METODOLOGIA Observaciones sobre terminología

Tamaño: px
Comenzar la demostración a partir de la página:

Download "METODOLOGIA Observaciones sobre terminología"

Transcripción

1 METODOLOGIA Observacionessobreterminología Paralograrlamayorclaridadtécnica,queremosprecisarmuybrevementealgunostérminos queusaremoseneldetalledelametodologíapropuesta,lacualhasidoinspiradaenel cumplimientodelacircular052delasuperintendenciafinancieradecolombia. Nombraremoscuatrosiglasprincipalmente: CVE. SigladeCommonVulnerabilitiesandExposures(verhttp://cve.mitre.org). CVSSv2. SigladelCommonVulnerabilityScoringSystem(verhttp://www.first.org/cvss/). OSSTMM. SigladelOpenSourceSecurityTestingMethodologyManual(verhttp://www.isecom.org). OWASP. SigladeOpenWebApplicationSecurityProject(http://www.owasp.org). Hablaremosdevulnerabilidadcomoladebilidadtécnicareconocidayclasificadapor expertosenlistadoscomoeldelacve.cuandoafectaalgúnsistemadelaactualreden estudio,demaneraespecíficaenundeterminadopuertooservicio,nosreferimosadicho eventocomounaamenazadentrodelared.deestamanera,remediacióndeunaamenaza encontrada,escuandosecorrigedeterminadavulnerabilidadenunadirecciónipyparaun serviciodado,mientrasqueblindarlaredcontraunavulnerabilidad,porejemplolacve presenteen21equiposenunared,significarealizarlamismacorrecciónacada unodeestosequipos,entodoslosserviciosafectados,hastacerrarcompletamenteestas21 vulnerabilidades. Parareferirnosalaactividadtécnicaenbuscadevulnerabilidades,queincluyeinformes estándarenelmercadocondescripcionesysugerenciasdesolucióndedichavulnerabilidad, usamoslostérminossondeo,escaneooexploración.reservamoseltérminoanálisis,al estudiodedichosinformesrealizadoporfav,descartandofalsospositivos,usandofiltros, algoritmosyprocesosinternosdeactualizacióndepuntajescvssv2diariamente,para mantenerseenconformidadconloexigidoporlacircular052yqueasímismoencuentray clasificavulnerabilidadescvesegúndichosistemadepuntuación,paramostrarlos resultadosencumplimientoconloexigidoporlacorporaciónmitreparaproductos homologados.adicionalmente,favcontieneunaseccióndeanálisisquesemuestraenel anexodepresentacióndelaherramientaysedescribeensusmanuales.resultadodel procesodeanálisis,encontramossendosdiagramas,informespararemediación, clasificaciónderiesgos,históricodevulnerabilidades,entreotros. Llamamossondeodecajablancaalasexploracionesdelossistemasconprivilegios,esdecir, dondelascredencialesnecesariassonsuministradasysetienepermisoparaexplorarcon dichascredenciales.encontraste,lossondeodecajanegra,seránaquellosrealizadossin poseerlascredencialesdelossistemasobjetivo,loscualespuedenhacerseenmodoseguro oinseguro.enelmodoseguro,noseusanalgoritmosquepuedandeteneralgúnservicio; mientrasqueenelmodoinseguroexistelaposibilidaddedejarunsistemainoperantehasta

2 tantoesteseareiniciado.tambiénsedanlosllamadossondeosdecajagris,enlosquenose cuentaconcredenciales,perosiconelconocimientodesistemasoperativosyaplicacionesy serviciospresentesenlosactivossondeados.favprofundizaenestetipodesondeos,para evitarlosriesgosinherentesenlamanipulacióndecredencialesdelosactivos.paraello, incluyeensuversiónestándar,avanzadasherramientasdecorrelación. Propuestametodológica AunqueunsoloapplianceFAVessuficienteparacumplirconnormas,frutodenuestra experienciaconfavenproducción,entregamosdosappliancesfav.elprimeropara producciónyunsegundoparaapoyo,queusualmentetrabajaenvalidaciónde remediacionesefectuadasademásdepoderserusadocomocontingencia. Elappliancedeapoyoestádiseñadopararealizarcontinuossondeos,conelobjetode verificarlaremediacióndeunaamenazaeinformardesuéxitoalosresponsablesdedicha remediación.dadoquelosresultadosdesugestiónsolosonrequeridos momentáneamente,sepuedeprogramarparaqueestosseanautomáticamenteborrados cadatercerdía.estaesladiferenciafundamentalconlaconfiguracióndeproducción,enla cualnoesposibleborrarningunodelossondeosefectuados,sololosreportes. Pasosparapuestaenproducciónson: 1.Realizacióndeunapreconsultoríatécnicaparadeterminarlaubicaciónfinaldelappliance FAV,tantofísicacomológica,asícomolosrequerimientoslógicosdentrofirewalls,IPSy dispositivosdecomunicaciones.enpaticular,sepresentanlasposibilidadestécnicaspara actualizacionesdebasesdedatosdecve CVSSv2,algoritmosdesondeoysoporteenlínea. Unavezsetomandecisionessobreestostemas,sedocumentanyseprogramasu implementación. 2.Implementacióndeconfiguracioneseinstalaciónsegúnprocedimientosacordadosenla etapadepreconsultoría.loschequeossepuedenconfigurarparaverificarcumplimiento contraunanormaoestándardeterminado.sieseeselcaso,losresultadossepresentan,tal comoloexigedichanormaoestándar,lascualesusualmenterequierensondeosdecaja blanca.aunquefavsepuedeconfigurarparaentregarresultadospersonalizados,hemos desarrolladoconfiguracionesespecíficasparareportarcumplimientodelassiguientes normas: PaymentCardIndustry(PCI) BASELII CenterforInternetSecurityBenchmarks(CIS) ControlObjectivesforInformationandrelatedTechnology(COBIT) DefenseInformationSystemsAgencySTIGs FederalInformationSecurityManagement(FISMA) FederalDesktopCoreConfiguration(FDCC) Gramm Leach BlileyAct(GLBA) HealthInsurancePortabilityandAccountabilityAct(HIPAA) ISO27002/17799SecurityStandards InformationTechnologyInformationLibrary(ITIL) NationalInstituteofStandards(NIST)configurationguidelines NationalSecurityAgency(NSA)configurationguidelines

3 Sarbanes Oxley(SOX) SiteDataProtection(SDP) 3.PerfilarlaRed:Descubrimientodelosdiferentessegmentosderedvisiblesdesdeelpunto dadoparaelappliancefavdentrodelawan,incluyendodetalledelasdiferentes direccionesipencontradasencadasegmento.incluyeinformederesultados. 4.Definirfases,ciclosyactivoscríticosusandolosresultadosdelasetapasanteriores. 5.Presentacióndelcronogramafinaldeactividades,incluyendosondeos,informesyanálisis enlosdiferentesciclosyfases,asícomopruebasdepenetraciónaactivoscríticos,sus informesyactividadesdetransferenciadeconocimientos. 6.Ejecucióndeactividadesdesondeoyanálisisdevulnerabilidades.Elsiguientegrupode actividadessoncíclicasyrepetitivasdeacuerdoconlosciclosyfasesdefinidosparael proyecto: Sondeosdecajagris. Gestióndefalsospositivos. Análisisdevulnerabilidades. PresentacióndeInformes. Reunionesdeseguimiento. Losinformesenestasecciónincluyen: Diagramasejecutivosderesultados: Pasteldeestadogeneral. Histogramadefrecuenciassobreamenazas. Histogramadefrecuenciassobreservicios(top20). Navegablecondetalledelasamenazasencontradasysugerenciasdesolución. InformeespecializadopararemediaciónconWSUSdeMicrosoft. Riesgosponderadosyclasificadossegúnservicio. Comparativoentreelchequeodecajanegrayeldecajablanca. Falsospositivosdeclarados. Comparativosentrelasdiferentesfases. Estegrupodeactividadesserealizatantoporpartedelanalistadelasolución,comopor partedelosfuncionariosdesuorganizaciónqueparaellosecapaciten.estosdispondránde usuariosdentrodelappliancedecontingencia.usualmenteestasactividadesporpartede losfuncionariosdelaorganizaciónserealizancomoapoyoyseguimientoalprocesode blindajedelaredoremediacióndelasamenazasencontradas. 7.Ejecucióndepruebasdepenetraciónaactivoscríticos: EncontrardatosdeActivosCríticos CrearlaplantilladedatosdelActivoCrítico,en conformidadconosstmm. Sondeodecajanegrasegurooinseguro(adefinirconIT). Gestióndefalsospositivos. Sondeodecajagris. Esimportanterealizarunasegundarondadepruebasconlamismametodología,unavezTI informequelosactivoscríticoshansidoblindadosdeacuerdoconlasrecomendaciones.

4 Losinfomesdeestasecciónincluyen: Diagramasejecutivosderesultados: Piedeestadogeneral. Histogramadefrecuenciassobreamenazas. Histogramadefrecuenciassobreservicios(top20). Comparativoentreloschequeo. PlantilladedatosdelActivoCrítico. Dictamen(Aseguradoovulnerable). Falsospositivosdeclarados. Respaldoalagestióndeauditoríasdeacuerdoconelcaso: FAV_RHEL5_AUDIT.ImplementaloschequeosdeCISRedHatEnterpriseLinux5paraeste OS. FAV_WIN2K_AUDIT.ImplementaloschequeosdeCISWindows2008ServerOperating SystemBenchmarkConsensusBaselineSecuritySettings.Adicionalmente,contieneSMB Registrychecksparachequeodelregistrodelosservidores. FAV_DB_AUDIT.Chequeospreconfiguradosparaauditarbasesdedatos.Seconfigurapara entregarreportesparticularesdependiendodeladb(yversión):sqlserver,mysql,oracle, Postgresql,DB2. 8.Actividadesdetransferenciadelconocimiento. Capacitaciónpresencial. Participacióndeblogespecializadosobrelaherramienta. 9.Actividadesdesoporteymantenimiento. ActualizacióndiariadebasesdedatosCVE(automática) Revisionesperiódicasdecarácterpreventivo. Todosestoschequeossedandentrodeunámbitodeseguridadenelcualtantoelentorno enelcualseefectúan,comosuinformaciónylosresultadosdelaspruebas,están amparadosporacuerdosdeconfidencialidadyreglastantoparaelcliente,comoparael analista.lametodologíaosstmnorequierelaexplotacióndevulnerabilidadesdenegación deserviciosnidevulnerabilidadesdesupervivencia.laevidenciarecopiladasoloseusapara queelclienterevisesussistemasyprocesosdeseguridad. Hemosagrupadolaspruebasencincocategorías,estándar,avanzada,privada,social, política,restringidaylegal.enconjuntoconnuestrosespecialistas,sedeterminalaque realmenteaplicaasusnecesidades.mencionamoslaspruebasaefectuarencadaunade ellasysoloparalacategoríaestándarenumeramosmetodologíaeinformes,ítemsquepara lasdemáscategoríasseacuerdanjuntoconelcliente,enunaprimeraetapadesowdel proyecto. AVANZADA Análisisespecializadodefirewalls AnálisisdeSistemasdeDetección PrevencióndeIntrusiones Enestostestssedefinenpuntosdecontrol,enacuerdoconlosadministradoresdelos dispositivos,parapararoseguiradelante,unavezalcanzadoslosprimerosresultados.son chequeosextensosydispendiososquerequierenserrealizadosenestadosdebajaactividad delossistemasobjetivo,dadaelaltoriesgodecaídadelosserviciosobjetivo.

5 PRIVADA CorreoElectrónicofalseado Privacidaddeindividuos Estostestsonintensivosenhorasdeespecialistayrequierendecláusulasespecialesdentro deloscontratosdeconfidencialidad,yaqueelespecialistapuedellegarainformación altamenteconfidencial. SOCIAL IngenieríaSocial AtaqueTelefónicousandoTécnicasdeIngenieríaSocial AtaqueporCorreoElectrónicousandoTécnicasdeIngenieríaSocial AnálisisdeConfianza InformaciónCompetitiva POLITICA RevisióndePolíticasdePrivacidad RevisióndeMedidasdeContención RESTRINGIDA AtaquesaContraseñas DenegacióndeServicio(DenialofService). Estoschequeossolosehacenpreviaaceptaciónescritaporpartedesuorganización,enla queseaclaraelentendimientodelospotencialesriesgosqueconllevan. LEGAL AnálisisdeDocumentos TestsdeSeguridadLegales

El documento consta de un total de 141 página/s. Página 24 de 141. Código de Verificación Electrónica (CVE) v0170 Mh080 42K95 4j144

El documento consta de un total de 141 página/s. Página 24 de 141. Código de Verificación Electrónica (CVE) v0170 Mh080 42K95 4j144 El documento consta de un total de 141 página/s. Página 24 de 141. Código de Verificación Electrónica (CVE) v0170 Mh080 42K95 4j144 El documento consta de un total de 141 página/s. Página 25 de 141. Código

Más detalles

El documento consta de un total de 89 pág/s. Pág. 51 de 89. Código de Verificación Electrónica (CVE) 10m10 03N50 V1115 k415l

El documento consta de un total de 89 pág/s. Pág. 51 de 89. Código de Verificación Electrónica (CVE) 10m10 03N50 V1115 k415l El documento consta de un total de 89 pág/s. Pág. 51 de 89. Código de Verificación Electrónica (CVE) 10m10 03N50 V1115 k415l El documento consta de un total de 89 pág/s. Pág. 52 de 89. Código de Verificación

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

XITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO

XITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO Auditorias de seguridad en TI Presentación del servicio Agenda: 1. Qué es una auditoria de Seguridad? 2. Metodología de Implementación 3. Ejemplos de entregables 4. Porqué es necesaria? 5. Beneficios Qué

Más detalles

IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES

IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES Alejandro Hernández H. (nitrøus), CISSP, GPEN http://twitter.com/nitr0usmx http://chatsubo-labs.blogspot.com http://www.brainoverflow.org

Más detalles

decir que GCP Global es una empresa que vende seguridad IT, sería como decir que Miguel Ángel pintaba techos

decir que GCP Global es una empresa que vende seguridad IT, sería como decir que Miguel Ángel pintaba techos decir que GCP Global es una empresa que vende seguridad IT, sería como decir que Miguel Ángel pintaba techos Integrated Risk Management Software Platform Qué es Security Advisor? Plataforma integrada de

Más detalles

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO OBJETIVO IQ INFORMATION QUALITY, presenta los servicios para realizar las pruebas de HACKING ÉTICO, con el fin de verificar los niveles

Más detalles

Sistema de Medición de Riesgos en Enrutadores bajo el. Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler Amador Donado

Sistema de Medición de Riesgos en Enrutadores bajo el. Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler Amador Donado Sistema de Medición de Riesgos en Enrutadores bajo el estándar 802.11g basándose en los lineamientos i planteados por la OSSTMM Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Programación de código seguro

Programación de código seguro Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo

Más detalles

LOGO COLABORADOR 14.11.2007 1

LOGO COLABORADOR 14.11.2007 1 14.11.2007 1 AUDITORÍA WEB D. Ángel Alonso Párrizas CISM, CISSP, GCIH, GCIA, CCNA Ingeniero de Seguridad 14.11.2007 2 1. Clasificación de las auditorias web 2. Auditoría Jurídica/legal 3. Auditoría accesibilidad

Más detalles

Auditoría de Seguridad

Auditoría de Seguridad Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad

Más detalles

LINEAMIENTOS PARA LA IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS DE SEGURIDAD INFORMÁTICA BASADOS EN LOS ALGORITMOS CRIPTOGRÁFICOS EN UNA RED 802.

LINEAMIENTOS PARA LA IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS DE SEGURIDAD INFORMÁTICA BASADOS EN LOS ALGORITMOS CRIPTOGRÁFICOS EN UNA RED 802. LINEAMIENTOS PARA LA IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS DE SEGURIDAD INFORMÁTICA BASADOS EN LOS ALGORITMOS CRIPTOGRÁFICOS EN UNA RED 802.11g SEMINARIO DE LA MAESTRÍA TELEMÁTICA DIRECTOR: OSCAR MAURICIO

Más detalles

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

Armas del CISO Actual. OWASP Venezuela OWASP Uruguay

Armas del CISO Actual. OWASP Venezuela OWASP Uruguay Armas del CISO Actual Edgar Salazar Mateo Martínez OWASP Venezuela OWASP Uruguay OWASP 14 Años de servicio a la comunidad 170 Proyectos Activos 200 Capítulos Activos 43,000+ Participantes en listas de

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

Neighbor Discovery para IPv6: Ataques y Contramedidas

Neighbor Discovery para IPv6: Ataques y Contramedidas Neighbor Discovery para IPv6: Ataques y Contramedidas Fernando Gont SI6 Networks LACNOG 2011 Buenos Aires, Argentina. Octubre 3-7, 2011 Agenda Algunos hallazgos en implementaciones de IPv6 Neighbor Discovery

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

El documento consta de un total de 9 página/s. Página 1 de 9. Código de Verificación Electrónica (CVE) 107d0 0f480 12l75 50U6l

El documento consta de un total de 9 página/s. Página 1 de 9. Código de Verificación Electrónica (CVE) 107d0 0f480 12l75 50U6l CONSULTA ON LINE EN MIS EXPEDIENTES El documento consta de un total de 9 página/s. 1 de 9. Código de Verificación Electrónica (CVE) 107d0 0f480 12l75 50U6l PUBLICADOR DE AL-SIGM Índice de contenido 1.

Más detalles

ACTIVIDAD TRABAJO COLABORATIVO II CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES

ACTIVIDAD TRABAJO COLABORATIVO II CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES ACTIVIDAD TRABAJO COLABORATIVO II CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES Ing. Mauricio Ramírez Villegas Director del Curso Universidad Nacional Abierta y a Distancia 2014 Temáticas

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

CSIRT Servicios 2012. problemas y resolución inmediata de. Cada servicio puede ser personalizado según

CSIRT Servicios 2012. problemas y resolución inmediata de. Cada servicio puede ser personalizado según CSIRT Servicios Seguridad Información 2013 HISPASEC Tiene una amplia y exitosa trayectoria en el sector de la seguridad y de la tecnologías de información y comunicación, con más de trece años liderando

Más detalles

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Web Application: Security Tips Hernán M. Racciatti hracciatti@siclabs.com SICLABS Acerca del Autor Analista

Más detalles

Introducción. Diplomado en Seguridad Informática

Introducción. Diplomado en Seguridad Informática Introducción Los piratas ya no tienen un parche en su ojo ni un garfio en reemplazo de la mano. Tampoco existen los barcos ni los tesoros escondidos debajo del mar. Llegando al año 2000, los piratas se

Más detalles

INTRODUCCIon al ethical hacking. Objetivo: Utilizar las herramientas bssicas para la evaluacion de vulnerabilidades y auditoria de redes.

INTRODUCCIon al ethical hacking. Objetivo: Utilizar las herramientas bssicas para la evaluacion de vulnerabilidades y auditoria de redes. INTRODUCCIon al ethical hacking Objetivo: Utilizar las herramientas bssicas para la evaluacion de vulnerabilidades y auditoria de redes. Felix Molina angel molina@uagro. mx Agenda Conceptos basicos de

Más detalles

Guía de Seguridad en Aplicaciones para CISOs

Guía de Seguridad en Aplicaciones para CISOs Guía de Seguridad en Aplicaciones para CISOs El Guía de Seguridad en Aplicaciones para CISOs versión 1.0 documento es una traducción al español del documento oficial en inglés Application Security Guide

Más detalles

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad

Más detalles

Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full Disclosure Pruebas de Caja Negra - Black Box / Blind

Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full Disclosure Pruebas de Caja Negra - Black Box / Blind Contenido 0.- Pre - Boarding 1.- Que es un Penetration Testing 2.- Tipos de Pruebas en un Penetration Testing Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full

Más detalles

Palabras Clave Amenazas, Vulnerabilidades, Redes Inalámbricas, Seguridad de la Información, Usuarios SoHo, Análisis y Gestión de Riesgos.

Palabras Clave Amenazas, Vulnerabilidades, Redes Inalámbricas, Seguridad de la Información, Usuarios SoHo, Análisis y Gestión de Riesgos. RESUMEN Este artículo explica el estudio que se realizó para proporcionar a los Usuarios SoHo(Small Office, Home Officce) una herramienta que mide el nivel de riesgo que puede tener una red inalámbrica

Más detalles

CS1 15-230. Características técnicas / Technical features

CS1 15-230. Características técnicas / Technical features CS1 15-230 CS1 15 230 1,2kV Imax15 os protectores de la gama CS estan (1,2/50) CS1 15-230 777 051 10 CS1 15-230 IR 777 051 11 275 V 50/60 Hz < 1,1 kv 5 15 63 A g 10 50 Hz 96 g CS1 40-230 CS1 40 230 1,3kV

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Tests de Intrusión. Análise da seguridade en entornos GNU/Linux

Tests de Intrusión. Análise da seguridade en entornos GNU/Linux Francisco José Ribadas Pena ribadas@uvigo.es Departamento de Informática Universidade de Vigo Tests de Intrusión. Análise da seguridade en entornos GNU/Linux Ferramentas de seguridade en GNU/Linux Curso

Más detalles

Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado

Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado Qué implica? Un análisis activo del sistema en busca

Más detalles

Práctica de Seguridad en Redes

Práctica de Seguridad en Redes Práctica de Seguridad en Redes Juan Boubeta Puig y Antonio García Domínguez Seguridad y Competencias Profesionales Departamento de Ingenieria Informatica Universidad de Cadiz Curso 2012-2013 1. Descripción

Más detalles

Módulo 6 Carmen R. Cintrón Ferrer - 2008-2012, Derechos Reservados

Módulo 6 Carmen R. Cintrón Ferrer - 2008-2012, Derechos Reservados Auditoría de Redes AUD 721 Módulo 6 Carmen R. Cintrón Ferrer - 2008-2012, Contenido Temático Objetivos de la auditoría Proceso de auditoría de redes Informe de auditoría de redes 2 Objetivos de la auditoría

Más detalles

CodeSeeker Un Firewall de Nivel 7 OpenSource

CodeSeeker Un Firewall de Nivel 7 OpenSource Índice OWASP Proyectos de la OWASP: Desarrollo Documentación oportal VulnXML WAS-XML WebGoat Conceptos de Redes TCP/IP Firewalls Tipos de Firewalls CodeSeeker Funcionalidades actuales Funcionalidades futuras

Más detalles

Certified Professional Offensive and Defensive Security

Certified Professional Offensive and Defensive Security Certified Professional Offensive and Defensive Security Security -CPODS v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral en Seguridad de la información ofrecida por

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

Guía de Pentesting Básico

Guía de Pentesting Básico Guía de Pentesting Básico V1.0 Jul 2014 Ing. Aarón Mizrachi CISA ITILv3F Introducción al Pentesting Definición: Es un tipo de auditoría externa basada en ataques, orientada a ganar acceso en los sistemas

Más detalles

Administración y Seguridad de Sistemas 2016 Ethical Hacking

Administración y Seguridad de Sistemas 2016 Ethical Hacking Administración y Seguridad de Sistemas 2016 Ethical Hacking Carina Indarte Juan Ignacio Larrambebere Guillermo Leopold Agustín Romano Ethical Hacking Introducción Footprinting Doxing Áreas de testeo y

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

=drð^=al`bkqb= qfqri^`flkbp=ab=j^pqbo=

=drð^=al`bkqb= qfqri^`flkbp=ab=j^pqbo= =drð^=al`bkqb= qfqri^`flkbp=ab=j^pqbo= MASTER UNIVERSITARIO EN GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CURSO 2014/2015 ASIGNATURA: DESARROLLO SEGURO Y AUDITORIAS DE SEGURIDAD Nombre del Módulo al que

Más detalles

Curso Práctico: Auditoría de Sistemas Informáticos (On Line / Videolearning)

Curso Práctico: Auditoría de Sistemas Informáticos (On Line / Videolearning) Curso Práctico: Auditoría de Sistemas Informáticos (On Line / Videolearning) Objetivos Conocer cuáles son los fundamentos básicos de la seguridad de sistemas y los principales pasos en un proceso de auditoría.

Más detalles

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

DESARROLLO DE METODOLOGÍA PARA HALLAZGOS DE VULNERABILIDADES EN REDES CORPORATIVAS E INTRUSIONES CONTROLADAS. DIEGO FERNANDO ORTIZ ARISTIZÁBAL

DESARROLLO DE METODOLOGÍA PARA HALLAZGOS DE VULNERABILIDADES EN REDES CORPORATIVAS E INTRUSIONES CONTROLADAS. DIEGO FERNANDO ORTIZ ARISTIZÁBAL DESARROLLO DE METODOLOGÍA PARA HALLAZGOS DE VULNERABILIDADES EN REDES CORPORATIVAS E INTRUSIONES CONTROLADAS. DIEGO FERNANDO ORTIZ ARISTIZÁBAL FUNDACIÓN UNIVERSITARIA LOS LIBERTADORES FACULTAD DE INGENIERÍAS

Más detalles

OWAND 11 13 de septiembre de 2011 Cádiz (España) The OWASP Foundation http://www.owasp.org

OWAND 11 13 de septiembre de 2011 Cádiz (España) The OWASP Foundation http://www.owasp.org : 10 años de aportaciones a la comunidad internacional. OWAND 11 13 de septiembre de 2011 Cádiz (España) Vicente Aguilera Díaz OWASP Spain Chapter Leader CISA, CISSP, CSSLP, PCI ASV, ITILF, CEH I, ECSP

Más detalles

Information Security Network Management Solutions

Information Security Network Management Solutions SM@RT-IT Information Security Network Management Solutions SERVICIO DE CONSULTORIA DE RED INTRODUCCIÓN El servicio de consultoría de red, considera actividades conducentes a obtener una visión holistica

Más detalles

Seguridad Ofensiva en WordPress

Seguridad Ofensiva en WordPress V WordPress Meetup Facultad de Ciencias del Trabajo Seguridad Ofensiva en WordPress EDUARDO SÁNCHEZ Readme.html Eduardo Sánchez (Profesor F.P.) Ingeniero Informático / Master Seguridad TIC Comunidades:

Más detalles

CURSO DE ETHICAL HACKING

CURSO DE ETHICAL HACKING 1. OBJETIVOS DEL CURSO 1.1. OBJETIVO GENERAL CURSO DE ETHICAL HACKING Brindar a los participantes los conocimientos, técnicas y habilidades utilizadas por hackers para realizar ataques informáticos. 1.2.

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

10 años especializados en seguridad y control de riesgos. Visión integral de la seguridad, vinculando a. Sistemas Procesos Personas Instalaciones

10 años especializados en seguridad y control de riesgos. Visión integral de la seguridad, vinculando a. Sistemas Procesos Personas Instalaciones Sobre GCP Global 10 años especializados en seguridad y control de riesgos Visión integral de la seguridad, vinculando a Sistemas Procesos Personas Instalaciones Premio Nacional de Tecnología 2008. Certificados

Más detalles

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales Session Hijacking: en aplicaciones web empresariales OWASP LATAM TOUR 2012 OMAR PALOMINO HUAMANÍ KUNAK CONSULTING SAC omarc320@gmail.com opalomino@kunak.com.pe Telef: 973861650 http://www.el-palomo.com

Más detalles

Manuel Ballester, CISA, CISM

Manuel Ballester, CISA, CISM Conferencia Latin America CACS 2007 #333 Lecciones aprendidas sobre la certificación en el estándar ISO 27001 y su relación con Cobit. Preparada por Manuel Ballester, CISA, CISM Reflexión Inicial Cuanto

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

CURSO POSTGRADO DE GUIÓN DE LARGOMETRAJE DE FICCIÓN (225 Horas)

CURSO POSTGRADO DE GUIÓN DE LARGOMETRAJE DE FICCIÓN (225 Horas) CURSOPOSTGRADODEGUIÓNDELARGOMETRAJEDEFICCIÓN(225Horas) Dirección:LolaSalvador* Equipodocente:MaiteBermúdez,MagdalenaCueto,NachoFaerna,MichelGaztambide, CarlosMolinero. PRESENTACIÓN Asícomoelmúsicoinventayorquestalapartitura,creandoritmosysilencios,asícomoel

Más detalles

Hacking Ético y Defensa en Profundidad "Versión 3.2.2

Hacking Ético y Defensa en Profundidad Versión 3.2.2 DIPLOMADO INTEGRAL EN SEGURIDAD DE LA INFORMACION LLAMADO: Hacking Ético y Defensa en Profundidad "Versión 3.2.2 Dictado por el grupo de Ingenieros de la empresa: DSTEAM Seguridad. INTRODUCCIÓN: La seguridad

Más detalles

Extractos publicados en Diario Oficial de las 19 sociedades anónimas constituidas por la Universidad Central

Extractos publicados en Diario Oficial de las 19 sociedades anónimas constituidas por la Universidad Central Extractos publicados en Diario Oficial de las 19 sociedades anónimas constituidas por la Universidad Central 1. EXTRACTO (cve: 276598) constituyeron sociedad anónima cerrada, cuyos estatutos son: Nombre:

Más detalles

Manual de producto de GFI. Guía del evaluador: cómo obtener el máximo beneficio de una prueba de GFI LanGuard

Manual de producto de GFI. Guía del evaluador: cómo obtener el máximo beneficio de una prueba de GFI LanGuard Manual de producto de GFI Guía del evaluador: cómo obtener el máximo beneficio de una prueba de GFI LanGuard La información y el contenido de este documento se proporcionan sólo para fines informativos

Más detalles

PEEPER PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERIA CARRERA DE INGENIERIA DE SISTEMAS. Mayo 2014. Versión 2.1 OSCAR IVAN LÓPEZ PULIDO

PEEPER PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERIA CARRERA DE INGENIERIA DE SISTEMAS. Mayo 2014. Versión 2.1 OSCAR IVAN LÓPEZ PULIDO PEEPER Implementación del cambio de técnica usada para la actualización de datos en los reportes de esfuerzo, usados como métrica de productividad, progreso y costo de los proyectos, de la compañía de

Más detalles

Seguridad en Aplicaciones Web Control de vulnerabilidades y regulaciones

Seguridad en Aplicaciones Web Control de vulnerabilidades y regulaciones Rational Seguridad en Aplicaciones Web Control de vulnerabilidades y regulaciones Analia Marin. Rational IT marinan@ar.ibm.com Nuestra época actual Vivimos una época compleja respecto a la seguridad de

Más detalles

RESULTADOS ENCUESTA DE DESEMPEÑO INSTITUCIONAL 2004: CASO EMPRESA COLOMBIA TELECOMUNICACIONES S.A. -ESP

RESULTADOS ENCUESTA DE DESEMPEÑO INSTITUCIONAL 2004: CASO EMPRESA COLOMBIA TELECOMUNICACIONES S.A. -ESP RESULTADOS ENCUESTA DE DESEMPEÑO INSTITUCIONAL 2004: CASO EMPRESA COLOMBIA TELECOMUNICACIONES S.A. -ESP DIRPEN Dirección de Regulación, Planeación, Normalización y Estandarización Bogotá, Julio de 2005

Más detalles

ACTIVIDAD TRABAJO COLABORATIVO I CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES

ACTIVIDAD TRABAJO COLABORATIVO I CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES ACTIVIDAD TRABAJO COLABORATIVO I CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES Ing. Mauricio Ramírez Villegas Director del Curso Universidad Nacional Abierta y a Distancia 2014 Temáticas revisadas:

Más detalles

La seguridad 2.0. Citas. Seguridad. La seguridad de información esta caracterizada por la preservación de: Para ello, se requiere de:

La seguridad 2.0. Citas. Seguridad. La seguridad de información esta caracterizada por la preservación de: Para ello, se requiere de: OWASP AppSec Aguascalientes 2011 The OWASP Foundation http://www.owasp.org Citas La seguridad 2.0 Pablo Lugo G - La seguridad no es un producto, es un proceso. Bruce Schneier. Experto en seguridad. - La

Más detalles

Pruebas de Intrusión de Aplicación

Pruebas de Intrusión de Aplicación Pruebas de Intrusión de Aplicación Enero 23, 2013 Esteban O. Farao Information Security Director CISSP, CISA, CRISC, PCIP, PCI-QSA, PCI-ASV Enterprise Risk Management, Inc. Agenda Que significa Pruebas

Más detalles

Metodología online. Organización y gestión de Clínica dental

Metodología online. Organización y gestión de Clínica dental Metodología online Organización y gestión de Clínica dental POR QUÉ NUESTRO CURSO ES DIFERENTE? Por su metodología Online Lo puedes hacer desde cualquier sitio y a cualquier hora Por las herramientas que

Más detalles

Seguridad & Hacking Actualización: Octubre 2013

Seguridad & Hacking Actualización: Octubre 2013 Seguridad & Hacking Actualización: Octubre 2013 Introducción El objetivo principal es compartir información. En un inicio, era seguro. Sin embargo, los accesos remotos e Internet han cambiado esto. Los

Más detalles

Certified Offensive and Defensive SecurityProfessional-CODSP v1.0

Certified Offensive and Defensive SecurityProfessional-CODSP v1.0 Su Aliado Estratégico en Seguridad de la Información Certified Offensive and Defensive SecurityProfessional-CODSP v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral

Más detalles

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas Problemas más comunes y principales contramedidas Seguridad en aplicaciones web Problemas más comunes y principales contramedidas Fernando de la Villa Gerente de Soluciones Area Seguridad Mnemo Evolution

Más detalles

UC I. Rest. Ciclo Tipo UCR

UC I. Rest. Ciclo Tipo UCR (01) - Primer Año Página 1 de 5 (02) - Segundo Año (02) - Segundo Año Página 2 de 5 (03) - Tercer Año (04) - Cuarto Año Página 3 de 5 30501 Practica Odontologica IV 30 No D OB 30 Página 4 de 5 30501 Practica

Más detalles

Christian Martorella - Vicente Díaz Edge-security Fist Conference April 2007

Christian Martorella - Vicente Díaz Edge-security Fist Conference April 2007 Christian Martorella - Vicente Díaz Edge-security Fist Conference April 2007 Indice Introducción a la seguridad de DB Motores de Bases de Datos Ataques internos Ataques externos Conclusiones Introducción

Más detalles

Conocimiento Activo en Calidad de Software

Conocimiento Activo en Calidad de Software Conocimiento Activo en Calidad de Software www.cursotic.cl Conocimiento Activo en Calidad de Software Es una Empresa que nace como consecuencia de un estudio y análisis detallado del Mercado, realizado

Más detalles

Compartiendo Experiencias Sobre la Gestión de Incidentes

Compartiendo Experiencias Sobre la Gestión de Incidentes Compartiendo Experiencias Sobre la Gestión de Incidentes Hernán M. Racciatti / SIClabs hracciatti@siclabs.com www.siclabs.com @my4ng3l Agenda Cinco Historias Para Compartir Cadena de Errores Se Vienen

Más detalles

Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce

Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce Marcos Mateos García Jefe de Proyecto Germinus Grupo Gesfor Índice 1. Introducción 2. Desarrollo

Más detalles

Parches vulnerabilidad MS08-067 en sistemas Windows

Parches vulnerabilidad MS08-067 en sistemas Windows Parches de Seguridad para Windows Server 2003. Windows Server 2003 X86 ESN WindowsServer2003-x86-ESN.exe Windows Server 2003 - Windows XP x64 ENU WindowsServer2003.WindowsXP-x64-ENU.exe Windows Server

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

Especificaciones Técnicas para Ethical Hacking

Especificaciones Técnicas para Ethical Hacking Especificaciones Técnicas para Ethical Hacking OBJETIVO PRINCIPAL El BANCO DEL ESTADO, requiere efectuar un estudio de Ethical Hacking sobre su infraestructura, que permita identificar y corregir las vulnerabilidades

Más detalles

Auditoría de Redes EJERCICIOS MÓDULO II. Carmen R. Cintrón Ferrer, 2010-12, Derechos Reservados

Auditoría de Redes EJERCICIOS MÓDULO II. Carmen R. Cintrón Ferrer, 2010-12, Derechos Reservados Auditoría de Redes EJERCICIOS MÓDULO II 2 Tecnología de Redes Módulo II Ejercicio #3 1. Analice las necesidades de conexión de su (una) organización, acorde con las funciones que respalda 2. Identifique

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Juan Isaias Calderón CISSP, GCFA, ECSA, CEH, MCP jcalderon@trustwave.com SpiderLabs Lámina 1 Dr. Roberto Gómez C. Inseguridad de las aplicaciones Web De 300 sites auditados

Más detalles

Instituto de Investigación Ambiental IIA Perú. Curso de Capacitación ESTUDIO DE IMPACTO AMBIENTAL

Instituto de Investigación Ambiental IIA Perú. Curso de Capacitación ESTUDIO DE IMPACTO AMBIENTAL Curso de Capacitación ESTUDIO DE IMPACTO AMBIENTAL OBJETIVO: El curso capacitación Estudio de Impacto Ambiental tiene como objetivo proveer a los participantes con el conocimiento y las destrezas necesarias

Más detalles

NETWORK VULNERABILITY & ACCESS CONTROL

NETWORK VULNERABILITY & ACCESS CONTROL Control de Acceso a Redes (NAC) Se encuentra a un clic del desastre? Refuerce su red y proteja sus activos con un control férreo de acceso a la red y gestión de vulnerabilidad. Conozca los hechos y obtenga

Más detalles

VULNERABILIDAD DE FIJACIÓN DE SESIONES EN APLICACIONES WEB BY SH4V

VULNERABILIDAD DE FIJACIÓN DE SESIONES EN APLICACIONES WEB BY SH4V VULNERABILIDAD DE FIJACIÓN DE SESIONES EN APLICACIONES WEB BY SH4V INTRODUCCIÓN: Bueno, el motivo que me ha llevado a escribir este white-paper, es que apenas hay información sobre vulnerabilidades en

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Ingeniería Social. Webinar Gratuito. Alonso Eduardo Caballero Quezada. Consultor en Hacking Ético, Informática Forense & GNU/Linux

Ingeniería Social. Webinar Gratuito. Alonso Eduardo Caballero Quezada. Consultor en Hacking Ético, Informática Forense & GNU/Linux Ingeniería Social Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 8 de Enero

Más detalles

INFORME DE VULNERABILIDADES 2º SEMESTRE 2011

INFORME DE VULNERABILIDADES 2º SEMESTRE 2011 INFORME DE VULNERABILIDADES 2º SEMESTRE 2011 2º Semestre 2011 La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo licencia Reconocimiento-No comercial

Más detalles

Nuevas amenazas a las tecnologías móviles

Nuevas amenazas a las tecnologías móviles Nuevas amenazas a las tecnologías móviles Android APK Jong Park 2 de Diciembre de 2015 Contenido Revisión a las aplicaciones móviles Introducción Aplicaciones móviles Importancia Amenazas Propuesta Caso

Más detalles

Inyección SQL. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Inyección SQL. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Inyección SQL Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción Una inyección SQL sucede cuando se inserta o "inyecta" un código SQL "invasor" dentro

Más detalles

CATÁLOGO COLECTIVO DE LA RED ELECTRÓNICA DE LECTURA PÚBLICA VALENCIANA. http://xlpv.cult.gva.es

CATÁLOGO COLECTIVO DE LA RED ELECTRÓNICA DE LECTURA PÚBLICA VALENCIANA. http://xlpv.cult.gva.es CATÁLOGO COLECTIVO DE LA RED ELECTRÓNICA DE LECTURA PÚBLICA VALENCIANA http://xlpv.cult.gva.es QUÉ PERMITE HACER? Consulta del catálogo colectivo de la Red Electrónica de Lectura Pública Valenciana (exlpv).

Más detalles

Manual de uso de la página Web en la zona restringida

Manual de uso de la página Web en la zona restringida Manual de uso de la página Web en la zona restringida 1.- Acceso: Para acceder a la zona restringida de nuestra página es necesario tener el Usuario y contraseña que os hemos remitido por correo electrónico.

Más detalles

CREDENCIALES INTERNACIONALES. ISEC INFORMATION SECURITY Inc.

CREDENCIALES INTERNACIONALES. ISEC INFORMATION SECURITY Inc. CREDENCIALES INTERNACIONALES ISEC INFORMATION SECURITY Inc. 2015 (WWW.ISEC-GLOBAL.COM) CONFIDENCIAL 1 ENTRENAMIENTOS Y DIPLOMADOS PUBLICOS EN 20 PAISES HTTP://WWW.ISEC-GLOBAL.COM/ISEC/CAPACITACIONES.HTML

Más detalles

ANEXO I. Background de algunos de nuestros Profesionales y EXPERIENCIAS DE PROYECTOS

ANEXO I. Background de algunos de nuestros Profesionales y EXPERIENCIAS DE PROYECTOS ANEXO I Background de algunos de nuestros Profesionales y EXPERIENCIAS DE PROYECTOS Martín Vila Sixto Flores ISO LEAD AUDITOR / CISM Alejandro Hernandez BCMP Frano Capeta Marcelo Lau Jorge Zunini CISA,

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015

Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015 Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015 About Me Ingeniero de Sistemas (UNEXPO). Especialista en Auditoria de Sistemas Financieros y Seguridad de Datos. Certificado CEHv8 (EC-COUNCIL).

Más detalles

Proceso de adaptación al ENS en la UPCT

Proceso de adaptación al ENS en la UPCT Proceso de adaptación al ENS en la UPCT Francisco J. Sampalo Lainz Universidad Politécnica de Cartagena Paco.sampalo@si.upct.es Adaptación ENS en la UPCT 1 Programa 1. Consideraciones previas. 2. Cómo

Más detalles