jueves, 28 de mayo de 2015

METODOS DE SEGURIDAD EN LA WEB

SEGURIDAD EN LA WEB

 
La seguridad es un elemento de primer nivel que entra en juego desde la concepción inicial de un sistema y participa desde un principio en las decisiones de diseño. Los requisitos de seguridad deben considerarse explícitamente durante todo el proceso de desarrollo, lo que da lugar a la inclusión de fases o actividades dedicadas a la seguridad. 
ELEMENTOS DE SEGURIDAD EN LA WEB.
La red mundial Internet y sus elementos asociados son mecanismos ágiles que proveen una alta gama de posibilidades de comunicación, interacción y entretenimiento, tales como elementos de multimedia, foros, chat, correo, comunidades, bibliotecas virtuales entre otros que pueden ser accedidos por todo tipo de público. Sin embargo estos elementos deben contener mecanismos que protejan y reduzcan los riesgos de seguridad alojados, distribuidos y potencializados a través del mismo servicio de Internet.
  • Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos autorizados
  •  Integridad: Se refiere a la seguridad de que una información no ha sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de transmisión o en su propio equipo de origen.
  •   Disponibilidad: Se refiere a que la información pueda ser recuperada o esté disponible en el momento que se necesite.
  • Seguridad de la Información: Son aquellas acciones que están encaminadas al establecimiento de directrices que permitan alcanzar la confidencialidad, integridad y disponibilidad de la información, así como la continuidad de las operaciones ante un evento que las interrumpa.
    •  Activo: Recursos con los que cuenta la empresa y que tiene valor, pueden ser tangibles o intangibles.
    • Vulnerabilidad: Exposición a un riesgo, fallo o hueco de seguridad detectado en algún programa o sistema informático.
    • Amenaza: Cualquier situación o evento posible con potencial de daño, que pueda presentarse en un sistema.
    • Riesgo: Es un hecho potencial, que en el evento de ocurrir puede impactar negativamente la seguridad, los costos, la programación o el alcance de un proceso de  negocio o de un proyecto.
    • Correo electrónico: El correo electrónico es un servicio de red que permite que los usuarios envíen y reciban mensajes incluyendo textos, imágenes, videos, audio, programas, etc., mediante sistemas de comunicación electrónicos.
 
AMENAZAS TÉCNICAS DE SEGURIDAD.
§  Spam: Envío de cualquier correo electrónico, masivo o no, a personas a través de este medio que incluyen temas tales como pornografía, bromas, publicidad, venta de productos, entre otros, los cuales no han sido solicitados por el destinatario.
§  Ingeniería social: Es la manipulación de las personas para convencerlas de que ejecuten acciones, actos o divulguen información que normalmente no realizan, entregando al atacante la información necesaria para superar las barreras de seguridad.
§  Código Malicioso: HW, SW o firmware que es intencionalmente introducido en un sistema con un fin malicioso o no autorizado.
§  Hoax: Es un mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena, aparte de ser molesto, congestiona las redes y los servidores de correo, pueden ser intencionales para la obtención de direcciones de correo para posteriormente ser utilizadas como spam. Algunos de los Hoax más conocidos son correos con mensajes sobre virus incurables,  regalos de grandes compañías, entre otros.
§  Suplantación: Hacerse pasar por algo o alguien, técnicamente el atacante se hace pasar por un servicio o correo original.
 
FRAUDES.
·        Phishing: Es la capacidad de duplicar una página Web para hacer creer al visitante que se encuentra en la página original en lugar de la copiada.
·        Se tienen dos variantes de esta amenaza:   Vishing, Smishing
TIP DE SEGURIDAD
Evite visitar páginas no confiables o instalar software de dudosa procedencia.
La mayoría de las aplicaciones peer-to-peer contiene programas espías que se instalan sin usted darse cuenta. Asegúrese que se aplican las actualizaciones en sistemas operativos y navegadores Web de manera regular.
Si sus programas o el trabajo que realiza en su computador no requieren de popup, Java support, ActiveX, Multimedia Autoplay o auto ejecución de programas, deshabilite estos. Si así lo requiere, obtenga y configure el firewall personal, esto reducirá el riesgo de exposición.
  1. Correo electrónico:
    • No publique su cuenta de correo en sitios no confiables
    • No preste su cuenta de correo ya que cualquier acción será su responsabilidad.
    •  No divulgue información confidencial o personal a través del correo.
  2. Control de Spam y Hoax:
    • No reenvié los correos cadenas, esto evita congestiones en las redes y el correo, además el robo de información contenidos en los encabezados.
  3. Control de la Ingeniería social:
    • No divulgue información confidencial suya o de las personas que lo rodean.
    • No hable con personas extrañas de asuntos laborales o personales que puedan comprometer información.
  4. Control de phishing y sus modalidades:
    • Si un usuario recibe un correo, llamada o mensaje de texto con una advertencia sobre su cuenta bancaria, no debe contestarlo.
  5. Robo de contraseñas:
    •  Cambie sus contraseñas frecuentemente, mínimo cada 30 días.
    • Use contraseñas fuertes: Fácil de recordar y difícil de adivinar.
    • No envié información de claves a través del correo u otro medio que no esté encriptado. 
MECANISMOS DE SEGURIDAD
MEDIA COMMERCE cuenta con sistema de autenticación y autorización para controlar el acceso a los diferentes servicios de la red, al igual que controles de autenticación para los usuarios (equipos terminales de acceso del cliente).
MEDIA COMMERCE cuenta con diferentes protecciones para controlar el acceso a los servicios de Internet tales como los mecanismos de identificación y autorización respecto a los servicios. Para proteger las plataformas de los servicios de Internet, MEDIA COMMERCE ha implementado configuraciones de seguridad base en los diferentes equipos de red, lo que comúnmente se llama líneas base de seguridad, además del establecimiento de medidas de seguridad a través de elementos de control y protección como:
·        Firewall: A través de éste elemento de red se hace la primera protección perimetral en las redes de MEDIA COMMERCE y sus clientes, creando el primer control que reduce el nivel de impacto ante los riesgos de seguridad.
·        Antivirus: Tanto las estaciones de trabajo como los servidores de procesamiento interno de información en MEDIA COMMERCE son protegidos a través de sistemas anti códigos maliciosos.
·        Antispam: Todos los servidores de correo poseen antispam que reduce el nivel de correo basura o no solicitado hacia los clientes, descongestionando los buzones y el tráfico en la red.
·        Filtrado de URLs: Los clientes pueden realizar filtrado de URL a través de sus navegadores Web, se sugiere instalar además sistemas parentales. MEDIA COMMERCE cuenta con varios mecanismos capaces de realizar el bloqueo de URLs, entre ellos se encuentran los sistemas DNS y una herramienta para todo el tráfico hacia Internet, el objetivo principal de bloquear las que contengan o promuevan la pornografía infantil en Internet a través imágenes, textos, documentos y/o archivos audiovisuales.
Seguridad a nivel del CPE: Los dispositivos de conexión final ubicados en las premisas de los clientes cuentan con elementos bases para la autenticación y autorización, con ello permiten hacer una conexión a Internet de manera más segura.
 
DISEÑO DE POLÍTICAS DE SEGURIDAD
Se dice que un sistema es confiable con respecto a una determina política de seguridad si ofrecen mecanismos de protección capases de cumplir con los requisitos de seguridad impuestos por dicha política.
La experiencia en el desarrollo de mecanismos de seguridad relacionado con el control de acceso a dado lugar a los siguientes criterios de diseño:                     
§  Abstracción de datos.
§  Privilegios mínimos.
§  Separación de privilegios.
§  Separación de administración y acceso.
§  Autorizaciones positivas y negativas.
§  Delegación de privilegios.
 
MODELOS DE SEGURIDAD
MAC es un sistema centralizado, en el cual las decisiones de seguridad no recaen en el propietario de un objeto y es el sistema el que fuerza el cumplimiento de las políticas por encima de las decisiones de los sujetos, además de permitir una granularidad y control mayores. Desde el punto de vista de la seguridad, MAC es más completo que DACESTÁNDAR MAC
Es una forma de acceso a recursos basada en los propietarios y grupos a los que pertenece un objeto. Se dice que es discrecional en el sentido de que un sujeto puede transmitir sus permisos a otro sujeto. La mayoría de sistemas Linux ahora mismo usan este tipo de acceso, estando los permisos orquestados por grupos y usuarios, pudiendo un usuario normal cambiar los permisos de los archivos que posee con el comando chmod.
ESTÁNDAR DAC
Trata de definir los permisos basándose en los roles establecidos en la organización, para luego asociar adecuadamente a los usuarios con los roles que tengan derecho a ejercer. Se dice que RBAC es neutral con respecto a la política, ya que permite modelar otros modelos previos, que han demostrado limitaciones, como son DAC y MAC.  
ESTÁNDAR RBAC
El modelo de referencia RBAC: describe sus elementos y sus relaciones. Especificaciones funcionales administrativas y del sistema RBAC: define las características requeridas para un sistema RBACESTÁNDAR RBAC.
 

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)