SEGURIDAD DEL
COMERCIO
ELECTRNICO
fraude de computadora
fraude de cheques
productos no entregados
10%
20%
30%
40%
50%
EL MERCADO DE LA ECONOMA
SUBTERRNEA: EL VALOR DE LA
INFORMACIN ROBADA.
Servidores de la economa subterrnea vender informacin a
terceras personas.
Nuevas tecnologas
polticas y procedimientos organizacionales
Nuevas leyes y estndares industriales que facultan a los
oficiales representantes de la ley a investigar y procesar
a los delincuentes.
Leyes y estndares
industriales
Polticas y
procedimientos
organizacionales
Soluciones de
tecnologa
Datos
DIMENSIONES DE LA SEGURIDAD EN
EL COMERCIO ELECTRNICO
Integridad
No repudiacin
Autenticidad
Confidencialidad
Privacidad
Disponibilidad
Integridad: capacidad de
asegurar que la informacin
que se muestra en un sitio
Web, no haya sido alterada
de ninguna manera por una
parte no autorizada.
No repudiacin: capacidad
de
asegurar
que
los
participantes en el comercio
electrnico no nieguen sus
acciones en lnea.
Autenticidad: capacidad
de identificar la identidad
de una persona o entidad
con la que se esta
tratando en internet.
Confidencialidad: capacidad
de asegurar que los mensajes
y los datos estn disponibles
solo para ver quienes estn
autorizados a verlos.
Amenazas de Seguridad en el
Entorno de Comercio Electrnico
Cliente
Servidor
Canalizacin de comunicaciones
Cdigo Malicioso
(Malvare) incluye varias amenazas como virus,
gusanos, caballos de Troya y bots.
Malvare
Virus
Intencin
Programa para
computadora que tiene la
capacidad de duplicarse,
(Eliminacin de archivos
formateo de disco duro o
que los programas se
ejecuten de manera
inapropiada.
Tipos de Virus
Macro virus
Virus que
Archivos
Cdigo
Malicioso
Caracterstica
Programas Indeseables
Parasito de navegador
Spyware
Suplantacin y Robo
de Identidad
Suplantacin de Identidad: es
todo intento engaoso para
robar
datos
personales
realizndolo de manera directa
(tcnicas de Ingeniera social).
Todo comienza cuando a la
victima se le hace llegar una
carta de estafas de correo
electrnico.
Misin
Sombreros
Blancos
(buenos)
Sombreros
Negros
(malos)
Sombreros
Grises
DDOS
No destruyen informacin, ni
acceden a reas restringidas.
Soborno.
Husmeo
Es un tipo de programa el cual monitorea la informacin que viaja
a travs de una red si se utiliza legtimamente pueden ayudar a
identificar puntos problemticos y potenciales en una red, pero
cuando se usan para fines criminales son dainos y difciles de
detectar.
Los husmeadores permiten a los hackers robar informacin
propietaria de cualquier parte de una red (correos, informes,
archivos.)
Amenaza de la informacin ya que se pude hacer publica.
Ataques Internos
SOLUCIONES
TECNOLOGICAS
SOLUCIONES TECNOLOGICAS
Existen dos lneas de defensa contra las amenazas de seguridad
para el comercio electrnico.
Soluciones de tecnologa: conjunto de herramientas que pueden
dificultar a los externos el proceso de invadir o destruir un sitio.
Soluciones de polticas.
El cifrado proporciona
Integridad del mensaje: asegura que el mensaje no se haya alterado
No repudiacin: evita que el usuario niegue que envi el mensaje
Autenticidad: de la verificacin de la entidad de la persona que esta
enviando el mensaje
Confidencialidad: asegura que el mensaje no fue ledo por otros.
HERRAMIENTAS PARA LA
PROTECCION DE LAS REDES
FIREWALLS: se refiere al hardware o software que filtra los paquetes de
comunicacin y evita que ciertos paquetes entren en la red, con
base en una poltica de seguridad.
El firewalls controla el trafico de y hacia servidores y clientes,
prohibiendo las comunicaciones de fuentes no confiables y
permitiendo que se lleve a cabo las comunicaciones de fuentes de
confianza.
PROTECCION DE SERVIDORES Y
CLIENTES
Las caractersticas del sistema operativo y el software antivirus
pueden ayudar a proteger aun mas los servidores y clientes de
ciertos tipos de ataques.
MEJORAS DE SEGURIDAD DEL SISTEMA OPERATIVO: una manera de
proteger a los servidores y clientes son las actualizaciones de
seguridad automticas de Microsoft y Apple para corregir con
parches las vulnerabilidades descubiertas por los hackers.
POLTICAS ADMINISTRATIVAS,
PROCEDIMIENTOS DE
NEGOCIOS Y LEYES PBLICAS
ATAQUES VIRTUALES
Ataques contra sitios web por acceso y
robo de informacin.
Realizar una
auditoria de
seguridad
Crear una
organizacin de
seguridad
Desarrollar una
poltica de
seguridad
Desarrollar un
plan de
implementacin
VALORACIN DE RIESGO
Tasacin de los riesgos y puntos de vulnerabilidad.
Qu informacin esta en riesgo?
POLTICAS DE SEGURIDAD
Conjunto de instrucciones que asignan prioridad a los riesgos de la
informacin, identificando los objetivos de riesgo aceptables y los
mecanismos para alcanzar estos objetivos.
PLAN DE IMPLEMENTACIN
Pasos de accin que debe llevar a cabo para lograr a cabo los objetivos
del plan de seguridad.
ORGANIZACIN DE SEGURIDAD
Educa y capacita a los usuarios, mantiene la administracin al tanto de las
amenazas y las fallas de seguridad, y conserva las herramientas elegidas
para implementar la seguridad.
CONTROLES DE ACCESO
Determina quien puede obtener acceso legitimo a una red.
Externos: Firewalls y servidores proxy.
PROCEDIMIENTOS DE
AUTENTIFICACIN
Incluye el uso de firmas digitales, certificados de autoridad y la
infraestructura de claves pblicas.
BIOMETRA
Estudio de las caractersticas biolgicas o fsicas que se pueden medir.
Existen dispositivos biomtricos que junto con las firmas digitales para
verificar atributos fsicos.
Huella digital.
Exploracin de retina.
Reconocimiento por voz.
POLTICAS DE AUTORIZACIN
Determinan los distintos niveles de acceso a los bienes de informacin para
los distintos niveles de usuarios.
SISTEMAS DE ADMINISTRACIN DE
LA AUTORIZACIN
Establece cundo y donde se permite a un usuario que acceda a ciertas
partes de un sitio Web.
AUDITORA DE SEGURIDAD
Implica la revisin rutinaria de los registros de acceso (que identifican la
manera en que los individuos externos utilizan el sitio, as como la forma en
que los internos acceden a los activos del sitio).
ALMACENAMIENTO HIPPIE DE
CLEVERSAFE
Tres copias para asegurar los documentos en dispositivos externos.
Conocido como LOCKSS.
GOOGLE
Por ejemplo:
Almacena tanta informacin que se vio obligada a crear una de las
instalaciones de almacenamiento mas grandes del mundo
68,000 m2 de unidades de disco y Pcs.
Dalles, Oregn, a orillas del rio Columbia.
5 exabytes = 37,000 Bibliotecas del Congreso estadounidense.
CLEVERSAFE
Empresa de software de cdigo fuente abierto.
Mientras que Google pretende organizar, Cleversafe desea almacenar.
ELEMENTOS CLAVES
Piratera
informtica
oficial
Acceso Legal y
divulgacin
forzosa
Restringir la
exportacin de
los sistemas de
seguridad solidos
Esquemas de
custodia/recupe
racin clave
INTERNET
25 Aniversario el 12 de Marzo.
Internet no es una ventana a la realidad, pero si nos puede mostrar su lado
ms oscuro.
La naturaleza humana no est cambiando: hay pereza, intimidacin,
acoso, estupidez, pornografa, trucos sucios, delitos y aquellos que los
practican tienen una nueva capacidad para hacer miserable la vida de los
dems.
GRACIAS
El que no posee el don de maravillarse ni de entusiasmarse ms le valdra
estar muerto, porque sus ojos estn cerrados.