Volviendo a lo básico. Seguridad a través de Penetration Testing Hay alguna forma forma a acar aca una fuerza diez v ces mayor que la mía?
|
|
- Gabriel Cruz Maestre
- hace 8 años
- Vistas:
Transcripción
1 Volviendo a lo básico. Seguridad a través de Penetration Testing H Hay at acar alguna una forma fuerza de diez ve eces mayor que la mía? Sun Tzu Confere encista: it Andrés R. Almanza, Msc andres_almanza@hotmail.com
2 Propó ósitos Mostrar la habilidad de los hackers al servicio de la organización, con el propósito de replantear l as estrategias de seguridad de la organización. Administrar la inseguridad de de las estrategias, tácticas y planes de seguridad de la organización. Hackers al servicio i de la organización ió ysurelación con los modelos de gestión de seguridad de la información. No solo de bits y de bytes se puede hablar. la información mediante la validación Metodologías que se pueden utilizar en el proceso.
3 Agen nda Introducción La organización y la seguridad de la información El hacker y la Organización Rol del hacker Que y Como? Retos y conclusiones
4 Aumentan día a día el número de vulnerabilidades. Mayor grado de exposición. Problemas al momento de justificar las inversiones en seguridad (ROI) Introdu ucción Tendencia de Vulnerabilidades Por lo tanto hay dificultad en los procesos de gestión del riesgo
5 Costos en seguridad crecen exponencialmente. Existen problemas para encontrar los puntos de equilibrio entre Costos, Riesgos y Seguridad. Los puntos de equilibrio normalmente no reflejan las realidades de la organización en seguridad. Introd ucción
6 Organización y la Seguridad Seguridad de la Información = conjunto de elementos de la organización combinados. Todos los elementos deben procurar estar alineación con los objetivos del negocio. Activos de Información
7 Organización y la Seguridad Se debe plantear la SI organización como un componente estratégico de la Se deben plantear estr rategias y tácticas de seguridad de la información que garanticen n: Gobierno de SI Gestión de SI Continuidad del Negocio Valorar Proteger Activos de Informació n
8 Organización La seguridad debe ser vista como un Proceso. Por lo tantot se debe gestionar. y la Seguridad Planear La gestión busca garantizar que los activos de información, Actuar Seguridad de la Información Hacer tenga la mejor protección(controles) de acuerdo al valor de los activos. Verificar
9 Identificación, Valoración del Riesgo Plan estratégico de seguridad y protección de los activos de información Creación de la Postura de Inseguridad Organización y la Seguridad Planear implementación de controles, para mitigar riesgo Estratégicos Operativos Tácticos Actuar Segur ridad de la Info ormación Hacer Auditaría y retroalimentación Mejoramiento y aprendizaje Ajustes j y acciones en pro del mejoramiento Ver rificar Probar el correcto funcionamiento del sistema Cumplimiento con lo establecido Mediciones de los controles implementados
10 Hacker y la Organización La diferencia básica entre un hacker y un cracker, es que un hacer construye cosas y un cracker las destruye. Eric Raymon
11 Hacker y la Organización La organización debe verlo como un elemento de apoyo en el proceso de seguridad de la información. Continuamente replantean la postura de inseguridad, generando un mejoramiento continuo. Su habilidad debe ser aprovechadaa al máximo para identificar los posibles puntos vulnerables en la arquitectura de seguridad establecida. Ejecución, coordinación, y consenso de las soluciones propuestas. p Debe plantear soluciones que se acomoden a las necesidades de la organización.
12 Rol del Hacker Solu El hacker debe ofrecer uciones Que Problemas Como resolverlos Reglas claras de lo que se va a realizar Reducción de los niveles de riesgos. Lo que se propone puede ser la mejor solución Actuar Planear Seg guridad de la In nformación Hacer Medición que permita: Identificar grado o postura de seguridad Demostrar el ROI en temas de seguridad Verificar Garantía 2006 Todos los derechos reservados. Andrés Ricardo Almanza Junco. Mediciones
13 Rol del Hacker Dentro de sus actividades y cualidades están: Utilizar sus conocimientos en pro de la defensa Continuo autoestudio de la arquitectura de seguridad e infraestructura Habilidad d para ver la seguridad d como un proceso el cual se gestiona Dedicación, entusiasmo y paciencia. Imparcialidad en la organización, no sujeto de juicios que sesguen su visión. Embebido el principio. Conoce a tu enemigo. Para protegerte a ti mismo.
14 Buscar responder los siguientes interrogantes Con ello puede crear planes y estrategias para validar los esquemas de seguridad En caso de que exista la intrusión, que puede hacer con la Información? Rol del Hacker Que pasa si existe una falla de seguridad? Que pasa con las intrusiones, sean exitosas o no?
15 Rol del Hacker Tres grandes premisas son las que debe vender y tener muy claras, y con ellas empieza a impactar la organización. estrategia y proceso de seguridad de la G estión de Activos Contra que nos debemos proteger? Que estamos protegiendo? Gestión de Amenazas ROI en Seguridad Cuanto debem mos gastar en tiempo, e sfuerzo y dinero para co onseguirlo?
16 Que y Como? Para ello el hacker debe utilizar la mayor cantidad de herramientas y metodologías disponibles, que creen una postura de seguridad dentro de las cuales están: Visión Técnica Visión de Seguridad Visión de Negocio
17 Que y Como?
18 Que y Como? Se cuestiona acerca de lo que podrá suceder si se ingresa de manera no autorizada. Cuan críticos pueden llegar a ser los activos de información. Identifica las limitaciones de los mecanismos de protección Visión de Seguridad Evalúa y cuestiona las necesidades d en términos de seguridad y protección de la organización. Cuan preparado se frente a una intrusión. esta Como manejar el riesgo al que se esta expuesto Como se puede fortalecer medidas de protección de organización las la
19 Que y Como? Obtener Ingreso Jugar el rol de un atacante Validez por tiempo definidos Obtener un trofeo. Ingreso al sistema de manera no autorizada INTR USIÓN Se buscan vulnerabilidades del sistema y se aprovechan Objetivo y alcance claramente definido id Producir soluciones para mitigar vulnerabilidades Contem mplar todos los escenarios. Intern no/ Externo Entender la severidad de la exposición
20 Que y Como? Test de Penetración Black-Box Box White-box Calculado Agresivo Or rientado Desde donde Tipo va a de ser ejecutado visibilidad el del ataque test Nivel de conocimiento o Pasivo acerca del Red objetivo. Intern net (BB)/ Intranet Total (WQ Que WB) tan agresivo será el test durante su Cubierto Cuidado ejecución Otros Medios A cuales sistemas se les realizara la Li mitado prueba Descubierto Acceso Físico Ingeniería Social Externo Que técnicas serán utilizadas en el test Interno
21 Que y Como? Resultados Finales Planeación Intrusión Propiedad de Información Propiedad Física Reconocimiento Seguri dad Inhalám mbrica Análisis de Vulnerabilidades d
22 Que y Como?
23 Se validan las debilidades y fortalezas de los mecanismos de control. Que y Como? Normalmente buscan identificar y cuantifican las vulnerabilidades y amenazas a los activos de información Identificar áreas que requieren mejoramiento Cual es exposición el nivel de Visión Técnica Enfocadas identificar los detalles técnicos de las debilidades de seguridad Evalúan los sistemas y sus contextos t, buscando balance entre uso y seguridad. Se considera un estudio amplio, en el sentido de elementos que involucra más los
24 Que y Como? Estudio amplio de la seguridad buscando identificar vulnerabilidades La organización completa conoce de la acción a realizarse Nivel de detalle en el reporte, debe atacar las causas del problema Realiza análisis TOP-Down/ Button- up, desde la política hasta la práctica. EVALU UACIÓN Pueden utili izar las misma as herramienta as que un P.T T. Cooperación total por parte de la organización Analiza las implicaciones de las vulnerabilidades identificadas Ayuda a construir el plan de seguridad de la información
25 Que y Como? Técnicas No técnicas Vulnerability Assessment Security Scanning Phisical Security Assessment Perimeter assessment Internal assessment Host assessment Polcy assessment Risk assessment Infromation Security Assessment Personal skills assessment
26 Que y Como? Resultados Finales Recolección de datos Aspec ctos legales l Propiedad de Información Propiedad Física Reporte Parcial Visitas Entrevistas Seguri dad Inhalám mbrica Análisis
27 Que y Como?
28 Cumplimiento basado premisas puntuales. Que y en Como? Visión de Negocio Busca dar garantía cumplimiento del CID al Busca que las mejores prácticas puedan ser aplicables ala infraestructura bajo estudio Examinar y medir todo en términos de eficiencia, eficacia y efectividad Apuntan a crear un continuo de seguridad. proceso Mide aspectos de alto nivel desde el punto de vista de la organización, que estén alineados con el negocio Proceso, organizados, consistente y exacto de recoger y analizar datos, para producir unos hallazgos que puedan ser medibles
29 Que y Como? Revisiones independiente s y autónomas Buscan la continuidad Alinear los procesos a las mejores prácticas AUDI ITORIA Revisión en diferentes niveles dependiendo el nivel de detalle Cumplimiento de políticas, normas y procedimientos i Busca encontrar los incumplimientos frente a un procedimiento o norma Vali ida los proced dimientos estratég gicos de la organiz zación en seg guridad Definido como un proceso en el cual participa la organización
30 Que y Como? Monitoreo Planeación de la auditoria Reportes Trabajo de Campo
31 Comparaciones Punto de vista Intrusión (Pen-Test) Destrucción Intrusión Evaluación (Sec-Asses) Mejoramiento Cumplimiento (Sec-Aud) Cumplimiento Interacción Autónomo Cooperación Cooperación Frecuencia de Ejecución Ejecución por parte de Tareas Conocimientos de la organización Tiempo de Ejecución Anual Misma área Técnicas Pocos Corto Semestral Misma área Técnicas No Técnicas Altos Medio Trimestral Terceros No técnicas Medio Largo Resultados Intrusión Identificación Verificación Que muestra Riesgos Exposición Incumplimiento
32 Retos y Co onclusiones Su valor estará determinado d en la medida que impacte de manera pro activa toda la organización. Compromiso por parte del hacker continuo de la postura de inseguridad. El hacker debe pensar comoo integrar todas las herramientas y metodologías disponibles y como ellas pueden producir un resultado. Los resultados de sus pruebas tendrán valor si estas se convierten en planes de ejecución en pro del mejoramiento. que se traduce en un mejoramiento
33 Retos y Co nclusiones Entender que no solo es un procesoo mecánico y de nivel operativo. La gestión del riesgo, las polític cas de seguridad y protección, y la clasificación y valoración de activos serán claves a la hora de definir la postura de seguridad. El ROI del test estará dado en la medida en que productividad del usuario, gene eración de ingresos, costos en el negocio, reducción de riesgos. se hable de reducción de Disciplinai y autoestudio, t son sus herramientas más importantes t a la hora de combatir un ataque.
34 Por lo tanto... Si Utilizas al enemigo para enfrentarlo, serás poderoso en cualquier lugar a donde vayas. Sun Tzu
35 Bibliog grafía James S. Tiller. The ethical hack. A framework for Bussines Value Penetration Testing. Carlos Crembil. Vulnerabillity Scanning y P enetration Testing. Congreso Argentino de Seguridad de la Información Alejandro Corletti Estrada. Auditoria, Evaluación, Test de seguridad. Universidad Politécnica de Madrid. Dominic Baier. Improving Application Security Through Penetration Testing. Char van der Walt. Assessing Internet Security Risk. Cesar Colado. Calidad en la pruebas de intrus sión. CANO J. Auditoria de seguridad, Evaluación de seguridad y Pruebas de Penetración: Tres paradigmas de la Seguridad Informática Scott Berinato(2005).The Global State of Information Security
36 Bibliog grafía John Wack, Miles Tracy, Murugiah Souppaya. Guideline on Network Security Testing.. NIST SP Peter Herzog. Open Source Security Testing Metodology Manual 2.1. John Chirillo(2001). Hack Attacks Reveled. Wiley Computer Publishing Aggresive Network Self-Defense(2005). Neil Archibald. Seth Fogie. Chirs Hurley. Dan Kamisky. Johnny Long (2005). Penetration Tester's Open Source Toolkit. Winkler. IRA (2000). Audit, Assessment Security Magazine Peake. Crihs (2003). Red Teaming: The art & Test (OH, MY). P1,P2,P3,P4. Information of Ethical Hacking. SANS GIAC Sans Institute. (2002). Penetration Testing Is it right for you?. SANS GIAC
37 Biblio ografía Vincent LeVeque. Information Security: A Strategic Approach. Chapter 1 Amanda Andress. Surviving Security: How Second Edition to Integrate People, Process, and Technology, T. J. Klevinsky Scott Laliberte Ajay Gupta.Hack I.T.: Security Through Penetration Testing Is auditing procedure. ISACA Bill Hayes. Conducting a Security Audit: An Introductory Overview Steven Purser. A practical Guide to Managing Information Security Sans Institue A MODEL FOR PEER VULNERABILITY ASSESSMENT Wan. Lee (2001). Security Life Cycle. SANSS GIAC Lowery, Jessica. Penetration testing: The Third Party Hacker, SANS GIAC
El Valor del Hacker en la Organización
O P S I D R O W S S A P I V Q S N O I C C E Y N I S E D F H U J G L I M E T O D O L O G I A E L R S I N T E G R I D A D U Y Y O N A S U G C T I A Z C V B R U H T E S T D E P E N E T R A C I O N E R R T
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesPREPARADO POR: FECHA DE EMISIÓN: 20-05-05 FECHA DE VALIDACIÓN: 20-05-05
3. MONITORÍA Y EVALUACIÓN DE LA GESTIÓN SS-UPEG-3 PREPARADO POR: EQUIPO CONSULTOR FECHA DE EMISIÓN: 20-05-05 FECHA DE VALIDACIÓN: 20-05-05 VERSIÓN Nº: 1 Secretaría de Salud de Honduras - 2005 PÁGINA 2
Más detallesPERFILES OCUPACIONALES
PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallesAlgunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Más detallesHoja Informativa ISO 9001 Comprendiendo los cambios
Revisiones ISO Hoja Informativa ISO 9001 Comprendiendo los cambios Cambios que se aproximan ISO 9001 de un vistazo Cómo funciona ISO 9001? ISO 9001 puede ser aplicado a todo tipo de organizaciones de cualquier
Más detallesSeguimiento y evaluación
Seguimiento y evaluación Por qué es necesario contar con herramientas para el seguimiento y la evaluación? Es la manera en que se puede evaluar la calidad e impacto del trabajo en relación con el plan
Más detallesPlan de Estudios. Diploma de Especialización en Seguridad Informática
Plan de Estudios Diploma de Especialización en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías
Más detallesDeloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria
Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director
Más detallesEthical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar
Ethical Hacking Capacitación IT 13/03/2013 Federico Pacheco @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Contenidos Las evaluaciones de seguridad El hacker ético Metodología de ataque
Más detallesINSTITUCIÓN EDUCATIVA LA ESPERANZA AUDITORIAS INTERNAS. CÓDIGO: A1-IN01 VERSIÓN: 1 PÁGINA 1 de 6
CÓDIGO: A1-IN01 VERSIÓN: 1 PÁGINA 1 de 6 1. ESPECIFICACIONES GENERALES NOMBRE: AUDITORÌAS INTERNAS OBJETIVO: Evaluar el nivel de implementación y eficacia del S.G.C RESPONSABLE: Líder de la Gestión de
Más detallesANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA
ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad
Más detallesLa importancia de las pruebas de penetración (Parte I)
Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > La importancia de las pruebas de penetración (Parte I) La importancia de las pruebas de penetración (Parte I) Por Erika Gladys
Más detallesIng. Nicolás Serrano nserrano@bcu.gub.uy
Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del
Más detallesCiber-ataques en la Industria y sus Oportunidades
Ciber-ataques en la Industria y sus Oportunidades Lecciones en el Campo de batalla Ing. Kristian Ayala, M.C. / 11 de Septiembre de 2014 AGENDA Situación actual Organismos contribuyentes Estadísticas de
Más detallesPROCEDIMIENTO DE AUDITORIAS INTERNAS. CALIDAD INSTITUCIONAL Versión: 02
1. OBJETIVO Realizar la planificación, estructuración y ejecución de las auditorías internas, con el objeto de garantizar el cumplimiento de los requisitos de la Norma ISO 9001:2008 y los fijados por la
Más detallesAUDITORÍAS INTERNAS DE CALIDAD
AUDITORÍAS INTERNAS DE CALIDAD PR-SGC-02 Hoja: 1 de 10 AUDITORÍAS INTERNAS DE CALIDAD Elaboró: Revisó: Autorizó: Puesto Directora de Administración Directora de Administración Representante de la Dirección
Más detallesTécnico y sus funciones. 5. Función de los líderes. 6 Función del analista de datos. 6. Metas del Help Desk. 7 Definir el alcance del Help Desk.
3 Qué es un Help Desk? 3 Cómo trabaja un Help Desk? 3 Cómo se mide el éxito de un Help Desk? 5 Funciones de los miembros del equipo del Help Desk. 5 Técnico y sus funciones. 5 Función de los líderes. 6
Más detallesPlaneación del Proyecto de Software:
Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los
Más detallesSistema Gestión Licitación para la compra del desarrollo y migración del Sistema de Gestión de Activos y Configuraciones para Plan Ceibal
Sistema Gestión Licitación para la compra del desarrollo y migración del Sistema de Gestión de Activos y Configuraciones para Plan Ceibal Objeto del Llamado y Generalidades El Centro para la Inclusión
Más detallesOffensive State Auditoría de Aplicaciones Web
Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4
Más detallesTaller: Planificación Estratégica. Centro de Iniciativas Comunitarias y Base de Fe
Taller: Planificación Estratégica Centro de Iniciativas Comunitarias y Base de Fe Propósito Adiestrar a los participantes en aquellas destrezas de redacción, establecimiento y medición de planes de trabajo
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesEthical Hacking and Countermeasures
Page 1 Ethical Hacking and Countermeasures http://www.eccouncil.org Página 2 EHTM CCertified Ethical Hacker Contenido Qué hay de nuevo en CEHv6?... Pág. 4 Certified Ethical Hacker v6...... Pág. 5 Programa
Más detallesPROCEDIMIENTO DE AUDITORIAS INTERNAS
PROCEDIMIENTO REGISTRO DE CAMBIOS FECHA DE VIGENCIA/ VERSIÓN No. NUMERAL DESCRIPCION U ORIGEN DEL CAMBIO Página 1 de 7 1. OBJETIVO Este procedimiento tiene como objetivo determinar la conformidad y eficacia
Más detallesCOMO REALIZAR UN DIAGNÓSTICO INICIAL Y DEFINIR LA POLITICA DE SEGURIDAD PARA EL SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASC
COMO REALIZAR UN DIAGNÓSTICO INICIAL Y DEFINIR LA POLITICA DE SEGURIDAD PARA EL SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASC AL FINALIZAR EL CURSO.. Estaremos en capacidad de: Conocer la metodología
Más detallesTIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7
PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas
Más detallesLINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD
Departamento Nacional de Planeación Bogotá, 2015 PAGINA: 2 de 15 TABLA DE CONTENIDO 1 INTRODUCCIÓN... 3 2 OBJETIVO... 3 3 ALCANCE... 3 4 REFERENCIAS NORMATIVAS... 3 5 DEFINICIONES... 4 6 DOCUMENTOS ASOCIADOS...
Más detallesPRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE
PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,
Más detallesITIL FOUNDATION V3 2011
ITIL FOUNDATION V3 2011 Examen de Certificación Instrucciones 1. Revise su Hoja de Respuesta, debe contener espacio para responder 40 preguntas y una sección para incorporar su Nombre 2. Espere por la
Más detallesTecnología de la Información. Administración de Recursos Informáticos
Tecnología de la Información Administración de Recursos Informáticos 1. Recursos informáticos: Roles y Responsabilidades 2. Áreas dentro del Departamento de Sistemas 3. Conceptos asociados a proyectos
Más detallesSEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO
SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información
Más detallesPROCEDIMIENTO DE AUDITORIA INTERNAS DE CALIDAD
GG-PRD-007 Página 1 de 9 1. OBJETIVO: Establecer las responsabilidades y los requisitos necesarios para la planeación y ejecución de auditorías internas al sistema de gestión de (S.G.C.) de la Cámara de
Más detallesMANEJO DE QUEJAS Y RECLAMOS
MANEJO DE QUEJAS Y RECLAMOS Derechos reservados ICONTEC- 1 OBJETIVO GENERAL Proponer una metodología para la planeación, diseño, operación, mantenimiento y mejora de un proceso para el manejo de los reclamos
Más detallesSecurity Health Check
www.pwc.es Security Health Check Aportamos el valor que necesitas Un problema no tan lejano... Durante los últimos años, las empresas han abordado procesos de transformación tecnológica sin precedentes
Más detallesGestión de la Seguridad de Activos Intelectuales
Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos
Más detallesDescribir una metodología sistemática de análisis de los procesos organizacionales y cómo estos pueden ser apoyados por las TI.
Procesos de Negocio Objetivos Describir una metodología sistemática de análisis de los procesos organizacionales y cómo estos pueden ser apoyados por las TI. Identificar y analizar los procesos de negocios,
Más detallesMETODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.
METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III,
Más detalles1 CONSTRUIMOS FUTURO
CONSTRUIMOS FUTURO 1 Implementación n del SGC en los procesos de apoyo a las actividades misionales de la UIS CONSTRUIMOS FUTURO 3 Enfoque de uditoría Estamos comprometidos con ISO 9001:2000 4 1 Qué es
Más detallesSistema de Administración del Riesgos Empresariales
Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola
Más detallesen el SGC PHVA VERIFICAR HACER
Enfoque de mejora continua en el SGC Universidad de Guanajuato ACTUAR PLANEAR PHVA VERIFICAR HACER Introducción En respuesta a los retos de competitividad que se presentan en un entorno cada vez más exigente,
Más detalles4. EVALUACIÓN DEL PROGRAMA DE CAPACITACIÓN
4. EVALUACIÓN DEL PROGRAMA DE CAPACITACIÓN La etapa final del proceso de capacitación es la evaluación de los resultados obtenidos, mediante este proceso se puede responder a las siguientes preguntas:
Más detallesComo incrementar su productividad con controles contínuos. Cr. Emilio Nicola, PMP
Como incrementar su productividad con controles contínuos Cr. Emilio Nicola, PMP Auditoría continua Auditoría está cansada de llegar y contar muertos Es tiempo de comenzar a salvarlos. Carlos Fernando
Más detallesI. Información General del Procedimiento
PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica
Más detallesModelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013
Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea
Más detallesMéxico, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS
Marco Operativo para Empresas Líderes y Organismos Operadores México, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS REGLAS GENERALES DE OPERACIÓN Y COORDINACIÓN PARA LAS EMPRESAS LÍDERES, ORGANISMOS OPERADORES
Más detallesTécnicas de Auditoría BIENVENIDOS XIMENA BECHARA RAMÍREZ CONSULTORA EMPRESARIAL JUNIO 2008 OBJETIVOS DEL CURSO
BIENVENIDOS XIMENA BECHARA RAMÍREZ CONSULTORA EMPRESARIAL JUNIO 2008 OBJETIVOS DEL CURSO Proporcionar el conocimiento necesario de los métodos y técnicas para la preparación de auditoria interna. Desarrollar
Más detallesMaster en Gestion de la Calidad
Master en Gestion de la Calidad Registros de un Sistema de Gestion de la Calidad Manual, procedimientos y registros 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer que es un registro
Más detalles3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE
3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE Software Configuration Management (SCM) es una disciplina de la Ingeniería de Software que se preocupa de [Ber92] [Ber84] [Bou98] [Mik97]: Identificar y documentar
Más detallesModulo 2: GOBIERNO DE TI
Modulo 2: GOBIERNO DE TI Pregunta #4: A que nos lleva toda esta integración Ordenando las ideas Estrategia del negocio Objetivos del negocio Objetivos de TI Oficina de Gestión de Proyectos (PMO) Beneficios
Más detallesSEGURIDAD GESTIONADA
SEGURIDAD GESTIONADA Hoy día, la mayor parte de las organizaciones están conectadas a Internet, con la consiguiente exposición de sus activos a amenazas reales. La solución más habitual para afrontar estos
Más detallesDe los #exploits al más m s allá!
De los #exploits al más m s allá! Joaquín Paredes Senior Security Consultant Ing. Iván Huertas Security Consultant 1 Agenda Tendencias en Seguridad para el 2013: APT como tendencia destacada APT & Botnets
Más detallesPROCEDIMIENTO DE AUDITORIA INTERNA
Página 1 de 7 1. OBJETIVO Establecer la metodología para realizar las auditorías internas, hacer seguimiento a los hallazgos y oportunidades de mejora, con el fin de verificar el cumplimiento de los requisitos
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesPROCEDIMIENTO-04 Versión: 1 ISO 9001:2008 Página 1 de 6
PROCEDIMIENTO-04 Versión: 1 ISO 9001:2008 Página 1 de 6 1. OBJETIVO Definir y establecer la metodología para realizar auditorías internas al Sistema De Gestión de Calidad con el fin de verificar su efectividad
Más detallesINFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA
INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES
Más detallesLos diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)
Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs) 10 de Julio de 2015 http://www.itbusinessedge.com/slideshows/ten-top-paying-tech-security-jobs.html Sin lugar a dudas,
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesSTAN Consultores PMO. STAN Consultores. STAN Consultores
PMO Realidad en Proyectos El 90% de los proyectos no son ejecutados según la calidad, costo y tiempos acordados inicialmente [Balanced Scorecard Collaborative, 2007 www.thepalladiumgroup.com]. Solo el
Más detallesMejora continua del servicio (CSI) Mejora continua del servicio (CSI) D.R. Universidad Tec Virtual del Sistema Tecnológico de Monterrey México, 2012.
Mejora continua del servicio (CSI) 1 Introducción Bienvenido al estudio del curso Mejora continua del servicio (CSI)! Crear valor por medio del mejoramiento general es una de las estrategias que la mejora
Más detallesDEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS
PROCESO AREA AUDITADA: MAPA DE RIESGOS DIRECTIVO RESPONSABLE: Secretaria de Planeación Responsables de los Procesos FECHA DE ELABORACION: Marzo de 2014 DESTINATARIO: Alcaldesa Secretarios de Despacho ASPECTOS
Más detallesQueremos ser su aliado tecnológico
Tecnología Creativa Queremos ser su aliado tecnológico Bienvenidos a TeChrea, la tecnología creativa VISIÓN QUIÉNES SOMOS TeChrea es una organización cien por ciento colombiana, creada por un grupo de
Más detallesAI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL
AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN OBJETIVOS 1 Métodos de Diseño 2 Cambios Significativos a Sistemas Actuales 3 Aprobación del Diseño 4 Definición y Documentación de Requerimientos
Más detallesRECOMENDACIONES. HALLAZGOS Objetivos especifico Justificación/Norma ANEXO
HALLAZGOS HALLAZGOS Objetivos especifico Justificación/Norma 1 No se estiman los presupuestos y calendario l proyecto En el objetivo específico 7 Verificar si se asigna los recursos necesarios para el
Más detallesTécnicas para identificar la causa-raíz de los problemas
Técnicas para identificar la causa-raíz de los problemas OBJETIVO: Aplicar las técnicas para la identificación de la causa real o potencial de un problema y su posible solución. CONTENIDO: 1. Introducción
Más detallesPROCEDIMIENTO DE ACCIONES DE MEJORA
PROCESO DE CONTINUA Página: 1 de 11 1. Objetivo del procedimiento: Formular, implementar, registrar, hacer seguimiento y revisar la efectividad de las acciones de mejora, mediante la identificación y análisis
Más detallesAUDITORÍAS Y AUDITORES ISO 9000:2000
AUDITORÍAS Y AUDITORES ISO 9000:2000 Ing. Miguel García Altamirano Servicios CONDUMEX S.A. de C.V. Delegado Mexicano en el Comité Internacional ISO TC 176 en el grupo JWG "Auditorías" Resumen: Los sistemas
Más detallesFigura 3.1 Implementación de ITIL
C apí t u l o III IMPLEMENTACIÓN DE ITIL Existen distintos métodos para la implementación de ITIL, sin embargo cualquier organización puede alinearse a este marco de trabajo sin importar su tamaño o complejidad.
Más detallesDocumentos DELTA. Justificación, Conformación y Puesta en Marcha HACEMOS LA DIFERENCIA AGREGANDO VALOR
Documentos DELTA HACEMOS LA DIFERENCIA AGREGANDO VALOR Justificación, Conformación y Puesta en Marcha 2010 J.C. Daccach T Todos los Derechos Reservados mailto:docum@deltaasesores.com http://www.deltaasesores.com
Más detallesBusiness Process Management(BPM)
Universidad Inca Garcilaso de la Vega CURSO DE ACTUALIZACIÓN PROFESIONAL DE INGENIERÍA DE SISTEMAS Y CÓMPUTO Business Process Management(BPM) MSc. Daniel Alejandro Yucra Sotomayor E-mail: daniel@agenciati.com
Más detallesGeneXus BPM Suite X. Última actualización: 01 de Setiembre de 2008
Última actualización: 01 de Setiembre de 2008 Copyright Artech Consultores S. R. L. 1988-2008. Todos los derechos reservados. Este documento no puede ser reproducido en cualquier medio sin el consentimiento
Más detallesPresentación. Porqué formarte con nosotros?
Presentación Un Hacker Ético es un profesional dotado de habilidades para encontrar las debilidades o vulnerabilidades en los sistemas utilizando el mismo conocimiento y herramientas que un hacker malicioso,
Más detallesPenetration Test Metodologías & Usos
Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesIT Project Portfolio Management y su vinculación con la Estrategia Corporativa
IT Project Portfolio Management y su vinculación con la Estrategia Corporativa Norberto Figuerola Mayo 2014 IT Management Los CIO deben gestionar eficazmente la entrega de los servicios de TI para lograr
Más detallesGESTIÓN DE LA CALIDAD AUDITORIAS INTERNAS DE CALIDAD
CÓDIGO EV-CAL-PR-03 VERSIÓN: 5 VIGENCIA: 2013 Página 1 de 8 1. OBJETIVO Establecer las directrices para la planificación y ejecución de las auditorías internas del sistema de gestión de calidad de la Universidad,
Más detallesUnidad 1. Fundamentos en Gestión de Riesgos
1.1 Gestión de Proyectos Unidad 1. Fundamentos en Gestión de Riesgos La gestión de proyectos es una disciplina con la cual se integran los procesos propios de la gerencia o administración de proyectos.
Más detallesEl director de tecnologías de la información del futuro Informe de investigación. Convertirse en un impulsor del cambio en los negocios
El director de tecnologías de la información del futuro Informe de investigación Convertirse en un impulsor del cambio en los negocios Aunque la mayoría de directores de tecnologías de la información concuerdan
Más detallesIntroducción. Hallazgos Clave 26% 74%
Promedio de NO Cumplimiento 26% 74% Promedio de Cumplimiento Cumplimiento Introducción Durante 2012, las inversiones de software en Colombia ascendieron a 698 millones de dólares, este crecimiento prácticamente
Más detallesLa norma ISO 19011:2011
La norma ISO 19011:2011 ISO 19011:2002 ISO 17021:2006 ISO 17021: 2011 e ISO 19011:2011 Términos nuevos: Riesgo Auditoría a distancia Definición Auditoría Proceso sistemático, independiente y documentado
Más detallesMidiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014
Midiendo la efectividad de su programa de seguridad de información Iván Campos 28 de Mayo de 2014 Contenido Conversemos Cuál es tu experiencia? 3 Retos identificados 4 # Definiciones 5 Programa de Medición
Más detallesCómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.
El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesPROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES
PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando
Más detalleswww.unjhana.com Unjhana @unjhana
Quiénes somos Somos una empresa que cuenta un equipo de trabajo con más de diez (10) años de experiencia en Gerencia de Proyectos y Gestión de Mantenimiento, relacionados con Telecomunicaciones y Tecnologías
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesEnterprise Risk Management
Enterprise Risk Management E.R.M. ERM ERM describe un marco conceptual que establece: La definición de riesgos empresariales Los componentes del proceso de administración de riesgos empresariales Criterios
Más detallesEl Comité de Riesgos establece políticas y estrategias de riesgo, da seguimiento a las mismas y vigila su cumplimiento.
ADMINISTRACION INTEGRAL DE RIESGOS La función de identificar, medir, monitorear, controlar e informar los distintos tipos de riesgo a que se encuentra expuesta Banca Afirme, está a cargo de la Unidad de
Más detallesMarco Normativo de IT
Marco Normativo de IT PC0901 - Proceso de control de cambios en software de aplicación provisto por Organismos Gobierno de la Ciudad Autónoma de Buenos Aires PC0901 - Proceso de control de cambios en software
Más detallesProyecto Educativo. Elsa Mar(nez Olmedo
Proyecto Educativo Elsa Mar(nez Olmedo Qué es un proyecto educativo? INTRODUCCIÓN Comprender lo que es un proyecto educativo implica identificar un problema a atender, sus causas y consecuencias y a partir
Más detallesOpen Space Report Linux Week 2010
TEMA: Los usuarios tienen miedo al cambio Se debe trabajar más en la difusión de las opciones del software libre en nichos como: - Video - Música - Etc TEMA: Desconfianza a nivel de seguridad (se dice
Más detallesPROCESO SEGUIMIENTO INSTITUCIONAL PROCEDIMIENTO DE AUDITORÍAS INTERNAS DE LOS SISTEMAS DE GESTIÓN. Norma NTC ISO 15189:2009. Norma NTC ISO 5906:2012
Página 1 de 10 Revisó: Director de Control Interno y Evaluación de Gestión Vicerrector Administrativo Aprobó: Vicerrector Académico Fecha de aprobación: Noviembre 19 de 2007 Resolución N 1736 OBJETIVO
Más detallesGLOSARIO DE TERMINOLOGIA SOBRE SISTEMAS DE GESTIÓN DE LA CALIDAD
GLOSARIO DE TERMINOLOGIA SOBRE SISTEMAS DE GESTIÓN DE LA CALIDAD Terminología general: 1. Producto: resultado de un proceso. 2. Proceso: conjunto de actividades mutuamente relacionadas o que interactúan,
Más detallesCurso de ISO 9001:2008 OPERACIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD E INCICADORES
Curso de ISO 9001:2008 OPERACIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD E INCICADORES OBJETIVO El participante contará con los conocimientos y habilidades necesarias que le permitan realizar una adecuada
Más detallesAdelantándose a los Hackers
1 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 5 de Julio de 2001 Buenos Aires - ARGENTINA 2 Adelantándose a los Hackers Temario
Más detallesGuía de procesos en gestión de incidentes
SGSI Sistema de Gestión de Seguridad de la Información Guía de procesos en gestión de incidentes Versión 1.0 2010 Setiembre 2010 Table of Contents Guía de referencia en gestión de incidentes en seguridad
Más detallesAuditoría que agrega valor
International Organization for Standardization International Accreditation Forum Auditoría que agrega valor Que es una auditoría que agrega valor? Escuchamos mucho a cerca de la importancia de agregar
Más detalles