Seguridad Informática

Realizado por: Daniela Santos.

Delincuentes informáticos• Hackers: Genios de la computación, que revisan

información privada y explotan vulnerabilidades

• Crackers: Hackers dedicados a causar daños

Problemas de Seguridad

Aspectos importantes• Vulnerabilidades físicas

• Vulnerabilidades lógicas

• Antivirus

• Parches de seguridad

• No encripción de la información (texto plano)

• Servidores de respaldo

• Pruebas de contingencia

• Políticas de seguridad

Componentes de seguridad

• Políticas de seguridad

• Políticas de Password con caducidad y normas

• Políticas de Autenticación

• Permisos

• Encripción de datos

• Mecanismos adicionales

Niveles de Seguridad

• Nivel D1o Forma baja de seguridad

• Nivel C1 y C2o C1: Seguridad discrecional, identificación de usuarios

o C2: Restringir mas a los usuarios

• Nivel B1, B2 y B3o B1: Seguridad multinivel

o B2: Protección estructurada (requiere etiquetación de objetos)

o B3: Dominios de seguridad, se ayuda de hardware adicional

• Nivel Ao Diseño verificado, nivel mas alto de seguridad

Políticas de Seguridad

• Una forma de comunicarse con los usuarios y gerentes

• Es un conjunto de requisitos definidos por los

responsables de un sistema que indica en términos

generales que es lo que esta y no permitido.

• Debe especificar alcances

• Debe especificar los objetivos

• Debe definirse las violaciones

• Se indican las responsabilidades

Difusión

Tipos de Políticas de Seguridad

• Políticas de seguridad administrativa

• Políticas de seguridad para el personal

• Políticas de seguridad lógica

• Políticas de seguridad física.

• Políticas de seguridad en la comunicación de

datos

Tecnologías de Seguridad• Firewall

o Parte de un sistema o una red que está diseñada para bloquear el

acceso no autorizado

• VPN (Virtual Private Network)o Es una tecnología de red que permite una extensión segura de la red

local (LAN) sobre una red pública

• Seguridad 802.1xo Autenticación de usuarios para acceso a la red de datos

• HTTPSo Protocolo de aplicación basado en el protocolo HTTP, destinado a la

transferencia segura de datos de Hipertexto

Protocolos de Seguridad

• Un protocolo de seguridad es la parte visible de

una aplicación

• Conjunto de programas y actividades que

cumplen con un objetivo específico mediante el

uso de esquemas de seguridad criptográfica

Tipos de Protocolos de seguridad

• SSL (Security Socket Layer): Protocolos criptográficos que

proporcionan comunicaciones seguras por una red

• PGP (Pretty Good Privacy): Es un protocolo libre ampliamente

usado de intercambio de correo electrónico seguro

• SET (Secure Electronic Transaction: Es un protocolo que permite

dar seguridad en las transacciones por Internet usando tarjeta

de crédito

• HTTPS: Uno de los usos comunes de SSL es el de establecer una

comunicación Web segura entre un browser y un Web Server

• SSH (Secure Shel): Aplicación para emplear un terminal de ordenador a distancia, de forma segura.

Importancia de los Datos

• Integridad

• Confiabilidad

• Disponibilidad

Criptografía• La criptografía actualmente se encarga del estudio

de los algoritmos, protocolos y sistemas que se

utilizan para dotar de seguridad a las

comunicaciones

Criptografía• En comercio electrónico se busca la manera de

que las transacciones electrónicas sean 100%

seguras y no existan fraudes

Cómo se logra?• Certificado Digital

• Autoridad Certificadora

• Uso correcto de los Certificados

Certificado Digital• El Certificado Digital es un documento electrónico

que relaciona una identidad con una Llave Pública. Es proporcionado por una Empresa Certificadora como por ejemplo Verisign Secured.

• Sus componentes principales son: Una Llave Pública Información del dueño del certificado

Información del emisor de ese certificado

Periodo de validez

Un identificador único

La Firma Digital del emisor

Certificado Digital

• Asegurar la integridad y confidencialidad de la

información, así como autenticar los interlocutores

de las transacciones en los Sitios Web.

Infraestructura PKIde Autoridad Certificadora

CA

Raiz

CA

Entidad 1

CA

Entidad 2

USUARIOS

CA

Entidad 3

USUARIOSUSUARIOS

CA

locales

CA

locales

CA

locales

Firma Digital

Firma Digital

• Una firma digital es un mecanismo criptográfico

que permite al receptor de un mensaje firmado

digitalmente determinar la entidad originadora de

dicho mensaje (autenticación de origen y no

repudio), y confirmar que el mensaje no ha sido

alterado desde que fue firmado por el originador

(integridad)

• Tiene igual validez y efectos jurídicos que una firma

manuscrita.

Clave o CritpografíaSimétrica

• Es un método criptográfico en el cual se usa una

misma clave para cifrar y descifrar mensajes. Las

dos partes que se comunican han de ponerse de

acuerdo de antemano sobre la clave a usar.

• El problema Radica en que la clave igual debe

enviarse mediante la red de datos y puede ser vista

Clave o Criptografía Asimétrica

1) David redacta un mensaje

2) David firma digitalmente el mensaje con su clave privada

3) David envía el mensaje firmado digitalmente a Ana a través de

internet, ya sea por correo electrónico, mensajería instantánea o

cualquier otro medio

4) Ana recibe el mensaje firmado digitalmente y comprueba su

autenticidad usando la clave pública de David

5) Ana ya puede leer el mensaje con total seguridad de que ha sido

David el remitente

Aspectos Jurídicos

• DEFINICION LEGAL DE COMERCIO ELECTRÓNICO:

• Comprende todas aquellas transacciones

comerciales, nacionales e internacionales, que se

realizan por medio del intercambio electrónico de

datos y por otros medios de comunicación, en los

que se usan métodos de comunicación y

almacenamiento de información substitutivos de

los que usan papel

Aspectos Jurídicos

• Se regula los mensajes de datos, la firma

electrónica, los servicios de certificación, la

contratación electrónica y telemática

• Los mensajes de datos tendrán igual valor jurídico

que los documentos escritos

• Los mensajes de datos estarán sometidos a las

leyes, reglamentos y acuerdos internacionales

relativos a la propiedad intelectual

Ejemplo de Portal Certificado

• Ingreso a e-bankingo http://www.pichincha.com (web normal no certificado)

o Se ingresa en Banco Electrónica de Personas

• Una vez en Banca Personas se redireccióna a la

dirección:o https://www.pichincha.com/internexo.html (web certificada)

Ejemplo

Ejemplo • Comprobación de Sitio Certificado

o Damos Click en el candado de la pagina web

• Se comprueba que esta certificado y pomos llenar fácilmente la información

Conclusiones• Los certificados electrónicos deben estar respaldados por

una unidad certificadora, pero esta unidad certificadora

debe estar certificada igualmente por una de mayor

jerarquía, es por eso que se tiene que saber cuales son las

empresas certificadores de confianza

• Las transacciones seguras se nos presentan en la pantalla

con un visto, o un verde para proseguir, si no están estos

colores no se tiene que seguir ya que significa que no se

pudo certificar la pagina web visitada

• Antes de ingresar información bancaria se tiene que

cerciorar que se encuentre establecida una conexión

https

Recomendaciones• Se recomienda revisar los certificados electrónicos

de todas las paginas web donde se realicen

comercio electrónico

• Si se tiene dudas de una transacción o comercio

electrónico hay que investigarlo y dejarlo a un lado

• Se recomienda el uso de la encripción asimétrica

ya que se tiene una mayor seguridad en la

transferencia de la información

• Para un correcto funcionamiento de una empresa,

se recomienda elaborar las políticas de seguridad

de todos y cada uno de los activos de tecnología y

servicios

Recomendaciones

• Las políticas de seguridad deben ser claras,

concisas, los alcances, para quien esta dirigida.

• Se recomienda principalmente la capacitación del

personal y la difusión en su totalidad de estas

políticas ya que se deben ocupar diariamente.

GRACIAS!