INSTITUTO CIBERNÉTICA, MATEMÁTICA Y FÍSICA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INSTITUTO CIBERNÉTICA, MATEMÁTICA Y FÍSICA"

Transcripción

1 INSTITUTO CIBERNÉTICA, MATEMÁTICA Y FÍSICA METODOLOGÍA PARA ELEVAR LOS NIVELES DE SEGURIDAD INFORMÁTICA EN APLICACIONES WEB MEDIANTE EL ANÁLISIS DE INYECCIONES SQL CON EL EMPLEO DE TÉCNICAS DE MINERÍA DE DATOS. Tesis presentada en opción al título de Máster en Cibernética Aplicada. Mención: Minerí de Datos. Autor: Ing. ROGFEL THOMPSON MARTÍNEZ Tutor: Dr. C. Armando Plasencia Salgueiro. Tutor: Dr. C. Jorge Sergio Menéndez Pérez. La Habana

2 AGRADECIMIENTOS

3 DEDICATORIA

4 RESUMEN Las tecnologías y software desarrollados en el mundo son un producto de la inteligencia del conocimiento humano, y como producto de este último, no están exentas de errore Estos errores en los software y tecnologías, conocidos comúnmente como vulnerabilidade son provocados por malas prácticas, por problemas de seguridad informática cometid durante el desarrollo; por el uso de otras tecnologías que tienen vulnerabilidades, o p problemas de configuración. Las vulnerabilidades informáticas pueden ser aprovechas p intrusos con la intención de obtener información de un sistema, o adueñarse de él, violand normas de seguridad establecidas. Un tipo de ataque a las vulnerabilidades de los software son las inyecciones de Lengua de Consulta Estructurada (SQL, por sus siglas en inglés), las cuales consisten en inserción o inyección de una consulta SQL, a través de los datos de entrada que posee las aplicaciones, o mediante el Localizador de Recurso Uniforme (URL, por sus siglas e inglés). Con el objetivo de que los administradores de sistemas y usuarios conozcan l vulnerabilidades que van apareciendo en los software y tecnologías, se han creado bases datos que contienen esta información. Las Bases de Datos de Vulnerabilidades, como so conocidas comúnmente, estandarizan los registros de vulnerabilidades y brinda información de las posibles soluciones a los problemas de seguridad que representan. Con el volumen de información de las Bases de Datos de Vulnerabilidades, se puede aplicar técnicas que permiten detectar patrones en grandes conjuntos de datos, el conjun de estas técnicas se conocen como Minería de Datos. La Minería de Datos tiene com objetivo reunir las ventajas de varias áreas como la Estadística, la Inteligencia Artificial, Computación Gráfica, las Bases de Datos y el Procesamiento Masivo, usando com

5 ÍNDICE INTRODUCCIÓN... CAPÍTULO 1: MARCO TEÓRICO DE LAS INYECCIONES SQL INTRODUCCIÓN SITUACIÓN DE LA SEGURIDAD INFORMÁTICA INYECCIONES SQL Proceso de inyección de una aplicación Web TÉCNICAS PARA MITIGAR AMENAZAS DE INYECCIONES SQL Protección en Tiempo Real Firewall de Aplicaciones Web Filtros de Intercepción Firewall de Base de Datos Firewall Semántico de Aplicaciones Web CONCLUSIONES DEL CAPÍTULO 1... CAPÍTULO 2: METODOLOGÍAS DE MINERÍA DE DATOS Y DE EVALUACIÓN DE RIESGOS INTRODUCCIÓN METODOLOGÍA METODOLOGÍAS PARA EL PROCESO DE MINERÍA DE DATOS SEMMA CRISP-DM Comparación SEMMA vs. CRISP-DM Decisión sobre la metodología de minería de Datos METODOLOGÍAS PARA EL ANÁLISIS DE RIESGOS Técnicas de Análisis de Riesgos Metodologías para la Gestión y el Análisis de Riesgos Decisión sobre el Proceso de Análisis de Riesgos CONCLUSIONES DEL CAPÍTULO 2...

6 CONCLUSIONES GENERALES... RECOMENDACIONES... REFERENCIAS BIBLIOGRÁFICAS... ANEXOS... ANEXO 1... ANEXO 2... ANEXO 3... ANEXO 4... ANEXO 5... ANEXO Modelado Evaluación Despliegue CONCLUSIONES DEL CAPÍTULO 3... CAPÍTULO 4: VALIDACIÓN DE LA METODOLOGÍA PARA MITIGAR INYECCIONES SQL INTRODUCCIÓN COMPRENSIÓN DEL NEGOCIO ANÁLISIS DE RIESGOS DEL NEGOCIO COLECCIÓN Y PREPARACIÓN DE DATOS MODELADO EVALUACIÓN DESPLIEGUE CONCLUSIONES DEL CAPÍTULO 4...

7 INTRODUCCIÓN La seguridad de la información es un proceso exigente y dinámico que requiere habilidad para mantener en movimiento constante el ojo crítico de su responsable frente la inseguridad, no solo para crear la sensación de confiabilidad requerida por l usuarios del sistema, sino para que, vinculando a estos últimos en la conquista de la n linealidad de la inseguridad, se construya de manera conjunta una distinción real evidente de un ambiente controlado y confiable, mas no seguro (Cano, 2010). En el mundo contemporáneo, la información es protegida y cuidada con mucho celo, y que puede representar la ventaja en el mercado, el aumento de clientes y la seguridad que estos continúen siéndolos. Los mecanismos para prevenir las vulnerabilidades qu puedan afectar la información, deben estar en creciente investigación, para segu garantizando la protección de los datos. En Cuba, con el creciente uso de las nuevas tecnologías, la protección de la información una obligación de toda entidad nacional. Así se expresa en el decreto Ley 199 de 199 sobre la Seguridad y Protección de la Información Oficial (CE, 1999), y por la Resolució 127 del Ministerio de la Informática y las Comunicaciones, donde se especifican l políticas a cumplir por las entidades cubanas que utilicen tecnologías de la informació (MIC, 2007). El uso de las tecnologías de la información, trae consigo la obtención mayor eficiencia y rentabilidad en muchos sectores de la economía nacional; por lo que protección de esta, es un interés de Seguridad Nacional. Con el objetivo de que los administradores de sistemas y usuarios conozcan l vulnerabilidades que van apareciendo, se han creado bases de datos internacionales qu contienen estas informaciones, las estandarizan para una mejor organización, y brind soluciones a los problemas de seguridad presentes en las tecnologías y herramientas. Est

8 Se entiende por Minería de Datos: La integración de un conjunto de áreas que tienen com propósito la identificación de un conocimiento obtenido a partir de las bases de datos qu aporten un sesgo hacia la toma de decisión (Vallejos, 2006). Una de las vulnerabilidad que se encuentran registradas en estas bases de datos son las Inyecciones SQL, con más registros. Situación problémica. En el campo de la inseguridad, las amenazas de Inyecciones SQL son un problema latent ubicadas entre los tipos de vulnerabilidades más peligrosas del mundo informático ya q estas poseen un acceso directo a la información de las bases de datos de los sistemas. Las Inyecciones SQL consisten en la inserción o inyección de una consulta SQL través de los datos de entrada que facilita el cliente a la aplicación. Considerados como un de los principales problemas de seguridad, los ataques de inyección SQL explotan fallos los software con el fin de acceder a bases de datos. Su objetivo es inyectar códig malicioso en la URL o campos de textos, de páginas web vulnerables, con el fin de robar contenido de las bases de datos, como los detalles de las tarjetas de crédito o nombres d usuarios y contraseñas. Durante el segundo trimestre del año 2012 se detectaron atasques de inyección SQL, un 89% más respecto a los ataques del trimest anterior, según cifras de la empresas de seguridad FireHost (NetMediaEurope, 2012). L gravedad de este tipo de amenazas se incrementa constantemente, debido a que su objetiv es adquirir los datos privados de una compañía o persona, los cuales constituyen, en la e de la información, la base para el perfeccionamiento de las empresas. Realizando un estudio apoyado con técnicas de Minería de Datos, se puede elaborar u metodología para filtrar posibles ataques de Inyecciones SQL. Por esta razón se plantea como problema de investigación:

9 Hipótesis: Una metodología que aplique las técnicas de Minería de Datos para el análisis d Inyecciones SQL, permitirá elevar los niveles de seguridad informática en aplicacion web. Objeto de estudio: Seguridad Informática en aplicaciones web. Campo de acción: Inyecciones SQL. Límites de la investigación. Mitigar amenazas de inyecciones SQL a nivel de aplicación. Objetivo general de investigación: Elaborar una metodología centrada en técnicas de Minería de Datos para mitigar amenaz de Inyecciones SQL. Objetivos específicos: Analizar la situación actual de las amenazas de inyecciones SQL. Definir los procesos de la metodología para mitigar inyecciones SQL con técnicas Minería de Datos. Desarrollar la metodología diseñada para mitigar inyecciones SQL en un ca

10 Análisis de la tipología de Inyecciones SQL, sus técnicas, herramientas y tendenci desarrolladas para mitigarlas. Análisis de metodologías de Análisis de Riesgos y Minería de Datos. Confección de los procesos de la metodología para mitigar inyecciones SQL co técnicas de Minería de Datos. Aplicación de la metodología diseñada para mitigar inyecciones SQL en un ca específico. Aplicación del método de Monte Carlo para la validación de la investigación. Aplicación del método Experto tutor para la validación de la investigación. Métodos de investigación: Teóricos. Analítico-sintético, modelación, inductivo-deductivo, sistémico, histórico-lógic dialéctico-materialista, hipotético-deductivo. Empíricos. Observación, medición, experimentación. Experimentos: Comparación de técnicas de Minería de Datos para determinar cuáles son m eficaces en el análisis de inyecciones SQL. Comprobación de la validez de la metodología mediante la simulación Monte Carlo un sistema Experto Tutor.

11 comportamiento en las Inyecciones SQL. Esto permite la conjugación de las áreas d Seguridad Informática en aplicaciones web y Minería de Datos, de las cuales no abunda muchas investigaciones anteriores, a excepción de los Sistemas de Detección de Intrus Para la evaluación del funcionamiento de la metodología se pretende emplear el Método Simulación de Monte Carlo; este es un método estadístico numérico, usado para aproxim expresiones matemáticas complejas y costosas de evaluar con exactitud; el uso de es método aplicado a las tecnologías de la información es bastante escaso. Justificación de la investigación. La extracción de conocimiento a partir de datos es un paradigma relativamente modern que integra numerosas técnicas de análisis de datos y extracción de modelos. La cienc que se encarga de realizar esos análisis y extraer los patrones o modelos a niv organizacional es la Minería de Datos. En particular, las necesidades de mejorar la productividad y la calidad de las produccion y servicios hacen que las empresas y organizaciones en general, estén interesadas en un explotación inteligente de sus bases de datos a través de la minería (Plasencia, 2011). En el caso de la seguridad en aplicaciones, si se combinan, estas técnicas con las bases d datos de vulnerabilidad, se pueden mitigar muchos problemas que presentan est software. Disminuir las brechas de seguridad de las aplicaciones representa un disminución de pérdidas por conceptos de ataques, mayor protección para los datos de entidad, y mayor confianza por parte de los clientes. Las técnicas de Minería de Datos permitirán mitigar amenazas conocidas y no conocida Mitigar inyecciones SQL con estas técnicas, disminuirá la pérdida de datos, debido a est amenazas.

12 La tesis se ha estructurado en cuatro capítulos para brindar una mejor descripción en investigación. Capítulo 1. Marco Teórico de las Inyecciones SQL: se describe la problemáti existente en torno a las inyecciones SQL, se exponen las ideas esenciales sobre tecnologí y herramientas que intentan mitigar su amenaza. Capítulo 2. Metodología de Minería de Datos y de Evaluación de Riesgos: se propon las metodologías de Minería de Datos y Análisis de Riesgos más convenientes pa desarrollar la metodología para mitigar inyecciones SQL. Capítulo 3. Desarrollo de la Metodología para Mitigar Inyecciones SQL: se propo una metodología para mitigar inyecciones SQL, en la que se combinan técnicas de Miner de Datos con la gestión de riesgos; y se describen cada una de las fases a seguir para d cumplimiento a dicha metodología. Capítulo 4. Evaluación de la Metodología para Mitigar Inyecciones SQL: se utiliz para la evaluación y validación de la propuesta, el método estadístico numérico de Mon Carlo y el sistema Experto Tutor. Se han consultado 77 referencias bibliográficas procedentes fundamentalmente de sitio internet y libros de Seguridad Informática. También de estas 77 referencias correspond varias a sitios y libros de Minería de Datos.

13 CAPÍTULO 1: MARCO TEÓRICO DE LAS INYECCIONES SQL 1.1 Introducción El almacenamiento de los datos e información siempre es materia de análisis y revision en las organizaciones del siglo XXI. Un reciente estudio de ESG Research (ES RESEARCH 2009), sobre las bases de datos, muestra que un alto porcentaje de ell dependen de procesos manuales y que no cuentan con apropiadas medidas de seguridad, d acuerdo con la información, generalmente catalogada como confidencial, que permane en ellas (Cano, 2010). El acceso de extraños a la información de una entidad o empresa puede ocasionarl terribles pérdidas en su mercado, o en la reputación frente a sus clientes. En este capítulo se tratará sobre los problemas de la seguridad de la información y e específico las inyecciones SQL que son la esencia de esta investigación, así como, l técnicas conocidas para mitigarlas. 1.2 Situación de la seguridad informática La creatividad de los atacantes, las singularidades de los usuarios y la materialización d malas prácticas, establecen las bases para que ocurran los incidentes de seguridad. Duran los últimos 10 años, las fallas propias relacionadas con las aplicaciones, el estud detallado de funciones de los lenguajes de programación, los casos de mal uso y abuso d software, así como, el creciente uso de las comunicaciones han marcado la historia de seguridad de la información. La seguridad informática, y de forma más genérica la seguridad de la información, entiende como un conjunto de acciones metodológicas y herramientas cuyo objeti principal es proteger a la información, y por ende a los sistemas informáticos, an

14 El término vulnerabilidad, para la Seguridad Informática se refiere, a cualquier error programación o mal configuración, que pudiera permitir a un intruso obtener acceso n autorizado. Esto incluye cualquier problema, desde una contraseña débil en un router 1, un error de programación sin corregir en un servicio de red. 1.3 Inyecciones SQL En una noticia de junio del 2002 del Instituto Nacional de Estándares y Tecnologías d Estados Unidos (NIST, por sus siglas en inglés), se refiere que los problemas y errores seguridad en los software le cuestan a su economía un estimado de 59,5 mil millones dólares anualmente, lo que representa un 0,6 % del producto interno bruto del país; estima que con una infraestructura de pruebas para eliminar los defectos de seguridad pudiera recuperar 22,2 mil millones de dólares (NIST, 2002). Teniendo en cuenta el u de prácticas seguras en el ciclo de desarrollos, los costos en pérdidas por seguridad pueden reducir mucho más y puede contribuir a reducir los costos en mantenimient (NIST, 2002). Los software con problemas de seguridad tienen una repercusión negativa para l empresas desarrolladoras, podiendo ocasionar un impacto negativo en su mercad (Wikinoticias, 2005). Las aplicaciones Web son las más expuestas a las amenazas existentes. Uno de los ataqu más comunes en los sistemas son: las inyecciones SQL. Una información de USA TODAY 2, actualizada el 17 de Marzo del 2009, refleja que compañía de seguridad informática IBM Internet Security Systems 3 informa que en l últimos 3 meses del 2008, se presentó un 50% de ataques a sitios Web median

15 inyecciones SQL superior a todo el Este articulo refleja que las inyecciones SQ tienen un rápido crecimiento entre los tipos de ataques a sistemas Web (Acohido, 2010). Las fallas de inyección, en particular la inyección SQL, son comunes en aplicaciones We Un ataque de Inyección SQL consiste en la inserción o inyección de datos en un consulta SQL desde un cliente de la aplicación. El éxito de una inyección SQL es: le datos sensibles de la base de datos, modificar los datos (insertar/actualizar/borrar), realiz operaciones de administración sobre la base de datos (como reiniciar el Sistema de Gestió de Bases de Datos (DBMS, por sus siglas en inglés)), recuperar el contenido de un archiv del sistema de archivos del DBMS y, en algunos casos, ejecutar órdenes en el sistem operativo (OWASP, 2007). Existen distintos tipos de inyecciones: SQL, XML 4, LDAP 5, XPath 6, XSLT 7. HTML inyección de órdenes en el sistema operativo y otras. En el peor de los escenarios, est fallas permiten a un atacante comprometer totalmente la aplicación y los sistem subyacentes, incluso, sobrepasar entornos con cortafuegos (OWASP, 2007). Según el OWASP Top , las fallas por inyecciones se encuentran en la posición entre las vulnerabilidades más seria de aplicaciones Web (OWASP, 2010). Todas las plataformas de aplicación Web que usen intérpretes o invoquen otros proces son vulnerables a las fallas de inyección, esto incluye cualquier componente del marco d trabajo, que pueda usar intérpretes en la capa de bases de datos (OWASP, 2010). Entre los errores de programación más dañinos del 2011 presentados por la Comunid Desarrolladora del Diccionario de Debilidades del Software CWE (CWE, 2011), 4 XML, es un lenguaje de marcas desarrollado por el World Wide Web Consortium (W3C). 5 LDAP (en español Protocolo Ligero de Acceso a Directorios) que hacen referencia a un protocolo a niv

16 Las inyecciones SQL son permitidas por las aplicaciones Web, debido a que estas encuentran las inyecciones SQL que prevalecen como una alta debilidad de los sistemas en contraste poseen un bajo costo de erradicación. En la Universidad de Ciencias Informática (UCI) se lleva a cabo el desarrollo de softwa de exportación. La seguridad debe ser unos de los pilares para fortalecer la soberan tecnológica y la calidad de un software. Los ataques de Inyección SQL están divididos en las tres siguientes clases: Inband: los datos son extraídos usando el mismo canal que es usado para inyectar código SQL. Este es el tipo de ataque más simple, en el que los datos recibidos muestran en la propia aplicación Web. Out-of-band: los datos son extraídos usando un canal diferente (por ejemplo, un corre con el resultado de la consulta es generado y enviado al auditor) Inference: no hay transferencia de datos, pero el auditor puede reconstruir información enviando peticiones y observando el comportamiento que mantiene servidor de bases de datos. Independientemente del tipo de ataque, una Inyección SQL correcta requiere que atacante pueda construir una consulta SQL correcta. Si la aplicación devuelve un mensa de error a causa de una consulta incorrecta, entonces es fácil reconstruir de forma lógica consulta original, y entender cómo realizar una inyección correctamente. Sin embargo, si aplicación oculta los mensajes de error, un auditor puede conseguir mediante ingenier inversa la lógica de la consulta original. Este último caso se conoce como Inyección SQ Ciega (Blind SQL Injeccion, por sus siglas en inglés) (OWASP, 2007) Proceso de inyección de una aplicación Web

17 2. El servidor Web localiza la página y la envía al servidor de aplicaciones. servidor de aplicaciones es un software encargado de interpretar la petición d navegador y finalizar la confección de la página. 3. El servidor de aplicaciones busca instrucciones en la página. 4. El servidor de aplicaciones envía la consulta al controlador de la base de datos. controlador de bases de datos es un software intérprete entre el servidor aplicaciones y la base de datos. 5. El controlador ejecuta la consulta en la base de datos. 6. La información asociada a la consulta se devuelve al controlador. 7. El controlador pasa la información al servidor de aplicaciones. 8. El servidor de aplicaciones inserta los datos en la página y las transfiere al servid Web. 9. El servidor Web envía la página, ya confeccionada, al navegador solicitan (Macromedia, 2004). Para una mayor comprensión del flujo del funcionamiento de una aplicación Web, v figura 1, en el anexo 1. Un usuario mal intencionado puede, como parte de la petición del navegador Web, insert una inyección SQL, la que le permitirá acceder a los registros de la bases de datos. Sin un mitigación adecuada de las inyecciones SQL, las bases de datos quedan expuestas a s amenazas. Otro gran problema para mitigar estas amenazas, es que las inyecciones SQ en su mayoría, pueden ser específicas para un servidor de aplicaciones (PHP, AS JAVA) 9. Además, si esto se combina con la diversidad de Frameworks 10 que existen pa

18 Debido a la peligrosidad de esta amenaza se han desarrollado varias herramientas técnicas que logran mitigar las inyecciones SQL conocidas. 1.4 Técnicas para mitigar amenazas de inyecciones SQL Las técnicas para mitigar las amenazas de inyecciones SQL se agrupan en dos áreas: Las de Defensa a Nivel del Código, consiste en asegurar el código desde las fases implementación del proyecto. En esta área, se aplican las técnicas de parametrización las sentencias, validación de entradas de información, codificación de la salida información, canonización y las buenas prácticas de diseño de las aplicaciones. Las de Defensa a Nivel de Plataforma o Aplicación, que consisten en asegurar software desplegado. Entre las técnicas que posee se encuentran las de protección tiempo real, buenas prácticas de seguridad y las prácticas de seguridad en el despliegue. Para el desarrollo de la investigación se seleccionó trabajar en el área de Defensa a Niv de Plataforma, ya que sus técnicas no dependen de las especificidades del proyecto, ni d lenguaje con que se desarrolló la aplicación. Dentro de esta área se pretende profundizar e las técnicas de tiempo real Protección en Tiempo Real La protección en tiempo real es una técnica de gran valor para mitigar y prevenir l amenazas de inyecciones SQL conocidas. Reparar directamente el código siempre es solución ideal; sin embargo, el esfuerzo requerido no siempre es efectivo ni práctico. Entre las estrategias que asumen la protección en tiempo real para mitigar los problemas seguridad, debido a las vulnerabilidades de los sistemas a inyecciones SQL, se encuentra los Firewall de Aplicaciones Web (WAF, por sus siglas en inglés).

19 1.4.2 Firewall de Aplicaciones Web Los WAFs, son una emergente tecnología de la seguridad de la información que tiene com objetivo proteger a las aplicaciones Web de los ataques informáticos. Las solucion WAFs, son capaces de prevenir ataques que para los Firewall de Redes y los Detectores d Intruso, es imposible prevenir. En la actualidad los ataques informáticos son cada vez más sofisticados, por lo que es d vital importancia desarrollar criterios estandarizado para evaluar los productos. En el ca de los WAFs, el Consorcio de Seguridad en Aplicaciones Web (WASC, por sus siglas inglés), ha desarrollado un criterio para evaluar los WAFs en cuanto a técnicas detección, técnicas de protección, gestión de log 11, administración, entre otros (WAS 2006). Mediante este Consorcio, se garantiza un desarrollo creciente de esta tecnología, la hace más eficaz para contrarrestar ataques a las aplicaciones Web. Los WAFs, son típicamente módulos embebidos en los servidores Web o aplicaciones, co un grado mínimo de configuración. Existen dos tipos fundamentales de Firewall d Aplicaciones: los basados en software y los basados en hardware. Entre las principal ventajas de los WAFs basado en software, se encuentran que la infraestructura Web mantiene sin cambios, y la comunicación HTTP 12 /HTTPS 13 se maneja sin problemas, que funcionan alojados en el mismo servidor Web o aplicación. Los WAFs basados hardware, no consumen recursos del servidor Web y se puede proteger múltipl aplicaciones Web de diferentes tecnologías. Los WAFs a menudo son llamados "firewalls de inspección profunda de paquetes", porq se ven en cada solicitud y respuesta dentro de los protocolos HTTP / HTTPS / SOAP 1 11 Log es un registro oficial de eventos durante un rango de tiempo en particular.

20 XML-RPC 15 / capas de servicio Web. Algunos Cortafuegos de Aplicación Web busc ciertas firmas de ataque, para tratar de identificar un ataque específico que un intru puede enviar; mientras que otros, buscan un comportamiento anormal, que no se ajusta los sitios web de los patrones normales de tráfico. Poseen técnicas de protección cont ataques de fuerza bruta, ataques de sección; protegen las cookie del sistema, los campos los formularios ocultos y los parámetros URL, dentro del cual emplean estrategias pa mitigar inyecciones SQL. ModSecurity. Entre los desarrollos más representativo en esta tecnología se encuentra ModSecurity, cual se implementó como un módulo de Apache; sin embargo, él puede proteger cualquie aplicación Web siempre que el Servidor Apache se configure como un proxy invers Entre sus principales funcionalidades se encuentran (ModSecurity, 2011): Filtrado de Peticiones: Las peticiones entrantes son analizadas antes de pasarlas al servid web, o a cualquier otro módulo de Apache. Para realizar este filtrado se puede utiliz expresiones regulares, lo cual lo hace muy flexible. Técnicas Anti-evasión: Los paths 16 y los parámetros son normalizados antes d análisis para evitar técnicas de evasión. o Elimina múltiple barras (//) o Elimina directorios referenciados por si mismos (./) o Tratamiento de \ y / de manera igual (en Windows) o Decodificación de URL. o Reemplazo de bytes 17 nulos por espacios (%00)

21 Comprensión del protocolo HTTP: Al comprender el protocolo HTTP, pue realizar filtrados muy específicos y granulares. Podemos analizar un camp específico de un formulario, de una página en particular. Análisis POST 18 Payload 19 : Intercepta y analiza el contenido transmitido a trav del método POST. Auditoría de Logs: Es posible loguear con detalle (incluidas las peticiones POST para un posterior análisis Forense. Filtrado HTTPS: Al estar embebido como módulo tiene acceso a los datos despu de que estos hayan sido descifrados. Filtrado de Contenidos Comprimidos: Al igual que la funcionalidad anterior, tie acceso a los datos después de la descompresión. Verificación del Rango de Byte: Sirve para detectar y bloquear shellcodes 20, esto puede lograr limitando el rango de los bytes. Varias compañías del área de seguridad informática ya poseen sus WAF comerciales, ent los que se encuentran: Profense, Citrix, F5, Cisco, Trustware. Existe también el caso de compañía Qualys que posee un proyecto de desarrollo en software libre de su WAF, el cu nombra IronBee. IronBee. IronBee, es llevado por el equipo que diseñó y construyó ModSecurity, el nuevo proyec apunta a producir un firewall de aplicación web que sea seguro, de alto rendimient portable, y libremente disponible incluso para el uso comercial. 17 Byte es una secuencia de bits contiguos, cuyo tamaño depende del código de información o código

22 El proyecto IronBee está abierto a todas las partes interesadas en unirse al esfuerzo d desarrollo y proporcionar: Un motor de inspección de seguridad de aplicaciones que proporciona nuev herramientas de procesamiento y análisis para el tráfico HTTP. Apache Software License v2, una licencia de código abierto no viral que permite los individuos y las organizaciones comerciales por igual a participar, creando un comunidad de usuarios, así como una comunidad de desarrolladores. Portabilidad, construido desde cero para trabajar en varios modos d implementación, tales como pasiva, embebida, fuera de proceso, y de prox reverso. Arquitectura modular, permitirá a los contribuyentes a implementar fácilmente s propios módulos sin necesidad de comprensión profunda de la arquitectu IronBee, así como también más sencilla la integración de módulos particulares pa cada usuario. Esfuerzo de colaboración de la Comunidad con el fin de captar, centralizar compartir la información necesaria para defender a las aplicaciones we (virusinformatico.net, 2011) Filtros de Intercepción Otra solución de seguridad son los Filtros de Intercepción, que consisten en una serie d módulos independientes, que se pueden encadenar para mejorar el análisis de seguridad e la aplicación. Los Filtros no tienen dependencias explícitas entre ellos, se puede añadir u nuevo filtro, sin dañar el funcionamiento de uno existente. Cada filtro posee una secuenc de patrones que le permiten denegar o permitir la interacción entre el cliente y el servid

23 respuestas que están débilmente acoplados con la lógica de la aplicación principa También son buenos para funciones de seguridad como validación de entradas, generació de log de envíos y de respuestas, y en la transformación de las respuestas de salida. E muchas arquitecturas se propone el uso de filtros de seguridad en los servidores Web y los módulos de framework de aplicaciones, dándole un mayor nivel de seguridad aplicand estas 2 estrategias. Muchos de los Filtros de Seguridad, emplean una lista de sentencias q no deben ser permitidas (BlackList, por sus siglas en inglés), y en otras las permitid (WhiteList, por sus siglas en inglés), la combinación de estos filtros perfecciona el anális de seguridad. Entre los desarrollos realizados en esta tecnología se encuentra el API libre, UrlScan Microsoft, para el servidor Internet Information Server (IIS) 22 y WebKnight con l mismas características. Por lo general, todos los marcos de trabajos (framework) para Web, presentan filtros para mitigar los ataques de inyecciones SQL y otras amenazas de l aplicaciones Web. Como otra estrategia de seguridad para mitigar las amenazas de inyecciones SQL utilizan los Sistemas de Detección de Intruso de Aplicaciones (IDS, por sus siglas inglés). Estos trabajan con los logs generados por el sistema buscando, en base a anomal o violación de reglas definidas Firewall de Base de Datos Una de las estrategias más cercana a los sistemas de almacenamiento de información so los Firewall de Bases de Datos, que es esencialmente un servidor proxy que se encuent entre la aplicación y la base de datos. La aplicación se conecta al servidor de seguridad d bases de datos y envía la consulta como si se tratara normalmente la acción de conectarse la base de datos. El servidor de seguridad de la base de datos, analiza la consulta prevista la transfiere al servidor de base de datos para ser ejecutado, si se considera segur

PROPUESTA DE UN MODELO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

PROPUESTA DE UN MODELO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN PROPUESTA DE UN MODELO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Rogfel Thompson Martínez 1 Centro Telemática. UCI. La Habana. rthompson@uci.cu RESUMEN Las tecnologías y software desarrollados en el

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

Anuncio de software ZP10-0561 de IBM Europe, Middle East and Africa con fecha 16 de noviembre de 2010

Anuncio de software ZP10-0561 de IBM Europe, Middle East and Africa con fecha 16 de noviembre de 2010 con fecha 16 de noviembre de 2010 IBM Rational AppScan Source Edition e IBM Rational AppScan Build Edition V8.0 ofrecen ahora una función de comprobación de la vulnerabilidad de las aplicaciones mejorada

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2

INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2 Programa de Capacitación y Certificación. INTELIGENCIA DE NEGOCIOS CON SQL SERVER 2008 R2 Contenido PERFIL DE UN ESPECIALISTA EN BASES DE DATOS.... 3 6231. MANTENIENDO UNA BASE DE DATOS DE SQL SERVER 2008

Más detalles

Guía rápida de instalación

Guía rápida de instalación Guía rápida de instalación Microsoft Windows Vista / XP / 2000 / 2003 / 2008 Protegemos su Mundo Digital ESET Smart Security le provee a su computadora protección de última generación contra códigos maliciosos.

Más detalles

CAPITULO III ANÁLISIS

CAPITULO III ANÁLISIS 69 CAPITULO III ANÁLISIS 3. 1. METODOLOGIA PARA EL DESARROLLO DEL PORTAL Para el desarrollo de este software se utilizará el paradigma más conocido en ingeniería de software: Paradigma lineal o secuencial,

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Capítulo 1. Introducción. 1.1. Antecedentes

Capítulo 1. Introducción. 1.1. Antecedentes Capítulo 1. Introducción En este capítulo se presenta una descripción general del problema a investigar y el enfoque con el que se aborda. Se establece la necesidad de incorporar técnicas de análisis novedosas

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

Ingeniería de Software

Ingeniería de Software Ingeniería de Software MSDN Ingeniería de Software...1 Ingeniería del Software_/_ Ingeniería y Programación...1 Análisis de Requerimientos...2 Especificación...3 Diseño...4 Desarrollo en Equipo...5 Mantenimiento...6

Más detalles

Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL

Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL Descubrimiento e investigación de amenazas avanzadas. DESCRIPCIÓN GENERAL PUNTOS DESTACADOS Presentación de RSA Security Analytics, que proporciona: Monitoreo de seguridad Investigación de incidentes Creación

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 300 Miércoles 14 de diciembre de 2011 Sec. I. Pág. 135721 No debe interpretarse que los diversos espacios formativos identificados deban diferenciarse necesariamente mediante cerramientos. Las instalaciones

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

Uso de los Servicios Web en la nueva arquitectura de N-Capas del Sistema Económico Integral Rodas XXI.

Uso de los Servicios Web en la nueva arquitectura de N-Capas del Sistema Económico Integral Rodas XXI. Ponencia para Evento de Redes. Autor: Rubén Rivera Rodríguez, Citmatel Resumen Uso de los Servicios Web en la nueva arquitectura de N-Capas del Sistema Económico Integral Rodas XXI. Las nuevas tendencias

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

Implantación de Aplicaciones Web Fecha: 20-09-13

Implantación de Aplicaciones Web Fecha: 20-09-13 Página 1 de 24 RESUMEN DE LA PROGRAMACIÓN ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS EN RED CURSO AC. 2012 / 2013 ÁREA / MATERIA / MÓDULO PROFESIONAL Implantación de Aplicaciones Web (84 horas 4 horas semanales)

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

I. E. S. Cristóbal de Monroy. DEPARTAMENTO: Informática. MATERIA: Aplicaciones Web. NIVEL: 2º Sistemas Microinformáticos y Redes

I. E. S. Cristóbal de Monroy. DEPARTAMENTO: Informática. MATERIA: Aplicaciones Web. NIVEL: 2º Sistemas Microinformáticos y Redes DEPARTAMENTO: Informática MATERIA: Aplicaciones Web NIVEL: 2º Sistemas Microinformáticos y Redes 1. Objetivos. Competencias Profesionales, Personales y Sociales 1.1 Objetivos del ciclo formativo Según

Más detalles

Core Solutions of Microsoft SharePoint Server 2013 CURSO PRESENCIAL DE 25 HORAS

Core Solutions of Microsoft SharePoint Server 2013 CURSO PRESENCIAL DE 25 HORAS Core Solutions of Microsoft SharePoint Server 2013 CURSO PRESENCIAL DE 25 HORAS CURSO DESCRIPCIÓN DEL CURSO... 2 TEMARIO... 3 Administración de bases de datos Microsoft SQL Server Duración: 25 horas Después

Más detalles

Objetivos y Competencias

Objetivos y Competencias Objetivos y Competencias 2.1 Objetivos del ciclo formativo a) Ajustar la configuración lógica del sistema analizando las necesidades y criterios establecidos para configurar y explotar sistemas informáticos.

Más detalles

3. OBJETIVOS. 3.1. Objetivos. Objetivos generales del título. Objetivos específicos del título

3. OBJETIVOS. 3.1. Objetivos. Objetivos generales del título. Objetivos específicos del título 3. OBJETIVOS 3.1. Objetivos Objetivos generales del título De acuerdo con lo establecido en el Libro Blanco y el acuerdo del plenario de la Conferencia de Directores y Decanos de Informática (Zaragoza,

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELACIONES CON CLIENTES CUALIFICACIÓN PROFESIONAL

ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELACIONES CON CLIENTES CUALIFICACIÓN PROFESIONAL Página 1 de 23 CUALIFICACIÓN PROFESIONAL Familia Profesional Nivel 3 Código IFC363_3 Versión 5 Situación RD 1701/2007 Actualización ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS

Más detalles

El monitoreo de una variable física requiere supervisión permanente de señales que

El monitoreo de una variable física requiere supervisión permanente de señales que Capítulo 1 Marco Contextual 1.1. Formulación del problema 1.1.1. Definición del problema El monitoreo de una variable física requiere supervisión permanente de señales que varían con el tiempo. Tal información,

Más detalles

Mantenimiento de Sistemas de Información

Mantenimiento de Sistemas de Información de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD MSI 1: REGISTRO DE LA PETICIÓN...4 Tarea MSI 1.1: Registro de la Petición... 4 Tarea MSI 1.2: Asignación de la Petición... 5 ACTIVIDAD

Más detalles

ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS

ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS Base de Datos ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS Una base de datos es un conjunto de elementos de datos que se describe a sí mismo, con relaciones entre esos elementos, que presenta

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

Master en Gestion de la Calidad

Master en Gestion de la Calidad Master en Gestion de la Calidad 3. La Calidad en la Actualidad La calidad en la actualidad 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer la calidad en la actualidad. La familia

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for Exchange. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

Tema 2. Ingeniería del Software I feliu.trias@urjc.es

Tema 2. Ingeniería del Software I feliu.trias@urjc.es Tema 2 Ciclo de vida del software Ingeniería del Software I feliu.trias@urjc.es Índice Qué es el ciclo de vida del Software? El Estándar 12207 Modelos de proceso Qué es el Ciclo de Vida del SW? Definición

Más detalles

GLOSARIO. Arquitectura: Funcionamiento, estructura y diseño de una plataforma de desarrollo.

GLOSARIO. Arquitectura: Funcionamiento, estructura y diseño de una plataforma de desarrollo. GLOSARIO Actor: Un actor es un usuario del sistema. Esto incluye usuarios humanos y otros sistemas computacionales. Un actor usa un Caso de Uso para ejecutar una porción de trabajo de valor para el negocio.

Más detalles

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS Vicepresidencia de Infraestructura Gerencia Planeación Infraestructura y Servicios TABLA DE CONTENIDO 1. OBJETIVO...

Más detalles

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server Guía de inicio rápido Microsoft Windows 8 / 7 / Vista / XP / Home Server ESET Smart Security le proporciona a su equipo protección de última generación contra códigos maliciosos. Basado en el motor de

Más detalles

Offering de Servicios Xpress Security. BT Assure. Security that matters

Offering de Servicios Xpress Security. BT Assure. Security that matters Offering de Servicios Xpress Security BT Assure. Security that matters Servicios de Gestión de Seguridad Internet Xpress ha contribuido en el establecimiento de los estándares de responsabilidad, fiabilidad

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento donde la necesite Descripción general brinda protección de alto rendimiento contra el tiempo fuera

Más detalles

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE INTRODUCCIÓN El avance informático actual es muy alto comparado con lo se tenía en los años 90, al hablar de desarrollo de software se hace más notable, en el

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Mejores prácticas para el éxito de un sistema de información. Uno de los problemas de información dentro de las empresas es contar con datos

Mejores prácticas para el éxito de un sistema de información. Uno de los problemas de información dentro de las empresas es contar con datos ANEXO VI. Mejores prácticas para el éxito de un sistema de información Uno de los problemas de información dentro de las empresas es contar con datos importantes del negocio y que éstos estén aislados

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD

NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD PROYECTO DE NORMA MEXICANA PROY-NMX-R-051-SCFI-2006 AGENCIAS DE PUBLICIDAD SERVICIOS - REQUISITOS 0 INTRODUCCIÓN El mundo actual de los negocios en

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes

Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes 01/04/2013 Ingelan Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes No es suficiente con cumplir la normativa GMP. Para que sea eficaz, debe ser creíble La normativa obliga

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 17 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

Implementación, aprovisionamiento y actualización de Windows Server con System Center

Implementación, aprovisionamiento y actualización de Windows Server con System Center Implementación automatizada y centralizada, aprovisionamiento y actualización de Windows Server La implementación y el mantenimiento de Windows Server en sistemas operativos de centros de datos y entornos

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL

SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL DENOMINACIÓN DEL TÍTULO (ES) Técnico Superior en Administración de Sistemas Informáticos en Red TRADUCCIÓN DE LA DENOMINACION

Más detalles

Sisdata, C.A. Mejores Prácticas de Frameworks en la Web

Sisdata, C.A. Mejores Prácticas de Frameworks en la Web 2011 Sisdata, C.A. Mejores Prácticas de Frameworks en la Web Sistema de Gestión de Cambios de Arquitecturas El manual refleja las bondades, alcances y funcionalidad del sistema. Se describe su alineación

Más detalles

Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas.

Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas. Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas. Los delincuentes aprovechan esta situación, y envían más de 100.000 ataques nuevos cada día a a través de Internet,

Más detalles

Mineria de datos y su aplicación en web mining data Redes de computadores I ELO 322

Mineria de datos y su aplicación en web mining data Redes de computadores I ELO 322 Mineria de datos y su aplicación en web mining data Redes de computadores I ELO 322 Nicole García Gómez 2830047-6 Diego Riquelme Adriasola 2621044-5 RESUMEN.- La minería de datos corresponde a la extracción

Más detalles

INFORME TECNICO PARA ADQUISICION DE UNA SOLUCIÓN DE MONITOREO DE APLICACIONES JAVA. 2. RESPONSABLE DE EVALUACION : Ing. Eduardo Vásquez Díaz

INFORME TECNICO PARA ADQUISICION DE UNA SOLUCIÓN DE MONITOREO DE APLICACIONES JAVA. 2. RESPONSABLE DE EVALUACION : Ing. Eduardo Vásquez Díaz INFORME TECNICO PARA ADQUICION DE UNA SOLUCIÓN DE MONITOREO DE APLICACIONES JAVA 1. MBRE DEL AREA : Oficina de Sistemas 2. RESPONSABLE DE EVALUACION : Ing. Eduardo Vásquez Díaz 3. CARGOS : Analista de

Más detalles

El Aseguramiento de la Calidad nace como una

El Aseguramiento de la Calidad nace como una Las normas ISO 9000:2000 de Sistemas de Gestión de la Calidad Leticia Colín O. La familia de normas NMX ISO 9000 del año 2000 está constituida por tres normas básicas, complementadas con un número reducido

Más detalles

Interfaces de acceso a base de datos. Interfaces de acceso a base de datos. Interfaces de acceso a base de datos. Interfaces de acceso a base de datos

Interfaces de acceso a base de datos. Interfaces de acceso a base de datos. Interfaces de acceso a base de datos. Interfaces de acceso a base de datos Objetivos del curso Patrimonio Cultural Desarrollo de Herramientas de Administración y Acceso Adquirir visión generalizada de las tecnologías de desarrollo utilizadas en Sistemas de gestión del Patrimonio

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for SharePoint. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

COMPENDIO EBIOS. Versión del 4 de febrero de 2004

COMPENDIO EBIOS. Versión del 4 de febrero de 2004 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction des opérations Bureau conseil EBIOS COMPENDIO Versión del 4 de febrero

Más detalles

MS_20488 Developing Microsoft SharePoint Server 2013 Core Solutions

MS_20488 Developing Microsoft SharePoint Server 2013 Core Solutions S MS_20488 Developing Microsoft SharePoint Server 2013 Core Solutions www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Introducción En este

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

CUALIFICACIÓN SISTEMAS DE GESTIÓN DE INFORMACIÓN PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN SISTEMAS DE GESTIÓN DE INFORMACIÓN PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN SISTEMAS DE GESTIÓN DE INFORMACIÓN PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC304_3 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

PERFIL DEL INGENIERO DE SISTEMAS FUSM

PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS DE LA FUSM El perfil del Ingeniero de Sistemas presencial de la Fundación Universitaria San Martín, Bogotá, está en capacidad de modelar

Más detalles

Inventario de Ne gocio

Inventario de Ne gocio Gobierno Corporativo, Gestión del Riesgo y Gestión del Cumplimiento, son las tres visiones que integralmente conforman el marco conceptual ORCA Software GRC Suite. La plataforma provee mecanismos para

Más detalles

We Care For Your Business Security

We Care For Your Business Security We Care For Your Business Security Warriors Defender Firewall es una sólida solución de cortafuego y control, fácil de utilizar y económica para empresas de cualquier tamaño. Warriors Defender Firewall

Más detalles

ETL: Extractor de datos georreferenciados

ETL: Extractor de datos georreferenciados ETL: Extractor de datos georreferenciados Dr. Juan Pablo Díaz Ezcurdia Doctor Honoris Causa Suma Cum Laude Master en Telecomunicaciones Master en Gestión Educativa Coordinador de la comisión de CSIRT de

Más detalles

Arquitectura de Aplicaciones

Arquitectura de Aplicaciones 1 Capítulo 13: Arquitectura de aplicaciones. - Sommerville Contenidos del capítulo 13.1 Sistemas de procesamiento de datos 13.2 Sistemas de procesamiento de transacciones 13.3 Sistemas de procesamiento

Más detalles

Análisis de desempeño y modelo de escalabilidad para SGP

Análisis de desempeño y modelo de escalabilidad para SGP Análisis de desempeño y modelo de escalabilidad para SGP Este documento es producto de la experiencia de Analítica en pruebas de stress sobre el software SGP. Estas pruebas se realizaron sobre un proceso

Más detalles

Gestión de archivos (módulo transversal, MF0978_2)

Gestión de archivos (módulo transversal, MF0978_2) Gestión de archivos (módulo transversal, MF0978_2) Curso de capacitación para la obtención del módulo formativo Gestión de archivos del Certificado de profesionalidad (código MF0978_2), asociado a la unidad

Más detalles

Simulador de Protocolos de Red a tráves de WEB

Simulador de Protocolos de Red a tráves de WEB Simulador de Protocolos de Red a tráves de WEB Propuesta de Estudio 20071608 Director Ing. Francisco Antonio Polanco Montelongo Resumen Introducción Actualmente, el desarrollo tecnológico a alcanzado niveles

Más detalles

Guía Rápida de Inicio

Guía Rápida de Inicio Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for File Servers. Para disponer de instrucciones detalladas, por favor, diríjase

Más detalles

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com New Generation Secure your Network Totally Reloaded www.hauri-la.com Menos Trabajo + Protección Completa Más Características Simplifica tus tareas administrativas a través del Administrador del Historial

Más detalles

Qué es un firewall? cortafuegos firewall

Qué es un firewall? cortafuegos firewall FIREWALL Qué es un firewall? Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 3.1 Metodología de Análisis de Riesgos... 3 3.2 Valoración de Activos... 6 3.3

Más detalles

Experiencia 5 : Firewall

Experiencia 5 : Firewall Experiencia 5 : Firewall 1 Material para utilizar: Cable de red (patch cord) construído en el laboratorio. Switch Cisco, modelo Catalyst 2912XL Router Cisco, modelo 2600 PC con FreeBSD 2 Firewalls 2.1

Más detalles

Capítulo I. Marco Teórico

Capítulo I. Marco Teórico 1 Capítulo I. Marco Teórico 1. Justificación Hoy en día existe una gran diversidad de aplicaciones que corren sobre la World Wide Web (WWW o Web), y cada una orientada a un fin en particular, el cuál depende

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

Mantenimiento del Software

Mantenimiento del Software Mantenimiento del Software S4 Francisco Ruiz, Macario Polo Grupo Alarcos Dep. de Informática ESCUELA SUPERIOR DE INFORMÁTICA UNIVERSIDAD DE CASTILLA-LA MANCHA http://alarcos.inf-cr.uclm.es/doc/mso/ Ciudad

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles