Upload
dsantosc
View
114
Download
1
Embed Size (px)
Citation preview
Seguridad Informática
Realizado por: Daniela Santos.
Delincuentes informáticos• Hackers: Genios de la computación, que revisan
información privada y explotan vulnerabilidades
• Crackers: Hackers dedicados a causar daños
Problemas de Seguridad
Aspectos importantes• Vulnerabilidades físicas
• Vulnerabilidades lógicas
• Antivirus
• Parches de seguridad
• No encripción de la información (texto plano)
• Servidores de respaldo
• Pruebas de contingencia
• Políticas de seguridad
Componentes de seguridad
• Políticas de seguridad
• Políticas de Password con caducidad y normas
• Políticas de Autenticación
• Permisos
• Encripción de datos
• Mecanismos adicionales
Niveles de Seguridad
• Nivel D1o Forma baja de seguridad
• Nivel C1 y C2o C1: Seguridad discrecional, identificación de usuarios
o C2: Restringir mas a los usuarios
• Nivel B1, B2 y B3o B1: Seguridad multinivel
o B2: Protección estructurada (requiere etiquetación de objetos)
o B3: Dominios de seguridad, se ayuda de hardware adicional
• Nivel Ao Diseño verificado, nivel mas alto de seguridad
Políticas de Seguridad
• Una forma de comunicarse con los usuarios y gerentes
• Es un conjunto de requisitos definidos por los
responsables de un sistema que indica en términos
generales que es lo que esta y no permitido.
• Debe especificar alcances
• Debe especificar los objetivos
• Debe definirse las violaciones
• Se indican las responsabilidades
Difusión
Tipos de Políticas de Seguridad
• Políticas de seguridad administrativa
• Políticas de seguridad para el personal
• Políticas de seguridad lógica
• Políticas de seguridad física.
• Políticas de seguridad en la comunicación de
datos
Tecnologías de Seguridad• Firewall
o Parte de un sistema o una red que está diseñada para bloquear el
acceso no autorizado
• VPN (Virtual Private Network)o Es una tecnología de red que permite una extensión segura de la red
local (LAN) sobre una red pública
• Seguridad 802.1xo Autenticación de usuarios para acceso a la red de datos
• HTTPSo Protocolo de aplicación basado en el protocolo HTTP, destinado a la
transferencia segura de datos de Hipertexto
Protocolos de Seguridad
• Un protocolo de seguridad es la parte visible de
una aplicación
• Conjunto de programas y actividades que
cumplen con un objetivo específico mediante el
uso de esquemas de seguridad criptográfica
Tipos de Protocolos de seguridad
• SSL (Security Socket Layer): Protocolos criptográficos que
proporcionan comunicaciones seguras por una red
• PGP (Pretty Good Privacy): Es un protocolo libre ampliamente
usado de intercambio de correo electrónico seguro
• SET (Secure Electronic Transaction: Es un protocolo que permite
dar seguridad en las transacciones por Internet usando tarjeta
de crédito
• HTTPS: Uno de los usos comunes de SSL es el de establecer una
comunicación Web segura entre un browser y un Web Server
• SSH (Secure Shel): Aplicación para emplear un terminal de ordenador a distancia, de forma segura.
Importancia de los Datos
• Integridad
• Confiabilidad
• Disponibilidad
Criptografía• La criptografía actualmente se encarga del estudio
de los algoritmos, protocolos y sistemas que se
utilizan para dotar de seguridad a las
comunicaciones
Criptografía• En comercio electrónico se busca la manera de
que las transacciones electrónicas sean 100%
seguras y no existan fraudes
Cómo se logra?• Certificado Digital
• Autoridad Certificadora
• Uso correcto de los Certificados
Certificado Digital• El Certificado Digital es un documento electrónico
que relaciona una identidad con una Llave Pública. Es proporcionado por una Empresa Certificadora como por ejemplo Verisign Secured.
• Sus componentes principales son: Una Llave Pública Información del dueño del certificado
Información del emisor de ese certificado
Periodo de validez
Un identificador único
La Firma Digital del emisor
Certificado Digital
• Asegurar la integridad y confidencialidad de la
información, así como autenticar los interlocutores
de las transacciones en los Sitios Web.
Infraestructura PKIde Autoridad Certificadora
CA
Raiz
CA
Entidad 1
CA
Entidad 2
USUARIOS
CA
Entidad 3
USUARIOSUSUARIOS
CA
locales
CA
locales
CA
locales
Firma Digital
Firma Digital
• Una firma digital es un mecanismo criptográfico
que permite al receptor de un mensaje firmado
digitalmente determinar la entidad originadora de
dicho mensaje (autenticación de origen y no
repudio), y confirmar que el mensaje no ha sido
alterado desde que fue firmado por el originador
(integridad)
• Tiene igual validez y efectos jurídicos que una firma
manuscrita.
Clave o CritpografíaSimétrica
• Es un método criptográfico en el cual se usa una
misma clave para cifrar y descifrar mensajes. Las
dos partes que se comunican han de ponerse de
acuerdo de antemano sobre la clave a usar.
• El problema Radica en que la clave igual debe
enviarse mediante la red de datos y puede ser vista
Clave o Criptografía Asimétrica
1) David redacta un mensaje
2) David firma digitalmente el mensaje con su clave privada
3) David envía el mensaje firmado digitalmente a Ana a través de
internet, ya sea por correo electrónico, mensajería instantánea o
cualquier otro medio
4) Ana recibe el mensaje firmado digitalmente y comprueba su
autenticidad usando la clave pública de David
5) Ana ya puede leer el mensaje con total seguridad de que ha sido
David el remitente
Aspectos Jurídicos
• DEFINICION LEGAL DE COMERCIO ELECTRÓNICO:
• Comprende todas aquellas transacciones
comerciales, nacionales e internacionales, que se
realizan por medio del intercambio electrónico de
datos y por otros medios de comunicación, en los
que se usan métodos de comunicación y
almacenamiento de información substitutivos de
los que usan papel
Aspectos Jurídicos
• Se regula los mensajes de datos, la firma
electrónica, los servicios de certificación, la
contratación electrónica y telemática
• Los mensajes de datos tendrán igual valor jurídico
que los documentos escritos
• Los mensajes de datos estarán sometidos a las
leyes, reglamentos y acuerdos internacionales
relativos a la propiedad intelectual
Ejemplo de Portal Certificado
• Ingreso a e-bankingo http://www.pichincha.com (web normal no certificado)
o Se ingresa en Banco Electrónica de Personas
• Una vez en Banca Personas se redireccióna a la
dirección:o https://www.pichincha.com/internexo.html (web certificada)
Ejemplo
Ejemplo • Comprobación de Sitio Certificado
o Damos Click en el candado de la pagina web
• Se comprueba que esta certificado y pomos llenar fácilmente la información
Conclusiones• Los certificados electrónicos deben estar respaldados por
una unidad certificadora, pero esta unidad certificadora
debe estar certificada igualmente por una de mayor
jerarquía, es por eso que se tiene que saber cuales son las
empresas certificadores de confianza
• Las transacciones seguras se nos presentan en la pantalla
con un visto, o un verde para proseguir, si no están estos
colores no se tiene que seguir ya que significa que no se
pudo certificar la pagina web visitada
• Antes de ingresar información bancaria se tiene que
cerciorar que se encuentre establecida una conexión
https
Recomendaciones• Se recomienda revisar los certificados electrónicos
de todas las paginas web donde se realicen
comercio electrónico
• Si se tiene dudas de una transacción o comercio
electrónico hay que investigarlo y dejarlo a un lado
• Se recomienda el uso de la encripción asimétrica
ya que se tiene una mayor seguridad en la
transferencia de la información
• Para un correcto funcionamiento de una empresa,
se recomienda elaborar las políticas de seguridad
de todos y cada uno de los activos de tecnología y
servicios
Recomendaciones
• Las políticas de seguridad deben ser claras,
concisas, los alcances, para quien esta dirigida.
• Se recomienda principalmente la capacitación del
personal y la difusión en su totalidad de estas
políticas ya que se deben ocupar diariamente.
GRACIAS!