IN78S Bases de Comercio Electrnico

1
IN78S - Bases de Comercio Electrónico

• Elementos de Seguridad en CE
• Marco Antonio Zúñiga Yáñez
• ma_zuniga_at_yahoo.com

2
Por qué la Seguridad?

• La seguridad por sí sola no ofrece Valor Agregado
  a un proceso, pero ...
• Previene la ocurrencia de eventos extraordinarios
  que afectan al proceso.
• La decisión de incorporarla depende de un
  análisis costo/beneficio.

Cuánto pierdo si ocurre un evento no
contemplado. Cuánto debo invertir para prevenir
dicho evento.
3
Riesgos dentro de la organización

• Robo de información confidencial
• espionaje
• Modificación no autorizada de información
• Sabotaje
• que afecta las operaciones de apoyo al negocio
• Errores de procesamiento
• mal diseño
• fallas de hardware, software
• situaciones de excepción no contempladas

4
Riesgos entre organizaciones

• Surgen al incorporar Tecnologías de Información
  de apoyo al Comercio Electrónico
• Algunos riesgos frecuentes
• Suplantación de Origen o Destino
• Pérdida, reemplazo o reenvío de Mensajes
• Lectura de Mensajes por personas y/o procesos no
  autorizados
• Negación de la responsabilidad en una
  transferencia
• Interrupción o retardo de servicios
• Modificaciones al contenido
• Alteración de sistemas de control
• Fraudes coordinados entre el personal
• Errores de transferencia y procesamiento

5
Areas de Seguridad

• Disponibilidad de servicios
• Auditoría y control
• Seguridad de datos
• Control de acceso
• Aspectos legales

6
Técnicas para Disponibilidad de Servicios

• Arquitecturas alternativas de Hardware, Software
  y Enlaces de Comunicaciones
• Revisión de dependencias físicas
• Definición de procedimientos de contingencia
• Respaldo
• Físico
• De Datos y Software
• Humano
• Control de proveedores

7
Por qué la Auditoría y el Control?

• Porque permite anticipar en forma sistemática los
  eventos extraordinarios.
• El Control (o procedimiento de seguridad) puede
  ser de tres tipos
• Preventivo
• Detectivo
• Correctivo

8
Técnicas de Auditoría y Control

• Definición y certificación de Medios de Prueba
• Técnicas CAAT (Computer Asisted Auditing
  Techniques)
• Rastreo de información
• Archiving
• Método de los 4 ojos
• Estancos de seguridad

9
Por qué la Seguridad de Datos?

• Porque protege la información que se almacena,
  procesa, envía y/o recibe
• Se implementa mediante el uso de técnicas
  criptográficas
• Herramientas disponibles
• Algoritmos Simétricos
• Algoritmos Asimétricos
• One Way Functions
• Existen múltiples alternativas de implementación

10
Servicios de Seguridad de Datos

• Confidencialidad
• Impide el acceso a la información a procesos y/o
  personas no autorizados
• Integridad
• Permite verificar que la información no ha sido
  modificada desde su generación
• Autenticación
• Permite validar la identidad de un usario
  Originador de información
• No repudiación
• Impide que el Originador de información
  desconozca su responsabilidad (Método Firma
  Digital)

11
Técnicas de Seguridad de Datos

• Tendencia Actual
• Implementación a nivel de las Aplicaciones.
• Técnicas combinadas de Hardware y Software
• La Firma Digital se impone a nivel mundial como
  un medio de prueba irrevocable
• La FD depende tanto del usuario que firma como
  del archivo/documento/mensaje que está firmando
• Posee un modelo de operación simple

12
Seguridad de DatosAlgoritmos de Encriptación

• Procedimientos para codificar información en
  forma privada, para prevenir la lectura por
  aquellos no autorizados (personas y/o procesos).

Clave
Encriptación
(/JHGKJHVY87658765)(/kjygf)(/kjhg)
(/oi
Texto Claro Texto Claro Texto Claro Texto Claro
Texto Claro Texto Claro
Desencriptación
13
Algoritmos Simétricos (Esquema)
Originador
Clave K
(/JHGKJHVY87658765)(/kjygf)(/
Texto Claro Texto Claro Texto Claro Texto Claro
Ejemplo DES Uso ATM, POS, Defensa
Texto Claro Texto Claro Texto Claro Texto Claro
(/JHGKJHVY87658765)(/kjygf)(/
Receptor
Clave K
14
Algoritmos Asimétricos (Esquema)
Originador
Clave K1
(/JHGKJHVY87658765)(/kjygf)(/
Texto Claro Texto Claro Texto Claro Texto Claro
Ejemplo RSA Uso Firma Digital, Internet
Texto Claro Texto Claro Texto Claro Texto Claro
(/JHGKJHVY87658765)(/kjygf)(/
Receptor
Clave K2
Llave Pública / Llave Privada
15
Implementación de Servicios de Seguridad de Datos

• Confidencialidad
• Método Encriptación de contenido
• Integridad
• Método Uso de valores de integridad
• Autenticación
• Método MAC (Message Authentication Code)
  Implementado mediante una función de Hash y un
  algoritmo de encriptación simétrico
• No repudiación de Origen
• Método Firma Digital(Implementado medianta una
  función de Hash y un algoritmo asimétrico)

16
Seguridad de DatosResumen de Técnicas

• La Firma Digital depende tanto del usuario que
  firma como del archivo, documento o mensaje que
  está firmando
• Posee un modelo de operación simple (dada una
  entidad certificadora)
• La confidencialidad se logra con la encriptación
  de contenido
• La encriptación y la firma digital son servicios
  complementarios, no alternativos

17
Control de Acceso

• Impiden la suplantación de personas y/o procesos
  en un ambiente de interconexión o procesamiento
  distribuido
• Tendencia Actual
• Control de Acceso para Usuarios mediante
  dispositivos físicos (Modelos Challenge/Response)
• Sistemas Portales para ambientes Cliente/Servidor
• El uso del esquema tradicional usuario y clave
  secreta hoy es de alto riesgo

18
Técnicas de Control de Acceso

• Algunas Tecnologías de Hardware disponibles
• Tokens físicos
• Smart Cards
• Challenge Response Tokens
• Sistemas biométricos

Todos estos dispositivos están disponibles en el
mercado nacional y han sido utilizados con éxito
en diversos proyectos
19
Los aspectos legales de la seguridad

• Definen un marco de protección legal de las
  organizaciones, socios comerciales, las entidades
  fiscalizadoras y/o las personas involucradas en
  el manejo de información.
• Permiten detectar todas las consecuencias
  (directas e indirectas) del procesamiento de
  información en un contexto abierto de Comercio
  Electrónico.
• Para una correcta aplicación, requieren la
  definición precisa de un medio de prueba

20
Algunos aspectos legales

• Contractuales
• Las adaptaciones de los contratos asociados a las
  operaciones de procesamiento de información deben
  incorporar las definiciones técnicas precisas y
  el detalle de los modelos de operación
• Es necesario detectar los alcances de todas las
  operaciones, por acciones directas e indirectas,
  de todos los responsables
• El árbitro debe estar técnicamente vigente y
  eventualmente puede variar en el tiempo

21
Algunos aspectos legales

• Extracontractuales
• Es necesario determinar la responsabilidad civil
  asociada a las operaciones de procesamiento de
  información
• En caso de ser necesario, detectar la
  responsabilidad penal por acciones no
  contempladas
• La investigación legal debe ser exhaustiva para
  detectar procedimientos de control y
  fiscalización poco conocidos