Post on 26-Jul-2015
description
RIESGOS D
EL E
-
COMM
ERCE
RIESGOS DEL E- COMMERCE
Entorno empresarial y tecnológico cambiante. Empresas y clientes
desean tener flexibilidad para cambiar, según su voluntad, de socios
comerciales, plataformas y redes. No es posible evaluar el costo de esto,
pues depende del nivel tecnológico de cada empresa, así como del grado
deseado de participación en el comercio electrónico.
PRIVACIDAD Y SEGURIDAD
La mayoría de los usuarios no confía en el Web como canal de pago. En la
actualidad, las compras se realizan utilizando el número de la tarjeta de
crédito, pero aún no es seguro introducirlo en Internet sin conocimiento
alguno. Cualquiera que transfiera datos de una tarjeta de crédito mediante
el Web, no puede estar seguro de la identidad del vendedor. Análogamente,
éste no lo está sobre la del comprador.
CUESTIONES LEGALES, POLÍTICAS Y SOCIALES.
Legalidad de un contrato electrónico
Violaciones de marcas y derechos de autor
Pérdida de derechos sobre las marcas
Pérdida de derechos sobre secretos comerciales y
responsabilidades.
Riesgo Bajo:
Informativas: Corresponde a las instituciones financieras que ofrecen
información acerca de los productos y servicios del banco
Riesgo Moderado:
Comunicativas: Se refiere a las instituciones financieras que ofrecen
información relacionada con cuentas de ahorros, y actualización de datos como
domicilio, teléfono, entre otros. Como en este caso el usuario está ingresando
a los sistemas principales del banco, el riesgo es material.
Riesgo Mayor:
Transaccionales: Corresponde a las instituciones financieras que permiten a sus
clientes realizar transacciones financieras por lo que implican un mayor riesgo.
TIPOS DE RIESGOS EN LOS NEGOCIOS ELECTRÓNICOS
Estos son los riesgos relativos a intrusión o ataques a aplicaciones o bases de
datos.
Pueden ser realizados por personas externas desde internet, pero se ha
comprobado que en su mayoría son realizados por personas internas en la red
de la organización
EAVESDROPPING Y PACKET SNIFFING
Es el proceso de “escuchar” todas las tramas que viajan por la red. De
esta forma si las transacciones se envían “planas” se tendría acceso a
cualquier información enviada al servidor o recibida por el cliente.
Contramedida
Implementación de sistemas de cifrado de información como SSL o SET
donde se intercambien datos relevantes.
Monitoreo de tarjetas de red en modo promiscuo
CROSS SCRIPTING O XSS
Las vulnerabilidades de XSS originalmente abarcaban cualquier ataque
que permitiera ejecutar código de "scripting", como VBScript o JavaScript
Contramedida
Uso de web application firewall
Pruebas de seguridad en etapas de desarrollo
IPS ( intrusión prevention system)
INYECCIÓN SQL
Es un método de infiltración de código intruso que se vale de una vulnerabilidad
informática presente en una aplicación en el nivel de validación de las entradas
para realizar consultas a una base de datos
Contramedida:
Uso de web application firewall
Uso de auditoria de base de datos
Pruebas de seguridad en etapas de desarrollo
IPS (intrusión prevention system)
Patrones de desarrollo adecuados
DENEGACIÓN DE SERVICIO
Es un ataque que consiste en provocar la sobrecarga de recursos de red o
de aplicación de un sistema, mediante la solicitud de peticiones de atención
de servicio falsas, donde el sistema objetivo las atiende y colapsa al no
poder atender tantas solicitudes.
Contramedida:
Instalación de sistema de alta disponibilidad y balanceo de cargas
Instalación de sistemas IPS
Instalación de sistemas de baneo de IP (bloqueo de IP sospechosas)
Listas de acceso en sw y equipos de red
Sistemas de autenticación para atender las peticiones verdaderas.
FÍSICOS
Error en el diseño de la red.
Dependencia conjunta de los componentes de la red.
Mal diseño de la red.
Colisión de mensajes.
Falta de balanceamiento de recursos.