SEGURIDAD DE LA INFORMACIÓN UNIVERSIDAD TECNOLÓGICA DE JALISCO

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SEGURIDAD DE LA INFORMACIÓN UNIVERSIDAD TECNOLÓGICA DE JALISCO"

Transcripción

1 UNIVERSIDAD TECNOLÓGICA DE JALISCO Guadalajara, Jalisco a 6 Septiembre de 2010 Por: M.C. Felipe Belmont Polanco Pág. 1

2 Unidades temáticas I.- Introducción a la seguridad informática Cómo definir la seguridad informática? Terminologías actuales en seguridad Elementos esenciales de la seguridad Clasificación de la seguridad informática Que son las normas de seguridad? Que son las políticas de seguridad? La información como activo Lo atractivo del delito informático Malware Tipos de malware Virus Tipos de virus Criptografía Criptosistemas Ataques informáticos Tipos de ataque. II.- Administración de la seguridad Normativas de administración de seguridad Las publicaciones NIS La norma COBIT La norma AS/NZS ISO/IEC 17799: Administración del riesgo. III.- Sistemas de seguridad. Pág. 2

3 Evaluación. Parciales I II III Examen teórico 70 % 70 % 80 % Practicas / Tareas/ Exposición 30 % 30 % Proyecto integradora 20 % Bibliografía. Pág. 3

4 Introducción a la seguridad informática. Cómo definir la seguridad informática? Si nos atenemos a la definición de la Real Academia de la Lengua RAE, seguridad es la cualidad de seguro. Buscamos ahora seguro y obtenemos libre y exento de todo peligro, daño o riesgo. A partir de estas definiciones no podríamos aceptar que seguridad informática es la cualidad de un sistema informático exento de peligro, por lo que habrá que buscar una definición más apropiada, considerando para ello que la seguridad no es un producto, sino un proceso.. Podríamos aceptar una primera definición más o menos aceptable de seguridad informática sería, un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el cual participan además personas. Concienciarlas de su importancia en el proceso será algo crítico. La seguridad informática no es un bien medible, en cambio sí podríamos desarrollar diversas herramientas para cuantificar de alguna forma nuestra inseguridad informática Casos para ver cómo está el mundo de la seguridad informática. 19 de Enero de 2001: Un intruso borra la página web de la Presidencia de Bulgaria. 25 de Enero de 2001: Denegación de servicio de las páginas web de Microsoft en los Estados Unidos y Europa. Febrero 2001: Cientos de empresas austríacas sufrieron robos de datos que permitieron a los crackers hacer llamadas telefónicas a lugares de todo el mundo, a cuenta de dichas empresas, por supuesto. 4 de Febrero de 2001: Los sistemas del Foro Económico Internacional, reunido en Davos, fue invadido por intrusos. Consiguieron información altamente confidencial y con el número de las tarjetas de crédito de los más altos mandatarios mundiales. 9 de Marzo de 2001: Crackers rusos y ucranianos consiguieron cerca de un millón de números de tarjetas de crédito robadas de las bases de datos de bancos norteamericanos y empresas de comercio electrónico por Internet. Quién va a querer atacarme, si no tengo nada importante? Es un error este planteamiento: todo sistema es extremadamente valioso como plataforma de ataque contra otro sistema verdaderamente importante. Como por ejemplo, hacker utiliza el ordenador de Juan Pérez para entrar al Ministerio de Fomento. Pág. 4

5 Terminologías actuales en seguridad El nombre hacker: neologismo utilizado para referirse a un experto (Gurú) en varias o alguna rama técnica relacionada con las tecnologías de la información y las telecomunicaciones: programación, redes, sistemas operativos. Cracker: (criminal hacker, 1985). Un cracker es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para hacer daño a su objetivo. Hacker ético: profesionales de la seguridad que aplican sus conocimientos de hacking con fines defensivos y legales. Diremos hacker siempre, pero hay que fijarse en el contexto. Elementos esenciales de la seguridad. Confidencialidad: tiene que ver con la ocultación de información o recursos. Autenticidad: es la identificación y garantía del origen de la información. Integridad: Se refiere a cambios no autorizados en los datos. Disponibilidad: Posibilidad de hacer uso de la información y recursos deseados. Clasificación de la seguridad informática. Seguridad Organizacional: Dentro de este, se establece el marco formal de seguridad que debe sustentar la institución, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad. Seguridad Lógica: Trata de establecer e integrar los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el control de software malicioso. Seguridad Física: Identifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos. Seguridad Legal: Integra los requerimientos de seguridad que deben cumplir todos los empleados, socios y usuarios de la red institucional bajo la reglamentación de la normativa interna de políticas y manuales de procedimientos institucionales en cuanto al recurso humano, sanciones aplicables ante faltas cometidas, así como cuestiones relacionadas con la legislación del país y contrataciones externas. Pág. 5

6 Que son las normas de seguridad? Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red institucional. Que son las políticas de seguridad? Son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de actuación, en relación con los recursos y servicios informáticos de la organización. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños, sin importar el origen de estos. Importancia de los manuales de normas y políticas Como parte integral de un Sistema de Gestión de Seguridad de la Información (SGSI), un manual de normas y políticas de seguridad, trata de definir; Qué?, Por qué?, De qué? y Cómo? se debe proteger la información. Estos engloban una serie de objetivos, estableciendo los mecanismos necesarios para lograr un nivel de seguridad adecuado a las necesidades establecidas dentro de la institución. Estos documentos tratan a su vez de ser el medio de interpretación de la seguridad para toda la organización. La información como activo. Podemos definir como activo al conjunto de los bienes y derechos tangibles e intangibles de propiedad de una persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios, en el ambiente informático llámese activo a los bienes de información y procesamiento, que posee la institución. Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. La información es un activo que como cualquier otro activo importante del negocio, tiene valor para la organización, consecuentemente necesita Protección Adecuada. Tipos de información. Por la cantidad de datos que procesa una organización, es posible requerir de diversos elementos en los que se debe plasmar o almacenar la información y algunos de estos elementos pueden ser. Impresos o escritos en papel. Almacenada electrónicamente. La que se transmite por correo o en forma electrónica. La que se muestra en videos corporativos. Lo que se habla en conversaciones. Estructura corporativa de información. Pág. 6

7 Lo atractivo del delito informático. Suponiendo que todos entendemos más o menos qué es un delito informático, algo no muy banal dado que muchos países no se ponen de acuerdo, parece ser que es un buen negocio. Malware. Objeto pequeño: la información que se ataca está almacenada en contenedores pequeños, no es necesario un camión para robar un banco, llevarse las joyas, el dinero, etc. Contacto físico: no existe contacto físico en la mayoría de los casos. Se asegura el anonimato y la integridad física del propio delincuente. Alto valor: el objeto codiciado tiene un alto valor. Los datos (el contenido a robar) puede valer mucho más que el soporte que los almacena: servidor, computador, disco, CD, etc. Hoy en día ya no se habla sencillamente de virus, ni de gusanos, la jerga utilizada para este tipo de programas nocivos que infectan continuamente nuestras computadoras ha cambiado de tal manera que se podría decir que existe una amplia variedad de malware o de estos códigos maliciosos. Desde una página perteneciente a Kaspersky Labs: Los programas maliciosos pueden dividirse en los siguientes grupos: gusanos, virus, caballos de Troya o troyanos, utilidades para hackers y otros tipos de programas maliciosos. Todos ellos han sido diseñados para causar daños al equipo infectado o a otros equipos conectados a redes. Según Wikipedia: Malware (del inglés malicious software, también llamado badware, software malicioso o software malintencionado), es un software que tiene como objetivo infiltrarse o dañar un ordenador sin el conocimiento de su dueño y con finalidades muy diversas ya que en esta categoría encontramos desde un troyano hasta un spyware. Esta expresión es un término general muy utilizado por profesionales de la computación para definir una variedad de software o programas de códigos hostiles e intrusivos. Se puede concluir que Malware es un término de amplio espectro, que abarca a todos los programas creados con el fin de realizar comandos no autorizados e intrusivos en una computadora o sistema computacional. Sus consecuencias pueden ser variadas, yendo de prácticamente imperceptibles a catastróficamente perjudiciales, pero en general, el simple hecho de cometer una intrusión y realizar actividades no establecidas y permitidas por el usuario, define el programa como Malware. Existe la CME (Common Malware Enumeration), una organización que tiene como finalidad identificar a los nuevos malware que aparecen en la red. Pág. 7

8 Tipos de Malware. SEGURIDAD DE LA INFORMACIÓN Adware: Contracción de Advertisement y software, este software muestra o baja anuncios publicitarios que aparecen inesperadamente en el equipo, pudiendo hacerlo simultáneamente cuando se está utilizando la conexión a una página Web o después de que se ha instalado en la memoria de la computadora. Spyware: Es un software espía. Cualquier aplicación informática que recolecta información valiosa de la computadora desde donde está operando. Es un tipo de malware que por lo general se introduce y opera en las PCs sin que el usuario lo advierta. Este es uno de los programas maliciosos más comunes hoy en día. Keylogger: Un keylogger es un malware del tipo daemon. Son programas espías para espiar y robar información, monitorear el sistema, registrando las pulsaciones del teclado, para robar las claves, tanto de páginas financieras y correos electrónicos como cualquier información introducida por teclado, en el equipo utilizado para saber lo que la víctima ha realizado como conversaciones que la misma tuvo, saber donde ha entrado, qué ha ejecutado, qué ha movido, etc. Rootkit: El Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Exploit: Exploit (del inglés to exploit, explotar, aprovechar) es el nombre con el que se identifica un programa informático malicioso, o parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa (Sistema operativo). Ransomware: El término se utiliza para hacer referencia a aquellos malware que "secuestran" archivos y piden "rescate" en dinero por ellos. Por lo general estos programas malignos encriptan la información de algunos archivos considerados importantes para el usuario, y no entregan la clave para lograr desencriptarlos si el usuario no paga. Estos virus también son llamados criptovirus. Scumware: Scumware es cualquier software que hace cambios significativos en la apariencia y funciones de las páginas Web sin permiso del Administrador (Webmaster) o propietarios. Crimeware: Un crimeware puede robar datos confidenciales, contraseñas, información bancaria, etc. y también puede servir para robar la identidad o espiar a una persona o empresa. El término fue ideado por Peter Cassidy, secretario general del Anti-Phishing Working Group, para distinguir este tipo de programas de otros malignos como malwares, spywares, adwares, etc. (aunque muchas veces éstos emplean técnicas similares para propagarse o actuar). Pág. 8

9 Virus (Malware infecciosos). A mediados de los 80, Basit y Amjad Alvi de Lahore, de Pakistán, descubrieron que la gente pirateaba sus programas. Ellos respondieron escribiendo el primer virus informático, un programa que se copiaría a sí mismo y un mensaje de copyright en cada copia de un disquete que sus clientes hicieran. A partir de esta simple idea surgió una nueva contracultura. Hoy nuevos virus se extienden por todo el planeta en horas y las amenazas víricas son noticia. Un virus informático es un programa con la capacidad de transmitirse entre ordenadores y redes, generalmente sin el conocimiento de los usuarios. Los virus pueden tener indeseables efectos secundarios. Desde molestar con absurdos mensajes hasta borrar todo el contenido del disco duro. Características comunes. Dañino: Todo virus causa daño, ya sea de forma implícita, borrando archivos o modificando información, o bien disminuyendo el rendimiento del sistema. A pesar de esto, existen virus cuyo fin es simplemente algún tipo de broma. Autoreproductor: La característica que más diferencia a los virus es ésta, ya que ningún otro programa tiene la capacidad de autoreplicarse en el sistema. Subrepticio: Característica que le permite ocultarse al usuario mediante diferentes técnicas, como puede ser mostrarse como una imagen, incrustarse en librerías o en programas. Tipos de virus. Encriptados: Más que un tipo de virus, son una técnica que usan diversos virus, los cuales se descifran ellos mismos para poderse ejecutar y acto seguido se vuelven a cifrar. De esta manera lo que intentan es evitar o dificultar ser detectados por los antivirus. Virus polimórficos: La diferencia esencial con los virus encriptados es que éstos se cifran/descifran de forma distinta en cada una de sus infecciones. Así consiguen impedir que los antivirus los localicen a través de la búsqueda de cadenas o firmas. Por esta característica, este tipo de virus son los más difíciles de detectarse. Troyanos: Un caballo de Troya es un programa que en su ejecución realiza tareas no previstas de antemano, pero no poseen la autoreproducción. El usuario ejecuta lo que cree un programa normal, permitiendo al troyano realizar tareas ocultas y, a menudo, malignas. Los troyanos de puerta trasera: Son programas que permiten a otros tomar el control de tu ordenador a través de Internet. Pág. 9

10 Gusanos (Worms): Los gusanos son similares a los virus pero no necesitan portador, los gusanos crean copias (sin tener que infectar ningún otro fichero) y, utilizan enlaces entre ordenadores para enviarse través de la red. Virus falsos: Hoy en día han surgido ciertos mensajes de correo electrónico, o programas, que pueden ser confundidos con virus. El principal tipo son los hoaxes, s engañosos que pretenden alarmar sobre supuestos virus. Tratan de engañar al usuario proponiendo una serie de acciones a realizar para eliminar dicho virus que en realidad no existe. Lo más probable es que dichas acciones sean dañinas. Bombas lógicas: Tampoco se replican, por lo que no son considerados estrictamente virus. Son segmentos de código, incrustados dentro de otro programa. Su objetivo principal es destruir todos los datos del ordenador en cuanto se cumplan una serie de condiciones. Bug-Ware: Quizás no deban de ser considerados como virus, ya que en realidad son programas con errores en su código. Dichos errores pueden llegar a afectar o al software o al hardware haciendo pensar al usuario que se trata de un virus. De MIRC: Tampoco son considerados virus. El uso de estos está restringido al uso del IRC, ya que consiste en un script, denominado script.ini, programado de forma maliciosa, que se enviará a la máquina cliente por DCC. Si la victima acepta dicho envío se sustituirá su script.ini por el malicioso, lo que provocará que el atacante tenga acceso a archivos de claves, etc. Los virus más famosos. Blaster (2003): Daño Estimado: 2 a 10 billones de dólares, aproximadamente cientos de miles de ordenadores infectados. Melissa (1999): Daño Estimado: 300 a 600 millones de dólares, una estimación asegura que este script afecto del 15% a 20% de los ordenadores del mundo. ILOVEYOU (2000): Daño Estimado: 10 a 15 billones de dólaresmiles de usuario fueron seducidos por el asunto y clickearon en el adjunto infectado. MyDoom (2004): Daño Estimado: Disminuyó el rendimiento de internet en un 10% y la carga de páginas en un 50%. SQL Slammer (2003): Slammer apareció un sábado su daño económico fue bajo, pero infectó 75,000 ordenadores en 10 minutos. Pág. 10

11 Criptografía. Rama inicial de las matemáticas y en la actualidad también de la informática y la telemática, que hace uso de métodos y técnicas con el objeto principal de cifrar, y por tanto proteger, un mensaje o archivo por medio de un algoritmo, usando una o más claves. Cifra o cifrado: Técnica que, en general, protege o autentica a un documento o usuario al aplicar un algoritmo criptográfico. Encriptar: En algunos países de Latinoamérica, por influencia del inglés, se usará la palabra encriptar, si bien se entiende, esta palabra todavía no existe y podría ser el acto de introducir a alguien dentro de una cripta. Criptología: Ciencia que estudia e investiga todo aquello relacionado con la criptografía: incluye cifra y criptoanálisis. Criptógrafo: Máquina o artilugio para cifrar. Criptoanalista: Persona cuya función es romper algoritmos de cifra en busca de debilidades, en la clave o del texto en claro. Claves: Datos (llaves) privados o públicos, que permiten cifrar un documento y descifrar el correspondiente criptograma. Criptograma: Documento cifrado. Criptoanálisis: El arte de descifrar criptogramas. Pág. 11

12 Criptosistemas SEGURIDAD DE LA INFORMACIÓN Existen diferentes tipos de sistemas de cifra, denominados criptosistemas, que nos permiten asegurar tres aspectos básicos de la seguridad informática, la confidencialidad o secreto del mensaje, la integridad del mensaje y autenticidad del emisor. Simétricos: Existirá una única clave (secreta) que deben compartir emisor y receptor. Con la misma clave se cifra y se descifra por lo que la seguridad reside en mantener dicha clave en secreto. Algunos algoritmos de este tipo son: Blowfish, IDEA, DES. Asimétricos: Cada usuario crea un par de claves, una privada y otra pública, inversas dentro de un cuerpo finito. Lo que se cifra en emisión con una clave, se descifra en recepción con la clave inversa. La seguridad del sistema reside en la dificultad computacional de descubrir la clave privada a partir de la pública. Para ello, usan funciones matemáticas de un solo sentido o con trampa. Ejemplos de este cifrado son: DSA, RSA, Diffie-Hellman. Híbridos: A menudo las conexiones seguras de Internet se sirven de una mezcla de los dos tipos de cifrado anteriores. Aprovechan la ligereza de uno y la fortaleza del otro. Lo que suelen hacer protocolos de comunicación seguros como HTTPS (basado en la capa SSL), Cifrado en bloque: El mismo algoritmo de cifra se aplica a un bloque de información o grupo de caracteres, número de bytes, etc., repetidas veces, usando la misma clave. El bloque de texto o información a cifrar normalmente será de 64 ó 128 bits. Cifrado en flujo: El algoritmo de cifra se aplica a un elemento de información (carácter, bit), mediante un flujo de clave en teoría aleatoria, y de mayor longitud que el mensaje. La cifra se hace carácter a carácter o bit a bit. DES Data Encryption Standard, (estándar de cifrado de datos), es un algoritmo desarrollado originalmente por IBM a requerimiento del NBS (National Bureau of Standards), Oficina Nacional de Estandarización, en la actualidad denominado NIST (National Institute of Standards and Technology), Instituto Nacional de Estandarización y Tecnología de EE.UU. Se trata de un sistema de cifrado simétrico por bloques de 64 bits, de los que 8 bits (un byte) se utilizan como control de paridad o sea para la verificación de la integridad de la clave. Cada uno de los bits de la clave de paridad (1 cada 8 bits) se utiliza para controlar uno de los bytes de la clave por paridad impar, es decir, que cada uno de los bits de paridad se ajusta para que tenga un número impar de "1" dentro del byte al que pertenece. Por lo tanto, la clave tiene una longitud "útil" de 56 bits, es decir, realmente sólo se utilizan 56 bits en el algoritmo. Pág. 12

13 El algoritmo se encarga de realizar combinaciones, sustituciones y permutaciones entre el texto a cifrar y la clave, asegurándose al mismo tiempo de que las operaciones puedan realizarse en ambas direcciones (para el descifrado). La combinación entre sustituciones y permutaciones se llama cifrado del producto. La clave es codificada en 64 bits y se compone de 16 bloques de 4 bits, generalmente anotadas de k1 a k16. Dado que "solamente" 56 bits sirven para el cifrado, puede haber hasta 2^56 claves diferentes. IDEA. Data Encryption Algorithm o IDEA (del inglés, Algoritmo Internacional de Cifrado de Datos) es un cifrador por bloques diseñado por Xuejia Lai y James L. Massey de la Escuela Politécnica Federal de Zúrich y descrito por primera vez en Fue un algoritmo propuesto como reemplazo del DES. El IDEA usa una clave de 128 bits. Difiere notablemente del DES en la función de etapa así como en la función de generación de subclaves. Para la función de etapa el IDEA cuenta con tres operaciones matemáticas diferentes XOR, suma binaria de enteros de 16 bits, y multiplicación binaria de enteros de 16 bits. RSA. El algoritmo fue descrito en 1977 por Ron Rivest, Adi Shamir y Len Adleman, del Instituto Tecnológico de Massachusetts (MIT); RSA (Rivest, Shamir y Adleman) es un sistema criptográfico de bloque que usa clave pública desarrollado en Los dos algoritmos de clave pública más usados son el RSA y el DiffieHellman, y RSA es válido tanto para cifrar como para firmar digitalmente. RC4. El algoritmo RC4 fue diseñado por Ron Rivest de la RSA Security en el año 1987; su nombre completo es Rivest Cipher 4, teniendo el acrónimo RC un significado alternativo al de Ron's Code utilizado para los algoritmos de cifrado RC2, RC5 y RC6. RC4 o ARC4 es el sistema de cifrado de flujo Stream cipher más utilizado y se usa en algunos de los protocolos más populares como Transport Layer Security (TLS/SSL) (para proteger el tráfico de Internet) y Wired Equivalent Privacy (WEP) (para añadir seguridad en las redes inalámbricas). RC4 fue excluido enseguida de los estándares de alta seguridad por los criptógrafos y algunos modos de usar el algoritmo de criptografía RC4 lo han llevado a ser un sistema de criptografía muy inseguro. WPA. Es un sistema para proteger las redes inalámbricas Wi-Fi (Protected Access - Acceso Protegido Wi-Fi); creado para corregir las deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad Equivalente a Cableado), y se utiliza en un modo poco seguro de clave pre-compartida (PSK - Pre- Shared Key) para usuarios de casa o pequeña oficina. Una de las mejoras sobre WEP, es la implementación del Protocolo de Integridad de Clave Temporal (TKIP - Temporal Key Integrity Protocol), que cambia claves dinámicamente a medida que el sistema es utilizado. Los fabricantes comenzaron a producir puntos de accesos apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES (Advanced Encryption Standard). Pág. 13

14 Ataques informáticos. Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, por lo general de índole económico, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización. Según Wikipedia, un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático ordenador, red privada, etcétera. Tipos de ataque. Los ataques a la seguridad logran algunos objetivos como acceder a recursos, obtener información, alterar sistemas, o incluso alteran recursos. Ataques pasivos: En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener información que está siendo transmitida. Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica muy sutil para obtener información de la comunicación, en donde se obtiene el origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados. Ataques activos : Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos. Denegación de servicio DoS (Deny of Service): es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, normalmente provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Man in the middle, abreviado MitM: es una situación donde un atacante supervisa (generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas. REPLAY: una forma de ataque de red, en el cual una transmisión de datos válida es maliciosa o fraudulentamente repetida o retardada. Es llevada a cabo por el autor o por un adversario que intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado. Pág. 14

15 Día cero: El ataque es realizado contra un ordenador, a partir del cual se explotan ciertas vulnerabilidades, o agujeros de seguridad de algún programa o programas antes de que se conozcan las mismas, o que, una vez publicada la existencia de la vulnerabilidad, se realice el ataque antes de la publicación del parche que la solvente. Fuerza bruta: No es necesariamente un procedimiento que se deba realizar por procesos informáticos, aunque este sistema ahorraría tiempos, energías y esfuerzos. El sistema de ataque por fuerza bruta, trata de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que se busca, y que permite el acceso al sistema, programa o archivo en estudio. Anatomía de un ataque. Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de aprender a pensar como los atacantes y a jamás subestimar su mentalidad. Fase 1 - Reconnaissance (Reconocimiento): Esta etapa involucra la obtención de información (Information Gathering) con respecto a una potencial víctima que puede ser una persona u organización. Fase 2 - Scanning (Exploración): En esta segunda etapa se utiliza la información obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros. Fase 3 - Gaining Access (Obtener acceso): En esta instancia comienza a materializarse el ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploración. Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking. Fase 4 - Maintaining Access (Mantener el acceso): Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos. Fase 5 - Covering Tracks (Borrar huellas): Una vez que el atacante logró obtener y mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS). Pág. 15

16 Administración de la seguridad. Normativas de administración de seguridad La implementación de esquemas de Administración de la Seguridad Informática en la institución debe seguir estándares y mejores prácticas del mercado. Existen algunos obstáculos que el administrador del área de tecnologías de información debe tener en cuenta como la falta de conciencia de usuarios finales, el presupuesto, la falta de apoyo de la alta gerencia, la falta de entrenamiento, la pobre definición de responsabilidades, la falta de herramientas, y los aspectos legales. Las publicaciones NIS. El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida. La serie 800 del NIST son una serie de documentos de interés general sobre Seguridad de la Información, estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernos y organizaciones académicas para todos los interesados en la seguridad. La norma COBIT. COBIT (Control OBjetives for Information and related Tecnology, Objetivos de Control para Tecnología de Información y Tecnologías relacionadas), lanzado en 1996, es una herramienta de gobierno de TI, se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos; COBIT se divide en tres niveles: Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible. Pág. 16

17 Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos están agrupados en cuatro grandes dominios: Dominio de Planificación y organización: Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. Dominio de Adquisición e implementación: Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. Dominio de Prestación y soporte: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación. Dominio de Monitoreo: Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio. La norma AS/NZS ISO/IEC 17799:2001. Es un conjunto de controles (Australian/New Zealand Standard, International Organization for Standardization/International Electronics Community), dan una serie de recomendaciones en el desarrollo de un proceso de administración de la seguridad informática, lo constituyen 127 controles estructurados en diez grandes áreas, que genera la confianza entre las instituciones que se relacionan. Las diez áreas que cubre el estándar Políticas de seguridad: La administración superior debe definir una política clara y apoyar la seguridad de la información a lo largo de la organización. Seguridad organizacional: Se divide en seguridad de la infraestructura, en el que deben ser claramente definidas las responsabilidades para la protección de información ó elementos físicos y de procesos de seguridad; la otra es el acceso a terceros, que se refiere a mantener la seguridad de los dispositivos de procesamiento de la información organizacional y activos de información al que acceden terceras partes. Revisar los tipos de acceso (físicos y lógicos). Pág. 17

18 Clasificación y control de activos: Cada activo deberá ser claramente identificado y se debe documentar la propiedad y su ubicación actual, clasificar el nivel de seguridad; controles a la información deben tomar en cuenta las necesidades del negocio para compartir o restringir información, así como su clasificación. Seguridad del personal: Reducir los riesgos de errores humanos, robo, fraude o mal uso de las facilidades organizacionales; todo empleado y usuario externo de los servicios de procesamiento de la información deberían firmar un acuerdo de confidencialidad. Entrenamiento de usuarios, asegurarse que conozcan las amenazas y preocupaciones de seguridad de la información, todos los empleados deberán recibir entrenamiento apropiado en los procedimientos y políticas organizacionales. Respuestas a eventos de seguridad, debe establecerse un procedimiento formal de reporte de incidentes. Seguridad física y ambiental: Prevenir el acceso no autorizado, daño e interferencia a la información y premisas del negocio. Los activos del procesamiento de información sensitiva o crítica del negocio deberán ser resguardados y protegidos por un perímetro de seguridad definido con controles apropiados incluidas las caídas de electricidad. Administraciones de las operaciones y comunicaciones: Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información; los procedimientos de operación identificados por la política de seguridad deberán ser documentados y revisados constantemente; los cambios en los sistemas y elementos de procesamiento de información deben ser controlados. Se deben establecer procedimientos y responsabilidades para el manejo de incidentes, y contar con planes de contingencia, análisis e identificación de las causas de un incidente, la recolección de pistas de auditoría, y reporte a las autoridades. Acciones a seguir para recuperarse de problemas de seguridad y corrección de fallas en los sistemas. Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento. Política para el cumplimiento con licencias de software y prohibir el uso de software No autorizado. Instalación y actualización regular de Antivirus y software scaneador de computadoras cono una medida preventiva. Revisar los documentos adjuntos en correos electrónicos así como cualquier archivo que se baje de Internet contra código malicioso. Procedimientos y responsabilidades administrativas para lidiar con la protección de virus en los sistemas, entrenamiento, reporte y recuperación de ataques. Hacer copias en forma regular de la información esencial del negocio y del software. Documentación de los Backups, copias adicionales y almacenadas en una localidad remota. Los Back-ups se deben proteger físicamente y contra las condiciones del ambiente. Pág. 18

19 Asegurar la protección de la información en las redes así como de su infraestructura. Los administradores de la red deben implementar controles que aseguren a los datos en la red, de accesos no autorizados, y también para los datos que pasan sobre redes públicas. Manejo de los medios, se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado. Los medios que no se ocupen más en la empresa deben ser desechados en forma segura. Intercambio de información, se debe prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones. Control de accesos: Son los requerimientos del negocio para el control de accesos, se deben establecer las reglas y derechos para el control de acceso de usuarios o grupos de usuarios, y estas deben estar bien claras en un documento de políticas de acceso. Deben existir procedimientos formales para el registro y eliminación de usuarios. Deben existir procesos formales para el control de los password, y que los usuarios sigan buenas prácticas para la selección y uso de passwords. Control de acceso a aplicaciones, se busca prevenir el acceso no autorizado a los sistemas de información, por lo que se debe monitorear el uso y acceso a los sistemas, para detectar desviaciones de las políticas de control de accesos y grabar eventos específicos para proveer de evidencia en caso de incidentes de seguridad. Asegurar la seguridad de la información cuando se utilizan dispositivos móviles. Desarrollo y mantenimiento de sistemas: Se debe asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura, así también que la seguridad es incluida en los Sistemas de Información, para prevenir la pérdida, modificación, o mal uso de los datos en las aplicaciones. Administración de la continuidad del negocio: Es actuar ante interrupciones de las actividades del negocio y proteger los procesos críticos de los efectos de fallas o desastres considerables, por lo que se deben probar con frecuencia los planes de continuidad o contingencia. Cumplimiento de aspectos legales: Evitar brechas o violaciones a cualquier ley criminal o civil, reguladora o contractual. Se deben implementar procedimientos apropiados para asegurarse del cumplimiento de las restricciones legales en el uso de materiales. Pág. 19

20 Administración del riesgo Administración de riesgos es el término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades. AS/NZS 4360:1999 El Australian/New Zealand Standard 4360, este estándar provee una guía genérica para el establecimiento e implementación del proceso de administración del riesgos involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos. La administración de riesgos es una parte integral del proceso de administración. La administración de riesgos es un proceso multifacético, de aspectos apropiados del cual son a menudo llevados a cabo mejor por un equipo multidisciplinario. Es un proceso iterativo de mejora continua. Elementos principales del estándar del proceso de administración de riesgos, se describen enseguida de una forma breve. Establecer el contexto: Involucra establecer el contexto estratégico, organizacional y de administración de riesgos en el cual tendrá lugar el resto del proceso. Deberían establecerse criterios contra los cuales se evaluarán los riesgos y definirse la estructura del análisis. Identificar riesgos: Identificar qué, por qué y cómo pueden surgir las cosas como base para análisis posterior. Analizar riesgos: Determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El análisis debería considerar el rango de consecuencias potenciales y cuán probable es que ocurran esas consecuencias. Consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de riesgo. Evaluar riesgos: Comparar niveles estimados de riesgos contra los criterios preestablecidos. Esto posibilita que los riesgos sean ordenados como para identificar las prioridades de administración. Si los niveles de riesgo establecidos son bajos, los riesgos podrían caer en una categoría aceptable y no se requeriría un tratamiento. Tratar riesgos: Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos, desarrollar e implementar un plan de administración específico que incluya consideraciones de fondeo. Pág. 20

ATAQUE Y CONTRAMEDIAS

ATAQUE Y CONTRAMEDIAS Unidad 3 4-5 3. AUTENTICACIÓN 4. CONTROL DE ACCESO 5. ATAQUE Y CONTRAMEDIAS jun-10 M.C. Gustavo A. Gutiérrez Carreón DEFINICIÓN AUTENTICACIÓN Autenticación o autentificación es el acto de establecimiento

Más detalles

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue CRIPTOGRAFIA Qué es, usos y beneficios de su utilización Introducción Antes, computadoras relativamente aisladas Hoy, computadoras en redes corporativas conectadas además a Internet Transmisión de información

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Integrantes: Manuel Ramírez Carlos Polanco Bernardo Farías Profesor: Agustín J. González

Integrantes: Manuel Ramírez Carlos Polanco Bernardo Farías Profesor: Agustín J. González Integrantes: Manuel Ramírez Carlos Polanco Bernardo Farías Profesor: Agustín J. González Introducción WLAN es una amplia red inalámbrica que permite conectar un equipo a la red para acceder a Internet,

Más detalles

Seguridad de la información

Seguridad de la información Seguridad de la información Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

Criptografía y Seguridad

Criptografía y Seguridad 11 de noviembre de 2005 versión 1.0 slide 1 Criptografía y Seguridad Ing. Horacio A. Navarro G. 11 de noviembre de 2005 versión 1.0 Seminario de Software slide 2 Agenda Definición de seguridad informática

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB Nombre: 1. Protocolo HTTPS Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto),

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS Seguridad de los datos - Virus / Malware / Antivirus Seguridad de la información Son técnicas y actividades destinadas a preservar

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

El contenido de este fichero está publicado bajo una licencia Creative Commons. Reconocimiento-NoComercial-SinObraDerivada 2.

El contenido de este fichero está publicado bajo una licencia Creative Commons. Reconocimiento-NoComercial-SinObraDerivada 2. El contenido de este fichero está publicado bajo una licencia Creative Commons. La licencia bajo la que se encuentra este fichero es: Reconocimiento-NoComercial-SinObraDerivada 2.1 España Puede ver el

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups.

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups. 1 Colegio Bosque Del Plata Tecnología de la Información y las Comunicaciones UNIDAD 3 Uso y control de los sistemas de información E-mail: garcia.fernando.j@gmail.com Profesor: Fernando J. Garcia Ingeniero

Más detalles

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA Para generar una transmisión segura de datos, debemos contar con un canal que sea seguro, esto es debemos emplear técnicas de forma que los datos que se envían de una

Más detalles

seguridad en redes inalámbricas

seguridad en redes inalámbricas Ç soluciones de seguridad en redes inalámbricas ` María Victoria Figueroa Domínguez Subdirectora General Adjunta del Ministerio de la Presidencia Daniel Merino Mateo Tecnocom En este artículo se pretende

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS Vicepresidencia de Infraestructura Gerencia Planeación Infraestructura y Servicios TABLA DE CONTENIDO 1. OBJETIVO...

Más detalles

ASIR. Virtual Private Network

ASIR. Virtual Private Network ASIR Virtual Private Network Introducción: Descripción del problema La red de ASIR se trata de una red local que ofrece unos servicios determinados a los distintos usuarios, alumnos y profesores. Al tratarse

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Seguridad Y Auditoria Wireless

Seguridad Y Auditoria Wireless Seguridad Y Auditoria Wireless Integrantes: -Héctor Durán -Katherine Zumelzu Profesor: Rodrigo Tapia Santis Índice Contenido Seguridad... 3 Auditoria... 3 Pero qué es Seguridad y Auditoría Wireless?...

Más detalles

Métodos Encriptación. Tópicos en Sistemas de Computación Módulo de Seguridad

Métodos Encriptación. Tópicos en Sistemas de Computación Módulo de Seguridad Métodos Encriptación Tópicos en Sistemas de Computación Módulo de Seguridad Temario Introducción Breve historia Algoritmos simétricos Algoritmos asimétricos Protocolos seguros Ejemplos Introducción Porqué

Más detalles

Protección de Datos. Ing. Karina Astudillo B. Gerente de IT

Protección de Datos. Ing. Karina Astudillo B. Gerente de IT Protección de Datos Ing. Karina Astudillo B. Gerente de IT 1 Agenda El porqué de la importancia de implementar protección de datos Panorama de seguridad informática mundial Casos relevantes en Ecuador

Más detalles

SEGURIDAD EN INFORMÁTICA

SEGURIDAD EN INFORMÁTICA SEGURIDAD EN INFORMÁTICA LA SEGURIDAD Y SUS IMPLICACIONES Características principales de la seguridad en Internet: Confidencialidad. Sólo deben tener acceso a aquellas personas autorizadas para ello. Autentificación

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Encriptación: de lo básico a lo estratégico

Encriptación: de lo básico a lo estratégico Encriptación: de lo básico a lo estratégico Los datos siempre están en riesgo de perderse o de que sean robados, aparte de que nunca falta quien olvide la clave para acceder a ellos, por lo cual las compañías

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0 Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. COMPONENTES

Más detalles

Los virus informáticos

Los virus informáticos SEGURIDAD DE LA INFORMACIÓN Es el estudio de los métodos y medios de protección de los sistemas de información y comunicaciones frente a amenazas de los siguientes tipos: - Sin intervención humana Amenazas

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web Unidad 4 Criptografía, SSL/TLS y HTTPS Índice Introducción. Criptografía Introducción Algoritmos criptográficos Introducción. Clave secreta. Clave pública. Funciones resumen (hash). 2 Índice Firma digital.

Más detalles

Redes de comunicaciones actuales permiten la conectividad de un gran número de usuarios. Explosión de servicios que necesitan la transmisión de datos

Redes de comunicaciones actuales permiten la conectividad de un gran número de usuarios. Explosión de servicios que necesitan la transmisión de datos Redes de comunicaciones actuales permiten la conectividad de un gran número de usuarios. Explosión de servicios que necesitan la transmisión de datos por estas redes: necesidad de protección de la información.

Más detalles

Resumen de los protocolos de seguridad del Registro Telemático

Resumen de los protocolos de seguridad del Registro Telemático Resumen de los protocolos de seguridad del Registro Telemático Página 1 de 8 1 Introducción... 3 2 Criterios de... 4 2.1 Gestión global de la seguridad... 4 2.2 Política de seguridad... 4 2.2.1 Autenticidad...

Más detalles

Single-Sign-On Índice de contenido

Single-Sign-On Índice de contenido Single-Sign-On Índice de contenido Introducción...2 Que es Single Sign-On...2 Descripción del esquema y componentes...2 Kerberos...3 LDAP...5 Consideraciones de Seguridad...6 Alcances de la solución implementada...7

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Capitulo 9 SEGURIDAD Y RIESGOS DE LA COMPUTADORA

Capitulo 9 SEGURIDAD Y RIESGOS DE LA COMPUTADORA Capitulo 9 SEGURIDAD Y RIESGOS DE LA COMPUTADORA PROSCRITOS ONLINE: EL DELITO INFORMATICO Uso de la tecnología informática en el área del combate al delito: Bases de datos cruzar y almacenar pistas Reconocimiento

Más detalles

MEDIDAS DE PREVENCION CONTRA VIRUS

MEDIDAS DE PREVENCION CONTRA VIRUS MEDIDAS DE PREVENCION CONTRA VIRUS La seguridad consiste en asegurar que los recursos del sistema informático (información, programas) de una organización sean utilizados de la manera que se decidió y

Más detalles

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño SEGURIDAD INFORMATICA Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño DEFINICIONES DE HACKER: Un hacker (del inglés hack, recortar), también conocidos como sombreros blancos es el neologismo

Más detalles

Lorena Ceballos Jesenia Gómez 10 I2

Lorena Ceballos Jesenia Gómez 10 I2 Lorena Ceballos Jesenia Gómez 10 I2 Ataques Seguridad para Windows Seguridad informática SEGURIDAD INFORMÁTICA Se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

Tema 17. Algunos aspectos de seguridad informática

Tema 17. Algunos aspectos de seguridad informática Tema 17. Algunos aspectos de seguridad informática Virus y otro malware Cortafuegos Criptografía Recomendaciones de seguridad generales Virus y otro malware Malware Virus Troyanos Keyloggers Programas

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Un resumen de la actividad de virus en enero del año 2015

Un resumen de la actividad de virus en enero del año 2015 Un A resumen partir del año 1992 de la actividad de virus en enero 1 Un resumen de la actividad de virus en enero 2 2 de febrero de 2015 Según los datos de los especialistas de la empresa Doctor Web, el

Más detalles

Seguridad del Protocolo HTTP

Seguridad del Protocolo HTTP Seguridad del Protocolo HTTP - P R O T O C O L O H T T P S. - C O N E X I O N E S S E G U R A S : S S L, TS L. - G E S T IÓN D E C E R T IF I C A D O S Y A C C E S O --S E G U R O C O N H T T P S Luis

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

TEMA 3. SEGURIDAD INFORMÁTICA

TEMA 3. SEGURIDAD INFORMÁTICA TEMA 3. SEGURIDAD INFORMÁTICA 1. SEGURIDAD INFORMÁTICA 2. CONTRA QUÉ NOS DEBEMOS PROTEGER? 3. SEGURIDAD ACTIVA Y PASIVA 4. LAS AMENAZAS SILENCIOSAS 5. LOS PROGRAMAS QUE PROTEGEN NUESTRO ORDENADOR a. El

Más detalles

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red Qué amenazas nos podemos encontrar por la red Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Todo el mundo que utiliza algún equipo informático ha escuchado alguna vez

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

SERVICIOS MÓDULOS FUNCIONALIDADES DESCRIPCIÓN

SERVICIOS MÓDULOS FUNCIONALIDADES DESCRIPCIÓN MANUAL Solicitud desde el Cliente de su propio Certificado de propósito Multiple (Correo, Firma Documentos, Usuario, Sellado de Fecha, etc...) El cliente dispondrá de un interfaz completamente personalizado

Más detalles

SEGURIDAD Y PROTECCION DE FICHEROS

SEGURIDAD Y PROTECCION DE FICHEROS SEGURIDAD Y PROTECCION DE FICHEROS INTEGRIDAD DEL SISTEMA DE ARCHIVOS ATAQUES AL SISTEMA PRINCIPIOS DE DISEÑO DE SISTEMAS SEGUROS IDENTIFICACIÓN DE USUARIOS MECANISMOS DE PROTECCIÓN Y CONTROL INTEGRIDAD

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

La seguridad informática en las empresas. El reto y su solución

La seguridad informática en las empresas. El reto y su solución Sage Security Center Seguridad SaaS para todos tus PCs, portátiles y servidores: La solución ligera, segura y fácil. La seguridad informática en las empresas. El reto y su solución Los delitos informáticos,

Más detalles

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones. Módulo Profesional: Servicios en Red. Código: 0227. Resultados de aprendizaje y criterios de evaluación. 1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Introducción. Diplomado en Seguridad Informática

Introducción. Diplomado en Seguridad Informática Introducción Los piratas ya no tienen un parche en su ojo ni un garfio en reemplazo de la mano. Tampoco existen los barcos ni los tesoros escondidos debajo del mar. Llegando al año 2000, los piratas se

Más detalles

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática 1. SEGURIDAD INFORMÁTICA 1.1. Seguridad informática Seguridad física. Se entiende como el conjunto de medidas y protocolos para controlar el acceso físico a un elemento. Aplicado a la seguridad informática

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos.

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos. Pagina 1 de 5 INTRODUCCIÓN Dentro del FONAES, se tienen instalados un conjunto de recursos informáticos (computadoras personales, servidores, impresoras, programas, etc.) que son de gran importancia para

Más detalles

Guía de Seguridad en Redes Inalámbricas

Guía de Seguridad en Redes Inalámbricas Guía de Seguridad en Redes Inalámbricas INTRODUCCIÓN Las conexiones inalámbricas se han popularizado fuertemente los últimos años, tanto en el ámbito hogareño como en el corporativo y en los espacios públicos.

Más detalles

Seguridad en Sistemas

Seguridad en Sistemas Seguridad en Sistemas Introducción En nuestra presentación el objetivo principal es entender que es seguridad y si existe la seguridad en los sistemas, y comprobamos que la seguridad en los sistemas no

Más detalles

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes?

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes? Introducción a la Seguridad Informática Dra. Maricela Bravo La información como activo estratégico Recordando Qué es un sistema de información? Es el conjunto que resulta de la integración de cuatro elementos:

Más detalles

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

ESET Secure Authentication

ESET Secure Authentication ESET Secure Authentication Segundo factor de autenticación y cumplimiento de normativas Versión del documento 1.2 6 de noviembre de 2013 www.eset-la.com ESET Secure Authentication: segundo factor de autenticación

Más detalles

Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en:

Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en: Rabobank Chile Qué es Rabopass? Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en: Algo que usted sabe + Algo que usted tiene Usted sabe su clave

Más detalles

Vulnerabilidad de Phishing en Sitios Bancarios en Argentina

Vulnerabilidad de Phishing en Sitios Bancarios en Argentina Vulnerabilidad de Phishing en Sitios Bancarios en Argentina La creciente aceptación de nuevas tecnologías en el campo de las comunicaciones y, en particular, el explosivo crecimiento de Internet a nivel

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

PROCEDIMIENTO RED Y COMUNICACIÓN DE DATOS

PROCEDIMIENTO RED Y COMUNICACIÓN DE DATOS P-06-05 Marzo 2009 03 1 de 7 1. OBJETIVO Asegurar el funcionamiento eficiente y seguro de la Local Area Network (LAN) y de las telecomunicaciones en la Comisión Nacional de los Salarios Mínimos (CONASAMI),

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Con el tiempo a los firewalls se les ha agregado mas características: Autenticación de Usuarios VPN

Más detalles

Sistemas de seguridad en redes inalámbricas: WEP, WAP y WAP2

Sistemas de seguridad en redes inalámbricas: WEP, WAP y WAP2 Sistemas de seguridad en redes inalámbricas: WEP, WAP y WAP2 Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www.acens.com Introducción Actualmente una de las formas más utilizadas para conectarse

Más detalles

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,

Más detalles

EL SOFTWARE MALICIOSO MALWARE

EL SOFTWARE MALICIOSO MALWARE Página 1 de 5 Si usted no puede visualizar correctamente este mensaje, presione aquí Medellín, 21 de mayo de 2009 Boletín técnico de INDISA S.A. No. 71 EL SOFTWARE MALICIOSO MALWARE Autor: Omar Calvo Analista

Más detalles

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC Seguridad en Redes Módulo 1 Control de acceso Carlos A. Rojas Kramer UCC Agenda Identificación y autenticación. Autorización, derechos y permisos. Modelos de control de acceso. Técnicas y dispositivos

Más detalles

Introducción a la Seguridad en Sistemas Informáticos

Introducción a la Seguridad en Sistemas Informáticos Introducción a la Seguridad en Sistemas Informáticos Francisco Rodríguez-Henríquez CINVESTAV-IPN Depto. de Ingeniería Eléctrica Sección de Computación Motivación y Antecedentes Modelo simplificado de Cifrado

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server SEGURIDAD EN REDES NOMBRE: Daniel Leonardo Proaño Rosero TEMA: SSH server SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles