Offensive State Auditoría de Aplicaciones Web
|
|
- José María Moreno Gallego
- hace 8 años
- Vistas:
Transcripción
1 Offensive State Auditoría de Aplicaciones Web
2 Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar Fingerprint del objetivo Búsqueda de vulnerabilidades conocidas y no conocidas Comprometer el objetivo y extender el ataque Informe y evaluación...5 Qué aporta Offensive Security en el campo de la seguridad ofensiva?...6
3 Servicio de auditoría en aplicaciones web Offensive State ofrece auditorías de aplicaciones web con el fin de que los productos, aplicaciones y recursos de los sitios webs de sus clientes tengan un nivel de seguridad lo suficientemente óptimo como para evitar que un fallo de seguridad exponga los datos sensibles de sus equipos, clientes, o cualquier información que pueda estar al alcanza de un atacante. Independientemente del tipo de tecnología con el que se haya desarrollado la aplicación web, Offensive State analizará, evaluará y auditará los sistemas que lo componen, mitigando cualquier vulnerabilidad de seguridad que se pueda encontrar durante todo el proceso del test de intrusión. Por qué? Las cifras hablan por sí solas, partiendo de la base de que Internet y las páginas webs son el medio de comunicación más utilizado en la actualidad. Por ello es normal encontrar también una gran cantidad de ataques dirigidos contra aplicaciones webs. Si hablamos concretamente de cifras el 99% de las aplicaciones webs analizadas contienen algún tipo de vulnerabilidad. Entre las más comunes: XSS Fugas de información Autenticación y Autorización Gestión de sesiones SQL Injection CSRF Estas vulnerabilidades pueden ser utilizadas por un atacante con algún fin concreto dependiendo de distintos factores. Sin embargo, cabe destacar que cuando se produce alguno de estos ataques la empresa final sufra alguno de los siguientes daños y perjuicios: Robo de Información. Phising. Robo de credenciales. Suplantación de identidad. Apropiación del servidor. Etc El uso y fin con que se puede realizar un ataque dependerá de las intereses del propio ciberdelincuente, pudiendo ser desde la apropiación del servidor donde se aloja la web principal para distribuir malware, hasta la extracción de información sensible como puede ser toda la Base de datos para venderla en el mercado negro.
4 Por estos motivos es necesario estar concienciado con la seguridad informática y prevenir ataques con auditorias regulares en los sistemas y aplicaciones webs. Metodologías Para poder llevar acabo una auditoría con total eficacia se deben seguir una serie de metodologías y estándares. Tanto a nivel interno como a nivel global Offensive State ofrece auditorías de aplicaciones webs basadas en la metodología Testing Guide del proyecto OWASP (Open Web Application Security Project) reconocido a nivel mundial por numerosas empresas de distintos sectores. Además, realizar un test de intrusión web requiere de rigurosas pruebas. Pruebas basadas también en los ataques más comunes y conocidos según otra de las guías del proyecto OWASP, la cual habla del TOP 10 de ataques a nivel de aplicación web: A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards Por otra parte, Offensive State complementa sus auditorías con metodologías propias basadas en la experiencia de sus profesionales. Etapas y pruebas a realizar. Del mismo modo que actúa cualquier atacante en Internet, existen una serie de pasos que deben seguirse de la forma más metódica posible para contar con la información necesaria y llevar a cabo ataques elaborados. En este punto es necesario aplicar la mentalidad de un buen estratega militar, debe recolectar suficiente información y conocer las debilidades propias y las del enemigo con el fin de poder elaborar técnicas de defensa y ataque. En este sentido, las etapas que se siguen en la metodología interna de Offensive State quedan reflejadas en la siguiente imagen. 1. Fingerprint del objetivo. Cuando se trata de realizar una auditoría de aplicación web o test de intrusión web, el primer objetivo de un atacante es realizar un recorrido por todos los recursos de la web con la intención de
5 obtener la mayor cantidad de información posible. A mayor cantidad información, mayores serán las probabilidades de existo frente a un ataque. Información como la tecnología con la que está desarrollada la web, versiones de las aplicaciones, comentarios de los desarrolladores, información pública, enumeración de usuarios, etc. De esta manera cuando una atacante tenga un mapa global del sitio podrá realizar su ataque de forma mucho más localizada, centrándose sólo en aquellos puntos que pudieran ser vulnerables. Sabiendo como actúa un ciberdelincuente, Offensive State, seguirá estos mismos pasos para detectar cualquier punto débil en la/s aplicaciones auditadas. 2. Búsqueda de vulnerabilidades conocidas y no conocidas. Tras realizar una búsqueda exhaustiva de información, la siguiente etapa a realizar es la búsqueda de vulnerabilidades conocidas y no conocidas en base a la información recolectada en el punto anterior. En qué consiste exactamente? Existen dos tipos de búsqueda de vulnerabilidades, la que ya existen en productos conocidos y las que no. En muchas ocasiones cuando se desarrollan páginas web se utilizan productos de terceros (CMS como Joomla, Wordpress, etc, o plataformas del tipo apache, IIS, etc). Estos productos están en constante revisión por expertos en seguridad los cuales reportan la vulnerabilidad al proveedor, y que posteriormente se da a conocer de forma pública. Al tratarse de vulnerabilidades conocidas en la mayoría de las ocasiones se disponen de exploits públicos con los que un atacante puede llevar acabo con existo su ataque. Sin embargo, existen también desarrollos en los que todos los recursos de la aplicación web se han desarrollado por los trabajadores de la propia empresa. Para estos caso, Offensive State analiza cada contenido del sitio web con el fin de poder detectar y explotar las posibles deficiencias que se encuentren en el código. 3. Comprometer el objetivo y extender el ataque Una vez detectada la vulnerabilidad se procederá a explotarla. Donde si finalmente se ha podido vulnerar los sistemas, Offensive State intentará 1 tomar el control total de la máquina servidor, siendo éste uno de los riesgos más altos que se puede sufrir en un ataque. Igualmente, si este ataque se pudo realizar con éxito, se llevarán acabo técnicas de pivoting entre los distintos equipos conectados a la red. 4. Informe y evaluación Al final la auditoría se entregará al cliente un informe detallado de todas las pruebas realizadas, y de todas aquellas vulnerabilidades encontradas. Evaluando el nivel de sus aplicaciones. Dichos informes son estrictamente confidenciales entre Offensive State y la parte contrate. Garantizando la total seguridad de los datos hallados en los informes. 1 Dependiendo del tipo de contratos establecido entre el cliente y Offensive State.
6 Qué aporta Offensive Security en el campo de la seguridad ofensiva? En Offensive Security nuestra prioridad es que los recursos informáticos de nuestros clientes sean realmente seguros y por ese motivo, contamos con los mejores profesionales del sector y nos encargamos de tratarlos con respeto y que se sientan a gusto con su trabajo, ya que tenemos la firme convicción de que una persona motivada y valorada es de gran ayuda para cumplir con las necesidades y objetivos del cliente. Por otro lado, contamos con una metodología interna que se ha desarrollado y consolidado gracias a los años que hemos dedicado a la seguridad informática y al hacking. Dicha metodología es una de nuestras bases a la hora de encontrar vulnerabilidades que puedan representar una amenaza real a nuestros clientes. En Offensive State, estamos alineados con las necesidades del cliente y todas las pruebas que realizamos se caracterizan por contener resultados fiables y que aportan valor a los clientes, permitiéndoles conocer el estado real de sus sistemas desde la perspectiva ofensiva, es decir, desde la visión que tendría un atacante en Internet. Si existe una vulnerabilidad en la infraestructura TIC del cliente, solamente cobramos por esa vulnerabilidad y si consideramos que la infraestructura es realmente segura, el cliente solamente pagará los gastos mínimos acordados desde el principio del contrato y en todos los casos recibirá un informe indicando las pruebas que se han realizado y los hallazgos. Finalmente, nuestra política es la de total transparencia y honestidad. Nuestro objetivo es elaborar las mismas estratégicas que utilizan los atacantes en Internet pero con la única finalidad de prevenir a nuestros clientes del posible impacto que supone un ataque exitoso sin que ello produzca una deficiencia en el estado de los sistemas de nuestros clientes. Evitando las posibles caídas de los servicios. Los hallazgos descubiertos serán tratados con absoluta discreción y estarán disponibles únicamente para el cliente con el cual hemos firmado un acuerdo de confidencialidad. Estamos muy comprometidos con la seguridad de los sistemas y la información de nuestros clientes, por ese motivo nos esforzamos en brindar un servicio de calidad y que cubra sus necesidades.
7 Offensive State...mientras los demás intentan defenderte, nosotros te hacemos más fuerte.
Test de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesCurso de desarrollo de Aplicaciones Web Seguras
Curso de desarrollo de Aplicaciones Web Seguras Información del Curso Instructores: Gonzalo Médez + Diego Ledesma Duración del curso: 18 horas aula A quién está dirigido? Este curso introductorio está
Más detallesMisión. En este lugar se disfrutara, de un momento de relajación en nuestro reconocido Spa; donde seguro encontrarán el
Misión Junior s spa, es uno de los spas más exclusivos del México, que cuenta con un desarrollo dedicado principalmente a la salud física y mental de los jóvenes, para que de esta forma, se logre un equilibrio
Más detallesSecurity Health Check
www.pwc.es Security Health Check Aportamos el valor que necesitas Un problema no tan lejano... Durante los últimos años, las empresas han abordado procesos de transformación tecnológica sin precedentes
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesVÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso
VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security
Más detallesModificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.
UNIVERSIDAD DE CARABOBO FACULTAD DE CIENCIA Y TECNOLOGÍA DIRECCION DE EXTENSION COORDINACION DE PASANTIAS Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere. Pasante:
Más detallesHacking Ético de Sistemas y Redes 4ª Edición 2014 Curso: HESR-01 Nivel: Básico. Ficha técnica
Hacking Ético de Sistemas y Redes 4ª Edición 2014 Curso: HESR-01 Nivel: Básico Ficha técnica Datos del curso Duración: 40 horas / 2 meses Modalidad: E Learning 100 % Inicio del curso: 29 de octubre de
Más detallesInfraestructura Tecnológica. Sesión 12: Niveles de confiabilidad
Infraestructura Tecnológica Sesión 12: Niveles de confiabilidad Contextualización La confianza es un factor determinante y muy importante, con ésta se pueden dar o rechazar peticiones de negocio, amistad
Más detallesServicios de Seguridad de la Información
Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesEl 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas
INFORME SEGURIDAD EMPRESAS Informe Global IT Security Risks de Kaspersky Lab El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas Un 55% de
Más detallesCapítulo 1. Introducción
Capítulo 1. Introducción Nombre del Tema Aspectos de seguridad en aplicaciones basadas en WIFI. Asesor: Dr. Oleg Starostenko Basarab Actualidad y Definición del problema Desde hace ya tiempo nos hemos
Más detallesQué son y cómo combatirlas
Redes zombies Qué son y cómo combatirlas Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas
Más detallesTratamiento del Riesgo
Tratamiento del Riesgo 1 En que consiste el tratamiento de los riesgos? 2. Cuando debemos enfrentarnos a los riesgos? 3. Estrategias de tratamiento de riesgos 4. Modelo de Análisis de Riesgos 5. Qué pasos
Más detallesMINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009
MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA MANUAL DE PROCESOS OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009 ENERO 2009 INDICE PÁGINA PORTADA 01 ÍNDICE 02 INTRODUCCIÓN 03 MANUAL DE PROCESOS
Más detallesAño 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS
Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING Curso Oficial de Certificación ENHACKE CURSOS enhacke Certificate in WebApp Pentesting ECWAP OBJETIVO GENERAL Capacitar al asistente con los conceptos
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesCómo mejorar la calidad del software a través de una gestión adecuada de la productividad de las pruebas
Cómo mejorar la calidad del software a través de una gestión adecuada de la productividad de las pruebas Cuando una empresa contrata un proyecto de software a una consultora, realiza una inversión importante.
Más detallesGuía de doble autenticación
Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.
Más detallesControl del Stock, aprovisionamiento y distribución a tiendas.
Control del Stock, aprovisionamiento y distribución a tiendas. Tan importante como el volumen de ventas y su rentabilidad, el control del stock supone uno de los pilares fundamentales en el éxito de una
Más detallesInfraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor
Infraestructura Tecnológica Sesión 5: Arquitectura cliente-servidor Contextualización Dentro de los sistemas de comunicación que funcionan por medio de Internet podemos contemplar la arquitectura cliente-servidor.
Más detallesLos Cuellos de Botella
Teoría de las Restricciones o Los Cuellos de Botella Néstor Casas* Consultor Organizacinal Siempre se ha comparado el sistema productivo con una cadena, cuya resistencia a la ruptura se basa precisamente,
Más detallesINSTITUTO TECNOLÓGICO DE COSTA RICA. Caso #09 - Chrysler. Administración de la Función de la Información
INSTITUTO TECNOLÓGICO DE COSTA RICA Caso #09 - Chrysler Administración de la Función de la Información Álvaro Navarro Barquero 200944186 Alejandro Rodríguez Jiménez 200924533 09/05/2012 Contenido I Situación
Más detallesEl Outsourcing como Opción Estratégica
El Outsourcing como Opción Estratégica Improven Consultores Colón 18, 2ºF 46004 Valencia Tel: 96 352 18 22 Fax: 96 352 20 79 www.improven-consultores.com info@improven-consultores.com El outsourcing como
Más detallesCAPÍTULO IV METODOLOGÍA PARA EL CONTROL DE INVENTARIOS. En este capítulo se presenta los pasos que se siguieron para la elaboración de un sistema de
CAPÍTULO IV METODOLOGÍA PARA EL CONTROL DE INVENTARIOS En este capítulo se presenta los pasos que se siguieron para la elaboración de un sistema de inventarios para lograr un control de los productos.
Más detallesINTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
Más detallesInforme de Amenazas CCN-CERT IA-02/14. Riesgos de uso de Windows XP tras el fin de soporte
Informe de Amenazas Riesgos de uso de Windows XP tras el fin de soporte 22 de enero de 2014 LIMITACIÓN DE RESPONSABILIDAD El presente documento se proporciona de acuerdo con los términos en él recogidos,
Más detallesHacking Ético & Seguridad Ofensiva
Hacking Ético & Seguridad Ofensiva INDICE DATOS DEL CURSO OBJETIVOS DEL CURSO CONTENIDO MATERIALES Y RECURSOS DEL CURSO EVALUACION DATOS DEL CURSO Duración: 6 Jornadas (30horas), (08:00 am a 13:00 pm)
Más detallesAuditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.
Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de
Más detallesISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE
ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE MARZO 2007 Este documento contesta las preguntas más frecuentes que se plantean las organizaciones que quieren
Más detallestema 2 1. LA GESTIÓN PRESUPUESTARIA EN FUNCIÓN DE SUS ETAPAS FUNDAMENTALES: PREVISIÓN, PRESUPUESTO Y CONTROL
tema 2 La gestión presupuestaria en función de sus etapas fundamentales: previsión, presupuesto y control. Concepto y propósito de los presupuestos. Justificación. Definición de ciclo presupuestario. Diferenciación
Más detallesANEXO 3. Puntos importantes del contrato de franquicia
ANEXO 3 Puntos importantes del contrato de franquicia A continuación enlistaré algunos de los puntos más importantes y destacados de un contrato de franquicia y posteriormente los explicaré uno a uno para
Más detallesCómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.
El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones
Más detallesUNIVERSIDAD DE LA RIOJA
PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL
Más detallesPrincipios de Privacidad y Confidencialidad de la Información
Principios de Privacidad y Confidencialidad de la Información Con el objetivo de mantener nuestro permanente liderazgo en la protección de la privacidad del cliente, Manufacturera 3M S.A de C.V está activamente
Más detallesPERFIL DEL PUESTO POR COMPETENCIAS Sepa cómo construirlo y evitar bajos desempeños posteriores
PERFIL DEL PUESTO POR COMPETENCIAS Sepa cómo construirlo y evitar bajos desempeños posteriores Martha Alicia Alles Es contadora pública nacional, doctora por la Universidad de Buenos Aires en la especialidad
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesAUDITORÍA ADMINISTRATIVA INFORME. 1. Brindar a la organización los elementos necesarios para mejorar su funcionamiento.
Naturaleza AUDITORÍA ADMINISTRATIVA INFORME Auditoria Administrativa Alcance Toda la empresa Antecedentes No existen Objetivos 1. Brindar a la organización los elementos necesarios para mejorar su funcionamiento.
Más detallesIntroducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas
Más detallesDE INTERNET SOLUCIONES 1A
PORTAFOLI SERVICIOS PORTAFOLI SOLUCIONES 1A DE INTERNET Hemos establecido alianzas con las compañías más grandes del mundo para otorgarles a nuestros clientes los mejores caminos en la consecución del
Más detallesTipos de Auditorías y objetivos básicos. Beneficios de las auditorías.
16 Tipos de Auditorías y objetivos básicos. Beneficios de las auditorías. ÍNDICE: 16.1 Conceptos y definiciones 16.2 Tipos de auditorías 16.3 Certificación 16.4 Objetivos de las auditorías 16.5 Ventajas
Más detallesGUÍA METODOLÓGICA PARA LA FORMACIÓN CON E-LEARNING DIRIGIDA A COLECTIVOS SIN ALTA CUALIFICACIÓN CAPÍTULO 4. Dirección Técnica:
LA FORMACIÓN EMPRESARIAL CON E-LEARNING GUÍA METODOLÓGICA PARA LA FORMACIÓN CON E-LEARNING DIRIGIDA A COLECTIVOS SIN ALTA CUALIFICACIÓN CAPÍTULO 4 Dirección Técnica: 4.- EL PLAN DE FORMACIÓN 33 Capítulo
Más detallesAnálisis de Resultados
Análisis de Resultados Encuesta Web OnLine Buses: www.encuesta-webonlinebuses.tk Grupo10 1 Datos Generales Técnica: Encuesta Web Medio: Google Forms Unidad de muestreo: Usuarios y potenciales usuarios
Más detallesJose Mª Cervera Casanovas
Página 1 de 10 Jose Mª Cervera Casanovas Sesión: PLANIFICACIÓN ESTRATÉGICA 4.1).- LA DIRECCIÓN ESTRATÉGICA 4.1.a).- LOS TRES INTERROGANTES DE LA PLANIFICACIÓN 4.1.b).- LOS TRES ELEMENTOS DE LA PLANIFICACIÓN
Más detallesLa norma ISO 19011:2011
La norma ISO 19011:2011 ISO 19011:2002 ISO 17021:2006 ISO 17021: 2011 e ISO 19011:2011 Términos nuevos: Riesgo Auditoría a distancia Definición Auditoría Proceso sistemático, independiente y documentado
Más detallesAUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP
AUD 008-2014 Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP JUNIO 2014 0 I.- INFORMACIÓN GENERAL 1.1 Nombre del Estudio Verificación
Más detallesAHORRACOM SOLUCIONES AVANZADAS S.L. Avda. de la Industria 13, Oficina 25. 28108 Alcobendas, Madrid. www.ahorracom.com
PAGTE Plan de Ahorro y Gestión de Telecomunicaciones para Empresas En Ahorracom nos ponemos de su parte. Por eso nos interesa que usted, nuestro cliente, esté al tanto de todos los procesos que llevamos
Más detallesPropuesta de Innovación
Universidad de Zaragoza Máster en Profesorado de Educación Secundaria Propuesta de Innovación Evaluación e innovación docente e investigación educativa en Informática y Tecnología Profesores: José María
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesCAPITULO I. Introducción. En la actualidad, las empresas están tomando un papel activo en cuanto al uso de sistemas y
CAPITULO I Introducción 1.1 Introducción En la actualidad, las empresas están tomando un papel activo en cuanto al uso de sistemas y redes computacionales. La tecnología ha ido evolucionando constantemente
Más detallesSoporte. Misión y Visión
Misión y Visión Misión Proporcionar servicios especializados, agregando valor a sus clientes, concentrando recursos y esfuerzos a través de profesionales innovadores en la solución de problemas utilizando
Más detallesBYOD - Retos de seguridad
BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir
Más detallesSISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT
SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,
Más detallesSeguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.
Seguridad en Administración de Redes INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos. Administración de Seguridad en Redes La administración
Más detalles2. Aceptar CUALQUIER PROYECTO O NEGOCIO 3- no saber vender
La energía solar es una opción de negocio muy atractiva en la actualidad, sin embargo muchos emprendedores desisten de ella ya que sus negocios no resultan rentables o sus ventas no son suficientes, esto
Más detallesMinisterio de Educación, Cultura y Deporte. Joomla! La web en entornos educativos. Guía del alumnado
Ministerio de Educación, Cultura y Deporte Joomla! La web en entornos educativos Guía del alumnado INTEF 2012 Joomla! La web en entornos educativos Guía Didáctica En este apartado describiremos las características
Más detallesDOCUMENTO OFICIAL v1.0 LA VELOCIDAD DEL ADSL EN ESPAÑA ADSLNET www.adslnet.ws
DOCUMENTO OFICIAL v1.0 LA VELOCIDAD DEL ADSL EN ESPAÑA ADSLNET www.adslnet.ws Análisis estadístico de velocidad de Operadores de Internet (ISP) El siguiente informe representa el resultado estadístico
Más detallesRetorno de inversión (ROI) en proyectos de continuidad de negocio. Alineamiento con el estándar ISO 22301.
Retorno de inversión (ROI) en proyectos de continuidad de negocio. Alineamiento con el estándar ISO 22301. Página 2 INTRODUCCIÓN AL RETORNO DE LA INVERSIÓN EN PROYECTOS DE CONTINUIDAD DE NEGOCIO ÍNDICE
Más detallesRequisitos de control de proveedores externos
Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,
Más detallesNORMATIVA ISO 27001. Tasador colaborador con con la la justicia
NORMATIVA ISO 27001 Tasador colaborador con con la la justicia 1 LA SEGURIDAD INFORMÁTICA COMO INVERSIÓN INTRODUCCIÓN A menudo, cuando me he reunido con los departamentos presupuestarios y de finanzas
Más detallesGuía para elaborar un plan estratégico.
Guía para elaborar un plan estratégico. MISIÓN Y VISIÓN: La Misión y la Visión tienen que estar consensuado por todas y todos. Se tiene que definir en pocas líneas Tiene que contestar a les preguntas.
Más detallesAPI: el control del servicio se realiza a través de múltiples interfaces. Por lo que se sugiere:
La nube segura Uno de los factores más discutidos del cloud computing es la seguridad de la información volcada en los servidores. Los avances en las Telecomunicaciones ponen al día diversos controles
Más detallesPOLÍTICA DE PRIVACIDAD DEL SITIO WEB DE KARDAMILI. Lineamientos generales
POLÍTICA DE PRIVACIDAD DEL SITIO WEB DE KARDAMILI Lineamientos generales Esta política de privacidad lo guiará en relación con nuestros lineamientos relacionados con el uso de su información personal,
Más detallesDOSSIER DE SERVICIOS [Diseño Web] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil]
DOSSIER DE SERVICIOS [Diseño Web] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil] Página 1 de 8 Introducción En Utopía nos dedicamos al desarrollo de aplicaciones
Más detallesMANUAL DE EJECUCION DE LA ESTRATEGIA Ibex35 Evolución por Josep Codina
MANUAL DE EJECUCION DE LA ESTRATEGIA Ibex35 Evolución por Josep Codina La Estrategia Ibex35 Evolución se basa en un modelo que se ha probado de forma intensiva y que cumple los objetivos que se han marcado
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesGUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES
GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES Tema: Cartas de Servicios Primera versión: 2008 Datos de contacto: Evaluación y Calidad. Gobierno de Navarra. evaluacionycalidad@navarra.es
Más detallesBase de datos en Excel
Base de datos en Excel Una base datos es un conjunto de información que ha sido organizado bajo un mismo contexto y se encuentra almacenada y lista para ser utilizada en cualquier momento. Las bases de
Más detallesCAPÍTULO 2 DEFINICIÓN DEL PROBLEMA
CAPÍTULO 2 DEFINICIÓN DEL PROBLEMA En el capítulo anterior se describió la situación inicial en la que se encontraba la Coordinación de Cómputo Académico (CCA) del Departamento de Ingenierías (DI) de la
Más detallesGuía de aprendizaje Marketing aplicado y comunicación
Guía de aprendizaje Marketing aplicado y comunicación Año académico: 2013-2014 Máster en dirección, gestión e intervención en servicios sociales Profesor: Carolina Sorribas Morales 1 1.- Presentación de
Más detallesTeléfono: +34-96-398-5300 Telefax: +34-96-196-1781 Email: csirtcv@gva.es https://www.facebook.com/csirtcv https://twitter.
Como identificar phishing Sobre CSIRT-cv CSIRT-cv es el Centro de Seguridad TIC de la Comunitat Valenciana. Nace en junio del año 2007, como una apuesta de la Generalitat Valenciana por la seguridad en
Más detalleshttp://www.informatizate.net
http://www.informatizate.net Metodologías De Desarrollo De Software María A. Mendoza Sanchez Ing. Informático - UNT Microsoft Certified Professional - MCP Analísta y Desarrolladora - TeamSoft Perú S.A.C.
Más detallesTema 6 Caso práctico II
HG04006 Proyecto Integrador de Habilidades Gerenciales Tema 6 Caso práctico II 1 Introducción Durante los últimos cinco temas se ha visto que es la auditoria administrativa, así como el proceso que se
Más detallesCriterio 2: Política y estrategia
Criterio 2: Política y estrategia Definición. Cómo implanta el servicio su misión, y visión mediante una estrategia claramente centrada en todos los grupos de interés y apoyada por políticas, planes, objetivos,
Más detallesAuditoría que agrega valor
International Organization for Standardization International Accreditation Forum Auditoría que agrega valor Que es una auditoría que agrega valor? Escuchamos mucho a cerca de la importancia de agregar
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detalles@jialberola juanignacioalberola.com. Informe auditoría Social Media Situación inicial Versión 0.1a
Informe auditoría Social Media Situación inicial Versión 0.1a 1 INTRODUCCIÓN El presente documento tiene como objetivo establecer la situación inicial de su empresa en el ámbito del Social Media, con las
Más detallesLAS RATIOS FINANCIERAS
LAS RATIOS FINANCIERAS Sumario 1. Introducción 2. Estados Financieros 3. Liquidez 4. Solvencia 5. Rentabilidad 6. Conclusiones Última actualización: 25/03/09 Página 1 de 8 1. Introducción Para realizar
Más detallesNota de Información al cliente ISO/IEC 22301 Proceso de auditoría
Nota de Información al cliente ISO/IEC 22301 Proceso de auditoría La presente Nota de Información al Cliente explica las principales fases del proceso de certificación y auditoría de Sistemas de Gestión
Más detallesCÓDIGO DE CONDUCTA DE DATOS PERSONALES
CÓDIGO DE CONDUCTA DE DATOS PERSONALES Este Código de Conducta, incluyendo las Reglas del Uso Adecuado y Justo de Datos, explica como Equifax maneja los datos personales incluidos en sus bases de datos
Más detallesPROCEDIMIENTO DE AUDITORÍAS INTERNAS DEL SISTEMA DE GESTIÓN DE CALIDAD
Página : 1 de 12 PROCEDIMIENTO DE DEL SISTEMA DE GESTIÓN DE CALIDAD Esta es una copia no controlada si carece de sello en el reverso de sus hojas, en cuyo caso se advierte al lector que su contenido puede
Más detallesPlataformas virtuales
Plataformas virtuales Índice Introducción 1 Qué es una plataforma virtual? 2 Para qué sirve una plataforma virtual? 3 Cómo se usa una plataforma virtual? 5 Tipos de plataformas virtuales 6 Conclusión
Más detallesEducación y capacitación virtual, algo más que una moda
Éxito Empresarial Publicación No.12 marzo 2004 Educación y capacitación virtual, algo más que una moda I Introducción Últimamente se ha escuchado la posibilidad de realizar nuestra educación formal y capacitación
Más detallesLicencia. Todos los derechos reservados. Este reporte puede ser distribuido libremente pero queda
Licencia copyright www.segurodevidaparapadres.com Todos los derechos reservados. Este reporte puede ser distribuido libremente pero queda estrictamente prohibida cualquier modificación del mismo. El contenido
Más detallesPOLÍTICA DE EJECUCIÓN DE ÓRDENES
POLÍTICA DE EJECUCIÓN DE ÓRDENES Avda. Diagonal 463 pral. 2ª - 08036 Barcelona 1. Introducción 2. Objetivo 3. Ámbito 3.1. Instrumentos financieros 3.2. Clientes a. Tipología: Minoristas y Profesionales
Más detallesD E A C T I V O S D E S O F T W A R E
L A A D M I N I S T R A C I Ó N D E A C T I V O S D E S O F T W A R E I.- Qué es SAM? La Administración de Activos de Software (SAM) es un proceso vital de negocios que proporciona un sistema para la administración,
Más detallesConsultoría Empresarial
Consultoría Empresarial Nuestra Misión Crear valor a nuestros clientes mediante la transferencia de conocimientos, experiencias y mejores prácticas gerenciales entregadas por medio de nuestras asesorías,
Más detallesANEXO : PERFILES. Guía de Comunicación Digital para la Administración General del Estado. ANEXO PERFILES
ANEXO : PERFILES Guía de Comunicación Digital para la Administración General del Estado. ANEXO PERFILES ANEXO: PERFILES. 3 1. REQUISITOS ANTES DE TENER EL SITIO WEB. 4 1.1 TOMA DE REQUISITOS. 4 1.2 ANÁLISIS
Más detallesInfraestructura Tecnológica. Sesión 2: Mejoras adicionales al servidor de archivos
Infraestructura Tecnológica Sesión 2: Mejoras adicionales al servidor de archivos Contextualización Los servidores como cualquier equipo de cómputo pueden contar con varias mejoras con las que se pueden
Más detallesEncuestas sobre Actuación Docente del Profesorado de las asignaturas de másteres usando Campus Virtual
Encuestas sobre Actuación Docente del Profesorado de las asignaturas de másteres usando Campus Virtual Descripción general Con el fin de mejorar el procedimiento para recoger las respuestas a las Encuestas
Más detallesEl Auditor y la organización
Unidad 1 El Auditor y la organización Erika Valenzuela Felix ITI9-3 Hermosillo, Sonora. Agosto 2015 Dir: Agua dura #3 Col. Altares, Cel: 6623161983 Email: valeery.vv@gmail.com Índice Introducción 3 Interpretación
Más detallesGarantía de cumplimiento de los sistemas de información con la normativa actual
Garantía de cumplimiento de los sistemas de información con la normativa actual Implantación de software para conseguir la máxima seguridad de TI y cumplir con la regulación vigente Libro blanco Introducción
Más detallesSistemas de Calidad Empresarial
Portal Empresarial Aljaraque Empresarial Sistemas de Calidad Empresarial 1 ÍNDICE 1. INTRODUCCIÓN. 2. CONCEPTO DE CALIDAD Y SU SISTEMA. 3. MÉTODO PARA IMPLANTAR UN SISTEMA DE GESTIÓN DE LA CALIDAD. 4.
Más detalles------------------------------------------------------------------------------------------------------------------------ VISIÓN, MISIÓN, VALORES
------------------------------------------------------------------------------------------------------------------------ VISIÓN, MISIÓN, VALORES Se abrió este foro acerca de las primeras definiciones estratégicas,
Más detallesINFORME Nº 032-2010-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE
INFORME Nº 03-00-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE. Nombre del Área El área encargada de la evaluación técnica para la adquisición de la solución de seguridad de información es el Departamento
Más detalles