidencialidad, integridad y disponibilidad (evitarataques, backup,…) • El control de acceso (quién tieneaccesoaqué) • Aspectos legales (dónde estarán misdatos)
ALOJAMIENTO WEB ¿QUÉ TENEMOS QUE EXIGIR Y COMPROBAR? • Si utilizamos un serviciode alojamientoexterno comprobaremos que los acuerdos/contratos incluyen: • Aspectos relativosa confidencialidad de losdatos • Copias derespaldo • Actualizaciones (parcheado) del software • Interfacesycomunicaciones seguras parael administrador • Auditoríasexternas paraverificarla seguridad de laweb
ALOJAMIENTO WEB ¿QUÉ TENEMOS QUE PREGUNTARLES? • Y si quiero migrar aotro proveedor, ¿cómo volcaré mis contenidos? • ¿Es el servicio escalable? (almacenamientoy anchode banda) • ¿Cómoesel panel de administración o backend?, ¿cómo protegen los accesos lógicos? • Y el servicio técnico, ¿es telefónicoo poremail?, ¿en mi idioma?, y ¿qué horario? • Hacen backups, instalan las actualizaciones, certificados, antivirus,…¿Cómo loverifico? • ¿Cómo podemos monitorizarel servicio (logs)? • ¿En qué país sealojará mi tiendaonline?
DESARROLLO WEB SI NOS HACEN LA WEB, ¿QUÉ TENEMOS QUE COMPROBAR? X • Que se tienen en cuenta los requisitosde seguridad desdeel principio. • Que utilizan prácticas y metodologías de desarrollo seguro (como OWASP y SAMM). • Si auditan el código. • Quedesarrollan en sistemas actualizados. • Que separan entornos de producciónydesarrollo.
MÓDULOS / EXTENSIONES ¿QUÉ TIPOS DE MÓDULOS DE SEGURIDAD PUEDO INCLUIR?
3. ¿CÓMO CUMPLO CON LA LEY?
¿QUÉ BENEFICIOS TIENE CUMPLIR LA LEY? Beneficios de cumplir la ley: • evitaremossanciones; • evitaremos tener problemascon terceros; • generamos confianzaen nuestros clientes; • nuestra imagen mejora.
4. COMUNICACIONES Y MEDIOS DE PAGO ¿SEGUROS? • En nuestra empresa hemos comprado un dominio, tenemos una marca elegante y atractiva. Nuestra tienda online o nuestra web está preparada para publicarse con toda su funcionalidad. Ahora debemos conseguirque nos conozcan yque nos reconozcan. Veremos queesto últimose hacecomprando un CERTIFICADO para nuestro dominio. • Además en Internet, las comunicaciones e intercambios electrónicos que no se protegen adecuadamente pueden ser interceptados y manipulados. Para ello tendremos que CIFRAR las comunicaciones. Tenemos pues que garantizar la seguridad de todas las comunicaciones y en particularde los pagos. Si tenemos una tienda online tendremos queelegir MÉTODOS DE PAGO FIABLES (paraque los compradores confíen en nosotros paracomprar).
¿CÓMO HACEMOS QUE LAS COMUNICACIONES SEAN SEGURAS? CERTIFICADOS • Un certificado se asocia a un dominio web por una Autoridad de Certificación que AUTENTICA que somos quienes decimos ser (aparece un candado en la barra de navegación). Como usuarios debemos saber que los ciberdelincuentes también utilizan webs con certificados por lo que cuando navegamos debemos verificar (en la barra del navegador) que la web tiene certificado y las comunicaciones están cifradas (candadoy HTTPS://) yqueel titulardel certificadoes quien debeser.
¿CÓMO HACEMOS QUE LAS COMUNICACIONES SEAN SEGURAS? NIVELES DE SEGURIDAD PARA LOS CERTIFICADOS Existendos nivelesdeseguridad fundamentalespara loscertificados emitidos porAUTORIDADES DE CERTIFICACIÓN: • SSL sin EV o sin validación extendida: el dominio está certificado, aparece un candadoen la barrade navegación, pero noseverificaque lawebpertenecea una entidad real. • El usuario no recibirá ninguna alerta de que el certificado no es confiable, pero si inspecciona la información deseguridad en su navegadorno podráasegurarquedichodominiopertenecea unaorganizaciónreal. • SSL con EV con validación extendida: el sello de Validación Extendida se obtiene en base a una certificación internacional degestióndecertificadosyseguridad que seexpide, previaauditoría, de las autoridadesde certificación. • El usuario podrá comprobarlo en su la barra de navegación de su navegador pues aparece el nombre de la entidad y el candado en color verde. La autoridad de certificación ha comprobado físicamente, medianteauditoría, quesomos losverdaderospropietariosdeesaweb.
¿CÓMO HACEMOS QUE LAS COMUNICACIONES SEAN SEGURAS? Requisitos de las COMUNICACIONES SEGURAS: • Confidencialidad o privacidad: quesea ilegiblepara terceros. • Integridad: que no se puedacambiarel contenido de lo enviado. • Autenticación: con garantíasde que los participantesson quienes dicen ser. • No repudio: queel destinatario no pueda negarque lo ha recibido
¿CÓMO HACEMOS QUE LAS COMUNICACIONES SEAN SEGURAS?: CIFRADO
¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? En cuanto a la selección de mediosde pago para nuestraweb, tendremos queconsiderar: • Preferiraquellosen los que NO tengamos que tomar datos bancarios ni deautenticaciónde las tarjetasdepagode nuestrosclientes. • Que las comunicaciones hacia nuestros clientes y haciael proveedor utilicen protocolosseguros (SSL). • Queel proveedorde la pasarelaodel TPV virtual cumpla la normativa para mediosde pagoonline (PCI-DSS). • Queofrezcanotrasgarantías parael cliente (devoluciones, seguros,…)
¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? • MEDIOS DE PAGO : • Pago electrónico: • con tarjeta (TPV Virtual) • sin tarjeta (Pago con intermediario) • Transferencia (externo, noes a travésde nuestraweb). • Contrareembolso (noes electrónico).
¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO CON TARJETA
¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO CON TARJETA TiposdeTPVVirtual o PAGO DIRECTO CON TARJETA:
¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO SIN TARJETA
¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO SIN TARJETA
¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO SIN TARJETA
¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO SIN TARJETA
5. ¿CÓMO ASEGURO MI SERVIDOR Y MI CMS?
¿CÓMO PROTEJO MI WEB?: DEBILIDADES Y PRINCIPIOS DE SEGURIDAD
MEDIDAS DE SEGURIDAD PARA EL SERVIDOR • Actualizar el softwarey realizar backups. • Instalar certificados SSL. • Eliminarusuarios pordefecto. • Ocultar información sobre el sistema. • Instalarel servidoren una DMZ (zonadesmilitarizada). • Deshabilitar los servicios y puertosque no se utilicen.
MEDIDAS DE SEGURIDAD PARA EL SERVIDOR • Protegerlocon un cortafuegos, IDS/IPS y contrael malware. • Establecer límites a privilegios de los usuarios. Reducir los permisos de acceso a los archivos y directorios. • Limitarel númerode peticiones concurrentes (evitarataques DoS) quese le pueden realizar. • Monitorizar el usode los recursos yguardar los registros (logs).
MEDIDAS DE SEGURIDAD PARA EL GESTOR DE CONTENIDOS • Actualizar el software del CMS y los complementos. • Realizarbackups y comprobarlos. • Realizar auditorías externas.
MEDIDAS DE SEGURIDAD PARA EL GESTOR DE CONTENIDOS • Deshabilitar los módulos que no se utilicen. • Proteger al administrador (contraseñas fuertes y cambios frecuentes de contraseña, doble factor de autenticación,…). • Utilizarcomunicaciones seguras paraadministradores y usuarios. • Eliminar usuarios pordefecto y el directoriode instalación. • Cambiarel nombre del usuario «admin» y el prefijo de la basede datos. • UtilizarCAPTCHAS en los formularios (evitarspam). • Eliminar metadatos de los documentos e imágenes. • Vigilar los cambios en los contenidos y los accesos al backend.
6. EN LAS OPERACIONES DE CADA DÍA ¿CÓMO GARANTIZO LA SEGURIDAD? OPERACIONES DE CADA DÍA ¿QUÉ DEBO COMPROBAR? • que tenemos copias de seguridad y que sabemos restaurarlas; • que no ha habido modificaciones no controladas de los contenidos; • que no hay fraudes en los pagos/compras; • quién accede al CMS y qué permisos tiene; • que se cambian las contraseñas y que son fuertes (de usuarios yadministradores); • que no hayvariaciones en las analíticas de tráfico SEO (si no hemos hecho una campaña); • que no recibimos opiniones negativas de clientes en redessociales, • que estamos suscritos a los boletines de seguridad de los fabricantes del software que utilizamos (CMS, servidor, etc.)
COMPRAS FRAUDULENTAS ¿CÓMO DETECTAR UNA COMPRA FRAUDULENTA? Si tenemos una tiendaonline, paradetectaruna posible compra fraudulenta debemos estar atentosa las siguientessituaciones: • muchosclientes o muchas tarjetasde crédito con la mismadirecciónde entrega (mula); • varios intentos de compra erróneos en el TPV (con distintas tarjetas) antes de que la operación sea aceptada; • solicitud de envíourgente del pedido; • un gran pedido porpartede un cliente; • un clientede un paísextranjero si no hemos hecho publicidad allí.
7. EN CASO DE DESASTRE ¿QUÉ HAGO? DETECTAR UN ATAQUE ¿CÓMO LO DETECTO? • comprobar la apariencia y funcionalidad de la web; • revisar los sistemas de monitorización yel log de conexiones httpy ftp; • comprobardesdeque IP se han conectado vía FTP; • comprobarel listadode ficheros en buscade cambios: directorios y subdirectorios, permisos, bases de datos, nuevos archivos, etc. • compararel código fuentede la tienda contra copias deseguridad; • comprobarsi hemos recibidoalguna notificación de proveedores de servicios dealojamiento o de un tercero.
RESPUESTA A INCIDENTES ¿Y SI OCURRE LO PEOR? En caso de sufrirun incidentedeciberseguridad queafectea nuestra tienda online o a nuestra web, debemos adoptar las siguientes medias: • poner off-line la tiendao laweby conectar con el proveedor; • obtener una copiade lawebcomprometida (evidencia forense del ataque) y guardar lacadenadecustodia para hacer unadenuncia; • denunciar, aportando las evidencias; • pasarel antivirus, cambiar las contraseñas y restaurarel servicio con unacopiade seguridad; • comprobarsi nuestra páginawebodirección IP está en alguna lista negra y si es así notificarlo al proveedor.
CONTINUIDAD DE NEGOCIO ¿TIENES UN PLAN B? La mejor forma de evitar o sortear los incidentes, y sus consecuencias, es conocer bien en qué estado está nuestraseguridad y hacia dóndequeremosdirigirnos para mejorarla. Paraconseguireste objetivo, debes poneren práctica los siguientesconsejos: • tener un plan B paraactivaren caso dedesastre con un procedimientodeactuación (responsables, teléfonos,…); • disponerdecopias deseguridad, comprobadas yalojadas en un lugarseparado; • contratarun sitio de respaldo (en casode estarsin nuestra web supongagrandes pérdidas para nuestro negocio).
8. ¡SI OFRECES SEGURIDAD, LA RECOMPENSA ES LA CONFIANZA!
FIN DE GRABACIÓN

Recomendados

Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.
Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.
Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.Nely Cardona Flores
 
by: Nely Cardona, Alison Hernandez.
by: Nely Cardona, Alison Hernandez.by: Nely Cardona, Alison Hernandez.
by: Nely Cardona, Alison Hernandez.Nely Cardona Flores
 
Presentación Webinar 31/7: "Generando Confianza en el Canal Online"
Presentación Webinar 31/7: "Generando Confianza en el Canal Online"Presentación Webinar 31/7: "Generando Confianza en el Canal Online"
Presentación Webinar 31/7: "Generando Confianza en el Canal Online"eCommerce Institute
 
Que es Hosting
Que es HostingQue es Hosting
Que es Hostingsac001dark
 
Seguridad del comercio electrónico caja SyA y asistencia ADMIN.pptx
Seguridad del comercio electrónico caja SyA y asistencia ADMIN.pptxSeguridad del comercio electrónico caja SyA y asistencia ADMIN.pptx
Seguridad del comercio electrónico caja SyA y asistencia ADMIN.pptxjoseluiscarrascalpad
 
Presentacion tienda virtual
Presentacion tienda virtualPresentacion tienda virtual
Presentacion tienda virtualfranklindej
 
Presentacion tienda virtual
Presentacion tienda virtualPresentacion tienda virtual
Presentacion tienda virtualfranklindej
 
Comercio electronico1797
Comercio electronico1797Comercio electronico1797
Comercio electronico1797Manuel Riicardo De Avila Vasquez
 

Recomendados

Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.
Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.
Certificados Digitales de Seguridad by:Nely Cardona, Alison Hernandez.Nely Cardona Flores
 
by: Nely Cardona, Alison Hernandez.
by: Nely Cardona, Alison Hernandez.by: Nely Cardona, Alison Hernandez.
by: Nely Cardona, Alison Hernandez.Nely Cardona Flores
 
Presentación Webinar 31/7: "Generando Confianza en el Canal Online"
Presentación Webinar 31/7: "Generando Confianza en el Canal Online"Presentación Webinar 31/7: "Generando Confianza en el Canal Online"
Presentación Webinar 31/7: "Generando Confianza en el Canal Online"eCommerce Institute
 
Que es Hosting
Que es HostingQue es Hosting
Que es Hostingsac001dark
 
Seguridad del comercio electrónico caja SyA y asistencia ADMIN.pptx
Seguridad del comercio electrónico caja SyA y asistencia ADMIN.pptxSeguridad del comercio electrónico caja SyA y asistencia ADMIN.pptx
Seguridad del comercio electrónico caja SyA y asistencia ADMIN.pptxjoseluiscarrascalpad
 
Presentacion tienda virtual
Presentacion tienda virtualPresentacion tienda virtual
Presentacion tienda virtualfranklindej
 
Presentacion tienda virtual
Presentacion tienda virtualPresentacion tienda virtual
Presentacion tienda virtualfranklindej
 
Comercio electronico1797
Comercio electronico1797Comercio electronico1797
Comercio electronico1797Manuel Riicardo De Avila Vasquez
 
SERVICIOS DE.pptx
SERVICIOS DE.pptxSERVICIOS DE.pptx
SERVICIOS DE.pptxGIANCARLOALVIS
 
Comercio electrónico y fraude en la red
Comercio electrónico y fraude en la redComercio electrónico y fraude en la red
Comercio electrónico y fraude en la redtonogf18
 
Investigacion #3.pptx
Investigacion #3.pptxInvestigacion #3.pptx
Investigacion #3.pptxJuanAlvarado683840
 
Trabajo anton,alexyjuan
Trabajo anton,alexyjuanTrabajo anton,alexyjuan
Trabajo anton,alexyjuantonogf18
 
Certificados ssl loidy, katherine
Certificados ssl loidy, katherineCertificados ssl loidy, katherine
Certificados ssl loidy, katherineLoidy Chávez
 
Presentación Sellos CACE 2013
Presentación Sellos CACE 2013Presentación Sellos CACE 2013
Presentación Sellos CACE 2013eCommerce Institute
 
Estrategias de marketing en internet ATICSOFT
Estrategias de marketing en internet ATICSOFTEstrategias de marketing en internet ATICSOFT
Estrategias de marketing en internet ATICSOFTCámara Oficial de Comercio, Industria y Navegación de Castellón
 
Power ser 2
Power ser 2Power ser 2
Power ser 2moriyon
 
Clase 72
Clase 72Clase 72
Clase 72Alan Campoverde
 
Clase 72
Clase 72Clase 72
Clase 72Edsiam
 
Comercio Electronico
Comercio ElectronicoComercio Electronico
Comercio ElectronicoStefRg20
 
Clase Comercio Electrónico
Clase Comercio ElectrónicoClase Comercio Electrónico
Clase Comercio ElectrónicoMayra Morocho Orellana
 
Seguridad Comercio electronico
Seguridad Comercio electronicoSeguridad Comercio electronico
Seguridad Comercio electronicoKleber Loayza
 
Clase 72
Clase 72Clase 72
Clase 72Geovita Aguirre León
 
Seguridad del sitio y pagos
Seguridad del sitio y pagosSeguridad del sitio y pagos
Seguridad del sitio y pagosremyor09
 
Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 eCommerce Institute
 
Tiendas Virtuales
Tiendas VirtualesTiendas Virtuales
Tiendas Virtualesjessica
 
Trab u2 Presentación de la información interactiva
Trab u2 Presentación de la información interactivaTrab u2 Presentación de la información interactiva
Trab u2 Presentación de la información interactivacorporacion unificada nacional
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...WSO2
 
Presentación Sellos eConfianza 2013
Presentación Sellos eConfianza 2013Presentación Sellos eConfianza 2013
Presentación Sellos eConfianza 2013eCommerce Institute
 
sistemas operativos.pptx
sistemas operativos.pptxsistemas operativos.pptx
sistemas operativos.pptxWilson Cardenas
 
ejercicios para practicar muestreo.pptx
ejercicios para practicar muestreo.pptxejercicios para practicar muestreo.pptx
ejercicios para practicar muestreo.pptxWilson Cardenas
 

Mais conteúdo relacionado

Semelhante a Ciberseguridad MIPYMES: Protege tu web y tienda online

Comercio electrónico y fraude en la red
Comercio electrónico y fraude en la redComercio electrónico y fraude en la red
Comercio electrónico y fraude en la redtonogf18
 
Trabajo anton,alexyjuan
Trabajo anton,alexyjuanTrabajo anton,alexyjuan
Trabajo anton,alexyjuantonogf18
 
Certificados ssl loidy, katherine
Certificados ssl loidy, katherineCertificados ssl loidy, katherine
Certificados ssl loidy, katherineLoidy Chávez
 
Power ser 2
Power ser 2Power ser 2
Power ser 2moriyon
 
Clase 72
Clase 72Clase 72
Clase 72Edsiam
 
Comercio Electronico
Comercio ElectronicoComercio Electronico
Comercio ElectronicoStefRg20
 
Seguridad Comercio electronico
Seguridad Comercio electronicoSeguridad Comercio electronico
Seguridad Comercio electronicoKleber Loayza
 
Seguridad del sitio y pagos
Seguridad del sitio y pagosSeguridad del sitio y pagos
Seguridad del sitio y pagosremyor09
 
Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 eCommerce Institute
 
Tiendas Virtuales
Tiendas VirtualesTiendas Virtuales
Tiendas Virtualesjessica
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...WSO2
 
Presentación Sellos eConfianza 2013
Presentación Sellos eConfianza 2013Presentación Sellos eConfianza 2013
Presentación Sellos eConfianza 2013eCommerce Institute
 

Semelhante a Ciberseguridad MIPYMES: Protege tu web y tienda online (20)

SERVICIOS DE.pptx
SERVICIOS DE.pptxSERVICIOS DE.pptx
SERVICIOS DE.pptx
 
Comercio electrónico y fraude en la red
Comercio electrónico y fraude en la redComercio electrónico y fraude en la red
Comercio electrónico y fraude en la red
 
Investigacion #3.pptx
Investigacion #3.pptxInvestigacion #3.pptx
Investigacion #3.pptx
 
Trabajo anton,alexyjuan
Trabajo anton,alexyjuanTrabajo anton,alexyjuan
Trabajo anton,alexyjuan
 
Certificados ssl loidy, katherine
Certificados ssl loidy, katherineCertificados ssl loidy, katherine
Certificados ssl loidy, katherine
 
Presentación Sellos CACE 2013
Presentación Sellos CACE 2013Presentación Sellos CACE 2013
Presentación Sellos CACE 2013
 
Estrategias de marketing en internet ATICSOFT
Estrategias de marketing en internet ATICSOFTEstrategias de marketing en internet ATICSOFT
Estrategias de marketing en internet ATICSOFT
 
Power ser 2
Power ser 2Power ser 2
Power ser 2
 
Clase 72
Clase 72Clase 72
Clase 72
 
Clase 72
Clase 72Clase 72
Clase 72
 
Comercio Electronico
Comercio ElectronicoComercio Electronico
Comercio Electronico
 
Clase Comercio Electrónico
Clase Comercio ElectrónicoClase Comercio Electrónico
Clase Comercio Electrónico
 
Seguridad Comercio electronico
Seguridad Comercio electronicoSeguridad Comercio electronico
Seguridad Comercio electronico
 
Clase 72
Clase 72Clase 72
Clase 72
 
Seguridad del sitio y pagos
Seguridad del sitio y pagosSeguridad del sitio y pagos
Seguridad del sitio y pagos
 
Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015
 
Tiendas Virtuales
Tiendas VirtualesTiendas Virtuales
Tiendas Virtuales
 
Trab u2 Presentación de la información interactiva
Trab u2 Presentación de la información interactivaTrab u2 Presentación de la información interactiva
Trab u2 Presentación de la información interactiva
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
 
Presentación Sellos eConfianza 2013
Presentación Sellos eConfianza 2013Presentación Sellos eConfianza 2013
Presentación Sellos eConfianza 2013
 

Mais de Wilson Cardenas

sistemas operativos.pptx
sistemas operativos.pptxsistemas operativos.pptx
sistemas operativos.pptxWilson Cardenas
 
ejercicios para practicar muestreo.pptx
ejercicios para practicar muestreo.pptxejercicios para practicar muestreo.pptx
ejercicios para practicar muestreo.pptxWilson Cardenas
 
sistemas distribuidos2.pptx
sistemas distribuidos2.pptxsistemas distribuidos2.pptx
sistemas distribuidos2.pptxWilson Cardenas
 
sistemas distribuidos.pptx
sistemas distribuidos.pptxsistemas distribuidos.pptx
sistemas distribuidos.pptxWilson Cardenas
 

Mais de Wilson Cardenas (10)

sistemas operativos.pptx
sistemas operativos.pptxsistemas operativos.pptx
sistemas operativos.pptx
 
ejercicios para practicar muestreo.pptx
ejercicios para practicar muestreo.pptxejercicios para practicar muestreo.pptx
ejercicios para practicar muestreo.pptx
 
SEMANA 6.pptx
SEMANA 6.pptxSEMANA 6.pptx
SEMANA 6.pptx
 
SEMANA 9.pptx
SEMANA 9.pptxSEMANA 9.pptx
SEMANA 9.pptx
 
SEMANA 8.pptx
SEMANA 8.pptxSEMANA 8.pptx
SEMANA 8.pptx
 
sistemas distribuidos2.pptx
sistemas distribuidos2.pptxsistemas distribuidos2.pptx
sistemas distribuidos2.pptx
 
sistemas distribuidos 4
sistemas distribuidos 4sistemas distribuidos 4
sistemas distribuidos 4
 
sistemas distribuidos.pptx
sistemas distribuidos.pptxsistemas distribuidos.pptx
sistemas distribuidos.pptx
 
tipos de seguridad
tipos de seguridadtipos de seguridad
tipos de seguridad
 
seguridad en wifi
seguridad en wifiseguridad en wifi
seguridad en wifi
 

Último

Propositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicacionesPropositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicaciones025ca20
 
clases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfclases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfDanielaVelasquez553560
 
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPSEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPJosLuisFrancoCaldern
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxbingoscarlet
 
PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfalexquispenieto2
 
Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxEverardoRuiz8
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAJAMESDIAZ55
 
Sesión N°2_Curso_Ingeniería_Sanitaria.pdf
Sesión N°2_Curso_Ingeniería_Sanitaria.pdfSesión N°2_Curso_Ingeniería_Sanitaria.pdf
Sesión N°2_Curso_Ingeniería_Sanitaria.pdfannavarrom
 
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASfranzEmersonMAMANIOC
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMarceloQuisbert6
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfmatepura
 
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)ssuser563c56
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfMikkaelNicolae
 
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALCHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALKATHIAMILAGRITOSSANC
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaXjoseantonio01jossed
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacajeremiasnifla
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxEduardoSnchezHernnde5
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdfAnthonyTiclia
 

Último (20)

Propositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicacionesPropositos del comportamiento de fases y aplicaciones
Propositos del comportamiento de fases y aplicaciones
 
clases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfclases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdf
 
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPSEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptx
 
PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdf
 
Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptx
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
 
Sesión N°2_Curso_Ingeniería_Sanitaria.pdf
Sesión N°2_Curso_Ingeniería_Sanitaria.pdfSesión N°2_Curso_Ingeniería_Sanitaria.pdf
Sesión N°2_Curso_Ingeniería_Sanitaria.pdf
 
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principios
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdf
 
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
 
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALCHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdf
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
 
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdfVALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpaca
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptx
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
 

Ciberseguridad MIPYMES: Protege tu web y tienda online

  • 2. CIBERSEGURIDAD MIPYMES TU WEB, ES TU TARJETA DE PRESENTACIÓN PARTE
  • 3. OBJETIVOS • Concienciar sobre la necesidad de proteger la web, comprendiendo las motivaciones de los ciberdelincuentes. • Describir los pasos a seguir para dotar a una web o una tienda online de un nivel de ciberseguridad aceptable, tanto para el propietario como para el cliente. • Establecer unos requisitos de seguridad en las aplicaciones web, para que los clientes tengan una experiencia digital segura. • Describir las principales ciberamenazas y las recomendaciones que hay que aplicar para reducir el riesgo de que se produzcan. • Conocer como se puede aumentar la confianza de los clientes en la web o en la tienda online, ofreciendo un valor añadido con respecto a la competencia.
  • 4. 1. ¿POR QUÉ PROTEGER MI WEB Y MI TIENDA ONLINE? ¿Porquéquerríanatacar nuestra tienda? • Para robar nuestros datosdeclientes, suscontraseñas, datos de pago, correos electrónicos, ... y utilizarlos, publicarlos o venderlos. • Utilizar nuestro servidor web parasimularserotro negocio fraudulentoo instalarpublicidad engañosa. • Dejar fuerade servicio nuestraweb paradesprestigiarnos. • Utilizar nuestroservidorweb para reivindicar ideas políticas, sociales,… • Robar nuestras contraseñas de acceso a otros sistemas, acceder y utilizarlos para fines maliciosos (spam, distribución de malware, lanzar ataquesdedenegaciónde servicio …)
  • 5. ¿CÓMO NOS PUEDEN ATACAR? VECTORES DE ATAQUE • Las amenazas a nuestra tiendaonline utilizan bien el factor humano bien el fallo tecnológico o una combinación deambos. • En cuanto al factor humano, se aprovechande la ingenuidad o de la buenadisposiciónde las personas paraconseguir lo quequieren. • En cuanto a los fallos tecnológicos (del software o de su configuración), son en muchoscasos fallosconocidos, que no están parcheados o no se protegen correctamente.
  • 6. ¿CÓMO NOS PUEDEN ATACAR? FORMAS DE ATAQUE
  • 7. FORMAS DE ATAQUE ATAQUES DE INGENIERÍA SOCIAL: ¿SABES IDENTIFICARLOS?
  • 8. FORMAS DE ATAQUE INGENIERÍA SOCIAL: MENSAJES DE PHISHING Y SPEAR PHISHING
  • 9. FORMAS DE ATAQUE FALLO TECNOLÓGICO: PHISHING A NUESTRA WEB
  • 10. FORMAS DE ATAQUE FALLO TECNOLÓGICO: PHISHING A NUESTRA WEB
  • 12. FORMAS DE ATAQUE FALLO TECNOLÓGICO: FALSIFICACIÓN – CROSS SITE SCRIPTING (XSS)
  • 13. FORMAS DE ATAQUE FALLO TECNOLÓGICO O INGENIERÍA SOCIAL: DEFACEMENT
  • 14. FORMAS DE ATAQUE ATAQUES A NUESTRA IDENTIDAD Y REPUTACIÓN ONLINE
  • 15. ¿QUÉ ES IDENTIDAD DIGITAL Y REPUTACIÓN ONLINE? La identidad digital corporativa puede ser definidacomoel conjuntode la información sobre una empresa expuesta en Internet (datos, imágenes, registros, noticias, comentarios, etc.) queconforma una descripción de dicha organización en el planodigital.
  • 16. ¿QUÉ ES IDENTIDAD DIGITAL Y REPUTACIÓN ONLINE? • la reputación corporativa es el concepto que mide cuál es la valoración que hace el público de una compañía. Esta definición es trasladableal mundo de Internety a la Web Social o Web 2.0, donde aparece la ideade reputaciónonlinecorporativa. • La reputación online puede definirse como la valoración alcanzada por una empresa a través del uso, o mal uso, de las posibilidades que ofrece Internet.
  • 17. ¿CÓMO GESTIONAR NUESTRA IDENTIDAD Y REPUTACIÓN ONLINE? • Para gestionar adecuadamente nuestra identidad y monitorizar nuestra reputación online, debemos teneren cuentaestas situacionesque pueden influir negativamente: • la utilización noconsentidade nuestra marca; • cybersquatting y typosquatting oel registroabusivode nombrededominio (y extorsión); • publicaciones por tercerosde informaciones negativas; • fugade información con repercusiones legales; • suplantaciónde identidad con phishing y pharming (redireccionana páginasquesuplantanal original); • ataquesdedenegación de servicio.
  • 18. WEBS y TIENDAS ONLINE: LA SEGURIDAD CLAVE PARA LA SUPERVIVENCIA DEL NEGOCIO • La ciberseguridad esclavepara la supervivenciadel negocioen el entornodigital: • Identidad y reputación: nuestra imagen estáen juego. • Generarconfianza: • protegerlas transacciones • respetarla privacidad y los derechosde los consumidores • Evitar fraudeonline, la fugade datos, quedar fuera de servicio, daños de imagen, sanciones legales,…
  • 19. ¿CÓMO GENERAR CONFIANZA? • Cumpliendocon la legislación. • Ofreciendo interfaces de accesoy comunicaciones seguras para autenticacióny transacciones. • Garantizando la confidencialidad de losdatos recibidos. • Manteniendo la disponibilidad de losservicios. • Mostrando nuestro compromiso con laseguridad.
  • 20. 2. CONTRATANDO EL DESARROLLO Y EL ALOJAMIENTO • La selección de proveedores TIC hade hacerse siempre, ademásdecon criterios económicos, decalidad y de funcionalidad, con criteriosde seguridad. • El desarrolladorde nuestrawebo el proveedorde servicios dealojamiento webdeben demostrarnossu compromiso con laseguridad. • Nosotros debemosexigirlo. • La seguridad incluyeaspectos como: • La confidencialidad, integridad y disponibilidad (evitarataques, backup,…) • El control de acceso (quién tieneaccesoaqué) • Aspectos legales (dónde estarán misdatos)
  • 21. ALOJAMIENTO WEB ¿QUÉ TENEMOS QUE EXIGIR Y COMPROBAR? • Si utilizamos un serviciode alojamientoexterno comprobaremos que los acuerdos/contratos incluyen: • Aspectos relativosa confidencialidad de losdatos • Copias derespaldo • Actualizaciones (parcheado) del software • Interfacesycomunicaciones seguras parael administrador • Auditoríasexternas paraverificarla seguridad de laweb
  • 22. ALOJAMIENTO WEB ¿QUÉ TENEMOS QUE PREGUNTARLES? • Y si quiero migrar aotro proveedor, ¿cómo volcaré mis contenidos? • ¿Es el servicio escalable? (almacenamientoy anchode banda) • ¿Cómoesel panel de administración o backend?, ¿cómo protegen los accesos lógicos? • Y el servicio técnico, ¿es telefónicoo poremail?, ¿en mi idioma?, y ¿qué horario? • Hacen backups, instalan las actualizaciones, certificados, antivirus,…¿Cómo loverifico? • ¿Cómo podemos monitorizarel servicio (logs)? • ¿En qué país sealojará mi tiendaonline?
  • 23. DESARROLLO WEB SI NOS HACEN LA WEB, ¿QUÉ TENEMOS QUE COMPROBAR? X • Que se tienen en cuenta los requisitosde seguridad desdeel principio. • Que utilizan prácticas y metodologías de desarrollo seguro (como OWASP y SAMM). • Si auditan el código. • Quedesarrollan en sistemas actualizados. • Que separan entornos de producciónydesarrollo.
  • 24. MÓDULOS / EXTENSIONES ¿QUÉ TIPOS DE MÓDULOS DE SEGURIDAD PUEDO INCLUIR?
  • 25. 3. ¿CÓMO CUMPLO CON LA LEY?
  • 26. ¿QUÉ BENEFICIOS TIENE CUMPLIR LA LEY? Beneficios de cumplir la ley: • evitaremossanciones; • evitaremos tener problemascon terceros; • generamos confianzaen nuestros clientes; • nuestra imagen mejora.
  • 27. 4. COMUNICACIONES Y MEDIOS DE PAGO ¿SEGUROS? • En nuestra empresa hemos comprado un dominio, tenemos una marca elegante y atractiva. Nuestra tienda online o nuestra web está preparada para publicarse con toda su funcionalidad. Ahora debemos conseguirque nos conozcan yque nos reconozcan. Veremos queesto últimose hacecomprando un CERTIFICADO para nuestro dominio. • Además en Internet, las comunicaciones e intercambios electrónicos que no se protegen adecuadamente pueden ser interceptados y manipulados. Para ello tendremos que CIFRAR las comunicaciones. Tenemos pues que garantizar la seguridad de todas las comunicaciones y en particularde los pagos. Si tenemos una tienda online tendremos queelegir MÉTODOS DE PAGO FIABLES (paraque los compradores confíen en nosotros paracomprar).
  • 28. ¿CÓMO HACEMOS QUE LAS COMUNICACIONES SEAN SEGURAS? CERTIFICADOS • Un certificado se asocia a un dominio web por una Autoridad de Certificación que AUTENTICA que somos quienes decimos ser (aparece un candado en la barra de navegación). Como usuarios debemos saber que los ciberdelincuentes también utilizan webs con certificados por lo que cuando navegamos debemos verificar (en la barra del navegador) que la web tiene certificado y las comunicaciones están cifradas (candadoy HTTPS://) yqueel titulardel certificadoes quien debeser.
  • 29. ¿CÓMO HACEMOS QUE LAS COMUNICACIONES SEAN SEGURAS? NIVELES DE SEGURIDAD PARA LOS CERTIFICADOS Existendos nivelesdeseguridad fundamentalespara loscertificados emitidos porAUTORIDADES DE CERTIFICACIÓN: • SSL sin EV o sin validación extendida: el dominio está certificado, aparece un candadoen la barrade navegación, pero noseverificaque lawebpertenecea una entidad real. • El usuario no recibirá ninguna alerta de que el certificado no es confiable, pero si inspecciona la información deseguridad en su navegadorno podráasegurarquedichodominiopertenecea unaorganizaciónreal. • SSL con EV con validación extendida: el sello de Validación Extendida se obtiene en base a una certificación internacional degestióndecertificadosyseguridad que seexpide, previaauditoría, de las autoridadesde certificación. • El usuario podrá comprobarlo en su la barra de navegación de su navegador pues aparece el nombre de la entidad y el candado en color verde. La autoridad de certificación ha comprobado físicamente, medianteauditoría, quesomos losverdaderospropietariosdeesaweb.
  • 30. ¿CÓMO HACEMOS QUE LAS COMUNICACIONES SEAN SEGURAS? Requisitos de las COMUNICACIONES SEGURAS: • Confidencialidad o privacidad: quesea ilegiblepara terceros. • Integridad: que no se puedacambiarel contenido de lo enviado. • Autenticación: con garantíasde que los participantesson quienes dicen ser. • No repudio: queel destinatario no pueda negarque lo ha recibido
  • 31. ¿CÓMO HACEMOS QUE LAS COMUNICACIONES SEAN SEGURAS?: CIFRADO
  • 32. ¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? En cuanto a la selección de mediosde pago para nuestraweb, tendremos queconsiderar: • Preferiraquellosen los que NO tengamos que tomar datos bancarios ni deautenticaciónde las tarjetasdepagode nuestrosclientes. • Que las comunicaciones hacia nuestros clientes y haciael proveedor utilicen protocolosseguros (SSL). • Queel proveedorde la pasarelaodel TPV virtual cumpla la normativa para mediosde pagoonline (PCI-DSS). • Queofrezcanotrasgarantías parael cliente (devoluciones, seguros,…)
  • 33. ¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? • MEDIOS DE PAGO : • Pago electrónico: • con tarjeta (TPV Virtual) • sin tarjeta (Pago con intermediario) • Transferencia (externo, noes a travésde nuestraweb). • Contrareembolso (noes electrónico).
  • 34. ¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO CON TARJETA
  • 35. ¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO CON TARJETA TiposdeTPVVirtual o PAGO DIRECTO CON TARJETA:
  • 36. ¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO SIN TARJETA
  • 37. ¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO SIN TARJETA
  • 38. ¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO SIN TARJETA
  • 39. ¿CÓMO SELECCIONAMOS LOS MEDIOS DE PAGO? PAGO ELECTRÓNICO SIN TARJETA
  • 40. 5. ¿CÓMO ASEGURO MI SERVIDOR Y MI CMS?
  • 41. ¿CÓMO PROTEJO MI WEB?: DEBILIDADES Y PRINCIPIOS DE SEGURIDAD
  • 42. MEDIDAS DE SEGURIDAD PARA EL SERVIDOR • Actualizar el softwarey realizar backups. • Instalar certificados SSL. • Eliminarusuarios pordefecto. • Ocultar información sobre el sistema. • Instalarel servidoren una DMZ (zonadesmilitarizada). • Deshabilitar los servicios y puertosque no se utilicen.
  • 43. MEDIDAS DE SEGURIDAD PARA EL SERVIDOR • Protegerlocon un cortafuegos, IDS/IPS y contrael malware. • Establecer límites a privilegios de los usuarios. Reducir los permisos de acceso a los archivos y directorios. • Limitarel númerode peticiones concurrentes (evitarataques DoS) quese le pueden realizar. • Monitorizar el usode los recursos yguardar los registros (logs).
  • 44. MEDIDAS DE SEGURIDAD PARA EL GESTOR DE CONTENIDOS • Actualizar el software del CMS y los complementos. • Realizarbackups y comprobarlos. • Realizar auditorías externas.
  • 45. MEDIDAS DE SEGURIDAD PARA EL GESTOR DE CONTENIDOS • Deshabilitar los módulos que no se utilicen. • Proteger al administrador (contraseñas fuertes y cambios frecuentes de contraseña, doble factor de autenticación,…). • Utilizarcomunicaciones seguras paraadministradores y usuarios. • Eliminar usuarios pordefecto y el directoriode instalación. • Cambiarel nombre del usuario «admin» y el prefijo de la basede datos. • UtilizarCAPTCHAS en los formularios (evitarspam). • Eliminar metadatos de los documentos e imágenes. • Vigilar los cambios en los contenidos y los accesos al backend.
  • 46. 6. EN LAS OPERACIONES DE CADA DÍA ¿CÓMO GARANTIZO LA SEGURIDAD? OPERACIONES DE CADA DÍA ¿QUÉ DEBO COMPROBAR? • que tenemos copias de seguridad y que sabemos restaurarlas; • que no ha habido modificaciones no controladas de los contenidos; • que no hay fraudes en los pagos/compras; • quién accede al CMS y qué permisos tiene; • que se cambian las contraseñas y que son fuertes (de usuarios yadministradores); • que no hayvariaciones en las analíticas de tráfico SEO (si no hemos hecho una campaña); • que no recibimos opiniones negativas de clientes en redessociales, • que estamos suscritos a los boletines de seguridad de los fabricantes del software que utilizamos (CMS, servidor, etc.)
  • 47. COMPRAS FRAUDULENTAS ¿CÓMO DETECTAR UNA COMPRA FRAUDULENTA? Si tenemos una tiendaonline, paradetectaruna posible compra fraudulenta debemos estar atentosa las siguientessituaciones: • muchosclientes o muchas tarjetasde crédito con la mismadirecciónde entrega (mula); • varios intentos de compra erróneos en el TPV (con distintas tarjetas) antes de que la operación sea aceptada; • solicitud de envíourgente del pedido; • un gran pedido porpartede un cliente; • un clientede un paísextranjero si no hemos hecho publicidad allí.
  • 48. 7. EN CASO DE DESASTRE ¿QUÉ HAGO? DETECTAR UN ATAQUE ¿CÓMO LO DETECTO? • comprobar la apariencia y funcionalidad de la web; • revisar los sistemas de monitorización yel log de conexiones httpy ftp; • comprobardesdeque IP se han conectado vía FTP; • comprobarel listadode ficheros en buscade cambios: directorios y subdirectorios, permisos, bases de datos, nuevos archivos, etc. • compararel código fuentede la tienda contra copias deseguridad; • comprobarsi hemos recibidoalguna notificación de proveedores de servicios dealojamiento o de un tercero.
  • 49. RESPUESTA A INCIDENTES ¿Y SI OCURRE LO PEOR? En caso de sufrirun incidentedeciberseguridad queafectea nuestra tienda online o a nuestra web, debemos adoptar las siguientes medias: • poner off-line la tiendao laweby conectar con el proveedor; • obtener una copiade lawebcomprometida (evidencia forense del ataque) y guardar lacadenadecustodia para hacer unadenuncia; • denunciar, aportando las evidencias; • pasarel antivirus, cambiar las contraseñas y restaurarel servicio con unacopiade seguridad; • comprobarsi nuestra páginawebodirección IP está en alguna lista negra y si es así notificarlo al proveedor.
  • 50. CONTINUIDAD DE NEGOCIO ¿TIENES UN PLAN B? La mejor forma de evitar o sortear los incidentes, y sus consecuencias, es conocer bien en qué estado está nuestraseguridad y hacia dóndequeremosdirigirnos para mejorarla. Paraconseguireste objetivo, debes poneren práctica los siguientesconsejos: • tener un plan B paraactivaren caso dedesastre con un procedimientodeactuación (responsables, teléfonos,…); • disponerdecopias deseguridad, comprobadas yalojadas en un lugarseparado; • contratarun sitio de respaldo (en casode estarsin nuestra web supongagrandes pérdidas para nuestro negocio).
  • 51. 8. ¡SI OFRECES SEGURIDAD, LA RECOMPENSA ES LA CONFIANZA!