comercio elec y seguridad informatica

COMERCIOCOMERCIOELECTONICO-ELECTONICO-

SEGURIDAD SEGURIDAD INFORMATICAINFORMATICA

¡Bienvenido al mundo del comercio electrónico y de los negocioselectrónicos en línea, en tiempo real y justo a tiempo,

todo ello a través de Internet!

A menos que la computadora que sé este tratando de proteger se encuentre en una habitación cerrada, en la que se controle el acceso y no existan conexiones con el exterior, la computadora estará en peligro.Toda la información procesada a través de un computador, es susceptible de ser interceptada o accesada, con fines de copiado, adulteración o borrado, violentando las normas de manejo de información propietaria; por lo que es necesario tomar todas las medidas precautelatorias para obtener privacidad e integridad de la información y autentificación efectiva para el acceso a los datos.

PRELIMINARESPRELIMINARES

En nuestros días existen especialistas persistentes, que desentrañan los sistemas computacionales y averiguan como funcionan. Una gran mayoría de quienes se dedican a esta actividad son considerados genios de la computación (Hackers). Estos, dedicados a CAUSAR DAÑO se les conoce como Crackers. Los vándalos quieren tener acceso a los sistemas por una u otra de las siguientes razones: sólo por diversión; sólo para mirar; para robar recursos del sistema, como tiempo de CPU o para robar secretos de defensa; y, otra información propietaria.

PRELIMINARESPRELIMINARES

INTRODUCCION

En materia de seguridad de la información existen muchas amenazas tales como: Virus, Troyanos, Backdoors, Gusanos, Hackers, Crackers, Phreaks, Virtual Gangs, Navegación a sitios web de hackers y sitios improductivos, Tráfico expuesto a ser espiado en Internet, Passwords débiles, Ataques, SPAM, Usuarios o empleados mal intencionados, Spyware, Adware, Greyware, Phishing, etc.

INTRODUCCION

Aspectos a considerar en la Seguridad de Información.

Desde el punto de vista de los servidores:Vulnerabilidad de los servidores que darán el servicioAntivirus instalado y actualizado en los servidores que darán el servicioParches de seguridad evaluados e instalados según corresponda en los servidores que darán el servicioDesde el punto de vista de la transferencia de información:Encriptación de la comunicación entre la organización y la empresa prestadora de servicios Desde el punto de la continuidad operacional:Servidores de respaldoMáquina especializadas de respaldoSite de respaldoPruebas de contingencia.

SEGURIDAD DE DATOS E INFORMACIONSEGURIDAD DE DATOS E INFORMACIONConfidencialidad, Integridad y DisponibilidadVirus computacionales

Autentificación y autorización de acceso

SEGURIDAD DE REDSEGURIDAD DE RED

Niveles de seguridad Nivel D1 Nivel C1 y C2 Nivel B1, B2 y B3 Nivel A

NIVEL DE SEGURIDAD D1

El nivel D1 es la forma mas baja de seguridad. Esta norma establece que el sistema entero no es confiable. No se dispone de protección para el hardware; el sistema operativo se compromete fácilmente y no existe autentificación respecto de los usuarios y los derechos a tener acceso a la información almacenada en la computadora. Este nivel de seguridad por lo general se refiere a los sistemas operativos como MS-DOS, MS Windows y el Sistema 7.x de Apple Mcintosh.Estos sistemas operativos no distinguen entre los usuarios y no tienen definido ningún método para determinar quien esta en el teclado. Así mismo, no tienen ningún control con respecto a la información a la que se puede tener acceso en las unidades de disco duro de la computadora.

NIVEL DE SEGURIDAD C

Nivel C1El nivel C1, sistema de protección de seguridad discrecional, se refiere a la seguridad disponible en un sistema Unix típico. Existe cierto nivel de protección para el hardware, ya que éste no puede comprometerse fácilmente, aunque es posible. Los usuarios deben identificarse ante el sistema mediante su login y su contraseña. Se emplea esta combinación para determinar los derechos de acceso a programas e información que tiene cada usuario.

NIVEL DE SEGURIDAD C

Nivel C2El segundo subnivel, C2, esta diseñado para ayudar a resolver los problemas anteriores. Además de las funciones del C1, el nivel C2 cuenta con características adicionales que crean un ambiente de acceso controlado. Este ambiente tiene la capacidad de restringir aun más el que los usuarios, ejecuten ciertos comandos o tengan acceso a ciertos archivos, con base no sólo en los permisos, sino también en los niveles de autorización. Además, este nivel de seguridad requiere que se audite al sistema, lo cual implica registrar una auditoría por cada acción que ocurra en el sistema.

NIVEL DE SEGURIDAD B

Nivel B1El nivel de seguridad B consta de tres niveles. El nivel B1 llamado Protección de Seguridad Etiquetada, es el primer nivel con soporte para seguridad de multinivel, como el secreto y el ultrasecreto. En este nivel se establece que el dueño del archivo no puede modificar los permisos de un objeto que esta bajo control de acceso obligatorio.Nivel B2El nivel B2, conocido como Protección Estructurada, requiere que todos los objetos estén etiquetados. Los dispositivos como discos, cintas y terminales pueden tener asignado uno o varios niveles de seguridad. Este es el primer nivel en el que se aborda el problema de la comunicación de un objeto con otro que se encuentra en un nivel de seguridad inferior.

NIVEL DE SEGURIDAD B

Nivel B3El nivel B3 llamado de Dominios de Seguridad, refuerza los dominios con la instalación de hardware. Por ejemplo, se utiliza hardware de manejo de memoria para proteger el dominio de seguridad contra accesos no autorizados y modificaciones de objetos en diferentes dominios de seguridad. Este nivel requiere también que la terminal del usuario este conectada al sistema a través de una ruta de acceso confiable.

NIVEL DE SEGURIDAD A

El nivel A, conocido como de Diseño Verificado, constituye actualmente el nivel de seguridad validada más alto en todo el Libro Naranja de la Unión Internacional de Telecomunicaciones (ITU – organismo regulador de las telecomunicaciones), entre las distintas administraciones y empresas operadoras.. Cuenta con un proceso escrito de diseño, control y verificación. Para alcanzar este nivel de seguridad, deben incluirse todos los componentes de los niveles inferiores; el diseño debe verificarse matemáticamente, y debe realizarse un análisis de los canales cubiertos y de distribución confiable. La distribución confiable significa que el hardware y el software hayan estado protegidos durante su traslado para evitar violaciones de los sistemas de seguridad.

Políticas de seguridadEl archivo PaswordEl archivo GroupCaducidad y control de contraseñaVándalos y contraseñasOTP (sistema de contraseña usada una sola vez)Seguridad C2 y la Base de Computo ConfiableLa equivalencia de redComprensión de los permisosExploración de los métodos de encripción de datosAutentificación KerberosMecanismos adicionales

COMPONENTES DE SEGURIDAD

SERVIDOR

Red Ethernet

SWITCH

FIREWALL

RUTEADORSELECCION

MODEM

FIREWALL PARA EL ACCESO A INTERNET

SOLUCION VPN PARA EL ACCESO A INTERNET

SOLUCION DE SEGURIDAD802.1x

SOLUCION DE MONITOREOY PREVENCION

TUNELES VPN

SEGURIDAD INTEGRADA

SOLUCION DE SEGURIDADPARA EL COMERCIO ELECTRONICO

a.- El usuario al tener a su cargo una computadora, es el único responsable de la información almacenada y del uso que se de a la misma. b.- La clave de acceso al computador o a las aplicaciones informáticas, son de uso exclusivo del usuario que tiene a cargo de la computadora y el uso inadecuado será de su exclusiva responsabilidad. c.- La información o documentos calificados serán elaborados y almacenados en medios magnéticos u ópticos (cintas, diskettes, CD’s, Memoria Flash), correctamente identificados, etiquetados y marcados los medios tal como se realiza con los documentos de este tipo y custodiado con las debidas seguridades físicas (Cajas fuertes, chapas, candados, etc.).d.- Por lo especificado en el literal anterior, se prohíbe guardar en el disco duro del computador información o documentos que tengan la calificación de secretísimo, secreto y reservado.

1.- POLITICAS DE SEGURIDAD PARA EL CUMPLIMIENTO DE LOS USUARIOS DE

COMPUTADORAS

a.- Políticas de seguridad administrativa.

1) La información generada a través de computadoras deberá someterse a las normas y disposiciones legales (reglamentación institucional).

2) En su nivel son responsables de investigar, desarrollar y difundir las medidas de seguridad informática.

3) En su nivel son responsables de supervisar y controlar el cumplimiento de las políticas de seguridad.

4) En la red Intranet e Internet, se adoptarán las acciones y medidas necesarias para contrarrestar el espionaje cibernético (hackers - crackers).

2.- POLITICAS DE SEGURIDAD PARA EL CUMPLIMIENTO DE LOS ORGANISMOS DE

INFORMATICA

b.- Políticas de seguridad lógica.

1) Todos las Entidades utilizarán el sistema de detección de virus informáticos corporativo definidos.

2) Proteger la información de los sistemas informáticos mediante el uso de claves compuestas de letras y números de mínimo 8 caracteres.

3) Disponer de un registro de control de accesos a los computadores y sistemas informáticos.

4) Utilizar la información mediante niveles de acceso: administradores, directivos, usuarios, desarrolladores.


INFORMATICA

c.- Políticas de seguridad para el personal1) Realizar charlas y seminarios de conocimiento sobre seguridad informática, a fin de familiarizar, indicar los riesgos y perjuicios relacionados con las violaciones de seguridad, es decir enseñar el porqué existen y en que consisten las políticas de seguridad.2) En su nivel, instruir, entrenar y especializar al personal en seguridad informática e incorporar en los planes de estudio, a fin de concienciar y exigir una adecuada disciplina de seguridad.3) Disgregar funciones y responsabilidades mediante la transferencia del conocimiento y asignar tareas de acuerdo al grado de responsabilidad de la seguridad informática.


INFORMATICA

d.- Políticas de seguridad física.

1) Contar con un sistema de control físico para el acceso a las instalaciones informáticas.

2) Disponer de bibliotecas adecuadas para el almacenamiento de archivos de documentos y respaldos de información.

3) Mantener actualizado el Plan de Contingencia.

4) Revisión periódica de equipos de protección.


INFORMATICA

e.- Políticas de seguridad en la comunicación de datos.1) La administración de la Seguridad de la Red Intranet e Internet estará a cargo de la Unidad Informática.2) Proteger la red de datos de accesos no autorizados.3) Las comunicaciones y sistemas operativos de red deben ser seguros de acuerdo a estándares internacionales.4) El acceso de usuarios locales y externos estarán protegidos por un firewall - VPN, IDS.


INFORMATICA

1) Emplear estrategias completas e integrales, que enfaticen sistemas de protección múltiple. Esto debe incluir la instalación de antivirus, firewalls, sistemas de protección y detección de intrusos en las estaciones de trabajo.

2) Si los códigos maliciosos u otras amenazas atacan a uno o más servicios de redes, deshabilite o bloquee el acceso a estos servicios hasta que se aplique un parche.

3) Actualizar siempre los niveles de parche, especialmente en los computadores que albergan servicios públicos y a los que se tiene acceso a través del firewall, como los servicios http, FTP, email y DNS.

3.- POLITICAS DE SEGURIDAD PARA PALIAR LOS ATAQUES INTERNOS

4) Considerar las implementaciones de soluciones de cumplimiento en la red que ayuden a mantener a los usuarios móviles infectados fuera de la red (y desifectarlos antes de que se reintegren).

5) Implementar una política de contraseña eficaz.6) Configurar los servidores de correo para bloquear o

eliminar el correo electrónico que contiene los archivos adjuntos que se usan frecuentemente para propagar virus, como los archivos de extensión *.VBS, *.BAT, *.EXE, *.PIF, *.SCR.

7) Aislar los computadores infectados para impedir riesgos de mayor infección en la organización. Realizar un análisis forense y recuperar los computadores con medios magnéticos confiables.


8) Entrenar a los usuarios finales para que no abran archivos adjuntos a menos que vengan de una fuente confiable y conocida, y para que no ejecuten software descargado de Internet a menos que haya sido explorado previamente en busca de virus.

9) Implantar procedimientos de respuesta a emergencias, que incluyan una solución de copias de respaldo y recuperación para obtener información perdida o en peligro, en caso de un ataque exitoso o pérdida catastrófica de la información.

10) Educar a la alta dirección sobre las necesidades presupuestarias para la seguridad.

11) Probar la seguridad para garantizar que se tiene controles adecuados.


12) Estar alerta de que los riesgos de seguridad pueden instalarse de forma automática en las computadoras con la utilización de programas para compartir archivos, descargas gratuitas, software gratuito y versiones de software compartido. Al hacer clic en ligar y/o archivos vía mensajeros instantáneos podría exponer las computadoras a un riesgo innecesario. Asegúrese de que sólo las aplicaciones aprobadas por la organización están instaladas en el computador de escritorio.


ATAQUES

SUPLANTACIÓN DEPERSONALIDAD

INTERCEPCIÓN DELCONTENIDO

MODIFICACIÓN DELCONTENIDO

NEGACIÓN DELSERVICIO

EMISOR RECEPTOR

INTRUSO

EMISOR RECEPTOR

INTRUSO

EMISOR RECEPTOR

INTRUSO

EMISOR RECEPTOR

INTRUSO

ATAQUES

PROTOCOLOS DE SEGURIDAD

Un protocolo de seguridad es la parte visible de una aplicación, es el conjunto de programas y actividades programadas que cumplen con un objetivo específico mediante el uso de esquemas de seguridad criptográfica.Los principales protocolos que sirven para resolver algunos de los problemas de seguridad como la integridad, la confidencialidad, la autenticación y el no rechazo, mediante sus diferentes características, son: SSL ( Secure Sockets Layer) integrado en un Browser por ejemplo Netscape el cual muestra un candado en la barra de herramientas cerrado y también la dirección de Internet cambia de http a https. PGP que es un protocolo libre ampliamente usado de intercambio de correo electrónico seguro. Otro conocido y muy publicitado SET que es un protocolo que permite dar seguridad en las transacciones por Internet usando tarjeta de crédito y proporciona seguridad en la conexión de IPsec Internet a un nivel más bajo.


Las características de los protocolos se derivan de las múltiples posibilidades con que se puede romper un sistema, es decir, robar información, cambiar información, leer información no autorizada, y todo lo que se considere no autorizado por los usuarios de una comunicación por red.La seguridad por Internet se deben de considerar las siguientes tres partes: seguridad en el browser (Netscape o Explorer), la seguridad en el Web server (el servidor al cual nos conectamos) y la seguridad de la conexión.SSL ( Secure Sockets Layer)El protocolo SSL es un sistema de seguridad desarrollado por Netscape en 1994 y utilizado actualmente por la mayoría de empresas que comercializan a través de Internet. SSL actúa en la capa de comunicación situada entre el protocolo de la capa de red (Ej. TCP/IP) y un protocolo de la capa de aplicación (Ej. HTTP), es como un túnel que protege a toda la información enviada y recibida.


HTTPSUno de los usos comunes de SSL es el de establecer una comunicación Web segura entre un browser y un Web Server. Es aquí donde se usa https que es básicamente http sobre ssl con un esquema de invocación por medio de url. Es importante hacer notar que el uso del protocolo https no impide en caso alguno que se pueda utilizar http, por lo que la mayoría de los browsers advierten cuando una página tiene elementos que no son seguros en entornos seguros, como también advierten cuando se invoca un protocolo distinto al de la pagina actual (http -> https o https -> http)

SERVIDOR

Protocolo SSLIMAGEN Nº 21


SET (Secure Electronic Transaction)El estándar SET fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de gigantes de la industria del software, como Microsoft, IBM y Netscape. La gran ventaja de este protocolo es que ofrece autenticación de todas las partes implicadas (el cliente, el comerciante y los bancos, emisor y adquiriente); confidencialidad e integridad, gracias a técnicas criptográficas robustas, que impiden que el comerciante acceda a la información de pago (eliminando así su potencial de fraude) y que el banco acceda a la información de los pedidos (previniendo que confeccione perfiles de compra); y sobre todo gestión del pago, ya que SET gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.

APLICACIONES DE SEGURIDAD S/MIME, para correo electrónico que firma y comprueba firmas, permitiendo comunicaciones de forma segura. Se emplea en pedidos comerciales por correo.SSL (Secure Socket Layer), aplicación para el protocolo HTTP para hacer seguras las conexiones web. Es decir, se emplea como elemento de seguridad (HTTPS) para el comercio electrónico.SSH.- aplicación para emplear un terminal de ordenador a distancia, de forma segura.SET.- aplicación desarrollada por VISA y MASTERCARD para el pago por medios electrónicos85.

““Cuando se fija una meta, hay que Cuando se fija una meta, hay que asegurar que las medidas correctivas asegurar que las medidas correctivas

lleven a la meta”lleven a la meta”

““Cuando se fija una meta, hay que Cuando se fija una meta, hay que asegurar que las medidas correctivas asegurar que las medidas correctivas

lleven a la meta”lleven a la meta”

Dr. DemingDr. Deming

F I NF I N

comercio elec y seguridad informatica

Documents