58
EL ENTORNO DE SEGURIDAD DEL COMERCIO ELECTRÓNICO

Mercadotecnia electronica cuestionario

Embed Size (px)

DESCRIPTION

Ingenieria en gestion empresarial

Citation preview

EL ENTORNO DE SEGURIDAD DEL COMERCIO ELECTRÓNICO

• Internet contiene la promesa de un enorme y conveniente mercadoglobal que proporciona acceso a las personas, artículos negocios entodo el mundo, a precio de oferta.

• Sin embargo para los criminales internet ha creado completamentenuevas formas de robar a los mas de 1 mil millones de consumidores enel mundo por internet.

• Internet hace posible robar a las personas de manera remota y casianónima.

• Las acciones de los cibercriminales son costosas tanto para los negocioscomo para los consumidores, que están a su vez a precios mas altos ymedidas de seguridad adicionales.

EL ALCANCE DEL PROBLEMA

• El cibercrimen se esta convirtiendo en un problema significativo para las organizaciones.

• Las redes de bots

• La suplantación de identidad

• Phishing ( obtener información financiera en forma fraudulenta).

• Robo de datos

• Fraude con tarjeta de crédito.

• Centro de Quejas contra Delitos enInternet (IC3) una sociedad entre elCentro Nacional contra delitos deCuello Blanco y la Agencia Federalde Investigaciones.

• Datos útiles para medir los tipos dedelitos de crímenes de comercioelectrónico.

0% 10% 20% 30% 40% 50%

fraude en las subastas

productos no entregados

fraude de cheques

fraude de tarjetas de credito

fraude de computadora

CATEGORIA DE QUEJAS CONTRA DELITOS EN INTERNET

REPORTADAS AL IC3

• El promedio de perdidas por año fue aproximadamente de $ 350 000.

• Las categorías mas costosas de ataques fueron el fraude financiero($21 millones), los virus ($ 8 millones) y la penetración de extraños en elsistema.

• Se publica semestralmente un reporte de amenazas de seguridad eninternet, basado en 40,000 sensores que supervisan la actividad eninternet en mas de 180 países.

EL MERCADO DE LA ECONOMÍA SUBTERRÁNEA: EL VALOR DE LA

INFORMACIÓN ROBADA.

• “Servidores de la economía subterránea” vender información aterceras personas.

• No todos los cibercriminales buscan ganancias económicas, enmuchos casos solo buscan alterar, dañar o transformar un sitio Web,en vez de robar artículos o servicios.

• El cibercrimen contra los sitios de comercio electrónico es dinámico yesta cambiando todo el tiempo, por lo cual aparecen nuevos riesgoscon frecuencia.

¿ QUÉ ES UNA BUENA SEGURIDAD EN EL COMERCIO ELECTRÓNICO?

• La reducción de los riesgos en el comercio electrónico es un proceso complejo que involucra

• Nuevas tecnologías

• políticas y procedimientos organizacionales

• Nuevas leyes y estándares industriales que facultan a los oficiales representantes de la ley a investigar y procesar a los delincuentes.

Leyes y estándares industriales

Políticas y procedimientos

organizacionales

Soluciones de tecnología

Datos

• La seguridad es una cadena que se rompe con mas frecuencia en el eslabón mas débil. Nuestros candados son a menudo mas fuertes que

el manejo que damos a las llaves.

DIMENSIONES DE LA SEGURIDAD EN EL COMERCIO ELECTRÓNICO

• Integridad

• No repudiación

• Autenticidad

• Confidencialidad

• Privacidad

• Disponibilidad

• Integridad: capacidad deasegurar que la informaciónque se muestra en un sitioWeb, no haya sido alteradade ninguna manera por unaparte no autorizada.

No repudiación: capacidad

de asegurar que los

participantes en el comercio

electrónico no nieguen sus

acciones en línea.

Autenticidad: capacidad

de identificar la identidad

de una persona o entidad

con la que se esta

tratando en internet.

Confidencialidad: capacidad

de asegurar que los mensajes

y los datos estén disponiblessolo para ver quienes estén

autorizados a verlos.

Amenazas de Seguridad en el

Entorno de Comercio Electrónico

Cliente

Servidor

Canalización de comunicaciones

Código Malicioso

(Malvare) incluye varias amenazas como virus,

gusanos, caballos de Troya y bots.

Malvare Intención

Virus Programa para

computadora que tiene la

capacidad de duplicarse,

(Eliminación de archivos

formateo de disco duro o

que los programas se

ejecuten de manera inapropiada.

Tipos de Virus

Macro virus Específicos para cada aplicación, El virus solo afecta a la

aplicación para que se escribió. Se esparcen con facilidad

por correo electrónico.

Virus que infectan

Archivos

Infectan archivos ejecutables como: .com .exe .drv y .dll, Se

activa cada vez que se ejecuta el archivo infectado, se

esparcen por correo electrónico con facilidad.

Virus de secuencias

de comandos

escritos en lenguajes de programación de secuencias de

comandos como Visual Basic Script y Java Script. Los virus

se activan al hacer doble clic en un archivo .vbs o .js

infectado. El virus ILOVEYOU (insecto del amor)

sobrescribe archivos .jpg y .mp3

Los virus van combinados de gusanos ya que

estos generan mayor ganancia económica y a su

vez pueden propagarse muy rápidamente de una

computadora a otra.

El gusano no necesariamente necesita ser

activado por un usuario o programa para que se

pueda duplicar a si mismo.

Código Malicioso

Característica

Caballo de Troya

no se duplica pero es una vía para que se introduzcan

virus y otro tipo de código malicioso como los bots o

rootkits El caballo de Troya puede ser disfrazado como

un juego pero en realidad oculta un programa para

robar contraseñas y enviarlas por correo electrónico.

Bots Se puede instalar de manera encubierta en la

computadora de un usuario cuando este se conecta a

internet. El atacante convierte a la computadora en un zombie controlada por un tercero.

Programas IndeseablesAplicaciones instaladas sin consentimiento, una vez

instaladas son muy difíciles de eliminar.

Parasito de navegadorEs un programa que puede monitorear y modificar la

configuración del navegador de un usuario. (Pagina de

inicio)

Spywarees utilizada para el robo de identidad junto con el

SPYSHERIFF (combate Spyware)

Por ejemplo: un ex ministro

petrolero rico de Nigeria

busca una cuenta bancaria

para atesorar millones de

dólares por un corto periodo

de tiempo. Posteriormente

pide al usuario su numero

de cuenta en donde se le

pueda depositar el dinero

haciéndole la promesa de

que se le depositara un

millón de pesos a cambio.

(conocida como carta de

Nigeria).

Suplantación y Robo

de Identidad

Suplantación de Identidad: es

todo intento engañoso para

robar datos personales

realizándolo de manera directa

(técnicas de Ingeniería social).

Todo comienza cuando a la

victima se le hace llegar una

carta de estafas de correo

electrónico.

En muchas ocasiones los suplantadores

crean una pagina web falsa que

aparente ser una institución financiera

legitima y engañan a los usuarios para

proporcionar información financiera, los

suplantadores de identidad usan la

información para cometer actos

fraudulentos.

Piratería Informática y Cibervandalismo

Hacker: individuo que tiene intenciones criminales.

Tipo de

Hacker

Misión

Sombreros

Blancos

(buenos)

Ayudan a las organizaciones a localizar y corregir fallas en la

seguridad. Estos realizan su trabajo por contrato, con un acuerdo de

los clientes según el cual no serán perseguidos por sus esfuerzos

por entrar en los sistemas.

Sombreros

Negros

(malos)

Se involucran en los mismos tipos de actividades, pero sin recibir

paga ni acuerdos con la organización de destino, y con la intención

de ocasionar daños irrumpen en sitios web y revelan la información

confidencial o propietaria que encuentran.

Sombreros

Grises

Pretenden hacer un bien al irrumpir en los sistemas y revelar sus

fallas. Descubren las debilidades en la seguridad de un sistema y

después publican la debilidad sin dañar el sitio ni tratar de

beneficiarse de sus hallazgos. Su recompensa es el prestigio de

descubrir la debilidad, sin embargo son sospechosas. (al facilitar

información)

Fraude o Robo de Tarjetas de Crédito

Robo

Extravió

Los comerciantes se encargan de pagar los costos en

caso de recibir tarjetas robadas por no checar las listas

invalidas.

Caso mas frecuente de robo de tarjetas e información

de las mismas es la piratería informática sistemática y el

saqueo de un servidor corporativo, (almacena

información de compras con tarjeta de crédito).

Sitios Web de Falsificación (Pharming) y

Spam (Basura)

Hackers que falsifican su verdadera identidad falsifican su

información utilizando direcciones de correo electrónico

falsas o haciéndose pasar por alguien mas.

Falsificación de un sitio web se le conoce como Pharming,

donde un vinculo se dirige a una dirección diferente a la

original el destino es enmascarado. (contiene información

diferente a la solicitada, amenazando integridad del original)

Sitios Web de basura

o spam: ofrece

productos o servicios

y al abrirla contiene

promoción de otros

productos y contiene

código malicioso.

Ataques de denegación de servidor (DOS) y

Denegación de Servicio Distribuido (DDOS)

DOS DDOS

Los hackers inundan un sitio

Web con peticiones de paginas

inútiles que saturan los

servidores del sitio Web.

Implica el uso de redes de bots.

Provocan que el sitio Web

cierre y los clientes no puedan

ingresar mas. (Reputación)

No destruyen información, ni

acceden a áreas restringidas.

Soborno.

Uso de muchas computadoras para

atacar la red de destino desde

numerosos puntos de lanzamiento.

Amenaza que puede provocar la

quiebra de una empresa.

Husmeo

Es un tipo de programa el cual monitorea la información que viaja

a través de una red si se utiliza legítimamente pueden ayudar a

identificar puntos problemáticos y potenciales en una red, pero

cuando se usan para fines criminales son dañinos y difíciles de

detectar.

Los husmeadores permiten a los hackers robar información

propietaria de cualquier parte de una red (correos, informes,

archivos.)

Amenaza de la información ya que se pude hacer publica.

Ataques Internos

Los mismos empleados roban información de los clientes.

SOLUCIONES TECNOLOGICAS

SOLUCIONES TECNOLOGICAS

Existen dos líneas de defensa contra las amenazas de seguridad para el comercio electrónico.

• Soluciones de tecnología: conjunto de herramientas que pueden dificultar a los externos el proceso de invadir o destruir un sitio.

• Soluciones de políticas.

HERRAMINETAS PARA PROTEGER LA SEGURIDAD DE LAS COMUNICACIONES EN INTERNET

• CIFRADO (ENCRIPTACION): Es el proceso de transformar texto simple o datos en texto cifrado que no puede ser leído por nadie mas que el emisor y el receptor.

Tiene como propósito: a) asegurar la información almacenada y

b) asegurar la transmisión de la información.

El cifrado proporciona

Integridad del mensaje: asegura que el mensaje no se haya alterado

No repudiación: evita que el usuario niegue que envió el mensaje

Autenticidad: de la verificación de la entidad de la persona que esta enviando el mensaje

Confidencialidad: asegura que el mensaje no fue leído por otros.

• CERTIFICADO DIGITAL: documento digital emitido por una autoridad de certificación, que contiene el nombre del sujeto o empresa, la clave publica del sujeto, un numero serial de certificado digital y demás información de identificación.

HERRAMIENTAS PARA LA PROTECCION DE LAS REDES

• FIREWALLS: se refiere al hardware o software que filtra los paquetes de comunicación y evita que ciertos paquetes entren en la red, con base en una política de seguridad.

• El firewalls controla el trafico de y hacia servidores y clientes, prohibiendo las comunicaciones de fuentes no confiables y permitiendo que se lleve a cabo las comunicaciones de fuentes de confianza.

• SERVIDORES PROXY: son servidores de software que se encargan de todas las comunicaciones que se originan de (o se envidian) internet, actuando como vocero o guardaespaldas para la organización.

-Principal función: limitar el acceso de los clientes internos a los servidores de internet externos.

-Los servidores proxy protegen una red local de los intrusos de internet y evitan que los clientes visiten servidores Web prohibidos.

PROTECCION DE SERVIDORES Y CLIENTES

Las características del sistema operativo y el software antivirus pueden ayudar a proteger aun mas los servidores y clientes de ciertos tipos de ataques.

• MEJORAS DE SEGURIDAD DEL SISTEMA OPERATIVO: una manera de proteger a los servidores y clientes son las actualizaciones de seguridad automáticas de Microsoft y Apple para corregir con parches las vulnerabilidades descubiertas por los hackers.

• SOFTWARE ANTIVIRUS: son programas cuya función es detectar y eliminar virus informáticos y otros programas maliciosos

POLÍTICAS ADMINISTRATIVAS, PROCEDIMIENTOS DE

NEGOCIOS Y LEYES PÚBLICAS

• Las empresas de negocios y agencias gubernamentales invierten cerca del 10 % de sus presupuestos de tecnología de la información en hardware, software y servicios de seguridad.

• Este gasto explica el por qué disminuyeron un poco los ciber-ataques.

ATAQUES VIRTUALES

• Ataques contra sitios web por acceso y robo de información.

• Ataques contra clientes y sitios web por identidades falsas.

PLAN DE SEGURIDAD: POLÍTICAS ADMINISTRATIVAS

Realizar una valoración de

riesgo

Desarrollar una política de seguridad

Desarrollar un plan de

implementación

Crear una organización de

seguridad

Realizar una auditoria de seguridad

VALORACIÓN DE RIESGO

• Tasación de los riesgos y puntos de vulnerabilidad.

• ¿Qué información esta en riesgo?

• Clientes, diseños, actividades, procesos, datos, programas, precios…

• Valuar cada tipo de información

• Probabilidad de que ocurra una perdida

POLÍTICAS DE SEGURIDAD

• Conjunto de instrucciones que asignan prioridad a los riesgos de la información, identificando los objetivos de riesgo aceptables y los mecanismos para alcanzar estos objetivos.

PLAN DE IMPLEMENTACIÓN

• Pasos de acción que debe llevar a cabo para lograr a cabo los objetivos del plan de seguridad.

ORGANIZACIÓN DE SEGURIDAD

• Educa y capacita a los usuarios, mantiene la administración al tanto de las amenazas y las fallas de seguridad, y conserva las herramientas elegidas para implementar la seguridad.

CONTROLES DE ACCESO

• Determina quien puede obtener acceso legitimo a una red.

• Externos: Firewalls y servidores proxy.

• Internos: Nombres de usuario, contraseñas y códigos de acceso.

PROCEDIMIENTOS DE AUTENTIFICACIÓN

• Incluye el uso de firmas digitales, certificados de autoridad y la infraestructura de claves públicas.

BIOMETRÍA

• Estudio de las características biológicas o físicas que se pueden medir.

• Existen dispositivos biométricos que junto con las firmas digitales para verificar atributos físicos.

• Huella digital.

• Exploración de retina.

• Reconocimiento por voz.

POLÍTICAS DE AUTORIZACIÓN

• Determinan los distintos niveles de acceso a los bienes de información para los distintos niveles de usuarios.

SISTEMAS DE ADMINISTRACIÓN DE LA AUTORIZACIÓN

Establece cuándo y donde se permite a un usuario que acceda a ciertas partes de un sitio Web.

AUDITORÍA DE SEGURIDAD

• Implica la revisión rutinaria de los registros de acceso (que identifican la manera en que los individuos externos utilizan el sitio, así como la forma en que los internos acceden a los activos del sitio).

ALMACENAMIENTO HIPPIE DE CLEVERSAFE

• Tres copias para asegurar los documentos en dispositivos externos.

• Conocido como LOCKSS.

• LOCKSS= +dispositivos de almacenamiento +costoso

GOOGLE

• Por ejemplo:

• Almacena tanta información que se vio obligada a crear una de las instalaciones de almacenamiento mas grandes del mundo

• 68,000 m2 de unidades de disco y Pcs.

• Dalles, Oregón, a orillas del rio Columbia.

• 5 exabytes = 37,000 Bibliotecas del Congreso estadounidense.

• Se duplica cada tres años.

CLEVERSAFE

• Empresa de software de código fuente abierto.

• Mientras que Google pretende organizar, Cleversafe desea almacenar.

• El método costa de un algoritmo de dispersión.

• Divide la información en piezas, cifrarlas y distribuirlas en diferentes servidores.

CENTRO DE COORDINACIÓN DEL CERT

• Monitorea y rastrea la actividad criminal en línea que le reportan corporaciones privadas y agencias gubernamentales que le piden su ayuda.

LEGISLACIÓN DE SEGURIDAD DEL COMERCIO ELECTRÓNICO

• Ley de Abuso y Fraude por computadora (1986)

• Ley de Privacidad para las Comunicaciones Electrónicas (1986)

• Ley de Protección Nacional de la Infraestructura de la Información (1996)

• Ley de Seguridad Electrónica en el Ciberespacio (2000)

• Ley de Mejora de a la Seguridad Computacional (2000)

• Ley de Firmas Electrónicas (2000)

• Ley USA PATRIOT (2001)

• Ley de seguridad del Territorio Nacional (2002)

• Ley CAN-SPAM (2003)

• Ley U.S. SAFE WEB (2006)

ELEMENTOS CLAVES

Restringir la exportación de los sistemas de

seguridad solidos

Esquemas de custodia/recupe

ración clave

Acceso Legal y divulgación

forzosa

Piratería informática

oficial

INTERNET

• 25 Aniversario el 12 de Marzo.

• Internet no es una ventana a la realidad, pero si nos puede mostrar su lado más oscuro.

• La naturaleza humana no está cambiando: hay pereza, intimidación, acoso, estupidez, pornografía, trucos sucios, delitos y aquellos que los practican tienen una nueva capacidad para hacer miserable la vida de los demás.

• 2025: mayor conectividad y la privacidad solo será de la elite

POLÍTICAS Y LEYES EN INTERNET

• “Daisy´s Destruction”

GRACIAS

• El que no posee el don de maravillarse ni de entusiasmarse más le valdría estar muerto, porque sus ojos están cerrados.