Riesgos de Auditoría e-business

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Riesgos de Auditoría e-business"

Julia Agüero Quintana
hace 8 años
Vistas:

1 Gracias Riesgos de Auditoría e-business Tecnología de Telecomunicaciones Auditor de Tecnologías de la Información 1

2 Objetivo General Desarrollar el sitio web de la empresa ventas de diversos artículos para el hogar Sodimac. para establecer presencia, fortalecer imagen corporativa y generar diferenciación del servicio. Objetivos Específicos Desarrollar un sistema bajo arquitectura Internet (web) que permita vender a través de una página web, entregando el mejor servicio del mercado a nuestros clientes. Establecer canales de comunicación con potenciales clientes. Ser un canal de difusión de los productos y servicios de la empresa. Implementar sistema de seguridad de protección de datos de la empresa 2

Objetivos Específicos Desarrollar un sistema bajo arquitectura Internet (web) que permita vender a través de una página web, entregando el mejor

3 Diagrama Funcional SIA Ventas Cliente Grabaciones PostVenta Ingreso Datos Consultas Ingreso Datos Consultas Ingreso Datos Consultas Consultas Clientes Programación Datos Producción Listado Clientes Solicitud Producción Solicitud de Cotización Listado de Producciones Listado de Programación Listado Cotizaciones Consulta Programación Listado de Producción Estimación Costo Hardware Instalaciones Propias Características Costos US Firewall puede ser un servidor linux 800 IDS de Host Servidor Web Snort 800 Servidor Proxy en la Dmz 800 Servidor Web en la Dmz Servidor DNS en la Dmz 800 Servidor de BD en la LAN Windows 2000 Server 800 Sql Server 1200 Total :

Listado de Producción Estimación Costo Hardware Instalaciones Propias Características Costos US Firewall puede ser un servidor linux 800 IDS de Host Servidor Web Snort

4 Plataforma Propuesta Protocolos Basados en Plataforma Microsoft Base de SQL Server Windows 2000 Server Advanced Costos Hosting Configuración Mínima Servidores: - Procesador Xeon 2.4 GB, 1GB RAM, 18GB HD - Servidor de WEB y Aplicación - Servidor de Base Datos - Una licencia de Microsoft Windows 2000 Server. - Una Licencia SQL SErver -IIS Costo Mensual El costo depende de factores, como: número de servidores, servicios asociados, calidad del ancho banda, uptime y otros. Rangos: US 200 a US 700 +IVA 4

4 GB, 1GB RAM, 18GB HD - Servidor de WEB y Aplicación - Servidor de Base Datos - Una licencia de Microsoft Windows 2000

5 Configuración de Seguridad Alcances de Seguridad Seguridad en Transacciones On Line La seguridad en las transacciones por Internet depende del sitio en el cuál vamos a realizar una compra. Por ello es conveniente que el sitio sea un sitio conocido y digno de confianza, además debe cumplir con los siguientes requisitos de seguridad: El sitio en cuestión debe disponer de tecnología SSL (Secure Socket Layer). El sitio debe mostrar su certificado digital. (El sistema Digital de Veri Sign, certifica la conexión al sitio a través de identificación digital) El sitio debe realizar la comprobación de la identidad de los usuarios 5

Por ello es conveniente que el sitio sea un sitio conocido y digno de confianza, además debe cumplir con los siguientes requisitos de seguridad: El sitio en

6 Vulnerabilidades Más s Conocidas en Internet Espionaje o alteración n de mensajes enviados y recibidos desde Internet. Recepción n de virus y caballos de Troya vía v a anexo del- Ejecución n de código c malicioso en el PC Sniffer de la red Obtención n de passwords Averiguación n de vulnerabilidades en el sistemas operativos y servicios que están n ejecutando en los equipos de la red. Aprovechamiento de la página p Web con diferentes vulnerabilidades. Ejecución n de ataques específicos IP Spoofing Ping flood (tormentas de ping) Syn flood (inundación n de SYNs) Land Teardrop TCP hijacking (rapto de conexiones TCP) Sniffer de passwords Ataques (DDdoS( attacks). Vulnerabilidades Más s Conocidas en Internet 6

vulnerabilidades en el sistemas operativos y servicios que están n ejecutando en los equipos de la red. Aprovechamiento de la página p Web con diferentes vulnerabilidades.

7 virus troyanos Bugs.. y exploits Bombas lógicasl Amenazas lógicas gusanos Puertas de atrás Herramientas de seguridad Técnicas Salami Cuáles son las consecuencias? Responsabilidades legales Pérdida de confianza de los accionistas 30 segundos en las noticias de la televisión Falta de confianza de los clientes en B2C Mala imagen corporativa Baja productividad de los empleados Pérdida de beneficios Pérdidas en la propiedad intelectual etc. 7

8 Técnicas de Seguridad Generales Estándares como ISO/ BS Implementar Políticas y Procedimientos Antivirus Compromiso de Gerentes y Usuarios con la Seguridad Técnicas de Seguridad Particulares Firewall, Proxy y DMZ IDS Sistemas de Encriptación 8

Gerentes y Usuarios con la Seguridad Técnicas de Seguridad

9 Web, FTP, Correo Servidor1 Cortafuegos y reglas Demonios / procesos Puertos FTP Correo Web Cortafuegos Origen Destino Puerto Acción Estac 1 Servidor1 21 Permitir TCP/IP Estac 1 Servidor1 25 Denegar Estac 1 Internet Firewall Zona Desmilitarizada Firewall / Proxy Proxy Correo Web Base Datos pública Red Interna... Base Datos privada 9

21 Permitir TCP/IP Estac 1 Servidor1 25 Denegar Estac 1 Internet Firewall Zona

10 Opciones de Implementación IDS Servers Router Firewall D M Z Clients IDS Server Web Server IDS Autoridad de Certificación BD solicitudes Autoridad de Registro Datos validados Certificado BD certificados Solicitudes Certificado Certificado CRL Usuarios Consulta LDAP Certificados válidos Certificados Revocados Repositorio 10

Registro Datos validados Certificado BD certificados Solicitudes Certificado

11 Cliente No Auténtico? Si Continuar? No SSL Si Fin SSL :// Generador de claves Clave simétrica de sesión Clave Pública servidor Clave simétrica de sesión ase4bhl Certificado servidor Clave Privada servidor Servidor Clave simétrica de sesión VPN Las redes privadas virtuales crean un túnel o conducto de un sitio a otro para transferir datos a esto se le conoce como encapsulación además los paquetes van encriptados de forma que los datos son ilegibles para los extraños 11

servidor Clave Privada servidor Servidor Clave simétrica de sesión VPN Las redes privadas virtuales crean un túnel o

12 Análisis de Vulnerabilidades corrective action report Vulnerability: GetAdmin Severity: High Risk IP Address: OS: Windows NT 4.0 Fix: From the Start menu, choose Programs/Administrative Tools/User Manager. Under Policies/User Rights, check the users who have admin privileges on that host. Stronger action may be needed, such as reinstalling the operating system from CD. Consider this host compromised, as well as any passwords from any other users on this host. In addition, Apply the post-sp3 getadmin patch, or SP4 when available. Also refer to Microsoft Knowledge Base Article Q txt. Datos seguros Si se cumplen estos principios, diremos en general que los datos están protegidos y seguros. DATOS DATOS DATOS Confidencialidad Integridad Disponibilidad DATOS Datos Seguros 12

Stronger action may be needed, such as reinstalling the operating system from CD. Consider this host compromised, as well as any passwords from any other users on this host.

13 Conclusiones Conclusión El desarrollo de este trabajo, nos permitió comprender el significado de muchos temas de uso cotidianos en el ámbito de la computación y la importancia de la seguridad. De la relación Informática y Seguridad nace una disciplina, que debe ser transmitida como metodología de trabajo para todos los usuarios, y prevenir así daños a la Información de la empresa o institución. No es menos importante mencionar concluir, que el desarrollo de un documento para la implementación de la seguridad en Internet, presenta una serie de dificultades, ya que a medida que íbamos investigando los distintos tipos de tecnologías y escenarios que existen para la conexión a Internet, nos percatamos que son altamente complejos por la cantidad de tópicos que se debe dominar para entender a cabalidad la Seguridad en Internet. 13

14 14

Documentos relacionados

nos interesa, analizaremos la solución de la empresa

nos interesa, analizaremos la solución de la empresa UTM Unified Threat Management o Gestión Unificada de Amenazas, como su nombre lo indica es una aplicación o equipo donde se centraliza la gestión de la seguridad informática en una red. En pocas palabras,