Armas del CISO Actual. OWASP Venezuela OWASP Uruguay

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Armas del CISO Actual. OWASP Venezuela OWASP Uruguay"

Transcripción

1 Armas del CISO Actual Edgar Salazar Mateo Martínez OWASP Venezuela OWASP Uruguay

2 OWASP

3 14 Años de servicio a la comunidad

4 170 Proyectos Activos

5 200 Capítulos Activos

6 43,000+ Participantes en listas de correos

7 90+ Citaciones de gobiernos e industrias!

8 1 de cada 8 sitios web tiene Vulnerabilidades Críticas

9 Las Aplicaciones Crecen El software cada vez más grande y complejo o Windows ~ 15 millones de líneas de código en Windows 95 ~ 18 millones de líneas de código en Windows 98 ~ 40 millones de líneas de código en Windows XP ~ 50 millones de líneas de código en Windows Vista ~ 80 millones de líneas de código en Windows 7 o Linux ~ 17 million lines of code in Redhat 6 ~ 30 million lines of code in Redhat 7 ~ 60 million lines of code in Debian 2 ~ 100 million lines of code in Debian 3 ~ 300 million lines of code in Debian 4 o Mac OS X ~ 90 million lines of code in Mac OS X 10.4

10 Excusas El cliente no especificó requerimientos de seguridad No hay presupuesto asignado para seguridad en el desarrollo Tenemos un proceso de auditoría fuerte que encuentra fallas El fin del proyecto está cerca y no podemos modificar el código El equipo de Testing verifica todo antes de realizar las entregas Nuestro software está basado en un framework Open Source Tenemos un Firewall y utilizamos SSL. Los atacantes solo están interesados en aplicaciones financieras

11 o Generar cultura de Seguridad o Mejores Decisiones si están entrenados o Roles y Responsabilidades en Software Security

12 Es un tema de prioridades Funcionalidades Performance Usabilidad Uptime Mantenimiento Seguridad Seguridad == nivel 6 de prioridad Encuesta realizada a +200 programadores por John Wilander

13 Requerimientos regulatorios Ejemplo: PCI DSS Payment Card Industry Data Security Standard SDLC 6.3 Desarrollar las aplicaciones (internas y externas incluyendo web) en cumplimiento con PCI DSS y basado en las buenas prácticas de la industria. Incorporar seguridad de la información en el ciclo de vida del desarrollo de software (SDLC)

14 OWASP Top 10 (2013 Edition)

15 OWASP Secure Coding Practices Quick Reference Guide https://www.owasp.org/index.php/owasp_secure_coding_practices_- _Quick_Reference_Guide

16 Quick Reference Guide Lista de Verificación de Prácticas de Codificación Segura Validación de entradas Codificación de salidas Administración de autenticación y contraseñas Administración de sesiones Control de Acceso Prácticas Critpográficas Manejo de errores y Logs Protección de datos Seguridad en las comunicaciones Configuración de los sistemas Seguridad de Base de Datos Manejo de Archivos Manejo de Memoria Practicas Generales para la Codificación

17 OpenSAMM

18 Diseño Seguro Estándares de desarrollo Estándares basados en ASVS Security Architecture Documentation Authentication Session Management Access Control ASVS Input/Output validation Cryptography Error Handling & Logging Data Protection HTTP Security Security Configuration

19 The OWASP Testing Framework Inspecciones y revisiones manuales Modelado de Amenazas Revisión de Código Fuente Penetration Testing

20 OWASP Testing Guide Alineada a otras guías de OWASP Desarrollo Seguro Revisión de Código OpenSAMM Metodología de testing aceptada por el mercado Relevante Respetable Detallada

21 Cheatsheets https://www.owasp.org/index.php/owasp_cheat_sheet_series Auth Sesión Acceso Input Output Cross Comm Log Uploads

22 Guía para CISOs Parte 1: Razones para Invertir en Seguridad de Aplicaciones Parte 2: Criterios para gestionar riesgos Parte 3: Programa de Seguridad en Aplicaciones Parte 4: Métricas de Gestión de Riesgos e Inversiones

23 Estrategia: Puntos Clave:

24 Guía para CISOs

25 Encuesta para CISOs 2013

26 Edgar Salazar Mateo Martínez OWASP Venezuela OWASP Uruguay

Seguridad en el desarrollo

Seguridad en el desarrollo OWASP Latam Tour Venezuela 2013 Seguridad en el desarrollo Mateo Martínez, CISSP mateo.martinez@owasp.org OWASP Uruguay Comité Global de Industrias de OWASP Agenda Agenda Introducción Seguridad en el ciclo

Más detalles

Herramientas de OWASP para Tes3ng de Seguridad. Mateo Mar8nez Voluntario Capítulo OWASP Uruguay h"ps://www.owasp.org/index.

Herramientas de OWASP para Tes3ng de Seguridad. Mateo Mar8nez Voluntario Capítulo OWASP Uruguay hps://www.owasp.org/index. Herramientas de OWASP para Tes3ng de Seguridad Mateo Mar8nez Voluntario Capítulo OWASP Uruguay h"ps://www.owasp.org/index.php/uruguay Una cues3ón de prioridades Prioridades de los programadores: * Funcionalidades

Más detalles

La necesidad de construir software seguro

La necesidad de construir software seguro La necesidad de construir software seguro Vicente Aguilera Díaz vicente.aguilera@owasp.org OWASP Spain Chapter Leader Socio de Internet Security Auditors IBM Software Summit #START013. Madrid 06/11/2012.

Más detalles

Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago

Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago Organiza: Patrocina: Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago Abril 2011 Colabora: c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278

Más detalles

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation y el cumplimiento normativo: PCI-DSS y PA-DSS 13/09/2011 Juan Jose Rider Jimenez member Spain Chapter Juan.Rider@owasp.org Copyright The Foundation Permission is granted to copy, distribute and/or modify

Más detalles

Usando OWASP para cumplir PCI-DSS

Usando OWASP para cumplir PCI-DSS AppSec Latam 11 The OWASP Foundation Usando OWASP para cumplir PCI-DSS Mauro Flores OWASP Global Industry Committee OWASP PCI Project OWASP Uruguay Chapter Co-Leader Mauro.flores@owasp.org @mauro_fcib

Más detalles

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Web Application: Security Tips Hernán M. Racciatti hracciatti@siclabs.com SICLABS Acerca del Autor Analista

Más detalles

PCI DSS: Data Security Standard. Noviembre 09 Evento Política digital

PCI DSS: Data Security Standard. Noviembre 09 Evento Política digital PCI DSS: Data Security Standard Noviembre 09 Evento Política digital Fraude un problema permanente Sofisticación Falsificación Robo de datos (tarjeta no presente) Velocidad Volumen Fraude en cajeros Fraudes

Más detalles

OWAND 11 13 de septiembre de 2011 Cádiz (España) The OWASP Foundation http://www.owasp.org

OWAND 11 13 de septiembre de 2011 Cádiz (España) The OWASP Foundation http://www.owasp.org : 10 años de aportaciones a la comunidad internacional. OWAND 11 13 de septiembre de 2011 Cádiz (España) Vicente Aguilera Díaz OWASP Spain Chapter Leader CISA, CISSP, CSSLP, PCI ASV, ITILF, CEH I, ECSP

Más detalles

OWASP Day Costa Rica

OWASP Day Costa Rica OWASP Day Costa Rica En contra de la delincuencia Cibernética Michael Hidalgo michael.hidalgo@owasp.org Chapter Leader OWASP Costa Rica Colaborador OWASP O2 Platform Project Acerca de Mi Software Developer

Más detalles

Desarrollo de software seguro: una visión con OpenSAMM

Desarrollo de software seguro: una visión con OpenSAMM C. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 C. Arequipa, 1 I E-28043 Madrid (Spain) I Tel: +34 91 763 40 47 I Fax: +34 91 382 03 96 info@isecauditors.com

Más detalles

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl no asume responsabilidades o garantías sobre el contenido y uso de ésta documentación y declina cualquier garantía explicita o implícita de comercialidad

Más detalles

Desarrollo Seguro: Principios y Buenas Prácticas. Por Cesar R. Cuenca Díaz @ccuencad

Desarrollo Seguro: Principios y Buenas Prácticas. Por Cesar R. Cuenca Díaz @ccuencad Desarrollo Seguro: Principios y Buenas Prácticas Por Cesar R. Cuenca Díaz @ccuencad Acerca del Expositor Licenciado en Informática UMSA, ACE AccessData Examiner, CISO Certified Information Security Officer.

Más detalles

Programación de código seguro

Programación de código seguro Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo

Más detalles

SEGURIDAD ataques riesgos tipos de amenazas

SEGURIDAD ataques riesgos tipos de amenazas SEGURIDAD La seguridad en sistemas es un área de las Ciencias de la Computación que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro

Más detalles

Seguridad en Bases de Datos

Seguridad en Bases de Datos OWASP LatamTour Chile 2012 Seguridad en Bases de Datos Mateo Martínez mateo.martinez@owasp.org.. About Me Mateo Martínez mateo.martinez@mcafee.com CISSP, ITIL, MCP Preventa en McAfee (Argentina) Miembro

Más detalles

Tendencias en Seguridad y Control en Aplicaciones

Tendencias en Seguridad y Control en Aplicaciones Tendencias en Seguridad y Control en Aplicaciones Lucio Augusto Molina Focazzio Certified information Systems Auditor - CISA Certified Information Security Manager CISM CobiT Accredited Trainer Consultor

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

Desarrollo Seguro usando OWASP

Desarrollo Seguro usando OWASP Desarrollo Seguro usando Fabio Cerullo Comité Global de Educación Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Más detalles

Testing. Ingeniería del Software I. Ejecución del testing. Cómo se hace testing? Cómo seleccionar datos Datos de producción

Testing. Ingeniería del Software I. Ejecución del testing. Cómo se hace testing? Cómo seleccionar datos Datos de producción Ingeniería del Software I Testing Martina Marré martina@dc.uba.ar Testing Es el proceso de ejecutar un producto para verificar que satisface los requerimientos o para identificar diferencias entre el comportamiento

Más detalles

Iniciativas Existentes El modelo SAMM Aplicación de SAMM Niveles y Actividades SAMM SAMM en el mundo real Proyecto OpenSAMM AppSec Latam 2011

Iniciativas Existentes El modelo SAMM Aplicación de SAMM Niveles y Actividades SAMM SAMM en el mundo real Proyecto OpenSAMM AppSec Latam 2011 OpenSAMM Modelo de Maduración de Aseguramiento de Software Fabio Cerullo Irlanda Comité Global de Educación 9 de Agosto 2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify

Más detalles

OWASP Testing Guide. John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru

OWASP Testing Guide. John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru OWASP Testing Guide John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru The OWASP Foundation http://www.owasp.org Derechos de Autor

Más detalles

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web

Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay hsantiso@claro.com.ar Introducción El problema

Más detalles

Cómo desarrollar aplicaciones más seguras?

Cómo desarrollar aplicaciones más seguras? Cómo desarrollar aplicaciones más seguras? Presentada por: Julio César Ardita CTO CYBSEC Marcelo Stock Jefe de Seguridad Informática Banco Columbia Aclaración: Todos los derechos reservados. No está permitida

Más detalles

PROGRAMA FORMATIVO: SEGURIDAD EN SISTEMAS INFORMÁTICOS CON IBM

PROGRAMA FORMATIVO: SEGURIDAD EN SISTEMAS INFORMÁTICOS CON IBM PROGRAMA FORMATIVO: SEGURIDAD EN SISTEMAS INFORMÁTICOS CON IBM Noviembre 2015 1 DATOS GENERALES DEL CURSO 1. Familia Profesional: INFORMÁTICA Y COMUNICACIONES (IFC) Área Profesional: SISTEMAS Y TELEMÁTICA

Más detalles

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com New Generation Secure your Network Totally Reloaded www.hauri-la.com Menos Trabajo + Protección Completa Más Características Simplifica tus tareas administrativas a través del Administrador del Historial

Más detalles

SERVICE LEVEL AGREEMENT

SERVICE LEVEL AGREEMENT Soluciones de Tecnología Pensadas para su Negocio NETWORK SECURITY OPERATIONS CENTER SERVICE LEVEL AGREEMENT Versión 1.3 2 de 11 ACUERDO DEL NIVEL DE SERVICIO SERVICIO DE SEGURIDAD GESTIONADA Versión 1.3

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

Seguridad en el Contexto de la Calidad del Software

Seguridad en el Contexto de la Calidad del Software Seguridad en el Contexto de la Calidad del Software Mario Céspedes S. IBM Software CTP mcespede@cl.ibm.com Las demandas para Calidad hoy Entregar más calidad y alto desempeño en menos tiempo Disminuir

Más detalles

Penetration Testing. Conceptos generales y situación actual. PwC

Penetration Testing. Conceptos generales y situación actual. PwC Penetration Testing Conceptos generales y situación actual A/S Rodrigo Guirado, CISA, CGEIT Senior Manager Advisory Services rodrigo.guirado@uy.pwc.com PwC Agenda / Contenido Motivación Definiciones Generales

Más detalles

Desarrollo Seguro usando OWASP

Desarrollo Seguro usando OWASP Desarrollo Seguro usando Fabio Cerullo Comité Global de Educación Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The http://www.owasp.org

Más detalles

Ciclo de validación de una aplicación informática

Ciclo de validación de una aplicación informática Ciclo de validación de una aplicación informática Memoria del proyecto de Ing. Técnica Teleco. Esp. Telemática Autor: Raúl Villegas Beltrán Tutor: Ricard Burriel Enero 2013 ÍNDICE 1- Introducción 2- Qué

Más detalles

Seguridad en el Ciclo de Desarrollo

Seguridad en el Ciclo de Desarrollo First OWASP DAY Chile 2010 The OWASP Foundation http://www.owasp.org Seguridad en el Ciclo de Desarrollo Alejandro Johannes M. Business Advisor Vice president Capítulo Chileno OWASP ajohannesm@gmail.com

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

INFORMACIÓN ENVIADA Y CERTIFICACIONES DE AZURE. pandasecurity.com

INFORMACIÓN ENVIADA Y CERTIFICACIONES DE AZURE. pandasecurity.com INFORMACIÓN ENVIADA Y CERTIFICACIONES DE AZURE pandasecurity.com 2 01 Qué información es enviada/guardada en la nube? 04 Qué seguridad tiene la plataforma donde se alojan los datos? 02 Se comparte algún

Más detalles

Métricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.

Métricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A. Métricas para la Seguridad de las Aplicaciones MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A. Expositor About Me MAI. Andrés Casas, Director de Gestión de Riesgo de

Más detalles

Curso de desarrollo de Aplicaciones Web Seguras

Curso de desarrollo de Aplicaciones Web Seguras Curso de desarrollo de Aplicaciones Web Seguras Información del Curso Instructores: Gonzalo Médez + Diego Ledesma Duración del curso: 18 horas aula A quién está dirigido? Este curso introductorio está

Más detalles

Symantec Endpoint Protection 12.1

Symantec Endpoint Protection 12.1 Seguridad inigualable. Rendimiento increíble. Diseñado para entornos virtuales. Hoja de datos: Seguridad de endpoints Descripción general Basado en la tecnología de Symantec Insight, Symantec Endpoint

Más detalles

PLANEACIÓN ESTRATÉGICA. Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA

PLANEACIÓN ESTRATÉGICA. Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA PLANEACIÓN ESTRATÉGICA DE LA SEGURIDAD DE LA INFORMACIÓN Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA AGENDA Una mirada actual Regulaciones Requerimientos de Gestión de Riesgo Requerimientos PCI Payment

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago

PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago PCI: La nueva Estrategia de Seguridad de las Compañí ñías de Tarjetas de Pago Lic. Pablo Milano (PCI Qualified Security Asessor) CYBSEC S.A Security Systems Temario Casos reales de robo de información

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

Introducción al análisis automático de la seguridad de aplicaciones web

Introducción al análisis automático de la seguridad de aplicaciones web Introducción al análisis automático de la seguridad de aplicaciones web 22 de octubre de 2012 1 Contenidos Vulnerabilidades de seguridad en aplicaciones web Herramientas para el análisis de vulnerabilidades

Más detalles

Álvaro Rodríguez @alvrod PayTrue

Álvaro Rodríguez @alvrod PayTrue Álvaro Rodríguez @alvrod PayTrue Desarrolla soluciones para la industria de medios de pago (PCI) desde 2003 Sistemas integrales de procesamiento de tarjetas (crédito, débito, prepago) Sistemas de prevención

Más detalles

documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM

documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM Security Information and Event Management (SIEM) está diseñado para brindar monitoreo de TI continuo, inteligencia

Más detalles

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN i Security PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN 0412 3328072-0414 1328072-0414 3209088 i Security INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA (CSI00N1) 1. Principios de seguridad

Más detalles

Pruebas de Penetración contra Aplicaciones Web

Pruebas de Penetración contra Aplicaciones Web Pruebas de Penetración contra Aplicaciones Web Alonso Eduardo Caballero Quezada Consultor en Hacking Ético e Informática Forense e-mail: ReYDeS@gmail.com Sitio Web: www.reydes.com Quién Soy? Alonso Eduardo

Más detalles

Prof. Juan José Díaz Nerio. Foro de Tecnología : Gestión de la Calidad del Software. Domingo 16 Noviembre 2014

Prof. Juan José Díaz Nerio. Foro de Tecnología : Gestión de la Calidad del Software. Domingo 16 Noviembre 2014 Prof. Juan José Díaz Nerio. Foro de Tecnología : Gestión de la Calidad del Software. Domingo 16 Noviembre 2014 Agenda La Crisis del Software Conceptos asociados a Calidad Atributos de Calidad Funciones

Más detalles

Webinar Gratuito OWASP WebScarab

Webinar Gratuito OWASP WebScarab Webinar Gratuito OWASP WebScarab Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 30 de Enero

Más detalles

METODOLOGÍA DE DESARROLLO DE MECANISMOS DE FINANCIAMIENTO VERDES

METODOLOGÍA DE DESARROLLO DE MECANISMOS DE FINANCIAMIENTO VERDES METODOLOGÍA DE DESARROLLO DE MECANISMOS DE FINANCIAMIENTO VERDES CICLO TÍPICO DE DESARROLLO DE PROGRAMAS O MECANISMOS DE FINANCIAMIENTO VERDES Origen / Idea Estudio de mercado Diseño Establecimiento de

Más detalles

Curso: (30227) Seguridad Informática

Curso: (30227) Seguridad Informática Curso: (30227) Seguridad Informática Fernando Tricas García Departamento de Informática e Ingeniería de Sistemas Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/ ftricas@unizar.es

Más detalles

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web Felipe Zipitría OWASP/ GSI- Facultad de Ingeniería felipe.zipitria@owasp.org Copyright The OWASP Foundation Permission is granted

Más detalles

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático,

Más detalles

REQUERIMIENTOS NO FUNCIONALES

REQUERIMIENTOS NO FUNCIONALES REQUERIMIENTOS NO FUNCIONALES REQUERIMIENTOS NO FUNCIONALES A continuación se describen las principales características no funcionales que debe contener el sistema de información. Interfaces de usuario.

Más detalles

CATÁLOGO DE CURSOS 2015

CATÁLOGO DE CURSOS 2015 CATÁLOGO DE CURSOS 2015 Quiénes somos? KI&I somos una empresa especializada en servicios de capacitación y consultoría, para la gestión de las TIC s, Contamos con consultores e instructores profesionales

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

Como Convertirte en un Profesional de la Seguridad Informática. Como Convertirte en un Profesional de la Seguridad Informática

Como Convertirte en un Profesional de la Seguridad Informática. Como Convertirte en un Profesional de la Seguridad Informática Como Convertirte en un Profesional de la Seguridad Informática Fabian Martinez Portantier Consultor en Seguridad Informática Co-Fundador de Securetia (www.securetia.com) Instructor y Escritor sobre el

Más detalles

Uso de indicadores clave para medición del aseguramiento en procesos de tecnología

Uso de indicadores clave para medición del aseguramiento en procesos de tecnología Uso de indicadores clave para medición del aseguramiento en procesos de tecnología Milagros Cedeño, CRISC Vicepresidente de Procesos, Bladex Luis Arturo Durán, CISA, CRISC Security Services Consultant,

Más detalles

Concentrador VPN para el WebVPN usando el ejemplo de configuración del cliente VPN SSL

Concentrador VPN para el WebVPN usando el ejemplo de configuración del cliente VPN SSL Concentrador VPN para el WebVPN usando el ejemplo de configuración del cliente VPN SSL Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones Configurar Diagrama de la red

Más detalles

Trámites en Línea LLAMADO A EXPRESIONES DE INTERÉS

Trámites en Línea LLAMADO A EXPRESIONES DE INTERÉS Trámites en Línea LLAMADO A EXPRESIONES DE INTERÉS 1. AGESIC, Agencia para el Gobierno de Gestión Electrónico y la Sociedad de la Información y el Conocimiento, ha recibido del Banco Interamericano de

Más detalles

Diplomado GNU/Linux Administrator

Diplomado GNU/Linux Administrator Diplomado GNU/Linux Administrator GNU/Linux es un sistema operativo que puede ser usado en una máquina de escritorio, en una estación de trabajo o en un servidor. Por sus características de confiabilidad,

Más detalles

INFORME TECNICO PARA ADQUISICION DE SOFTWARE DE TRANSFERENCIA SEGURA DE ARCHIVOS. 1. NOMBRE DEL AREA : Oficina de Sistemas

INFORME TECNICO PARA ADQUISICION DE SOFTWARE DE TRANSFERENCIA SEGURA DE ARCHIVOS. 1. NOMBRE DEL AREA : Oficina de Sistemas INFORME TECNICO PARA ADQUISICION DE SOFTWARE DE TRANSFERENCIA SEGURA DE ARCHIVOS. 1. NOMBRE DEL AREA : Oficina de Sistemas 2. RESPONSABLE DE EVALUACION : Ing. Eduardo Vasquez Diaz 3. CARGOS : Analista

Más detalles

Seguridad de la Información. ISO 27001

Seguridad de la Información. ISO 27001 Auditoria Seguridad de la Información. ISO 27001 Derivado de la relevancia que ha adquirido la información, en materia de privacidad y de integridad, los procesos de negocio se encuentran sensibles y dependientes

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

PCI Day Today PCI DSS. WebSphere DataPower. 2008 IBM Corporation

PCI Day Today PCI DSS. WebSphere DataPower. 2008 IBM Corporation PCI DSS WebSphere DataPower AGENDA Necesidades DataPower y PCI Demo Línea de productos LO QUE BUSCAN LOS EJECUTIVOS Flexibilidad crecer mas rápido Eficacia gastar menos Capacidad de Reacción aumentar la

Más detalles

Concientización en Seguridad

Concientización en Seguridad Security Awareness Concientización en Seguridad El Factor Humano MBA Lic. Roberto Langdon Lic. en Sistemas y MBA en Marketing Management USAL State University of New York Albany, USA Director del Instituto

Más detalles

Extensión de módulos de pruebas de seguridad de. la herramienta Webgoat Proyecto OWASP. Daniel Cabezas Molina Daniel Muñiz Marchante 1

Extensión de módulos de pruebas de seguridad de. la herramienta Webgoat Proyecto OWASP. Daniel Cabezas Molina Daniel Muñiz Marchante 1 Extensión de módulos de pruebas de seguridad de la herramienta Webgoat Proyecto OWASP Daniel Cabezas Molina Daniel Muñiz Marchante 1 1. Introducción y objetivos 2. Herramientas utilizadas 3. Prueba de

Más detalles

Symantec Network Access Control Starter Edition

Symantec Network Access Control Starter Edition Symantec Network Access Starter Edition Cumplimiento simplificado para puntos finales Visión general facilita la implementación inicial de una solución de control de acceso a la red. Ofrece un subconjunto

Más detalles

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es

Más detalles

Seguridad TI. La mejor inversión en la globalización

Seguridad TI. La mejor inversión en la globalización Seguridad TI La mejor inversión en la globalización Agenda Introducción sobre la seguridad de aplicativos OWASP top 10 PCI IBM Rational Appscan Demostración de Hackeo Administración del ciclo de vida de

Más detalles

andres_almanza@hotmail.com

andres_almanza@hotmail.com Oficial de Seguridad Información : Coordinador de la gestión Oh... y ahora quien podrá ayudarnos... Reflexión consiente de la forma en como es vista la seguridad de la información en la organización Quien

Más detalles

Entornos de Testing. CES Centro de Ensayos de Software. Jorge Triñanes. http://www.ces.com.uy 19-08-04 CES JIAP 2005 1

Entornos de Testing. CES Centro de Ensayos de Software. Jorge Triñanes. http://www.ces.com.uy 19-08-04 CES JIAP 2005 1 Entornos de Testing Jorge Triñanes CES Centro de Ensayos de Software http://www.ces.com.uy 19-08-04 CES JIAP 2005 1 Consorcio entre CUTI y FJR (InCo-FING) Autoridades: Directorio Consorcio Gerente CES

Más detalles

Capítulo 2 Análisis del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Capítulo 2 Análisis del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable Capítulo 2 Análisis del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Análisis de requerimientos. El Sistema de Administración de Información de un Negocio Franquiciable

Más detalles

PARTE I. TECNICAS DE DESARROLLO

PARTE I. TECNICAS DE DESARROLLO INDICE Introducción XVII PARTE I. TECNICAS DE DESARROLLO 1 Capitulo 1. Cifrado 3 Archivos de Practicas 4 Resúmenes Hash 5 Cifrado de Clave Privado 10 Como Mantener Seguras las Claves Privadas 14 Cifrado

Más detalles

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO OBJETIVO IQ INFORMATION QUALITY, presenta los servicios para realizar las pruebas de HACKING ÉTICO, con el fin de verificar los niveles

Más detalles

Nuevas amenazas a las tecnologías móviles

Nuevas amenazas a las tecnologías móviles Nuevas amenazas a las tecnologías móviles Android APK Jong Park 2 de Diciembre de 2015 Contenido Revisión a las aplicaciones móviles Introducción Aplicaciones móviles Importancia Amenazas Propuesta Caso

Más detalles

Programa Instruccional de Asignatura

Programa Instruccional de Asignatura DuocUC Vicerrectoría Académica Programa Instruccional de Asignatura ASO4461 Administración de sistemas operativos Créditos:8 Horas: 72 Requisitos: Fecha Actualización: 22 de Mayo de 2013 ESCUELA DE INFORMÁTICA

Más detalles

Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015

Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015 Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015 About Me Ingeniero de Sistemas (UNEXPO). Especialista en Auditoria de Sistemas Financieros y Seguridad de Datos. Certificado CEHv8 (EC-COUNCIL).

Más detalles

La fundación OWASP y la formación del capítulo Chileno. Carlos Allendes Droguett Líder del Capítulo Chileno OWASP

La fundación OWASP y la formación del capítulo Chileno. Carlos Allendes Droguett Líder del Capítulo Chileno OWASP First OWASP DAY Chile 2010 The OWASP Foundation http://www.owasp.org La fundación OWASP y la formación del capítulo Chileno Carlos Allendes Droguett Líder del Capítulo Chileno OWASP carlos.allendes@owasp.org

Más detalles

Curso: (62612) Diseño de aplicaciones seguras

Curso: (62612) Diseño de aplicaciones seguras Curso: (62612) Diseño de aplicaciones seguras Fernando Tricas García Departamento de Informática e Ingeniería de Sistemas Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/

Más detalles

Strategies for Winning Sales Organizations

Strategies for Winning Sales Organizations Strategies for Winning Sales Organizations Bob Miller Co-fundador Miller Heiman, Inc. David Pearson Vice Presidente, Channel Operations Miller Heiman, Inc. Acerca de Miller Heiman Más de 1,000,000 de alumnos

Más detalles

Seguridad en el ciclo de vida del software

Seguridad en el ciclo de vida del software Seguridad en el ciclo de vida del software Pablo Miño - CISSP Agenda Importancia del software Seguridad en capas Por qué el software falla? Conceptos de seguridad Ciclo de vida Agenda Importancia del software

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

FACULTAD DE CIENCIA Y TECNOLOGÍA INGENIERÍA EN SISTEMAS DE INFORMACION SEDE ORO VERDE

FACULTAD DE CIENCIA Y TECNOLOGÍA INGENIERÍA EN SISTEMAS DE INFORMACION SEDE ORO VERDE FACULTAD DE CIENCIA Y TECNOLOGÍA INGENIERÍA EN SISTEMAS DE INFORMACION SEDE ORO VERDE Cátedra: Proyecto Alumno: Emanuel Goette Implementación de Arquitecturas de Software Orientadas a Servicios en la Web

Más detalles

Beneficios estratégicos para su organización. Resolución proactiva de problemas y eventualidades. Reducción instantánea de costos de soporte.

Beneficios estratégicos para su organización. Resolución proactiva de problemas y eventualidades. Reducción instantánea de costos de soporte. Beneficios Gestión organizada y control sobre las solicitudes de soporte. Información completa correspondiente a cada caso y asociación de los involucrados en el mismo (usuarios, especialistas). Seguimiento

Más detalles

Windows XP Windows Vista Windows 7 Linux Gnome Linux KDE Apple Mac OS X Leoppard Detalle TabletNet en NetBook

Windows XP Windows Vista Windows 7 Linux Gnome Linux KDE Apple Mac OS X Leoppard Detalle TabletNet en NetBook PORTABILIDAD TABLETNET ENTRE SISTEMAS OPERATIVOS Windows XP Windows Vista Windows 7 Linux Gnome Linux KDE Apple Mac OS X Leoppard Detalle TabletNet en NetBook Antonio Paules Ciprés apcipres@gmail.com apcipres@gmail.com

Más detalles

Q-flow 2.2. Código de Manual: Qf22007ESP Versión del Manual: 3.1 Última revisión: 19/8/2005 Se aplica a: Q-flow 2.2. Sizing

Q-flow 2.2. Código de Manual: Qf22007ESP Versión del Manual: 3.1 Última revisión: 19/8/2005 Se aplica a: Q-flow 2.2. Sizing Q-flow 2.2 Código de Manual: Qf22007ESP Versión del Manual: 3.1 Última revisión: 19/8/2005 Se aplica a: Q-flow 2.2 Sizing Qf22007ESP v3.1 Q-flow Sizing Urudata Software Canelones 1370 Piso 2 CP11200 Montevideo,

Más detalles

PCI DSS v 3.1 Un enfoque práctico para su aplicación

PCI DSS v 3.1 Un enfoque práctico para su aplicación PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA Aclaración: Todos los derechos reservados. No está permitida la

Más detalles

Solución del ciclo de vida IBM Rational AppScan: la construcción de la seguridad en las aplicaciones de Web para la entrega de software y sistemas.

Solución del ciclo de vida IBM Rational AppScan: la construcción de la seguridad en las aplicaciones de Web para la entrega de software y sistemas. Una protección estratégica para los activos de Web a fin de dar soporte a sus objetivos empresariales Solución del ciclo de vida IBM Rational AppScan: la construcción de la seguridad en las aplicaciones

Más detalles

Alcance y descripción del servicio BACKUP IPLAN

Alcance y descripción del servicio BACKUP IPLAN Alcance y descripción del servicio BACKUP IPLAN 1. Introducción. BACKUP IPLAN le permite al Cliente realizar resguardos periódicos la información, utilizando la infraestructura que IPLAN posee para este

Más detalles

Propiedad Colectiva del Código y Estándares de Codificación.

Propiedad Colectiva del Código y Estándares de Codificación. Propiedad Colectiva del Código y Estándares de Codificación. Carlos R. Becerra Castro. Ing. Civil Informática UTFSM. Introducción. n. En este trabajo se presentan específicamente dos prácticas de XP: Collective

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del MARCO NORMATIVO. SEPARACIÓN DE FUNCIONES ENTRE CAIXA PENEDÈS Y SERINCEP JORDI SOLÀ SEBASTIÀ RESP. DPTO.SEGURIDAD LÓGICA CAIXA PENEDÈS 1 Estructura organizativa en materia de Seg. Lógica Año Haga

Más detalles

MESA REDONDA: Tecnologías Emergentes, Amenazas Emergentes

MESA REDONDA: Tecnologías Emergentes, Amenazas Emergentes MESA REDONDA: Tecnologías Emergentes, Amenazas Emergentes Aceptar el Cambio sin Comprometer la Seguridad Agosto 2013 1 MESA REDONDA: Tecnologías Emergentes, Amenazas Emergentes Panelistas Mauricio Papaleo

Más detalles

Entendiendo mi ambiente de Control

Entendiendo mi ambiente de Control Riesgos y controles de TI, Entendiendo mi ambiente de Control Victor Vasquez AGENDA Agenda Retos de TI Gobierno de TI Concepto riesgo Control Cobit 3 Objetivo Objetivo Lograr que los participantes entiendan

Más detalles

Administración y Seguridad de Sistemas 2016 Ethical Hacking

Administración y Seguridad de Sistemas 2016 Ethical Hacking Administración y Seguridad de Sistemas 2016 Ethical Hacking Carina Indarte Juan Ignacio Larrambebere Guillermo Leopold Agustín Romano Ethical Hacking Introducción Footprinting Doxing Áreas de testeo y

Más detalles

decir que GCP Global es una empresa que vende seguridad IT, sería como decir que Miguel Ángel pintaba techos

decir que GCP Global es una empresa que vende seguridad IT, sería como decir que Miguel Ángel pintaba techos decir que GCP Global es una empresa que vende seguridad IT, sería como decir que Miguel Ángel pintaba techos Integrated Risk Management Software Platform Qué es Security Advisor? Plataforma integrada de

Más detalles

Análisis Forense de Aplicaciones Web

Análisis Forense de Aplicaciones Web 25-04-2016 OWASP LatamTour CHILE - 2016 Análisis Forense de Aplicaciones Web Mario Orellana CFE CEH CISSO MCT M2T mario@tigersec.co Temas a Tratar Generalidades del Análisis Forense Digital Análisis Forense

Más detalles

Webinar Gratuito Nmap

Webinar Gratuito Nmap Webinar Gratuito Nmap V. 2 Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Sábado 25 de Octubre del

Más detalles

Curso: (30227) Seguridad Informática

Curso: (30227) Seguridad Informática Curso: (30227) Seguridad Informática Fernando Tricas García Departamento de Informática e Ingeniería de Sistemas Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/ ftricas@unizar.es

Más detalles

SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB

SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB SWAT BROCHURE SEGURIDAD EN APLICACIONES WEB La seguridad en aplicaciones web ha sido hasta ahora un gran reto para las empresas, ya que hay muy pocas soluciones eficaces disponibles en el mercado. La primera

Más detalles