Seguridad e-business



Documentos relacionados
Seguridad en la transmisión de Datos

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Seguridad Perimetral. Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

Resumen de los protocolos de seguridad del Registro Telemático

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

Curso de doctorado. Seguridad en Redes de Ordenadores. Tema 1: Introducción a la seguridad informática

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Tecnología en Seguridad Perimetral

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Ing. Cynthia Zúñiga Ramos

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia

Gestión de Seguridad Informática

Infraestructura Extendida de Seguridad IES

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

La Empresa en Riesgo?

mope SEGURIDAD INFORMÁTICA

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Introducción a la Firma Electrónica en MIDAS

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

CI Politécnico Estella

Riesgos de Auditoría e-business

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

Factores en el mercado de seguridad TI en la protección de la información y los accesos remotos

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

Encriptación: de lo básico a lo estratégico

Anexo I. Politicas Generales de Seguridad del proyecto CAT

CURSO SEGURIDAD DE REDES INFORMÁTICAS Y PROTECCIÓN DE COMERCIO ELECTRÓNICO. www qalamo com info qalamo com C José Abascal º Dcha

OBJETIVOS. Seguridad en el SID. INTERNET E INTRANET ÍNDICE MODELO DE RED CORPORATIVA. Tema VII

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

Glosario. Términos en México

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Seguridad de la información en SMart esolutions

Políticas de seguridad de la información. Empresa

2. Requerimientos Técnicos

ESTUDIOS PREVIOS PARA CONTRATAR LA ADQUISICION DE DOS CERTIFICADOS DIGITALES DE SITIO SEGURO SSL.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

CONFIGURACIÓN PARA CORREO ELECTRÓNICO SEGURO CON MOZILLA

Semana 10: Fir Fir w e a w lls

Potenciando Internet

Protecting the IT environment and minimizing external threats. Hernán Figueroa E. Jefe de Informática Cámara de Diputados - Chile

GLOSARIO AGAC ALAC. Agencia Certificadora

PROGRAMA DE ESTUDIO Área de Formación : Optativa Programa elaborado por:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:


Día 1, Taller hacia un correo limpio y seguro

Agenda. Seguridad y Control en las Organizaciones Electrónicas (e-business)

INFOGUARD MONITOREO Y AUDITORIA DEL USO DE LA INFORMACIÓN

Servicios de Seguridad de la Información

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

METODOLOGIAS DE AUDITORIA INFORMATICA

Seguridad de la información

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Vicepresidencia de Regulación y Negocios con Operadores Bogotá D.C., Colombia Teléfono: Fax:

Resumen ejecutivo inventario de activos de información. Procesos Dir. Corporativa Recursos Tecnologicos

Firma Electrónica. Dirección Nacional de Aduanas. Conceptos básicos. Ana Laura Suárez Alejandro Rivoir

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Utilización del Acceso Remoto VPN. Ministerio del Interior N06

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Seguridad Informática

Seguridad Institucional

Proporcionó tales servicios de acuerdo con sus prácticas manifestadas.

Seguridad TIC en la PYME Semana sobre Seguridad Informática

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado

Seguridad de la Información & Norma ISO27001

[VPN] [Políticas de Uso]

SUBDIRECCIÓN DE ADMINISTRACIÓN

INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

Políticas de Seguridad de la información

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC (Tecnología de la Información Técnicas de Seguridad)

POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO P-01 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Glosario de términos

Proporciona cifrado de datos, autorización de servidores, integridad de mensajes y, opcionalmente, autorización de clientes para conexiones.

Es nuestra intención presentarnos ante ustedes y de esta forma mostrarles cada

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC Antonio Villalón Huerta Grupo S2

Transcripción:

e-business: Modelos de Seguridad Lamina de Ajuste 1 Seguridad e-business Análisis de Riesgos Ambiente de Control Fuente: Internet, bibliografía y de elaboración propia. Eduardo Leyton Guerrero Auditor de Tecnologías de la Información www.e-cronia.com www.eduardoleyton,com Saltar a la primera página www.e-cronia.com 1

e-business: Modelos de Seguridad ESTRUCTURA DE SEGURIDAD FISICA Y LOGICA APLICADA A LAS TECNOLOGIAS WEB (C.E.) Concepto y Tipo de Firewalls a) Firewalls de Filtrado de Paquetes. b) Firewalls del Nivel de Aplicación. c) Firewalls Hibridos. 3 4 www.e-cronia.com 2

e-business: Modelos de Seguridad 5 COMPONENTES DE LA SEGURIDAD INTEGRAL PARA COMERCIO ELECTRONICO: Secure Socket Layer (SSL) Secure Electronic Transactions (SET) Encriptacion de Datos La Firma Digital Entidades Certificadoras 6 www.e-cronia.com 3

e-business: Modelos de Seguridad ENCRIPTACION Encriptación Permite codificar información confidencial de tal modo que a simple vista su sentido no es legible a una persona no Autorizada. La información se conoce como texto plano y la operación de camuflar se conoce como cifrado. El texto cifrado se conoce como criptograma 7 ENCRIPTACION SIMETRICA Misma Llave ASIMETRICA Llave Pública Llave Privada 8 www.e-cronia.com 4

e-business: Modelos de Seguridad CRIPTOGRAFIA ASIMETRICA Cada participante tiene un par de claves Llave Privada ( conocida sólo por su dueño) Llave Pública ( conocida por todos) Todo lo que se encripta con la llave privada se desencripta con la llave pública y viceversa 9 ENCRIPTACION Si Juan quiere mandarle un mensaje privado a María : Lo encripta con la llave pública de María (conocida y publicada) Sólo María lo podrá desencriptar con su llave privada 10 www.e-cronia.com 5

e-business: Modelos de Seguridad ENCRIPTACION Si Juan quiere mandarle un mensaje a alguien que pueda verificar que el mensaje viene de Juan Lo encripta con su propia llave ( la de Juan) El destinatario lo desencripta con la llave pública de Juan, con lo cual verifica su autenticidad 11 FIRMA DIGITAL Es el resultado de procesar un mensaje electrónico, a través de un algoritmo asimétrico, utilizando la llave privada del Emisor. Previene Falsificación de la Firma por el receptor o por cualquier tercero Repudiación del mensaje transmitido por el emisor. 12 www.e-cronia.com 6

e-business: Modelos de Seguridad FIRMA DIGITAL Clave privada emisor Documento con firma digital 13 ENTIDAD CERTIFICADORA Es una organización de Fe Pública que asumen la responsabilidad de registrar los antecedentes personales de aquellas personas naturales o jurídicas que, posteriormente, serán acreditadas virtualmente mediante la emisión, publicación y mantención de un certificado digital que les sirva de respaldo para firmar digitalmente sus documentos: 14 www.e-cronia.com 7

e-business: Modelos de Seguridad ENTIDADES CERTIFICADORAS EN CHILE 15 CERTIFICADO DIGITAL Documentos electrónicos que contienen la identificación y la llave pública de un usuario, el cual esta firmado por una entidad certificadora. Identificación de la Entidad Certificadora Identificación del Propietario Clave pública del usuario Período de Validez Firma de la Entidad Certificadora 16 www.e-cronia.com 8

e-business: Modelos de Seguridad Tema: ANALISIS DE RIESGOS: 17 AGENDA RIESGOS E-STADISTICAS MATRIZ 18 www.e-cronia.com 9

e-business: Modelos de Seguridad Riesgos en E-business Objetivos del Negocio La Infraestructura de los Modelos de Negocio Electronico deben Asegurar que Los Datos y Sistemas posean : PARA ASEGURAR LA CONTINUIDAD DEL NEGOCIO Y MINIMIZAR EL DAÑO ANTE UN INCIDENTE DE SEGURIDAD 19 Riesgos en E-business W.W.W. Vulnerable Origen A Internet D C Destino B F E Quién puede ver la información: : Origen, destino, A, B, C 20 www.e-cronia.com 10

e-business: Modelos de Seguridad Clasificación de Riesgos TECNICOS INGENIERIA SOCIAL FISICOS NEGOCIO INTRUSION ATAQUES A BASES DE DATOS. SUPLANTACION DE ID. TECNICAS PSICOLOGICAS. ERROR EN EL DISEÑO MAS ADECUADO DE RED. NEGOCIACION DE CONTRATOS ESTRATEGIA LOGISTICA Y DISTRIBUCION. 21 METODOS DE ATAQUE HACKING EAVESDROPPING Y PACKET SNIFFING SNOOPING Y DOWNLOADING TAMPERING O DATA DIDDIGLING SPOOFING JAMMING O FLOODING SPAM TROYANOS - WORMS BUGS - BACKDOORS OBJETIVO : ALTERAR ARCHIVOS Y REGISTROS, EPIONAJE INDUSTRIAL, DENEGACION DE SERVICIO ( SATURACION DE SISTEMAS ), INTERCEPCION, ROBO, SABOTAJE. 22 www.e-cronia.com 11

e-business: Modelos de Seguridad E STADISTICAS Válida hasta: 30 de Diciembre de 2004 Fuente: e-marketer Contexto: Latinoamérica 23 Transacciones Electrónicas en el Mundo En US$ Dólares Válida hasta: 13 de Octubre de 2001 Fuente: Forrester Research Inc. Contexto: mundial Válida hasta: 01 de Enero de 2005 Fuente: Jupiter Communications Contexto: Latinoamérica 24 www.e-cronia.com 12

e-business: Modelos de Seguridad Válida hasta: 31 de Diciembre de 2004 Válida hasta: 31 de Diciembre de 2004 Fuente: emarketer Contexto: Latinoamérica Fuente: emarketer Contexto: Latinoamérica 25 Estudio realizado en España se evaluaron dos criterios, Seguridad y Devoluciones, basándose en una muestra tomada de la base de datos del portal dondecomprar.com (información al consumidor sobre la compra on-line). La muestra fue de 500 tiendas : Hispanoamérica. Estimación del % de Devoluciones y % de Seguridad de las punto-com de Hispanoamérica 26 www.e-cronia.com 13

e-business: Modelos de Seguridad Vulnerabilidad en E-business Válida hasta: 13 de Octubre de 2001 Fuente: Forrester Research Inc. Contexto: mundial 27 TECNICOS E - BUSINESS IMPORTANCIA PROBABILIDAD ETAPA DE PESO DEL DE COMERCIO DEL RECURSO A M E N A Z A / I M P A C T O OCURRENCIA ELECTRONICO RECURSO ( W i ) ( R i ) ( C ei ) ( R te ) Microsoft IIS 4, Microsoft Index Server 5 Microsoft Index Server revela la estructura de directorios 0,6 3 9 Microsoft Front Page 3 Contraseña de Administrador en FrontPage,archivo "administrators" de libre acceso 0,5 3 4,5 ATAQUES DE NEGACION DE SERVICIO Windows 9x, Nt 2000 6 Servidores Web con Microsoft IIS 4 PHP 3 4 BASE DE DATOS ABIERTAS SIMULACION DE UNA MATRIZ DE RIESGOS EN NIVEL DE COMERCIO ELECTRONICO 3 N O M B R E RECURSOS DE E - BUSINESS Funtime Apocalypse,utilizado para ataques con tiempo dirigido a computadores remotos Cabecera mal formada en IIS,mediante una peticion HTTP,un usuario remoto consume toda la memoria del sistema Metacaracteres PHP3,es un lenguaje utilizado por servidores(mala configuracion) permite la ejecucion de mandatos por el atacante 1 3 18 0,8 3 9,6 0,6 3 7,2 Cualquier Plataforma 10 Desbordamiento de memoria intermedia en SQL Server 0,7 3 21 Windows 9x, Nt 2000 10 Xp_cmdshell, este proceso de microsoft SQL server obtiene privilegios de administrador de Windows NT 0,5 3 15 CORREO ELECTRONICO ABIERTO Send-Mail 9 Desbordamiento de memoria intermedia (spam) en Sendmai 0,9 3 24,3 28 www.e-cronia.com 14

e-business: Modelos de Seguridad INGENIERIA SOCIAL Todos los recursos de TI 10 Todos los recursos de TI 10 Todos los recursos de TI 10 FISICOS N O M B R E SIMULACION DE UNA MATRIZ DE RIESGOS EN NIVEL DE COMERCIO ELECTRONICO 3 RECURSOS DE E - BUSINESS IMPORTANCIA PROBABILIDAD ETAPA DE PESO DEL DE COMERCIO DEL RECURSO A M E N A Z A / I M P A C T O OCURRENCIA ELECTRONICO RECURSO ( W i ) ( R i ) ( C ei ) ( R te ) Vía telefónica, a traves de suplantación de identidad de personeros claves o solicitud de información. Vía Web, por la existencia de Portales-espejo que recaban información clave Vía E-Mail, por exposición a virus, suplantación de identidad o solicitud de información. 0,9 3 27 0,5 3 15 0,6 3 18 Redes LAN 9 Error en el diseño mas adecuado a la organización 0,9 3 24,3 Redes de toplología BUS 9 Dependencia conjunta de todos los componentes de la red, y de dificil detección 0,9 3 24,3 Redes de toplología BUS 9 Colisión de mensajes. 0,8 3 21,6 Redes de toplología BUS 9 El sitema no reparte equitativamente los recursos 0,4 3 10,8 29 NEGOCIO N O M B R E LEGALES - LOGISTICA Y DISTRIBUCION SIMULACION DE UNA MATRIZ DE RIESGOS EN NIVEL DE COMERCIO ELECTRONICO 3 Contractuales 10 Jurisdiccionales 10 Propiedad Intelectual 10 Internos o Relacionados con el contenido 10 Políticas en la fijación de precios 8 Productos listos para la venta 8 Productos Terminados 10 RECURSOS DE E - BUSINESS IMPORTANCIA PROBABILIDAD ETAPA DE PESO DEL DE COMERCIO DEL RECURSO A M E N A Z A / I M P A C T O OCURRENCIA ELECTRONICO RECURSO ( W i ) ( R i ) ( C ei ) ( R te ) Clausulas indemnizatorias por incumplimiento en contratos sobre Comercio Electrónico Falta de analisis jurisdiccional previo de las transacciones a realizar. El no registro de patentes tanto a nivel local, como países objetivos para futuros negocios. Uso indebido de los medios de correo electrónico, como medios difamatorios o sexualmente explícitos. Al eliminar participantes de la cadena de valor, se debe determinar el mejor precio para el mercado El C.E. Obliga a fabricantes a competir con sus propios distribuidores Error en la entrega de los productos solicitados. Daño en la imagen de la compañía 0,9 3 27 1 3 30 1 3 30 1 3 30 1 3 24 1 3 24 1 3 30 30 www.e-cronia.com 15

e-business: Modelos de Seguridad RECURSOS DE E-BUSINESS N O M B R E IMPORTANCIA PROBABILIDAD ETAPA DE PESO DEL DE COMERCIO DEL RECURSO OCURRENCIA ELECTRONICO RECURSO ( W i ) ( R i ) ( C ei ) ( R te ) TECNICOS 6,38 0,7 3 13,39 INGENIERIA SOCIAL 10 0,67 3 20 FISICOS 9 0,75 3 20,25 NEGOCIO 9,43 0,99 3 27.88 ( R te ) TOTAL 20,38 RIESGO TOTAL EMPRESA 30 25 30 20 15 20,38 10 7,5 5 0,3 0 MINIMO MEDIO ALEATORIO MAXIMO Rte Total 31 AGENDA - AUDITORÍA Metodología de Auditoría para evaluar el ambiente de control del comercio electrónico Construcción de Criterios técnicos Identificación de riesgos inherentes Cuantificación del riesgo Diseño de procedimientos sustantivos y de cumplimiento 32 www.e-cronia.com 16

e-business: Modelos de Seguridad Empresas Contexto General de Seguridad Quiere minimizar imponen Controles Agentes de amenazas Pueden ser reducidos por pueden tener conciencia generan Amenazas Que explotan Vulnerabilidades Que conducen quiere dañar Riesgos Recursos 33 Empresas imponen Contexto General de Seguridad Quiere minimizar Metodología Controles Pueden ser reducidos por identificar pueden tener conciencia Agentes de amenazas generan Amenazas Que explotan Vulnerabilidades Que conducen quiere dañar Riesgos Recursos 34 www.e-cronia.com 17

e-business: Modelos de Seguridad Contexto General de Seguridad Empresas Quiere minimizar Metodología imponen Controles Pueden ser reducidos por identificar identificar pueden tener conciencia Agentes de amenazas generan Amenazas Que explotan Vulnerabilidades Que conducen quiere dañar Riesgos Recursos 35 Contexto General de Seguridad Empresas imponen Controles Pueden ser reducidos por Quiere minimizar Metodología Evaluación detectar identificar identificar pueden tener conciencia Agentes de amenazas generan Amenazas Que explotan Vulnerabilidades Que conducen quiere dañar Riesgos Recursos 36 www.e-cronia.com 18

e-business: Modelos de Seguridad Contexto General de Seguridad Matriz riesgo construcción Metodología Controles Evaluación cuantificar el riesgo detectar identificar identificar Vulnerabilidades Informe Opinión Recomendaciones Que conducen Riesgos Recursos 37 Que proteger? 38 www.e-cronia.com 19

e-business: Modelos de Seguridad PRINCIPALES RECURSOS A PROTEGER E-BUSINESS : Confidencialidad, Integridad, Autenticación, No repudio, medios de pago, continuidad de servicio, etc. HARDWARE : Servidores, Routers, Cortafuegos, Impresoras, Pc, Líneas de comunicación, etc. SOFTWARE : Programas fuente, Programas objeto, sistemas operativos, Programas de comunicación, etc. DATA : Bases de datos, Logs de auditorías, Durante tiempo de ejecución, Almacenado en línea, etc. DOCUMENTOS: De programas, De hardware, De sistema, Procedimientos administrativos, etc.. 39 De que proteger? 40 www.e-cronia.com 20

e-business: Modelos de Seguridad Amenazas Acceso indebido a recursos Robo de información estratégica Adulteración / Destrucción de información Intercepción de información estratégica Cese de funcionamiento Quienes las generan? Amenazas internas: Amenazas externas: Amenazas estructuradas: Amenazas no estructuradas: 41 Razones Mayor complejidad => mayor vulnerabilidad Cambios en ambiente => nuevos riesgos Mayor conexión => Mayor exposición Crecimiento usuarios internet => crecimiento de usuarios que abusan. El anonimato incentiva el abuso La democratización de internet fortalece a los abusadores. 42 www.e-cronia.com 21

e-business: Modelos de Seguridad TECNICOS HUMANOS FISICOS CLASIFICACION DE LOS RIESGOS : Son todos aquellos riesgos que tinten relación con los recursos lógicos, es decir, los sistemas operativos y las aplicaciones especificas. : Son todos aquellos riesgos derivados del uso inapropiado de la información que posea la organización, tanto por personas pertenecientes a ella o terceros ajenos a la misma. : Son aquellos que afectan a los componentes físicos de una red computacional. DEL NEGOCIO: Son aquellos que afectan a la actividad principal del negocio. 43 Como lo están protegiendo? 44 www.e-cronia.com 22

e-business: Modelos de Seguridad Qué, Cómo, Cuando y donde Proteger? 45 Hackers, Crackers, Phackers,.: Bad Boy 46 www.e-cronia.com 23

e-business: Modelos de Seguridad 47 48 www.e-cronia.com 24

e-business: Modelos de Seguridad 49 50 www.e-cronia.com 25

e-business: Modelos de Seguridad Red Interna Corporativa Red privada Virtual V.P.N. Red Interna Móvil - Agencias Túnel de información privado y encriptado 51 52 www.e-cronia.com 26

e-business: Modelos de Seguridad 53 Oficina Corporativa DMZ SOHO Socios Sucursal VPN Oficina Extranjero DMZ 54 www.e-cronia.com 27

e-business: Modelos de Seguridad 55 56 www.e-cronia.com 28

e-business: Modelos de Seguridad Políticas de Seguridad Conjunto de normas y criterios escritos que determinan lo relativo al uso y resguardo de los recursos de una organización. Riesgo = Vulnerabilidad + Amenazas + Impacto POLITICAS DE SEGURIDAD MECANISMOS DE SEGURIDAD 57 Sistema de Seguridad Seguridad Preventiva Seguridad Perimetral Seguridad Activa Políticas de Seguridad 58 www.e-cronia.com 29

e-business: Modelos de Seguridad Qué son? Seguridad Preventiva Defectos de Software (Bugs) Errores Humanos y Desconfiguración Servicios Activos - Inactivos Múltiples puntos de acceso a mis recursos Etc. Búsqueda de Vulnerabilidades en servicios de red, sistemas operativos, aplicaciones, etc. 59 Seguridad Perimetral Cortafuegos Cortafuego es un dispositivo de seguridad, ubicado entre la red interna y la red externa que conjuga los diferentes mecanismos de seguridad : Implementa : Autenticación Internet Router Red Interna DMZ Desmilitarizada Control de acceso Encriptación - VPN WEB Cortafuego Equipos Servidores Red Interna Privada Web intranet B.D. 60 www.e-cronia.com 30

e-business: Modelos de Seguridad Seguridad activa Búsqueda de Amenazas Qué son? : Acceso no autorizado ( R / W / X ), Denegación de servicios. Quienes las generan son? Mal Uso Ataques Personas u organizaciones que explotan las vulnerabilidades Amenazas Internas Externas Estructuradas No estructuradas 61 Ciclo de la Seguridad Políticas de Seguridad Auditoría 62 www.e-cronia.com 31

e-business: Modelos de Seguridad Búsqueda de Vulnerabilidad : Buscar Vulnerabilidades Recomendar Acciones Correctivas Operación Centralizada Ejemplos : Internet Scanner System Scanner Data Base Scanner IDS (Am-IA) Herramientas de apoyo 63 Como cuantificar el riesgo? 64 www.e-cronia.com 32

e-business: Modelos de Seguridad RECURSO A B IMPORTANCIA DEL RECURSO 3 2 MATRIZ DE RIESGO Wi Ri Cei AMENAZA / IMPACTO PROBABILIDAD DE RIESGO C 2 1 0,4 12,8 RIESGO TOTAL EMPRESA = = 4,27 3 2 2 0,7 0,5 ETAPA DEL C.ELECTRONICO 2 1 3 PESO DEL RECURSO 8,4 2,0 2,4 TOTAL 12,8 Riesgoempresa = n (Wi * Ri * Cei) i=1 n 65 Riesgo Bajo Riesgo Medio Riesgo Alto 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 Peso del Riesgo 66 www.e-cronia.com 33

e-business: Modelos de Seguridad En que nos podemos apoyar? BS7799 - ISO17799 Common Criteria - ISO 15408 67 Reflexión Final (Seguridad en Modelos Negocios) Lo único cierto hoy, es que en el futuro cercano el paradigma Empresa y las relaciones con su entorno competitivo, serán exponencialmente inciertos a medida que transcurra el tiempo; implicando ello la construcción simultánea de nuevas visiones y herramientas de gestión de viabilidad. Mientras aquello suceda; se generará un disco de acreción entorno al objeto empresa, donde la singularidad será total, dando paso a la Economía Cuantica. E. Leyton G. 68 www.e-cronia.com 34

e-business: Modelos de Seguridad PREGUNTAS 69 www.e-cronia.com 35

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback