e-business: Modelos de Seguridad Lamina de Ajuste 1 Seguridad e-business Análisis de Riesgos Ambiente de Control Fuente: Internet, bibliografía y de elaboración propia. Eduardo Leyton Guerrero Auditor de Tecnologías de la Información www.e-cronia.com www.eduardoleyton,com Saltar a la primera página www.e-cronia.com 1
e-business: Modelos de Seguridad ESTRUCTURA DE SEGURIDAD FISICA Y LOGICA APLICADA A LAS TECNOLOGIAS WEB (C.E.) Concepto y Tipo de Firewalls a) Firewalls de Filtrado de Paquetes. b) Firewalls del Nivel de Aplicación. c) Firewalls Hibridos. 3 4 www.e-cronia.com 2
e-business: Modelos de Seguridad 5 COMPONENTES DE LA SEGURIDAD INTEGRAL PARA COMERCIO ELECTRONICO: Secure Socket Layer (SSL) Secure Electronic Transactions (SET) Encriptacion de Datos La Firma Digital Entidades Certificadoras 6 www.e-cronia.com 3
e-business: Modelos de Seguridad ENCRIPTACION Encriptación Permite codificar información confidencial de tal modo que a simple vista su sentido no es legible a una persona no Autorizada. La información se conoce como texto plano y la operación de camuflar se conoce como cifrado. El texto cifrado se conoce como criptograma 7 ENCRIPTACION SIMETRICA Misma Llave ASIMETRICA Llave Pública Llave Privada 8 www.e-cronia.com 4
e-business: Modelos de Seguridad CRIPTOGRAFIA ASIMETRICA Cada participante tiene un par de claves Llave Privada ( conocida sólo por su dueño) Llave Pública ( conocida por todos) Todo lo que se encripta con la llave privada se desencripta con la llave pública y viceversa 9 ENCRIPTACION Si Juan quiere mandarle un mensaje privado a María : Lo encripta con la llave pública de María (conocida y publicada) Sólo María lo podrá desencriptar con su llave privada 10 www.e-cronia.com 5
e-business: Modelos de Seguridad ENCRIPTACION Si Juan quiere mandarle un mensaje a alguien que pueda verificar que el mensaje viene de Juan Lo encripta con su propia llave ( la de Juan) El destinatario lo desencripta con la llave pública de Juan, con lo cual verifica su autenticidad 11 FIRMA DIGITAL Es el resultado de procesar un mensaje electrónico, a través de un algoritmo asimétrico, utilizando la llave privada del Emisor. Previene Falsificación de la Firma por el receptor o por cualquier tercero Repudiación del mensaje transmitido por el emisor. 12 www.e-cronia.com 6
e-business: Modelos de Seguridad FIRMA DIGITAL Clave privada emisor Documento con firma digital 13 ENTIDAD CERTIFICADORA Es una organización de Fe Pública que asumen la responsabilidad de registrar los antecedentes personales de aquellas personas naturales o jurídicas que, posteriormente, serán acreditadas virtualmente mediante la emisión, publicación y mantención de un certificado digital que les sirva de respaldo para firmar digitalmente sus documentos: 14 www.e-cronia.com 7
e-business: Modelos de Seguridad ENTIDADES CERTIFICADORAS EN CHILE 15 CERTIFICADO DIGITAL Documentos electrónicos que contienen la identificación y la llave pública de un usuario, el cual esta firmado por una entidad certificadora. Identificación de la Entidad Certificadora Identificación del Propietario Clave pública del usuario Período de Validez Firma de la Entidad Certificadora 16 www.e-cronia.com 8
e-business: Modelos de Seguridad Tema: ANALISIS DE RIESGOS: 17 AGENDA RIESGOS E-STADISTICAS MATRIZ 18 www.e-cronia.com 9
e-business: Modelos de Seguridad Riesgos en E-business Objetivos del Negocio La Infraestructura de los Modelos de Negocio Electronico deben Asegurar que Los Datos y Sistemas posean : PARA ASEGURAR LA CONTINUIDAD DEL NEGOCIO Y MINIMIZAR EL DAÑO ANTE UN INCIDENTE DE SEGURIDAD 19 Riesgos en E-business W.W.W. Vulnerable Origen A Internet D C Destino B F E Quién puede ver la información: : Origen, destino, A, B, C 20 www.e-cronia.com 10
e-business: Modelos de Seguridad Clasificación de Riesgos TECNICOS INGENIERIA SOCIAL FISICOS NEGOCIO INTRUSION ATAQUES A BASES DE DATOS. SUPLANTACION DE ID. TECNICAS PSICOLOGICAS. ERROR EN EL DISEÑO MAS ADECUADO DE RED. NEGOCIACION DE CONTRATOS ESTRATEGIA LOGISTICA Y DISTRIBUCION. 21 METODOS DE ATAQUE HACKING EAVESDROPPING Y PACKET SNIFFING SNOOPING Y DOWNLOADING TAMPERING O DATA DIDDIGLING SPOOFING JAMMING O FLOODING SPAM TROYANOS - WORMS BUGS - BACKDOORS OBJETIVO : ALTERAR ARCHIVOS Y REGISTROS, EPIONAJE INDUSTRIAL, DENEGACION DE SERVICIO ( SATURACION DE SISTEMAS ), INTERCEPCION, ROBO, SABOTAJE. 22 www.e-cronia.com 11
e-business: Modelos de Seguridad E STADISTICAS Válida hasta: 30 de Diciembre de 2004 Fuente: e-marketer Contexto: Latinoamérica 23 Transacciones Electrónicas en el Mundo En US$ Dólares Válida hasta: 13 de Octubre de 2001 Fuente: Forrester Research Inc. Contexto: mundial Válida hasta: 01 de Enero de 2005 Fuente: Jupiter Communications Contexto: Latinoamérica 24 www.e-cronia.com 12
e-business: Modelos de Seguridad Válida hasta: 31 de Diciembre de 2004 Válida hasta: 31 de Diciembre de 2004 Fuente: emarketer Contexto: Latinoamérica Fuente: emarketer Contexto: Latinoamérica 25 Estudio realizado en España se evaluaron dos criterios, Seguridad y Devoluciones, basándose en una muestra tomada de la base de datos del portal dondecomprar.com (información al consumidor sobre la compra on-line). La muestra fue de 500 tiendas : Hispanoamérica. Estimación del % de Devoluciones y % de Seguridad de las punto-com de Hispanoamérica 26 www.e-cronia.com 13
e-business: Modelos de Seguridad Vulnerabilidad en E-business Válida hasta: 13 de Octubre de 2001 Fuente: Forrester Research Inc. Contexto: mundial 27 TECNICOS E - BUSINESS IMPORTANCIA PROBABILIDAD ETAPA DE PESO DEL DE COMERCIO DEL RECURSO A M E N A Z A / I M P A C T O OCURRENCIA ELECTRONICO RECURSO ( W i ) ( R i ) ( C ei ) ( R te ) Microsoft IIS 4, Microsoft Index Server 5 Microsoft Index Server revela la estructura de directorios 0,6 3 9 Microsoft Front Page 3 Contraseña de Administrador en FrontPage,archivo "administrators" de libre acceso 0,5 3 4,5 ATAQUES DE NEGACION DE SERVICIO Windows 9x, Nt 2000 6 Servidores Web con Microsoft IIS 4 PHP 3 4 BASE DE DATOS ABIERTAS SIMULACION DE UNA MATRIZ DE RIESGOS EN NIVEL DE COMERCIO ELECTRONICO 3 N O M B R E RECURSOS DE E - BUSINESS Funtime Apocalypse,utilizado para ataques con tiempo dirigido a computadores remotos Cabecera mal formada en IIS,mediante una peticion HTTP,un usuario remoto consume toda la memoria del sistema Metacaracteres PHP3,es un lenguaje utilizado por servidores(mala configuracion) permite la ejecucion de mandatos por el atacante 1 3 18 0,8 3 9,6 0,6 3 7,2 Cualquier Plataforma 10 Desbordamiento de memoria intermedia en SQL Server 0,7 3 21 Windows 9x, Nt 2000 10 Xp_cmdshell, este proceso de microsoft SQL server obtiene privilegios de administrador de Windows NT 0,5 3 15 CORREO ELECTRONICO ABIERTO Send-Mail 9 Desbordamiento de memoria intermedia (spam) en Sendmai 0,9 3 24,3 28 www.e-cronia.com 14
e-business: Modelos de Seguridad INGENIERIA SOCIAL Todos los recursos de TI 10 Todos los recursos de TI 10 Todos los recursos de TI 10 FISICOS N O M B R E SIMULACION DE UNA MATRIZ DE RIESGOS EN NIVEL DE COMERCIO ELECTRONICO 3 RECURSOS DE E - BUSINESS IMPORTANCIA PROBABILIDAD ETAPA DE PESO DEL DE COMERCIO DEL RECURSO A M E N A Z A / I M P A C T O OCURRENCIA ELECTRONICO RECURSO ( W i ) ( R i ) ( C ei ) ( R te ) Vía telefónica, a traves de suplantación de identidad de personeros claves o solicitud de información. Vía Web, por la existencia de Portales-espejo que recaban información clave Vía E-Mail, por exposición a virus, suplantación de identidad o solicitud de información. 0,9 3 27 0,5 3 15 0,6 3 18 Redes LAN 9 Error en el diseño mas adecuado a la organización 0,9 3 24,3 Redes de toplología BUS 9 Dependencia conjunta de todos los componentes de la red, y de dificil detección 0,9 3 24,3 Redes de toplología BUS 9 Colisión de mensajes. 0,8 3 21,6 Redes de toplología BUS 9 El sitema no reparte equitativamente los recursos 0,4 3 10,8 29 NEGOCIO N O M B R E LEGALES - LOGISTICA Y DISTRIBUCION SIMULACION DE UNA MATRIZ DE RIESGOS EN NIVEL DE COMERCIO ELECTRONICO 3 Contractuales 10 Jurisdiccionales 10 Propiedad Intelectual 10 Internos o Relacionados con el contenido 10 Políticas en la fijación de precios 8 Productos listos para la venta 8 Productos Terminados 10 RECURSOS DE E - BUSINESS IMPORTANCIA PROBABILIDAD ETAPA DE PESO DEL DE COMERCIO DEL RECURSO A M E N A Z A / I M P A C T O OCURRENCIA ELECTRONICO RECURSO ( W i ) ( R i ) ( C ei ) ( R te ) Clausulas indemnizatorias por incumplimiento en contratos sobre Comercio Electrónico Falta de analisis jurisdiccional previo de las transacciones a realizar. El no registro de patentes tanto a nivel local, como países objetivos para futuros negocios. Uso indebido de los medios de correo electrónico, como medios difamatorios o sexualmente explícitos. Al eliminar participantes de la cadena de valor, se debe determinar el mejor precio para el mercado El C.E. Obliga a fabricantes a competir con sus propios distribuidores Error en la entrega de los productos solicitados. Daño en la imagen de la compañía 0,9 3 27 1 3 30 1 3 30 1 3 30 1 3 24 1 3 24 1 3 30 30 www.e-cronia.com 15
e-business: Modelos de Seguridad RECURSOS DE E-BUSINESS N O M B R E IMPORTANCIA PROBABILIDAD ETAPA DE PESO DEL DE COMERCIO DEL RECURSO OCURRENCIA ELECTRONICO RECURSO ( W i ) ( R i ) ( C ei ) ( R te ) TECNICOS 6,38 0,7 3 13,39 INGENIERIA SOCIAL 10 0,67 3 20 FISICOS 9 0,75 3 20,25 NEGOCIO 9,43 0,99 3 27.88 ( R te ) TOTAL 20,38 RIESGO TOTAL EMPRESA 30 25 30 20 15 20,38 10 7,5 5 0,3 0 MINIMO MEDIO ALEATORIO MAXIMO Rte Total 31 AGENDA - AUDITORÍA Metodología de Auditoría para evaluar el ambiente de control del comercio electrónico Construcción de Criterios técnicos Identificación de riesgos inherentes Cuantificación del riesgo Diseño de procedimientos sustantivos y de cumplimiento 32 www.e-cronia.com 16
e-business: Modelos de Seguridad Empresas Contexto General de Seguridad Quiere minimizar imponen Controles Agentes de amenazas Pueden ser reducidos por pueden tener conciencia generan Amenazas Que explotan Vulnerabilidades Que conducen quiere dañar Riesgos Recursos 33 Empresas imponen Contexto General de Seguridad Quiere minimizar Metodología Controles Pueden ser reducidos por identificar pueden tener conciencia Agentes de amenazas generan Amenazas Que explotan Vulnerabilidades Que conducen quiere dañar Riesgos Recursos 34 www.e-cronia.com 17
e-business: Modelos de Seguridad Contexto General de Seguridad Empresas Quiere minimizar Metodología imponen Controles Pueden ser reducidos por identificar identificar pueden tener conciencia Agentes de amenazas generan Amenazas Que explotan Vulnerabilidades Que conducen quiere dañar Riesgos Recursos 35 Contexto General de Seguridad Empresas imponen Controles Pueden ser reducidos por Quiere minimizar Metodología Evaluación detectar identificar identificar pueden tener conciencia Agentes de amenazas generan Amenazas Que explotan Vulnerabilidades Que conducen quiere dañar Riesgos Recursos 36 www.e-cronia.com 18
e-business: Modelos de Seguridad Contexto General de Seguridad Matriz riesgo construcción Metodología Controles Evaluación cuantificar el riesgo detectar identificar identificar Vulnerabilidades Informe Opinión Recomendaciones Que conducen Riesgos Recursos 37 Que proteger? 38 www.e-cronia.com 19
e-business: Modelos de Seguridad PRINCIPALES RECURSOS A PROTEGER E-BUSINESS : Confidencialidad, Integridad, Autenticación, No repudio, medios de pago, continuidad de servicio, etc. HARDWARE : Servidores, Routers, Cortafuegos, Impresoras, Pc, Líneas de comunicación, etc. SOFTWARE : Programas fuente, Programas objeto, sistemas operativos, Programas de comunicación, etc. DATA : Bases de datos, Logs de auditorías, Durante tiempo de ejecución, Almacenado en línea, etc. DOCUMENTOS: De programas, De hardware, De sistema, Procedimientos administrativos, etc.. 39 De que proteger? 40 www.e-cronia.com 20
e-business: Modelos de Seguridad Amenazas Acceso indebido a recursos Robo de información estratégica Adulteración / Destrucción de información Intercepción de información estratégica Cese de funcionamiento Quienes las generan? Amenazas internas: Amenazas externas: Amenazas estructuradas: Amenazas no estructuradas: 41 Razones Mayor complejidad => mayor vulnerabilidad Cambios en ambiente => nuevos riesgos Mayor conexión => Mayor exposición Crecimiento usuarios internet => crecimiento de usuarios que abusan. El anonimato incentiva el abuso La democratización de internet fortalece a los abusadores. 42 www.e-cronia.com 21
e-business: Modelos de Seguridad TECNICOS HUMANOS FISICOS CLASIFICACION DE LOS RIESGOS : Son todos aquellos riesgos que tinten relación con los recursos lógicos, es decir, los sistemas operativos y las aplicaciones especificas. : Son todos aquellos riesgos derivados del uso inapropiado de la información que posea la organización, tanto por personas pertenecientes a ella o terceros ajenos a la misma. : Son aquellos que afectan a los componentes físicos de una red computacional. DEL NEGOCIO: Son aquellos que afectan a la actividad principal del negocio. 43 Como lo están protegiendo? 44 www.e-cronia.com 22
e-business: Modelos de Seguridad Qué, Cómo, Cuando y donde Proteger? 45 Hackers, Crackers, Phackers,.: Bad Boy 46 www.e-cronia.com 23
e-business: Modelos de Seguridad 47 48 www.e-cronia.com 24
e-business: Modelos de Seguridad 49 50 www.e-cronia.com 25
e-business: Modelos de Seguridad Red Interna Corporativa Red privada Virtual V.P.N. Red Interna Móvil - Agencias Túnel de información privado y encriptado 51 52 www.e-cronia.com 26
e-business: Modelos de Seguridad 53 Oficina Corporativa DMZ SOHO Socios Sucursal VPN Oficina Extranjero DMZ 54 www.e-cronia.com 27
e-business: Modelos de Seguridad 55 56 www.e-cronia.com 28
e-business: Modelos de Seguridad Políticas de Seguridad Conjunto de normas y criterios escritos que determinan lo relativo al uso y resguardo de los recursos de una organización. Riesgo = Vulnerabilidad + Amenazas + Impacto POLITICAS DE SEGURIDAD MECANISMOS DE SEGURIDAD 57 Sistema de Seguridad Seguridad Preventiva Seguridad Perimetral Seguridad Activa Políticas de Seguridad 58 www.e-cronia.com 29
e-business: Modelos de Seguridad Qué son? Seguridad Preventiva Defectos de Software (Bugs) Errores Humanos y Desconfiguración Servicios Activos - Inactivos Múltiples puntos de acceso a mis recursos Etc. Búsqueda de Vulnerabilidades en servicios de red, sistemas operativos, aplicaciones, etc. 59 Seguridad Perimetral Cortafuegos Cortafuego es un dispositivo de seguridad, ubicado entre la red interna y la red externa que conjuga los diferentes mecanismos de seguridad : Implementa : Autenticación Internet Router Red Interna DMZ Desmilitarizada Control de acceso Encriptación - VPN WEB Cortafuego Equipos Servidores Red Interna Privada Web intranet B.D. 60 www.e-cronia.com 30
e-business: Modelos de Seguridad Seguridad activa Búsqueda de Amenazas Qué son? : Acceso no autorizado ( R / W / X ), Denegación de servicios. Quienes las generan son? Mal Uso Ataques Personas u organizaciones que explotan las vulnerabilidades Amenazas Internas Externas Estructuradas No estructuradas 61 Ciclo de la Seguridad Políticas de Seguridad Auditoría 62 www.e-cronia.com 31
e-business: Modelos de Seguridad Búsqueda de Vulnerabilidad : Buscar Vulnerabilidades Recomendar Acciones Correctivas Operación Centralizada Ejemplos : Internet Scanner System Scanner Data Base Scanner IDS (Am-IA) Herramientas de apoyo 63 Como cuantificar el riesgo? 64 www.e-cronia.com 32
e-business: Modelos de Seguridad RECURSO A B IMPORTANCIA DEL RECURSO 3 2 MATRIZ DE RIESGO Wi Ri Cei AMENAZA / IMPACTO PROBABILIDAD DE RIESGO C 2 1 0,4 12,8 RIESGO TOTAL EMPRESA = = 4,27 3 2 2 0,7 0,5 ETAPA DEL C.ELECTRONICO 2 1 3 PESO DEL RECURSO 8,4 2,0 2,4 TOTAL 12,8 Riesgoempresa = n (Wi * Ri * Cei) i=1 n 65 Riesgo Bajo Riesgo Medio Riesgo Alto 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 Peso del Riesgo 66 www.e-cronia.com 33
e-business: Modelos de Seguridad En que nos podemos apoyar? BS7799 - ISO17799 Common Criteria - ISO 15408 67 Reflexión Final (Seguridad en Modelos Negocios) Lo único cierto hoy, es que en el futuro cercano el paradigma Empresa y las relaciones con su entorno competitivo, serán exponencialmente inciertos a medida que transcurra el tiempo; implicando ello la construcción simultánea de nuevas visiones y herramientas de gestión de viabilidad. Mientras aquello suceda; se generará un disco de acreción entorno al objeto empresa, donde la singularidad será total, dando paso a la Economía Cuantica. E. Leyton G. 68 www.e-cronia.com 34
e-business: Modelos de Seguridad PREGUNTAS 69 www.e-cronia.com 35