Introducción a la Seguridad Informática

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Introducción a la Seguridad Informática"

Transcripción

1 Introducción a la Seguridad Informática Roberto Gómez Cárdenas Lámina 1

2 Evaluación Como evaluar que un sistema es seguro o no Tres mecanismos la auditoría de seguridad (security audit), la evaluación de la seguridad (security assessment) las pruebas de penetración (penetration testing o PEN TEST). Lámina 2

3 Auditoría Proceso formal utilizado para medir aspectos de alto nivel de la infraestructura de seguridad desde la perspectiva organizacional (Ray Kaplan) Auditores limitan el alcance y no incluyen detalles técnicos de bajo nivel: fallas en protocolos de comunicación. Posible encontrar auditorias con mayor nivel de profundidad y alcance, con datos y recomendaciones técnicas detalladas. Generalmente se lleva a cabo por auditores EDP (Electronic Data Processing) certificados bajo las directrices de un comité Lámina 3

4 Evaluación Seguridad Informática Está orientada a establecer mayores detalles técnicos de la seguridad de la infraestructura de una organización. Son menos formales y tienden a ofrecer mayor detalle y alcance que las auditorías. Se lleva a cabo por un equipo de expertos en tecnología (generalmente con experiencia y trayectoria en este tipo de trabajos) bajo el auspicio de un comité ad-hoc conformado por personal de la organización, más que por auditores certificados. Lámina 4

5 Pruebas de penetración Conjunto de metodologías y técnicas, que se llevan a cabo para proporcionar una evaluación integral de las debilidades de los sistemas informáticos. Consiste en reproducir intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como externos a la organización. El objetivo final es determinar el grado de acceso a la infraestructura informática que tendría un atacante con intenciones maliciosas. Reportan a comité seleccionado por la organización Lámina 5

6 Tipos pruebas de penetración Formales e informales Externas o internas Cajas blancas, negras o grises Lámina 6

7 Informales Pruebas de penetración formales e informales Orientadas por objetivos técnicos de la infraestructura de comunicaciones, en un esfuerzo por penetrar tan rápido como se pueda dicha infraestructura. Formales Orientadas a verificar debilidades en las políticas de seguridad, soportadas en procedimientos y prácticas que pueden comprometer la información sensible de la organización. Lámina 7

8 Externas Pruebas de penetración internas y externas El objetivo es acceder en forma remota a los equipos de la organización y posicionarse como administrador del sistema. Se realizan desde fuera del Firewall y consisten en penetrar la Zona Desmilitarizada para luego acceder a la red interna. Internas Trata de demostrar cual es el nivel de seguridad interno. Se deberá establecer que puede hacer un usuario interno a la organización y hasta donde será capaz de penetrar en el sistema siendo un usuario con privilegios bajos. Lámina 8

9 Pruebas externas Pruebas de usuarios y la "fuerza" de sus contraseñas. Captura de tráfico. Detección de conexiones externas y sus rangos de direcciones. Detección de protocolos utilizados. Escaneo de puertos TCP, UDP e ICMP. Intentos de acceso vía accesos remotos, módems, Internet, etc. Análisis de la seguridad de las conexiones con proveedores, trabajadores remotos o entidades externas a la organización. Pruebas de vulnerabilidades existentes y conocidas en el momento de realización de la prueba. Prueba de ataques de negación de servicio. Lámina 9

10 Prueba internas Análisis de protocolos internos y sus vulnerabilidades. Autenticación de usuarios. Verificación de permisos y recursos compartidos. Pruebas de los servidores principales (WWW, DNS, FTP, SMTP, etc.). Pruebas de vulnerabilidades sobre las aplicaciones propietarias. Nivel de detección de la intrusión de los sistemas. Análisis de la seguridad de las estaciones de trabajo. Seguridad de la red. Verificación de reglas de acceso. Ataques de negación de servicio Lámina 10

11 Pruebas de penetración: cajas negras, blancas y grises Caja negra (blind) Lámina 11 No se cuenta con ninguna información del sistema y/o red que se va a analizar. Caja blanca (full disclosure) Se tiene acceso a toda la información (datos internos, código fuente, etc.) del sistema y/o red que debe analizar. Caja gris (partial disclosure) Caso intermedio a los anteriores. El consultor cuanta con un mapa de la red y los segmentos de direcciones relevantes, pero no con el código fuente de los aplicativos disponibles.

12 Pasos en una prueba de penetración Footprinting whois, nslookup Scanning Enumeration nmap, fping dumpacl, showmount legion, rpcinfo Denial of Service Gaining Access tcpdump, lophtcrack, NAT synk4, ping of death tfn/stacheldraht Escalating Privilege Pilferting Covering Tracks johntheripper, getadmin rhosts, userdata Config files, registry zap, rootkits Lámina 12 Creating Back Doors cron,at, startup folder netcat, keystroke logger, remote desktop

13 Otros ejemplos de fases Reconocimiento Pre-engagement Interactions Escaneo Intelligence Gathering Enumeración Threat Modeling Acceso Vulnerability Analysis Mantenimiento Exploitation Reporte Post Exploitation Presentación hallazgos Reporting Lámina 13

14 Metodologías El éxito de una buena prueba de penetración depende de capacidad y la experiencia del que la lleva a cabo, es bueno apoyarse en una metodología Ejemplos metodologías Wardoc. Rhino9 y Neonsurge Recopilación de información (NetBIOS e IIS) Penetración (NetBIOS e IIS) NIST (Guía para evaluar la seguridad en red) Planeación Descubrimiento Ataque (nuevamente descubrimiento) Reporte (análisis causas raíz) Lámina 14

15 La metodología OSSTMM Open Source Security Testing Methodology Manual Autor: Pete Herzog Metodología dividida en secciones, módulos y tareas. Mapa de Seguridad (6 secciones) Seguridad de la Información Seguridad de los Procesos Seguridad de las Tecnologías de Internet Seguridad de las Comunicaciones Seguridad Inalámbrica Seguridad Física Base: Valores de Evaluación de Riesgos solo aplicación efectiva de los controles y no solo su existencia. Cada sección se compone de varios módulos y estos a su vez de tareas. Lámina 15

16 Otras metodologías Breaking into computer networks form the Internet, Roelof Temming (sensepost) An approach to systematic network auditing - Mixter (TFN) Impoving the security of your site by breaking into it. Dan Farme y Wietse Venema Managing a Network Vulnerability Assessment. Peltier y Blackley Hack I.T.. T.J. Klevinsky Hacking Exposed. McClure, Scambray, Kurtz Lámina 16

17 Reporte prueba penetración Se debe explicar paso a paso cómo se llevó a cabo la actividad hasta alcanzar y penetrar la infraestructura de comunicaciones. Así mismo, documenta cómo se aprovecharon las debilidades de los programas o deficiencias en las configuraciones del hardware para ingresar de manera no autorizada al perímetro de comunicaciones de la empresa. Dos reportes: técnico y ejecutivo Lámina 17

18 Ejemplos resultados Nessus Lámina 18

19 Cuál de las tres usar? Lámina 19

20 Arquitectura de seguridad Vista total de la arquitectura del sistema desde un punto de vista de seguridad. Da a conocer recomendaciones de donde, dentro del contexto general de la arquitectura del sistema, se deben colocar los mecanismos de seguridad. Proporciona una percepción de los servicios de seguridad, mecanismos, tecnologías y características que pueden ser usados para satisfacer requerimientos de seguridad del sistema. Lámina 20

21 Puntos a tomar en cuenta La seguridad es un requerimiento desde un principio. Es otra característica que necesita ser incluida. Se enfoca en los servicios de seguridad del sistema Mecanismos de alto nivel. Ubicación de funcionalidades relacionadas con seguridad. Identificar interdependencias entre componentes relacionados con seguridad, servicios, mecanismos y tecnologías, y al mismo tiempo arreglar cualquier conflicto entre ellos. Lámina 21

22 Un primer ejemplo de arquitectura Lámina 22

23 Segundo ejemplo Lámina 23

24 Tercer ejemplo Lámina 24

25 Un último ejemplo Lámina 25

26 Y cómo diferenciar a los buenos de los malos? Recomendaciones de terceros Prestigio de las compañías Certificaciones / títulos academicos Lámina 26

27 Títulos académicos licenciatura maestría doctorado Certificaciones CISSP SSCP CISA CISM CISMP SCP BS7799-LA Títulos y certificaciones Lámina 27

28 Las opciones académicas Lámina 28 Diplomados ITESM-CEM UNAM y otros Cursos aislados en programas de maestría y licenciatura Licenciatura Tec Milenio: Ingeniero en Seguridad Computacional Maestrias en seguridad informativa CESNAV UNITEC ESIME Culhuacan Varias universidades americanas y europeas ofrecen maestrías en el área de seguridad informática.

29 Universidades relacionadas Lámina 29 University of Sheffield Ecole Ingenieur Télécom Paris - ENST Ecole nationale Mastere Sécurité des systèmes informatiques et des réseaux University Purdue Center for Education and Research in Information Assurance and Security, or CERIAS The George Washington University Master of Arts in the arts in the field of Criminal Justice Computer Fraud Investigation

30 Otras dos más... Carnegie Mellon University. Information Networking Institute (INI) Master of Science in Information Networking Master of Science in Information Security Technology and Management Capitol College Master of Science in Network Security restricted by the United States Department of Commerce to U.S. citizens and permanent residents Lámina 30

31 Certificaciones Requerimientos legales Sarbanes Oxley (2002) Turnbull Report (1990 s) en Europa PCI: Mastercard y Visa (2007) Qué puedo certificar? Individuos Organizaciones Productos Lámina 31

32 Violaciones La empresa American International Group (AIG) recibió una multa de $10 millones de dólares Se afirmó que existían políticas diseñadas para ayudar a las compañías a ocultar sus pérdidas Es la primer multa de este tipo aplicada a una aseguradora Al Bank of América se le multó con $375 millones de dólares No existió cooperación con la investigación Es la primera multa de este monto en un solo caso Lámina 32

33 Certificación de individuos CISSP, SSCP, CISA, CISM, GIAC Lámina 33

34 Certificación de individuos Las certificaciones en Seguridad tienen un rol cada día más importante en el proceso de selección y reclutamiento de individuos Cada certificación cuenta con un CBK Cuerpo común de conocimientos Lámina 34

35 Opciones certificación Más de 55 certificaciones en seguridad neutrales de productos Las mas demandadas CISSP SANS GIAC CPP SANS GIAC la pionera en la creación de programas de certificaciones cuenta con una gran variedad y están relacionadas entre sí a manera de carrera. Lámina 35

36 Hacia una jerarquía primer nivel básico CompTIA Security + SANS GSEC SSCP de (ISC)2 credenciales intermedias y de nivel Senior SANS-GIAC CISSP de (ISC)2 CISM de ISACA restringen su acceso a solo individuos Most-Senior de la comunidad de la seguridad, simplemente porque requieren cinco a nueve años de experiencia profesional en el campo de seguridad. CPP de ASIS PCI de ASIS PSP de ASIS Lámina 36

37 CompTIA Asociación mundial de la industria de la computación, tanto en software como en hardware, con mas de 21,000 miembros en mas de 120 países Es la mas grande y única asociación global de este tipo Ha desarrollado once destrezas en Certificaciones en Tecnología Informática cubren un amplio rango de disciplinas, ambientes operativos y niveles de destrezas Lámina 37

38 Certificaciones de la CompTIA A+ Entry-Level Computer Service CTT+ Certified Trainer Network+ Network Support and Administration CDIA+ Document Imaging and Management Server+ Server Hardware Technology i-net+ Internet and Online Technologies Security+ Computer and Information Security Linux+ Linux Operating Systems HTI+ Home Technology Integration Project+ Project Management e-biz+ e-commerce Lámina 38

39 CBK y examen CBK Dominio % examen General Security Concepts 30% Communication Security 20% Infrastructure Security 20% Basics of Cryptography 15% Operational / Organizational Security 15% Examen 100 preguntas 90 minutos para responder 764 en escala de para pasar Lámina 39

40 CISSP No es una asociación, es el título que ostenta el profesional certificado Certified Information Systems Security Professional Ser CISSP es un privilegio que se debe ganar y mantener Otorgado por la (ISC) 2 International Information Systems Security Certification Consortium Organismo independiente Creado para realizar la certificación de profesionales en seguridad informática Lámina 40

41 CBK del CISSP Access Control Systems & Methodology Telecommunications & Network Security Security Management Practices Applications & Systems Development Security Cryptography Security Architecture & Models Operations Security Business Continuity Planning (BCP) & Disaster Recovery Planning (DRP) Law, Investigations & Ethics Physical Security Lámina 41

42 CISSP en México ALAPSI Asociación Latinoamerica Profesionales Seguridad Informática Dos/tres exámenes por año Cursos preparación examen Próximo examen: consultar página Número de certificados en México: 250/61,000 Lámina 42

43 El examen Formato examen de opción múltiple 250 preguntas se cuenta hasta 6 horas para resolverrlo Aprobar examen con 700 puntos Enviar formato de adhesión/certificación (Endorsement Form) avalada por un CISSP o por otro profesional calificado Auditoría, si es seleccionado Calendarización Lámina 43

44 SSCP Especialista Certificado de Seguridad de Sistemas Systems Security Certified Practitioner Diseñada para personas que aplican los principios de seguridad de la información, procedimientos, estándares y guías de una organización. proporcionar soporte de la infraestructura de la seguridad security enforcer la persona no solo entiende su posición, sino también tiene un conocimiento de experto de la seguridad informática, como funciona y como es aplicada Lámina 44

45 CBK del SSCP Access Controls Administration Audit and Monitoring Risk, Response and Recovery Cryptography Data Communications Malicious Code/Malware Lámina 45

46 CISA Certified Information Systems Auditor En un principio dominio exclusivo de auditores de IT Administrada por la ISACA (Information Systems Audit and Control Association & Foundation) fundada en 1969 Certificación CISA tiene desde 1978 En 2002 se contaba con unos 28,000 personas con dicha certificación. Dominios coinciden con CISSP más enfocado a los procedimientos del negocio que a la tecnología Varios CISSP optan por ganar su CISA Lámina 46

47 Áreas CISA Management, planning and organization of IS Technical infrastructure and operational practices Protection of information assets Disaster recovery and business continuity Business application system development, acquisition, implementation and maintenance Business process evaluation and risk management The IS audit process Lámina 47

48 CISM ISACA acaba de diseñar la certificación CISM Certified Information Security Manager Certificación reconoce el conocimiento y experiencia de un administrador de seguridad IT Debido a que es nuevo, pasa por un periodo de apadrinamiento aquellos que puedan demostrar ocho años de experiencia en el área de seguridad informática puede obtener la certificación sin realizar examen alguno periodo abierto hasta el 31 diciembre 2003 Después periodo será necesario presentar examen. Primer examen será ofrecido en Junio 2004 Lámina 48

49 CBK del CISM Information Security Governance Risk Management Information Security Programme Management Information Security Management Response Management Lámina 49

50 Global Information Assurance Certifications SANS Institute ofrece una serie de certificaciones bajo el programa GIAC Global Information Assurance Certification Grupo de certificaciones técnicas y algunas administrativas La experiencia no es explicita o necesaria para obtenerla orientado a la práctica de seguridad informática Lámina 50

51 Certificaciones No hay un orden en particular Se recomienda empezar con los de nivel bajo e ir subiendo GIAC Certification cursos 5-6 días periodo de 6 meses para certificarse color amarillo GIAC Certificates cursos 1-2 días 10 semanas color verde Lámina 51

52 Las certificaciones Security Administration Security Essentials Certification Certified Incident Handler Certified Intrusion Analyst Penetration Tester Certified Firewall Analyst Web Application Penetration Tester Certified Windows Security Administrator Assessing and Auditing Wireless Network Certified UNIX Security Administrator Information Security Fundamentals Certified Enterprise Defender Exploit Researcher and Advanced Penetration Tester Forensics Certified Forensic Analyst Reverse Engineering Malware Certified Forensic Examiner Management Security Leadership Information Security Professional Certified ISO Specialist Certified Project Manager Software Security Secure Software Programmer-Java Certified Web Application Defender Secure Software Programmer-.NET Audit Systems and Network Auditor Legal Legal Issues in Information Technology and Security Lámina 52

53 Otras certificaciones EC-Council Grupo de certificaciones técnicas Offensive Security Lámina 53 Certificaciones de Productos Symantec Computer Associates Checkpoint McAfee Juniper Websense

54 Certificaciones de organizaciones ISO / BS 7799 / UNE Lámina 54

55 Certificación organizaciones Pregunta Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas, Metodologías y Legislaciones Internacionales aplicables? Lámina 55

56 Norma ISO / BS 7799 / UNE Un conjunto de controles basados en las mejores prácticas en seguridad de la información; Estándar internacional que cubre todos los aspectos de la seguridad informática: Equipos Políticas de gestión Recursos humanos Aspectos jurídicos Lámina 56

57 Principio de la Historia Julio 2005 Marzo 2004 Nueva versión de BS revisada y corregida UNE Diciembre 2000 ISO/IEC 17799: Septiembre 2002 Nueva versión de BS revisada y corregida 2001 BS 7799 Parte 2 BS 7799 Parte 1 Revisión de BS Estándar Sueco SS Parte 1 y 2 Nueva versión de BS 7799 Parte 1 y 2 Lámina 57

58 Transición BS : 1999 ISO 17799:2000 ISO 17799:2005 ISO27002:2005 ISO 27002: dominios 36 controles objetivo 127 controles específicos 10 dominios 36 controles objetivo 127 controles específicos 11 dominios 39 controles objetivo 133 controles específicos 14 dominios 35 controles objetivo 114 controles específicos BS : 2001 BS7799-2:2002 ISO 27001:2005 ISO 27001: dominios 36 controles objetivo 127 controles específicos 10 dominios 36 controles objetivo 127 controles específicos 11 dominios 39 controles objetivo 133 controles específicos 14 dominios 35 controles objetivo 114 controles específicos Lámina 58

59 Áreas control 27001:2013 Políticas de seguridad Organización de la seguridad de la información Seguridad de los RRHH Gestión de Activos Control de acceso Criptografia Seguridad física y ambiental Operaciones de seguridad Seguridad en las comunicaciones Sistemas de adquisición, desarrollo y mantenimiento Relaciones con proveedores Gestión de incidentes Seguridad de la información para la continuidad del negocio Cumplimiento Lámina 59

60 Ejemplo controles Lámina 60

61 Los estándares de la series ISO IEC ISO/IEC Descripción Vocabulario y definiciones Especificación de la estructura metodológica (basada en el BS7799-2:2002): Código de prácticas (basada en ISO17799:2005): Guía de implementación Métricas y medidas La Administración del Riesgo: (basado en BS ) Requerimientos para organismos de acreditación de Sistemas de Gestión de Seguridad de la Información: 2007 Lámina 61

62 Integración con otras normas BS is ISO 9001:2000 for IT and can be an extension of ISO 9001 scope BS BS 7799:2 ISMS ISO 9001:2000 El resto del mundo ISO Lámina 62

63 Modelo PDCA Lámina 63 Plan (Planificar) - Do (Hacer) - Check (Verificar) - Act (Actuar)

64 PDCA e ISO 27001:2013 Lámina 64

65 El camino de la cerficación Acuerdo de Confidencialidad Certificado ISMS Pre-Estudio/ Implementación Pre- Auditoría Auditoría Inicial Seguimiento Auditorías Periódicas Implementadores Auditores Creación de Valor Lámina 65

66 A considerar Los certificados tienen una validez de 3 años. Se requieren auditorías de evaluación, que van desde los periódica de 6 hasta los 12 meses después de efectuada la primera auditoría. A partir de la publicación del estándar ISO 27001, el BS7799 queda anulado. Solo se certificó en BS7799 hasta el 15 de Abril del 2006, a partir de esa fecha todas la auditorías se efectúan en base al estándar ISO Las empresas certificadas tendrán un periodo de tiempo para la transición de la ISO27001:2005 a la 2013 de 2 años. Las empresas que están en vías de certificarse con la ISO27001:2005 lo podrán hacer pero tendrán que migrar a la ISO27001:2013 en el tiempo establecido. Lámina 66

67 La certificación de productos TCSEC, ITSEC, CTCPEC, CC Lámina 67

68 TCSEC certification Trusted Computer Systems Evaluation Criteria Pagina (Rainbow Series Library) Documento publicado por el Departamento de Defensa de los Estados Unidos en 1983 (DOD STD) conocido también como el Orange Book. actualizado en 1985 Lámina 68

69 Objetivos TCSEC Proporcionar una guía a los fabricantes de productos comerciales en relación a las características de seguridad que deben cumplir sus productos. Dotar al DoD de los Estados Unidos con una métrica para evaluar el grado de confiabilidad de los sistemas orientados a manejar información clasificada. Proporcionar una base a los usuarios finales para establecer requerimientos de seguridad en sus adquisiciones de productos. Lámina 69

70 Criterios y niveles SECURITY POLICY ASSURANCE ACCOUNTABILITY new orenhanced requiriemntes for this class no aditional requiriments for this class no requirements for this class DOCUMENTATION A1 B3 B2 B1 C2 C1 Lámina 70

71 Los niveles Nivel Descripción Comentarios D sistema no seguro C1 protección discrecional DAC identificación + autenticación C2 acceso controlado auditoria de sistemas B1 seguridad etiquetada etiqueta + nivel seguridad jerárquico + categorías B2 protección estructurada etiqueta cada objeto de nivel superior por ser padre de un inferior B3 dominios seguridad monitor referencia que permite o niega peticiones acceso A protección verficada uso métodos formales para asegurar todos los procesos Lámina 71

72 Ejemplo SOs evaluados por la NSA bajo TCSEC (1996) Lámina 72

73 Algunos libros de la serie arcoiris Orange Book DoD Trusted Computer System Evaluation Criteria Green Book DoD Password Management Guideline, Light Yellow Book Computer Security Requirements Yellow Book Guidance for Applying the DoD TCSEC in Specific Environments, Light Yellow Book Guidance for Applying the DoD TCSEC in Specific Environments Bright Blue Book Trusted Product Evaluation - A Guide for Vendors Red Book Trusted Network Interpretation Lámina 73

74 Estandares creados a partir del TSSEC ITSEC Information Technology Security Evaluation Criteria la versión europea CTCPEC Canadian Trusted Computer Product Evaluation Criteria ftp://ftp.cse.dnd.ca/pub/criteria/ctcpec.ascii la versión canadiense Lámina 74

75 Common Criteria Estándar internacional ISO Trabajo de varios países (14) Inspirado del TCSEC, ITSEC, CTCPEC Flexible No cuenta con perfiles predeterminados. Permite la adición de nuevos criterios. Parte de las necesidades de cada usuario/fabricante no de las necesidades del DoD. cada nueva evaluación implica la creación de un modelo o marco de referencia (Security Target o ST). Lámina 75

76 Objetivos CC Permitir a los usuarios el especificar sus requerimientos de seguridad, Permitir a los desarrolladores especificar los atributos de sus productos Permitir que los evaluadores determinen si los productos cumple con lo que estipulan. Lámina 76

77 Tipos documentos CC El CC define un conjunto de requerimientos de seguridad dividido en requerimientos funcionales y de seguridad Dos tipos de documentos Protection Profiles (PPs): documento creado por un usuario o comunidad de usuarios que identifica requerimientos de seguridad por parte del usuario Security Targets (STs): documento creado por un desarrollador de sistema, que identifica las capacidades de un producto en partícular un ST puede indicar la implementación de cero o mas PPs Lámina 77

78 Los niveles del CC (EAL) Usuario puede contar con una evaluación independiente que compruebe que el producto cumple con lo estipulado en el ST evaluación conocida como TOE - Target of Evaluation EAL: Evaluation Assurance Level numeradas del 1 al 7 EALs superiores requieren de un mayor esfuerzo de evaluación los EAL de mayor valor garantizan más seguridad, pero su evaluación requiere de mayor tiempo y cuesta más dinero EAL valor grande no significa mejor seguridad, solo estipula que seguridad proclamada fue extensamente validada Lámina 78

79 Niveles Aseguramiento CC Common Criteria Descripción Referencia TCSEC EAL1 Probado funcionalmante -- EAL2 Estructuralmente probado C1 EAL3 Metodológicamente probado C2 EAL4 (W2K, Solaris, HP- UX, AIX) EAL5 EAL6 EAL7 Metodológicamente diseñado, probado, y revisado Semiformalmente diseñado y probado Semiformalmente verificado (diseño) y probado Formalmente verificado (diseño) y probado B1 B2 B3 A1 Lámina 79

80 Ejemplo productos clasificados Producto Nivel Fecha 3Com Embedded Firewall V1.5.1 EAL2 June 2003 IBM WebSphere Application Server V Windows 2000 Professional, Server, and Advanced Server with SP3 and Q EAL2+ 2 December 2004 EAL4+ October 2002 Borderware, V6.1.1 Firewall Serve EAL4+ January 2000 Check Point VPN-1/FireWall-1 NG EAL4 June 2002 Oracle8i Release EAL4 EAL4 Red Hat Enterprise Linux 3 EAL2 February 2004 Symantec Manhunt Version 2.11 EAL3 December 2003 Lámina 80

81 Introducción a la Seguridad Informática Roberto Gómez Cárdenas Lámina 81

Certificaciones en Seguridad Informática Conceptos y Reflexiones

Certificaciones en Seguridad Informática Conceptos y Reflexiones Certificaciones en Seguridad Informática Conceptos y Reflexiones Jeimy J. Cano, Ph.D Universidad de los Andes jcano@uniandes.edu.co Agenda Introducción Evolución de la Seguridad Informática Servicios de

Más detalles

La Seguridad de las Tecnologías

La Seguridad de las Tecnologías 22 Certificaciones de Seguridad TI: un valor en alza EN EL PRESENTE ARTÍCULO SE REVISAN LAS CARACTERÍSTICAS Y BENEFICIOS DE LAS CERTIFICACIONES DE SEGURIDAD TI, ANALIZANDO EN DETALLE LAS TRES MÁS EXTENDIDAS

Más detalles

www.alapsi.net Presentación: Quién es ALAPSI Noreste? Asociación Latinoamericana de Profesionales en Seguridad de Información

www.alapsi.net Presentación: Quién es ALAPSI Noreste? Asociación Latinoamericana de Profesionales en Seguridad de Información Presentación: Quién es ALAPSI Noreste? Asociación Latinoamericana de Profesionales en Seguridad de Información 1 ALAPSI NORESTE HISTORIA ALAPSI Noreste nace el 3 de febrero de 2005 basada en Monterrey,

Más detalles

Certificaciones Profesionales en Seguridad de la Información. Ing. Reynaldo C. de la Fuente

Certificaciones Profesionales en Seguridad de la Información. Ing. Reynaldo C. de la Fuente Certificaciones Profesionales en Seguridad de la Información Ing. Reynaldo C. de la Fuente 2 Temario Concepto de certificación profesional Contexto nacional e internacional. Por que certificarme o certificar

Más detalles

Servicios Administrados de Seguridad lógica

Servicios Administrados de Seguridad lógica Servicios Administrados de Seguridad lógica Índice Objetivos Alcance Servicios Administrados Soluciones propuestas Objetivo Mejorar y fortalecer las políticas de seguridad lógica que actualmente existen.

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Bootcamp de Certificación 2015

Bootcamp de Certificación 2015 CISSP 2015 Bootcamp de Certificación 2015 La Información es el activo más importante de la Organización y de las personas. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada

Más detalles

Unidad 8. Evaluación y gestión de seguridad S E G U R I D A D D E L A I N F O R M A C I O N

Unidad 8. Evaluación y gestión de seguridad S E G U R I D A D D E L A I N F O R M A C I O N Unidad 8 Evaluación y gestión de seguridad S E G U R I D A D D E L A I N F O R M A C I O N Sistemas de Evaluación - Objetivos Mostrar que un sistema cumple requerimientos de seguridad específicos bajo

Más detalles

Red de Ingeniería de Software y Bases de Datos. Certificaciones en TIC. Ana Berenice Rodríguez Lorenzo Susana Laura Corona Correa

Red de Ingeniería de Software y Bases de Datos. Certificaciones en TIC. Ana Berenice Rodríguez Lorenzo Susana Laura Corona Correa Red de Ingeniería de Software y Bases de Datos Certificaciones en TIC Ana Berenice Rodríguez Lorenzo Susana Laura Corona Correa Abril 2015 1 Introducción 1 Qué es una certificación? Una certificación es

Más detalles

Certified Ethical Hacker. Curso Oficial para Certificación Internacional

Certified Ethical Hacker. Curso Oficial para Certificación Internacional Qué es Certified Ethical Hacker (CEH)? CEH (Certified Ethical Hacker) es una de las más prestigiosas certificaciones del mundo en el campo del Hacking, avalada por el consejo Internacional de comercio

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

CATALOGO DE CURSOS Y CERTIFICACIONES TECNOLÓGICAS

CATALOGO DE CURSOS Y CERTIFICACIONES TECNOLÓGICAS CATALOGO DE CURSOS Y CERTIFICACIONES TECNOLÓGICAS AÑO 2015-2016 Colaborador de Iscarem HR en el área de Formación IT International Information Systems Secutity Certificaction Consortium. Es una organización

Más detalles

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C.

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C. Tendencias en la Implementación de Sistemas de Gestión de Servicios y Seguridad de TI Septiembre, 2008 Maricarmen García CBCP maricarmen.garcia@secureit.com.mx Contenido Introducción a ALAPSI Situación

Más detalles

CERTIFICACIONES PROFESIONALES INTERNACIONALES QUE CONTRIBUYEN A DEMOSTRAR LA COMPETENCIA DE LOS AUDITORES INTERNOS

CERTIFICACIONES PROFESIONALES INTERNACIONALES QUE CONTRIBUYEN A DEMOSTRAR LA COMPETENCIA DE LOS AUDITORES INTERNOS De acuerdo con el Código de Ética de The Institute of Internal Auditors (IIA), que establece los principios y las expectativas que rigen la conducta de los individuos y las organizaciones en la realización

Más detalles

Nuestra propuesta ofrece el curso y certificación del siguiente tema: CISSP Certified Information Systems Security Professional (ISC)²

Nuestra propuesta ofrece el curso y certificación del siguiente tema: CISSP Certified Information Systems Security Professional (ISC)² Monterrey, N.L. a 25 de junio de 2014 Lic. Raúl González Reyna Lic. Andrés Simón Bujaidar MéxicoFIRST Presentes Estimados Señores: Adjunto a este documento ponemos a su consideración la propuesta de servicios

Más detalles

Information Technologies Valor

Information Technologies Valor Information Technologies EMPRESA REFERENCIAS CONTACTO EMPRESA Ofrecemos servicios profesionales de consultoría y auditorias tecnológicas, enfocando nuestra labor desde los sistemas informáticos que gestionan

Más detalles

Seguridad en Redes Introducción al Ethical Hacking

Seguridad en Redes Introducción al Ethical Hacking Seguridad en Redes Introducción al Ethical Hacking Félix Molina Ángel molina@uagro.mx Objetivo: Fomentar la importancia de asegurar los recursos informáticos para evitar el acceso no autorizado. Agenda

Más detalles

http://actualizacion.itesm.mx

http://actualizacion.itesm.mx Diplomado Seguridad informática El Instituto Tecnológico de Estudios Superiores de Monterrey, Campus Estado de México (ITESM-CEM) y la Asociación Latinoamericana de Profesionales en Seguridad Informática,

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST.

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Servicios en seguridad de la información Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción a la seguridad Evaluación de Riesgo. Implementación de la seguridad Planes para

Más detalles

Evolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte

Evolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte Evolución de la estrategia de seguridad de la información basada en indicadores Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte Agenda Planeación estratégica de seguridad Gobierno de Seguridad Indicadores

Más detalles

IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES

IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES Alejandro Hernández H. (nitrøus), CISSP, GPEN http://twitter.com/nitr0usmx http://chatsubo-labs.blogspot.com http://www.brainoverflow.org

Más detalles

Hacking Ético y Frameworks Opensource

Hacking Ético y Frameworks Opensource Hacking Ético y Frameworks Opensource Mariano Nuñez Di Croce mnunez@cybsec.com Febrero 11-13, 13, 2009 IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información La Habana,, Cuba Copyright

Más detalles

Curso Online. Network Security Specialist

Curso Online. Network Security Specialist Curso Online Network Security Specialist Cursos Online Plan de estudios: Itinerario Formativo por especialidad GESTIÓN PREVENCIÓN DETECCIÓN ISM NSS SSA INFORMATION MANAGER NETWORK SPECIALIST SYSTEM AUDITOR

Más detalles

Eterovic, Jorge Esteban Donadello, Domingo Universidad Nacional de La Matanza, Departamento de Ingeniería e Investigaciones Tecnológicas

Eterovic, Jorge Esteban Donadello, Domingo Universidad Nacional de La Matanza, Departamento de Ingeniería e Investigaciones Tecnológicas Presentación de un Framework de Evaluación de la Seguridad de productos y servicios de las Tecnologías de la Información de acuerdo a las normas Common Criteria Eterovic, Jorge Esteban Donadello, Domingo

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

drð^=al`bkqb= Para conseguir este objetivo el temario de la asignatura se ha dividido en trece temas:

drð^=al`bkqb= Para conseguir este objetivo el temario de la asignatura se ha dividido en trece temas: `ìêëç^å~ç ãáåç OMNQöOMNR TITULACIÓN GRADO EN SISTEMAS DE INFORMACION CURSO CUARTO CURSO ASIGNATURA SEGURIDAD Y AUDITORIA DE SISTEMAS DE INFORMACIÓN drð^al`bkqb NKJ`~ê~ÅíÉê ëíáå~ëçéä~~ëáöå~íìê~ Nombre de

Más detalles

IT Guardian auditing & consulting services. IT Guardian auditing & consulting services

IT Guardian auditing & consulting services. IT Guardian auditing & consulting services IT Guardian Enero 2012 Servicios profesionales de IT Guardian CONTENIDO Presentación de la empresa Misión Visión Valores Principales servicios Costos Metodología Certificaciones Principales Clientes Contactos

Más detalles

SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA INTRODUCCION Con el fin de ofrecer un portafolio de servicios de alta calidad técnica y amplia experiencia en Seguridad Informática, hemos realizado una unión técnica entre las empresas

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

Adelantándose a los Hackers

Adelantándose a los Hackers 1 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 5 de Julio de 2001 Buenos Aires - ARGENTINA 2 Adelantándose a los Hackers Temario

Más detalles

Guía de Pentesting Básico

Guía de Pentesting Básico Guía de Pentesting Básico V1.0 Jul 2014 Ing. Aarón Mizrachi CISA ITILv3F Introducción al Pentesting Definición: Es un tipo de auditoría externa basada en ataques, orientada a ganar acceso en los sistemas

Más detalles

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas. El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones

Más detalles

Métricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.

Métricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A. Métricas para la Seguridad de las Aplicaciones MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A. Expositor About Me MAI. Andrés Casas, Director de Gestión de Riesgo de

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

Certified Professional Offensive and Defensive Security

Certified Professional Offensive and Defensive Security Certified Professional Offensive and Defensive Security Security -CPODS v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral en Seguridad de la información ofrecida por

Más detalles

Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico

Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico ISO/IEC 15408 Common Criteria 7 de noviembre del 2000 Roberto Moya ATI-EOI EL ESTADO DEL ARTE ACTUAL SE

Más detalles

Auditoría de Seguridad, Evaluación de Seguridad y Pruebas de Penetración: tres paradigmas en la Seguridad Informática.

Auditoría de Seguridad, Evaluación de Seguridad y Pruebas de Penetración: tres paradigmas en la Seguridad Informática. Auditoría de Seguridad, Evaluación de Seguridad y Pruebas de Penetración: tres paradigmas en la Seguridad Informática. Autor:Jeimy J. CANO (Nota del autor: La palabra Paradigma proviene del griego. En

Más detalles

Hambar IT Government Security Configuration Benchmarks Checklist de Seguridad Métricas

Hambar IT Government Security Configuration Benchmarks Checklist de Seguridad Métricas Quiénes somos Hambar IT Government es una empresa dedicada a la aplicación de las buenas prácticas en despliegue, seguridad y auditoría de sistemas de información, usando como material de trabajo base

Más detalles

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad SI-0015/06 Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre Pedro Sánchez Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified

Más detalles

"Metodolog#a de Comprobaci$n ISO 17.799% & ' 12( 12(1 (3. Página 1

Metodolog#a de Comprobaci$n ISO 17.799% & ' 12( 12(1 (3. Página 1 !! "Metodolog#a de Comprobaci$n ISO 17.799% & ' () *+,-.-/0 12( 12(1 (3 Página 1 Proposición Desarrollar una metodología que se utilice para identificar cuales son las diferencias existentes en una empresa

Más detalles

Modelos y Normas Disponibles de Implementar

Modelos y Normas Disponibles de Implementar Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar

Más detalles

18 15,29 19 de Redes 6293 Troubleshooting and Supporting Windows 7 in the Enterprise 3 6292 y 6420 70-685 $ 4,900.00

18 15,29 19 de Redes 6293 Troubleshooting and Supporting Windows 7 in the Enterprise 3 6292 y 6420 70-685 $ 4,900.00 Sistemas Operativos, Seguridad Tel. 340 2400 n www.qoslabs.com.mx n info@qoslabs.com CÓDIGO CURSO DÍAS REQUISITO EXAMEN PRECIO M.N. Julio Agosto Septiembre Microsoft Windows 7 62 Installing and Configuring

Más detalles

Developing Security for you. Ing. Camilo Fernández Consultor en Seguridad Informática

Developing Security for you. Ing. Camilo Fernández Consultor en Seguridad Informática Developing Security for you. Ing. Camilo Fernández Consultor en Seguridad Informática CISA, CISSP, CEPT, CEH, ISO27001 Lead Auditor, MCSE: Security, CHFI, Security+ Introducción Por que necesitamos seguridad?

Más detalles

Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015

Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015 Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015 About Me Ingeniero de Sistemas (UNEXPO). Especialista en Auditoria de Sistemas Financieros y Seguridad de Datos. Certificado CEHv8 (EC-COUNCIL).

Más detalles

Master in Business Administration

Master in Business Administration Master in Business Administration TÓPICOS SELECTOS De Hacker a C-Level Alejandro Hernández nitrousenador@gmail.com http://www.brainoverflow.org Asesor de Seguridad en TI CubilFelino Security Research Labs

Más detalles

examen de muestra ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009

examen de muestra ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009 examen de muestra IS20FB.LA_1.0 ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009 índice 2 introducción 3 examen de muestra 8 soluciones 18 evaluación

Más detalles

Programa de Asignatura

Programa de Asignatura Programa de Asignatura Seguridad Informática 01 Carrera: Licenciatura en Tecnología Informática 02 Asignatura: Seguridad Informática 03 Año lectivo: 2013 04 Año de cursada: 3er año 05 Cuatrimestre: Segundo

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Ofiproductos de Computación S.A DE C.V

Ofiproductos de Computación S.A DE C.V Ofiproductos de Computación S.A DE C.V Ofiproductos de Computación, S.A. de C.V., es una empresa fundada en 1985 por un grupo de funcionarios y técnicos que trabajamos durante más de 20 años en IBM de

Más detalles

CS.04. Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5. Ing. Claudio Schicht, PMP, ITIL EXPERT

CS.04. Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5. Ing. Claudio Schicht, PMP, ITIL EXPERT CS.04 Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5 (HABILITAN PARA OBTENER CERTIFICACION) Ing. Claudio Schicht, PMP, ITIL EXPERT 1. Introducción: Desde

Más detalles

Certified Ethical Hacker Training

Certified Ethical Hacker Training Pág. 1 de 6 CONTENIDO DETALLADO Certified Ethical Hacker Training Descripción del Curso El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos

Más detalles

PROGRAMA DE ASIGNATURA

PROGRAMA DE ASIGNATURA PROGRAMA DE ASIGNATURA 01. Carrera Lic. En Administración de Negocios Internacionales Lic. En Dirección del Factor Humano Lic. En Comercialización X Lic. En Tecnología Informática Lic. En Administración

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

Carmen R. Cintrón Ferrer, 2010, Derechos Reservados Contribuir a lograr una cultura de seguridad organizacional sobre la base de confiabilidad. 2 Expresión visión Metas Expectativas Objetivos 3 Gestión Ética (Governance: Honesty & Integrity -Ethics) Manejo

Más detalles

Nuevas Certificaciones Microsoft

Nuevas Certificaciones Microsoft NuevasCertificacionesMicrosoft MicrosoftCertifiedProfessionalDeveloper(MCPD) CertificacionesMicrosoftparaprofesionalesTI(MCITP) MicrosoftCertifiedEspecialistaenTecnología(MCTS) ProgramaMicrosoftCertifiedArchitect(MCAP)

Más detalles

Especificaciones Técnicas para Ethical Hacking

Especificaciones Técnicas para Ethical Hacking Especificaciones Técnicas para Ethical Hacking OBJETIVO PRINCIPAL El BANCO DEL ESTADO, requiere efectuar un estudio de Ethical Hacking sobre su infraestructura, que permita identificar y corregir las vulnerabilidades

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

Fundamentos de ITIL 2011 Edition Preparación para la Certificación ITIL Foundation

Fundamentos de ITIL 2011 Edition Preparación para la Certificación ITIL Foundation Fundamentos de ITIL 2011 Edition Preparación para la Certificación ITIL Foundation Inicio 21 de octubre de 2013 24 horas de capacitación Centro de Calidad de Software. 15 de Agosto N 823 casi Humaitá Tel

Más detalles

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Más detalles

Viaje a las nubes, pero asegure la realidad. Roque C. Juárez IBM de México

Viaje a las nubes, pero asegure la realidad. Roque C. Juárez IBM de México Viaje a las nubes, pero asegure la realidad Roque C. Juárez IBM de México Contenido De las buenas intenciones a la realidad. Implicaciones del nuevo paradigma. Dónde ponemos la seguridad? Consideraciones

Más detalles

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 INDICE Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 Unidad 1 Fundamentos ITIL 1.1 Historia y Concepto ITIL nació en la década de 1980, a través de la Agencia Central

Más detalles

FUNDAMENTOS. Universidad de Santiago de Chile FAE Postítulo e-auditoría

FUNDAMENTOS. Universidad de Santiago de Chile FAE Postítulo e-auditoría FUNDAMENTOS El Departamento de Contabilidad y Auditoría de la Universidad de Santiago de Chile (USACH) ha creado y actualizado este programa consciente de la necesidad de desarrollar competencias que permitan

Más detalles

Certified Offensive and Defensive SecurityProfessional-CODSP v1.0

Certified Offensive and Defensive SecurityProfessional-CODSP v1.0 Su Aliado Estratégico en Seguridad de la Información Certified Offensive and Defensive SecurityProfessional-CODSP v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral

Más detalles

CALENDARIO DE CURSOS / ENE - MAR 2015 SONITEL S.A.

CALENDARIO DE CURSOS / ENE - MAR 2015 SONITEL S.A. CALENDARIO DE CURSOS / ENE - MAR 01 SONITEL S.A. SONITEL S.A. CALENDARIO DE CURSOS PRIMER TRIMESTRE 01 Nombre del Curso o Evento Gestión de Servicios de TIC s DÍAS ENERO FEBRERO MARZO Nivel Fundamentos

Más detalles

Información y Conocimiento para la Toma de Decisiones: Vigilancia Tecnológica e Inteligencia Competitiva

Información y Conocimiento para la Toma de Decisiones: Vigilancia Tecnológica e Inteligencia Competitiva Información y Conocimiento para la Toma de Decisiones: Vigilancia Tecnológica e Inteligencia Competitiva Acerca de nosotros 12 años especialización en la práctica de riesgos y seguridad Ganadores del Premio

Más detalles

Catálogo de Servicios

Catálogo de Servicios Catálogo de Servicios Catálogo de Servicios Capacitación Certificaciones Más Servicios Contacto Capacitación Capacitación Para Profesionales de TI En ExecuTrain contamos con cursos en Tecnologías de Información,

Más detalles

POR QUÉ CONVERTIRSE EN UN SSCP

POR QUÉ CONVERTIRSE EN UN SSCP El implementador: Un elemento esencial de la seguridad de la información Ya sea que busque progresar en su puesto actual en el campo de seguridad de la información, expandir sus conocimientos existentes

Más detalles

Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full Disclosure Pruebas de Caja Negra - Black Box / Blind

Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full Disclosure Pruebas de Caja Negra - Black Box / Blind Contenido 0.- Pre - Boarding 1.- Que es un Penetration Testing 2.- Tipos de Pruebas en un Penetration Testing Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full

Más detalles

OFRECIENDO SOLUCIONES COMPLETAS PARA TODAS TUS NECESIDADES DE ENTRENAMIENTO

OFRECIENDO SOLUCIONES COMPLETAS PARA TODAS TUS NECESIDADES DE ENTRENAMIENTO COMPUTRAIN CALENDARIO DE S MAYO AGOSTO 2010 MÉXICO D.F. OFRECIENDO SOLUCIONES COMPLETAS PARA TODAS TUS NECESIDADES DE ENTRENAMIENTO AGOSTO LUNES MARTES MIERCOLES JUEVES VIERNES SABADO 1 2 3 4 5 6 Access

Más detalles

Curso Oficial de ITIL Foundation 2011 Edition

Curso Oficial de ITIL Foundation 2011 Edition Curso Oficial de ITIL Foundation 2011 Edition Introducción La Biblioteca de Infraestructura de Tecnología de Información ITIL (Information Technology Infrastructure Library) es un conjunto de buenas prácticas

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Las certificaciones más valoradas del mercado de TI

Las certificaciones más valoradas del mercado de TI Las certificaciones más valoradas del mercado de TI Agenda Introducción a las mejores prácticas Qué es IT INSTITUTE? Las certificaciones del mercado Preguntas y respuestas Rendimiento (Objetivos de Negocio)

Más detalles

Certification Auditor Interno ISO 27001

Certification Auditor Interno ISO 27001 Cargo Gerente de Proyecto (1) Ingeniería Electrónica, Telecomunicaciones y afines. Título de postgrado en la modalidad de Especialización o Maestría en alguno de los siguientes núcleos básicos de conocimiento,

Más detalles

Formación * * La experiencia con nuestros clientes nos demuestra que los intereses suelen centrarse entre otros en los siguientes:

Formación * * La experiencia con nuestros clientes nos demuestra que los intereses suelen centrarse entre otros en los siguientes: Formación La aplicación de mejores prácticas en gestión de servicios dentro de las organizaciones tendría que ir acompañada de la concienciación y educación apropiadas de todas las personas que intervienen.

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

Webinar Gratuito Hacking Ético

Webinar Gratuito Hacking Ético Webinar Gratuito Hacking Ético V. 2 Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 30 de Octubre

Más detalles

Milton Berbetti Guzmán

Milton Berbetti Guzmán Milton Berbetti Guzmán RESUMEN Consultor e Instructor en productos Microsoft desde hace casi 15 años. Inicialmente desarrollador usando tecnología Cliente/Servidor para luego pasar a la Infraestructura

Más detalles

METODOLOGÍA PARA EL DIAGNÓSTICO CONTINUO DE LA SEGURIDAD INFORMÁTICA DE LA RED DE DATOS DE LA UNIVERSIDAD MILITAR NUEVA GRANADA

METODOLOGÍA PARA EL DIAGNÓSTICO CONTINUO DE LA SEGURIDAD INFORMÁTICA DE LA RED DE DATOS DE LA UNIVERSIDAD MILITAR NUEVA GRANADA METODOLOGÍA PARA EL DIAGNÓSTICO CONTINUO DE LA SEGURIDAD INFORMÁTICA DE LA RED DE DATOS DE LA UNIVERSIDAD MILITAR NUEVA GRANADA JUAN SEBASTIAN ECHEVERRY PARADA CÓDIGO: 1400173 UNIVERSIDAD MILITAR NUEVA

Más detalles

FORMACIÓN E-LEARNING. Curso de CISO (Chief Information Security Officer)

FORMACIÓN E-LEARNING. Curso de CISO (Chief Information Security Officer) FORMACIÓN E-LEARNING Curso de CISO (Chief Information Security Officer) Para gestionar e implementar controles que garanticen la seguridad de los sistemas de información ante los delitos cibernéticos.

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

ANEXO 17 EQUIPO DE TRABAJO

ANEXO 17 EQUIPO DE TRABAJO ANEXO 17 EQUIPO DE TRABAJO FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVID ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO INTERMINISTRATIVO No. 210060 OFERTA PÚBLICA

Más detalles

COBIT Consideraciones prácticas para una implementación exitosa

COBIT Consideraciones prácticas para una implementación exitosa COBIT Consideraciones prácticas para una implementación exitosa 1 COBIT 2 BIENVENIDOS! Por favor algunos de ustedes mencionen sus expectativas de la presentación, y describansuconocimientoactual y experiencia

Más detalles

Tests de Intrusión. Análise da seguridade en entornos GNU/Linux

Tests de Intrusión. Análise da seguridade en entornos GNU/Linux Francisco José Ribadas Pena ribadas@uvigo.es Departamento de Informática Universidade de Vigo Tests de Intrusión. Análise da seguridade en entornos GNU/Linux Ferramentas de seguridade en GNU/Linux Curso

Más detalles

TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL

TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL Análisis de Vulnerabilidades de Seguridad Informática del Sistema de Expediente Digital Interinstitucional (SEDI). I. DATOS GENERALES Nombre del

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

6445 Implementing and Administering Windows Small Business Server 2008

6445 Implementing and Administering Windows Small Business Server 2008 6445 Implementing and Administering Windows Small Business Server 2008 Introducción Este taller práctico de cinco días impartido por instructor, provee a estudiantes con el conocimiento necesario para

Más detalles

XII JICS 25 y 26 de noviembre de 2010

XII JICS 25 y 26 de noviembre de 2010 Sistema de Gestión Integrado según las normas ISO 9001, ISO/IEC 20000 e ISO/IEC 27001TI Antoni Lluís Mesquida, Antònia Mas, Esperança Amengual, Ignacio Cabestrero XII Jornadas de Innovación y Calidad del

Más detalles

AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS OBJETIVO: Conocer el marco conceptual de la auditoría informática CONCEPTO Es un examen crítico con carácter objetivo para evaluar la eficiencia y eficacia en el uso de los recursos

Más detalles

un enfoque práctico en el entorno universitario

un enfoque práctico en el entorno universitario Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario Evangelino Valverde Álvarez Área de Tecnología y Comunicaciones UCLM Contexto 4 campus Ciudad Real, Albacete, Cuenca, Toledo

Más detalles

EEHC. Enhacke Ethical Hacking Certification

EEHC. Enhacke Ethical Hacking Certification EEHC Enhacke Ethical Hacking Certification Curso de Certificación de Hacking Ético ENHACKE S.A.C. Año 2010 ENHACKE ETHICAL HACKING CERTIFICATION EEHC INTRODUCCION El curso EEHC provee el conocimiento necesario

Más detalles

CALENDARIO DE CURSOS - SEGUNDO SEMESTRE 2014. SSA Sistemas / Grupo Sonitel

CALENDARIO DE CURSOS - SEGUNDO SEMESTRE 2014. SSA Sistemas / Grupo Sonitel CALENDARIO DE CURSOS - SEGUNDO SEMESTRE 014 CALENDARIO DE CURSOS SEGUNDO SEMESTRE 014 Nombre del Curso o Evento Gestión de Servicios de TIC s DÍAS AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE DICIEMBRE Nivel Fundamentos

Más detalles

Ing. Byron Díaz Padilla

Ing. Byron Díaz Padilla Ing. Byron Díaz Padilla Consultor IT, Microsoft Certified Trainer MCT, MCP,MCPD, MCSA, MCTS, MCITP, ITIL Certified byron.diaz@newhorizons.com Nombre Completo Empresa Puesto Rol Experiencia con ITIL? Expectativas

Más detalles

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría Conocimientos y habilidades específicos del auditor de un SGSI Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría INTRODUCCIÓN El conocimiento y habilidades relacionadas

Más detalles

Curso Online. Information Security Manager

Curso Online. Information Security Manager Curso Online Information Security Manager Cursos Online Plan de estudios: Itinerario Formativo por especialidad GESTIÓN PREVENCIÓN DETECCIÓN ISM NSS SSA INFORMATION MANAGER NETWORK SPECIALIST SYSTEM AUDITOR

Más detalles