Introducción a la Seguridad Informática
|
|
- María Carmen Ayala Fidalgo
- hace 8 años
- Vistas:
Transcripción
1 Introducción a la Seguridad Informática Roberto Gómez Cárdenas rogomez@itesm.mx Lámina 1
2 Evaluación Como evaluar que un sistema es seguro o no Tres mecanismos la auditoría de seguridad (security audit), la evaluación de la seguridad (security assessment) las pruebas de penetración (penetration testing o PEN TEST). Lámina 2
3 Auditoría Proceso formal utilizado para medir aspectos de alto nivel de la infraestructura de seguridad desde la perspectiva organizacional (Ray Kaplan) Auditores limitan el alcance y no incluyen detalles técnicos de bajo nivel: fallas en protocolos de comunicación. Posible encontrar auditorias con mayor nivel de profundidad y alcance, con datos y recomendaciones técnicas detalladas. Generalmente se lleva a cabo por auditores EDP (Electronic Data Processing) certificados bajo las directrices de un comité Lámina 3
4 Evaluación Seguridad Informática Está orientada a establecer mayores detalles técnicos de la seguridad de la infraestructura de una organización. Son menos formales y tienden a ofrecer mayor detalle y alcance que las auditorías. Se lleva a cabo por un equipo de expertos en tecnología (generalmente con experiencia y trayectoria en este tipo de trabajos) bajo el auspicio de un comité ad-hoc conformado por personal de la organización, más que por auditores certificados. Lámina 4
5 Pruebas de penetración Conjunto de metodologías y técnicas, que se llevan a cabo para proporcionar una evaluación integral de las debilidades de los sistemas informáticos. Consiste en reproducir intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como externos a la organización. El objetivo final es determinar el grado de acceso a la infraestructura informática que tendría un atacante con intenciones maliciosas. Reportan a comité seleccionado por la organización Lámina 5
6 Tipos pruebas de penetración Formales e informales Externas o internas Cajas blancas, negras o grises Lámina 6
7 Informales Pruebas de penetración formales e informales Orientadas por objetivos técnicos de la infraestructura de comunicaciones, en un esfuerzo por penetrar tan rápido como se pueda dicha infraestructura. Formales Orientadas a verificar debilidades en las políticas de seguridad, soportadas en procedimientos y prácticas que pueden comprometer la información sensible de la organización. Lámina 7
8 Externas Pruebas de penetración internas y externas El objetivo es acceder en forma remota a los equipos de la organización y posicionarse como administrador del sistema. Se realizan desde fuera del Firewall y consisten en penetrar la Zona Desmilitarizada para luego acceder a la red interna. Internas Trata de demostrar cual es el nivel de seguridad interno. Se deberá establecer que puede hacer un usuario interno a la organización y hasta donde será capaz de penetrar en el sistema siendo un usuario con privilegios bajos. Lámina 8
9 Pruebas externas Pruebas de usuarios y la "fuerza" de sus contraseñas. Captura de tráfico. Detección de conexiones externas y sus rangos de direcciones. Detección de protocolos utilizados. Escaneo de puertos TCP, UDP e ICMP. Intentos de acceso vía accesos remotos, módems, Internet, etc. Análisis de la seguridad de las conexiones con proveedores, trabajadores remotos o entidades externas a la organización. Pruebas de vulnerabilidades existentes y conocidas en el momento de realización de la prueba. Prueba de ataques de negación de servicio. Lámina 9
10 Prueba internas Análisis de protocolos internos y sus vulnerabilidades. Autenticación de usuarios. Verificación de permisos y recursos compartidos. Pruebas de los servidores principales (WWW, DNS, FTP, SMTP, etc.). Pruebas de vulnerabilidades sobre las aplicaciones propietarias. Nivel de detección de la intrusión de los sistemas. Análisis de la seguridad de las estaciones de trabajo. Seguridad de la red. Verificación de reglas de acceso. Ataques de negación de servicio Lámina 10
11 Pruebas de penetración: cajas negras, blancas y grises Caja negra (blind) Lámina 11 No se cuenta con ninguna información del sistema y/o red que se va a analizar. Caja blanca (full disclosure) Se tiene acceso a toda la información (datos internos, código fuente, etc.) del sistema y/o red que debe analizar. Caja gris (partial disclosure) Caso intermedio a los anteriores. El consultor cuanta con un mapa de la red y los segmentos de direcciones relevantes, pero no con el código fuente de los aplicativos disponibles.
12 Pasos en una prueba de penetración Footprinting whois, nslookup Scanning Enumeration nmap, fping dumpacl, showmount legion, rpcinfo Denial of Service Gaining Access tcpdump, lophtcrack, NAT synk4, ping of death tfn/stacheldraht Escalating Privilege Pilferting Covering Tracks johntheripper, getadmin rhosts, userdata Config files, registry zap, rootkits Lámina 12 Creating Back Doors cron,at, startup folder netcat, keystroke logger, remote desktop
13 Otros ejemplos de fases Reconocimiento Pre-engagement Interactions Escaneo Intelligence Gathering Enumeración Threat Modeling Acceso Vulnerability Analysis Mantenimiento Exploitation Reporte Post Exploitation Presentación hallazgos Reporting Lámina 13
14 Metodologías El éxito de una buena prueba de penetración depende de capacidad y la experiencia del que la lleva a cabo, es bueno apoyarse en una metodología Ejemplos metodologías Wardoc. Rhino9 y Neonsurge Recopilación de información (NetBIOS e IIS) Penetración (NetBIOS e IIS) NIST (Guía para evaluar la seguridad en red) Planeación Descubrimiento Ataque (nuevamente descubrimiento) Reporte (análisis causas raíz) Lámina 14
15 La metodología OSSTMM Open Source Security Testing Methodology Manual Autor: Pete Herzog Metodología dividida en secciones, módulos y tareas. Mapa de Seguridad (6 secciones) Seguridad de la Información Seguridad de los Procesos Seguridad de las Tecnologías de Internet Seguridad de las Comunicaciones Seguridad Inalámbrica Seguridad Física Base: Valores de Evaluación de Riesgos solo aplicación efectiva de los controles y no solo su existencia. Cada sección se compone de varios módulos y estos a su vez de tareas. Lámina 15
16 Otras metodologías Breaking into computer networks form the Internet, Roelof Temming (sensepost) An approach to systematic network auditing - Mixter (TFN) Impoving the security of your site by breaking into it. Dan Farme y Wietse Venema Managing a Network Vulnerability Assessment. Peltier y Blackley Hack I.T.. T.J. Klevinsky Hacking Exposed. McClure, Scambray, Kurtz Lámina 16
17 Reporte prueba penetración Se debe explicar paso a paso cómo se llevó a cabo la actividad hasta alcanzar y penetrar la infraestructura de comunicaciones. Así mismo, documenta cómo se aprovecharon las debilidades de los programas o deficiencias en las configuraciones del hardware para ingresar de manera no autorizada al perímetro de comunicaciones de la empresa. Dos reportes: técnico y ejecutivo Lámina 17
18 Ejemplos resultados Nessus Lámina 18
19 Cuál de las tres usar? Lámina 19
20 Arquitectura de seguridad Vista total de la arquitectura del sistema desde un punto de vista de seguridad. Da a conocer recomendaciones de donde, dentro del contexto general de la arquitectura del sistema, se deben colocar los mecanismos de seguridad. Proporciona una percepción de los servicios de seguridad, mecanismos, tecnologías y características que pueden ser usados para satisfacer requerimientos de seguridad del sistema. Lámina 20
21 Puntos a tomar en cuenta La seguridad es un requerimiento desde un principio. Es otra característica que necesita ser incluida. Se enfoca en los servicios de seguridad del sistema Mecanismos de alto nivel. Ubicación de funcionalidades relacionadas con seguridad. Identificar interdependencias entre componentes relacionados con seguridad, servicios, mecanismos y tecnologías, y al mismo tiempo arreglar cualquier conflicto entre ellos. Lámina 21
22 Un primer ejemplo de arquitectura Lámina 22
23 Segundo ejemplo Lámina 23
24 Tercer ejemplo Lámina 24
25 Un último ejemplo Lámina 25
26 Y cómo diferenciar a los buenos de los malos? Recomendaciones de terceros Prestigio de las compañías Certificaciones / títulos academicos Lámina 26
27 Títulos académicos licenciatura maestría doctorado Certificaciones CISSP SSCP CISA CISM CISMP SCP BS7799-LA Títulos y certificaciones Lámina 27
28 Las opciones académicas Lámina 28 Diplomados ITESM-CEM UNAM y otros Cursos aislados en programas de maestría y licenciatura Licenciatura Tec Milenio: Ingeniero en Seguridad Computacional Maestrias en seguridad informativa CESNAV UNITEC ESIME Culhuacan Varias universidades americanas y europeas ofrecen maestrías en el área de seguridad informática.
29 Universidades relacionadas Lámina 29 University of Sheffield Ecole Ingenieur Télécom Paris - ENST Ecole nationale Mastere Sécurité des systèmes informatiques et des réseaux University Purdue Center for Education and Research in Information Assurance and Security, or CERIAS The George Washington University Master of Arts in the arts in the field of Criminal Justice Computer Fraud Investigation
30 Otras dos más... Carnegie Mellon University. Information Networking Institute (INI) Master of Science in Information Networking Master of Science in Information Security Technology and Management Capitol College Master of Science in Network Security restricted by the United States Department of Commerce to U.S. citizens and permanent residents Lámina 30
31 Certificaciones Requerimientos legales Sarbanes Oxley (2002) Turnbull Report (1990 s) en Europa PCI: Mastercard y Visa (2007) Qué puedo certificar? Individuos Organizaciones Productos Lámina 31
32 Violaciones La empresa American International Group (AIG) recibió una multa de $10 millones de dólares Se afirmó que existían políticas diseñadas para ayudar a las compañías a ocultar sus pérdidas Es la primer multa de este tipo aplicada a una aseguradora Al Bank of América se le multó con $375 millones de dólares No existió cooperación con la investigación Es la primera multa de este monto en un solo caso Lámina 32
33 Certificación de individuos CISSP, SSCP, CISA, CISM, GIAC Lámina 33
34 Certificación de individuos Las certificaciones en Seguridad tienen un rol cada día más importante en el proceso de selección y reclutamiento de individuos Cada certificación cuenta con un CBK Cuerpo común de conocimientos Lámina 34
35 Opciones certificación Más de 55 certificaciones en seguridad neutrales de productos Las mas demandadas CISSP SANS GIAC CPP SANS GIAC la pionera en la creación de programas de certificaciones cuenta con una gran variedad y están relacionadas entre sí a manera de carrera. Lámina 35
36 Hacia una jerarquía primer nivel básico CompTIA Security + SANS GSEC SSCP de (ISC)2 credenciales intermedias y de nivel Senior SANS-GIAC CISSP de (ISC)2 CISM de ISACA restringen su acceso a solo individuos Most-Senior de la comunidad de la seguridad, simplemente porque requieren cinco a nueve años de experiencia profesional en el campo de seguridad. CPP de ASIS PCI de ASIS PSP de ASIS Lámina 36
37 CompTIA Asociación mundial de la industria de la computación, tanto en software como en hardware, con mas de 21,000 miembros en mas de 120 países Es la mas grande y única asociación global de este tipo Ha desarrollado once destrezas en Certificaciones en Tecnología Informática cubren un amplio rango de disciplinas, ambientes operativos y niveles de destrezas Lámina 37
38 Certificaciones de la CompTIA A+ Entry-Level Computer Service CTT+ Certified Trainer Network+ Network Support and Administration CDIA+ Document Imaging and Management Server+ Server Hardware Technology i-net+ Internet and Online Technologies Security+ Computer and Information Security Linux+ Linux Operating Systems HTI+ Home Technology Integration Project+ Project Management e-biz+ e-commerce Lámina 38
39 CBK y examen CBK Dominio % examen General Security Concepts 30% Communication Security 20% Infrastructure Security 20% Basics of Cryptography 15% Operational / Organizational Security 15% Examen 100 preguntas 90 minutos para responder 764 en escala de para pasar Lámina 39
40 CISSP No es una asociación, es el título que ostenta el profesional certificado Certified Information Systems Security Professional Ser CISSP es un privilegio que se debe ganar y mantener Otorgado por la (ISC) 2 International Information Systems Security Certification Consortium Organismo independiente Creado para realizar la certificación de profesionales en seguridad informática Lámina 40
41 CBK del CISSP Access Control Systems & Methodology Telecommunications & Network Security Security Management Practices Applications & Systems Development Security Cryptography Security Architecture & Models Operations Security Business Continuity Planning (BCP) & Disaster Recovery Planning (DRP) Law, Investigations & Ethics Physical Security Lámina 41
42 CISSP en México ALAPSI Asociación Latinoamerica Profesionales Seguridad Informática Dos/tres exámenes por año Cursos preparación examen Próximo examen: consultar página Número de certificados en México: 250/61,000 Lámina 42
43 El examen Formato examen de opción múltiple 250 preguntas se cuenta hasta 6 horas para resolverrlo Aprobar examen con 700 puntos Enviar formato de adhesión/certificación (Endorsement Form) avalada por un CISSP o por otro profesional calificado Auditoría, si es seleccionado Calendarización Lámina 43
44 SSCP Especialista Certificado de Seguridad de Sistemas Systems Security Certified Practitioner Diseñada para personas que aplican los principios de seguridad de la información, procedimientos, estándares y guías de una organización. proporcionar soporte de la infraestructura de la seguridad security enforcer la persona no solo entiende su posición, sino también tiene un conocimiento de experto de la seguridad informática, como funciona y como es aplicada Lámina 44
45 CBK del SSCP Access Controls Administration Audit and Monitoring Risk, Response and Recovery Cryptography Data Communications Malicious Code/Malware Lámina 45
46 CISA Certified Information Systems Auditor En un principio dominio exclusivo de auditores de IT Administrada por la ISACA (Information Systems Audit and Control Association & Foundation) fundada en 1969 Certificación CISA tiene desde 1978 En 2002 se contaba con unos 28,000 personas con dicha certificación. Dominios coinciden con CISSP más enfocado a los procedimientos del negocio que a la tecnología Varios CISSP optan por ganar su CISA Lámina 46
47 Áreas CISA Management, planning and organization of IS Technical infrastructure and operational practices Protection of information assets Disaster recovery and business continuity Business application system development, acquisition, implementation and maintenance Business process evaluation and risk management The IS audit process Lámina 47
48 CISM ISACA acaba de diseñar la certificación CISM Certified Information Security Manager Certificación reconoce el conocimiento y experiencia de un administrador de seguridad IT Debido a que es nuevo, pasa por un periodo de apadrinamiento aquellos que puedan demostrar ocho años de experiencia en el área de seguridad informática puede obtener la certificación sin realizar examen alguno periodo abierto hasta el 31 diciembre 2003 Después periodo será necesario presentar examen. Primer examen será ofrecido en Junio 2004 Lámina 48
49 CBK del CISM Information Security Governance Risk Management Information Security Programme Management Information Security Management Response Management Lámina 49
50 Global Information Assurance Certifications SANS Institute ofrece una serie de certificaciones bajo el programa GIAC Global Information Assurance Certification Grupo de certificaciones técnicas y algunas administrativas La experiencia no es explicita o necesaria para obtenerla orientado a la práctica de seguridad informática Lámina 50
51 Certificaciones No hay un orden en particular Se recomienda empezar con los de nivel bajo e ir subiendo GIAC Certification cursos 5-6 días periodo de 6 meses para certificarse color amarillo GIAC Certificates cursos 1-2 días 10 semanas color verde Lámina 51
52 Las certificaciones Security Administration Security Essentials Certification Certified Incident Handler Certified Intrusion Analyst Penetration Tester Certified Firewall Analyst Web Application Penetration Tester Certified Windows Security Administrator Assessing and Auditing Wireless Network Certified UNIX Security Administrator Information Security Fundamentals Certified Enterprise Defender Exploit Researcher and Advanced Penetration Tester Forensics Certified Forensic Analyst Reverse Engineering Malware Certified Forensic Examiner Management Security Leadership Information Security Professional Certified ISO Specialist Certified Project Manager Software Security Secure Software Programmer-Java Certified Web Application Defender Secure Software Programmer-.NET Audit Systems and Network Auditor Legal Legal Issues in Information Technology and Security Lámina 52
53 Otras certificaciones EC-Council Grupo de certificaciones técnicas Offensive Security Lámina 53 Certificaciones de Productos Symantec Computer Associates Checkpoint McAfee Juniper Websense
54 Certificaciones de organizaciones ISO / BS 7799 / UNE Lámina 54
55 Certificación organizaciones Pregunta Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas, Metodologías y Legislaciones Internacionales aplicables? Lámina 55
56 Norma ISO / BS 7799 / UNE Un conjunto de controles basados en las mejores prácticas en seguridad de la información; Estándar internacional que cubre todos los aspectos de la seguridad informática: Equipos Políticas de gestión Recursos humanos Aspectos jurídicos Lámina 56
57 Principio de la Historia Julio 2005 Marzo 2004 Nueva versión de BS revisada y corregida UNE Diciembre 2000 ISO/IEC 17799: Septiembre 2002 Nueva versión de BS revisada y corregida 2001 BS 7799 Parte 2 BS 7799 Parte 1 Revisión de BS Estándar Sueco SS Parte 1 y 2 Nueva versión de BS 7799 Parte 1 y 2 Lámina 57
58 Transición BS : 1999 ISO 17799:2000 ISO 17799:2005 ISO27002:2005 ISO 27002: dominios 36 controles objetivo 127 controles específicos 10 dominios 36 controles objetivo 127 controles específicos 11 dominios 39 controles objetivo 133 controles específicos 14 dominios 35 controles objetivo 114 controles específicos BS : 2001 BS7799-2:2002 ISO 27001:2005 ISO 27001: dominios 36 controles objetivo 127 controles específicos 10 dominios 36 controles objetivo 127 controles específicos 11 dominios 39 controles objetivo 133 controles específicos 14 dominios 35 controles objetivo 114 controles específicos Lámina 58
59 Áreas control 27001:2013 Políticas de seguridad Organización de la seguridad de la información Seguridad de los RRHH Gestión de Activos Control de acceso Criptografia Seguridad física y ambiental Operaciones de seguridad Seguridad en las comunicaciones Sistemas de adquisición, desarrollo y mantenimiento Relaciones con proveedores Gestión de incidentes Seguridad de la información para la continuidad del negocio Cumplimiento Lámina 59
60 Ejemplo controles Lámina 60
61 Los estándares de la series ISO IEC ISO/IEC Descripción Vocabulario y definiciones Especificación de la estructura metodológica (basada en el BS7799-2:2002): Código de prácticas (basada en ISO17799:2005): Guía de implementación Métricas y medidas La Administración del Riesgo: (basado en BS ) Requerimientos para organismos de acreditación de Sistemas de Gestión de Seguridad de la Información: 2007 Lámina 61
62 Integración con otras normas BS is ISO 9001:2000 for IT and can be an extension of ISO 9001 scope BS BS 7799:2 ISMS ISO 9001:2000 El resto del mundo ISO Lámina 62
63 Modelo PDCA Lámina 63 Plan (Planificar) - Do (Hacer) - Check (Verificar) - Act (Actuar)
64 PDCA e ISO 27001:2013 Lámina 64
65 El camino de la cerficación Acuerdo de Confidencialidad Certificado ISMS Pre-Estudio/ Implementación Pre- Auditoría Auditoría Inicial Seguimiento Auditorías Periódicas Implementadores Auditores Creación de Valor Lámina 65
66 A considerar Los certificados tienen una validez de 3 años. Se requieren auditorías de evaluación, que van desde los periódica de 6 hasta los 12 meses después de efectuada la primera auditoría. A partir de la publicación del estándar ISO 27001, el BS7799 queda anulado. Solo se certificó en BS7799 hasta el 15 de Abril del 2006, a partir de esa fecha todas la auditorías se efectúan en base al estándar ISO Las empresas certificadas tendrán un periodo de tiempo para la transición de la ISO27001:2005 a la 2013 de 2 años. Las empresas que están en vías de certificarse con la ISO27001:2005 lo podrán hacer pero tendrán que migrar a la ISO27001:2013 en el tiempo establecido. Lámina 66
67 La certificación de productos TCSEC, ITSEC, CTCPEC, CC Lámina 67
68 TCSEC certification Trusted Computer Systems Evaluation Criteria Pagina (Rainbow Series Library) Documento publicado por el Departamento de Defensa de los Estados Unidos en 1983 (DOD STD) conocido también como el Orange Book. actualizado en 1985 Lámina 68
69 Objetivos TCSEC Proporcionar una guía a los fabricantes de productos comerciales en relación a las características de seguridad que deben cumplir sus productos. Dotar al DoD de los Estados Unidos con una métrica para evaluar el grado de confiabilidad de los sistemas orientados a manejar información clasificada. Proporcionar una base a los usuarios finales para establecer requerimientos de seguridad en sus adquisiciones de productos. Lámina 69
70 Criterios y niveles SECURITY POLICY ASSURANCE ACCOUNTABILITY new orenhanced requiriemntes for this class no aditional requiriments for this class no requirements for this class DOCUMENTATION A1 B3 B2 B1 C2 C1 Lámina 70
71 Los niveles Nivel Descripción Comentarios D sistema no seguro C1 protección discrecional DAC identificación + autenticación C2 acceso controlado auditoria de sistemas B1 seguridad etiquetada etiqueta + nivel seguridad jerárquico + categorías B2 protección estructurada etiqueta cada objeto de nivel superior por ser padre de un inferior B3 dominios seguridad monitor referencia que permite o niega peticiones acceso A protección verficada uso métodos formales para asegurar todos los procesos Lámina 71
72 Ejemplo SOs evaluados por la NSA bajo TCSEC (1996) Lámina 72
73 Algunos libros de la serie arcoiris Orange Book DoD Trusted Computer System Evaluation Criteria Green Book DoD Password Management Guideline, Light Yellow Book Computer Security Requirements Yellow Book Guidance for Applying the DoD TCSEC in Specific Environments, Light Yellow Book Guidance for Applying the DoD TCSEC in Specific Environments Bright Blue Book Trusted Product Evaluation - A Guide for Vendors Red Book Trusted Network Interpretation Lámina 73
74 Estandares creados a partir del TSSEC ITSEC Information Technology Security Evaluation Criteria la versión europea CTCPEC Canadian Trusted Computer Product Evaluation Criteria ftp://ftp.cse.dnd.ca/pub/criteria/ctcpec.ascii la versión canadiense Lámina 74
75 Common Criteria Estándar internacional ISO Trabajo de varios países (14) Inspirado del TCSEC, ITSEC, CTCPEC Flexible No cuenta con perfiles predeterminados. Permite la adición de nuevos criterios. Parte de las necesidades de cada usuario/fabricante no de las necesidades del DoD. cada nueva evaluación implica la creación de un modelo o marco de referencia (Security Target o ST). Lámina 75
76 Objetivos CC Permitir a los usuarios el especificar sus requerimientos de seguridad, Permitir a los desarrolladores especificar los atributos de sus productos Permitir que los evaluadores determinen si los productos cumple con lo que estipulan. Lámina 76
77 Tipos documentos CC El CC define un conjunto de requerimientos de seguridad dividido en requerimientos funcionales y de seguridad Dos tipos de documentos Protection Profiles (PPs): documento creado por un usuario o comunidad de usuarios que identifica requerimientos de seguridad por parte del usuario Security Targets (STs): documento creado por un desarrollador de sistema, que identifica las capacidades de un producto en partícular un ST puede indicar la implementación de cero o mas PPs Lámina 77
78 Los niveles del CC (EAL) Usuario puede contar con una evaluación independiente que compruebe que el producto cumple con lo estipulado en el ST evaluación conocida como TOE - Target of Evaluation EAL: Evaluation Assurance Level numeradas del 1 al 7 EALs superiores requieren de un mayor esfuerzo de evaluación los EAL de mayor valor garantizan más seguridad, pero su evaluación requiere de mayor tiempo y cuesta más dinero EAL valor grande no significa mejor seguridad, solo estipula que seguridad proclamada fue extensamente validada Lámina 78
79 Niveles Aseguramiento CC Common Criteria Descripción Referencia TCSEC EAL1 Probado funcionalmante -- EAL2 Estructuralmente probado C1 EAL3 Metodológicamente probado C2 EAL4 (W2K, Solaris, HP- UX, AIX) EAL5 EAL6 EAL7 Metodológicamente diseñado, probado, y revisado Semiformalmente diseñado y probado Semiformalmente verificado (diseño) y probado Formalmente verificado (diseño) y probado B1 B2 B3 A1 Lámina 79
80 Ejemplo productos clasificados Producto Nivel Fecha 3Com Embedded Firewall V1.5.1 EAL2 June 2003 IBM WebSphere Application Server V Windows 2000 Professional, Server, and Advanced Server with SP3 and Q EAL2+ 2 December 2004 EAL4+ October 2002 Borderware, V6.1.1 Firewall Serve EAL4+ January 2000 Check Point VPN-1/FireWall-1 NG EAL4 June 2002 Oracle8i Release EAL4 EAL4 Red Hat Enterprise Linux 3 EAL2 February 2004 Symantec Manhunt Version 2.11 EAL3 December 2003 Lámina 80
81 Introducción a la Seguridad Informática Roberto Gómez Cárdenas rogomez@itesm.mx Lámina 81
www.alapsi.net Presentación: Quién es ALAPSI Noreste? Asociación Latinoamericana de Profesionales en Seguridad de Información
Presentación: Quién es ALAPSI Noreste? Asociación Latinoamericana de Profesionales en Seguridad de Información 1 ALAPSI NORESTE HISTORIA ALAPSI Noreste nace el 3 de febrero de 2005 basada en Monterrey,
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesLa Seguridad de las Tecnologías
22 Certificaciones de Seguridad TI: un valor en alza EN EL PRESENTE ARTÍCULO SE REVISAN LAS CARACTERÍSTICAS Y BENEFICIOS DE LAS CERTIFICACIONES DE SEGURIDAD TI, ANALIZANDO EN DETALLE LAS TRES MÁS EXTENDIDAS
Más detallesServicios Administrados de Seguridad lógica
Servicios Administrados de Seguridad lógica Índice Objetivos Alcance Servicios Administrados Soluciones propuestas Objetivo Mejorar y fortalecer las políticas de seguridad lógica que actualmente existen.
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesCómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.
El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones
Más detallesBootcamp de Certificación 2015
CISSP 2015 Bootcamp de Certificación 2015 La Información es el activo más importante de la Organización y de las personas. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada
Más detallesCertificaciones en Seguridad Informática Conceptos y Reflexiones
Certificaciones en Seguridad Informática Conceptos y Reflexiones Jeimy J. Cano, Ph.D Universidad de los Andes jcano@uniandes.edu.co Agenda Introducción Evolución de la Seguridad Informática Servicios de
Más detallesAlgunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Más detallesGestión de la Seguridad de Activos Intelectuales
Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos
Más detallesREPORTE DE CUMPLIMIENTO ISO 17799
Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesPenetration Test Metodologías & Usos
Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesVICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS
VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesTERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL
TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL Análisis de Vulnerabilidades de Seguridad Informática del Sistema de Expediente Digital Interinstitucional (SEDI). I. DATOS GENERALES Nombre del
Más detallesLa importancia de las pruebas de penetración (Parte I)
Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > La importancia de las pruebas de penetración (Parte I) La importancia de las pruebas de penetración (Parte I) Por Erika Gladys
Más detalles3-ANÁLISIS DE VULNERABILIDADES
3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna
Más detallesSeguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.
Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar
Más detallesIDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES
IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES Alejandro Hernández H. (nitrøus), CISSP, GPEN http://twitter.com/nitr0usmx http://chatsubo-labs.blogspot.com http://www.brainoverflow.org
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesAdelantándose a los Hackers
1 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 5 de Julio de 2001 Buenos Aires - ARGENTINA 2 Adelantándose a los Hackers Temario
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesAuditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.
Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de
Más detallesAUDITOR INTERNO ISO/IEC 27001:2013
Propuesta: AUDITOR INTERNO ISO/IEC 27001:2013 Junio 11 de 2015 Las partes se comprometen a mantener la confidencialidad absoluta con respecto a la información contenida en el presente documento. Esta "Información",
Más detallesMETODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.
METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la
Más detallesCERTIFICACIONES PROFESIONALES INTERNACIONALES QUE CONTRIBUYEN A DEMOSTRAR LA COMPETENCIA DE LOS AUDITORES INTERNOS
De acuerdo con el Código de Ética de The Institute of Internal Auditors (IIA), que establece los principios y las expectativas que rigen la conducta de los individuos y las organizaciones en la realización
Más detallesCertified Ethical Hacker. Curso Oficial para Certificación Internacional
Qué es Certified Ethical Hacker (CEH)? CEH (Certified Ethical Hacker) es una de las más prestigiosas certificaciones del mundo en el campo del Hacking, avalada por el consejo Internacional de comercio
Más detalles3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE
3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE Software Configuration Management (SCM) es una disciplina de la Ingeniería de Software que se preocupa de [Ber92] [Ber84] [Bou98] [Mik97]: Identificar y documentar
Más detallesISO 9001 Auditing Practices Group Guidance on:
International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción
Más detallesENFOQUE ISO 9000:2000
ENFOQUE ISO 9000:2000 1 PRESENTACION En 1980 la IOS (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION) organismo de origen europeo, enfoco sus esfuerzos hacia el establecimiento de lineamientos en términos
Más detallesNuevas Certificaciones Microsoft
NuevasCertificacionesMicrosoft MicrosoftCertifiedProfessionalDeveloper(MCPD) CertificacionesMicrosoftparaprofesionalesTI(MCITP) MicrosoftCertifiedEspecialistaenTecnología(MCTS) ProgramaMicrosoftCertifiedArchitect(MCAP)
Más detallesANEXO 17 EQUIPO DE TRABAJO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE PROGRAMA AGENDA DE CONECTIVIDAD. CONVENIO INTERADMINISTRATIVO No.
ANEXO 17 EQUIPO DE TRABAJO FONDO FINANCIERO DE S DE DESARLO FONADE PROGRAMA AGENDA DE CONECTIVI CONVENIO INTERADMINISTRATIVO No. 210060 LICITACIÓN PÚBLICA LP 001-2011 OPERACIÓN INTEGRAL DE LAS SOLUCIONES
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesEvolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte
Evolución de la estrategia de seguridad de la información basada en indicadores Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte Agenda Planeación estratégica de seguridad Gobierno de Seguridad Indicadores
Más detallesDisaster Recovery Institute - España
Disaster Recovery Institute - España Curso de Planificación de la Continuidad del Negocio DRI ofrece los programas educativos de referencia en la industria de administración de riesgos y continuidad del
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesSISTEMAS DE INFORMACION EMPRESARIAL
SISTEMAS DE INFORMACION EMPRESARIAL Profesor: Cristian Salazar Ayudante: Claudio Angulo. Integrantes: Carolina Hidalgo Cecilia Ponce Juan Pablo Salazar Liliana Salgado. Daniela Triviño. Valdivia, Agosto
Más detalles6 - Aspectos Organizativos para la Seguridad
Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso
Más detalles100% Laboratorios en Vivo
100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de
Más detallesCALIDAD DEL SOFTWARE TESTS DE EXAMEN ACTUALIZADO SEP. 2010 TEMA 3 NORMALIZACIÓN Y CERTIFICACIÓN: NORMA ISO 9001:2000
TEMA 3 NORMALIZACIÓN Y CERTIFICACIÓN: NORMA ISO 9001:2000 1. NORMALIZACIÓN Y CERTIFICACIÓN 01 [Feb. 2005] Qué organización internacional propone gran cantidad de normativas en numerosos campos tecnológicos?
Más detallesCMMI (Capability Maturity Model Integrated)
CMMI (Capability Maturity Model Integrated) El SEI (software engineering institute) a mediados de los 80 desarrolló el CMM (modelo de madurez de la capacidad de software). CMMI: CMM integrado, una mezcla
Más detallesUNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES
UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES DESCRIPCIÓN DE CURSO DE LA CARRERA DE MAESTRÍA Y POSTGRADO EN AUDITORÍA DE SISTEMAS Y EVALUACIÓN
Más detallesSeminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI
Seminario de Actualización: Gobernabilidad de Tecnología de Información Organismos relacionados con TI Catedra Sistemas de Información para la Gestión Docentes: - Martha Medina de Gillieri Jorge López
Más detallesSeguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática
Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema
Más detalleshttp://actualizacion.itesm.mx
Diplomado Seguridad informática El Instituto Tecnológico de Estudios Superiores de Monterrey, Campus Estado de México (ITESM-CEM) y la Asociación Latinoamericana de Profesionales en Seguridad Informática,
Más detallesISO 9000:2000. Roberto Aprili Justiniano Rodrigo Ramírez Pérez. Roberto Aprili, Rodrigo Ramírez
ISO 9000:2000 Roberto Aprili Justiniano Rodrigo Ramírez Pérez Motivación Cada uno es para eso (Bajo ciertas Condiciones) Todo mundo piensa que ellos entienden eso (excepto lo que ellos quisieran explicar)
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detallesGrupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico
Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico ISO/IEC 15408 Common Criteria 7 de noviembre del 2000 Roberto Moya ATI-EOI EL ESTADO DEL ARTE ACTUAL SE
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesITIL V3 Foundations. Objetivos del Curso
ITIL V3 FOUNDATIONS ITIL V3 Foundations Objetivos del Curso Los proveedores de IT ya no pueden permitirse el lujo de centrarse en la tecnología exclusivamente sino que ahora deben considerar la calidad
Más detallesSistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)
INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación
Más detallesPROGRAMA DE ASIGNATURA
PROGRAMA DE ASIGNATURA 01. Carrera Lic. En Administración de Negocios Internacionales Lic. En Dirección del Factor Humano Lic. En Comercialización x Lic. En Tecnología Informática Lic. En Administración
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesInformación de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)
PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por
Más detallesCurso de Certificación BCI (Certified Business Continuity Institute) basado en la norma ISO22301:2012.
Curso de Certificación BCI (Certified Business Continuity Institute) basado en la norma ISO22301:2012. Conviértase en un Profesional certificado BCI en Continuidad de Negocio (BC) y obtenga un título con
Más detallesCertificación Profesional de Auditoria Interna
Certificación Profesional de Auditoria Interna CIA, CGAP, CFSA, CCSA La auditoría interna es sinónimo de normas. Normas de gobierno. Normas de ética. Normas de procesos. Normas de sistemas. Y cuáles son
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesAUDITORÍAS Y AUDITORES ISO 9000:2000
AUDITORÍAS Y AUDITORES ISO 9000:2000 Ing. Miguel García Altamirano Servicios CONDUMEX S.A. de C.V. Delegado Mexicano en el Comité Internacional ISO TC 176 en el grupo JWG "Auditorías" Resumen: Los sistemas
Más detallesCertificaciones Profesionales en Seguridad de la Información. Ing. Reynaldo C. de la Fuente
Certificaciones Profesionales en Seguridad de la Información Ing. Reynaldo C. de la Fuente 2 Temario Concepto de certificación profesional Contexto nacional e internacional. Por que certificarme o certificar
Más detallesLa garantía del experto en seguridad adaptada
La garantía del experto en seguridad adaptada Víntegris diseña, implanta y gestiona infraestructuras de seguridad de la información para las principales entidades financieras y grandes corporaciones españolas.
Más detallesEthical Hacking and Countermeasures
Page 1 Ethical Hacking and Countermeasures http://www.eccouncil.org Página 2 EHTM CCertified Ethical Hacker Contenido Qué hay de nuevo en CEHv6?... Pág. 4 Certified Ethical Hacker v6...... Pág. 5 Programa
Más detallesModelos y Normas Disponibles de Implementar
Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesCómo Asegurar la Calidad de Servicios de TI?
Cómo Asegurar la Calidad de Servicios de TI? Martín Ugarteche Crosby Southern Peru Copper Corporation Cuales son los pasos para construir un Sistema de Gestión de Servicios de TI? 1. Voluntad de querer
Más detallesCurso Online. Network Security Specialist
Curso Online Network Security Specialist Cursos Online Plan de estudios: Itinerario Formativo por especialidad GESTIÓN PREVENCIÓN DETECCIÓN ISM NSS SSA INFORMATION MANAGER NETWORK SPECIALIST SYSTEM AUDITOR
Más detallesEnginyeria del Software III
Enginyeria del Software III Sessió 3. L estàndard ISO/IEC 15504 Antònia Mas Pichaco 1 Introducción El proyecto SPICE representa el mayor marco de colaboración internacional establecido con la finalidad
Más detallesANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA
ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad
Más detallesPrograma de asignatura
Programa de asignatura 01. Carrera: Lic. en Tecnología Informática 02. Asignatura: Auditoría Informática 03. Año lectivo: 2014 04. Año de cursada: 4 05. Cuatrimestre: 1 06. Horas Semanales de Cursada:
Más detallesC O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas
Coordinación del C O N T E N I D O 1. Propósito 2. Alcance 3. Responsabilidad y autoridad 4. Normatividad aplicable 5. Políticas 6. Diagrama de bloque del procedimiento 7. Glosario 8. Anexos 9. Revisión
Más detallesMS_80221 Installation and Configuration for Microsoft Dynamics AX 2012
Installation and Configuration for Microsoft Dynamics AX 2012 www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Por favor no imprimas este documento
Más detallesSolicitud CRMA Solicitud de Reconocimiento de Experiencia Profesional para Institutos con Acuerdo de Certificación
Solicitud CRMA Solicitud de Reconocimiento de Experiencia Profesional para Institutos con Acuerdo de Certificación 12/7/2011 The Institute of Internal Auditors Departamento de Certificaciones The IIA Global
Más detallesPRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE
PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesOrientación Técnica y Metodológicas Compromisos de Gestión
Orientación Técnica y Metodológicas Compromisos de Gestión 2014 La finalidad de este documento es dar a conocer los principales aspectos técnicos y las directrices a través de los cuáles será evaluado
Más detalles6445 Implementing and Administering Windows Small Business Server 2008
6445 Implementing and Administering Windows Small Business Server 2008 Introducción Este taller práctico de cinco días impartido por instructor, provee a estudiantes con el conocimiento necesario para
Más detalles140 Horas académicas
DIPLOMADO GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA DE SISTEMAS 140 Horas académicas MÓDULO I - SEGURIDAD INFORMÁTICA EMPRESARIAL (20 horas: teoría interactiva) Contenido Introducción a la
Más detallesVulnerabilidades de los sistemas informáticos
Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel
Más detallesGUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000
1 INTRODUCCIÓN Dos de los objetivos más importantes en la revisión de la serie de normas ISO 9000 han sido: desarrollar un grupo simple de normas que sean igualmente aplicables a las pequeñas, a las medianas
Más detallesSolicitar la competencia Business Intelligence Solutions
Solicitar la competencia Business Intelligence Solutions Guía paso a paso de la inscripción En Microsoft Partner Program, las competencias de Microsoft definen sus áreas de especialización, ayudándole
Más detallesLa Administración n de Servicios ITIL
La Administración n de Servicios ITIL Noviembre, 2006 1 1 ITIL y Administración n de Servicios IT DEFINICIONES ITIL: Infraestructure Technology Infraestructure Library Brinda un conjunto detallado de mejores
Más detallesINFORME Nº 032-2010-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE
INFORME Nº 03-00-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE. Nombre del Área El área encargada de la evaluación técnica para la adquisición de la solución de seguridad de información es el Departamento
Más detallesWhite Paper Gestión Dinámica de Riesgos
White Paper Gestión Dinámica de Riesgos Compruebe por qué un Firewall con control de aplicaciones no es suficiente para los problemas de seguridad de hoy: Cómo controlar el riesgo de la red? Cómo verificar
Más detallesCONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesCómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón
Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones
Más detallesWindows Server 2012: Infraestructura de Escritorio Virtual
Windows Server 2012: Infraestructura de Escritorio Virtual Módulo 1: Application Virtualization Módulo del Manual Autores: James Hamilton-Adams, Content Master Publicado: 5 de Octubre 2012 La información
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesEstándares para planes de calidad de software. Escuela de Ingeniería de Sistemas y Computación Desarrollo de Software II Agosto Diciembre 2008
Estándares para planes de calidad de software Escuela de Ingeniería de Sistemas y Computación Desarrollo de Software II Agosto Diciembre 2008 DIFERENCIA ENTRE PRODUCIR UNA FUNCION Y PRODUCIR UNA FUNCION
Más detallesINFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA
INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES
Más detallesARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD
ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García
Más detallesHacking en 5 pasos usando Software libre
Hacking en 5 pasos usando Ponente: JUAN DAVID BERRIO LOPEZ judabe2003@gmail.com Ingeniero en Informática. Especialista en redes Universidad san Buenaventura Posgrado en Seguridad Redes UOC, CCNSP Cyberoam/India
Más detallesQué es la ISO 27001?
Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación
Más detallesITIL FOUNDATION V3 2011
ITIL FOUNDATION V3 2011 Examen de Certificación Instrucciones 1. Revise su Hoja de Respuesta, debe contener espacio para responder 40 preguntas y una sección para incorporar su Nombre 2. Espere por la
Más detallesEstándares de Seguridad Informática
Estándares de Seguridad Informática Por: Anagraciel García Soto, José Luis Sandoval Días. 01/11/2009 Conceptos de Estándares de Seguridad Informática. 1. Estándar: Especificación que se utiliza como punto
Más detallesTécnicas del Penetration Testing
Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.
Más detallesIngeniería de Software. Pruebas
Ingeniería de Software Pruebas Niveles de prueba Pruebas unitarias Niveles Pruebas de integración Pruebas de sistema Pruebas de aceptación Alpha Beta Niveles de pruebas Pruebas unitarias Se enfocan en
Más detallesMétricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.
Métricas para la Seguridad de las Aplicaciones MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A. Expositor About Me MAI. Andrés Casas, Director de Gestión de Riesgo de
Más detallessobre SIGEA Consultora de referencia en ISO 27001
sobre SIGEA Consultora de referencia en ISO 27001 El Área de Consultoría de SIGEA presta servicios relacionados con la seguridad de la información y la gestión de servicios de TI. En concreto: Consultoría
Más detalles