Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce
|
|
- Celia Hidalgo Quintana
- hace 8 años
- Vistas:
Transcripción
1 Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce Marcos Mateos García Jefe de Proyecto Germinus Grupo Gesfor
2 Índice 1. Introducción 2. Desarrollo a. Estado de la seguridad en la Web b. Causas de los problemas de seguridad c. Medidas y acciones d. Integración en el proceso de desarrollo 3. Conclusiones 10 2
3 1 Introducción Descripción de la ponencia En la actualidad muchos de los problemas de seguridad en Internet/Intranets de mayor impacto en la banca, AAPP, telcos y entornos industriales son consecuencia de problemas en desarrollos a medida realizados por empresas cuyos desarrolladores, a veces por falta de formación, otras por falta de concienciación, no diseñan e implementan correctamente seguridad en las aplicaciones. Se van a tratar los siguientes aspectos: Causas de los problemas en el desarrollo Cómo aplicar la seguridad en el proceso de desarrollo Pruebas de seguridad aplicables - Pruebas de intrusión - Análisis de código fuente Integración de estas medidas en el ciclo de vida del desarrollo (SDLC) 3
4 Estado de la seguridad en aplicaciones Web La seguridad es un punto clave en e-business y e-commerce debido a que tratan con activos de mucha importancia, que pueden pertenecer tanto a la entidad como ser propios de los usuarios finales. El impacto de un problema de seguridad puede ser tan grave como acceso o manipulación de información de clientes, incluyendo datos personales (protegidos LOPD) Existen multitud de casos reales de aplicaciones vulnerables Causas habituales de problemas de seguridad La causa principal de problemas de seguridad en aplicaciones Web son fallos en el desarrollo del software Los principales motivos por los que se introducen agujeros de seguridad en la aplicaciones, suelen ser la falta de concienciación de los programadores en cuanto a la seguridad, fundamentalmente provocada por falta de formación en este campo. Utilización de modelos de ciclo de vida / proceso de desarrollo software que ignoran la seguridad 4
5 Medidas de seguridad en el ciclo de vida Diseñar Construir Desplegar Operar Descartar Casos de abuso Requisitos de seguridad Análisis de riesgos Revisión externa Pruebas de seguridad en base al riesgo Análisis estático tico (herramientas) Análisis de riesgos Pruebas de intrusión Problemas de seguridad Requisitos y casos de uso Diseño Planes de prueba Código Resultados de las pruebas Análisis de despliegue 5
6 Costes y retorno de inversión por el arreglo de problemas de seguridad El coste de resolución es mayor cuanto más tarde se detecte la vulnerabilidad El retorno de la inversión es menor cuanto más tarde se solucionan los problemas Retorno de inversión en el arreglo de vulnerabilidades web Diseño Implementación Pruebas Fuente: Tangible ROI through software engineering SBQ, vol 1, nº 2 Fuente: OWASP Testing Guide v2 6
7 Pruebas de intrusión Las pruebas de intrusión o auditorías a nivel de aplicación, tienen la finalidad de explotar errores de programación, la arquitectura de red, protocolos de comunicación o los controles de acceso para simular ataques a una infraestructura de red o una aplicación bajo las mismas circunstancias y capacidades que un acceso lícito habitual. Ventajas: El tiempo de ejecución es relativamente corto Permite encontrar los problemas más graves dentro del tiempo establecido Puede detectar problemas de seguridad en el diseño y relativos a reglas de negocio o contexto especifico de la aplicación Se revisa la aplicación en el estado final (configuración, plataforma, etc.) Inconvenientes: Actividad manual de efectividad variable, depende de la capacidad técnica, el tiempo e incluso, la suerte No es posible examinar todas la posibilidades en un tiempo limitado Riesgo de afectar al servicio (generalmente en producción) Puede ser difícil averiguar la causa exacta del problema encontrado 7
8 Análisis estático de código El análisis estático de código consiste en la revisión automatizada (con herramientas software) del código fuente de las aplicaciones sin llegar a ejecutarlo. El análisis se realiza principalmente en base a patrones o reglas, mediante el análisis del flujo de los datos o métricas para detectar problemas de seguridad en el desarrollo. Ventajas: Exhaustivo: Se revisan todas las posibles entradas/salidas de una aplicación Se puede realizar durante el desarrollo (integración en IDE, análisis global) Se identifica la causa exacta del problema Se puede verificar rápidamente la corrección Inconvenientes: Falsos positivos: Puede indicar la ocurrencia de problemas que no existan revisión manual de los resultados Falsos negativos: No puede detectar ciertos fallos de diseño o reglas de negocio No se puede analizar todos los elementos del despliegue final (configuración del servidor o del entorno) 8
9 Integración de estas pruebas de seguridad Pruebas de intrusión Se deben realizar cuando el código este desarrollado al completo Especialmente útiles en aplicaciones con mucha lógica de negocio específica Realizar en entorno de producción tarde? Adelantar las pruebas de intrusión: entorno de pre-producción Se pueden solucionar antes los problemas detectados No se comprueba la configuración final Se requieren todos los componentes de la aplicación Análisis estático de código Permite revisar grandes aplicaciones en poco tiempo Se puede realizar al final del desarrollo Se puede realizar durante todo el desarrollo (integración en IDE) Análisis diario: se informa de los problemas introducidos el día anterior Se pueden solucionar antes los problemas detectados Establecer mecanismo de comunicación de problemas al equipo de desarrollo Tener en cuenta el tiempo de corrección de problemas de seguridad (se invierte en formación del equipo de desarrollo) 9
10 3 Conclusiones Conclusiones La importancia de la seguridad en las aplicaciones Web aumenta a medida que las empresas trasladan su negocio a Internet Necesidad de proteger el negocio = Necesidad de proteger las aplicaciones No existe una única medida para asegurar las aplicaciones: Las distintas soluciones se complementan Orden recomendado: Análisis estático de código Pruebas de intrusión Cuantas más medidas se apliquen mejor grado de seguridad Revisar el ciclo de vida de desarrollo y buscar la integración de pruebas de seguridad Realizar pruebas de seguridad lo antes posible Reducción del coste de corrección Concienciación y formación en seguridad de los equipos de desarrollo Se requiere un esfuerzo para integrar la seguridad en el desarrollo Comunicación entre revisor y desarrollador Tiempo de corrección de problemas de seguridad 10
11 Fin de la presentación Muchas gracias 11
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesUNIVERSIDAD DE LA RIOJA
PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL
Más detallesESTRUCTURA DEL MODELO ESTÁNDAR DE CONTROL INTERNO
ESTRUCTURA DEL MODELO ESTÁNDAR DE CONTROL INTERNO Estructura del Modelo Estándar de Control Interno. Con fundamento en los artículos 1, 3 y 4 de la Ley 87 de 1993, el Modelo Estándar de Control Interno
Más detalles1. Descripción y objetivos
Pruebas 1 1. Descripción y objetivos Las pruebas son prácticas a realizar en diversos momentos de la vida del sistema de información para verificar: El correcto funcionamiento de los componentes del sistema.
Más detallesPROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS
Objetivo Este subproceso establece las actividades que se realizan para la planeación y control de respaldos y desastres relacionados con los recursos informáticos existentes en el Senado de La República
Más detallesPRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE
PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,
Más detallesCapítulo SIMULACIÓN Y SIMULACRO
Capítulo SIMULACIÓN Y SIMULACRO Capítulo 4 SIMULACIÓN Y SIMULACRO En este capítulo, se enuncian conceptos y consideraciones para la organización de ejercicios prácticos que permitan poner a prueba parcial
Más detallesANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA
ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad
Más detallesARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD
ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesINFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA
INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA con destino a GORE DE ATACAMA ELIMCO SISTEMAS Alfredo Barros Errázuriz 1954
Más detallesPROCEDIMIENTO ESPECÍFICO. Código G056-02 Edición 0
Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. PLANIFICACIÓN...
Más detallesEl Auditor y la organización
Unidad 1 El Auditor y la organización Erika Valenzuela Felix ITI9-3 Hermosillo, Sonora. Agosto 2015 Dir: Agua dura #3 Col. Altares, Cel: 6623161983 Email: valeery.vv@gmail.com Índice Introducción 3 Interpretación
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesMadurez del mercado español
Madurez del mercado español Calidad y seguridad de aplicaciones Ponente Luisa Morales Gómez-Tejedor Directora del Centro de Competencias de Sopra Por qué un estudio sobre la calidad y la seguridad?! Según
Más detallesSEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109
SEGURIDAD INFORMÁTICA Certificado de profesionalidad IFCT0109 SEGURIDAD INFORMÁTICA Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Código: IFCT0109 Nivel de cualificación
Más detallesRecomendaciones relativas a la continuidad del negocio 1
Recomendaciones relativas a la continuidad del negocio 1 La continuidad de un negocio podría definirse como la situación en la que la operativa de una entidad tiene lugar de forma continuada y sin interrupción.
Más detallesPROCEDIMIENTO VERSION: 01 ADMINISTRACIÓN DE HARDWARE, SOFTWARE Y COMUNICACIONES INFORMÁTICAS PROCESO GESTION DE LA EDUCACIÓN
PROCESO GESTION DE LA EDUCACIÓN PAGINA: 1 de 9 1 OBJETIVO Planear, desarrollar y controlar las actividades relacionadas con los recursos físicos de tecnología e informática para brindar el correcto, oportuno
Más detallesEmpresa Financiera Herramientas de SW Servicios
Empresa Financiera Herramientas de SW Servicios Resulta importante mencionar que ésta es una empresa cuya actividad principal está enfocada a satisfacer las necesidades financieras de los clientes, a través
Más detallesCOPPEL MANUAL TÉCNICO MCC DE SISTEMAS PROGRAMACIÓN DESCRIPCIÓN DEL PROCESO DE ARQUITECTURA DE SOFTWARE
COPPEL MANUAL TÉCNICO MCC DE SISTEMAS PROGRAMACIÓN DESCRIPCIÓN DEL PROCESO DE ARQUITECTURA DE SOFTWARE Creado en May/14 Objetivo: Contar con una guía de las actividades que se deben realizar en esta fase,
Más detallesANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS. Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un
ANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un efecto positivo o negativo sobre al menos un objetivo del proyecto, como tiempo,
Más detallesAnuncio de software ZP10-0561 de IBM Europe, Middle East and Africa con fecha 16 de noviembre de 2010
con fecha 16 de noviembre de 2010 IBM Rational AppScan Source Edition e IBM Rational AppScan Build Edition V8.0 ofrecen ahora una función de comprobación de la vulnerabilidad de las aplicaciones mejorada
Más detallesDescribir una metodología sistemática de análisis de los procesos organizacionales y cómo estos pueden ser apoyados por las TI.
Procesos de Negocio Objetivos Describir una metodología sistemática de análisis de los procesos organizacionales y cómo estos pueden ser apoyados por las TI. Identificar y analizar los procesos de negocios,
Más detallesGestión de Configuración del Software
Gestión de Configuración del Software Facultad de Informática, ciencias de la Comunicación y Técnicas Especiales Herramientas y Procesos de Software Gestión de Configuración de SW Cuando se construye software
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesSistemas de Información 12/13 Introducción a la Auditoría y Calidad de Sistemas de Información
12/13 Introducción a la Auditoría y Calidad de Sistemas de Información Departamento Informática e Ingeniería de Sistemas Universidad de Zaragoza (raqueltl@unizar.es) " Guión Introducción: Auditoría en
Más detallesMantenimiento de Sistemas de Información
de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD MSI 1: REGISTRO DE LA PETICIÓN...4 Tarea MSI 1.1: Registro de la Petición... 4 Tarea MSI 1.2: Asignación de la Petición... 5 ACTIVIDAD
Más detallesCapítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN
CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR
Más detallesCAPITULO IV. HERRAMIENTAS DE CÓDIGO ABIERTO
CAPITULO IV. HERRAMIENTAS DE CÓDIGO ABIERTO En la actualidad la mayoría de las grandes empresas cuentan con un sin número de servicios que ofrecen a sus trabajadores y clientes. Muchos de estos servicios
Más detallesDE VIDA PARA EL DESARROLLO DE SISTEMAS
MÉTODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS 1. METODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS CICLO DE VIDA CLÁSICO DEL DESARROLLO DE SISTEMAS. El desarrollo de Sistemas, un proceso
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesT1.- Mantenimiento de sistemas informáticos. TEMA 1 MANTENIMIENTO DE SISTEMAS INFORMÁTICOS. T1.- Mantenimiento de sistemas informáticos.
MANTENIMIENTO DE SISTEMAS INFORMÁTICOS TEMA 1 MANTENIMIENTO DE SISTEMAS INFORMÁTICOS. T1.- Mantenimiento de sistemas 3.- Niveles de mantenimiento de sistemas T1.- Mantenimiento de sistemas 1.1.- Qué es
Más detallesL 320/8 Diario Oficial de la Unión Europea 17.11.2012
L 320/8 Diario Oficial de la Unión Europea 17.11.2012 REGLAMENTO (UE) N o 1078/2012 DE LA COMISIÓN de 16 de noviembre de 2012 sobre un método común de seguridad en materia de vigilancia que deberán aplicar
Más detallesResumen del trabajo sobre DNSSEC
Resumen del trabajo sobre Contenido 1. -...2 1.1. - Definición...2 1.2. - Seguridad basada en cifrado...2 1.3. - Cadenas de confianza...3 1.4. - Confianzas...4 1.5. - Islas de confianza...4 2. - Conclusiones...5
Más detallesObjetivos y Competencias
Objetivos y Competencias 2.1 Objetivos del ciclo formativo a) Ajustar la configuración lógica del sistema analizando las necesidades y criterios establecidos para configurar y explotar sistemas informáticos.
Más detallesIAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)
IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) Introducción 1. Como se indica en la Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", los objetivos globales
Más detallesEl cuadro de mando contiene indicadores e informes que deben actualizarse a partir de la información de su sistema informático.
Barcelona: +34 93155688 www.irisview.com info@irisview.com IRIs View Carga de la información desde Access y Excel El cuadro de mando contiene indicadores e informes que deben actualizarse a partir de la
Más detallesIngeniería de Software. Pruebas
Ingeniería de Software Pruebas Niveles de prueba Pruebas unitarias Niveles Pruebas de integración Pruebas de sistema Pruebas de aceptación Alpha Beta Niveles de pruebas Pruebas unitarias Se enfocan en
Más detallesPELIGRO. Software en construcción! Maximiliano Alonzo! malonzo@tib.com.uy. Buenas Prácticas para la construcción de software seguro.
PELIGRO Software en construcción Buenas Prácticas para la construcción de software seguro. Maximiliano Alonzo malonzo@tib.com.uy Quién soy? Especialista en Seguridad Informática en CERTuy. Consultor en
Más detallesACTIVIDAD TRABAJO COLABORATIVO II CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES
ACTIVIDAD TRABAJO COLABORATIVO II CURSO DE ESPECIALIZACION SEGURIDAD EN APLICACIONES MOVILES Ing. Mauricio Ramírez Villegas Director del Curso Universidad Nacional Abierta y a Distancia 2014 Temáticas
Más detallesXITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO
Auditorias de seguridad en TI Presentación del servicio Agenda: 1. Qué es una auditoria de Seguridad? 2. Metodología de Implementación 3. Ejemplos de entregables 4. Porqué es necesaria? 5. Beneficios Qué
Más detallesTécnicas de prueba 1. FUNDAMENTOS DE LA PRUEBA DEL SOFTWARE
Técnicas de prueba El desarrollo de Sistemas de software implica la realización de una serie de actividades predispuestas a incorporar errores (en la etapa de definición de requerimientos, de diseño, de
Más detallesTópicos Avanzados de Análisis y Diseño INGENIERIA DE SOFTWARE ING. MA. MARGARITA LABASTIDA ROLDÁN
Tópicos Avanzados de Análisis y Diseño INGENIERIA DE SOFTWARE ING. MA. MARGARITA LABASTIDA ROLDÁN Proceso de Negocio (Business Process) Conjunto estructurado, medible de actividades para producir un producto.
Más detallesEl Control Interno en la Administración Pública. Procuraduría General de la República
El Control Interno en la Administración Pública Procuraduría General de la República Objetivo General Que los Servidores Públicos de la Procuraduría General de la República, reconozcan la importancia y
Más detallesPLAN DE AUDITORIAS 2015
PLAN DE AUDITORIAS 2015 JEFE OFICINA DE CONTROL INTERNO: MARGARITA DEL CASTILLO YANCES ASESOR DE CONTROL INTERNO: ENRIQUE C. ARAUJO GALÉ PROFESIONAL DE APOYO: LOURDES TRIVIÑOS FUENTES ARIEL MARTINEZ GUIDO
Más detallesVulnerabilidades de los sistemas informáticos
Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel
Más detallesSCT3000 95. Software para la calibración de transductores de fuerza. Versión 3.5. Microtest S.A. microtes@arrakis.es
SCT3000 95 Versión 3.5 Software para la calibración de transductores de fuerza. Microtest S.A. microtes@arrakis.es Introducción El programa SCT3000 95, es un sistema diseñado para la calibración automática
Más detallesConocimiento Activo en Calidad de Software
Conocimiento Activo en Calidad de Software www.cursotic.cl Conocimiento Activo en Calidad de Software Es una Empresa que nace como consecuencia de un estudio y análisis detallado del Mercado, realizado
Más detallesSSTQB. Nivel Fundamentos. Examen ejemplo. Programa de estudios 2010
SSTQB Nivel Fundamentos Examen ejemplo Página 1 de 12 Fecha publicación: 28 - octubre - 2015 Índice Preguntas... 3 Respuestas... 12 Página 2 de 12 Fecha publicación: 28 - octubre - 2015 Preguntas 1 2 Una
Más detallesDesarrollo de un Sistema de Gestión de Proyectos mediante el framework GWT
Proyecto de Fin de Carrera Universidad Politécnica de Valencia Escuela Técnica Superior de Informática Desarrollo de un Sistema de Gestión de Proyectos mediante el framework GWT Realizado por: Dirigido
Más detalles6.4 ESTRATEGIAS DE PRUEBA
Prueba del sistema Prueba de validación Prueba de integración Prueba de Unidad Código Diseño Requisitos Ingeniería del Sistema Las pruebas del software aplican similar estrategia moviéndonos de adentro
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesINGENIERÍA DEL SOFTWARE I Tema 1. Introducción a la Ingeniería del Software. Univ. Cantabria Fac. de Ciencias Francisco Ruiz
INGENIERÍA DEL SOFTWARE I Tema 1 Introducción a la Ingeniería del Software Univ. Cantabria Fac. de Ciencias Francisco Ruiz Objetivos Comprender qué es la Ingeniería del Software y su necesidad. Situarla
Más detallesCONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO Satisfacer los requerimientos que hagan los usuarios para
Más detallesGESTION OPERATIVA. Niveles de gestión
GESTION OPERATIVA La gestión deja de ser una tarea aislada para constituirse en una herramienta que sirve para ejecutar las acciones necesarias que permitan ordenar, disponer y organizar los recursos de
Más detallesLISTA DE MEJORAS PARA MEJORAR LOS RESULTADOS DE LA EVALUACIÓN
LISTA DE MEJORAS PARA MEJORAR LOS RESULTADOS DE LA EVALUACIÓN Después de realizar la evaluación inicial se han detectado deficiencias en los procesos de reutilización del código, por lo que se van a integrar
Más detallesMARCO DE REFERENCIA SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO
MARCO DE REFERENCIA PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO SISTEMAS DE INFORMACIÓN PLANEACIÓN Y GESTIÓN DE SIS-INF 80. Definición Estratégica de los SIS-INF Las entidades deben, en la Arquitectura
Más detallesNORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN
Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detallesGLOSARIO DE TÉRMINOS
GLOSARIO DE TÉRMINOS A Alcance de la auditoría. El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditores externos. Profesionales facultados
Más detallesPRUEBAS, CALIDAD Y MANTENIMIENTO DEL SOFTWARE
VI PRUEBAS, CALIDAD Y MANTENIMIENTO DEL SOFTWARE 6.1 PRUEBAS DEL SOFTWARE Una vez generado el código el software debe ser probado para descubrir el máximo de errores posibles antes de su entrega al cliente.
Más detallesEste dominio consta de 7 procesos que se describen a continuación.
Dominio: Adquirir e Implementar. Este dominio consta de 7 procesos que se describen a continuación. AI1 Identificar soluciones automatizadas La necesidad de una nueva aplicación o función requiere de análisis
Más detallesCONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL
I. Datos Generales de la Calificación CTEL0449.01 Propósito Título Operación y mantenimiento de sistemas de conmutación por paquetes en redes de área amplia (WAN) Ofertar al sector un referente que permita
Más detallesNORMA DE AUDITORIA 720 NA 720 OTRA INFORMACIÓN EN DOCUMENTOS QUE CONTIENEN ESTADOS FINANCIEROS AUDITADOS CONTENIDO
NORMA DE AUDITORIA 720 NA 720 OTRA INFORMACIÓN EN DOCUMENTOS QUE CONTIENEN ESTADOS FINANCIEROS AUDITADOS CONTENIDO Párrafo Introducción 1 8 Acceso a otra información 9 Consideración de otra información
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN SECRETARÍA DE ESTADO DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN SECRETARÍA DE ESTADO DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN
Más detallesPROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD. PROCESO EVALUACIÓN Y CONTROL PÁGINA 1 de 9
PROCESO EVALUACIÓN Y CONTROL PÁGINA 1 de 9 1. OBJETO Definir la metodología para la realización de las auditorías internas del sistema de gestión de calidad con el fin de determinar la conformidad con
Más detalles2. La Planeación Estratégica y la Gestión Basada en Resultados
2. La Planeación Estratégica y la Gestión Basada en Resultados 2.1a Análisis estratégico (FODA) Dr. José Luis Esparza A. Que es un Plan Estratégico? Es el plan que analiza la posición actual, el objetivo
Más detallesServicios TIC. Propuesta educación Universidad
Servicios TIC Propuesta educación Universidad 1. LMS - Campus Virtual Somos una empresa formada por un equipo especializado en la integración de las tecnologías de la información y la comunicación en entornos
Más detalles2. Despliega el cableado de una red local interpretando especificaciones y aplicando técnicas de montaje.
Módulo Profesional: Redes locales. Código: 0225. Resultados de aprendizaje y criterios de evaluación. 1. Reconoce la estructura de redes locales cableadas analizando las características de entornos de
Más detallesESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO
ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO OBJETO. El presente Documento de Especificaciones Técnicas tiene por objeto establecer los requisitos que debe cumplir el proceso de Atención
Más detallesCiclo de vida del software
Ciclo de vida del software Definición El proceso que se sigue para construir, entregar y hacer evolucionar el software, desde la concepción de una idea hasta la entrega y el retiro del sistema. Confiable,
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesAuditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.
Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de
Más detallesPruebas de Intrusión de Aplicación
Pruebas de Intrusión de Aplicación Enero 23, 2013 Esteban O. Farao Information Security Director CISSP, CISA, CRISC, PCIP, PCI-QSA, PCI-ASV Enterprise Risk Management, Inc. Agenda Que significa Pruebas
Más detallesPROCEDIMIENTO DE ACCIONES PREVENTIVAS
ELABORÓ: REVISÓ: APROBÓ: JEFE CONTÍNUA JEFE CONTÍNUA SUBDIRECCION DE PLANEACION Fecha de Aprobación: DD: 27 MM: 09 AAAA: 2012 Página 2 de 5 1. OBJETIVO Prevenir la ocurrencia de situaciones que generan
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesMETODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.
METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III,
Más detallesNORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD
NORMA DE ADMINISTRACIÓN DE RESOLUCIÓN MINISTERIAL: XXXXXX NORMA DE ADMINISTRACIÓN DE Historial de Cambios Edición Fecha Autor Cambios realizados 2 1. Objetivo Administrar y dar solución de manera efectiva
Más detallesOMG UML 2.0 Marcando un hito en el desarrollo de software Resumen Keywords Historia del Surgimiento
OMG UML 2.0 Marcando un hito en el desarrollo de software Resumen A través de este artículo se ofrece un panorama amplio y de alto nivel sobre la especificación y los diferentes diagramas del Lenguaje
Más detallesLa gestión del supervisor español en relación con la formación de precios y la provisión de liquidez en los mercados
Jornadas sobre la modernización de los mercados y los retos de su supervisión La Antigua 2011 La gestión del supervisor español en relación con la formación de precios y la provisión de liquidez en los
Más detallesPROCEDIMIENTO ESPECÍFICO. Código G114-01 Edición 0
Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. PROYECTO
Más detallesArquitectura de sistema de alta disponibilidad
Mysql Introducción MySQL Cluster esta diseñado para tener una arquitectura distribuida de nodos sin punto único de fallo. MySQL Cluster consiste en 3 tipos de nodos: 1. Nodos de almacenamiento, son los
Más detallesComunicación entre procesos
Comunicación entre procesos Patrones de comunicación Comunicación cliente-servidor En la que los mensajes de petición y respuesta proporcionan la base para la invocación remota de métodos o de procedimientos.
Más detallesServicios de Seguridad de la Información
Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos
Más detallesLA REVOLUCIÓN DE LOS SISTEMAS DE INFORMACIÓN (S.I.) Introducción PORQUÉ SISTEMAS DE INFORMACIÓN? El Competitivo Entorno de los Negocios
LA REVOLUCIÓN DE LOS SISTEMAS DE INFORMACIÓN (S.I.) Introducción Tanto empresas grandes como pequeñas usan Sistemas de Información y Redes para realizar una mayor proporción de sus actividades electrónicamente,
Más detallesSistema de Mensajería Empresarial para generación Masiva de DTE
Sistema de Mensajería Empresarial para generación Masiva de DTE TIPO DE DOCUMENTO: OFERTA TÉCNICA Y COMERCIAL VERSIÓN 1.0, 7 de Mayo de 2008 CONTENIDO 1 INTRODUCCIÓN 4 2 DESCRIPCIÓN DE ARQUITECTURA DE
Más detallesPROCEDIMIENTO DE MANTENIMIENTO PREVENTIVO Y CORRECTIVO PROCESO GESTIÓN TECNOLÓGICA
Página: 1 de 6 1. OBJETIVO Definir las acciones para brindar soporte de mantenimiento preventivo y correctivo de la plataforma tecnológica (equipos, software y redes de comunicación) de la Fundación FES,
Más detallesPropuesta de Proyecto de Trabajo de Grado. Tema: Herramienta de Soporte a la Ingeniería de Requerimientos para Aplicaciones Web
Propuesta de Proyecto de Trabajo de Grado Tema: Herramienta de Soporte a la Ingeniería de Requerimientos para Aplicaciones Web Alumnos: Daniel Eduardo Rivas López (erivas17@gmail.com) o C.I: 3.211.767
Más detalles6 Anexos: 6.1 Definición de Rup:
6 Anexos: 6.1 Definición de Rup: Es un producto del proceso de ingeniería de software que proporciona un enfoque disciplinado para asignar tareas y responsabilidades dentro de una organización del desarrollo.
Más detallesMarco Normativo de IT
Marco Normativo de IT PC0901 - Proceso de control de cambios en software de aplicación provisto por Organismos Gobierno de la Ciudad Autónoma de Buenos Aires PC0901 - Proceso de control de cambios en software
Más detallesProtección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas
Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence
Más detallesPLAN DE DESARROLLO PERSONAL GESTIÓN POR COMPETENCIAS DEL PAS DE LA UCA
PLAN DE DESARROLLO PERSONAL GESTIÓN POR COMPETENCIAS DEL PAS DE LA UCA Diciembre, 2009 ÍNDICE Introducción... 3 1. Plan de Desarrollo Personal: Análisis Jefe / Empleado... 3 2. Plan de Desarrollo Personal:
Más detallesCómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.
El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones
Más detallesGestión de Datos en Sistemas de Información Web Programación Distribuida y en Tiempo Real. csv: 130207272481137020835624
ANEXO Curso de Adaptación para Titulados, información adicional El título propio que se propone persigue, como objetivo fundamental, el facilitar y garantizar la oferta de unos contenidos específicos que
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesProcedimiento de Sistemas de Información
Procedimiento de Sistemas de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN VIEMBRE DE 2009 PR-DCTYP-08 Índice. 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 4 3. ALCANCE.... 4 4. MARCO LEGAL.... 4
Más detallesPLAN DE AUDITORIA. La auditoria no busca culpables, busca la mejora de los procesos y servicios de la Entidad.
INTRODUCCION PLAN DE AUDITORIA CONCEPTOS 1. PLAN ANUAL DE AUDITORIA Es el documento de trabajo detallado que se constituye en la guía para la ejecución de los programas de auditoria interna a desarrollar,
Más detalles