Mercadotecnia electronica cuestionario
-
Upload
lauraa-bello -
Category
Documents
-
view
15 -
download
0
description
Transcript of Mercadotecnia electronica cuestionario
• Internet contiene la promesa de un enorme y conveniente mercadoglobal que proporciona acceso a las personas, artículos negocios entodo el mundo, a precio de oferta.
• Sin embargo para los criminales internet ha creado completamentenuevas formas de robar a los mas de 1 mil millones de consumidores enel mundo por internet.
• Internet hace posible robar a las personas de manera remota y casianónima.
• Las acciones de los cibercriminales son costosas tanto para los negocioscomo para los consumidores, que están a su vez a precios mas altos ymedidas de seguridad adicionales.
EL ALCANCE DEL PROBLEMA
• El cibercrimen se esta convirtiendo en un problema significativo para las organizaciones.
• Las redes de bots
• La suplantación de identidad
• Phishing ( obtener información financiera en forma fraudulenta).
• Robo de datos
• Fraude con tarjeta de crédito.
• Centro de Quejas contra Delitos enInternet (IC3) una sociedad entre elCentro Nacional contra delitos deCuello Blanco y la Agencia Federalde Investigaciones.
• Datos útiles para medir los tipos dedelitos de crímenes de comercioelectrónico.
0% 10% 20% 30% 40% 50%
fraude en las subastas
productos no entregados
fraude de cheques
fraude de tarjetas de credito
fraude de computadora
CATEGORIA DE QUEJAS CONTRA DELITOS EN INTERNET
REPORTADAS AL IC3
• El promedio de perdidas por año fue aproximadamente de $ 350 000.
• Las categorías mas costosas de ataques fueron el fraude financiero($21 millones), los virus ($ 8 millones) y la penetración de extraños en elsistema.
• Se publica semestralmente un reporte de amenazas de seguridad eninternet, basado en 40,000 sensores que supervisan la actividad eninternet en mas de 180 países.
EL MERCADO DE LA ECONOMÍA SUBTERRÁNEA: EL VALOR DE LA
INFORMACIÓN ROBADA.
• “Servidores de la economía subterránea” vender información aterceras personas.
• No todos los cibercriminales buscan ganancias económicas, enmuchos casos solo buscan alterar, dañar o transformar un sitio Web,en vez de robar artículos o servicios.
• El cibercrimen contra los sitios de comercio electrónico es dinámico yesta cambiando todo el tiempo, por lo cual aparecen nuevos riesgoscon frecuencia.
¿ QUÉ ES UNA BUENA SEGURIDAD EN EL COMERCIO ELECTRÓNICO?
• La reducción de los riesgos en el comercio electrónico es un proceso complejo que involucra
• Nuevas tecnologías
• políticas y procedimientos organizacionales
• Nuevas leyes y estándares industriales que facultan a los oficiales representantes de la ley a investigar y procesar a los delincuentes.
Leyes y estándares industriales
Políticas y procedimientos
organizacionales
Soluciones de tecnología
Datos
• La seguridad es una cadena que se rompe con mas frecuencia en el eslabón mas débil. Nuestros candados son a menudo mas fuertes que
el manejo que damos a las llaves.
DIMENSIONES DE LA SEGURIDAD EN EL COMERCIO ELECTRÓNICO
• Integridad
• No repudiación
• Autenticidad
• Confidencialidad
• Privacidad
• Disponibilidad
• Integridad: capacidad deasegurar que la informaciónque se muestra en un sitioWeb, no haya sido alteradade ninguna manera por unaparte no autorizada.
No repudiación: capacidad
de asegurar que los
participantes en el comercio
electrónico no nieguen sus
acciones en línea.
Autenticidad: capacidad
de identificar la identidad
de una persona o entidad
con la que se esta
tratando en internet.
Confidencialidad: capacidad
de asegurar que los mensajes
y los datos estén disponiblessolo para ver quienes estén
autorizados a verlos.
Amenazas de Seguridad en el
Entorno de Comercio Electrónico
Cliente
Servidor
Canalización de comunicaciones
Malvare Intención
Virus Programa para
computadora que tiene la
capacidad de duplicarse,
(Eliminación de archivos
formateo de disco duro o
que los programas se
ejecuten de manera inapropiada.
Tipos de Virus
Macro virus Específicos para cada aplicación, El virus solo afecta a la
aplicación para que se escribió. Se esparcen con facilidad
por correo electrónico.
Virus que infectan
Archivos
Infectan archivos ejecutables como: .com .exe .drv y .dll, Se
activa cada vez que se ejecuta el archivo infectado, se
esparcen por correo electrónico con facilidad.
Virus de secuencias
de comandos
escritos en lenguajes de programación de secuencias de
comandos como Visual Basic Script y Java Script. Los virus
se activan al hacer doble clic en un archivo .vbs o .js
infectado. El virus ILOVEYOU (insecto del amor)
sobrescribe archivos .jpg y .mp3
Los virus van combinados de gusanos ya que
estos generan mayor ganancia económica y a su
vez pueden propagarse muy rápidamente de una
computadora a otra.
El gusano no necesariamente necesita ser
activado por un usuario o programa para que se
pueda duplicar a si mismo.
Código Malicioso
Característica
Caballo de Troya
no se duplica pero es una vía para que se introduzcan
virus y otro tipo de código malicioso como los bots o
rootkits El caballo de Troya puede ser disfrazado como
un juego pero en realidad oculta un programa para
robar contraseñas y enviarlas por correo electrónico.
Bots Se puede instalar de manera encubierta en la
computadora de un usuario cuando este se conecta a
internet. El atacante convierte a la computadora en un zombie controlada por un tercero.
Programas IndeseablesAplicaciones instaladas sin consentimiento, una vez
instaladas son muy difíciles de eliminar.
Parasito de navegadorEs un programa que puede monitorear y modificar la
configuración del navegador de un usuario. (Pagina de
inicio)
Spywarees utilizada para el robo de identidad junto con el
SPYSHERIFF (combate Spyware)
Por ejemplo: un ex ministro
petrolero rico de Nigeria
busca una cuenta bancaria
para atesorar millones de
dólares por un corto periodo
de tiempo. Posteriormente
pide al usuario su numero
de cuenta en donde se le
pueda depositar el dinero
haciéndole la promesa de
que se le depositara un
millón de pesos a cambio.
(conocida como carta de
Nigeria).
Suplantación y Robo
de Identidad
Suplantación de Identidad: es
todo intento engañoso para
robar datos personales
realizándolo de manera directa
(técnicas de Ingeniería social).
Todo comienza cuando a la
victima se le hace llegar una
carta de estafas de correo
electrónico.
En muchas ocasiones los suplantadores
crean una pagina web falsa que
aparente ser una institución financiera
legitima y engañan a los usuarios para
proporcionar información financiera, los
suplantadores de identidad usan la
información para cometer actos
fraudulentos.
Piratería Informática y Cibervandalismo
Hacker: individuo que tiene intenciones criminales.
Tipo de
Hacker
Misión
Sombreros
Blancos
(buenos)
Ayudan a las organizaciones a localizar y corregir fallas en la
seguridad. Estos realizan su trabajo por contrato, con un acuerdo de
los clientes según el cual no serán perseguidos por sus esfuerzos
por entrar en los sistemas.
Sombreros
Negros
(malos)
Se involucran en los mismos tipos de actividades, pero sin recibir
paga ni acuerdos con la organización de destino, y con la intención
de ocasionar daños irrumpen en sitios web y revelan la información
confidencial o propietaria que encuentran.
Sombreros
Grises
Pretenden hacer un bien al irrumpir en los sistemas y revelar sus
fallas. Descubren las debilidades en la seguridad de un sistema y
después publican la debilidad sin dañar el sitio ni tratar de
beneficiarse de sus hallazgos. Su recompensa es el prestigio de
descubrir la debilidad, sin embargo son sospechosas. (al facilitar
información)
Fraude o Robo de Tarjetas de Crédito
Robo
Extravió
Los comerciantes se encargan de pagar los costos en
caso de recibir tarjetas robadas por no checar las listas
invalidas.
Caso mas frecuente de robo de tarjetas e información
de las mismas es la piratería informática sistemática y el
saqueo de un servidor corporativo, (almacena
información de compras con tarjeta de crédito).
Sitios Web de Falsificación (Pharming) y
Spam (Basura)
Hackers que falsifican su verdadera identidad falsifican su
información utilizando direcciones de correo electrónico
falsas o haciéndose pasar por alguien mas.
Falsificación de un sitio web se le conoce como Pharming,
donde un vinculo se dirige a una dirección diferente a la
original el destino es enmascarado. (contiene información
diferente a la solicitada, amenazando integridad del original)
Sitios Web de basura
o spam: ofrece
productos o servicios
y al abrirla contiene
promoción de otros
productos y contiene
código malicioso.
Ataques de denegación de servidor (DOS) y
Denegación de Servicio Distribuido (DDOS)
DOS DDOS
Los hackers inundan un sitio
Web con peticiones de paginas
inútiles que saturan los
servidores del sitio Web.
Implica el uso de redes de bots.
Provocan que el sitio Web
cierre y los clientes no puedan
ingresar mas. (Reputación)
No destruyen información, ni
acceden a áreas restringidas.
Soborno.
Uso de muchas computadoras para
atacar la red de destino desde
numerosos puntos de lanzamiento.
Amenaza que puede provocar la
quiebra de una empresa.
Husmeo
Es un tipo de programa el cual monitorea la información que viaja
a través de una red si se utiliza legítimamente pueden ayudar a
identificar puntos problemáticos y potenciales en una red, pero
cuando se usan para fines criminales son dañinos y difíciles de
detectar.
Los husmeadores permiten a los hackers robar información
propietaria de cualquier parte de una red (correos, informes,
archivos.)
Amenaza de la información ya que se pude hacer publica.
SOLUCIONES TECNOLOGICAS
Existen dos líneas de defensa contra las amenazas de seguridad para el comercio electrónico.
• Soluciones de tecnología: conjunto de herramientas que pueden dificultar a los externos el proceso de invadir o destruir un sitio.
• Soluciones de políticas.
HERRAMINETAS PARA PROTEGER LA SEGURIDAD DE LAS COMUNICACIONES EN INTERNET
• CIFRADO (ENCRIPTACION): Es el proceso de transformar texto simple o datos en texto cifrado que no puede ser leído por nadie mas que el emisor y el receptor.
Tiene como propósito: a) asegurar la información almacenada y
b) asegurar la transmisión de la información.
El cifrado proporciona
Integridad del mensaje: asegura que el mensaje no se haya alterado
No repudiación: evita que el usuario niegue que envió el mensaje
Autenticidad: de la verificación de la entidad de la persona que esta enviando el mensaje
Confidencialidad: asegura que el mensaje no fue leído por otros.
• CERTIFICADO DIGITAL: documento digital emitido por una autoridad de certificación, que contiene el nombre del sujeto o empresa, la clave publica del sujeto, un numero serial de certificado digital y demás información de identificación.
HERRAMIENTAS PARA LA PROTECCION DE LAS REDES
• FIREWALLS: se refiere al hardware o software que filtra los paquetes de comunicación y evita que ciertos paquetes entren en la red, con base en una política de seguridad.
• El firewalls controla el trafico de y hacia servidores y clientes, prohibiendo las comunicaciones de fuentes no confiables y permitiendo que se lleve a cabo las comunicaciones de fuentes de confianza.
• SERVIDORES PROXY: son servidores de software que se encargan de todas las comunicaciones que se originan de (o se envidian) internet, actuando como vocero o guardaespaldas para la organización.
-Principal función: limitar el acceso de los clientes internos a los servidores de internet externos.
-Los servidores proxy protegen una red local de los intrusos de internet y evitan que los clientes visiten servidores Web prohibidos.
PROTECCION DE SERVIDORES Y CLIENTES
Las características del sistema operativo y el software antivirus pueden ayudar a proteger aun mas los servidores y clientes de ciertos tipos de ataques.
• MEJORAS DE SEGURIDAD DEL SISTEMA OPERATIVO: una manera de proteger a los servidores y clientes son las actualizaciones de seguridad automáticas de Microsoft y Apple para corregir con parches las vulnerabilidades descubiertas por los hackers.
• SOFTWARE ANTIVIRUS: son programas cuya función es detectar y eliminar virus informáticos y otros programas maliciosos
• Las empresas de negocios y agencias gubernamentales invierten cerca del 10 % de sus presupuestos de tecnología de la información en hardware, software y servicios de seguridad.
• Este gasto explica el por qué disminuyeron un poco los ciber-ataques.
ATAQUES VIRTUALES
• Ataques contra sitios web por acceso y robo de información.
• Ataques contra clientes y sitios web por identidades falsas.
PLAN DE SEGURIDAD: POLÍTICAS ADMINISTRATIVAS
Realizar una valoración de
riesgo
Desarrollar una política de seguridad
Desarrollar un plan de
implementación
Crear una organización de
seguridad
Realizar una auditoria de seguridad
VALORACIÓN DE RIESGO
• Tasación de los riesgos y puntos de vulnerabilidad.
• ¿Qué información esta en riesgo?
• Clientes, diseños, actividades, procesos, datos, programas, precios…
• Valuar cada tipo de información
• Probabilidad de que ocurra una perdida
POLÍTICAS DE SEGURIDAD
• Conjunto de instrucciones que asignan prioridad a los riesgos de la información, identificando los objetivos de riesgo aceptables y los mecanismos para alcanzar estos objetivos.
PLAN DE IMPLEMENTACIÓN
• Pasos de acción que debe llevar a cabo para lograr a cabo los objetivos del plan de seguridad.
ORGANIZACIÓN DE SEGURIDAD
• Educa y capacita a los usuarios, mantiene la administración al tanto de las amenazas y las fallas de seguridad, y conserva las herramientas elegidas para implementar la seguridad.
CONTROLES DE ACCESO
• Determina quien puede obtener acceso legitimo a una red.
• Externos: Firewalls y servidores proxy.
• Internos: Nombres de usuario, contraseñas y códigos de acceso.
PROCEDIMIENTOS DE AUTENTIFICACIÓN
• Incluye el uso de firmas digitales, certificados de autoridad y la infraestructura de claves públicas.
BIOMETRÍA
• Estudio de las características biológicas o físicas que se pueden medir.
• Existen dispositivos biométricos que junto con las firmas digitales para verificar atributos físicos.
• Huella digital.
• Exploración de retina.
• Reconocimiento por voz.
POLÍTICAS DE AUTORIZACIÓN
• Determinan los distintos niveles de acceso a los bienes de información para los distintos niveles de usuarios.
SISTEMAS DE ADMINISTRACIÓN DE LA AUTORIZACIÓN
Establece cuándo y donde se permite a un usuario que acceda a ciertas partes de un sitio Web.
AUDITORÍA DE SEGURIDAD
• Implica la revisión rutinaria de los registros de acceso (que identifican la manera en que los individuos externos utilizan el sitio, así como la forma en que los internos acceden a los activos del sitio).
ALMACENAMIENTO HIPPIE DE CLEVERSAFE
• Tres copias para asegurar los documentos en dispositivos externos.
• Conocido como LOCKSS.
• LOCKSS= +dispositivos de almacenamiento +costoso
• Por ejemplo:
• Almacena tanta información que se vio obligada a crear una de las instalaciones de almacenamiento mas grandes del mundo
• 68,000 m2 de unidades de disco y Pcs.
• Dalles, Oregón, a orillas del rio Columbia.
• 5 exabytes = 37,000 Bibliotecas del Congreso estadounidense.
• Se duplica cada tres años.
CLEVERSAFE
• Empresa de software de código fuente abierto.
• Mientras que Google pretende organizar, Cleversafe desea almacenar.
• El método costa de un algoritmo de dispersión.
• Divide la información en piezas, cifrarlas y distribuirlas en diferentes servidores.
CENTRO DE COORDINACIÓN DEL CERT
• Monitorea y rastrea la actividad criminal en línea que le reportan corporaciones privadas y agencias gubernamentales que le piden su ayuda.
LEGISLACIÓN DE SEGURIDAD DEL COMERCIO ELECTRÓNICO
• Ley de Abuso y Fraude por computadora (1986)
• Ley de Privacidad para las Comunicaciones Electrónicas (1986)
• Ley de Protección Nacional de la Infraestructura de la Información (1996)
• Ley de Seguridad Electrónica en el Ciberespacio (2000)
• Ley de Mejora de a la Seguridad Computacional (2000)
• Ley de Firmas Electrónicas (2000)
• Ley USA PATRIOT (2001)
• Ley de seguridad del Territorio Nacional (2002)
• Ley CAN-SPAM (2003)
• Ley U.S. SAFE WEB (2006)
ELEMENTOS CLAVES
Restringir la exportación de los sistemas de
seguridad solidos
Esquemas de custodia/recupe
ración clave
Acceso Legal y divulgación
forzosa
Piratería informática
oficial
INTERNET
• 25 Aniversario el 12 de Marzo.
• Internet no es una ventana a la realidad, pero si nos puede mostrar su lado más oscuro.
• La naturaleza humana no está cambiando: hay pereza, intimidación, acoso, estupidez, pornografía, trucos sucios, delitos y aquellos que los practican tienen una nueva capacidad para hacer miserable la vida de los demás.
• 2025: mayor conectividad y la privacidad solo será de la elite