e-commerce & e-business clase
DESCRIPTION
E-commerce & E-business ClaseTRANSCRIPT
E-commerce & e-business
El mundo de los negocios electrónicos
Cifrados, certificados
Protección de redes, servidores
y clientes
Soluciones de Tecnología
Las amenazas más comunes:
Proteger las comunicaciones de Internet (cifrado o
encriptación)
Asegurar los canales de comunicación (SSL, S-HTTP,
VPNs)
Proteger a las redes (firewalls)
Proteger Servidores y Clientes.
Protegiendo las comunicaciones de
Internet: cifrado
Cifrado: Es el proceso de transformar texto simple o
datos en un texto cifrado que no puede ser leído por
nadie más que por el emisor y el receptor
Propósito: asegurar la información guardada y la
transmisión de información
Un buen sistema de cifrado pone toda la seguridad en la
clave y ninguna en el algoritmo
Protegiendo las comunicaciones de
Internet: cifrado
Debe llegar a proveer:
Integridad del mensaje – El mensaje no ha sido alterado
No repudiación – Evita que el usuario niegue que envió el
mensaje
Autenticidad – Verificación de la identidad de quién envía
el mensaje
Confidencialidad – El mensaje no fue leído por otros
Cifrado de clave simétrica
También conocido como la encriptación o cifrado de clave
secreta o de una clave
Tanto el receptor como el emisor usan la misma clave digital
para cifrar y decifrar el mensaje.
Requiere un grupo diferente de claves para cada transacción.
Data Encryption Standard (DES): Es el cifrado de clave
simétrica más usado; utiliza una clave de cifrado de 56 bits; 2
elevado a 56 claves posibles (72.057.594.037.927.936 claves)
Otros tipos usan claves de 128 bits hasta 2048 bits.
Triple DES – Uso común en la banca
Cifrado de clave pública o de dos claves
El cifrado de clave pública soluciona el problema de la clave
simétrica de tener que intercambiar una clave secreta.
Utiliza dos claves digitales matemáticamente relacionadas – La
clave pública, ampliamente diseminada, y la clave privada (que
se mantiene secreta por su dueño)
Ambas llaves se usan para cifrar y decifrar el mensaje
Una vez que la clave ha sido usada para encriptar el mensaje, la
misma clave no puede ser usada para decifrar el mensaje.
Por ejemplo: el emisor usa la clave pública del receptor para
cifrar un mensaje; el receptor usa su llave privada para
decifrarlo. Si el receptor lo cifra con la clave privada,
cualquiera puede descifrarlo utilizando su clave pública
Cifrado de clave pública o de dos claves
Una analogía con el cifrado de clave pública es la de un
buzón con una ranura de correo. La ranura de correo
está expuesta y accesible al público; su ubicación (la
dirección de la calle) es, en esencia, la clave pública.
Alguien que conozca la dirección de la calle puede ir a la
puerta y colocar un mensaje escrito a través de la ranura;
sin embargo, sólo la persona que posee la clave puede
abrir el buzón de correo y leer el mensaje.
Una analogía para firmas digitales es el sellado de un
sobre con un sello personal. El mensaje puede ser abierto
por cualquier persona, pero la presencia del sello
autentifica al remitente.
Ejemplo cifrado clave pública
Cifrado de clave pública por medio de
firma digital y resúmenes de mensaje
Aplicaciones de la función hash (es un algoritmo
matemático que produce un resumen del mensaje) por el
emisor antes del cifrado produce un resumen que el
receptor puede usar para verificar la integridad de la
información.
Doble cifrado con la clave privada del emisor (firma
digital) asegura la autenticidad y la no repudiación.
Ejemplo cifrado clave pública con
resumen de mensaje y firma digital
Sobre digital – cifrado híbrido
Se encarga de las debilidades del cifrado con clave pública
y de las debilidades del cifrado con clave simétrica.
Utiliza cifrado de clave simétrica para encriptar el
documento pero un cifrado de clave pública para cifrar y
enviar la clave simétrica.
Sobre digital - ejemplo
Certificados digitales
Un certificado digital es un documento que incluye:
Nombre del sujeto o compañía
Clave pública del sujeto
Número serial del certificado digital
Fecha de expiración
Fecha de emisión
Firma digital de una Autoridad de Certificación AC (en
inglés, Certification Authority, CA, es una institución
externa de confianza que emite el certificado)
Otra información de identificación.
Infraestructura de clave pública (Public
Key Infrastructure PKI)
Infraestructura de clave pública (Public Key Infrastructure
PKI): se refiere a las Autoridades de Certificación y los
procedimientos de certificación digital que son aceptadas
por todas las partes.
Certificados digitales y Autoridades de
Certificación
Límites a soluciones de cifrado
PKI se aplica principalmente para proteger mensajes en
tránsito
PKI no es efectivo contra gente que trabaja de adentro
La protección de claves privadas por individuos puede
tener riesgos
No hay garantía que la computadora de verificación del
comercio es segura.
Los ACs no son regulados, son independientes
Asegurando los canales de
comunicación
SSL (Secure Sockets Layer): Es la forma más común de
asegurar los canales de comunicación; es usada para
establecer una sesión segura negociada (sesión cliente
servidor en la que el URL del documento y su contenido
está cifrado.
S-HTTP: Es un método alternativo, que provee un
protocolo seguro de comunicaciones orientado a
mensajes a ser usado en conjunto con HTTP.
Red Privada Virtual (Virtual Private Networks VPNs):
Permite que los usuarios remotos puedan entrar con
seguridad en redes internas a través del Internet, usando
el protocolo Point-to-Point Tunneling Protocol (PPTP)
Asegurando los canales de
comunicación
Protegiendo las redes: Firewalls y
Servidores Proxy
Firewall: Hardware o Software filtra paquetes de
comunicación y evita que algunos paquetes entren a la
red, basados en una política de seguridad.
Proxy servers: Servidores de Software que manejan todas
las comunicaciones que se originan desde o son enviadas
al Internet.
Protegiendo las redes: Firewalls y
Servidores Proxy
Protegiendo Servidores y Clientes
Controles del sistema operativo: autenticación y
mecanismos de control de acceso (contraseña de entrada,
bloqueos, etc)
Software antivirus: lo más fácil y menos caro para
prevenir amenazas a la integridad de los sistemas.
Un plan de seguridad: Políticas de
manejo
Pasos para desarrollar un plan de seguridad:
Realizar una valoración del riesgo y puntos de
vulnerabilidad
Desarrollar una política de seguridad: un grupo de reglas
priorizando los riesgos de información, identificando
objetivos de riesgo aceptables e identificar mecanismos
para conseguirlo
Desarrollar un plan de implementación: Pasos que se
necesitan para conseguir las metas del plan de seguridad
Un plan de seguridad: Políticas de
manejo
Pasos para desarrollar un plan de seguridad:
Crear una organización de seguridad: a cargo de la
seguridad, educa y entrena a los usuarios, alerta
problemas, administra accesos, procedimientos de
autenticación y políticas de autorización.
Realizar una auditoría de seguridad: Revisión de las
prácticas y procedimientos de seguridad
Deber
Describir, para cada una, los pasos necesarios para
usar/cómo funciona Secure Code de Mastercard y Verified
by Visa
Recursos:
http://www.visanet.com.pe/verified/demovisanet-
web/madre.html
http://www.visa.com.ar/socios_seguridad-proteccion.aspx
http://www.mastercard.com/us/personal/es/servicios/codi
godeseguridad/demostracion.html