Segurinfo NOA Seguridad en el desarrollo de aplicaciones Web

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Segurinfo NOA 2011. Seguridad en el desarrollo de aplicaciones Web"

Transcripción

1 Segurinfo NOA 2011 Seguridad en el desarrollo de aplicaciones Web Hernán Santiso Gerente de Seguridad de la Información Claro Argentina, Uruguay y Paraguay

2 Introducción El problema del software inseguro es quizás el reto técnico más importante de nuestros tiempos. La seguridad es ahora uno de los factores claves limitantes sobre los que podemos crear con la tecnología de la información. El aumento de la concientización de seguridad ha hecho que muchas organizaciones implementen controles de seguridad de red y sistemas operativos en forma cada vez más eficientes. Como contrapartida los atacantes han migrado los ataques hacia las aplicaciones, que en su mayoría son basadas en web

3 Seguridad en el Ciclo de Desarrollo de Software (SDLC) Para prevenir problemas de seguridad recurrentes en una aplicación, es esencial el construir la seguridad dentro del Ciclo de Vida de Desarrollo del Software (SDLC), desarrollando estándares, políticas y guías de uso que encajen y funcionen dentro de la metodología de desarrollo. El SDLC es un proceso bien conocido por los desarrolladores. Mediante la integración de la seguridad en cada fase del SDLC, permite una aproximación integral a la seguridad de aplicaciones que se apoya en los procedimientos ya existentes en la organización. Si bien los nombres de las varias fases pueden cambiar dependiendo del modelo SDLC usado por una organización, cada fase conceptual del arquetipo SDLC será usada para desarrollar la aplicación (es decir, definir, diseñar, desarrollar, implementar, mantener). Cada fase tiene implicaciones de seguridad que deberán formar parte del proceso existente, para asegurar un programa de seguridad rentable y exhaustivo.

4 Cuanto antes mejor El detectar un bug en una etapa temprana dentro del SDLC permite que pueda ser abordado con mayor rapidez y a un coste menor. Un bug de seguridad no es diferente de uno funcional o de un bug en el rendimiento, en este contexto. A pesar de que las nuevas bibliotecas, herramientas o lenguajes pueden ayudar a diseñar mejores programas (con menos bugs de seguridad), nuevas amenazas están apareciendo constantemente y los desarrolladores deben ser conscientes de aquellas que afectan al software que están desarrollando. La educación en seguridad ayuda también a los desarrolladores a adquirir el enfoque apropiado para probar una aplicación desde la perspectiva de un atacante. Esto permite a cada organización considerar los problemas de seguridad como una parte de sus responsabilidades.

5 Costo de la Seguridad en el SDLC Tiempo

6 Que es OWASP? Open Web Application Application Security Project Promueve el desarrollo de software seguro Orientada a la prestación de servicios orientados a la Web Se centra principalmente en el "back-end" mas que en cuestiones de diseño web Un foro abierto para el debate Un recurso gratuito para cualquier equipo de desarrollo de software

7 Qué nos brinda OWASP Materiales de Educación OWASP SAMM OWASP Top 10 Guía de Desarrollo OWASP Guía de Testing OWASP Guía OWASP para aplicaciones Web Seguras Software WebGoat WebScarab ESAPI Capítulos Locales Comunidades interesadas en Seguridad de Aplicaciones

8 OWASP - SAMM El modelo de madurez para el aseguramiento de software (SAMM por sus siglas en inglés) es un marco de trabajo abierto para ayudar a las organizaciones a formular e implementar una estrategia de seguridad para Software que sea adecuada a las necesidades específicas que está enfrentado la organización. Los recursos que provee SAMM nos ayudan a: Evaluar las prácticas de seguridad en Software existentes en la organización Construir un programa de seguridad en Software balanceado en iteraciones bien definidas Demostrar mejoras concretas en el programa de aseguramiento de Software Definir y medir las actividades relacionadas con seguridad en la organización

9 SAMM

10 SAMM Gobierno Gestión global de las actividades de desarrollo de software Estrategia y métricas : Dirección estratégica global del programa de aseguramiento de software e instrumentación de procesos y actividades para recolectar métricas acerca de la postura de seguridad de una organización. Política y cumplimiento : Involucra establecer una estructura de control y auditoria para seguridad y cumplimiento de regulaciones a lo largo de una organización para alcanzar un aseguramiento superior en software bajo construcción y en operación. Educación y orientación : Involucra incrementar el conocimiento de seguridad entre el personal de desarrollo de software a través de entrenamiento y orientación en temas de seguridad pertinentes a funciones del trabajo individual.

11 SAMM Construcción Definición de metas y creación de software dentro de proyectos de desarrollo Evaluación de amenazas : Identificar y caracterizar con precisión los ataques potenciales contra el software de una organización, con el fin de comprender mejor los riesgos y facilitar su gestión. Requisitos de seguridad : Promover la inclusión de las necesidades de seguridad durante el proceso de desarrollo de software a fin de especificar la funcionalidad correcta desde el principio. Arquitectura de seguridad : Fortalecer del proceso de diseño con actividades para promover diseños con seguridad en mente y los marcos de trabajo en que se basa el software.

12 SAMM Verificación Verificación y prueba de componentes producidos a través del desarrollo de Software Revisión de diseño : Inspección de artefactos creados a partir del proceso de diseño para asegurar la provisión de mecanismos de seguridad adecuados y apegados a las expectativas de seguridad de la organización Revisión de código : Evaluación del código fuente de una organización para ayudar en el descubrimiento de vulnerabilidades y actividades relacionadas a la mitigación como es el establecimiento de bases para las expectativas de la seguridad en programación. Pruebas de seguridad : Probar el software de la organización en su ambiente de ejecución para descubrir vulnerabilidades y establecer un estándar mínimo para la liberación del software.

13 SAMM Implementación Administración de la liberación de sistemas que han sido creados Administración de vulnerabilidades : Establecer procesos consistentes para administrar reportes internos o externos de vulnerabilidades para limitar la exposición, recopilar datos y así mejorar el programa de aseguramiento. Fortalecimiento de ambientes : Implementación de controles para el ambiente operativo que rodea a los programas de una organización para reforzar la postura de seguridad de las aplicaciones que han sido implementadas. Habilitación operativa : Identificar y capturar información relevante a la seguridad que necesita un operador para configurar, instalar y correr los programas de una organización.

14 SAMM - Niveles de Madurez Cada una de las prácticas de seguridad tiene tres niveles de madurez bien definidos y un nivel inicial (cero) implícito. Los detalles de cada nivel difieren entre las prácticas pero generalmente representan: 0) Punto de inicio implícito, las actividades en la practica no se han realizado 1) Entendimiento inicial y provisión ad hoc de la práctica de seguridad 2) Incremento en la eficiencia y/o efectividad de la práctica de seguridad 3) Dominio amplio de la práctica de seguridad

15 Fallas de Seguridad en aplicaciones Web

16 OWASP Top Ten (2010 Edition)

17 A1 Inyection Las fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando datos no confiables son enviados a un interprete como parte de un comando o consulta. Los datos maliciosos del atacante pueden engañar al interprete en ejecutar comandos no intencionados o acceder datos no autorizados. Una falla de este tipo puede provocar una pérdida o corrupción de datos, falta de integridad, o denegación de acceso y hasta algunas veces permitir la toma de posesión completa del servidor o la base de datos comprometida

18 A2 Cross Site Scripting (XSS) Un ataque de Cross-Site Scripting consiste en una inclusión de un script en una página Web que se ejecuta cuando la página es accedida por un usuario Estas fallas ocurren debido a que las aplicaciones toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. Esto permite a los atacantes ejecutar secuencia de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso.

19 A2 Cross Site Scripting (XSS) TIPOS DE XSS 1) No permanente o Reflejado El código de scripting se incluye en el request, generalmente en la URL 2) Permanente El código de scripting se almacena en la capa de persistencia de la aplicación (Base de datos o Archivos) 3) Local Por alguna otra debilidad el atacante logra inyectar el código de scripting en un archivo almacenado localmente en el equipo de la víctima

20 A3 Fallos de Autenticación y Manejo de Sesión Por la naturaleza del protocolo HTTP que no es orientado a conexión, se hace necesario implementar mecanismos de manejo de sesión entre el cliente y el servidor que si no son implementados correctamente pueden ser alterados para obtener acceso no autorizado a los recursos. Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son frecuentemente implementadas incorrectamente, permitiendo a los atacantes comprometer contraseñas, claves, o id de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios.

21 A3 Fallos de Autenticación y Métodos de ataque: Manejo de Sesión Predicción de sesiones Generalmente cuando se puede predecir un ID de sesión Permite crear un ID de sesión válido de otro usuario Reutilización de sesiones Cuando un ID de sesión caducó se reutiliza en poco tiempo Fijación de sesiones Cuando se puede generar un ID de sesión arbitrario desde el el cliente Sniffing de identificadores de sesión Si el canal no está encriptado Si el ID de sesión está en la URL

22 A4 Referencia Directa a Objetos insegura Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, tal como un archivo, directorio, o base de datos sin un chequeo de control de acceso u otra protección, los atacantes pueden manipular estas referencias para acceder datos no autorizados. Cuando se realiza una referencia directa a objetos internos y no se valida la correspondencia del usuario logueado con el valor referenciado, se corre el riesgo de ver datos de otro usuario Ejemplo con acceso a una cuenta bancaria: El usuario podría modificar el número de cuenta en la URL Lo mismo puede pasar con un archivo:

23 A5 Cross Site Request Forgery (CSRF) Un ataque CSRF obliga al navegador de una victima autenticada a enviar una petición HTTP falsa, incluyendo la sesión del usuario y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante forzar al navegador de la victima para generar pedidos que la aplicación vulnerable piensa son peticiones legítimas provenientes de la victima. Esta vulnerabilidad es causada porque los browsers incluyen automaticamente las credenciales de autenticación (ID de sesión, IP Address, Credenciales de dominio, etc.) en cada request.

24 A5 Cross Site Request Forgery (CSRF) Ejemplo: La aplicación permite que los usuarios envíen peticiones de cambio de estado que no incluye seguridad El atacante construye una petición que transfiera dinero desde la cuenta de la víctima a su propia cuenta e inserta la misma dentro de una etiqueta de imagen en un sitio web que esté bajo su control y al que la víctima se podrá dirigir. <imgsrc=" Account=attackersAcct# width="0" height="0" /> Cuando la víctima visite el sitio, en lugar de cargarse la imagen, se realizará la petición HTTP alterada. Si la víctima previamente había adquirido privilegios sobre el sitio original entonces el ataque será exitoso.

25 A6 Configuración Defectuosa de seguridad Una buena estrategia de seguridad requiere tener definida e implementada una configuración segura para la aplicación, framework, servidor de aplicación, servidor web, base de datos y plataforma. Todas estas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto. Esto incluye mantener todo el software actualizado, incluidas las librerías de código utilizadas por la aplicación. Ejemplos de configuración insegura: Cuentas por defecto Páginas de ejemplo en desuso Consola de administración activas y accesibles Falta de actualización de patches Seteos de configuración por defecto Claves de encripción débiles.

26 A7 Almacenamiento Criptográfico Inseguro Muchas aplicaciones web no protegen adecuadamente los datos sensibles, tales como tarjetas de crédito, datos personales y credenciales de autenticación con mecanismos de cifrado o hashing. Los atacantes pueden modificar o robar tales datos protegidos inadecuadamente para realizar robos de identidad, fraudes de tarjeta de crédito u otros delitos. Esta vulnerabilidad normalmente compromete todos los datos que deberían haber estado cifrados. Ejemplos: Falta de cifrado de datos sensibles Claves de cifrado débiles Algoritmos inseguros o mal implementados Manejo y almacenamiento inseguro de las claves de cifrado

27 A8 -Falla de Restricción de Acceso a URL Algunas aplicaciones web verifican los privilegios de acceso a URLs antes de generar enlaces o botones protegidos. Sin embargo, las aplicaciones necesitan realizar controles similares cada vez que estas páginas son accedidas por fuera del circuito normal, de lo contrario los atacantes podrán alterar las URLs para acceder a estas páginas igualmente, simplemente forzando el acceso a la URL objetivo. Este tipo de vulnerabilidades se encuentran con frecuencia cuando links y botones simplemente se ocultan a usuario no autorizados, pero la aplicación no protege adecuadamente las páginas de destino.

28 Ejemplo: A8 -Falla de Restricción de Acceso a URL Considere las siguientes URLs las cuales se supone que requieren autenticación. Y para acceder a la página admin_getappinfo se necesitan permisos de administrador Si la aplicación es vulnerable, un usuario autorizado pero que no sea Administrador puede acceder a la página admin_getappinfo a través de la invocación a la URL.

29 A9 Protección Insuficiente en la capa de Transporte Las aplicaciones frecuentemente fallan al autenticar, cifrar, y proteger la confidencialidad e integridad de tráfico de red sensible. Cuando esto ocurre, es debido a la utilización de algoritmos débiles, certificados expirados, inválidos, o sencillamente no utilizados correctamente.

30 A9 Protección Insuficiente en la Ejemplos : capa de Transporte Autenticación sin SSL : El atacante captura el tráfico de red y observa la cookie de sesión de una víctima autenticada. Certificado SSL configurado incorrectamente : Provoca que el navegador muestre advertencias que los usuarios tienen que aceptar para poder acceder, y por lo tanto se acostumbren a estos avisos. Un ataque de phishing que redirija a los clientes a otra aplicación similar que no dispone de un certificado válido, y como estos están acostumbradas a dichas advertencias no notan la diferencia. Trafico hacia las bases de Datos sin encriptar: Una aplicación simplemente utiliza ODBC/JDBC para la conexión con la base de datos, sin darse cuenta de que todo el tráfico se transmite en claro.

31 A10 - Redirecciones y reenvíos no validados Las aplicaciones web frecuentemente redirigen y reenvían a los usuarios hacia otras páginas o sitios web, y utilizan datos no confiables para determinar la página de destino. Sin una validación apropiada, los atacantes pueden redirigir a las víctimas hacia sitios de phishing o malware, o utilizar reenvíos para acceder páginas no autorizadas.

32 A10 - Redirecciones y reenvíos Ejemplos : no validados La aplicación tiene una página llamada redirect.jsp que recibe un único parámetro llamado url. El atacante compone una URL maliciosa que redirige a los usuarios a una aplicación que realiza el phishing e instala código malicioso La aplicación utiliza un parámetro para indicar dónde será dirigido el usuario luego de determinada transacción. En este caso, el atacante compone una URL que evadirá el control de acceso de la aplicación y llevará al atacante a una función de administración a la que en una situación habitual no debería tener acceso:

33 Buenas prácticas de seguridad para el desarrollo de aplicaciones Web Validación de ingreso de entrada Autenticación y Autorización Manejo de sesión Criptografía Manejo de Errores y logs de auditoría Configuración

34 Validación de Entrada La falta de validación de ingreso de datos es la fuente de la mayoría de las vulnerabilidades en aplicaciones. Nunca se debe confiar en los datos que el usuario final ingresa. Se recomienda implementar una estrategia basada en capas donde se verifique: Chequeos de integridad Validaciones Reglas de Negocio Utilizar en la medida de lo posible Validación Positiva y Alinear la exhaustividad de los controles con análisis de riesgo.

35 Estrategias de validación Aceptar sólo los buenos conocidos. (Validación positiva) Los siguientes parámetros deberían incluirse en una validación positiva: Tipo de datos (cadena, entero, real, etc. ) Largo mínimo y máximo Si se aceptan o no nulos. Si existen parámetros que son requeridos. Rango númérico. Expresiones regulares. Rechazar los malos conocidos (Validación negativa)

36 Autenticación - Buenas Prácticas Implementar un proceso de administración de usuarios. Alinear las credenciales con el valor de los activos. Contraseñas Certificados digitales Tokens Biometría Reautenticar cuando se requiere accesos a mayores privilegios. Proteger las transacciones No implemente credenciales de autenticación del lado del cliente

37 Contraseñas - Buenas Prácticas Utilice políticas de contraseñas (fortaleza, almacenamiento, control de cambio y uso) Utilice transporte seguro (SSL) Implemente cuidadosamente las funcionalidades que permiten rehabilitar una contraseña ante olvidos. Elimine los nombres de usuario por defecto Utilice HTTP headers y tags para prevenir el caché de contraseñas. Implemente hash para contraseñas.

38 Autenticación fuerte Tener en cuenta que las contraseñas pueden ser vulneradas con distintas metodologías. Considere la alternativa de implementar autenticación fuerte cuando el riesgo lo justifique. Métodos de autenticación fuerte: One-time passwords Certificados digitales Sistemas desafío respuesta Tarjeta de Coordinadas Biometría Firma digital de transacciones

39 Autorización - Buenas Prácticas Respete el principio de Mínimo privilegio Implemente rutinas de autorización centralizadas Utilice Matrices de autorización Priorice la protección de los activos más críticos. Ser cuidadoso con los controles de autorización a medida. Separar en las aplicaciones los accesos de administrador y usuario final.

40 Manejo de Sesión HTTP no es orientado a conexión Las credenciales de usuario se envían a través de los requerimientos HTTP Las tecnologías de páginas dinámicas (J2EE, PHP, ASP.NET) se embeben dentro de HTTP. Se utilizan Cookies para obtener datos de sesión del cliente.

41 Manejo de Sesión - Buenas prácticas Almacene la información de sesión del lado del servidor Implemente tiempo de vida para las sesiones Provea opciones de desconexión (logout) Revalide credenciales Luego de un log-on / log-off Después de un determinado tiempo Detecte bloqueos y loguee ataques fuerza bruta. Utilice HTTPS

42 Criptografía - Buenas prácticas No confunda encripción con codificación Use algoritmos conocidos, no escriba los suyos propios. Analize cuidadosamente el algoritmo a utilizar y el largo de claves. Diseñe su aplicación de manera que puede incorporar nuevos algoritmos. Proteja y administre las claves de encripción

43 Manejo de errores - Buenas prácticas Defina una estructura para manejo de errores de excepción. Implemente rastreo de eventos desde dentro de la aplicación. Envíe mensajes generales a los usuarios finales No habilite modo debug en producción Falle seguro, no debe archivos abiertos. No almacene información de rastreo o relacionada con la privacidad de las personas

44 Logs de Auditoría - Buenas Prácticas Verifique requerimientos legales y defina los requerimientos de auditoría en base a ellos. Sólo audite los eventos más importantes Centralice los logs Mantenga los logs seguros y confidenciales y realice respaldo de los mismos Trabaje siempre sobre una copia de sólo lectura para generar reportes y búsquedas en los logs.

45 Configuración - Buenas Prácticas Elimine todas las configuraciones por defecto que sean innecesarias No utilice cuentas por defecto No implemente puertas traseras No almacene passwords en claro en los archivos de configuración. Utilice protocolos de transferencia segura (SSL / SSH) Mantenga el sistema operativo y software de soporte actualizado.

46 Preguntas

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1

Sesión 13. Seguridad en la web. Luisa Fernanda Rincón Pérez 2015-1 Sesión 13. Seguridad en la web Luisa Fernanda Rincón Pérez 2015-1 Qué vimos la clase pasada? 1. Características de MongoDB 2. Colecciones - documentos 3. Consulta, inserción, modificación, eliminación

Más detalles

Programación de código seguro

Programación de código seguro Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización?

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización? () questions 3, 38, 59, 62, 68, 69, 73, 96 1. El consejo de dirección de una organización se enteró de la existencia de una nueva ley que requiere que las organizaciones dentro del sector implementen salvaguardias

Más detalles

Privacidad. <Nombre> <Institución> <e-mail>

Privacidad. <Nombre> <Institución> <e-mail> Privacidad Contenido Privacidad Riesgos principales Cuidados a tener en cuenta Fuentes Privacidad (1/3) En Internet tu privacidad puede verse expuesta: independientemente

Más detalles

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 Este documento proporciona información sobre la función de soporte remoto seguro de

Más detalles

Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red...

Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red... Guía de Instalación Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red...5 3.Proceso de instalación...7 Paso

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Mejores prácticas de Seguridad en Línea

Mejores prácticas de Seguridad en Línea Mejores prácticas de Seguridad en Línea Antecedentes e Introducción El propósito del siguiente documento es para ayudar a su negocio a tomar las medidas necesarias para utilizar las mejores prácticas de

Más detalles

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org

LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES. www.owasp.org LOS 7 PECADOS DEL DESARROLO WEB & TENTACIÓN DEL USUARIOS EN APLICACIONES MOVILES www.owasp.org Quien soy? Ing. Elvin Vidal Mollinedo Mencia Profesional de seguridad + 9 años de experiencia en desarrollo

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Leandro Meiners lmeiners@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Temario Temario Introducción al Protocolo HTTP: Arquitectura, carácterísticas, autenticación,

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS Capítulo 2 Sistemas de Detección de Intrusos 7 CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS En este capítulo se definen los sistemas de detección de intrusos y su relación con los ataques basados en el

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Aero Owen, S. A. de C. V. (OWEN) se compromete a ofrecer el mejor servicio posible a sus clientes y proteger la privacidad de los datos e información que proporcionan los clientes

Más detalles

Inseguridad de los sistemas de autenticación en aplicaciones web

Inseguridad de los sistemas de autenticación en aplicaciones web Barcelona, 18 de Marzo Inseguridad de los sistemas de autenticación Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 0. Introducción al sistema de autenticación 2. Medidas de protección 3. Referencias

Más detalles

Aviso de privacidad de Norton Mobile

Aviso de privacidad de Norton Mobile 31 de julio de 2015 Durante más de dos décadas, los clientes de todo el mundo han confiado a Symantec y a la marca Norton la protección de sus dispositivos informáticos y sus activos digitales más importantes.

Más detalles

2. Tipos y usos de la información recolectada. Smartkidi recopila dos tipos de información sobre usted:

2. Tipos y usos de la información recolectada. Smartkidi recopila dos tipos de información sobre usted: POLÍTICA DE PRIVACIDAD Última actualización 29 de abril de 2014 Smartkidi permite a sus usuarios, a través del Sitio web Smartkidi (http://smartkidi.com), o el Sitio web, poder encontrar, ver y enviar

Más detalles

MEJORA TU ESCUELA www.mejoratuescuela.org

MEJORA TU ESCUELA www.mejoratuescuela.org MEJORA TU ESCUELA www.mejoratuescuela.org I. OBJETIVO El portal www.mejoratuescuela.org es una herramienta elaborada a partir de las bases de datos de la Secretaría de Educación Pública (www.sep.gob.mx)

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Su privacidad y confianza son muy importantes para nosotros. Por ello, queremos asegurarnos que conozca cómo salvaguardamos la integridad, confidencialidad y disponibilidad, de sus

Más detalles

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría

OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web. The OWASP Foundation. Felipe Zipitría OWASP Top 10 2013 Los diez riesgos más importantes en aplicaciones web Felipe Zipitría OWASP/ GSI- Facultad de Ingeniería felipe.zipitria@owasp.org Copyright The OWASP Foundation Permission is granted

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Introducción. Diplomado en Seguridad Informática

Introducción. Diplomado en Seguridad Informática Introducción Los piratas ya no tienen un parche en su ojo ni un garfio en reemplazo de la mano. Tampoco existen los barcos ni los tesoros escondidos debajo del mar. Llegando al año 2000, los piratas se

Más detalles

Aspectos relevantes relacionados con la seguridad

Aspectos relevantes relacionados con la seguridad Aspectos relevantes relacionados con la seguridad En BBVA, somos conscientes de la necesidad de garantizar la seguridad durante la transferencia de datos entre el banco y sus clientes. Por ello, disponemos

Más detalles

OWASP: Un punto de vista. aplicaciones web seguras

OWASP: Un punto de vista. aplicaciones web seguras OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

Más detalles

Extensión de módulos de pruebas de seguridad de. la herramienta Webgoat Proyecto OWASP. Daniel Cabezas Molina Daniel Muñiz Marchante 1

Extensión de módulos de pruebas de seguridad de. la herramienta Webgoat Proyecto OWASP. Daniel Cabezas Molina Daniel Muñiz Marchante 1 Extensión de módulos de pruebas de seguridad de la herramienta Webgoat Proyecto OWASP Daniel Cabezas Molina Daniel Muñiz Marchante 1 1. Introducción y objetivos 2. Herramientas utilizadas 3. Prueba de

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

PeopleSoft. Auditoria Especifica. Jorge Eduardo Gutiérrez 4 de Febrero de 2014

PeopleSoft. Auditoria Especifica. Jorge Eduardo Gutiérrez 4 de Febrero de 2014 PeopleSoft Auditoria Especifica Jorge Eduardo Gutiérrez 4 de Febrero de 2014 Contenido Introducción:... 2 Qué es PeopleSoft?... 2 Qué son los controles generales de TI (ITGCs)?... 2 Control de cambios...

Más detalles

SEGURIDAD ataques riesgos tipos de amenazas

SEGURIDAD ataques riesgos tipos de amenazas SEGURIDAD La seguridad en sistemas es un área de las Ciencias de la Computación que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro

Más detalles

ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS

ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS 5 ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS Contenido: 5.1 Conceptos Generales Administración de Bases de Datos Distribuidas 5.1.1 Administración la Estructura de la Base de Datos 5.1.2 Administración

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

Cardio. smile. Política de Privacidad

Cardio. smile. Política de Privacidad Política de Privacidad Esta Política de Privacidad describe los tipos de información recolectados por Smile en este sitio web y cómo los usamos y protegemos. Esta Política de Privacidad solo se aplica

Más detalles

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)

Más detalles

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina Introducción Introducción n a la seguridad en el SDLC Actualmente

Más detalles

Guía de doble autenticación

Guía de doble autenticación Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.

Más detalles

Política de Privacidad por Internet

Política de Privacidad por Internet Política de Privacidad por Internet Última actualización: 17 de noviembre de 2013 Su privacidad es importante para nosotros. Esta Política de Privacidad por Internet explica cómo recopilamos, compartimos,

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Seguridad del Protocolo HTTP

Seguridad del Protocolo HTTP Seguridad del Protocolo HTTP - P R O T O C O L O H T T P S. - C O N E X I O N E S S E G U R A S : S S L, TS L. - G E S T IÓN D E C E R T IF I C A D O S Y A C C E S O --S E G U R O C O N H T T P S Luis

Más detalles

A1-Inyección (SQL,OS Y LDPA)

A1-Inyección (SQL,OS Y LDPA) Los Diez Riesgos Más Importantes en Aplicaciones WEB Top 10-2010 A1-Inyección (SQL,OS Y LDPA) Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela Usuga G. Contenido Presentación

Más detalles

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl no asume responsabilidades o garantías sobre el contenido y uso de ésta documentación y declina cualquier garantía explicita o implícita de comercialidad

Más detalles

Solución al Reto Hacking v2.0 de Informática 64

Solución al Reto Hacking v2.0 de Informática 64 Febrero 2007 Introducción Este documento describe dos soluciones posibles al segundo Reto Hacking de Informática 64 que se publicó el 10 de febrero de 2007 en la siguiente dirección web: http://retohacking2.elladodelmal.com

Más detalles

Vulnerabilidad de Phishing en Sitios Bancarios en Argentina

Vulnerabilidad de Phishing en Sitios Bancarios en Argentina Vulnerabilidad de Phishing en Sitios Bancarios en Argentina La creciente aceptación de nuevas tecnologías en el campo de las comunicaciones y, en particular, el explosivo crecimiento de Internet a nivel

Más detalles

AVISO LEGAL Y CONDICIONES LEGALES DE USO DEL SITIO WEB

AVISO LEGAL Y CONDICIONES LEGALES DE USO DEL SITIO WEB AVISO LEGAL Y CONDICIONES LEGALES DE USO DEL SITIO WEB Las presentes Condiciones Generales regulan el uso del Sitio Web de Internet www.laguardiatoledo.es que el pone a su disposición como usuario (en

Más detalles

About Me. Mario Robles Tencio

About Me. Mario Robles Tencio About Me Mario Robles Tencio Profesional de seguridad +10 años de experiencia en tema de seguridad de redes, desarrollo de aplicaciones web, seguridad de aplicaciones web, PenTesting (Ethical Hacking)

Más detalles

Cuaderno de notas del OBSERVATORIO ENVENENAMIENTO ARP

Cuaderno de notas del OBSERVATORIO ENVENENAMIENTO ARP Cuaderno de notas del OBSERVATORIO Instituto Nacional de Tecnologías de la Comunicación ENVENENAMIENTO ARP El envenenamiento ARP (en inglés Address Resolution Protocol o Protocolo de resolución de direcciones)

Más detalles

MINT A NIVEL BROSERW CON BEEF

MINT A NIVEL BROSERW CON BEEF MINT A NIVEL BROSERW CON BEEF Y METASPLOIT Como usuario seguimos con las mismavulnerabilidades 17 DE ABRIL DEL 2015 SANTA CRUZ BOLIVIA WALTER CAMAMA MENACHO About Me About Me - Ingeniero de sistemas Universidad

Más detalles

Seguridad Informática

Seguridad Informática Universidad Rey Juan Carlos Grado en Ingeniería Informática Seguridad Informática Curso 2012/13 Prueba 3 - Seguridad en es Lea detenidamente las instrucciones del examen antes de comenzar: El examen consta

Más detalles

El contenido de este fichero está publicado bajo una licencia Creative Commons. Reconocimiento-NoComercial-SinObraDerivada 2.

El contenido de este fichero está publicado bajo una licencia Creative Commons. Reconocimiento-NoComercial-SinObraDerivada 2. El contenido de este fichero está publicado bajo una licencia Creative Commons. La licencia bajo la que se encuentra este fichero es: Reconocimiento-NoComercial-SinObraDerivada 2.1 España Puede ver el

Más detalles

Seguridad en el Comercio Electrónico. <Nombre> <Institución> <e-mail>

Seguridad en el Comercio Electrónico. <Nombre> <Institución> <e-mail> Seguridad en el Comercio Electrónico Contenido Comercio Electrónico Riesgos principales Cuidados a tener en cuenta Fuentes Comercio electrónico (1/2) Permite: comprar una

Más detalles

ESET SMART SECURITY 9

ESET SMART SECURITY 9 ESET SMART SECURITY 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guía de inicio rápido Haga un clic aquí para descargar la versión más reciente de este documento. ESET Smart Security es un software

Más detalles

Rafael Doña Gil. Enginyeria Tècnica en Informàtica de Sistemes. Consultor: Jose Juan Rodríguez

Rafael Doña Gil. Enginyeria Tècnica en Informàtica de Sistemes. Consultor: Jose Juan Rodríguez Rafael Doña Gil Enginyeria Tècnica en Informàtica de Sistemes Consultor: Jose Juan Rodríguez 14 de Enero de 2013 Contenido 1. Introducción 2. Análisis funcional 3. Diseño Técnico 4. Implementación 5. Conclusiones

Más detalles

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team

Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Web : Ataque y Defensa. Claudio Salazar Estudiante Ing. Civil Informática UTFSM Pinguinux Team Temario 1. Introducción 2. Cross Site Scripting (XSS) 3. Inyección SQL 4. Nuestro código en el servidor 5.

Más detalles

I. Los Datos Personales que nos proporcionará serán recolectados y su tratamiento manual y/o automatizado obedece a los siguientes fines:

I. Los Datos Personales que nos proporcionará serán recolectados y su tratamiento manual y/o automatizado obedece a los siguientes fines: Su privacidad y confianza son muy importantes para nosotros. Por ello, queremos asegurarnos que conozca cómo salvaguardamos la integridad, confidencialidad y disponibilidad, de sus datos personales, en

Más detalles

Desarrollo de Aplicaciones Web

Desarrollo de Aplicaciones Web Desarrollo de Aplicaciones Web Con Visual Studio 2012 MOC: 20486, 35 hrs Sobre este curso En este curso, los estudiantes aprenderán a desarrollar aplicaciones ASP.NET MVC avanzadas tecnologías y herramientas

Más detalles

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales

Session Hijacking: Secuestro de sesiones en aplicaciones web empresariales Session Hijacking: en aplicaciones web empresariales OWASP LATAM TOUR 2012 OMAR PALOMINO HUAMANÍ KUNAK CONSULTING SAC omarc320@gmail.com opalomino@kunak.com.pe Telef: 973861650 http://www.el-palomo.com

Más detalles

VOTO ELECTRÓNICO Estándares, Seguridad y Confidencialidad

VOTO ELECTRÓNICO Estándares, Seguridad y Confidencialidad Disertante: Perito Auditor Informático. Consejo Profesional de Ciencias Informáticas de Córdoba, Argentina. La pregunta que todo elector quiere hacer... Es seguro el voto electrónico? Que mostraría como

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

BOLETÍN DE ALERTA. Figura 1: Ejemplo de comentario con enlace a una noticia falsa

BOLETÍN DE ALERTA. Figura 1: Ejemplo de comentario con enlace a una noticia falsa BOLETÍN DE ALERTA Boletín Nro. : 2016-02 Fecha de publicación : 08/01/2016 Tema : Distribución de malware para Android a través de comentarios falsos Descripción : Hace un tiempo se ha observado un importante

Más detalles

DE COMUNICACIÓN, CONTROL Y SEGUIMIENTO DE LA VIGILANCIA EPIDEMIOLÓGICA FITOSANITARIA

DE COMUNICACIÓN, CONTROL Y SEGUIMIENTO DE LA VIGILANCIA EPIDEMIOLÓGICA FITOSANITARIA SISTEMA INTEGRAL DE COMUNICACIÓN, CONTROL Y SEGUIMIENTO DE LA VIGILANCIA EPIDEMIOLÓGICA FITOSANITARIA INTRODUCCIÓN El Centro nacional de Referencia Fitosanitaria (CNRF) hace uso de solicitudes, es decir,

Más detalles

Política de Privacidad de Usuarios

Política de Privacidad de Usuarios Política de Privacidad de Usuarios 1. Introducción La privacidad es esencial para el ejercicio de la libre expresión, el libre pensamiento, y la libre asociación. En el Distrito Bibliotecario de Las Vegas-Condado

Más detalles

Política de Privacidad del Grupo Grünenthal

Política de Privacidad del Grupo Grünenthal Política de Privacidad del Grupo Grünenthal Gracias por su interés en la información ofrecida por Grünenthal GmbH y/o sus filiales (en adelante Grünenthal ). Queremos hacerle saber que valoramos su privacidad.

Más detalles

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org

Introducción a OWASP OWASP. The OWASP Foundation http://www.owasp.org Introducción a Ing. Camilo Fernandez Consultor en Seguridad Informática Octubre, 2010 cfernandez@develsecurity.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or modify

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Guía de Uso. Administración de Tokens

Guía de Uso. Administración de Tokens Guía de Uso Administración de Tokens Índice Guía de Uso Safesign Identity Client... 3 OBJETIVO... 3 ALCANCE... 3 RESPONSABLES... 3 GLOSARIO... 3 INTRODUCCIÓN... 4 efirma y los Certificados Digitales...

Más detalles

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante

MÁSTER UNIVERSITARIO EN INGENIERÍA WEB. Guía de Aprendizaje Información al estudiante MÁSTER UNIVERSITARIO EN INGENIERÍA WEB Datos Descriptivos Guía de Aprendizaje Información al estudiante Escuela Técnica Superior de Ingeniería de Sistemas Centro responsable Informáticos Titulación: Máster

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

mantiene la productividad de los empleados y protege Confidence in a connected world. Page 1 of 5

mantiene la productividad de los empleados y protege Confidence in a connected world. Page 1 of 5 Seguridad galardonada de los sistemas de mensajería que protege los mensajes entrantes y controla los mensajes salientes. Descripción general ofrece seguridad de la mensajería entrante y saliente para

Más detalles

SEGURIDAD INFORMATICA PHISHING: Definición:

SEGURIDAD INFORMATICA PHISHING: Definición: SEGURIDAD INFORMATICA PHISHING: Definición: El "phishing" es una modalidad de estafa diseñada con la finalidad de robarle al usuario su identidad. El delito consiste en obtener información tal como números

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

GUÍA DE SEGURIDAD PARA SISTEMAS DE INFORMACIÓN Basada en OWASP

GUÍA DE SEGURIDAD PARA SISTEMAS DE INFORMACIÓN Basada en OWASP A-RI-P01-G02 Versión : 01 Página 1 de 44 GUÍA DE SEGURIDAD PARA SISTEMAS DE INFORMACIÓN Basada en OWASP 1 A-RI-P01-G02 Versión : 01 Página 2 de 44 CONTENIDO INTRODUCCIÓN 4 1. OBJETIVO 4 2. ALCANCE 5 3.

Más detalles

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15

SEGURIDAD SEGURIDAD. Guía de Comunicación Digital para La Administración General del Estado. Página 1 de 15 Página 1 de 15 REQUISITOS ANTES DE TENER EL SITIO WEB 3 5. 3 5.1 INYECCIÓN DE CÓDIGO 5 5.2. SECUENCIA DE COMANDOS EN SITIOS CRUZADOS (CROSS SITE SCRIPTING XSS) 7 5.3. PÉRDIDA DE AUTENTICACIÓN Y GESTIÓN

Más detalles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR

Más detalles

CARRERAS PROFESIONALES TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES - TICS

CARRERAS PROFESIONALES TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES - TICS CARRERAS PROFESIONALES SECTOR ECONÓMICO : FAMILIA PRODUCTIVA: ACTIVIDAD ECONÓMICA: INFORMACIÓN Y COMUNICACIONES TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES - TICS ACTIVIDADES DE SERVICIOS DE INFORMACIÓN

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

Configuración de Aspel-SAE 6.0 para trabajar Remotamente

Configuración de Aspel-SAE 6.0 para trabajar Remotamente Configuración de Aspel-SAE 6.0 para trabajar Remotamente Para configurar Aspel-SAE 6.0 como servidor remoto, es necesario realizar los siguientes pasos: 1. Instalar IIS de acuerdo al Sistema Operativo.

Más detalles

Seguridad en la banca electrónica. <Nombre> <Institución> <e-mail>

Seguridad en la banca electrónica. <Nombre> <Institución> <e-mail> Seguridad en la banca electrónica Contenido Banca electrónica Principales riesgos Cuidados a tener en cuenta Fuentes Banca electrónica (1/4) Permite: realizar las mismas

Más detalles

Política de privacidad. FECHA DE VIGENCIA : 22 de Abril del 2014

Política de privacidad. FECHA DE VIGENCIA : 22 de Abril del 2014 Política de privacidad FECHA DE VIGENCIA : 22 de Abril del 2014 Esta política de privacidad describe las prácticas de la empresa en relación con la información personal que obtenemos acerca de usted. Mediante

Más detalles

Apreciado Usuario: 1. Definiciones

Apreciado Usuario: 1. Definiciones Apreciado Usuario: El Sitio WEB de la Empresa Social del Estado Salud Pereira tiene como función principal proveer información y servicios así como divulgar y promover normas y directrices del Gobierno.

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

TÉRMINOS Y CONDICIONES

TÉRMINOS Y CONDICIONES TÉRMINOS Y CONDICIONES Titular de la web y datos de contacto www.coin-app.net es un dominio en Internet de la titularidad de Coin App inscrita en la cámara de comercio de Bucaramanga con NIT 1020740844-8

Más detalles

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB Nombre: 1. Protocolo HTTPS Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto),

Más detalles

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos 4. Sistema de Gestión de la Calidad Figura N 1. Estructura del capítulo 4, Norma ISO 9001:2008. La Norma ISO 9001: 2008

Más detalles

Pontificia Universidad Católica del Ecuador Oficina de Seguridad de la Información

Pontificia Universidad Católica del Ecuador Oficina de Seguridad de la Información PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR VICERRECTORADO OFICINA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DETALLADA DE USUARIO FINAL PARA LA SEGURIDAD DE LA INFORMACIÓN OSI-PDUF VERSIÓN: 1.0: Aprobada

Más detalles

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.

Más detalles

SEGURIDAD INFORMATICA. 1. Investiga el significado de los siguientes términos relacionados con la seguridad informática:

SEGURIDAD INFORMATICA. 1. Investiga el significado de los siguientes términos relacionados con la seguridad informática: SEGURIDAD INFORMATICA 1. Investiga el significado de los siguientes términos relacionados con la seguridad informática: Virus: Es un software que se infiltra y daña el ordenador que tiene como función

Más detalles

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.es KASPERSKY FRAUD PREVENTION 1. Formas de atacar a la banca online El primer motivo del cibercrimen es hacer dinero y las sofisticadas bandas criminales

Más detalles

PARTE I. TECNICAS DE DESARROLLO

PARTE I. TECNICAS DE DESARROLLO INDICE Introducción XVII PARTE I. TECNICAS DE DESARROLLO 1 Capitulo 1. Cifrado 3 Archivos de Practicas 4 Resúmenes Hash 5 Cifrado de Clave Privado 10 Como Mantener Seguras las Claves Privadas 14 Cifrado

Más detalles

Privacidad y Protección de la Información, Mito o Realidad

Privacidad y Protección de la Información, Mito o Realidad Privacidad y Protección de la Información, Mito o Realidad Eduardo Cocina, CISA, CGEIT, CRISC Socio Deloitte Ivan Campos, CISSP, CISA, CGEIT, CRISC, ITIL Gerente Senior Deloitte Problemática Actual Mito

Más detalles

Webinar Gratuito OWASP WebScarab

Webinar Gratuito OWASP WebScarab Webinar Gratuito OWASP WebScarab Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 30 de Enero

Más detalles

Descripción general printeract, Servicios remotos de Xerox

Descripción general printeract, Servicios remotos de Xerox Descripción general de printeract, Servicios remotos de Xerox 701P28670 Descripción general printeract, Servicios remotos de Xerox Un paso en la dirección correcta Diagnostica problemas Evalúa datos de

Más detalles