Del Penetration Test a la realidad

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Del Penetration Test a la realidad"

Transcripción

1 Del Penetration Test a la realidad Autor: MSc. Julio C. Ardita Resumen: Analizar la evolución de las metodologías y técnicas de Penetration Test (Evaluación de la Seguridad) desde sus comienzos hasta llegar al día de hoy, determinar que problemática enfrenta y que trata de resolver, describir cual es la utilización real del mismo y que futuro tiene esta técnica. Introducción Los Penetration Tests (PT) se encuentran de moda en todo el mundo y debido a su rápido avance no existen metodologías ni estándares oficiales adoptados sobre los mismos. Las técnicas y metodologías de PT van avanzando con la investigación a nivel mundial de diferentes equipos y personas y con Internet como medio de comunicación. Hoy, existen cientos de empresas y personas que realizan PT diariamente con metodologías parecidas y a veces con resultados totalmente diferentes, debido a que no existe una profesionalización en el área. Qué es el Penetration Test? Es un conjunto de metodologías y técnicas de intrusión aplicadas sobre un sistema en un tiempo determinado con el objetivo de conocer el nivel de seguridad informática real del mismo, detectado y explotando vulnerabilidades. Página 1

2 Formalmente el Penetration Test es una parte del proceso de seguridad informática de una organización. Qué no es el Penetration Test? No es una auditoría de seguridad completa y tampoco es un análisis de vulnerabilidades de seguridad informática. Según el FFIEC (Federal Financial Institutions Examination Council) los PT, auditorías de seguridad y análisis de vulnerabilidades pueden utilizar las mismas herramientas en sus metodologías, pero la naturaleza de los mismos es diferente. Historia del Penetration Test El PT tuvo un nacimiento muy confuso, no se sabe exactamente donde nació, y se ubicó como una nueva rama dentro de la seguridad informática. Originalmente, los primeros PT testeaban redes x.25, conexiones dial-up, accesos remotos, servidores y servicios internos (raramente correctamente configurados), etc. Con el nuevo posicionamiento de la seguridad informática y auge de Internet, el PT fue evolucionando desde sus comienzos hasta llegar a ser algo muy completo y complejo, que incluye permanentemente nuevas técnicas. Cuál es la realidad del PT? Hoy el PT enfrenta una realidad muy compleja, debido a la desinformación que existe. Son muy pocas las organizaciones que tienen en claro para que contratan Página 2

3 un PT, que alcance le dan, si están preparadas para recibir los resultados (normalmente malas noticias) y si realmente valoran el trabajo realizado. Las recomendaciones que surgen en los PT en muchos casos no son implementadas. Existe un desconocimiento general sobre la calidad de un PT y sobre como medir un PT (no si fue exitoso o no, sino si realmente se realizaron las tareas que corresponden y no quedaron falsos negativos). Esto genera una amplia oferta que abarca desde estudiantes que corren una herramienta hasta equipos de expertos con un elevado know-how y experiencia. Dónde se ubica el PT? El PT forma parte del proceso de la seguridad informática. Su misión comienza una vez que las políticas de la organización han sido implementadas sobre los sistemas de información. Utilizando técnicas intrusivas se demuestran las vulnerabilidades que ponen en riesgo la confidencialidad, integridad y disponibilidad de la información. Y nos da un punto de partida sobre el cual comenzar a ajustar las políticas de la organización. Qué incluye el PT? En muchos lugares, el PT es sinónimo de PT de Internet, es decir, focalizado en Internet. La gran mayoría de los documentos, papers y estándares se abocan a describir como hacer un PT en Internet con lo clásico (arin, whois, ping, traceroute, nmap, nessus, securityfocus BID e informe). Página 3

4 Los PT generalmente se pueden dividir en dos grandes líneas: externos e internos. Los PT externos apuntar a analizar el nivel de seguridad real de una organización desde el exterior y deberían incluir módems, centrales telefónicas, accesos remotos, Internet, conexión con sucursales, otras conexiones externas, redes wireless, etc. Los PT internos se focalizan en analizar el nivel de seguridad real de una organización a nivel interno, incluyendo análisis de la infraestructura de la red, estaciones de trabajo, servidores, aplicaciones, etc. Los PT cada vez son más abarcativos e incluyen nuevos protocolos, equipos, tecnologías (aplicaciones web, software ERP, SAN, etc) y también incluyen nuevas técnicas (Cross-site-scripting, Sql-injection, Buffer-overflow, Formatstrings y técnicas anti-ids entre otras). Vulnerabilidades de seguridad y PT Las vulnerabilidades de seguridad informática tienen una relación directa con los PT: mientras se sigan descubriendo nuevas vulnerabilidades, siempre será necesario realizar nuevos PT. Existen hoy en día más de vulnerabilidades de seguridad informática y están apareciendo aproximadamente más por año, ésto implica que las organizaciones deben seguir una fuerte política de actualización y mantenimiento de sus sistemas informáticos. Si una organización no está al día, el PT tendrá un resultado positivo. Página 4

5 El mismo problema se repite con aspectos de configuración de los sistemas y equipos informáticos, si la organización no realiza la instalación y configuración de forma adecuada, nuevamente el PT tendrá un resultado positivo. Conociendo esta problemática, vale la pena realizar un PT al año?, conviene realizar dos, tres, cuatro, seis PT al año?. Mientras se realicen PT con más frecuencia, más cerca se estará de cerrar la brecha entre la nueva vulnerabilidad y la posibilidad que un intruso pueda explotarla. Los PT brindan un gran aporte a la seguridad informática debido a que muchas vulnerabilidades son descubiertas durante la realización de los mismos. Normalmente las empresas de software realizan auditorías de seguridad sobre sus productos antes de lanzarlos al mercado. Sin perjuicio de eso, la mayoría de las vulnerabilidades surgen cuando se realizan PT independientes a organizaciones que comienzan a utilizar estos nuevos productos. Justificación del PT Por qué una organización decide realizar un PT?. La realidad demuestra que las razones pueden ser varias: Conocer la situación real de un sistema y mejorarlo. Demostrar los riesgos existentes. Justificar la obtención de más recursos económicos. Verificar que los mecanismos de seguridad se encuentren funcionando correctamente. Por regulaciones y/o obligación. Página 5

6 Como un seguro para poder cubrirse ante auditorías. Para poder dormir a la noche. Qué es lo que la organización espera del PT? Formalmente la organización espera conocer los riesgos a los cuales se ven sometidos los sistemas informáticos. La experiencia demuestra que la mayoría de las veces, las empresas que piden PT están en un cierto grado de maduración en relación a la seguridad informática. Salvo algunos casos, las organizaciones esperan que los resultados del PT sean positivos para ellos (es decir que esté todo bien y no se encuentre nada). Pero la mayoría de las veces las organizaciones no están preparadas para recibir malos resultados. Cómo es visto el PT dentro de la organización? Las organizaciones están compuestas por personas, con lo cual cada área de la organización va a tener su visión del PT ligada también a que área fue la que lo solicitó. Se han definido cuatro categorías: CEO, Seguridad Informática, Gerente de Sistemas, Técnicos y Auditoría Interna de Sistemas. Normalmente se genera una competencia que aunque en la teoría no se demuestre, en la práctica es un tema de orgullo en relación a los sistemas informáticos. Pasa por un aspecto psicológico de que otra persona critique algo que es mío. Muy pocas veces se ve al PT como una ayuda. Página 6

7 La gran mayoría de las veces, el PT genera mucho nuevo trabajo para poder corregir los problemas que se detectan. Qué pasa luego del PT? Luego de presentados los informes técnicos sobre el resultado del PT se genera una nueva problemática: la correcta aplicación de las recomendaciones emanadas de los informes. La frase del dicho al hecho hay un gran trecho describe de la mejor manera esta problemática. Las recomendaciones muchas veces son redactadas sin tener en cuenta el entorno operativo, ésto provoca que incluso muchas recomendaciones sean técnicamente inviables. En las organizaciones suelen darse dos casos: el área de seguridad informática es la que implementa los cambios o es la que supervisa al área de soporte técnico que es quien realiza on-hands los cambios. En cualquiera de los dos casos, se definen las acciones a seguir (cambio de parámetros, aplicación de patches, upgrades de versiones, modificaciones al código, etc.) y luego se comienza con el Plan de Implementación de las mismas. Luego de varios meses, se han aplicado las recomendaciones propuestas?. Poniendo varias excusas como ser: no hay recursos humanos suficientes, no se pueden probar los cambios en entorno de prueba (porque no existe), no se puede realizar un upgrade de versiones (el proveedor confirmó que la aplicación deja de funcionar), no hay recursos económicos, etc; el resultado final es que no se aplican. Sólo se aplican los cambios que implican un alto riesgo. Página 7

8 Para esta problemática se ha propuesto una solución que radica en la clasificación de todos los problemas encontrados con dos variables: nivel de riesgo y posibilidad de resolución. El nivel de riesgo puede ser alto, medio o bajo. La posibilidad de resolución puede ser inmediata, a corto plazo, a mediano plazo o a largo plazo. Jugando con estas dos variables para cada problema detectado en el PT, se puede hacer una clasificación y un orden de solución. Cómo medir la calidad de un PT? Es muy difícil, ya que no existen estándares ni organismos controlantes. La calidad puede diferir muchísimo entre un PT de una empresa A y otro de la empresa B. Los factores principales que inciden son: Conocimiento del equipo que realiza el PT. Experiencia en la realización del PT. Forma de redacción de los informes. Presentación e interacción con la organización. Sin duda, el más importante es el nivel de conocimiento, ya que un PT contratado a una empresa A puede dar como resultado que la organización está muy bien (por desconocimiento o por un alcance mal definido) mientras que un PT contratado a una empresa B puede dar resultados negativos para la organización. Página 8

9 El problema surge cuando la organización debe contratar un PT, cómo saber de las empresas que ofrecen este servicio cuáles son realmente buenas?. Las claves para una correcta elección son confianza, antecedentes, presencia, etc. PT Continuos Las organizaciones deben hacer PT continuos: cada un año, seis meses, tres meses, etc. Conviene entonces utilizar siempre la misma empresa para realizar los PT?. Si utilizamos la misma empresa contamos con la ventaja de la confianza y que se conoce su nivel de conocimiento. La principal desventaja es que se pierde objetividad, ya que la empresa que realiza el PT conoce la infraestructura utilizada y las posibles vulnerabilidades que pudieran existir a priori. Si utilizamos diferentes empresas cada vez que se realiza un nuevo PT contamos con la ventaja de que cada vez las empresas tendrán que comenzar de nuevo y podremos comparar niveles de calidad, etc. Las desventajas son tener que establecer nuevas relaciones comerciales y tener un nivel de desconfianza inicial. Costo del PT Los PT cuestan dinero, es un hecho y hay que aceptarlo. Ahora, existen muchas diferencias de costos basadas en varios factores. El primer factor es el lugar, el costo de un PT realizado en Europa es parecido al de Estados Unidos, pero muy diferente al costo en Latinoamérica. Cabe aclarar Página 9

10 que el costo en este caso no implica nivel de calidad. Este factor se basa en el valor de hora de los miembros del equipo que realizan el PT. El segundo factor son los recursos técnicos involucrados. La empresa que realiza el PT puede utilizar notebooks de última generación, licencias de software de seguridad informática que tienen un elevado costo, desarrollo de aplicaciones propias, etc. El tercer factor está basado en el conocimiento y experiencia del equipo humano que realiza el PT: si el equipo está compuesto por expertos con años de experiencia y know-how en el campo o si está formado por estudiantes con un nivel básico. El cuarto factor es la correcta definición del alcance. Este es uno de los factores clave para la determinación del costo, ya que en base al alcance se definirá el tiempo que durará el PT. La suma de todos estos factores definirá el costo final del PT; igualmente el mercado mediante la ley de oferta/demanda también determina estos factores. Cuál es el resultado ideal de un PT? Que no se detecten vulnerabilidades o problemas de seguridad sobre los sistemas evaluados?. Que se pueda acceder como administrador a sistemas críticos de la organización?. Todo depende del punto de vista con el que se mire. El éxito desde la perspectiva del equipo que lleva adelante el PT puede no equivaler al éxito desde la perspectiva de la organización. Página 10

11 Si hablamos desde la empresa que realiza el PT, formalmente sería exitoso si el equipo logra ingresar a los sistemas de la organización. La pregunta ahora es, qué es ingresar?. Es poder visualizar información confidencial, ejecutar comandos sobre un determinado sistema, dejar archivos, etc. Si hablamos desde la organización, generalmente un resultado ideal (también depende de que área lo contrató) es que el equipo que realiza el PT no tenga éxito. Generalmente alguien no termina feliz. Estos casos se deben detectar y se debe trabajar en el proceso de sensibilización. Metodología del PT Formalmente no existen metodologías; pero en la práctica, existen tantas metodologías como empresas de seguridad informática. Las metodologías abarcan desde la clásica tres fases: identificación, scanning y explotación, hasta las de múltiples fases. Según la experiencia, la metodología a aplicar sería la siguiente: 1. Reconocimiento Obtención de información. Análisis y planificación. 2. Scanning Enumeración de vulnerabilidades. Detección de vulnerabilidades. 3. Penetración Página 11

12 Explotación de vulnerabilidades. Escalada de privilegios. 4. Obtención de información 5. Informes Análisis de los resultados. Desarrollo de informes. Presentación. 6. Limpieza A nivel metodología no formal, existe el OSSTMM (Open Source Testing Methodology Manual) que describe metodologías, técnicas y herramientas a utilizar en las diversas fases de un PT. Utilización de vulnerabilidades Las fases más críticas de un PT son la detección, verificación y explotación de posibles vulnerabilidades. Cuando se detecta una potencial vulnerabilidad, se debe verificar la misma para evitar falsos positivos. Este proceso muchas veces no resulta trivial. Para cada vulnerabilidad se debe especificar como se la detectó (banner, fingerprint o suposición). Una vez que se tiene detectada y verificada una vulnerabilidad, se la debe aprovechar, explotándola utilizando exploits. Un exploit puede tomar la forma de Página 12

13 un programa, una serie de pasos a seguir, combinaciones de diversos eventos, etc. Sabiendo que existen más de vulnerabilidades, de dónde se obtienen los exploits?. De bases de datos de exploits (Securityfocus BID, PacketStorm, etc), mailing lists (pen-test de Securityfocus), sites underground (Zer0 days xploits), chats, etc. Obtener el exploit que necesitamos y que funcione correctamente puede tomar varias horas. Qué pasa si no existe un exploit disponible para la vulnerabilidad que detectamos?. Es posible desarrollar un exploit o un poc (proof of concept), probarlo en un laboratorio y luego lanzarlo. Las empresas que hacen PT pueden hacer ésto?, tienen el know-how?, tienen el tiempo?, vale la pena hacerlo?. En la realidad, investigar una vulnerabilidad, estudiarla, preparar un laboratorio, desarrollar un exploit y probarlo puede tomar varios días. Son contadas con las manos de los dedos las empresas que hoy en día realizan ésto. Qué pasa con los falsos negativos (vulnerabilidades que existen y no se detectaron) en un PT?. Esto afecta en gran medida a la calidad de un PT y al buen nombre de la empresa que lo realiza. Y es uno de los problemas más críticos de hoy en día. PT, artesanal o automático? Las herramientas de detección de vulnerabilidades cada vez son más poderosas, han recorrido una larga historia desde el iss 1.2 hasta decenas de software automatizado. Página 13

14 Hasta ahora la automatización fue llevada a cabo en la fase de detección de vulnerabilidades. Son pocos los paquetes que realizan una verificación de vulnerabilidades. Y muchos menos los que realizan la tarea de la explotación de las mismas. Se puede lograr una total automatización del PT o es una tarea artesanal?. El producto Core Impact es uno de los primeros que se aproxima a la automatización del PT, sin embargo, no cubre todos los aspectos y sigue haciendo falta un equipo humano altamente capacitado detrás. La realidad demuestra que por un largo tiempo seguirá siendo una práctica artesanal, y cada vez más soportándose en herramientas que automatizarán ciertos procesos. Equipo que realiza el PT Una gran parte del éxito es la composición del equipo que realiza un PT. Debido a la diversidad de tecnologías existentes es necesario contar con un equipo multidisciplinario para llevarlo a cabo. Los equipos deben estar formados como máximo por cuatro personas, ya que se necesita coordinación, comunicación y camaradería entre los miembros. Las claves de un buen equipo son las siguientes: Experiencia de campo. Si se vivió una situación, ya se la conoce. Elevado nivel de conocimiento en redes, protocolos, sistemas operativos, aplicaciones, programación, etc. Perspectiva. Cada miembro puede aportar su visión del problema. Página 14

15 Elevado interés y pasión por la investigación. El mejor equipo disfruta realizar un PT. Es un reto. Sentido ético y profesional. Duración del PT Normalmente la duración de un PT se encuentra atada al alcance del mismo. El tiempo que consumirá se calcula en base a experiencias anteriores, pero no hay reglas claras. Dos ejemplos: Cuánto se tarda en realizar un scanning UDP de todos los puertos de una clase C?. Depende del vínculo con Internet de la empresa que realiza el PT y del vínculo de la organización. También depende de los saltos que existan. Cuánto se tarda en testar una aplicación de HB?. Depende de la cantidad de opciones que posea, de cómo esté programado, de cuántos servidores estén involucrados, etc. En la realidad los PT suelen durar poco tiempo, de una a seis semanas, dependiendo la infraestructura de la organización. Esto nos deja varias preguntas: se habrán realizado todas las pruebas posibles?, se habrá llegado a ver todo?, el equipo que realizó el PT trabajó?. Si no se detectó nada crítico, con más tiempo, podrían hacer más cosas?. Si por razones de tiempo, no se llegan a realizar ciertas pruebas, debe quedar debidamente documentado. Página 15

16 Aspectos legales Si durante un PT se descubre una vulnerabilidad crítica en un sistema de HomeBanking o si se bloquea un sistema crítico en producción, qué sucede?. Hoy existe un área gris en los aspectos legales a tener en cuenta para realizar un PT. Formalmente hace falta que la organización firme dos cartas a la empresa que realiza el PT: un convenio de confidencialidad y una carta de autorización. El convenio de confidencialidad es básicamente un NDA, donde se describen las obligaciones de la empresa que va a realizar el PT en relación a toda la información que conocerá, accederá y tendrá en su poder durante la realización del PT. La carta de autorización (permiso para realizar el PT) debe estar firmada por el responsable de la Organización (CIO, Oficial de Seguridad Informática, Abogado, etc.) antes de tocar un solo sistema. Como mínimo, la carta de autorización debería incluir: Quién va a realizar el PT? Cuándo el PT va a ser realizado? Por qué el PT va a ser realizado? Qué tipo de actividad es la autorizada y cuál no. Cuál es el alcance? Contactos en el cliente ante emergencias. Página 16

17 Qué pasa cuando estos contratos pasan por abogados?. Se demora el proyecto. El área legal se toma sus tiempos para analizar los documentos y seguramente introducirá modificaciones a favor de la organización. Problemáticas del PT Las principales problemáticas reales a las cuales se enfrenta el área de PT son las siguientes: Existe un gran desconocimiento por parte de los clientes (organizaciones) sobre qué se quiere de un PT. Es muy difícil calcular los tiempos que puede insumir un PT. Se requiere formar un equipo que posea experiencia y conocimientos profundos. Y muchas veces es muy complejo formar un equipo para realizar PT. Existe una sobreabundancia de herramientas de seguridad que ayudan en algunas fases, pero también existe una falta de herramientas en otras fases críticas. La fase de explotación de vulnerabilidades no se encuentra madura. Que exista una vulnerabilidad teórica no significa que pueda explotarse fácilmente. No existen estándares de nivel de riesgos sobre los problemas que se detectan en un PT. Varios elementos de bajo riesgo pueden implicar en su conjunto, un alto riesgo. Página 17

18 Conclusiones Hoy las organizaciones están utilizando los PT con varios objetivos y el propio mercado los está convirtiendo en una obligación. Existen estándares no formales, que seguramente en los próximos años desembocarán en estándares internacionales formalmente aceptados. Existe una superpoblación de empresas de seguridad que realizan PT con variados grados de calidad. El mercado es quien se encarga de manejar la balanza. El PT ha tenido un gran avance en los últimos años, pero todavía existen ciertas áreas y zonas grises donde poco se ha investigado y queda mucho por hacer. Página 18

19 Fuentes Performing a Network Vulnerability Assessment Mark Lachniet. Vulnerability Assessments: Finding holes without digging your own - David Clarkson. Arming Linux With Penetration Testing Tools - Vince Kornacki. Tests of Penetration in a Data Network Oscar Ruiz. The Art of Penetration Testing George G. McBride. The Penetration Test Iván Arce. OSSTMM (Open Source Testing Methodology Manual) - (www.osstmm.org). Página 19

Del Penetration Test a la Realidad

Del Penetration Test a la Realidad 1 MSc. Julio C. Ardita jardita@cybsec.com 10 15 de Mayo de 2004 VII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones La Habana - CUBA 2 Temario - Qué es el Penetration

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

Adelantándose a los Hackers

Adelantándose a los Hackers 1 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 5 de Julio de 2001 Buenos Aires - ARGENTINA 2 Adelantándose a los Hackers Temario

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

El Estado del Arte de la Seguridad Informática

El Estado del Arte de la Seguridad Informática El Estado del Arte de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com Septiembre de 2005 Buenos Aires - ARGENTINA Agenda Problemática de la seguridad informática Situación en nuestro país

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

Seguridad Informática con Software Libre

Seguridad Informática con Software Libre 1 Seguridad Informática con Software Libre Lic. Julio C. Ardita jardita@cybsec cybsec.comcom 1er Encuentro de Software Libre en el Estado 13 de Mayo de 2005 Santa Cruz - ARGENTINA 2 Temario La seguridad

Más detalles

La Empresa en Riesgo?

La Empresa en Riesgo? 1 La Empresa en Riesgo? Claves de la Seguridad Informática MSc. Julio C. Ardita jardita@cybsec.com 19 de Octubre de 2004 Buenos Aires - ARGENTINA 2 Temario - Situación actual - Problemática de la seguridad

Más detalles

El estado del arte de la Seguridad Informática

El estado del arte de la Seguridad Informática 1 El estado del arte de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com Seminario Tendencias de la Tecnología en Seguridad Informática 12 de Septiembre de 2002 Buenos Aires - ARGENTINA

Más detalles

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas. El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones

Más detalles

Prácticas y Tecnologías de Seguridad Informática

Prácticas y Tecnologías de Seguridad Informática El estado del arte actual Iván Arce І ivan.arce@corest.com Prácticas y Tecnologías Agenda El estado actual: Prácticas Penetration Tests El estado actual: Herramientas Vulnerability Scanners Intrusion Detection

Más detalles

Hacking Ético y Frameworks Opensource

Hacking Ético y Frameworks Opensource Hacking Ético y Frameworks Opensource Mariano Nuñez Di Croce mnunez@cybsec.com Febrero 11-13, 13, 2009 IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información La Habana,, Cuba Copyright

Más detalles

Estado de la Seguridad Informática

Estado de la Seguridad Informática 1 Estado de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com CIASFI 2004 23 de Abril de 2004 Córdoba - ARGENTINA 2 Temario - Situación en la Argentina. - Realidades - Qué pasa con la seguridad

Más detalles

La importancia de las pruebas de penetración (Parte I)

La importancia de las pruebas de penetración (Parte I) Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > La importancia de las pruebas de penetración (Parte I) La importancia de las pruebas de penetración (Parte I) Por Erika Gladys

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Práctica 1. Ethical Haking. Pentest en la red.

Práctica 1. Ethical Haking. Pentest en la red. Administración de la seguridad informática (Planes y respuestas a contigencias) Práctica 1. Ethical Haking. Pentest en la red. dsc.itmorelia.edu.mx/~hferreir/isms/practica1/ Introducción. CEH (Certified

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

Introducción a la Ingeniería de Software - Examen 20/07/2012

Introducción a la Ingeniería de Software - Examen 20/07/2012 Cada pregunta múltiple opción contestada correctamente tiene un valor de 2,5 puntos. Esta parte consta de 20 preguntas, haciendo un total de 50 puntos. Los ejercicios de desarrollo tienen un valor total

Más detalles

mnunez@cybsec.com 12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina

mnunez@cybsec.com 12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina Mariano Nuñez Di Croce mnunez@cybsec.com 12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina Agenda Introducción al Penetration Testing El PenTest Hoy Casos Reales El Futuro del Penetration

Más detalles

Manejo y Análisis de Incidentes de Seguridad Informática

Manejo y Análisis de Incidentes de Seguridad Informática Manejo y Análisis de Incidentes de Seguridad Informática Julio Ardita jardita@cybsec.com CYBSEC Agenda - Incidentes de seguridad en la Argentina - Manejo de incidentes de seguridad - Metodologías de investigación

Más detalles

Test de intrusión (Penetration Test) Introducción

Test de intrusión (Penetration Test) Introducción Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

EEHC. Enhacke Ethical Hacking Certification

EEHC. Enhacke Ethical Hacking Certification EEHC Enhacke Ethical Hacking Certification Curso de Certificación de Hacking Ético ENHACKE S.A.C. Año 2010 ENHACKE ETHICAL HACKING CERTIFICATION EEHC INTRODUCCION El curso EEHC provee el conocimiento necesario

Más detalles

Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full Disclosure Pruebas de Caja Negra - Black Box / Blind

Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full Disclosure Pruebas de Caja Negra - Black Box / Blind Contenido 0.- Pre - Boarding 1.- Que es un Penetration Testing 2.- Tipos de Pruebas en un Penetration Testing Pruebas de Caja Gris- Gray Box / Partial Disclosure Pruebas de Caja Blanca - White Box / Full

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Implantación de Sistemas

Implantación de Sistemas Implantación de Sistemas Maria Ines Parnisari 17 de Diciembre de 2014 Índice Parte 1: Implantación... 2 Factores clave para una implantación exitosa... 2 Etapas de un proyecto de Sistemas... 2 Fases de

Más detalles

Plan de Estudios. Diploma de Especialización en Seguridad Informática

Plan de Estudios. Diploma de Especialización en Seguridad Informática Plan de Estudios Diploma de Especialización en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías

Más detalles

cómo migrar desde la administración de servicios a SaaS

cómo migrar desde la administración de servicios a SaaS WHITE PAPER Septiembre de 2012 cómo migrar desde la administración de servicios a SaaS Principales desafíos, y cómo CA Nimsoft Service Desk ayuda a resolverlos agility made possible Índice resumen ejecutivo

Más detalles

PORTAFOLIO DE SERVICIOS 2013

PORTAFOLIO DE SERVICIOS 2013 PORTAFOLIO DE SERVICIOS 2013 OHR INGENIERIA Email: ohrodriguez@ohringenieria.net Celular: (+57) 313 252 92 92 Dirección: Av. Cra. 68 # 38A 24 Sur Bogotá, Colombia Respetados Señores Nos es grato dirigirnos

Más detalles

1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS

1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS 1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS OBJETIVOS La formación del módulo contribuye a alcanzar los objetivos generales de este ciclo formativo que se relacionan a continuación: a. Analizar la

Más detalles

Ethical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar

Ethical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Ethical Hacking Capacitación IT 13/03/2013 Federico Pacheco @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Contenidos Las evaluaciones de seguridad El hacker ético Metodología de ataque

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

ASOCIACIÓN LATINOAMERICANA DE SEGURIDAD. PENSUM ACADEMICO DEL CURSO

ASOCIACIÓN LATINOAMERICANA DE SEGURIDAD. PENSUM ACADEMICO DEL CURSO I. DATOS GENERALES: FICHA DESCRIPTIVA DE CURSOS DE ALAS Nombre del Curso: OPERADORES DE CENTRALES DE ALARMAS NIVEL I El curso está conformado por 7 módulos, resumidos a continuación: Módulo 1: Generalidades

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com Investigación y Descubrimiento de Vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com Agenda - El mundo de las vulnerabilidades de seguridad - Descubriendo vulnerabilidades - Experiencias en la investigación

Más detalles

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN DICIEMBRE DE 2009 PR-DCTYP-13 ÁREA: Dirección de Planeación

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

PERFIL DEL INGENIERO DE SISTEMAS FUSM

PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS DE LA FUSM El perfil del Ingeniero de Sistemas presencial de la Fundación Universitaria San Martín, Bogotá, está en capacidad de modelar

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

Mantenimiento de Sistemas de Información

Mantenimiento de Sistemas de Información de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD MSI 1: REGISTRO DE LA PETICIÓN...4 Tarea MSI 1.1: Registro de la Petición... 4 Tarea MSI 1.2: Asignación de la Petición... 5 ACTIVIDAD

Más detalles

PROFESIONALIDAD, INNOVACIÓN Y AGILIDAD

PROFESIONALIDAD, INNOVACIÓN Y AGILIDAD PROFESIONALIDAD, INNOVACIÓN Y AGILIDAD LA EMPRESA Palimpsesto es una empresa de servicios informáticos que nace con el objetivo de acercar las tecnologías de la información a la pequeña y mediana empresa.

Más detalles

De los #exploits al más m s allá!

De los #exploits al más m s allá! De los #exploits al más m s allá! Joaquín Paredes Senior Security Consultant Ing. Iván Huertas Security Consultant 1 Agenda Tendencias en Seguridad para el 2013: APT como tendencia destacada APT & Botnets

Más detalles

Hacking en 5 pasos usando Software libre

Hacking en 5 pasos usando Software libre Hacking en 5 pasos usando Ponente: JUAN DAVID BERRIO LOPEZ judabe2003@gmail.com Ingeniero en Informática. Especialista en redes Universidad san Buenaventura Posgrado en Seguridad Redes UOC, CCNSP Cyberoam/India

Más detalles

Presentación Institucional

Presentación Institucional Presentación Institucional FLOWGATE SECURITY CONSULTING FLOWGATE es una empresa especializada en servicios de Seguridad Informática y desarrollo a medida de sistemas de seguridad orientados a satisfacer

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Evolución del Área de Seguridad Informática

Evolución del Área de Seguridad Informática Evolución del Área de Seguridad Informática Buenos Aires, 12 de Septiembre 2012 septiembre de 2012 Cencosud Algunos números de referencia Grupo del Retail con presencia en cinco países en Latinoamérica:

Más detalles

Webinar Gratuito OpenVAS

Webinar Gratuito OpenVAS Webinar Gratuito OpenVAS Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 2 de Enero del 2014

Más detalles

Seguridad en Software Libre

Seguridad en Software Libre Seguridad en Software Libre Carlos Sarraute Ariel Futoransky 7 junio 2005 USUARIA 2005 Motivación Hay alguna diferencia estratégica perceptible entre la seguridad de soluciones de código abierto vs. código

Más detalles

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING. www.dsteamseguridad.com

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING. www.dsteamseguridad.com 3-SCANNING NETWORK MAPPING. El proceso de Network Mapping, consiste en tratar de identificar la arquitectura (Topología) de la red a la cual vamos a realizarle las pruebas de seguridad y auditoria a nivel

Más detalles

CAPÍTULO II MARCO TEÓRICO. El control puede ser definido como el proceso de verificar las actividades para

CAPÍTULO II MARCO TEÓRICO. El control puede ser definido como el proceso de verificar las actividades para Marco Teórico CAPÍTULO II MARCO TEÓRICO 2.1 Control El control puede ser definido como el proceso de verificar las actividades para asegurarse de que se están llevando a cabo como se planearon y así corregir

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELACIONES CON CLIENTES CUALIFICACIÓN PROFESIONAL

ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELACIONES CON CLIENTES CUALIFICACIÓN PROFESIONAL Página 1 de 23 CUALIFICACIÓN PROFESIONAL Familia Profesional Nivel 3 Código IFC363_3 Versión 5 Situación RD 1701/2007 Actualización ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

Experiencias en Análisis Forense Informático

Experiencias en Análisis Forense Informático Experiencias en Análisis Forense Informático Lic. Julio C. Ardita jardita@cybsec.com CYBSEC S.A. Security Systems Agenda - Incidentes de seguridad informática - Metodologías aplicadas - Análisis Forense

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

Técnico en Seguridad en Redes Locales

Técnico en Seguridad en Redes Locales Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico en Seguridad en Redes Locales Duración: 300 horas Precio: 200 * Modalidad: Online * Materiales didácticos, titulación y gastos de envío incluidos.

Más detalles

Seguridad en Redes Introducción al Ethical Hacking

Seguridad en Redes Introducción al Ethical Hacking Seguridad en Redes Introducción al Ethical Hacking Félix Molina Ángel molina@uagro.mx Objetivo: Fomentar la importancia de asegurar los recursos informáticos para evitar el acceso no autorizado. Agenda

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR)

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) Sistema Unificado de Control en Tiempo Real - SUCTR: El sistema unificado de control en tiempo real, en adelante SUCTR, es un sistema de administración

Más detalles

1. Requerimientos Transversales de los Servicios

1. Requerimientos Transversales de los Servicios Formulario de Especificación Técnica Servicio de Call Center de Soporte Técnico Servicio de Call Center (Mesa de Ayuda) de Soporte Técnico para el Proyecto de Integración de Tecnología en la Educación

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

Single-Sign-On Índice de contenido

Single-Sign-On Índice de contenido Single-Sign-On Índice de contenido Introducción...2 Que es Single Sign-On...2 Descripción del esquema y componentes...2 Kerberos...3 LDAP...5 Consideraciones de Seguridad...6 Alcances de la solución implementada...7

Más detalles

INFORME PREVIO DE EVALUACION DE SOFTWARE

INFORME PREVIO DE EVALUACION DE SOFTWARE Página 1 de 11 INFORME PREVIO DE EVALUACION DE SOFTWARE NUMERO: P001-2015-GSTI ADQUISICION DE SOFTWARE DE SOLUCION DE ANTIVIRUS Página 2 de 11 1. NOMBRE DEL AREA: Gerencia de Sistemas y tecnologías de

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

ARTÍCULO TÉCNICO. Los cinco pilares para controlar las ACL y reglas del cortafuegos

ARTÍCULO TÉCNICO. Los cinco pilares para controlar las ACL y reglas del cortafuegos ARTÍCULO TÉCNICO Los cinco pilares para controlar las ACL y reglas del cortafuegos Resumen Los principales expertos en redes y seguridad del mundo se enfrentan al mismo desafío: intentar controlar el complejo

Más detalles

Actualizaciones de seguridad.

Actualizaciones de seguridad. Responsable de Seguridad Informática 22 de junio de 2012 Información del documento: Tipo Procedimiento Nivel de Criticidad Criticidad Alta Versión 1.0 Fecha 22/06/2012 Propietario Prosecretaría de Informática

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Conocimiento Activo en Calidad de Software

Conocimiento Activo en Calidad de Software Conocimiento Activo en Calidad de Software www.cursotic.cl Conocimiento Activo en Calidad de Software Es una Empresa que nace como consecuencia de un estudio y análisis detallado del Mercado, realizado

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

Práctica 1: Configuración básica de redes TCP/IP

Práctica 1: Configuración básica de redes TCP/IP Práctica 1: Configuración básica de redes TCP/IP Apartado a) Configuración básica TCP/IP de red del PC Objetivo Identificar las herramientas utilizadas para detectar la configuración de una red informática

Más detalles

GUÍA DE AYUDA. Tecnologías de Información y Comunicación para un México más Competitivo

GUÍA DE AYUDA. Tecnologías de Información y Comunicación para un México más Competitivo GUÍA DE AYUDA Tecnologías de Información y Comunicación para un México más Competitivo Estimad@ usuari@, esta guía tiene como objetivo orientarle sobre cómo utilizar la Vitrina de Soluciones Tecnológicas.

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1

Más detalles

Capítulo 4: Diseño de la solución basada en software. 4.1 Diseño general del sistema y especificaciones de los componentes

Capítulo 4: Diseño de la solución basada en software. 4.1 Diseño general del sistema y especificaciones de los componentes Capítulo 4: Diseño de la solución basada en software 4.1 Diseño general del sistema y especificaciones de los componentes El sistema constará de tres elementos fundamentales: los clientes, el punto de

Más detalles

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo

Más detalles

Capítulo VII. Administración de Cambios

Capítulo VII. Administración de Cambios Administración de Cambios Administración de cambios Tabla de contenido 1.- En qué consiste la administración de cambios?...97 1.1.- Ventajas...98 1.2.- Barreras...98 2.- Elementos...99 3.- Roles...99 4.-

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

Práctica de laboratorio 1.1.7 Uso de ping y tracert desde una estación de trabajo

Práctica de laboratorio 1.1.7 Uso de ping y tracert desde una estación de trabajo Práctica de laboratorio 1.1.7 Uso de ping y tracert desde una estación de trabajo Objetivo Aprender a usar el comando de TCP/IP ping (Packet Internet Groper) desde una estación de trabajo. Aprender a usar

Más detalles

Ges3ón de Proyectos So9ware

Ges3ón de Proyectos So9ware Ges3ón de Proyectos So9ware Tema 2.1 Integración Carlos Blanco Bueno Félix Óscar García Rubio Este tema se publica bajo Licencia: Crea5ve Commons BY- NC- ND 4.0 Objetivos Ampliar los conocimientos básicos

Más detalles

FORMACIÓN Gestión de redes telemáticas

FORMACIÓN Gestión de redes telemáticas FORMACIÓN Gestión de redes telemáticas En un mercado laboral en constante evolución, la formación continua de los profesionales debe ser una de sus prioridades. En Galejobs somos conscientes de la importancia

Más detalles

DESARROLLO DE SOFTWARE CON CALIDAD PARA UNA EMPRESA

DESARROLLO DE SOFTWARE CON CALIDAD PARA UNA EMPRESA DESARROLLO DE SOFTWARE CON CALIDAD PARA UNA EMPRESA Resumen AUTORIA CARLOS CABALLERO GONZÁLEZ TEMATICA INFORMÁTICA ETAPA ESO-BACHILLERATO-CFGM(ESI,ASI,DSI) Se describe la revolución que supuso la incursión

Más detalles

IS23 Mantenimiento de Instalaciones Informáticas Práctica 8. Acceso remoto a ordenadores tipo PC

IS23 Mantenimiento de Instalaciones Informáticas Práctica 8. Acceso remoto a ordenadores tipo PC IS23 Mantenimiento de Instalaciones Informáticas Práctica 8. Acceso remoto a ordenadores tipo PC 1 Objetivos Ingeniería Técnica Informática de Sistemas Curso 2005/2006 En la presente sesión se pretende

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS CÓDIGO: APO4-P-001 FECHA DE VIGENCIA 25/Nov/2013 1. OBJETIVO Gestionar, brindar soporte y

Más detalles

1. Introducción. 2. El concepto de calidad del software. 3. Estándares de calidad existentes. 4. La norma ISO 9000-3

1. Introducción. 2. El concepto de calidad del software. 3. Estándares de calidad existentes. 4. La norma ISO 9000-3 Contenido INGENIERIA DE SOFTWARE Tema 6: Administración de la calidad del software Presenta: David Martínez Torres Universidad Tecnológica de la Mixteca dtorres@mixteco.utm.mx Cubo 37 1. Introducción 2.

Más detalles

Calidad. Calidad en procesos y productos

Calidad. Calidad en procesos y productos Calidad Calidad en procesos y productos La calidad es el conjunto de características de un elemento, producto o servicio, que le confieren la aptitud de satisfacer una necesidad implícita y explícita.

Más detalles

CICLO DE VIDA DEL SOFTWARE

CICLO DE VIDA DEL SOFTWARE CICLO DE VIDA DEL SOFTWARE 1. Concepto de Ciclo de Vida 2. Procesos del Ciclo de Vida del Software 3. Modelo en cascada 4. Modelo incremental 5. Modelo en espiral 6. Prototipado 7. La reutilización en

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

INFORME Nº 030-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

INFORME Nº 030-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE INFORME Nº 030-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la adquisición de licencias adicionales y contratación del servicio

Más detalles

UD 4: Instalación y configuración de cortafuegos

UD 4: Instalación y configuración de cortafuegos UD 4: Instalación y configuración de cortafuegos Cortafuegos software y hardware Luis Alfonso Sánchez Brazales 1 Cortafuegos software integrados en los sistemas operativos Un firewall gratuito es un Software

Más detalles

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. 1 Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. Descripción del problema. Generalmente las herramientas de seguridad como los antivirus, firewalls, IDS

Más detalles