protección de los_sistemas_de_información
Post on 16-Dec-2014
2.448 Views
Preview:
DESCRIPTION
TRANSCRIPT
Vulnerabilidad y abuso de los Sistemas
En la actualidad, los negocios necesitan hacer de la SeguridadSeguridad y el Control Control sus principales prioridades
Vulnerabilidad y abuso de los Sistemas
SeguridadSeguridad : Se refiere a las políticas, procedimientos y medidas técnicas utilizadas para impedir el acceso no autorizado, la alteración, el robo o el daño físico a los Sistemas de Información.
Vulnerabilidad y abuso de los SistemasControlesControles : Consisten en todos los
métodos, políticas y procedimientos organizacionales que garantizan la seguridad de los activos de la organización, la precisión y confiabilidad de sus registros contables, y el apego de las operaciones a las normas de la administración
¿Por qué son vulnerables los Sistemas?
Privacidad
Privacidad se refiere al derecho de estar estar sólosólo y al derecho de estar libre de estar libre de intrusiones personalesintrusiones personales.
1. El derecho a la privacidad no es absolutono es absoluto. La privacidad debe ser balanceada de acuerdo a las necesidades de la sociedad.
2. El derecho público derecho público es superiorsuperior al
derecho individual derecho individual de privacidadprivacidad.
PrivacidadDoble click y uso de cookies para conocer los
intereses de los consumidores.
¿Es válido obtener información de los Es válido obtener información de los consumidores sin su permisoconsumidores sin su permiso? CookiesCookies.
El doble click supone la obtención del permiso de los consumidores a través de la navegación en la Web.
El Autoregistro en el Web-SiteCuestionarios de registroCuestionarios de registro
50% divulga información personal en un sitio Web por la oportunidad de ganar algún premio.
La información privada se usa para:
Planear negociosPlanear negocios. Ser vendidos a una tercera parteSer vendidos a una tercera parte.
Protección de PrivacidadElección/ consentimiento
Acceso/ participación
Integridad/ seguridad
En E.U: existe la Federal Internet Privacy Protection Act.
En la Unión Europea la EU Data Protection Directive.
Derechos de propiedad Intelectual
Propiedad Intelectual (PI) Propiedad Intelectual (PI) Se refiere a las creaciones de ideas,
invenciones, trabajos literarios, artísticos y símbolos, nombres, imágenes y diseños usados en el comercio.
© ®
CopyrightCopyrightUna concesión exclusiva que otorga el
gobierno otorgando al dueño a reproducir un trabajo, en totalidad o en parte y a distribuir, ejecutar o desplegar éste al público de cualquier manera, incluyendo el Internet.
Digital watermarksDigital watermarksIdentificadores únicos puestos en los
contenidos digitales que hacen posibles identificar trabajos piratas.
Derechos de propiedad Intelectual
Marca registrada Marca registrada Un símbolo usado por los negocios para
identificar bienes y servicios, siendo registrados ante el gobierno cofiriendo el derecho legal exclusivo para su uso.
PatentePatenteUn documento que concede al tenedor los derechos
exclusivos de una invención por un número determinado de años.
Derechos de propiedad Intelectual
Censorship en Internet
Ciudadanos y grupos de acción que buscan proteger a sus hijos o a ellos mismos de ciertos contenidos en la red.
Children ’s Online Protection Act (COPA)
Rol del gobierno en la protección de la sociedad.
Control del SPAMSpammingSpamming
Se refiere a la práctica indiscriminada de envío de mensajes a través de Internet (ej. Junk mail o correos basura ).
El Spam comprende entre el 25 y el 50 % de todos los correos.
Los usuarios pueden utilizar el llamado Electronic Mailbox Protection Act para bloquear el correo spam.
Ciber-crimenFraudeFraude
Engaño intencionaI con objeto financiero y lucrativo.
Ciberataque Ciberataque Se refiere a un ataque electrónico a través de Internet
(ciberintrusión) o un acceso no autorizado que da como resultado archivos, programas o hardware
dañados. También se conoce como cibervandalismo.
Los jugadores: Hackers, Crackers
y otros. HackersHackers
Los hackers originales crearon el sistema operativo Unix y ayudaron a construir Internet, Usenet y la WWW; y usaron sus habilidades para probar la fortaleza y la integridad de los sistemas computarizados.
Con el tiempo, el término hacker se aplicó a programadores que ilegalmente irrumpen en computadoras y redes.
CrackersCrackers
Se refiere a quienes emplean de manera ilegal la red. Generalmente buscan cosas fáciles y rápidas. El punto vulnerable al estar haciendo las compras por medio de Internet es el servidor donde se realizan las transacciones, que es el que normalmente atacan los crackers.
OtrosOtros“Script kiddies” se refiere a quienes usan
información y software que bajan de Internet con el objeto de dañar ciertos sitios.
SPOOFINGSpoofingSpoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.
Existen diferentes tipos dependiendo de la tecnología a la que nos refiramos
SPOOFING
IP SpoofingIP SpoofingARP SpoofingARP SpoofingDNS SpoofingDNS SpoofingWeb SpoofingWeb SpoofingMail SpoofingMail Spoofing
SNIFFINGSniffingSniffing, Sniffer es un programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente, aunque también puede ser utilizado con fines maliciosos.•
SNIFFINGSNIFFINGLANs son redes de difusión en las cuales
la información pasa por todas las máquinas.
Si la tarjeta está en modo promiscuo puede leer esos paquetes.
SNIFFINGSNIFFINGUtilización de los sniffers:Utilización de los sniffers:– Captura automática de contraseñas
enviadas en claro y nombres de usuario de la red.
– Conversión del tráfico de red en un formato entendible por los humanos.
– Análisis de fallos para descubrir problemas en la medición del tráfico de la red.
– Detección de intrusos
PHISHINGPHISHINGEl Phishing El Phishing es el acto que consiste en recomendar la visita a una página web falsa, haciendo creer al visitante que se encuentra en la página original o copiada.. Normalmente se utiliza con fines delictivos, duplicando páginas web de entidades financieras de renombre
PHISHINGPHISHINGUna vez en las páginas falsas, se pide al visitante que introduzca datos personales (claves de acceso, etc.) que posteriormente son usados por los creadores de la estafa. (fuente : Wikipedia.org)
Seguridad BásicaSeguridad Básica
Desde la perspectiva del usuario:Desde la perspectiva del usuario:¿Cómo puede el usuario estar seguro de que ¿Cómo puede el usuario estar seguro de que
el servidor esta operando con una compañía el servidor esta operando con una compañía legitima?legitima?
¿Cómo puede saber el usuario que la página ¿Cómo puede saber el usuario que la página web no tiene un contenido malicioso o web no tiene un contenido malicioso o peligroso?peligroso?
¿Cómo puede saber el usuario que el servidor ¿Cómo puede saber el usuario que el servidor Web no distribuirá la información del usuario a Web no distribuirá la información del usuario a una tercera parte?una tercera parte?
Desde la perspectiva de la compañía:Desde la perspectiva de la compañía:
¿Cómo sabe la compañía que el usuario no ¿Cómo sabe la compañía que el usuario no atentará o alterará las páginas y el contenido atentará o alterará las páginas y el contenido del sitio?del sitio?
¿Cómo sabe la compañía que el usuario no ¿Cómo sabe la compañía que el usuario no tratará de desbaratar o romper el servidor tratará de desbaratar o romper el servidor para dejarlo no disponible para otros?para dejarlo no disponible para otros?
Seguridad Básica
Seguridad básica
Desde la perspectiva de ambas partes:Desde la perspectiva de ambas partes:
¿Cómo saber que la conección de la red está libre ¿Cómo saber que la conección de la red está libre de una tercera parte escuchando en la línea?de una tercera parte escuchando en la línea?
¿Cómo saber que la información enviada o ¿Cómo saber que la información enviada o regresada entre el servidor y el usuario no ha sido regresada entre el servidor y el usuario no ha sido alterada?alterada?
Seguridad básicaAutorización Autorización
El proceso de asegurar que una persona tiene el derecho a accesar a ciertos recursos. www.americaeconomia.com
Autenticidad Autenticidad El proceso por el cual una entidad verifica que otra entidad es quien checa “credenciales” de una clase.
Seguridad básica
AuditoriaAuditoria
El proceso de recolectar información de recursos particulares, uso de privilegios particulares y ejecución de otras acciones de seguridad.
Confidencialidad (privacidad)Confidencialidad (privacidad)
Tipos de ciberataques
Ataques TécnicosAtaques TécnicosUn ataque perpretrado usando software y
sistemas de conocimiento o expertos. Ataque no técnicoAtaque no técnico
Un ataque en el que el perpretador usa triquiñuelas u otras formas de persuasión truculentas para que la gente revele información o acciones que comprometan la seguridad de una red.
Tipos de ciberataques
Ataque “Denial-of-service (DoS)” Ataque “Denial-of-service (DoS)”
Un ataque a un sitio Web en el cual un atacante usa software especializado para enviar un torrente de paquetes a un conjunto de computadoras.
Tipos de ciberataquesDistributed denial of service (DDoS) attack.Distributed denial of service (DDoS) attack.
Se refiere a un ataque de servicio de negación en el cual un administrador ilegal accesa a muchas computadoras de Internet y usa estas computadoras para enviar paquetes de datos a una computadora objetivo.
MalwareMalware
Un término genérico para software malicioso.
Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje.
Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones.
Asegúrese de que el sitio Web utiliza cifrado.
Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito. Hoy en día es posible utilizar alarmas y límites diarios
Sea cuidadoso con los lugares que visita.
Sea cuidadoso con los correos que abre.
Asegúrese que sus aplicaciones tienen instaladas las últimas actualizaciones de seguridad.
Utilice la opción “copia oculta” para enviar mails.
No deje su banda ancha “conectada” en forma permanente las 24 horas del día.
Solamente llene formularios en la WEB en los que se esté utilizando el protocolo https://
Recomiende a sus hijos que no den ninguna clase de datos personales.
Verifique la fuente de la información. NIC (Network Information Center)
Tipos de ciberataquesVirus Virus
Una pieza de un código de software code que se inserta en un host, incluyendo los sistemas operativos, para propagarse. Este no puede correr independientemente, sino que requiere de un programa huésped (host) para activarse.
Worm Worm Un programa de software que corre independientemente, consumiendo recursos de un host, manteniéndose y propagándose en otra máquina.
Tipos de ciberataquesVirus Virus
Una pieza de un código de software code que se inserta en un host, incluyendo los sistemas operativos, para propagarse. Este no puede correr independientemente, sino que requiere de un programa huésped (host) para activarse.
Worm Worm Un programa de software que corre independientemente, consumiendo recursos de un host, manteniéndose y propagándose en otra máquina.
Tipos de ciberataquesTrojan horse (caballo de Troya)Trojan horse (caballo de Troya)
Un programa que aparece como una función útil, pero que contiene una función oculta que presenta un riesgo de seguridad.
Dos de los más conocidos caballos de Troya son : “Back OrificeBack Orifice” y “NetBusNetBus”
Tecnologías de SeguridadInternet y Seguridad en el Comercio
Electrónico es un negocio próspero.
Firewalls y Control de AccesoFirewalls y Control de Acceso. Uno de los mayores impedimentos al CE es la
seguridad de las redes internas.El nombre con el que se conoce al control de
acceso es passwordpassword
Tecnologías de seguridadFirewallFirewall
Un nodo en la red que consiste en ambos, hardware y software que aisla una red privada aisla una red privada
de la red públicade la red pública. Intrusion detection system (IDS)Intrusion detection system (IDS)
Una categoría especial de software que puede monitorear actividad a través de una red o una computadora host, observar actividad observar actividad sospechosasospechosa y tomar acción automatizada basada en lo que se observa.
Encriptamiento
La manera más fácil de identificar si nuestros datos de viajan encriptados a través de Internet es el uso de un protocolo llamado Secure Socket Layer (SSL)Secure Socket Layer (SSL), el cual es muy fácil de identificar: un candado en la un candado en la parte inferior derecha del navegadorparte inferior derecha del navegador, y el cambio del prefijo de la dirección a: https:// https://
Protección Tecnológica.Las técnicas de phishing se van sofisticando rápidamente. Algunas de ellas son imperceptibles para el usuario. Es allí dónde la tecnología ofrece al usuario el medio para protegerse.Tecnologías basadas en técnicas de:
Estas tecnologías pueden ser aplicadas directamente desde la red o en cada uno de los PCs de los clientes.
Detección de correos entrantes.Reconocimiento de contenidos.Bases de datos de URLs.Antispyware.Antivirus (Trojans, Keyloggers,…).Antipharming.
LEGISLACIÓN EN EL PERÚ
top related