La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

SEGURIDAD DE LA INFORMACIÓN

Presentaciones similares


Presentación del tema: "SEGURIDAD DE LA INFORMACIÓN"— Transcripción de la presentación:

1 SEGURIDAD DE LA INFORMACIÓN
Es el estudio de los métodos y medios de protección de los sistemas de información y comunicaciones frente a amenazas de los siguientes tipos: - Sin intervención humana Amenazas naturales: fallos de equipos y calamidades tales como incendios, inundaciones y terremotos que pueden causar la pérdida de equipos y datos. Las amenazas naturales suelen afectar a la disponibilidad de los recursos y de la información. - Con intervención humana Amenazas intencionadas: las llevan a cabo usuarios no autorizados, externos o de la propia organización que acceden a datos e información sensibles Curiosos: entran en los sistemas por un reto, esto es, sin una pretensión concreta. Maliciosos: entran en los sistemas con el objetivo de adueñarse de datos e informaciones con fines económicos o para dañar o destruir recursos. Amenazas no intencionadas: provienen de las actuaciones de empleados que no han seguido las normas de seguridad adecuadas: custodia de las claves de acceso, actualización de antivirus, etc. También puede deberse a que el personal informático no ha seguido las normas de seguridad establecidas

2 Los virus informáticos
Programa de ordenador que puede infectar otros programas modificándolos para incluir una copia de sí mismo, produciendo efectos no deseados y nocivos. Fases de infección de un virus: Introducción: se produce al ejecutar un programa infectado (lo que es desconocido por el usuario). El virus queda en la memoria del ordenador. Latencia: Una vez que el virus reside en la memoria del ordenador (RAM) y toma el control de los servicios básicos del sistema operativo, infectando otros ficheros mediante la acción de añadir su código (replicación). Activación: Es la fase donde es más destructivo. Se puede producir de muchas formas, según el tipo de virus: activación en una fecha, después de un número de ejecuciones de un programa infectado, etc. Elementos que infectan: Ficheros ejecutables o programas (exe, com, etc.) Ficheros que incluyen macros Medios de almacenamiento (discos duro, diskettes, etc.) Medios de entrada: Dispositivos de almacenamiento Redes y fundamentalmente Internet: ficheros adjuntos en el correo electrónico, programas insertados en páginas webs (applets y controles ActiveX)

3 Los que infectan archivos
Tipos de virus - Existen fundamentalmente dos tipos de virus: Los que infectan archivos Virus de acción directa: En el momento en que se ejecutan infectan a otros programas. Virus residentes: al ser ejecutados se instalan en la memoria, esperando que se ejecute algún programa. Si en alguna de las operaciones que realiza el sistema operativo se trabajase con un fichero ejecutable (programa) no infectado el virus lo infectará. Para ello, el virus se añadirá al programa que infecta, añadiendo su código al propio código del fichero ejecutable (programa). Los que afectan al sector de arranque (virus de boot): si es en el disco duro podría afectar al arranque del sistema operativo. MEDIDAS PREVENTIVAS - Adquiera software original - No acepte ni transmita copias no autorizadas de programas No instale ni ejecute programas obtenidos en fuentes no fiables (o por correo-e) - Mantenga actualizado un programa antivirus - Realice copias de seguridad periódicas. - No se confíe.

4 LA SEGURIDAD EN LAS TRANSACCIONES ELECTRÓNICAS
La difusión del comercio electrónico ha llevado a una evolución en las técnicas de seguridad de las transacciones cuya base son el cifrado de la información EL CIFRADO DE MENSAJES EMISOR RECEPTOR TEXTO CLARO ataque MENSAJE ataque dwdtxh ENCRIPTAR K = (3,-3) DESENCRIPTAR K = (3,-3) TEXTO CIFRADO LLAVE O CLAVE Cifrar: es la operación consistente en someter a un texto legible a una serie de operaciones (sustitución, transposición, etc) para transformarlo en un texto no legible para el lenguaje humano. Es lo mismo que encriptar. Para ello, se aplica sobre el texto una clave o llave (algoritmo). Por el contrario, el receptor cuando recibe el mensaje cifrado o encriptado trata de aplicar la clave para descifrar o desenciptar el mensaje y transformarlo al original. Para estas operaciones se aplica lo que se denomina CRIPTOGRAFÍA Llave o clave: Algoritmo que aplicado sobre un mensaje permite cifrarlo o descifrarlo. Cifrar o Encriptar es transformar una información (texto claro) en otra ininteligible (texto cifrado) según un procedimiento y usando una clave determinada, pretendiendo que solo quien conozca dicho procedimiento y clave pueda acceder a la información original. La operación contraria se denomina descifrar. La ciencia que se ocupa de estas cuestiones es la criptografía.

5 TIPOS DE CIFRADO O CRIPTOGRAFÍA
CRIPTOGRAFÍA SIMÉTRICA SISTEMA QUE UTILIZA LA MISMA CLAVE PARA EMISOR Y RECEPTOR CLAVE PRIVADA O DE SECRETO COMPARTIDO (la seguridad del sistema reside en que sólo emisor y receptor conozcan la clave. Válido para comunicaciones frecuentes). INCONVENIENTE FUNDAMENTAL: MAYOR PELIGRO EN EL CASO DE QUE ALGUIEN AJENO INTERCEPTE LA CLAVE CARECE DE FIRMA DIGITAL CRIPTOGRAFÍA ASIMÉTRICA Cada usuario tiene dos claves: una pública, que se da a conocer, y otra privada que se mantiene en secreto. La clave pública sirve para cifrar y la privada para firmar. Haciendo un símil la criptografía se asemeja a una cerradura, así encriptar sería cerrar mientras que desencriptar sería abrir la cerradura Utiliza la misma llave para cifrar y descifrar el mensaje (para cerrar y abrir el mensaje). Solo el emisor y receptor deben conocer dicha clave, de ahí que se le conozca también como “secreto compartido”. El principal problema de seguridad reside en el intercambio de claves entre emisor y receptor, ya que ambos deben utilizar la misma. Se ha de buscar un canal de comunicación seguro para el intercambio de claves. Si una tercera persona intercepta la clave puede cifrar y descifrar los mensajes La más utilizada es AES y suele tener una longitud de 128 bits ¿Más utilizada en B2B? Existen programas que permiten encriptar y desencriptar ficheros a través de un clave única. Sería peligroso enviar esta clave por porque la podría interceptar un hacker Ana Hielo

6 SISTEMA DE CIFRADO ASIMÉTRICO
PGP (Pretty Good Privacy) es el sistema de codificación más extendido para correo electrónico. Permite cifrar, descifrar y firmar usando clave pública y clave secreta. Ana envía a Carlos un correo electrónico cuyo texto ha cifrado con la clave pública de carlos Carlos descifra este mensaje con su clave privada

7 REQUISITOS DE UN SISTEMA SEGURO
LA SEGURIDAD EN LAS TRANSACCIONES REQUISITOS DE UN SISTEMA SEGURO CONFIDENCIALIDAD: EL MENSAJE SÓLO DEBE SER LEIDO POR LA PERSONA AUTORIZADA. INTEGRIDAD: TRATAR DE ASEGURAR QUE NO SE ALTEREN LOS DATOS DEL MENSAJE DURANTE SU TRANSMISIÓN AUTENTICIDAD: GARANTÍA DE QUE LAS PARTES SON QUIEN DICEN SER NO REPUDIO: EL SISTEMA DEBE GENERAR RECIBOS QUE PERMITAN QUE CUALQUIERA DE LOS PARTICIPANTES EN LA TRANSACCIÓN PRUEBE HABER PARTICIPADO O NO EN ELLA.

8 PROTOCOLOS DE SEGURIDAD DE INTERNET
SSL (Secure Sockets Layer) Protocolo para dotar de seguridad a los servidores. Permite cifrar los datos correspondientes al formulario de pedido, número de tarjeta, etc. º º SE NEGOCIA ENTRE EL USUARIO Y EL SERVIDOR SEGURO (https://) UNA CLAVE SIMÉTRICA SÓLO VÁLIDA PARA ESA SESIÓN SE TRANSFIEREN LOS DATOS CIFRADOS CON DICHA CLAVE GARANTIZA: Privacidad SI: Solo la tienda sabe lo que compra ý su número de tarjeta, aunque deja en el aire la ética del vendedor) Integridad SI Autenticidad NO (No identifica ni al comprador salvo que exista certificado) No repudio NO

9 Terminal Punto de Venta Virtual (VPOS o TPV)
FUNCIONAMIENTO DE TPV VIRTUAL Terminal Punto de Venta Virtual (VPOS o TPV) Pasarela de Pago Segura que garantiza la privacidad de los datos, en su envía al banco, quien valida el pago. Todo TPV debe funcionar sobre un servidor seguro (SSL)

10 CONCEPTO Y UTILIDAD DE LOS CERTIFICADOS
¿CÓMO AUTENTIFICAR A LOS PARTICIPANTES EN UNA TRANSACCIÓN? CERTIFICADOS ¿QUÉ ES UN CERTIFICADO? UN ARCHIVO DIGITAL QUE CONTIENE: EL PROPIETARIO DEL PAR DE CLAVES LA ORGANIZAC IÓN DEL PROPIETARIO SU CLAVE PÚBLICA Y PRIVADA INFORMACIÓN DE CUÁNDO EXPIRA FIRMA DIGITAL DE UNA AUTORIDAD DE CERTIFICADORA, QUE AVALA QUE LOS DATOS CORRESPONDEN AL PROPIETARIO Yo puedo tomar la clave pública de una persona para enviarle un mensaje, pero ¿cómo sé que esa persona es quien dice ser?. Pues, a partir de los certificados. Así, para la concesión de estos certificados es necesario acreditar la identidad del sujeto mediante algún documento de identidad y algunas veces incluso presencialmente. (Se ha de pagar la tarifa correspondiente). Certificados B2 y B3. Certificado B1: Relaciona el nombre que introduzca en el cuestionario con una cuenta de correo válida, permite la firma y encriptación del correo (IPSCA). En el caso de empresas se concede el certificado de servidor seguro, una vez que se comprueba la veracidad de los datos de la empresa y la correcta configuración del proceso de encriptación (SSL) El formato más estándar de certificados digitales es el x-509. Posee los datos del poseedor del certificado, su clave pública y la firma de una autoridad certificadora. El certificado digital es como un documento oficial de identificación que actúa de forma similar al pasaporte, d.n.i, ..... B1: Para un B3: ligado a un DNI Certificados de usuario Certificados de servidor: autentificar una dirección de Internet

11 AUTORIDADES DE CERTIFICACIÓN
¿QUÉ ES UNA AUTORIDAD DE CERTIFICACIÓN? ORGANISMO QUE VERIFICA LA IDENTIDAD DE UN PARTICULAR U ORGANIZACIÓN Y EMITE LOS CERTIFICADOS QUE COMPROMETEN EL PAR DE LLAVES FUNCIONES: VERIFICAR LA IDENTIDAD DE LA PERSONA U ORGANISMO QUE PIDE EL CERTIFICADO EMITIR CERTIFICADOS REVOCAR CERTIFICADOS SUMINISTRAR INFORMACIÓN ACERCA DEL ESTADO DE CERTIFICADOS YA EMITIDOS Algunas de estas entidades son: FESTE, Verisign, IPSCA, ACE Han de ser entidades de confianza que permitan la verificación de la identidad de una persona o entidad que quiera utilizar la firma electrónica o la autenticación de servidores Ej: FESTE, Verisign, IPSCA, ACE, etc.

12 PROTOCOLO DE SEGURIDAD CON MULTIPLE CERTIFICADO
SET Sistema que TRATA DE GARANTIZAR LA AUTENTICIDAD DE TODOS LOS PARTICIPANTES Y QUE LOS DATOS DE LA TARJETA SON CIFRADOS GARANTIZA - Privacidad SI (banco no sabe que pto. compra y la tienda no ve numero de tarjeta) - Integridad SI - Autenticidad SI - No repudio NO (SI con firma electrónica avanzada) ¿Qué usar? A) SSL (liebre), simple y práctico, extremar precauciones. B) SET (elefante), torpe y pesado, no tiene miedo. - Rígidas jerarquías de certificación, ya que se exige certificados de clientes y comerciantes (su ventaja de seguridad es su talón de Aquiles). VISA + MASTER CARD


Descargar ppt "SEGURIDAD DE LA INFORMACIÓN"

Presentaciones similares


Anuncios Google