Vulnerabilidad y abuso de los Sistemas

En la actualidad, los negocios necesitan hacer de la SeguridadSeguridad y el Control Control sus principales prioridades

Vulnerabilidad y abuso de los Sistemas

SeguridadSeguridad : Se refiere a las políticas, procedimientos y medidas técnicas utilizadas para impedir el acceso no autorizado, la alteración, el robo o el daño físico a los Sistemas de Información.

Vulnerabilidad y abuso de los SistemasControlesControles : Consisten en todos los

métodos, políticas y procedimientos organizacionales que garantizan la seguridad de los activos de la organización, la precisión y confiabilidad de sus registros contables, y el apego de las operaciones a las normas de la administración

¿Por qué son vulnerables los Sistemas?

Privacidad

Privacidad se refiere al derecho de estar estar sólosólo y al derecho de estar libre de estar libre de intrusiones personalesintrusiones personales.

1. El derecho a la privacidad no es absolutono es absoluto. La privacidad debe ser balanceada de acuerdo a las necesidades de la sociedad.

2. El derecho público derecho público es superiorsuperior al

derecho individual derecho individual de privacidadprivacidad.

PrivacidadDoble click y uso de cookies para conocer los

intereses de los consumidores.

¿Es válido obtener información de los Es válido obtener información de los consumidores sin su permisoconsumidores sin su permiso? CookiesCookies.

El doble click supone la obtención del permiso de los consumidores a través de la navegación en la Web.

El Autoregistro en el Web-SiteCuestionarios de registroCuestionarios de registro

50% divulga información personal en un sitio Web por la oportunidad de ganar algún premio.

La información privada se usa para:

Planear negociosPlanear negocios. Ser vendidos a una tercera parteSer vendidos a una tercera parte.

Protección de PrivacidadElección/ consentimiento

Acceso/ participación

Integridad/ seguridad

En E.U: existe la Federal Internet Privacy Protection Act.

En la Unión Europea la EU Data Protection Directive.

Derechos de propiedad Intelectual

Propiedad Intelectual (PI) Propiedad Intelectual (PI) Se refiere a las creaciones de ideas,

invenciones, trabajos literarios, artísticos y símbolos, nombres, imágenes y diseños usados en el comercio.

© ®

CopyrightCopyrightUna concesión exclusiva que otorga el

gobierno otorgando al dueño a reproducir un trabajo, en totalidad o en parte y a distribuir, ejecutar o desplegar éste al público de cualquier manera, incluyendo el Internet.

Digital watermarksDigital watermarksIdentificadores únicos puestos en los

contenidos digitales que hacen posibles identificar trabajos piratas.

Derechos de propiedad Intelectual

Marca registrada Marca registrada Un símbolo usado por los negocios para

identificar bienes y servicios, siendo registrados ante el gobierno cofiriendo el derecho legal exclusivo para su uso.

PatentePatenteUn documento que concede al tenedor los derechos

exclusivos de una invención por un número determinado de años.

Derechos de propiedad Intelectual

Censorship en Internet

Ciudadanos y grupos de acción que buscan proteger a sus hijos o a ellos mismos de ciertos contenidos en la red.

Children ’s Online Protection Act (COPA)

Rol del gobierno en la protección de la sociedad.

Control del SPAMSpammingSpamming

Se refiere a la práctica indiscriminada de envío de mensajes a través de Internet (ej. Junk mail o correos basura ).

El Spam comprende entre el 25 y el 50 % de todos los correos.

Los usuarios pueden utilizar el llamado Electronic Mailbox Protection Act para bloquear el correo spam.

Ciber-crimenFraudeFraude

Engaño intencionaI con objeto financiero y lucrativo.

Ciberataque Ciberataque Se refiere a un ataque electrónico a través de Internet

(ciberintrusión) o un acceso no autorizado que da como resultado archivos, programas o hardware

dañados. También se conoce como cibervandalismo.

Los jugadores: Hackers, Crackers

y otros. HackersHackers

Los hackers originales crearon el sistema operativo Unix y ayudaron a construir Internet, Usenet y la WWW; y usaron sus habilidades para probar la fortaleza y la integridad de los sistemas computarizados.

Con el tiempo, el término hacker se aplicó a programadores que ilegalmente irrumpen en computadoras y redes.

CrackersCrackers

Se refiere a quienes emplean de manera ilegal la red. Generalmente buscan cosas fáciles y rápidas. El punto vulnerable al estar haciendo las compras por medio de Internet es el servidor donde se realizan las transacciones, que es el que normalmente atacan los crackers.

OtrosOtros“Script kiddies” se refiere a quienes usan

información y software que bajan de Internet con el objeto de dañar ciertos sitios.

SPOOFINGSpoofingSpoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.

Existen diferentes tipos dependiendo de la tecnología a la que nos refiramos

SPOOFING

IP SpoofingIP SpoofingARP SpoofingARP SpoofingDNS SpoofingDNS SpoofingWeb SpoofingWeb SpoofingMail SpoofingMail Spoofing

SNIFFINGSniffingSniffing, Sniffer es un programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente, aunque también puede ser utilizado con fines maliciosos.•

SNIFFINGSNIFFINGLANs son redes de difusión en las cuales

la información pasa por todas las máquinas.

Si la tarjeta está en modo promiscuo puede leer esos paquetes.

SNIFFINGSNIFFINGUtilización de los sniffers:Utilización de los sniffers:– Captura automática de contraseñas

enviadas en claro y nombres de usuario de la red.

– Conversión del tráfico de red en un formato entendible por los humanos.

– Análisis de fallos para descubrir problemas en la medición del tráfico de la red.

– Detección de intrusos

PHISHINGPHISHINGEl Phishing El Phishing es el acto que consiste en recomendar la visita a una página web falsa, haciendo creer al visitante que se encuentra en la página original o copiada.. Normalmente se utiliza con fines delictivos, duplicando páginas web de entidades financieras de renombre

PHISHINGPHISHINGUna vez en las páginas falsas, se pide al visitante que introduzca datos personales (claves de acceso, etc.) que posteriormente son usados por los creadores de la estafa. (fuente : Wikipedia.org)

Seguridad BásicaSeguridad Básica

Desde la perspectiva del usuario:Desde la perspectiva del usuario:¿Cómo puede el usuario estar seguro de que ¿Cómo puede el usuario estar seguro de que

el servidor esta operando con una compañía el servidor esta operando con una compañía legitima?legitima?

¿Cómo puede saber el usuario que la página ¿Cómo puede saber el usuario que la página web no tiene un contenido malicioso o web no tiene un contenido malicioso o peligroso?peligroso?

¿Cómo puede saber el usuario que el servidor ¿Cómo puede saber el usuario que el servidor Web no distribuirá la información del usuario a Web no distribuirá la información del usuario a una tercera parte?una tercera parte?

Desde la perspectiva de la compañía:Desde la perspectiva de la compañía:

¿Cómo sabe la compañía que el usuario no ¿Cómo sabe la compañía que el usuario no atentará o alterará las páginas y el contenido atentará o alterará las páginas y el contenido del sitio?del sitio?

¿Cómo sabe la compañía que el usuario no ¿Cómo sabe la compañía que el usuario no tratará de desbaratar o romper el servidor tratará de desbaratar o romper el servidor para dejarlo no disponible para otros?para dejarlo no disponible para otros?

Seguridad Básica

Seguridad básica

Desde la perspectiva de ambas partes:Desde la perspectiva de ambas partes:

¿Cómo saber que la conección de la red está libre ¿Cómo saber que la conección de la red está libre de una tercera parte escuchando en la línea?de una tercera parte escuchando en la línea?

¿Cómo saber que la información enviada o ¿Cómo saber que la información enviada o regresada entre el servidor y el usuario no ha sido regresada entre el servidor y el usuario no ha sido alterada?alterada?

Seguridad básicaAutorización Autorización

El proceso de asegurar que una persona tiene el derecho a accesar a ciertos recursos. www.americaeconomia.com

Autenticidad Autenticidad El proceso por el cual una entidad verifica que otra entidad es quien checa “credenciales” de una clase.

Seguridad básica

AuditoriaAuditoria

El proceso de recolectar información de recursos particulares, uso de privilegios particulares y ejecución de otras acciones de seguridad.

Confidencialidad (privacidad)Confidencialidad (privacidad)

Tipos de ciberataques

Ataques TécnicosAtaques TécnicosUn ataque perpretrado usando software y

sistemas de conocimiento o expertos. Ataque no técnicoAtaque no técnico

Un ataque en el que el perpretador usa triquiñuelas u otras formas de persuasión truculentas para que la gente revele información o acciones que comprometan la seguridad de una red.

Tipos de ciberataques

Ataque “Denial-of-service (DoS)” Ataque “Denial-of-service (DoS)”

Un ataque a un sitio Web en el cual un atacante usa software especializado para enviar un torrente de paquetes a un conjunto de computadoras.

Tipos de ciberataquesDistributed denial of service (DDoS) attack.Distributed denial of service (DDoS) attack.

Se refiere a un ataque de servicio de negación en el cual un administrador ilegal accesa a muchas computadoras de Internet y usa estas computadoras para enviar paquetes de datos a una computadora objetivo.

MalwareMalware

Un término genérico para software malicioso.

Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje.

Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones.

Asegúrese de que el sitio Web utiliza cifrado.

Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito. Hoy en día es posible utilizar alarmas y límites diarios

Sea cuidadoso con los lugares que visita.

Sea cuidadoso con los correos que abre.

Asegúrese que sus aplicaciones tienen instaladas las últimas actualizaciones de seguridad.

Utilice la opción “copia oculta” para enviar mails.

No deje su banda ancha “conectada” en forma permanente las 24 horas del día.

Solamente llene formularios en la WEB en los que se esté utilizando el protocolo https://

Recomiende a sus hijos que no den ninguna clase de datos personales.

Verifique la fuente de la información. NIC (Network Information Center)

Tipos de ciberataquesVirus Virus

Una pieza de un código de software code que se inserta en un host, incluyendo los sistemas operativos, para propagarse. Este no puede correr independientemente, sino que requiere de un programa huésped (host) para activarse.

Worm Worm Un programa de software que corre independientemente, consumiendo recursos de un host, manteniéndose y propagándose en otra máquina.

Tipos de ciberataquesVirus Virus

Una pieza de un código de software code que se inserta en un host, incluyendo los sistemas operativos, para propagarse. Este no puede correr independientemente, sino que requiere de un programa huésped (host) para activarse.

Worm Worm Un programa de software que corre independientemente, consumiendo recursos de un host, manteniéndose y propagándose en otra máquina.

Tipos de ciberataquesTrojan horse (caballo de Troya)Trojan horse (caballo de Troya)

Un programa que aparece como una función útil, pero que contiene una función oculta que presenta un riesgo de seguridad.

Dos de los más conocidos caballos de Troya son : “Back OrificeBack Orifice” y “NetBusNetBus”

Tecnologías de SeguridadInternet y Seguridad en el Comercio

Electrónico es un negocio próspero.

Firewalls y Control de AccesoFirewalls y Control de Acceso. Uno de los mayores impedimentos al CE es la

seguridad de las redes internas.El nombre con el que se conoce al control de

acceso es passwordpassword

Tecnologías de seguridadFirewallFirewall

Un nodo en la red que consiste en ambos, hardware y software que aisla una red privada aisla una red privada

de la red públicade la red pública. Intrusion detection system (IDS)Intrusion detection system (IDS)

Una categoría especial de software que puede monitorear actividad a través de una red o una computadora host, observar actividad observar actividad sospechosasospechosa y tomar acción automatizada basada en lo que se observa.

Encriptamiento

La manera más fácil de identificar si nuestros datos de viajan encriptados a través de Internet es el uso de un protocolo llamado Secure Socket Layer (SSL)Secure Socket Layer (SSL), el cual es muy fácil de identificar: un candado en la un candado en la parte inferior derecha del navegadorparte inferior derecha del navegador, y el cambio del prefijo de la dirección a: https:// https://

Protección Tecnológica.Las técnicas de phishing se van sofisticando rápidamente. Algunas de ellas son imperceptibles para el usuario. Es allí dónde la tecnología ofrece al usuario el medio para protegerse.Tecnologías basadas en técnicas de:

Estas tecnologías pueden ser aplicadas directamente desde la red o en cada uno de los PCs de los clientes.

Detección de correos entrantes.Reconocimiento de contenidos.Bases de datos de URLs.Antispyware.Antivirus (Trojans, Keyloggers,…).Antipharming.

LEGISLACIÓN EN EL PERÚ