Implementación de Sistemas de Información Seguros
|
|
- Juan Luis Castillo San Martín
- hace 8 años
- Vistas:
Transcripción
1 Implementación de Sistemas de Información Seguros Cristian Mora Aguilar, CISSP, CISM, MCSE+Security Security Consultant Microsoft Security Center of Excellence, SCoE
2 Agenda Conceptos básicos de seguridad Triada de Seguridad CIA Seguridad en Aplicaciones: Más que un problema Tecnológico Componentes básicos para de Seguridad Arquitectura Administración de Riesgo Defensa en profundidad Seguridad en Aplicaciones Modelo de Amenazas (Threat Modeling) y STRIDE Herramientas: FXCop Caso de Estudio DJ Hell Defacement
3 Triada de Seguridad CID Confidencialidad Integridad Disponibilidad Confidencialidad Seguridad Integridad Disponibilidad
4 Seguridad de Aplicaciones: Más que un problema Tecnológico Procesos Tecnologías Operaciones
5 Modelo de Infraestructura Tecnológico y WSSRA
6 El Problema Tecnológico Crecimiento informal Administración lenta y Compleja de los componentes
7 Ambiente de Infraestructura
8 Arquitectura de Referencia
9 Zonas de Seguridad
10 Segmentación de Redes
11 Almacenamiento
12 Componentes básicos de Servicios de Red
13 Servicios de Aplicación
14 Servicios de Administración
15 Servicios Públicos y Clientes
16 Análisis de Riesgo
17 Administración de Riesgos y soporte para decisiones El equipo de negocios define el impacto Alto Bajo Impacto al negocio Riesgo Aceptable Ejecución de la vulnerabilidad Riesgo NO Aceptable La administración de riesgo define un nivel aceptable del mismo El equipo de Seguridad de información define la probabilidad Alto
18 Amenazas de Seguridad de TI Ambiente de Seguridad Defensa en profundidad Físico Red Servidor Apps Datos Servidores Amenazas Amenazas Clientes Dispositivos Amenazas Amenazas Amenazas Amenazas
19 Análisis de Riesgo Ambiente de Seguridad Servidores Defensa en Profundidad Físico Red Servidor Apps Datos Evaluación de riesgo en cada capa Mejor visión de la situación actual Cada sección tiene una clasificación de riesgo y un plan de mitigación Clientes Aceptable Dispositivos Control en Progreso No Aceptable
20 Resultado de Análisis de Riesgo Ambiente de Seguridad Defensa en Profundidad Físico Red Servidor Apps Datos Servidores Clientes Dispositivos
21 Implementación de Soluciones Ambiente de Seguridad Defensa en Profundidad Físico Red servidor Apps Datos Servidores Solución Solución Clientes Dispositivos Solución Solución Solución Solución
22 Plan de Evaluación de Resultados Ambiente de Seguridad Defensa en Profundidad Física Red Servidor Apps Datos Servidores Clientes Dispositivos
23 Defensa en Profundidad
24 Defensa en Profundidad Medidas de control segmentadas en capas de protección Aplica medidas de control en cada capa de cada componente que interactúa en una solución, desde la capa de perímetro hasta la capa de datos Reduce la posibilidad de un único punto de vulnerabilidades cuando el sistema es atacado Reducción del riesgo por: Análisis de vulnerabilidades presentes en los sistemas Análisis de amenazas presentes que pueden tomar ventaja de esas vulnerabilidades Implementación de los medidas de control apropiadas en cada capa
25 Defensa en Profundidad Datos Aplicación Servidor Red Perímetro Seguridad Física Políticas, procedimientos, Concientización
26 Como minimizar la superficie de ataque? Datos Aplicación Servidor Red Interna Perímetro Seguridad Física Políticas, Procedimientos, Concientización Listas de Acceso, Encriptación, EFS Aseguramiento de App, Antivirus Aseguramiento del SO, Autenticación, Actualizaciones de OS, Detector de Intrusos local Segmentación de Red, IPSec, Detector de Intrusos dered Muros de fuego, Control de acceso de Cuarentena Guardas, Cerrojos, Dispositivos de monitoreo Documentación de Seguridad, Educación al Usuario
27 Seguridad en aplicaciones
28 Amenazas de Seguridad más comunes
29 Vulnerabilidades por Años Data Source: Secunia (
30 Seguridad en la arquitectura Seguridad en el modelo de desarrollo Estrategia SD 3 Seguridad en el diseño por capas Holística de la seguridad
31 Seguridad en el modelo de desarrollo Analizar amenazas Revisión externa Aprender y refinar Preguntas durante las entrevistas Determinar los criterios de validación de la seguridad Security push Concepto Entrenar a los miembros del equipo Diseños completados Planes de pruebas completados Código completado Entrega Revisar defectos anteriores, comprobar registros directrices de programación segura, usar herramientas Después de la entrega Revisión del equipo de seguridad Pruebas de mutación de datos y mínimos privilegios =continuo
32 Modelo de análisis de Riesgos Entender las amenazas hacia las aplicaciones/sistema Uso de modelo de riesgo para identificar riesgos Diferente a la fase de pruebas y servicios Consideraciones de diseño de alto nivel Permite una mitigación proactiva de la mitigación de amenazas
33 Proceso para el Modelo de analisis de riesgo Crear un modelo de la aplicación (UML, DFD, etc.) Utilizar STRIDE para categorizar los tipos de amenazas Para cada destino de ataque Spoofing, Tampering, Repudiation, Information disclosure, DoS, Elevation of privilege Construcción de un arbol de amenazas Categorizar las amenazas con DREAD Damage potential, Reproducibility, Exploitability, Affected users, Discoverability
34 Árbol de Amenazas PROCESS STRIDE STRIDE THREAT STRIDE THREAT STRIDE THREAT STRIDE THREAT DREAD SUB-THREAT SUB-THREAT SUB-THREAT SUB-THREAT CONDITION CONDITION CONDITION
35 Para cada proceso en el Modelo Es el proceso susceptible a spoofing? Puede ser el proceso alterado? Existe la posibilidad de manejar no repudio en la aplicación? Pueden un ataque resultar en la vista no autorizada de los datos? Puede un ataque de DoS deshabilitar el proceso? Puede ser ejecutado la elevación de privilegios si un proceso ha sido atacado?
36 Aplicando STRIDE Procesos Afectados Afecta datos almacenados Afecta en interacció n S Afecta el flujo de datos T R I D E
37 Mitigación de Amenazas Técnicas de Mitigación S T R I D E Autenticación, Almacenamiento de credenciales seguras Autorización, firmas digitales Autenticación, autorización, firmas digitales, bitácoras Autorización, Encriptación Filtrado, Autenticación, Autorización No utilizar identidades las cuales tienen altos niveles de privilegios
38 Priorización de Amenazas Utilización del modelo de análisis de riesgo (DREAD) para asignar las prioridades a las áreas mas criticas basado en sus amenazas Priorizar mitigaciones de seguridad Priorizar revisiones periódicas Estrategias de reutilización
39 Pruebas de los planes de mitigación a amenazas Necesidad plan de prueba para cada amenaza Pruebas básicas de acceso y funcionalidad Pruebas intrusivas El modelo de amenazas dirige el plan de pruebas Proceso de fin a fin
40 Probando el plan de mitigación de amenazas Spoofing Autenticación Intento de cracking, replay, ver datos en la red física Almacenamiento seguro de las credenciales Intentar compromiso de acceso a información Tampering Intentar ingresar sin autenticacion Intentar de invalidar/modificar hashes firmas
41 Probando el plan de mitigación de amenazas Repudiation Intentar de eludir la autenticación/autorización Intentar Evitar firmas Intento de evitar bitácoras, o bien escribir bitácoras falsas Information Disclosure Intento de acceso a información no autorizada Intentar de ver el dato en la red (eavesdropping) Eliminar un proceso, mirar datos sensitivos Intento de causar errores de condición, mirar las bitácoras
42 Pruebas de mitigación de amenaza Denial of Service Filtrado Envío de datos mal formados Consumo de recursos Elevation of Privilege No poseer acceso a procesos ejecutándose con altos privilegios
43 Desarrollo de objetivos de seguridad Elevar el nivel de seguridad de la aplicación Identificar cuando y como se requiere autenticación o autorización Identificar donde y como usted necesita para asegurar la comunicación de ambos para su aplicación (desde usuarios finales) y entre aplicaciones de terceros Identificar dificultadas comunes y como evitarlas Identificar riesgos principales y su mitigación relacionada a la autenticación y a la autorización Evitar minimizar la seguridad de hacer cosas para trabajar Identificar no solamente como y donde, pero también cuando usar varias características de seguridad Eliminar el miedo, duda e incertidumbre Promover mejores practicas y obtener resultados predecibles
44 Desarrollo de Principios básicos de Seguridad Adoptar el principio del mínimo privilegio Utilizar defensa en profundidad No confiar en el ingreso de datos de los usuarios Utilice siempre la seguridad como base de todo proceso de configuración inicial No confiar en la seguridad por oscuridad Reducir la superficie de ataque SI existe una falla que se redirija a un modo seguro
45 Ataque de DJ Hell
46 Data Application Host Internal Network Perimeter Physical Security Defensas de Perímetro Policies, Procedures, and Awareness
47 Data Application Host Internal Network Perimeter Physical Security Defensas de Red Policies, Procedures, and Awareness
48 Data Application Host Internal Network Perimeter Physical Security Defensa de Host Policies, Procedures, and Awareness
49 Data Application Host Internal Network Perimeter Physical Security Defensa de Aplicación Policies, Procedures, and Awareness
50 Data Application Host Internal Network Perimeter Physical Security Defensa de Datos Policies, Procedures, and Awareness
51 Ataque de Sitio Web: DJ Hell Compromiso de sitio web Problemas en algunas capas de Seguridad Los servidores web no estaban debidamente actualizado (parches) Claves de administrador no actualizadas Métodos de acceso: Capa de Aplicación 1 aplicación de consulta no utilizaba estándar de autenticación para consulta de datos. Capa de Datos Concepto de mínimo privilegio no utilizado SysAdmin
52 Ataque de Sitio Web: DJ Hell INTENTO ACCESO :40:24 SERVERIP GET /msib21/apphacked/capitulo.asp cod=02update%20is_arest%20set%20est_descripcion%20=%20%27hacked%20by%20djhell % e14 [Microsoft][ODBC_SQL_Server_Driver][SQL_Server]Line_1:_Incorrect_syntax_near_ 'Hacked'. 80 IPATTACKER libwww-perl/ MODIFICACION DE CODIGO : :37:25 SERVERIP GET /msib21/apphacked/notascapitulo.asp cod=01update%20is_arest%20set%20est_descripcion%20=%20%27hacked%20by%20djhell % SERVERIP libwww-perl/ :25 SERVERIP GET /msib21/apphacked/notascapitulo.asp cod=01update%20is_arest%20set%20est_descripcion%20=%20%27hacked%20by%20djhell % libwww-perl/ SQL Code Injection
53 Ataque de Sitio Web: DJ Hell Code Review of ASP pages from customer's server: ========================================= line 7 of /_Conexi.asp: conn.open = "DSN=APPHACKED;UID=adminAPP;PWD=XXXXX" line 2 of /NotasCapitulo.asp <!--#include file="_conexi.asp"--> line 11 of /Capitulo.asp sql = "select EST_DATA1, EST_Notas from IS_AREST where EST_DATA = " & cod Line 11 allows for SQL Injection...making the following request will cause the exact same behavior the customer originally reported: UPDATE IS_AREST SET EST_Descripcion = 'Hacked By SQLInjection' SQL Code Injection
54 Herramienta FXCop
55 FXCop Herramienta FXCop Diseño de librerías Localización Convención de Nombres Desempeño Seguridad
56 Referencias Herramienta FXCop Modelo de análisis de Amenazas (Threat Modeling) ult.aspx Pagina General de Seguridad Sitio para Seguridad de desarrollo Sitio de seguridad de MSDN para desarrolladores Guías de mejores practicas Guías Patterns & Practices Ejemplos de programación seguro Writing Secure Code, 2nd edition Howard, Leblanc. MS Press, 2003
57 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesCurso: (62612) Diseño de aplicaciones seguras
Curso: (62612) Diseño de aplicaciones seguras Fernando Tricas García Departamento de Informática e Ingeniería de Sistemas Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/
Más detallesSeguridad en el ciclo de vida del desarrollo de software
Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina Introducción Introducción n a la seguridad en el SDLC Actualmente
Más detallesModelamiento de Amenazas en el Desarrollo de Software
Modelamiento de Amenazas en el Desarrollo de Software Davor A. Pavisic Jalasoft CTO Agenda La importancia Definición Beneficios Metodología Conclusiones 2 Porque Modelar Amenazas? La seguridad de aplicaciones
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesEl proceso de Instalación de Microsoft SQL Server 2008
El proceso de Instalación de Microsoft SQL Server 2008 Luis Alejandro Esteban C - nave_tze@hotmail.com Este documento va dirigido a profesionales de tecnología interesados en entender el proceso de instalación
Más detallesProtegiendo la información gubernamental: Retos y recomendaciones
Protegiendo la información gubernamental: Retos y recomendaciones Gerardo Maya Alvarez Security Principal Consultant Protegiendo la información gubernamental: Retos y recomendaciones 1 Agenda 1 Analizando
Más detallesPolíticas de seguridad de la información. Empresa
Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesModelado de Amenazas Una Introducción
OWASP Latam Tour The OWASP Foundation Buenos Aires, Argentina 2012 http://www.owasp.org Modelado de Amenazas Una Introducción Hernán M. Racciatti, CISSP, CSSLP, CEH SIClabs hracciatti@siclabs.com @my4ng3l
Más detallesImpacto Real para un mejor Perú
Impacto Real para un mejor Perú Educación y Juventud Inclusión Social Desarrollo Regional Firmas Digitales Seguridad en Dispositivos Seguridad en la Información Seguridad en Internet Seguridad en la
Más detallesProgramación de código seguro
Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesSeguridad en.net. Daniel Seara
eguridad en.et Daniel eara Proceso de desarrollo Definir que hace la aplicación y como se usa Los usuarios ven páginas con catálogos Realizan búsquedas del mismo Agregan ítems al carrito Cierran la operación
Más detallesANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS. Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un
ANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un efecto positivo o negativo sobre al menos un objetivo del proyecto, como tiempo,
Más detallesCómo proteger su organización con una estrategia de Administración de Dispositivos Móviles? Rodrigo Calvo,CISSP, ITIL v3, SNIA
Cómo proteger su organización con una estrategia de Administración de Dispositivos Móviles? Rodrigo Calvo,CISSP, ITIL v3, SNIA Sr. Systems Engineer MCLA Region Technology Day 2014 Implicaciones de la Movilidad
Más detallesSISTEMAS IDEALES SISTIDE, S.A. SISTEMA GESTION DE USUARIOS
SISTEMAS IDEALES SISTIDE, S.A. SISTEMA GESTION DE USUARIOS PÁGINA 2 SISTEMAS IDEALES SISTIDE, S.A. SISTEMA DE GESTIÓN DE USUARIOS (SGU) Hoy en día los centros de tecnología de información tienen a su cargo
Más detallesBeneficios del Acuerdo Campus 3.4
Beneficios del Acuerdo Campus 3.4 Membresía Gratuita MSDN AA Una (1) membresía gratis, departamental: Facultad de Sistemas La membresía NO puede ser utilizada para correr la infraestructura computacional
Más detallesPRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE
PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,
Más detallesTERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Más detallesSistema de Gestión de Proyectos Estratégicos.
[Documento versión 2.0 del 24/06/2015] Sistema de Gestión de Proyectos Estratégicos. El sistema de Gestión de Proyectos Estratégicos (GPE), es una poderosa herramienta para administrar y gestionar los
Más detallesGuía de usuario CUBO TI
Guía de usuario CUBO TI Soluciones Administrativo Financieras y Comerciales para Empresas Departamento de Ingeniería de Software TI Contenido Guía de usuario de Cubos Suite para Windows... 3 Introducción...
Más detallesANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA
ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesAnuncio de software ZP10-0561 de IBM Europe, Middle East and Africa con fecha 16 de noviembre de 2010
con fecha 16 de noviembre de 2010 IBM Rational AppScan Source Edition e IBM Rational AppScan Build Edition V8.0 ofrecen ahora una función de comprobación de la vulnerabilidad de las aplicaciones mejorada
Más detallesProceso Unificado de Rational PROCESO UNIFICADO DE RATIONAL (RUP) El proceso de desarrollo de software tiene cuatro roles importantes:
PROCESO UNIFICADO DE RATIONAL (RUP) El proceso de desarrollo de software tiene cuatro roles importantes: 1. Proporcionar una guía de actividades para el trabajo en equipo. (Guía detallada para el desarrollo
Más detallesPROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:
PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos
Más detallesINFORME Nº 044-2012-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE
INFORME Nº 044-2012-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la adquisición e implementación de una solución de prevención
Más detallesVICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS
VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesSeguridad en el ciclo de vida del software
Seguridad en el ciclo de vida del software Pablo Miño - CISSP Agenda Importancia del software Seguridad en capas Por qué el software falla? Conceptos de seguridad Ciclo de vida Agenda Importancia del software
Más detallesLa Base de Datos OLAP Analysis Services (SSAS) Agenda. Agenda. Construyendo una Solución de BI paso a paso con SQL Server 2005
Construyendo una Solución de BI paso a paso con SQL Server 2005 La Base de Datos OLAP Analysis Services (SSAS) Ing. José Mariano Alvarez Jose.Mariano.Alvarez@SqlTotalConsulting.com Agenda Por qué Analysis
Más detallesXITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO
Auditorias de seguridad en TI Presentación del servicio Agenda: 1. Qué es una auditoria de Seguridad? 2. Metodología de Implementación 3. Ejemplos de entregables 4. Porqué es necesaria? 5. Beneficios Qué
Más detallesArquitectura de sistema de alta disponibilidad
Mysql Introducción MySQL Cluster esta diseñado para tener una arquitectura distribuida de nodos sin punto único de fallo. MySQL Cluster consiste en 3 tipos de nodos: 1. Nodos de almacenamiento, son los
Más detallesAdministración de la identidad en el cumplimiento regulatorio Política Digital Óscar Caballero, CISSP
Administración de la identidad en el cumplimiento regulatorio Política Digital Óscar Caballero, CISSP Gerente de Desarrollo de Negocios ocaballero@novell.com Le resultan familiares estas notas? 2 Riesgo,
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallesMicrosoft Developer Network Academic Alliance Características
Microsoft Developer Network Academic Alliance Características Qué es MSDN AA? MSDN Academic Alliance (MSDNAA) está diseñado para proporcionar a las universidades y ciclos formativos de grado superior de
Más detallesAlgunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Más detallesSeguridad en Servicios de Hosting
Tendencias de la Tecnología en Seguridad Informática 2009 Seguridad en Servicios de Hosting Juan Pablo Perez Etchegoyen jppereze@cybsec.com 16 de Septiembre de 2009 Buenos Aires - Argentina Agenda Introducción
Más detallesMicrosoft Dynamics. Migración de FRx 6.7 a Management Reporter for Microsoft Dynamics ERP
Microsoft Dynamics Migración de FRx 6.7 a Management Reporter for Microsoft Dynamics ERP Fecha: mayo de 2010 Tabla de contenido Introducción... 3 Información general sobre el proceso de migración de Management
Más detallesMicrosoft Dynamics. Instalación de Management Reporter for Microsoft Dynamics ERP
Microsoft Dynamics Instalación de Management Reporter for Microsoft Dynamics ERP Fecha: mayo de 2010 Tabla de contenido Introducción... 3 Información general... 3 Requisitos del sistema... 3 Instalación
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesAranda 360 ENDPOINT SECURITY
Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola
Más detallesAUDITORÍA DE SISTEMAS. Líneas de Profundización III
AUDITORÍA DE SISTEMAS 1 I Auditoría de Redes 2 Usar la jerga Modelo OSI Modelo TCP/IP Tecnologías de Red 3 Vulnerabilidades en Redes 4 Alteración de bits Alteración de secuencia Ausencia de paquetes 5
Más detallesCopyright 2011 - bizagi. Gestión de Cambios Documento de Construcción Bizagi Process Modeler
Copyright 2011 - bizagi Gestión de Cambios Bizagi Process Modeler Tabla de Contenido Gestión de Cambios... 4 Descripción... 4 Principales factores en la Construcción del Proceso... 5 Modelo de Datos...
Más detallesBeneficios estratégicos para su organización. Beneficios. Características V.2.0907
Herramienta de inventario que automatiza el registro de activos informáticos en detalle y reporta cualquier cambio de hardware o software mediante la generación de alarmas. Beneficios Información actualizada
Más detallesRETO FORENSE EPISODIO III Resumen Ejecutivo
RETO FORENSE EPISODIO III Resumen Ejecutivo José Antonio Valero Sánchez javalero@gmail.com Zaragoza, España 2006 Motivos de la intrusión. Después de analizar la imagen del sistema cabe destacar que el
Más detallesJose Carlos Cerezo Luna. Especialista de seguridad
Jose Carlos Cerezo Luna Especialista de seguridad 1 Objetivo del ENS Programa integral de seguridad Crear condiciones necesariasdeconfianza confianza en el uso de los medios electrónicos, a través de medidaspara
Más detallesModelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013
Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea
Más detallesMACROPROCESO GESTIÓN TECNOLÓGICA
Versión 1.0 Página 1 de 5 1. OBJETIVO Suministrar las fases para la puesta en producción de aplicaciones y sistemas de información desarrollados o adquiridos por el Instituto Colombiano de Bienestar Familiar
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detallesManual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública
Manual de Aplicación Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Johana Sosa Contenido Introducción... 3 1. Conceptos
Más detallesGestión de la Seguridad de Activos Intelectuales
Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos
Más detallesDefinición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010
Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las
Más detallesSoporte Técnico de Software HP
Soporte Técnico de Software HP Servicios Tecnológicos HP Servicios contractuales Datos técnicos El Soporte Técnico de Software HP ofrece servicios integrales de soporte remoto de para los productos de
Más detallesMS_10974 Deploying Windows Server
Gold Learning Gold Business Intelligence Silver Data Plataform www.ked.com.mx Por favor no imprimas este documento si no es necesario. Introducción. En este curso usted aprenderá cómo planear e implementar
Más detallesOBJETIVOS DE APRENDIZAJE
PLAN DE ESTUDIOS: SEGUNDO CICLO ESPECIALIDAD COMPUTACIÓN 4 to AÑO CAMPO DE FORMACIÓN: ESPECIALIZACIÓN ÁREA DE ESPECIALIZACIÓN: EQUIPOS, INSTALACIONES Y SISTEMAS UNIDAD CURRICULAR: ADMINISTRACIÓN DE SISTEMAS
Más detallesAudire V.3 FECHA DEL BOLETÍN BOLETIN 15
Audire V.3 FECHA DEL BOLETÍN BOLETIN 15 INTRODUCCION En los últimos años los sistemas de información han venido aportando a los procesos de las empresas una gran ayuda en la recopilación y administración
Más detallesRecursos HELP DESK Biblioteca 2012
Selección de herramientas para la implementación de ITIL - Segunda Parte Uno de los principales objetivos del marco de trabajo ITIL es administrar la información que se usa para manejar la calidad y la
Más detallesPERFILES OCUPACIONALES
PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan
Más detallesLineamientos para el desarrollo de sistemas
Lineamientos para el desarrollo de sistemas 1. Introducción La Coordinación de Información Académica (CIA) a través del Centro Universitario para el Desarrollo de las Tecnologías de la Información (CUDTI)
Más detalles4. La instantánea se pone en línea y está listo para su uso.
1 er RESUMEN TRADUCIDO. Las instantáneas de SQL Server 2005. Una vista de DBA en SQL 2005 instantáneas de base de datos Las instantáneas de bases de datos son un instrumento nuevo Enterprise Edition sólo,
Más detallesResumen del trabajo sobre DNSSEC
Resumen del trabajo sobre Contenido 1. -...2 1.1. - Definición...2 1.2. - Seguridad basada en cifrado...2 1.3. - Cadenas de confianza...3 1.4. - Confianzas...4 1.5. - Islas de confianza...4 2. - Conclusiones...5
Más detallesCORE SECURITY Insight Enterprise, Security Intelligence applied to prevent threats
CORE SECURITY Insight Enterprise, Matías Szmulewiez - Sales Manager Latin America P A G E Quiénes Somos Londres Headquarters Ventas Bangalore Chicago San Francisco Boston Washington Soporte Servicios Ingeniería
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesDistintas experiencias sobre la seguridad de las bases de datos
Distintas experiencias sobre la seguridad de las Ing. Ricardo Lira, M. en C., CISSP, PMP VIII Encuentro Iberoamericano de Protección VIII Encuentro Iberoamericano de Protección de Datos Ciudad de México
Más detallesGuía de doble autenticación
Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN SECRETARÍA DE ESTADO DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN
Más detallesSistema de Medición de Riesgos en Enrutadores bajo el. Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler Amador Donado
Sistema de Medición de Riesgos en Enrutadores bajo el estándar 802.11g basándose en los lineamientos i planteados por la OSSTMM Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler
Más detallesAtaques a Aplicaciones de Bases de Datos
Ataques a Aplicaciones de Bases de Datos Esteban Martínez Fayó Argeniss (www.argeniss.com) ekoparty security conference Noviembre 2007 Buenos Aires, Argentina Agenda Introducción a la seguridad en Bases
Más detallesInformation Security Network Management Solutions
SM@RT-IT Information Security Network Management Solutions SERVICIO DE CONSULTORIA DE RED INTRODUCCIÓN El servicio de consultoría de red, considera actividades conducentes a obtener una visión holistica
Más detallesLa Administración n de Servicios ITIL. Noviembre, 2006
La Administración n de Servicios ITIL Noviembre, 2006 1 4.- LA GESTION DE PROBLEMAS 2 4.- LA GESTION DE PROBLEMAS OBJETIVO Minimizar el impacto adverso de los incidentes y los problemas sobre el negocio
Más detallesLos profesores Flipantes
Los profesores Flipantes 1 0. Índice 1. Introducción al TSP 2. La lógica del TSP 3. Lanzamiento de un Proyecto TSP. 4. Fases del Ciclo TSPi. 5. TSPi en DSIC. 2 1. Introducción al TSP. El software suele
Más detallesANÁLISIS Y DISEÑO DE SISTEMAS DEPARTAMENTO DE CIENCIAS E INGENIERÍA DE LA COMPUTACIÓN
ANÁLISIS Y DISEÑO DE SISTEMAS DEPARTAMENTO DE CIENCIAS E INGENIERÍA DE LA COMPUTACIÓN Clase 6: Ingeniería de Requerimientos Metododología y Ejemplo Primer Cuatrimestre 2015 Mg. María Mercedes Vitturini
Más detallesSolución de una Intranet bajo software Open Source para el Gobierno Municipal del Cantón Bolívar [IOS-GMCB] Gobierno Municipal del Cantón Bolívar
Gobierno Municipal del Cantón Bolívar Versión: Solución de una Intranet bajo software Open Source para el Gobierno Municipal del Cantón Bolívar [IOS-GMCB] Plan de Desarrollo de Software Universidad
Más detallesMétricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.
Métricas para la Seguridad de las Aplicaciones MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A. Expositor About Me MAI. Andrés Casas, Director de Gestión de Riesgo de
Más detallesCONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesModificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.
UNIVERSIDAD DE CARABOBO FACULTAD DE CIENCIA Y TECNOLOGÍA DIRECCION DE EXTENSION COORDINACION DE PASANTIAS Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere. Pasante:
Más detallesSMP Sistema Móvil de Preventa. Manual del usuario
SMP Sistema Móvil de Preventa Manual del usuario SMP Sistema Móvil de Preventa Manual de usuario Índice. 1. Generalidades. 2. Ingreso al sistema. 3. Configuración inicial. 4. Sincronización del dispositivo.
Más detallesPOLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE
SISTEMAS DE ÍNDICE PÁGINA INTRODUCCIÓN OBJETIVO 3 FUNDAMENTO LEGAL 4 DEFINICIONES 5 POLÍTICAS 6 De la base de datos Del acceso a los sistemas De los sistemas Web Ambientes de Desarrollo, Calidad o Pruebas,
Más detallesPrimeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010
Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Web Application: Security Tips Hernán M. Racciatti hracciatti@siclabs.com SICLABS Acerca del Autor Analista
Más detallesCURSO DE SQL SERVER 2005
CURSO DE SQL SERVER 2005 Una vez finalizado el curso, el alumno estará preparado para: Instalar y configurar SQL Server 2005. Comprender los conceptos más importantes del diseño de bases de datos. Crear
Más detallesGestión de la Seguridad Informática
Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...
Más detallesBBVA emarkets Seguridad
BBVA emarkets Seguridad BBVA emarkets BBVA emarkets es un sistema para realizar operaciones mediante Internet. El sistema no requiere la instalación de software y se puede ingresar a él mediante un navegador
Más detallesSeguridad en Smartphones
Tendencias de la Tecnología en Seguridad Informática 2009 Seguridad en Smartphones Hernán Costante hcostante@cybsec.com 16 de Septiembre de 2009 Buenos Aires - Argentina Qué es? Es un dispositivo móvil
Más detallesITIL V3-2011 Preparación para la certificación ITIL Foundation V3
Capítulo 1 Introducción y aspectos generales de ITIL V3 A. Introducción 26 1. El contexto 26 2. Las respuestas a este contexto 27 B. Las buenas prácticas ITIL V3 27 1. Las buenas prácticas 27 a. Introducción
Más detallesProgramación páginas web. Servidor (PHP)
Programación páginas web. Servidor (PHP) Curso de desarrollo de aplicaciones web. Para ello se estudia la programación de la parte servidor con la tecnología PHP y el servidor de bases de datos MySQL.
Más detallesAnálisis y Modelado de Amenazas
Una revisión detallada de las metodologías y herramientas emergentes Versión: Fecha de creación: 1.0 18 / 12 / 2006 Autor: Daniel P.F metal AT/DOT hacktimes.com Tabla de contenido Qué es el modelado de
Más detallesTecnología en Movimiento Para Usted
InsysGuard INSYS ofrece InsysGuard como Centro de Operaciones NOC & SOC (Network Operations Center & Security Operations Center) dentro del territorio nacional mexicano y todo el procesamiento se realizá
Más detallesSOLUCIONES EN SEGURIDAD INFORMATICA
SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados
Más detallesCiber-ataques en la Industria y sus Oportunidades
Ciber-ataques en la Industria y sus Oportunidades Lecciones en el Campo de batalla Ing. Kristian Ayala, M.C. / 11 de Septiembre de 2014 AGENDA Situación actual Organismos contribuyentes Estadísticas de
Más detallesAdministración electrónica en Defensa y Seguridad RSA, La División de Seguridad de EMC
Administración electrónica en Defensa y Seguridad RSA, La División de Seguridad de EMC La Seguridad Centrada en la Información Javier Bustillo Director Comercial Administración Pública EMC: El líder en
Más detallesMantiene la VPN protegida
Mantiene la VPN protegida Características generales El creciente uso del acceso remoto está llevando a las empresas a buscar una solución segura y fácil de administrar para suministrar acceso a los bienes
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesSeguridad de la información en SMart esolutions
Seguridad de la información en SMart esolutions Índice Qué es SMart esolutions? Qué es la seguridad de la información? Definiciones Opciones de seguridad de SMart esolutions Preguntas frecuentes 04/05/2005
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesGestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP
Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso
Más detalles