METODOLOGIA Observaciones sobre terminología
|
|
- María del Pilar Peralta Acuña
- hace 8 años
- Vistas:
Transcripción
1 METODOLOGIA Observacionessobreterminología Paralograrlamayorclaridadtécnica,queremosprecisarmuybrevementealgunostérminos queusaremoseneldetalledelametodologíapropuesta,lacualhasidoinspiradaenel cumplimientodelacircular052delasuperintendenciafinancieradecolombia. Nombraremoscuatrosiglasprincipalmente: CVE. SigladeCommonVulnerabilitiesandExposures(verhttp://cve.mitre.org). CVSSv2. SigladelCommonVulnerabilityScoringSystem(verhttp:// OSSTMM. SigladelOpenSourceSecurityTestingMethodologyManual(verhttp:// OWASP. SigladeOpenWebApplicationSecurityProject( Hablaremosdevulnerabilidadcomoladebilidadtécnicareconocidayclasificadapor expertosenlistadoscomoeldelacve.cuandoafectaalgúnsistemadelaactualreden estudio,demaneraespecíficaenundeterminadopuertooservicio,nosreferimosadicho eventocomounaamenazadentrodelared.deestamanera,remediacióndeunaamenaza encontrada,escuandosecorrigedeterminadavulnerabilidadenunadirecciónipyparaun serviciodado,mientrasqueblindarlaredcontraunavulnerabilidad,porejemplolacve presenteen21equiposenunared,significarealizarlamismacorrecciónacada unodeestosequipos,entodoslosserviciosafectados,hastacerrarcompletamenteestas21 vulnerabilidades. Parareferirnosalaactividadtécnicaenbuscadevulnerabilidades,queincluyeinformes estándarenelmercadocondescripcionesysugerenciasdesolucióndedichavulnerabilidad, usamoslostérminossondeo,escaneooexploración.reservamoseltérminoanálisis,al estudiodedichosinformesrealizadoporfav,descartandofalsospositivos,usandofiltros, algoritmosyprocesosinternosdeactualizacióndepuntajescvssv2diariamente,para mantenerseenconformidadconloexigidoporlacircular052yqueasímismoencuentray clasificavulnerabilidadescvesegúndichosistemadepuntuación,paramostrarlos resultadosencumplimientoconloexigidoporlacorporaciónmitreparaproductos homologados.adicionalmente,favcontieneunaseccióndeanálisisquesemuestraenel anexodepresentacióndelaherramientaysedescribeensusmanuales.resultadodel procesodeanálisis,encontramossendosdiagramas,informespararemediación, clasificaciónderiesgos,históricodevulnerabilidades,entreotros. Llamamossondeodecajablancaalasexploracionesdelossistemasconprivilegios,esdecir, dondelascredencialesnecesariassonsuministradasysetienepermisoparaexplorarcon dichascredenciales.encontraste,lossondeodecajanegra,seránaquellosrealizadossin poseerlascredencialesdelossistemasobjetivo,loscualespuedenhacerseenmodoseguro oinseguro.enelmodoseguro,noseusanalgoritmosquepuedandeteneralgúnservicio; mientrasqueenelmodoinseguroexistelaposibilidaddedejarunsistemainoperantehasta
2 tantoesteseareiniciado.tambiénsedanlosllamadossondeosdecajagris,enlosquenose cuentaconcredenciales,perosiconelconocimientodesistemasoperativosyaplicacionesy serviciospresentesenlosactivossondeados.favprofundizaenestetipodesondeos,para evitarlosriesgosinherentesenlamanipulacióndecredencialesdelosactivos.paraello, incluyeensuversiónestándar,avanzadasherramientasdecorrelación. Propuestametodológica AunqueunsoloapplianceFAVessuficienteparacumplirconnormas,frutodenuestra experienciaconfavenproducción,entregamosdosappliancesfav.elprimeropara producciónyunsegundoparaapoyo,queusualmentetrabajaenvalidaciónde remediacionesefectuadasademásdepoderserusadocomocontingencia. Elappliancedeapoyoestádiseñadopararealizarcontinuossondeos,conelobjetode verificarlaremediacióndeunaamenazaeinformardesuéxitoalosresponsablesdedicha remediación.dadoquelosresultadosdesugestiónsolosonrequeridos momentáneamente,sepuedeprogramarparaqueestosseanautomáticamenteborrados cadatercerdía.estaesladiferenciafundamentalconlaconfiguracióndeproducción,enla cualnoesposibleborrarningunodelossondeosefectuados,sololosreportes. Pasosparapuestaenproducciónson: 1.Realizacióndeunapreconsultoríatécnicaparadeterminarlaubicaciónfinaldelappliance FAV,tantofísicacomológica,asícomolosrequerimientoslógicosdentrofirewalls,IPSy dispositivosdecomunicaciones.enpaticular,sepresentanlasposibilidadestécnicaspara actualizacionesdebasesdedatosdecve CVSSv2,algoritmosdesondeoysoporteenlínea. Unavezsetomandecisionessobreestostemas,sedocumentanyseprogramasu implementación. 2.Implementacióndeconfiguracioneseinstalaciónsegúnprocedimientosacordadosenla etapadepreconsultoría.loschequeossepuedenconfigurarparaverificarcumplimiento contraunanormaoestándardeterminado.sieseeselcaso,losresultadossepresentan,tal comoloexigedichanormaoestándar,lascualesusualmenterequierensondeosdecaja blanca.aunquefavsepuedeconfigurarparaentregarresultadospersonalizados,hemos desarrolladoconfiguracionesespecíficasparareportarcumplimientodelassiguientes normas: PaymentCardIndustry(PCI) BASELII CenterforInternetSecurityBenchmarks(CIS) ControlObjectivesforInformationandrelatedTechnology(COBIT) DefenseInformationSystemsAgencySTIGs FederalInformationSecurityManagement(FISMA) FederalDesktopCoreConfiguration(FDCC) Gramm Leach BlileyAct(GLBA) HealthInsurancePortabilityandAccountabilityAct(HIPAA) ISO27002/17799SecurityStandards InformationTechnologyInformationLibrary(ITIL) NationalInstituteofStandards(NIST)configurationguidelines NationalSecurityAgency(NSA)configurationguidelines
3 Sarbanes Oxley(SOX) SiteDataProtection(SDP) 3.PerfilarlaRed:Descubrimientodelosdiferentessegmentosderedvisiblesdesdeelpunto dadoparaelappliancefavdentrodelawan,incluyendodetalledelasdiferentes direccionesipencontradasencadasegmento.incluyeinformederesultados. 4.Definirfases,ciclosyactivoscríticosusandolosresultadosdelasetapasanteriores. 5.Presentacióndelcronogramafinaldeactividades,incluyendosondeos,informesyanálisis enlosdiferentesciclosyfases,asícomopruebasdepenetraciónaactivoscríticos,sus informesyactividadesdetransferenciadeconocimientos. 6.Ejecucióndeactividadesdesondeoyanálisisdevulnerabilidades.Elsiguientegrupode actividadessoncíclicasyrepetitivasdeacuerdoconlosciclosyfasesdefinidosparael proyecto: Sondeosdecajagris. Gestióndefalsospositivos. Análisisdevulnerabilidades. PresentacióndeInformes. Reunionesdeseguimiento. Losinformesenestasecciónincluyen: Diagramasejecutivosderesultados: Pasteldeestadogeneral. Histogramadefrecuenciassobreamenazas. Histogramadefrecuenciassobreservicios(top20). Navegablecondetalledelasamenazasencontradasysugerenciasdesolución. InformeespecializadopararemediaciónconWSUSdeMicrosoft. Riesgosponderadosyclasificadossegúnservicio. Comparativoentreelchequeodecajanegrayeldecajablanca. Falsospositivosdeclarados. Comparativosentrelasdiferentesfases. Estegrupodeactividadesserealizatantoporpartedelanalistadelasolución,comopor partedelosfuncionariosdesuorganizaciónqueparaellosecapaciten.estosdispondránde usuariosdentrodelappliancedecontingencia.usualmenteestasactividadesporpartede losfuncionariosdelaorganizaciónserealizancomoapoyoyseguimientoalprocesode blindajedelaredoremediacióndelasamenazasencontradas. 7.Ejecucióndepruebasdepenetraciónaactivoscríticos: EncontrardatosdeActivosCríticos CrearlaplantilladedatosdelActivoCrítico,en conformidadconosstmm. Sondeodecajanegrasegurooinseguro(adefinirconIT). Gestióndefalsospositivos. Sondeodecajagris. Esimportanterealizarunasegundarondadepruebasconlamismametodología,unavezTI informequelosactivoscríticoshansidoblindadosdeacuerdoconlasrecomendaciones.
4 Losinfomesdeestasecciónincluyen: Diagramasejecutivosderesultados: Piedeestadogeneral. Histogramadefrecuenciassobreamenazas. Histogramadefrecuenciassobreservicios(top20). Comparativoentreloschequeo. PlantilladedatosdelActivoCrítico. Dictamen(Aseguradoovulnerable). Falsospositivosdeclarados. Respaldoalagestióndeauditoríasdeacuerdoconelcaso: FAV_RHEL5_AUDIT.ImplementaloschequeosdeCISRedHatEnterpriseLinux5paraeste OS. FAV_WIN2K_AUDIT.ImplementaloschequeosdeCISWindows2008ServerOperating SystemBenchmarkConsensusBaselineSecuritySettings.Adicionalmente,contieneSMB Registrychecksparachequeodelregistrodelosservidores. FAV_DB_AUDIT.Chequeospreconfiguradosparaauditarbasesdedatos.Seconfigurapara entregarreportesparticularesdependiendodeladb(yversión):sqlserver,mysql,oracle, Postgresql,DB2. 8.Actividadesdetransferenciadelconocimiento. Capacitaciónpresencial. Participacióndeblogespecializadosobrelaherramienta. 9.Actividadesdesoporteymantenimiento. ActualizacióndiariadebasesdedatosCVE(automática) Revisionesperiódicasdecarácterpreventivo. Todosestoschequeossedandentrodeunámbitodeseguridadenelcualtantoelentorno enelcualseefectúan,comosuinformaciónylosresultadosdelaspruebas,están amparadosporacuerdosdeconfidencialidadyreglastantoparaelcliente,comoparael analista.lametodologíaosstmnorequierelaexplotacióndevulnerabilidadesdenegación deserviciosnidevulnerabilidadesdesupervivencia.laevidenciarecopiladasoloseusapara queelclienterevisesussistemasyprocesosdeseguridad. Hemosagrupadolaspruebasencincocategorías,estándar,avanzada,privada,social, política,restringidaylegal.enconjuntoconnuestrosespecialistas,sedeterminalaque realmenteaplicaasusnecesidades.mencionamoslaspruebasaefectuarencadaunade ellasysoloparalacategoríaestándarenumeramosmetodologíaeinformes,ítemsquepara lasdemáscategoríasseacuerdanjuntoconelcliente,enunaprimeraetapadesowdel proyecto. AVANZADA Análisisespecializadodefirewalls AnálisisdeSistemasdeDetección PrevencióndeIntrusiones Enestostestssedefinenpuntosdecontrol,enacuerdoconlosadministradoresdelos dispositivos,parapararoseguiradelante,unavezalcanzadoslosprimerosresultados.son chequeosextensosydispendiososquerequierenserrealizadosenestadosdebajaactividad delossistemasobjetivo,dadaelaltoriesgodecaídadelosserviciosobjetivo.
5 PRIVADA CorreoElectrónicofalseado Privacidaddeindividuos Estostestsonintensivosenhorasdeespecialistayrequierendecláusulasespecialesdentro deloscontratosdeconfidencialidad,yaqueelespecialistapuedellegarainformación altamenteconfidencial. SOCIAL IngenieríaSocial AtaqueTelefónicousandoTécnicasdeIngenieríaSocial AtaqueporCorreoElectrónicousandoTécnicasdeIngenieríaSocial AnálisisdeConfianza InformaciónCompetitiva POLITICA RevisióndePolíticasdePrivacidad RevisióndeMedidasdeContención RESTRINGIDA AtaquesaContraseñas DenegacióndeServicio(DenialofService). Estoschequeossolosehacenpreviaaceptaciónescritaporpartedesuorganización,enla queseaclaraelentendimientodelospotencialesriesgosqueconllevan. LEGAL AnálisisdeDocumentos TestsdeSeguridadLegales
El documento consta de un total de 141 página/s. Página 24 de 141. Código de Verificación Electrónica (CVE) v0170 Mh080 42K95 4j144
El documento consta de un total de 141 página/s. Página 24 de 141. Código de Verificación Electrónica (CVE) v0170 Mh080 42K95 4j144 El documento consta de un total de 141 página/s. Página 25 de 141. Código
Más detallesXITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO
Auditorias de seguridad en TI Presentación del servicio Agenda: 1. Qué es una auditoria de Seguridad? 2. Metodología de Implementación 3. Ejemplos de entregables 4. Porqué es necesaria? 5. Beneficios Qué
Más detallesEl documento consta de un total de 89 pág/s. Pág. 51 de 89. Código de Verificación Electrónica (CVE) 10m10 03N50 V1115 k415l
El documento consta de un total de 89 pág/s. Pág. 51 de 89. Código de Verificación Electrónica (CVE) 10m10 03N50 V1115 k415l El documento consta de un total de 89 pág/s. Pág. 52 de 89. Código de Verificación
Más detallesOficial de la Província de Barcelona Data CVE Pàg
Oficial de la Província de arcelona Data 14-12-2017 CVE 2017045182 Pàg. 1-53 https://bop.diba.cat Oficial de la Província de arcelona Data 14-12-2017 CVE 2017045182 Pàg. 2-53 https://bop.diba.cat Oficial
Más detallesVulnerabilidades de los sistemas informáticos
Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel
Más detallesIDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES
IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES Alejandro Hernández H. (nitrøus), CISSP, GPEN http://twitter.com/nitr0usmx http://chatsubo-labs.blogspot.com http://www.brainoverflow.org
Más detallesAlumnado matriculado - 2010/2011
TOTAL Grado en de Elementales Profesionales Grado Superior Música LOE Música Elementales 3.110 1.128 1.677 232 73 2.808 910 166 166 127 127 228 228 184 184 233 233 190 190 219 219 189 189 278 143 135 255
Más detallesAuditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.
Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de
Más detallesSERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO
SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO OBJETIVO IQ INFORMATION QUALITY, presenta los servicios para realizar las pruebas de HACKING ÉTICO, con el fin de verificar los niveles
Más detallesSistema de Medición de Riesgos en Enrutadores bajo el. Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler Amador Donado
Sistema de Medición de Riesgos en Enrutadores bajo el estándar 802.11g basándose en los lineamientos i planteados por la OSSTMM Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler
Más detallesPrimeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010
Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Web Application: Security Tips Hernán M. Racciatti hracciatti@siclabs.com SICLABS Acerca del Autor Analista
Más detallesDIPLOMADO DIPLOMADO SEGURIDAD DE DE LA LA INFORMACIÓN
DIPLOMADO DIPLOMADO SEGURIDAD DE DE LA LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Escuela de Informática y Telecomunicaciones Hoy en día, los profesionales del área informática requieren una sólida formación
Más detallesSistema de Control de Acceso en Áreas Restringidas (SCA-AR)
Sistema de Control de Acceso en Áreas Restringidas (SCA-AR) Agenda Definición Componentes Diagrama General Funciones Beneficios Importancia Estadística Retos Pendientes Preguntas Definición Control de
Más detallesDatos Personales en el Ciclo de Vida de Desarrollo Seguro
OWASP AppSec Latam Tour 2012 Buenos Aires Datos Personales en el Ciclo de Vida de Desarrollo Seguro Pablo Romanos pabloromanos@green40.com cuando hablamos de Protección de Datos Personales? Proteger de
Más detallesServicios de Seguridad de la Información
Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos
Más detallesINTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
Más detallesdecir que GCP Global es una empresa que vende seguridad IT, sería como decir que Miguel Ángel pintaba techos
decir que GCP Global es una empresa que vende seguridad IT, sería como decir que Miguel Ángel pintaba techos Integrated Risk Management Software Platform Qué es Security Advisor? Plataforma integrada de
Más detallesLOGO COLABORADOR 14.11.2007 1
14.11.2007 1 AUDITORÍA WEB D. Ángel Alonso Párrizas CISM, CISSP, GCIH, GCIA, CCNA Ingeniero de Seguridad 14.11.2007 2 1. Clasificación de las auditorias web 2. Auditoría Jurídica/legal 3. Auditoría accesibilidad
Más detalles10 años especializados en seguridad y control de riesgos. Visión integral de la seguridad, vinculando a. Sistemas Procesos Personas Instalaciones
Sobre GCP Global 10 años especializados en seguridad y control de riesgos Visión integral de la seguridad, vinculando a Sistemas Procesos Personas Instalaciones Premio Nacional de Tecnología 2008. Certificados
Más detallesELASTIX SECURITY MASTER Pensum del curso
ELASTIX SECURITY MASTER Pensum del curso Capítulos teóricos Seguridad Concepto Proceso Iterativo y constante Factores que aumentan la inseguridad Ethical Hacking Conceptos Visión General de la plataforma
Más detallesGuía de Seguridad en Aplicaciones para CISOs
Guía de Seguridad en Aplicaciones para CISOs El Guía de Seguridad en Aplicaciones para CISOs versión 1.0 documento es una traducción al español del documento oficial en inglés Application Security Guide
Más detalles5. Alumnado con necesidades educativas especiales integrado según titularidad del centro, tipo de discapacidad, enseñanza y sexo.
Educación Infantil Hombres Mujeres Hombres Mujeres 6.405 3.998 2.407 1.437 945 492 309 176 133 83 44 39 4.396 2.622 1.774 784 514 270 493 283 210 173 107 66 218 135 83 77 46 31 724 584 140 281 210 71 164
Más detallesNeighbor Discovery para IPv6: Ataques y Contramedidas
Neighbor Discovery para IPv6: Ataques y Contramedidas Fernando Gont SI6 Networks LACNOG 2011 Buenos Aires, Argentina. Octubre 3-7, 2011 Agenda Algunos hallazgos en implementaciones de IPv6 Neighbor Discovery
Más detallesProtección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas
Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence
Más detallesPalabras Clave Amenazas, Vulnerabilidades, Redes Inalámbricas, Seguridad de la Información, Usuarios SoHo, Análisis y Gestión de Riesgos.
RESUMEN Este artículo explica el estudio que se realizó para proporcionar a los Usuarios SoHo(Small Office, Home Officce) una herramienta que mide el nivel de riesgo que puede tener una red inalámbrica
Más detallesANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA
ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad
Más detallesProgramación de código seguro
Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo
Más detallesDispositivos móviles y riesgos de seguridad
Su Seguridad es Nuestro Éxito Dispositivos móviles y riesgos de seguridad Vicente Aguilera Díaz Socio. Director Dpto. Auditoria vaguilera@isecauditors.com BRAND CARE Reputación, Seguridad y Legalidad Barcelona,
Más detallesEL SIGLO XXI DE LA SEGURIDAD VIAL LABORAL EN ESPAÑA
EL SIGLO XXI DE LA SEGURIDAD VIAL LABORAL EN ESPAÑA Ponente: Andrés Luís Romera Zarza 2) Conclusiones 3) Solución INDICE INDICE Antecedentes normativos y legislativos Ley General de Seguridad Social (Real
Más detallesGIDT. Instructivo Filtro de Contenido Web
GIDT Instructivo Filtro de Contenido Web UNAD GERENCIA DE INNOVACIÓN Y DESARROLLO TECNOLÓGICO. MARZO 2012 TABLA DE CONTENIDO 1. OBJETIVO... 2 2. EN QUE SE BASA LA UNAD PARA APLICAR ESTE FILTRO?... 2 3.
Más detallesACTIVIDAD TRABAJO COLABORATIVO II CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES
ACTIVIDAD TRABAJO COLABORATIVO II CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES Ing. Mauricio Ramírez Villegas Director del Curso Universidad Nacional Abierta y a Distancia 2014 Temáticas
Más detallesPráctica de Seguridad en Redes
Práctica de Seguridad en Redes Juan Boubeta Puig y Antonio García Domínguez Seguridad y Competencias Profesionales Departamento de Ingenieria Informatica Universidad de Cadiz Curso 2012-2013 1. Descripción
Más detallesSeguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.
Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar
Más detallesCatalogo cursos de Seguridad Informática
Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las
Más detallesTema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión
Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido
Más detallesBuenas Prácticas de Administración del Disponible. www.auditool.org
Buenas Prácticas de Administración del Disponible www.auditool.org Esta lista de chequeo está dirigida a gerentes, contralores, auditores y revisores fiscales y su objetivo es proveer de un punto de partida
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesSALA CONSEJO. AC HOTEL PALACIO DE SANTA ANA Camino de La Flecha, s/n 47197 Valladolid T. 983 40 99 20 www.hotelacpalaciodesantaana.
SALA CONSEJO Consejo 31,31 m 2 20 12 SALA FÓRUM A Fórum A 52,52 m 2 45 34 34 50 50 SALA FÓRUM B Fórum B 51,10 m 2 24 20 45 SALA FÓRUM C Fórum C 51,10 m 2 24 20 45 SALA FÓRUM D Fórum D 74,72 m 2 50 30 25
Más detallesUniversidad de Buenos Aires Facultad de Ciencias Económicas Asociación de Marketing Bancario Argentino Bank Administration Institute
Universidad de Buenos Aires Facultad de Ciencias Económicas Asociación de Marketing Bancario Argentino Bank Administration Institute Pagina 1 Módulo Nº 7 UNIDAD 2 Riesgos de la Actividad Financiera Pagina
Más detallesSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web Juan Isaias Calderón CISSP, GCFA, ECSA, CEH, MCP jcalderon@trustwave.com SpiderLabs Lámina 1 Dr. Roberto Gómez C. Inseguridad de las aplicaciones Web De 300 sites auditados
Más detallesCódigo BPIN: Datos del Formulador. Profesional Universitario. Cargo: Telefonos: Municipio de Guadalajara de Buga. Entidad:
Metodología General de Formulación Proyecto Prevención del reclutamiento y utilizacion de niños, niñas y adolescentes en actividades ilegales Guadalajara De Buga, Valle del Cauca, Occidente Código BPIN:
Más detallesSeguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez
Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras
Más detallesHacking Ético y Defensa en Profundidad "Versión 3.2.2
DIPLOMADO INTEGRAL EN SEGURIDAD DE LA INFORMACION LLAMADO: Hacking Ético y Defensa en Profundidad "Versión 3.2.2 Dictado por el grupo de Ingenieros de la empresa: DSTEAM Seguridad. INTRODUCCIÓN: La seguridad
Más detallesPSIC.ROSA ISRAEL SINDROME DE BURNOUT
PSIC.ROSA ISRAEL SINDROME DE BURNOUT SITUACIONES DE STRESS SE MANIFIESTAN EN SÍNTOMAS MUY DIVERSOS; EXPRESIÓN SOMÁTICA: dolores de cabeza, contracturas, problemas digestivos, cardiovasculares, fatiga,insomnio.
Más detallesManuel Ballester, CISA, CISM
Conferencia Latin America CACS 2007 #333 Lecciones aprendidas sobre la certificación en el estándar ISO 27001 y su relación con Cobit. Preparada por Manuel Ballester, CISA, CISM Reflexión Inicial Cuanto
Más detallesSecuriza tu red con Snort y sus amigos
www.securityartwork.es www.s2grupo.es Securiza tu red con Snort y sus amigos José Luis Chica Uribe Técnico de seguridad IT jchica@s2grupo.es Índice Seguridad: conceptos Tipos de ataques Cómo defenderse?
Más detallesUnidad Estatal de Protección Civil de Hidalgo
Unidad Estatal de Protección Civil de Hidalgo Pino Suárez No. 903, Col. Cubitos, C.P. 42090, Pachuca, Hgo. Teléfonos: 01 771 714 15 22 01 771 714 88 02 E-mail: pchgo@yahoo.com Curso Ámbito de la Protección
Más detallesFirewalls, IPtables y Netfilter
Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.
Más detallesGRADO EN CRIMINOLOGIA
GRADO EN RESUMEN INFORME ANUAL DE RESULTADOS CURSO 2012-2013 Ingreso y matriculación NOTA DE CORTE Junio Septiembre ALCORCÓN 8,618 VICÁLVARO 9,392 Perfil de Ingreso INDICADORES ALCORCÓN VICÁLVARO Nota
Más detallesCS1 15-230. Características técnicas / Technical features
CS1 15-230 CS1 15 230 1,2kV Imax15 os protectores de la gama CS estan (1,2/50) CS1 15-230 777 051 10 CS1 15-230 IR 777 051 11 275 V 50/60 Hz < 1,1 kv 5 15 63 A g 10 50 Hz 96 g CS1 40-230 CS1 40 230 1,3kV
Más detallesPLAN DE AHORRO Y AUSTERIDAD
PLAN DE AHORRO Y AUSTERIDAD Noviembre de 2015 Gasto Total 2015 Plan de Ahorro y Austeridad MDP 84,960 Fondos Federales Etiquetados (Municipios, Ramo 33, Fondo Metropolitano, UANL, Ramo 23, Línea 3, Seguro
Más detallesAnálisis de Riesgos de Seguridad de la Información
Nuevas oportunidades de negocio- La importancia del Análisis de Riesgos de Seguridad de la Información FRANCISCO MENÉNDEZ PIÑERA DTOR. TÉCNICO - SIGEA 23 de noviembre de 2007 1º ENCUENTRO NACIONAL DE LA
Más detallesCoordinador, Área de Inversiones. Lima, 15 y 16 Octubre, 2009
SISTEMA NACIONAL DE INVERSIONES PUBLICAS (SNIP) COSTA RICA Luis Fallas Calderón Coordinador, Área de Inversiones Lima, 15 y 16 Octubre, 2009 Principales tendencias de la inversión pública 1999 2008 Reducción
Más detallesREGISTRO FEDERAL DE ESTABLECIMIENTOS DE SALUD Y RED DE REGISTROS FEDERALES DE PROFESIONALES
REGISTRO FEDERAL DE ESTABLECIMIENTOS DE SALUD Y RED DE REGISTROS FEDERALES DE PROFESIONALES SECRETARIA DE POLITICAS, REGULACION E INSTITUTOS SUBSECRETARIA DE POLITICAS, REGULACION Y FISCALIZACIÓN Reunión
Más detallesExtractos publicados en Diario Oficial de las 19 sociedades anónimas constituidas por la Universidad Central
Extractos publicados en Diario Oficial de las 19 sociedades anónimas constituidas por la Universidad Central 1. EXTRACTO (cve: 276598) constituyeron sociedad anónima cerrada, cuyos estatutos son: Nombre:
Más detallesBOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA
BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA Señor usuario a continuación le daremos a conocer nuestro protocolo de seguridad para garantizarle un servicio de calidad
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesCloud Security en IaaS Una visión de Seguridad desde el Data Center
Cloud Security en IaaS Una visión de Seguridad desde el Data Center Marzo 2013 Objetivo Introducción Con el auge de la nube como alternativa de negocios y recuperación ante desastres, surgen nuevos retos
Más detallesMódulo 6 Carmen R. Cintrón Ferrer - 2008-2012, Derechos Reservados
Auditoría de Redes AUD 721 Módulo 6 Carmen R. Cintrón Ferrer - 2008-2012, Contenido Temático Objetivos de la auditoría Proceso de auditoría de redes Informe de auditoría de redes 2 Objetivos de la auditoría
Más detallesTALLER SOBRE POLÍTICAS SOCIALES Sesión Política de Salud y Crecimiento Económico Respuestas a preguntas claves
BANCO MUNDIAL BANCO INTERNACIONAL PARA LA RECONSTRUCCIÓN Y DESARROLLO ASOCIACIÓN INTERNACIONAL PARA EL DESARROLLO UNIDAD DE GERENCIAMIENTO PAÍS AREGENTINA, CHILE, PARAGUAY Y URUGUAY TALLER SOBRE POLÍTICAS
Más detallesMinisterio de Relaciones Exteriores República de Colombia
RESPONSABILIDAD POR APLICACIÓN: DESPACHO DEL MINISTRO DE RELACIONES EXTERIORES Página 1 de 6 Fecha de Vigencia: 15 / 01 / 16 HISTORIAL DE CAMBIOS VERSIÓN NATURALEZA DEL CAMBIO 1 Adopción del procedimiento
Más detallesJavier Bastarrica Lacalle Auditoria Informática.
Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 11 CONTROL DE ACCESO 11.4 CONTROL DE ACCESO A
Más detallesPrograma de Promoción y Prevención para la Protección Integral de Niños, Niñas y Adolescentes
Programa de Promoción y Prevención para la Protección Integral de Niños, Niñas y Adolescentes Programa de Promoción y Prevención Marcas para la Protección Integral Prevención de reclutamiento ilícito Prevención
Más detallesReciclaje con Indigentes en el centro de la ciudad de San José Piloto de Inclusión Social y Laboral Municipalidad de San José y Fundación Juan 3,16
Reciclaje con Indigentes en el centro de la ciudad de San José Piloto de Inclusión Social y Laboral Municipalidad de San José y Fundación Juan 3,16 Jaime Ricardo Zuluaga, Julieta Chan y Esteban Echavarría
Más detallesIntroducción. Diplomado en Seguridad Informática
Introducción Los piratas ya no tienen un parche en su ojo ni un garfio en reemplazo de la mano. Tampoco existen los barcos ni los tesoros escondidos debajo del mar. Llegando al año 2000, los piratas se
Más detallesEvaluación del PD: Estandarización del proceso. Cuándo? Por qué? Cómo?
Evaluación del PD: Estandarización del proceso Cuándo? Por qué? Cómo? Objetivos de la sesión: Los asistentes a la sesión comprenderán la importancia de la estandarización del proceso de evaluación dentro
Más detallesSEGMENTO CORPORATIVO. Ges$ón Integral de Riesgos
Acerca de nosotros Somos un grupo interdisciplinario cuyo objetivo principal es apoyar a las organizaciones y gobiernos en la identificación, análisis y evaluación de posibles riesgos, con el fin de implementar
Más detallesCurso Práctico: Auditoría de Sistemas Informáticos (On Line / Videolearning)
Curso Práctico: Auditoría de Sistemas Informáticos (On Line / Videolearning) Objetivos Conocer cuáles son los fundamentos básicos de la seguridad de sistemas y los principales pasos en un proceso de auditoría.
Más detallesEfectos del cambio climático sobre la degradación de suelos en América Latina
SEGUNDO SEMINARIO EUROCLIMA Efectos del cambio climático sobre la degradación de suelos en América Latina Ronald Ontiveros 25 al 27 de Feb. de 2013 Bogotá, Colombia 1 OBJETIVOS DEL ESTUDIO Estimar la degradación
Más detallesNormativa de la Oficina de Bolsa de Trabajo
Normativa de la Oficina de Bolsa de Trabajo Universidad Centroamericana Vicerrectoría Académica Managua, Nicaragua 2006 ALCANCE La Universidad Centroamericana (UCA), en su constante proceso de mejora continua,
Más detallesAuditoría de Seguridad
Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad
Más detallesPonencia ante la Comisión de Asuntos Jurídicos y Políticos de la Organización de Estados Americanos (OEA) 12 de Febrero, 2009
Conferencia Regional sobre Migración (CRM) Regional Conference on Migration (RCM) Ponencia ante la Comisión de Asuntos Jurídicos y Políticos de la Organización de Estados Americanos (OEA) 12 de Febrero,
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesGobierno, riesgo y cumplimiento
Gobierno, riesgo y cumplimiento Gobierno, Riesgo y Cumplimiento GOBIERNO Proceso por el cual políticas y objetivos son establecidas, mantenidas y efectivamente comunicadas a toda la organización. 2014
Más detallesA la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:
XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,
Más detallesREGULARIZACIÓN DE VULNERABILIDADES
REGULARIZACIÓN DE VULNERABILIDADES Seminario: Tendencias de la Tecnología en Buenos Aires, 16 de Septiembre del 2008 Grupo del Retail con presencia en cinco países en Latinoamérica: Múltiples Unidades
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesQué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado
Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado Qué implica? Un análisis activo del sistema en busca
Más detallesFormamos líderes de Alto Nivel
Formamos líderes de Alto Nivel Especialización en Seguridad Informática Presentación En respuesta a la creciente demanda de control y supervisión que plantean los nuevos y cada vez más complejos sistemas
Más detallesIntroducción a la Problemática de la Seguridad Informática en Organizaciones Gubernamentales. CEATS Rosario, 1 de Agosto de 2008
IntroducciónalaProblemáticade laseguridadinformáticaen OrganizacionesGubernamentales CEATS Rosario,1deAgostode2008 Agenda ConceptosBásicos(aprox.30minutos) SeguridadFísicayLógica Marcoconceptual:Confidencialidad,Integridad,DisponibilidadyNorepudio
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesProceso de adaptación al ENS en la UPCT
Proceso de adaptación al ENS en la UPCT Francisco J. Sampalo Lainz Universidad Politécnica de Cartagena Paco.sampalo@si.upct.es Adaptación ENS en la UPCT 1 Programa 1. Consideraciones previas. 2. Cómo
Más detallesDirigidoa: Objetivo: Duración: Elregistroincluye: -Manual -Diplomadeasistencia -Heramientasdelcurso *informáticas -Mochila
Dirigidoa: Estudiantesyprofesionistasquebusquen aprendersobreseguridadinformáticadesde unabasepráctica. Elcursoestadiseñadoparaprincipiantes,yen basealametodologíadepruebade penetración,asiqueseenfocaenseguridad
Más detallesCONFEDERACION COLOMBIANA DE ORGANIZACIONES NO GUBERNAMENTALES
CONFEDERACION COLOMBIANA DE ORGANIZACIONES NO GUBERNAMENTALES 1 Quiénes somos? Organismo de cuarto nivel Aglutina 12 Federaciones 18 ONG Nacionales 1000 ONG afiliadas Federaciones ONG socias CCONG 2 1
Más detallesPROYECTO DESARROLLO CON IDENTIDAD REGIONAL ENTRE ESPAÑA Y NARIÑO- DIRENA- AECID. Fase IV: Identificación de buenas prácticas para transferencia
PROYECTO DESARROLLO CON IDENTIDAD REGIONAL ENTRE ESPAÑA Y NARIÑO- DIRENA- AECID Fase IV: Identificación de buenas prácticas para transferencia CONFESAL Fomento del emprendimiento femenino y apoyo en los
Más detallesPresupuestos limitados Asignar el gasto bajo criterios objetivos de efectividad e impacto. Mejorar la implementación del programa o política
Por qué evaluar? Necesidad de saber qué funciona Presupuestos limitados Asignar el gasto bajo criterios objetivos de efectividad e impacto Mejorar la implementación del programa o política Mejorar programas
Más detallesCAS- CHILE S.A. DE I.
CAS-CHILE 25 Años ISACA 2011 CAS- CHILE S.A. DE I. Líder en Software de Gestión Pública 1. QUÉ ES CLOUD COMPUTING? 2. QUE BENEFICIOS APORTA? 3. QUE RIESGOS TIENE? 4. QUÉ METODOLOGÍAS Y ESTÁNDARES DE CONTROL
Más detallesVULNERABILIDAD DE FIJACIÓN DE SESIONES EN APLICACIONES WEB BY SH4V
VULNERABILIDAD DE FIJACIÓN DE SESIONES EN APLICACIONES WEB BY SH4V INTRODUCCIÓN: Bueno, el motivo que me ha llevado a escribir este white-paper, es que apenas hay información sobre vulnerabilidades en
Más detallesUNIVERSIDAD DE QUINTANA ROO División de Ciencias Sociales y Económico Administrativas Secr etaria Técnica Docencia
UNIVERSIDAD DE QUINTANA ROO División de Ciencias Sociales y Económico Administrativas Secr etaria Técnica Docencia PROGRAMA Datos Generales Nombre de la Materia Clave N de Clases por Ciclo Escolar Carrera
Más detallesMesografía y Bibliografía.
Mesografía y Bibliografía. Capítulo 1. [1]- ROJAS Nava, Leticia. Arquitectura de seguridad perimetral y en sitio para sistemas Unix Caso: Unidad de Servicios de Cómputo Académico de la Facultad de Ingeniería.
Más detallesVoces de América Latina frente a las negociaciones de Cambio Climático. Voces de América Latina frente a las negociaciones de Cambio Climático
1 Voces de América Latina frente a las negociaciones 2 LA SOCIEDAD CIVIL DE AMÉRICA LATINA DEMANDA SU INCORPORACIÓN EN LA CONSTRUCCIÓN DE UNA ESTRATEGIA PARA ENFRENTAR EL CAMBIO CLIMÁTICO Este fue uno
Más detallesUNIVERSIDAD DE EL SALVADOR FACULTAD MULTIDISCIPLINARIA PARACENTRAL DEPARTAMENTO DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS CICLO II -2006
UNIVERSIDAD DE EL SALVADOR FACULTAD MULTIDISCIPLINARIA PARACENTRAL DEPARTAMENTO DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS CICLO II -2006 DESCRIPCION DE LA MATERIA CARTA DESCRIPTIVA Comprende las definiciones
Más detallesFormamos líderes de Alto Nivel
Formamos líderes de Alto Nivel Especialización en Seguridad Informática Presentación En respuesta a la creciente demanda de control y supervisión que plantean los nuevos y cada vez más complejos sistemas
Más detallesDECLARACIÓN DE KINGSTON VI REUNIÓN REGIONAL SOBRE MECANISMOS INTERNACIONALES DE ASISTENCIA HUMANITARIA EN AMÉRCA LATINA Y EL CARIBE (MIAH)
DECLARACIÓN DE KINGSTON VI REUNIÓN REGIONAL SOBRE MECANISMOS INTERNACIONALES DE ASISTENCIA HUMANITARIA EN AMÉRCA LATINA Y EL CARIBE (MIAH) Nosotros, los Ministros y Jefes de Delegaciones de los países
Más detallesPrivacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011
Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección
Más detalles100% Laboratorios en Vivo
100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de
Más detallesCursoGrupo / Seme. 1 1 / 1 1 2 / 1 1 3 / 1 1 4 / 1 1 5 / 1 1 7 / 1 1 1 / 2
Licenciado en Administración y Dirección de Empresas 14430 Derecho Mercantil 3 1 / 1 14432 Derecho del Trabajo y de la Seguridad Social 4 1 / 1 Diplomado en Ciencias Empresariales 26204 Derecho Empresarial
Más detallesCodeSeeker Un Firewall de Nivel 7 OpenSource
Índice OWASP Proyectos de la OWASP: Desarrollo Documentación oportal VulnXML WAS-XML WebGoat Conceptos de Redes TCP/IP Firewalls Tipos de Firewalls CodeSeeker Funcionalidades actuales Funcionalidades futuras
Más detalles