INSTITUTO CIBERNÉTICA, MATEMÁTICA Y FÍSICA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INSTITUTO CIBERNÉTICA, MATEMÁTICA Y FÍSICA"

Transcripción

1 INSTITUTO CIBERNÉTICA, MATEMÁTICA Y FÍSICA METODOLOGÍA PARA ELEVAR LOS NIVELES DE SEGURIDAD INFORMÁTICA EN APLICACIONES WEB MEDIANTE EL ANÁLISIS DE INYECCIONES SQL CON EL EMPLEO DE TÉCNICAS DE MINERÍA DE DATOS. Tesis presentada en opción al título de Máster en Cibernética Aplicada. Mención: Minerí de Datos. Autor: Ing. ROGFEL THOMPSON MARTÍNEZ Tutor: Dr. C. Armando Plasencia Salgueiro. Tutor: Dr. C. Jorge Sergio Menéndez Pérez. La Habana

2 AGRADECIMIENTOS

3 DEDICATORIA

4 RESUMEN Las tecnologías y software desarrollados en el mundo son un producto de la inteligencia del conocimiento humano, y como producto de este último, no están exentas de errore Estos errores en los software y tecnologías, conocidos comúnmente como vulnerabilidade son provocados por malas prácticas, por problemas de seguridad informática cometid durante el desarrollo; por el uso de otras tecnologías que tienen vulnerabilidades, o p problemas de configuración. Las vulnerabilidades informáticas pueden ser aprovechas p intrusos con la intención de obtener información de un sistema, o adueñarse de él, violand normas de seguridad establecidas. Un tipo de ataque a las vulnerabilidades de los software son las inyecciones de Lengua de Consulta Estructurada (SQL, por sus siglas en inglés), las cuales consisten en inserción o inyección de una consulta SQL, a través de los datos de entrada que posee las aplicaciones, o mediante el Localizador de Recurso Uniforme (URL, por sus siglas e inglés). Con el objetivo de que los administradores de sistemas y usuarios conozcan l vulnerabilidades que van apareciendo en los software y tecnologías, se han creado bases datos que contienen esta información. Las Bases de Datos de Vulnerabilidades, como so conocidas comúnmente, estandarizan los registros de vulnerabilidades y brinda información de las posibles soluciones a los problemas de seguridad que representan. Con el volumen de información de las Bases de Datos de Vulnerabilidades, se puede aplicar técnicas que permiten detectar patrones en grandes conjuntos de datos, el conjun de estas técnicas se conocen como Minería de Datos. La Minería de Datos tiene com objetivo reunir las ventajas de varias áreas como la Estadística, la Inteligencia Artificial, Computación Gráfica, las Bases de Datos y el Procesamiento Masivo, usando com

5 ÍNDICE INTRODUCCIÓN... CAPÍTULO 1: MARCO TEÓRICO DE LAS INYECCIONES SQL INTRODUCCIÓN SITUACIÓN DE LA SEGURIDAD INFORMÁTICA INYECCIONES SQL Proceso de inyección de una aplicación Web TÉCNICAS PARA MITIGAR AMENAZAS DE INYECCIONES SQL Protección en Tiempo Real Firewall de Aplicaciones Web Filtros de Intercepción Firewall de Base de Datos Firewall Semántico de Aplicaciones Web CONCLUSIONES DEL CAPÍTULO 1... CAPÍTULO 2: METODOLOGÍAS DE MINERÍA DE DATOS Y DE EVALUACIÓN DE RIESGOS INTRODUCCIÓN METODOLOGÍA METODOLOGÍAS PARA EL PROCESO DE MINERÍA DE DATOS SEMMA CRISP-DM Comparación SEMMA vs. CRISP-DM Decisión sobre la metodología de minería de Datos METODOLOGÍAS PARA EL ANÁLISIS DE RIESGOS Técnicas de Análisis de Riesgos Metodologías para la Gestión y el Análisis de Riesgos Decisión sobre el Proceso de Análisis de Riesgos CONCLUSIONES DEL CAPÍTULO 2...

6 CONCLUSIONES GENERALES... RECOMENDACIONES... REFERENCIAS BIBLIOGRÁFICAS... ANEXOS... ANEXO 1... ANEXO 2... ANEXO 3... ANEXO 4... ANEXO 5... ANEXO Modelado Evaluación Despliegue CONCLUSIONES DEL CAPÍTULO 3... CAPÍTULO 4: VALIDACIÓN DE LA METODOLOGÍA PARA MITIGAR INYECCIONES SQL INTRODUCCIÓN COMPRENSIÓN DEL NEGOCIO ANÁLISIS DE RIESGOS DEL NEGOCIO COLECCIÓN Y PREPARACIÓN DE DATOS MODELADO EVALUACIÓN DESPLIEGUE CONCLUSIONES DEL CAPÍTULO 4...

7 INTRODUCCIÓN La seguridad de la información es un proceso exigente y dinámico que requiere habilidad para mantener en movimiento constante el ojo crítico de su responsable frente la inseguridad, no solo para crear la sensación de confiabilidad requerida por l usuarios del sistema, sino para que, vinculando a estos últimos en la conquista de la n linealidad de la inseguridad, se construya de manera conjunta una distinción real evidente de un ambiente controlado y confiable, mas no seguro (Cano, 2010). En el mundo contemporáneo, la información es protegida y cuidada con mucho celo, y que puede representar la ventaja en el mercado, el aumento de clientes y la seguridad que estos continúen siéndolos. Los mecanismos para prevenir las vulnerabilidades qu puedan afectar la información, deben estar en creciente investigación, para segu garantizando la protección de los datos. En Cuba, con el creciente uso de las nuevas tecnologías, la protección de la información una obligación de toda entidad nacional. Así se expresa en el decreto Ley 199 de 199 sobre la Seguridad y Protección de la Información Oficial (CE, 1999), y por la Resolució 127 del Ministerio de la Informática y las Comunicaciones, donde se especifican l políticas a cumplir por las entidades cubanas que utilicen tecnologías de la informació (MIC, 2007). El uso de las tecnologías de la información, trae consigo la obtención mayor eficiencia y rentabilidad en muchos sectores de la economía nacional; por lo que protección de esta, es un interés de Seguridad Nacional. Con el objetivo de que los administradores de sistemas y usuarios conozcan l vulnerabilidades que van apareciendo, se han creado bases de datos internacionales qu contienen estas informaciones, las estandarizan para una mejor organización, y brind soluciones a los problemas de seguridad presentes en las tecnologías y herramientas. Est

8 Se entiende por Minería de Datos: La integración de un conjunto de áreas que tienen com propósito la identificación de un conocimiento obtenido a partir de las bases de datos qu aporten un sesgo hacia la toma de decisión (Vallejos, 2006). Una de las vulnerabilidad que se encuentran registradas en estas bases de datos son las Inyecciones SQL, con más registros. Situación problémica. En el campo de la inseguridad, las amenazas de Inyecciones SQL son un problema latent ubicadas entre los tipos de vulnerabilidades más peligrosas del mundo informático ya q estas poseen un acceso directo a la información de las bases de datos de los sistemas. Las Inyecciones SQL consisten en la inserción o inyección de una consulta SQL través de los datos de entrada que facilita el cliente a la aplicación. Considerados como un de los principales problemas de seguridad, los ataques de inyección SQL explotan fallos los software con el fin de acceder a bases de datos. Su objetivo es inyectar códig malicioso en la URL o campos de textos, de páginas web vulnerables, con el fin de robar contenido de las bases de datos, como los detalles de las tarjetas de crédito o nombres d usuarios y contraseñas. Durante el segundo trimestre del año 2012 se detectaron atasques de inyección SQL, un 89% más respecto a los ataques del trimest anterior, según cifras de la empresas de seguridad FireHost (NetMediaEurope, 2012). L gravedad de este tipo de amenazas se incrementa constantemente, debido a que su objetiv es adquirir los datos privados de una compañía o persona, los cuales constituyen, en la e de la información, la base para el perfeccionamiento de las empresas. Realizando un estudio apoyado con técnicas de Minería de Datos, se puede elaborar u metodología para filtrar posibles ataques de Inyecciones SQL. Por esta razón se plantea como problema de investigación:

9 Hipótesis: Una metodología que aplique las técnicas de Minería de Datos para el análisis d Inyecciones SQL, permitirá elevar los niveles de seguridad informática en aplicacion web. Objeto de estudio: Seguridad Informática en aplicaciones web. Campo de acción: Inyecciones SQL. Límites de la investigación. Mitigar amenazas de inyecciones SQL a nivel de aplicación. Objetivo general de investigación: Elaborar una metodología centrada en técnicas de Minería de Datos para mitigar amenaz de Inyecciones SQL. Objetivos específicos: Analizar la situación actual de las amenazas de inyecciones SQL. Definir los procesos de la metodología para mitigar inyecciones SQL con técnicas Minería de Datos. Desarrollar la metodología diseñada para mitigar inyecciones SQL en un ca

10 Análisis de la tipología de Inyecciones SQL, sus técnicas, herramientas y tendenci desarrolladas para mitigarlas. Análisis de metodologías de Análisis de Riesgos y Minería de Datos. Confección de los procesos de la metodología para mitigar inyecciones SQL co técnicas de Minería de Datos. Aplicación de la metodología diseñada para mitigar inyecciones SQL en un ca específico. Aplicación del método de Monte Carlo para la validación de la investigación. Aplicación del método Experto tutor para la validación de la investigación. Métodos de investigación: Teóricos. Analítico-sintético, modelación, inductivo-deductivo, sistémico, histórico-lógic dialéctico-materialista, hipotético-deductivo. Empíricos. Observación, medición, experimentación. Experimentos: Comparación de técnicas de Minería de Datos para determinar cuáles son m eficaces en el análisis de inyecciones SQL. Comprobación de la validez de la metodología mediante la simulación Monte Carlo un sistema Experto Tutor.

11 comportamiento en las Inyecciones SQL. Esto permite la conjugación de las áreas d Seguridad Informática en aplicaciones web y Minería de Datos, de las cuales no abunda muchas investigaciones anteriores, a excepción de los Sistemas de Detección de Intrus Para la evaluación del funcionamiento de la metodología se pretende emplear el Método Simulación de Monte Carlo; este es un método estadístico numérico, usado para aproxim expresiones matemáticas complejas y costosas de evaluar con exactitud; el uso de es método aplicado a las tecnologías de la información es bastante escaso. Justificación de la investigación. La extracción de conocimiento a partir de datos es un paradigma relativamente modern que integra numerosas técnicas de análisis de datos y extracción de modelos. La cienc que se encarga de realizar esos análisis y extraer los patrones o modelos a niv organizacional es la Minería de Datos. En particular, las necesidades de mejorar la productividad y la calidad de las produccion y servicios hacen que las empresas y organizaciones en general, estén interesadas en un explotación inteligente de sus bases de datos a través de la minería (Plasencia, 2011). En el caso de la seguridad en aplicaciones, si se combinan, estas técnicas con las bases d datos de vulnerabilidad, se pueden mitigar muchos problemas que presentan est software. Disminuir las brechas de seguridad de las aplicaciones representa un disminución de pérdidas por conceptos de ataques, mayor protección para los datos de entidad, y mayor confianza por parte de los clientes. Las técnicas de Minería de Datos permitirán mitigar amenazas conocidas y no conocida Mitigar inyecciones SQL con estas técnicas, disminuirá la pérdida de datos, debido a est amenazas.

12 La tesis se ha estructurado en cuatro capítulos para brindar una mejor descripción en investigación. Capítulo 1. Marco Teórico de las Inyecciones SQL: se describe la problemáti existente en torno a las inyecciones SQL, se exponen las ideas esenciales sobre tecnologí y herramientas que intentan mitigar su amenaza. Capítulo 2. Metodología de Minería de Datos y de Evaluación de Riesgos: se propon las metodologías de Minería de Datos y Análisis de Riesgos más convenientes pa desarrollar la metodología para mitigar inyecciones SQL. Capítulo 3. Desarrollo de la Metodología para Mitigar Inyecciones SQL: se propo una metodología para mitigar inyecciones SQL, en la que se combinan técnicas de Miner de Datos con la gestión de riesgos; y se describen cada una de las fases a seguir para d cumplimiento a dicha metodología. Capítulo 4. Evaluación de la Metodología para Mitigar Inyecciones SQL: se utiliz para la evaluación y validación de la propuesta, el método estadístico numérico de Mon Carlo y el sistema Experto Tutor. Se han consultado 77 referencias bibliográficas procedentes fundamentalmente de sitio internet y libros de Seguridad Informática. También de estas 77 referencias correspond varias a sitios y libros de Minería de Datos.

13 CAPÍTULO 1: MARCO TEÓRICO DE LAS INYECCIONES SQL 1.1 Introducción El almacenamiento de los datos e información siempre es materia de análisis y revision en las organizaciones del siglo XXI. Un reciente estudio de ESG Research (ES RESEARCH 2009), sobre las bases de datos, muestra que un alto porcentaje de ell dependen de procesos manuales y que no cuentan con apropiadas medidas de seguridad, d acuerdo con la información, generalmente catalogada como confidencial, que permane en ellas (Cano, 2010). El acceso de extraños a la información de una entidad o empresa puede ocasionarl terribles pérdidas en su mercado, o en la reputación frente a sus clientes. En este capítulo se tratará sobre los problemas de la seguridad de la información y e específico las inyecciones SQL que son la esencia de esta investigación, así como, l técnicas conocidas para mitigarlas. 1.2 Situación de la seguridad informática La creatividad de los atacantes, las singularidades de los usuarios y la materialización d malas prácticas, establecen las bases para que ocurran los incidentes de seguridad. Duran los últimos 10 años, las fallas propias relacionadas con las aplicaciones, el estud detallado de funciones de los lenguajes de programación, los casos de mal uso y abuso d software, así como, el creciente uso de las comunicaciones han marcado la historia de seguridad de la información. La seguridad informática, y de forma más genérica la seguridad de la información, entiende como un conjunto de acciones metodológicas y herramientas cuyo objeti principal es proteger a la información, y por ende a los sistemas informáticos, an

14 El término vulnerabilidad, para la Seguridad Informática se refiere, a cualquier error programación o mal configuración, que pudiera permitir a un intruso obtener acceso n autorizado. Esto incluye cualquier problema, desde una contraseña débil en un router 1, un error de programación sin corregir en un servicio de red. 1.3 Inyecciones SQL En una noticia de junio del 2002 del Instituto Nacional de Estándares y Tecnologías d Estados Unidos (NIST, por sus siglas en inglés), se refiere que los problemas y errores seguridad en los software le cuestan a su economía un estimado de 59,5 mil millones dólares anualmente, lo que representa un 0,6 % del producto interno bruto del país; estima que con una infraestructura de pruebas para eliminar los defectos de seguridad pudiera recuperar 22,2 mil millones de dólares (NIST, 2002). Teniendo en cuenta el u de prácticas seguras en el ciclo de desarrollos, los costos en pérdidas por seguridad pueden reducir mucho más y puede contribuir a reducir los costos en mantenimient (NIST, 2002). Los software con problemas de seguridad tienen una repercusión negativa para l empresas desarrolladoras, podiendo ocasionar un impacto negativo en su mercad (Wikinoticias, 2005). Las aplicaciones Web son las más expuestas a las amenazas existentes. Uno de los ataqu más comunes en los sistemas son: las inyecciones SQL. Una información de USA TODAY 2, actualizada el 17 de Marzo del 2009, refleja que compañía de seguridad informática IBM Internet Security Systems 3 informa que en l últimos 3 meses del 2008, se presentó un 50% de ataques a sitios Web median

15 inyecciones SQL superior a todo el Este articulo refleja que las inyecciones SQ tienen un rápido crecimiento entre los tipos de ataques a sistemas Web (Acohido, 2010). Las fallas de inyección, en particular la inyección SQL, son comunes en aplicaciones We Un ataque de Inyección SQL consiste en la inserción o inyección de datos en un consulta SQL desde un cliente de la aplicación. El éxito de una inyección SQL es: le datos sensibles de la base de datos, modificar los datos (insertar/actualizar/borrar), realiz operaciones de administración sobre la base de datos (como reiniciar el Sistema de Gestió de Bases de Datos (DBMS, por sus siglas en inglés)), recuperar el contenido de un archiv del sistema de archivos del DBMS y, en algunos casos, ejecutar órdenes en el sistem operativo (OWASP, 2007). Existen distintos tipos de inyecciones: SQL, XML 4, LDAP 5, XPath 6, XSLT 7. HTML inyección de órdenes en el sistema operativo y otras. En el peor de los escenarios, est fallas permiten a un atacante comprometer totalmente la aplicación y los sistem subyacentes, incluso, sobrepasar entornos con cortafuegos (OWASP, 2007). Según el OWASP Top , las fallas por inyecciones se encuentran en la posición entre las vulnerabilidades más seria de aplicaciones Web (OWASP, 2010). Todas las plataformas de aplicación Web que usen intérpretes o invoquen otros proces son vulnerables a las fallas de inyección, esto incluye cualquier componente del marco d trabajo, que pueda usar intérpretes en la capa de bases de datos (OWASP, 2010). Entre los errores de programación más dañinos del 2011 presentados por la Comunid Desarrolladora del Diccionario de Debilidades del Software CWE (CWE, 2011), 4 XML, es un lenguaje de marcas desarrollado por el World Wide Web Consortium (W3C). 5 LDAP (en español Protocolo Ligero de Acceso a Directorios) que hacen referencia a un protocolo a niv

16 Las inyecciones SQL son permitidas por las aplicaciones Web, debido a que estas encuentran las inyecciones SQL que prevalecen como una alta debilidad de los sistemas en contraste poseen un bajo costo de erradicación. En la Universidad de Ciencias Informática (UCI) se lleva a cabo el desarrollo de softwa de exportación. La seguridad debe ser unos de los pilares para fortalecer la soberan tecnológica y la calidad de un software. Los ataques de Inyección SQL están divididos en las tres siguientes clases: Inband: los datos son extraídos usando el mismo canal que es usado para inyectar código SQL. Este es el tipo de ataque más simple, en el que los datos recibidos muestran en la propia aplicación Web. Out-of-band: los datos son extraídos usando un canal diferente (por ejemplo, un corre con el resultado de la consulta es generado y enviado al auditor) Inference: no hay transferencia de datos, pero el auditor puede reconstruir información enviando peticiones y observando el comportamiento que mantiene servidor de bases de datos. Independientemente del tipo de ataque, una Inyección SQL correcta requiere que atacante pueda construir una consulta SQL correcta. Si la aplicación devuelve un mensa de error a causa de una consulta incorrecta, entonces es fácil reconstruir de forma lógica consulta original, y entender cómo realizar una inyección correctamente. Sin embargo, si aplicación oculta los mensajes de error, un auditor puede conseguir mediante ingenier inversa la lógica de la consulta original. Este último caso se conoce como Inyección SQ Ciega (Blind SQL Injeccion, por sus siglas en inglés) (OWASP, 2007) Proceso de inyección de una aplicación Web

17 2. El servidor Web localiza la página y la envía al servidor de aplicaciones. servidor de aplicaciones es un software encargado de interpretar la petición d navegador y finalizar la confección de la página. 3. El servidor de aplicaciones busca instrucciones en la página. 4. El servidor de aplicaciones envía la consulta al controlador de la base de datos. controlador de bases de datos es un software intérprete entre el servidor aplicaciones y la base de datos. 5. El controlador ejecuta la consulta en la base de datos. 6. La información asociada a la consulta se devuelve al controlador. 7. El controlador pasa la información al servidor de aplicaciones. 8. El servidor de aplicaciones inserta los datos en la página y las transfiere al servid Web. 9. El servidor Web envía la página, ya confeccionada, al navegador solicitan (Macromedia, 2004). Para una mayor comprensión del flujo del funcionamiento de una aplicación Web, v figura 1, en el anexo 1. Un usuario mal intencionado puede, como parte de la petición del navegador Web, insert una inyección SQL, la que le permitirá acceder a los registros de la bases de datos. Sin un mitigación adecuada de las inyecciones SQL, las bases de datos quedan expuestas a s amenazas. Otro gran problema para mitigar estas amenazas, es que las inyecciones SQ en su mayoría, pueden ser específicas para un servidor de aplicaciones (PHP, AS JAVA) 9. Además, si esto se combina con la diversidad de Frameworks 10 que existen pa

18 Debido a la peligrosidad de esta amenaza se han desarrollado varias herramientas técnicas que logran mitigar las inyecciones SQL conocidas. 1.4 Técnicas para mitigar amenazas de inyecciones SQL Las técnicas para mitigar las amenazas de inyecciones SQL se agrupan en dos áreas: Las de Defensa a Nivel del Código, consiste en asegurar el código desde las fases implementación del proyecto. En esta área, se aplican las técnicas de parametrización las sentencias, validación de entradas de información, codificación de la salida información, canonización y las buenas prácticas de diseño de las aplicaciones. Las de Defensa a Nivel de Plataforma o Aplicación, que consisten en asegurar software desplegado. Entre las técnicas que posee se encuentran las de protección tiempo real, buenas prácticas de seguridad y las prácticas de seguridad en el despliegue. Para el desarrollo de la investigación se seleccionó trabajar en el área de Defensa a Niv de Plataforma, ya que sus técnicas no dependen de las especificidades del proyecto, ni d lenguaje con que se desarrolló la aplicación. Dentro de esta área se pretende profundizar e las técnicas de tiempo real Protección en Tiempo Real La protección en tiempo real es una técnica de gran valor para mitigar y prevenir l amenazas de inyecciones SQL conocidas. Reparar directamente el código siempre es solución ideal; sin embargo, el esfuerzo requerido no siempre es efectivo ni práctico. Entre las estrategias que asumen la protección en tiempo real para mitigar los problemas seguridad, debido a las vulnerabilidades de los sistemas a inyecciones SQL, se encuentra los Firewall de Aplicaciones Web (WAF, por sus siglas en inglés).

19 1.4.2 Firewall de Aplicaciones Web Los WAFs, son una emergente tecnología de la seguridad de la información que tiene com objetivo proteger a las aplicaciones Web de los ataques informáticos. Las solucion WAFs, son capaces de prevenir ataques que para los Firewall de Redes y los Detectores d Intruso, es imposible prevenir. En la actualidad los ataques informáticos son cada vez más sofisticados, por lo que es d vital importancia desarrollar criterios estandarizado para evaluar los productos. En el ca de los WAFs, el Consorcio de Seguridad en Aplicaciones Web (WASC, por sus siglas inglés), ha desarrollado un criterio para evaluar los WAFs en cuanto a técnicas detección, técnicas de protección, gestión de log 11, administración, entre otros (WAS 2006). Mediante este Consorcio, se garantiza un desarrollo creciente de esta tecnología, la hace más eficaz para contrarrestar ataques a las aplicaciones Web. Los WAFs, son típicamente módulos embebidos en los servidores Web o aplicaciones, co un grado mínimo de configuración. Existen dos tipos fundamentales de Firewall d Aplicaciones: los basados en software y los basados en hardware. Entre las principal ventajas de los WAFs basado en software, se encuentran que la infraestructura Web mantiene sin cambios, y la comunicación HTTP 12 /HTTPS 13 se maneja sin problemas, que funcionan alojados en el mismo servidor Web o aplicación. Los WAFs basados hardware, no consumen recursos del servidor Web y se puede proteger múltipl aplicaciones Web de diferentes tecnologías. Los WAFs a menudo son llamados "firewalls de inspección profunda de paquetes", porq se ven en cada solicitud y respuesta dentro de los protocolos HTTP / HTTPS / SOAP 1 11 Log es un registro oficial de eventos durante un rango de tiempo en particular.

20 XML-RPC 15 / capas de servicio Web. Algunos Cortafuegos de Aplicación Web busc ciertas firmas de ataque, para tratar de identificar un ataque específico que un intru puede enviar; mientras que otros, buscan un comportamiento anormal, que no se ajusta los sitios web de los patrones normales de tráfico. Poseen técnicas de protección cont ataques de fuerza bruta, ataques de sección; protegen las cookie del sistema, los campos los formularios ocultos y los parámetros URL, dentro del cual emplean estrategias pa mitigar inyecciones SQL. ModSecurity. Entre los desarrollos más representativo en esta tecnología se encuentra ModSecurity, cual se implementó como un módulo de Apache; sin embargo, él puede proteger cualquie aplicación Web siempre que el Servidor Apache se configure como un proxy invers Entre sus principales funcionalidades se encuentran (ModSecurity, 2011): Filtrado de Peticiones: Las peticiones entrantes son analizadas antes de pasarlas al servid web, o a cualquier otro módulo de Apache. Para realizar este filtrado se puede utiliz expresiones regulares, lo cual lo hace muy flexible. Técnicas Anti-evasión: Los paths 16 y los parámetros son normalizados antes d análisis para evitar técnicas de evasión. o Elimina múltiple barras (//) o Elimina directorios referenciados por si mismos (./) o Tratamiento de \ y / de manera igual (en Windows) o Decodificación de URL. o Reemplazo de bytes 17 nulos por espacios (%00)

21 Comprensión del protocolo HTTP: Al comprender el protocolo HTTP, pue realizar filtrados muy específicos y granulares. Podemos analizar un camp específico de un formulario, de una página en particular. Análisis POST 18 Payload 19 : Intercepta y analiza el contenido transmitido a trav del método POST. Auditoría de Logs: Es posible loguear con detalle (incluidas las peticiones POST para un posterior análisis Forense. Filtrado HTTPS: Al estar embebido como módulo tiene acceso a los datos despu de que estos hayan sido descifrados. Filtrado de Contenidos Comprimidos: Al igual que la funcionalidad anterior, tie acceso a los datos después de la descompresión. Verificación del Rango de Byte: Sirve para detectar y bloquear shellcodes 20, esto puede lograr limitando el rango de los bytes. Varias compañías del área de seguridad informática ya poseen sus WAF comerciales, ent los que se encuentran: Profense, Citrix, F5, Cisco, Trustware. Existe también el caso de compañía Qualys que posee un proyecto de desarrollo en software libre de su WAF, el cu nombra IronBee. IronBee. IronBee, es llevado por el equipo que diseñó y construyó ModSecurity, el nuevo proyec apunta a producir un firewall de aplicación web que sea seguro, de alto rendimient portable, y libremente disponible incluso para el uso comercial. 17 Byte es una secuencia de bits contiguos, cuyo tamaño depende del código de información o código

22 El proyecto IronBee está abierto a todas las partes interesadas en unirse al esfuerzo d desarrollo y proporcionar: Un motor de inspección de seguridad de aplicaciones que proporciona nuev herramientas de procesamiento y análisis para el tráfico HTTP. Apache Software License v2, una licencia de código abierto no viral que permite los individuos y las organizaciones comerciales por igual a participar, creando un comunidad de usuarios, así como una comunidad de desarrolladores. Portabilidad, construido desde cero para trabajar en varios modos d implementación, tales como pasiva, embebida, fuera de proceso, y de prox reverso. Arquitectura modular, permitirá a los contribuyentes a implementar fácilmente s propios módulos sin necesidad de comprensión profunda de la arquitectu IronBee, así como también más sencilla la integración de módulos particulares pa cada usuario. Esfuerzo de colaboración de la Comunidad con el fin de captar, centralizar compartir la información necesaria para defender a las aplicaciones we (virusinformatico.net, 2011) Filtros de Intercepción Otra solución de seguridad son los Filtros de Intercepción, que consisten en una serie d módulos independientes, que se pueden encadenar para mejorar el análisis de seguridad e la aplicación. Los Filtros no tienen dependencias explícitas entre ellos, se puede añadir u nuevo filtro, sin dañar el funcionamiento de uno existente. Cada filtro posee una secuenc de patrones que le permiten denegar o permitir la interacción entre el cliente y el servid

23 respuestas que están débilmente acoplados con la lógica de la aplicación principa También son buenos para funciones de seguridad como validación de entradas, generació de log de envíos y de respuestas, y en la transformación de las respuestas de salida. E muchas arquitecturas se propone el uso de filtros de seguridad en los servidores Web y los módulos de framework de aplicaciones, dándole un mayor nivel de seguridad aplicand estas 2 estrategias. Muchos de los Filtros de Seguridad, emplean una lista de sentencias q no deben ser permitidas (BlackList, por sus siglas en inglés), y en otras las permitid (WhiteList, por sus siglas en inglés), la combinación de estos filtros perfecciona el anális de seguridad. Entre los desarrollos realizados en esta tecnología se encuentra el API libre, UrlScan Microsoft, para el servidor Internet Information Server (IIS) 22 y WebKnight con l mismas características. Por lo general, todos los marcos de trabajos (framework) para Web, presentan filtros para mitigar los ataques de inyecciones SQL y otras amenazas de l aplicaciones Web. Como otra estrategia de seguridad para mitigar las amenazas de inyecciones SQL utilizan los Sistemas de Detección de Intruso de Aplicaciones (IDS, por sus siglas inglés). Estos trabajan con los logs generados por el sistema buscando, en base a anomal o violación de reglas definidas Firewall de Base de Datos Una de las estrategias más cercana a los sistemas de almacenamiento de información so los Firewall de Bases de Datos, que es esencialmente un servidor proxy que se encuent entre la aplicación y la base de datos. La aplicación se conecta al servidor de seguridad d bases de datos y envía la consulta como si se tratara normalmente la acción de conectarse la base de datos. El servidor de seguridad de la base de datos, analiza la consulta prevista la transfiere al servidor de base de datos para ser ejecutado, si se considera segur

PROPUESTA DE UN MODELO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

PROPUESTA DE UN MODELO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN PROPUESTA DE UN MODELO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Rogfel Thompson Martínez 1 Centro Telemática. UCI. La Habana. rthompson@uci.cu RESUMEN Las tecnologías y software desarrollados en el

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Capítulo 1. Introducción. 1.1. Antecedentes

Capítulo 1. Introducción. 1.1. Antecedentes Capítulo 1. Introducción En este capítulo se presenta una descripción general del problema a investigar y el enfoque con el que se aborda. Se establece la necesidad de incorporar técnicas de análisis novedosas

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

El monitoreo de una variable física requiere supervisión permanente de señales que

El monitoreo de una variable física requiere supervisión permanente de señales que Capítulo 1 Marco Contextual 1.1. Formulación del problema 1.1.1. Definición del problema El monitoreo de una variable física requiere supervisión permanente de señales que varían con el tiempo. Tal información,

Más detalles

Metodología de Ingeniería del Software para el desarrollo y mantenimiento de sistemas de información del Gobierno de Extremadura

Metodología de Ingeniería del Software para el desarrollo y mantenimiento de sistemas de información del Gobierno de Extremadura Metodología de Ingeniería del Software para el desarrollo y mantenimiento de sistemas de información del Gobierno de Extremadura Página 1 de 23 Índice del Documento 1.- Introducción... Página 4 2.- Propuesta

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

ISEC Lab #4. Firewall de Aplicación con Mod_Security. Christian Martorella cmartorella@isecauditors.com

ISEC Lab #4. Firewall de Aplicación con Mod_Security. Christian Martorella cmartorella@isecauditors.com ISEC Lab #4 Firewall de Aplicación con Mod_Security Christian Martorella cmartorella@isecauditors.com Índice 1.Introducción...3 2. Qué es y para que sirve?...4 3.Ventajas... 5 4.Características y Funcionalidades...6

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

Como diseñar y mantener una red de control industrial segura

Como diseñar y mantener una red de control industrial segura Autores: Daniel Trivellato, Ph D SecurityMatters Product Manager Industrial Line Roy Murphy, MSC Senior ICS Security Engineer 16 de Junio de 2015 Traducido por Enrique Martín García Telvent Global Services

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com New Generation Secure your Network Totally Reloaded www.hauri-la.com Menos Trabajo + Protección Completa Más Características Simplifica tus tareas administrativas a través del Administrador del Historial

Más detalles

TALLER MANUEL ARROYAVE HENAO PRESENTADO A:

TALLER MANUEL ARROYAVE HENAO PRESENTADO A: TALLER DESCUBRIENDO OTRAS HERRAMIENTAS DE SW AUDITORIA MANUEL ARROYAVE HENAO JHON FREDY GIRALDO PRESENTADO A: CARLOS HERNAN GÓMEZ INGENIERO DE SISTEMAS UNIVERSIDAD DE CALDAS FACULTAD DE INGENIRIAS INGENIERIA

Más detalles

CICLO SUPERIOR DESARROLLO DE APLICACIONES MULTIPLATAFORMA

CICLO SUPERIOR DESARROLLO DE APLICACIONES MULTIPLATAFORMA CICLO SUPERIOR DESARROLLO DE APLICACIONES MULTIPLATAFORMA PROGRAMACIÓN DIDACTICA ANUAL Parte específica del módulo: 0485. Programación Departamento de Familia Profesional de Informática Curso: 2014-15

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

CAPITULO III ANÁLISIS

CAPITULO III ANÁLISIS 69 CAPITULO III ANÁLISIS 3. 1. METODOLOGIA PARA EL DESARROLLO DEL PORTAL Para el desarrollo de este software se utilizará el paradigma más conocido en ingeniería de software: Paradigma lineal o secuencial,

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

SISTEMAS DE PLANEACIÓN DE RECURSOS EMPRESARIALES 2008

SISTEMAS DE PLANEACIÓN DE RECURSOS EMPRESARIALES 2008 SISTEMAS DE PLANEACIÓN DE RECURSOS EMPRESARIALES 2008 Por qué es Necesario Implementar un ERP? Las tendencias actuales y futuras están obligando a las empresas a aumentar su competitividad, por lo que

Más detalles

Guía rápida de instalación

Guía rápida de instalación Guía rápida de instalación Microsoft Windows Vista / XP / 2000 / 2003 / 2008 Protegemos su Mundo Digital ESET Smart Security le provee a su computadora protección de última generación contra códigos maliciosos.

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

CUALIFICACIÓN SISTEMAS DE GESTIÓN DE INFORMACIÓN PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN SISTEMAS DE GESTIÓN DE INFORMACIÓN PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN SISTEMAS DE GESTIÓN DE INFORMACIÓN PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC304_3 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 17 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

DESARROLLO DE APLICACIONES CON TECNOLOGÍAS WEB PROFESIONAL

DESARROLLO DE APLICACIONES CON TECNOLOGÍAS WEB PROFESIONAL Página 1 de 21 CUALIFICACIÓN DESARROLLO DE APLICACIONES CON TECNOLOGÍAS WEB PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC154_3 Versión 5 Situación RD 1087/2005 Actualización

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

Modelo de Negocios para la Seguridad de la Información.

Modelo de Negocios para la Seguridad de la Información. Modelo de Negocios para la Seguridad de la Información. El Modelo de Negocios de Seguridad de la Información (BMIS, Business Model for Information Security) se originó en el Institute for Critical Information

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

Unicenter Asset Management versión 4.0

Unicenter Asset Management versión 4.0 D A T A S H E E T Unicenter Asset Management versión 4.0 Unicenter Asset Management es una completa solución para gestionar los activos TI de su entorno empresarial de forma activa. Proporciona funciones

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

Recomendaciones de Seguridad para Web sites implementados bajo Joomla!

Recomendaciones de Seguridad para Web sites implementados bajo Joomla! Recomendaciones de Seguridad para Web sites implementados bajo Joomla! Dirigido a: Secretarías de Educación que hacen uso del servicio de Web Hosting proporcionado por el Ministerio de Educación Nacional

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA...7 Tarea DSI 1.1: Definición de Niveles de Arquitectura...9 Tarea DSI 1.2:

Más detalles

Facultad de Ingeniería Informática. Informe de las Prácticas Profesionales

Facultad de Ingeniería Informática. Informe de las Prácticas Profesionales Facultad de Ingeniería Informática CEIS Informe de las Prácticas Profesionales Título: Informatización de los Procesos de Negocio Solicitud de Trabajo Extra laboral en el CITI, a través de la BPMS BizAgi

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015)

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015) AVG File Server Manual del usuario Revisión del documento 2015.08 (22.09.2015) C opyright AVG Technologies C Z, s.r.o. Reservados todos los derechos. El resto de marcas comerciales son propiedad de sus

Más detalles

INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2

INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2 Programa de Capacitación y Certificación. INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2 Contenido PERFIL DE UN ESPECIALISTA EN BASES DE DATOS.... 3 6231. MANTENIENDO UNA BASE DE DATOS DE SQL SERVER 2008

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELACIONES CON CLIENTES CUALIFICACIÓN PROFESIONAL

ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELACIONES CON CLIENTES CUALIFICACIÓN PROFESIONAL Página 1 de 23 CUALIFICACIÓN PROFESIONAL Familia Profesional Nivel 3 Código IFC363_3 Versión 5 Situación RD 1701/2007 Actualización ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS

Más detalles

Informe de avance Implementación herramientas de back-end (3-III).

Informe de avance Implementación herramientas de back-end (3-III). Proyecto RG-T1684 Desarrollo e implementación de las soluciones Prueba piloto del Componente III Informe Número 1. Informe de avance Implementación herramientas de back-end (3-III). Lautaro Matas 11/04/2013

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA... 7 Tarea DSI 1.1: Definición de Niveles de Arquitectura... 9 Tarea DSI

Más detalles

MS_10747 Administering System Center 2012 Configuration Manager

MS_10747 Administering System Center 2012 Configuration Manager Administering System Center 2012 Configuration Manager www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Introducción Este curso describe cómo

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Introducción. http://www.microsoft.com/spanish/msdn/comunidad/mtj.net/voices/art143.asp - Gráfica tomada del Artículo de José David Parra

Introducción. http://www.microsoft.com/spanish/msdn/comunidad/mtj.net/voices/art143.asp - Gráfica tomada del Artículo de José David Parra Si en otros tiempos el factor decisivo de la producción era la tierra y luego lo fue el capital... hoy día el factor decisivo es cada vez más el hombre mismo, es decir, su conocimiento... Juan Pablo II

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

12º Unidad Didáctica. Microsoft Internet Security and Acceleration Server ISA SERVER 2006. Eduard Lara

12º Unidad Didáctica. Microsoft Internet Security and Acceleration Server ISA SERVER 2006. Eduard Lara 12º Unidad Didáctica Microsoft Internet Security and Acceleration Server ISA SERVER 2006 Eduard Lara 1 ISA SERVER Es un firewall de stateful packet inspection (analiza el encabezado de los paquetes IP)

Más detalles

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia

Más detalles

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR ISO 27001:2013

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR ISO 27001:2013 EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR :2013 PRESENTACIÓN De acuerdo a las circunstancias y el ambiente diario que se vive hoy en día en nuestro país y en muchos otros lugares del mundo,

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

PROTECCIÓN ANTE LA INCERTIDUMBRE TECNOLOGÍA PROACTIVA B-HAVE DE BITDEFENDER PARA LUCHAR FRENTE A MÚLTIPLES AMENAZAS

PROTECCIÓN ANTE LA INCERTIDUMBRE TECNOLOGÍA PROACTIVA B-HAVE DE BITDEFENDER PARA LUCHAR FRENTE A MÚLTIPLES AMENAZAS PROTECCIÓN ANTE LA INCERTIDUMBRE TECNOLOGÍA PROACTIVA B-HAVE DE BITDEFENDER PARA LUCHAR FRENTE A MÚLTIPLES AMENAZAS El panorama actual de las amenazas en la red Tanto el panorama de la seguridad como la

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS

FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS A 3-Step Plan for Mobile Security Facilitando respuestas rápidas a los incidentes Resumen ejecutivo A medida que

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

Sisdata, C.A. Mejores Prácticas de Frameworks en la Web

Sisdata, C.A. Mejores Prácticas de Frameworks en la Web 2011 Sisdata, C.A. Mejores Prácticas de Frameworks en la Web Sistema de Gestión de Cambios de Arquitecturas El manual refleja las bondades, alcances y funcionalidad del sistema. Se describe su alineación

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 300 Miércoles 14 de diciembre de 2011 Sec. I. Pág. 135721 No debe interpretarse que los diversos espacios formativos identificados deban diferenciarse necesariamente mediante cerramientos. Las instalaciones

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Interoperabilidad. Conferencia: Presente y futuro de las SMART GRIDS en México. Ing. Alfredo Espinosa Reza aer@iie.org.mx

Interoperabilidad. Conferencia: Presente y futuro de las SMART GRIDS en México. Ing. Alfredo Espinosa Reza aer@iie.org.mx Interoperabilidad Conferencia: Presente y futuro de las SMART GRIDS en México Ing. Alfredo Espinosa Reza aer@iie.org.mx 29 de Octubre de 2013 Contenido Introducción. Estrategias para modelado y acceso

Más detalles

Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión de Relaciones con Clientes

Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión de Relaciones con Clientes Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión de Relaciones con Clientes Titulación certificada por EUROINNOVA BUSINESS SCHOOL Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

Capítulo I. Marco Teórico

Capítulo I. Marco Teórico 1 Capítulo I. Marco Teórico 1. Justificación Hoy en día existe una gran diversidad de aplicaciones que corren sobre la World Wide Web (WWW o Web), y cada una orientada a un fin en particular, el cuál depende

Más detalles

RESUMEN DE SERVICIOS

RESUMEN DE SERVICIOS RESUMEN DE SERVICIOS Confidencial Enero 2014 Tabla de contenido Análisis de vulnerabilidades... 4 Por qué contratar el servicio?... 4 Características... 4 Plataformas... 5 Por qué confiar en GAIDEN?...

Más detalles

ADMINISTRACIÓN Y PROGRAMACIÓN EN SIS- TEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELA- CIONES CON CLIENTES

ADMINISTRACIÓN Y PROGRAMACIÓN EN SIS- TEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELA- CIONES CON CLIENTES IFCT0610: ADMINISTRACIÓN Y PROGRAMACIÓN EN SIS- TEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELA- CIONES CON CLIENTES CÓDIGO ESPECIALIDAD C.P. PRESEN- CIALES TELEFORMA- CIÓN TOTALES

Más detalles

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Informe técnico Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Lo que aprenderá Los administradores del centro de datos se enfrentan

Más detalles

Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL

Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL PUNTOS DESTACADOS Presentación de RSA Security Analytics, que proporciona: Monitoreo de seguridad Investigación de incidentes Creación

Más detalles

Uso de los Servicios Web en la nueva arquitectura de N-Capas del Sistema Económico Integral Rodas XXI.

Uso de los Servicios Web en la nueva arquitectura de N-Capas del Sistema Económico Integral Rodas XXI. Ponencia para Evento de Redes. Autor: Rubén Rivera Rodríguez, Citmatel Resumen Uso de los Servicios Web en la nueva arquitectura de N-Capas del Sistema Económico Integral Rodas XXI. Las nuevas tendencias

Más detalles

Etapas del desarrollo

Etapas del desarrollo Capítulo 4 Etapas del desarrollo Este capítulo documenta la aplicación del modelo presentado anteriormente, para el caso de la detección y clasificación de eventos sísmicos sobre señales digitales. El

Más detalles

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE INTRODUCCIÓN El avance informático actual es muy alto comparado con lo se tenía en los años 90, al hablar de desarrollo de software se hace más notable, en el

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Juan Isaias Calderón CISSP, GCFA, ECSA, CEH, MCP jcalderon@trustwave.com SpiderLabs Lámina 1 Dr. Roberto Gómez C. Inseguridad de las aplicaciones Web De 300 sites auditados

Más detalles

7.1. ELEMENTOS DE SEGURIDAD. Capítulo 7

7.1. ELEMENTOS DE SEGURIDAD. Capítulo 7 Capítulo 7 La mejor forma de asegurar nuestro sistema Windows 8 cuando estamos utilizándolo es tomar parte en la seguridad del mismo de forma proactiva, interviniendo en ella con la importancia que merece.

Más detalles

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. 1 Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. Descripción del problema. Generalmente las herramientas de seguridad como los antivirus, firewalls, IDS

Más detalles

TEMA 37: Arquitecturas Cliente / Servidor. Tipos de cliente. Tipos de Servidor. Clasificación del software.

TEMA 37: Arquitecturas Cliente / Servidor. Tipos de cliente. Tipos de Servidor. Clasificación del software. . TEMA 37: Arquitecturas Cliente / Servidor. Tipos de cliente. Tipos de Servidor. Clasificación del software. Índice 1 INTRODUCCIÓN 2 2 CARACTERÍSTICAS 2 2.1 Características del cliente...2 2.2 Características

Más detalles

Servidor Cloud by cloudbuilder

Servidor Cloud by cloudbuilder Servidor Cloud by cloudbuilder Cómo funciona Cloud? De qué está hecha la Nube? Es segura? En qué se diferencia de los servicios tradicionales de hosting?... Descubre todas las posibilidades que te ofrece

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Manual de Aplicación Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Johana Sosa Contenido Introducción... 3 1. Conceptos

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

Simulador de Protocolos de Red a tráves de WEB

Simulador de Protocolos de Red a tráves de WEB Simulador de Protocolos de Red a tráves de WEB Propuesta de Estudio 20071608 Director Ing. Francisco Antonio Polanco Montelongo Resumen Introducción Actualmente, el desarrollo tecnológico a alcanzado niveles

Más detalles

1. Descripción de Heartbleed. 3. Como Logtrust puede ayudar a protegerte contra Heartbleed. 4. Detectar el error mediante el Logtrust.

1. Descripción de Heartbleed. 3. Como Logtrust puede ayudar a protegerte contra Heartbleed. 4. Detectar el error mediante el Logtrust. ÍNDICE 1. Descripción de Heartbleed. 2. Impacto de Heartbleed. 3. Como Logtrust puede ayudar a protegerte contra Heartbleed. 4. Detectar el error mediante el Logtrust. 5. Con Log de debug de apache. 6.

Más detalles

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC299_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

Soluciones Informáticas para gestionar su empresa Presentación de empresa la Compañía La Compañía NEO GRUP Management, es un proyecto definido y creado para proporcionar a nuestros clientes, trabajando

Más detalles

Búsqueda sobre catálogos basada en ontologías

Búsqueda sobre catálogos basada en ontologías Búsqueda sobre catálogos basada en ontologías Alianis Pérez Sosa, Yuniel Eliades Proenza Arias Universidad de las Ciencias Informáticas. Carretera a San Antonio Km 2 ½, Reparto Torrens, La Lisa, Ciudad

Más detalles

PERFIL DEL INGENIERO DE SISTEMAS FUSM

PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS DE LA FUSM El perfil del Ingeniero de Sistemas presencial de la Fundación Universitaria San Martín, Bogotá, está en capacidad de modelar

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización Página 1 de 19 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 6 Situación Contraste externo Actualización

Más detalles