Incorporando la Seguridad de la. Software

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Incorporando la Seguridad de la. Software"

Transcripción

1 Incorporando la Seguridad de la Información al Desarrollo de Software Juan Carlos Herrera Marchetti VP Research&Development UshiroLabs Uhi UshiroSecurity it de Colombia

2 Agenda Estado del Arte Casos de Estudio Desmitificación Principios, Métodos y Técnicas Problema de Fondo Desarrollo de Software Seguro Soluciones A gran escala Casos de Estudio Temas no cubiertos Criptografía Privacidad Aspectos Legales Excepto menciones Metodologías Excepto menciones

3 Glosario Trustworthiness No exploitablevulnerabilitiesexist, eitherofmaliciousorunintentionalorigin PredictableExecution Justifiableconfidencethat software, whenexecuted, functions as intended Dependeable Safety/Security

4 Conceptos/Principios/Requisitos De la INFORMACION Confidencialidad Integridad Disponibilidad

5 Principios de Seguridad de la Información Confidencialidad Integridad Disponibilidad Aplicados al Software La información VIVE en el software Mas allá de los datos Mas allá de los hackers

6

7 Tipos Diseño/Arquitectura Código (Lógica, Practicas) Desconocidos Procesos de Negocio, Algoritmos, etc. Conocidos OWASP/SANS/CWE Los mismos de siempre (Cero innovación!) INACEPTABLES

8 De acuerdo al sumario que se abrió en su oportunidad en contra del magistrado, habría incurrido en irregularidad al manipular el Sistema Informático de los Tribunales de Familia (Sitfa) para radicar su causa en el juzgado.

9 Michelsonaplicó un complejo sistema que permitió defraudar a la entidad financiera, la que consistía en girar cheques propios y al mismo tiempo darles orden de no pago por extravío. Luego, el imputadodepositaba p los documentos en cajeros automáticos y por un "déficit del sistema informático" del banco, estos dineros eran ingresados a su cuenta y, finalmente, retirados por ventanilla.

10 - El 15 de Julio del 2009 Josh Muszynski, compro los cigarros mas caros de la historia! - La transacción fue repetida veces - Explicación de VISA: temporaryprogrammin g error at Visa DebitProcessingServic es

11 Caso Toyota (Safety)

12

13

14

15

16 Por que ocurren los defectos? Habilidades Conocimiento, i Practicas, Presión, Mal Mldía, etc Lenguajes Defectuosos, Mal diseñados, incompletos Mitos

17 Como toda creación humana, el software no es mágico, tampoco debe ser misterioso. Pero si es complejo y extremadamente t poderoso Los computadores tienen virus Falso, los sistemas operativos tienen virus Nosotros no tenemos problemas de seguridad Tenemos Firewalls La Seguridad del Software es un problema de otro Bala de Plata La Seguridad es muy cara! El código de terceros es seguro

18

19

20 Outsourcing Partners Internal Projects Project 1 Project 2 Third Party Software Vendors Open Source Third Party Software Vendors

21 You break it, you bought it Individuals working on Linux Happy to fix if it s my code OEM Android Linux Companies

22 Programhangs ResourceLeaks Memory corruptions Insecure data handling Memoryleaks Out of boundsaccess Infinite loop Integeroverflow Resourceleak in object Incomplete delete Microsoft COM BSTR memoryleak Doublelockormissingunlock Negativeloopbound Uninitialized variables Threaddeadlock Missingreturnstatement Uninitializedpointer/scalar/array sleep() while holding read/write a lock Uninitialized data member in classorstructure Nullpointerdifferences ConcurrencyIssues Dereferenceafter a null check Deadlocks Raceconditions Blockingcallmisuse Dereference a nullreturnvalue Dereferencebefore a null check Integerhandlingissues Codemaintainabilityissues Improper use ofnegativevalue Unintendedsignextension Multiplereturnstatements Improper Unusedpointervalue Use ofapis Insecurechroot Usinginvaliditerator printf() argumentmismatch Performance inefficiencies Largestack use Stringlengthmiscalculations Copyingtodestinationbufferstoosmall Overflowedpointerwrite Negative array indexwrite Allocationsize error Loopbound by untrustedsource Write/read array/pointerwith untrustedvalue Memory illegalaccess Formatstringwithuntrustedsourc Incorrectdeleteoperator e Overflowedpointerread Out of boundsread Returningpointerto local variable Negative array indexread Use/readpointerafter free Security best practicesviolations i i Possible buffer overflow Control Copyinto flowissues a fixedsize buffer Logicallydeadcode Callingriskyfunction i i Missingbreak in switch Structurallydeadcode Use ofinsecuretemporary file Error Time handlingissues of check differentthan time Uncheckedreturnvalue of use Uncaughtexception Invalid use ofnegative variables Userpointerdereference

23 Base Técnica/Científica Todas las anteriores? Software Certification/Assurance Soluciones Revisión de Código No escala HackingEtico/PenTest Caja Negra Métodos Formales Caro y Lento Historia! SMT Análisis Estático Soundness &Completeness Por que no?

24 Análisis Estático Lo Bueno Lo Malo Lo Feo

25 Análisis Estático en la Practica Experiencia 125ProyectosOpen Source 27 Clientes (NDA) 57 millones de líneas de código Casos Atendidos SeverosProblemas de Performance Victimas de Hackers Caídas de Sistemas

26 Caso: Cliente Hackeado (Porellos mismos) Consultora Especializada en Seguridad reporto las siguientes Vulnerabilidades: Acceso No Autorizado Ejecución Arbitraria Abi i de Código Denegación de Servicio

27 Acceso No Autorizado Ejecución Arbitraria de Código Denegación egac de Servicio MemoryRead Out ofbounds MemoryWrite Out ofbounds ResourceLeaks ProgramCrash ProgramHang Overrunsof Arraysand Iterators User in Control of FormatString Pointer Problems Memory Management Problems Incorrect Arithmetic Expressions Use of Unitialized Variables

28 Áreas de Aplicación Detección Temprana de Defectos Detección de Fraudes y Auditoria de Código Descubrimiento de Reglas de Negocio Transformación de Lenguajes/Procesos Medir Impacto en cambios Control lde Políticas/Regulaciones l i Legales Análisis de Arquitectura Ingeniería Reversa Violaciones de Derechos de Autor

29 Demostración: Como funciona el Análisis Estático DNA Path Analysis SAT Solvers Prune False Paths Resultados Análisis i Proyectos Open Source

30 Solución? Secure& Lean Software Development No es fabricar software como Toyota lo hace Ya sabemos que no es perfecto Fabricar Software en base a principios No seguir reglas y estándares a ciegas» Por que mi Jefe lo dice o algún estándar lo dice Preocupación por lo importante Personas Agregar Valor

31 Muchas Gracias Juan Carlos Herrera Marchetti sec.com sec.com

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

Software security assurance Software seguro desde el origen

Software security assurance Software seguro desde el origen Software security assurance Software seguro desde el origen RISI, Walter Director IT Advisory, KPMG MANAVELLA, Nicolás Gerente IT Advisory, KPMG Qué sucedería si los autos fuesen construidos por desarrolladores

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Certified Ethical Hacker Training

Certified Ethical Hacker Training Pág. 1 de 6 CONTENIDO DETALLADO Certified Ethical Hacker Training Descripción del Curso El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos

Más detalles

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com Investigación y Descubrimiento de Vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com Agenda - El mundo de las vulnerabilidades de seguridad - Descubriendo vulnerabilidades - Experiencias en la investigación

Más detalles

Tendencias actuales en Seguridad Informática

Tendencias actuales en Seguridad Informática Alejandro Oliveros Director aoliveros@trends-idc.com.ar Tendencias actuales en Seguridad Informática www.idc.com Agenda Software de seguridad Servicios de seguridad Hardware de seguridad Mercado mundial

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups.

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups. 1 Colegio Bosque Del Plata Tecnología de la Información y las Comunicaciones UNIDAD 3 Uso y control de los sistemas de información E-mail: garcia.fernando.j@gmail.com Profesor: Fernando J. Garcia Ingeniero

Más detalles

Penetration Testing. Conceptos generales y situación actual. PwC

Penetration Testing. Conceptos generales y situación actual. PwC Penetration Testing Conceptos generales y situación actual A/S Rodrigo Guirado, CISA, CGEIT Senior Manager Advisory Services rodrigo.guirado@uy.pwc.com PwC Agenda / Contenido Motivación Definiciones Generales

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

PELIGRO. Software en construcción! Maximiliano Alonzo! malonzo@tib.com.uy. Buenas Prácticas para la construcción de software seguro.

PELIGRO. Software en construcción! Maximiliano Alonzo! malonzo@tib.com.uy. Buenas Prácticas para la construcción de software seguro. PELIGRO Software en construcción Buenas Prácticas para la construcción de software seguro. Maximiliano Alonzo malonzo@tib.com.uy Quién soy? Especialista en Seguridad Informática en CERTuy. Consultor en

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Ethical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar

Ethical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Ethical Hacking Capacitación IT 13/03/2013 Federico Pacheco @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Contenidos Las evaluaciones de seguridad El hacker ético Metodología de ataque

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Introducción al análisis automático de la seguridad de aplicaciones web

Introducción al análisis automático de la seguridad de aplicaciones web Introducción al análisis automático de la seguridad de aplicaciones web 22 de octubre de 2012 1 Contenidos Vulnerabilidades de seguridad en aplicaciones web Herramientas para el análisis de vulnerabilidades

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

Calidad de Software Trabajo Práctico Integrador. CACIC 2012 XVI Escuela Internacional de Informática

Calidad de Software Trabajo Práctico Integrador. CACIC 2012 XVI Escuela Internacional de Informática Calidad de Software Trabajo Práctico Integrador CACIC 2012 XVI Escuela Internacional de Informática INDICE 1. Consignas del Trabajo Práctico... 3 1.2 Pautas generales... 3 2.2 Consignas... 3 2. Presentación

Más detalles

RSA Authentication. Análisis de la solución

RSA Authentication. Análisis de la solución RSA Authentication Manager ExpreSS Análisis de la solución A pesar de que los riesgos asociados a la autenticación basada exclusivamente en contraseñas no son nada nuevos, el 44% de las empresas sigue

Más detalles

Certified Ethical Hacker (CEH) v8

Certified Ethical Hacker (CEH) v8 Certified Ethical Hacker (CEH) v8 Curso que ofrece a los asistentes los contenidos y habilidades necesarios para analizar la seguridad de los sistemas de seguridad. El curso cubrirá los conceptos de escaneo,

Más detalles

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO

SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO OBJETIVO IQ INFORMATION QUALITY, presenta los servicios para realizar las pruebas de HACKING ÉTICO, con el fin de verificar los niveles

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Seguridad en Software Libre

Seguridad en Software Libre Seguridad en Software Libre Carlos Sarraute Ariel Futoransky 7 junio 2005 USUARIA 2005 Motivación Hay alguna diferencia estratégica perceptible entre la seguridad de soluciones de código abierto vs. código

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Auditoría de Seguridad

Auditoría de Seguridad Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

Lean PMO Beneficios, Objetivos y Servicios

Lean PMO Beneficios, Objetivos y Servicios Beneficios, Objetivos y Servicios Índice Problemas actuales Beneficios Objetivos de una PMO Servicios Casos Prácticos Problemas actuales 3 Entorno 4 Incertidumbre Soy capaz de describir que valor aporta

Más detalles

Gestión de Servicios Informáticos. Gestión de Activos informáticos. Biblioteca de Infraestructura de Tecnologías de la Información (ITIL)

Gestión de Servicios Informáticos. Gestión de Activos informáticos. Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) Gestión de Servicios Informáticos Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

ETHICAL HACKING. FAVA - Formación en Ambientes Virtuales de Aprendizaje. SENA - Servicio Nacional de Aprendizaje

ETHICAL HACKING. FAVA - Formación en Ambientes Virtuales de Aprendizaje. SENA - Servicio Nacional de Aprendizaje ETHICAL HACKING INTRODUCCIÓN Desde hace varias décadas han aparecido nuevas modalidades de delitos informáticos dentro de los que se encuentran los ataques por crackers o hackers capaces de comprometer

Más detalles

Álvaro Rodríguez @alvrod PayTrue

Álvaro Rodríguez @alvrod PayTrue Álvaro Rodríguez @alvrod PayTrue Desarrolla soluciones para la industria de medios de pago (PCI) desde 2003 Sistemas integrales de procesamiento de tarjetas (crédito, débito, prepago) Sistemas de prevención

Más detalles

LA SEGURIDAD EN INTERNET RESUMEN

LA SEGURIDAD EN INTERNET RESUMEN CENTRO DE INVESTIGACIONES Y DESARROLLO FACULTAD DE INGENIERÍA LA SEGURIDAD EN INTERNET La seguridad en la Red todavía está lejos de ser total. Los Firewalls una esperanza en seguridad informática. Los

Más detalles

Especificaciones Técnicas para Ethical Hacking

Especificaciones Técnicas para Ethical Hacking Especificaciones Técnicas para Ethical Hacking OBJETIVO PRINCIPAL El BANCO DEL ESTADO, requiere efectuar un estudio de Ethical Hacking sobre su infraestructura, que permita identificar y corregir las vulnerabilidades

Más detalles

Anexo 1: Enseñanzas no oficiales a extinguir: Máster en Seguridad Informática por la UOC

Anexo 1: Enseñanzas no oficiales a extinguir: Máster en Seguridad Informática por la UOC Anexo 1: Enseñanzas no oficiales a extinguir: Máster en Seguridad Informática por la UOC A1.1. Introducción al programa La sociedad de la información y las nuevas tecnologías de comunicación plantean la

Más detalles

EEHC. Enhacke Ethical Hacking Certification

EEHC. Enhacke Ethical Hacking Certification EEHC Enhacke Ethical Hacking Certification Curso de Certificación de Hacking Ético ENHACKE S.A.C. Año 2010 ENHACKE ETHICAL HACKING CERTIFICATION EEHC INTRODUCCION El curso EEHC provee el conocimiento necesario

Más detalles

ASIGNATURA DE GRADO: SEGURIDAD

ASIGNATURA DE GRADO: SEGURIDAD ASIGNATURA DE GRADO: SEGURIDAD Curso 2014/2015 (Código:71013124) 1.PRESENTACIÓN DE LA ASIGNATURA Esta guía presenta las orientaciones básicas que requiere el alumno para el estudio de la asignatura de

Más detalles

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad SI-0015/06 Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre Pedro Sánchez Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR ISO 27001:2013

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR ISO 27001:2013 EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR :2013 PRESENTACIÓN De acuerdo a las circunstancias y el ambiente diario que se vive hoy en día en nuestro país y en muchos otros lugares del mundo,

Más detalles

Entorno de Programación Visual Studio 6

Entorno de Programación Visual Studio 6 Entorno de Programación Visual Studio 6 Pedro Corcuera Dpto. Matemática Aplicada y Ciencias de la Computación Universidad de Cantabria corcuerp@unican.es Programación en C 1 Proceso de Programación Edición

Más detalles

PRÁCTICA B2. Definición y modificación de datos en SQL

PRÁCTICA B2. Definición y modificación de datos en SQL 3º Ingeniero Técnico en Informática de Sistemas Facultad de Informática Asignatura: Fundamentos de Bases de Datos Curso: 2007/08 PRÁCTICA B2. Definición y modificación de datos en SQL Objetivos Construir

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA matedi 2014. TITULO 1 ÍNDICE 1. ANTECEDENTES. 2.CONSULTORÍA. 3. VALORACIÓN. 4. RESUMEN. matedi 2015. 2 1. ANTECEDENTES. Las empresas llevan a cabo una serie

Más detalles

Ethical Hacking & Countermeasures. Certified Ethical Hacker (CEH) v8

Ethical Hacking & Countermeasures. Certified Ethical Hacker (CEH) v8 Ethical Hacking & Countermeasures. Ethical Hacking & Countermeasures Descripción En un entorno tecnológico en el que la seguridad es un aspecto cada vez más importante, es necesario que las empresas sean

Más detalles

Capítulo 5: PRUEBAS.

Capítulo 5: PRUEBAS. Capítulo 5: PRUEBAS. 5.1 Objetivos de las pruebas. Objetivos de las pruebas. Hoy en día el tema de la seguridad en software ya no resulta nada nuevo, en los inicios los desarrolladores de software no procuraban

Más detalles

XITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO

XITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO Auditorias de seguridad en TI Presentación del servicio Agenda: 1. Qué es una auditoria de Seguridad? 2. Metodología de Implementación 3. Ejemplos de entregables 4. Porqué es necesaria? 5. Beneficios Qué

Más detalles

Fuzzing y seguridad. José Miguel Esparza Muñoz Security Researcher S21sec labs. 10 de agosto de 2007

Fuzzing y seguridad. José Miguel Esparza Muñoz Security Researcher S21sec labs. 10 de agosto de 2007 Fuzzing y seguridad José Miguel Esparza Muñoz Security Researcher S21sec labs 10 de agosto de 2007 Resumen Con este artículo se pretende dar las nociones básicas para el acercamiento del lector a una de

Más detalles

Mesografía y Bibliografía.

Mesografía y Bibliografía. Mesografía y Bibliografía. Capítulo 1. [1]- ROJAS Nava, Leticia. Arquitectura de seguridad perimetral y en sitio para sistemas Unix Caso: Unidad de Servicios de Cómputo Académico de la Facultad de Ingeniería.

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

Seguridad en Redes Introducción al Ethical Hacking

Seguridad en Redes Introducción al Ethical Hacking Seguridad en Redes Introducción al Ethical Hacking Félix Molina Ángel molina@uagro.mx Objetivo: Fomentar la importancia de asegurar los recursos informáticos para evitar el acceso no autorizado. Agenda

Más detalles

Developing Security for you. Ing. Camilo Fernández Consultor en Seguridad Informática

Developing Security for you. Ing. Camilo Fernández Consultor en Seguridad Informática Developing Security for you. Ing. Camilo Fernández Consultor en Seguridad Informática CISA, CISSP, CEPT, CEH, ISO27001 Lead Auditor, MCSE: Security, CHFI, Security+ Introducción Por que necesitamos seguridad?

Más detalles

Tendencias generales

Tendencias generales Tendencias generales Globalización La cadena de valor se amplia e integra Creciente competencia Mercados más complejos y comunicados Hay un incremento acelerado del trabajo en colaboración El negocio depende

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Servicio de Salud de Castilla-La Mancha

Servicio de Salud de Castilla-La Mancha Servicio de Salud de Castilla-La Mancha II CURSO DE PATOLÓGIA DIGITAL Ciudad Real, 29-30 de noviembre de 2012 Conceptos básicos de seguridad y lenguaje informático Podemos entenderlo? Servicio de Salud

Más detalles

Pruebas de Intrusión de Aplicación

Pruebas de Intrusión de Aplicación Pruebas de Intrusión de Aplicación Enero 23, 2013 Esteban O. Farao Information Security Director CISSP, CISA, CRISC, PCIP, PCI-QSA, PCI-ASV Enterprise Risk Management, Inc. Agenda Que significa Pruebas

Más detalles

INTRODUCCIon al ethical hacking. Objetivo: Utilizar las herramientas bssicas para la evaluacion de vulnerabilidades y auditoria de redes.

INTRODUCCIon al ethical hacking. Objetivo: Utilizar las herramientas bssicas para la evaluacion de vulnerabilidades y auditoria de redes. INTRODUCCIon al ethical hacking Objetivo: Utilizar las herramientas bssicas para la evaluacion de vulnerabilidades y auditoria de redes. Felix Molina angel molina@uagro. mx Agenda Conceptos basicos de

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

RECOMENDACIONES DE SEGURIDAD PARA LA REALIZACIÓN DE OPERACIONES FINANCIERAS. Superintendencia Financiera de Colombia

RECOMENDACIONES DE SEGURIDAD PARA LA REALIZACIÓN DE OPERACIONES FINANCIERAS. Superintendencia Financiera de Colombia RECOMENDACIONES DE SEGURIDAD PARA LA REALIZACIÓN DE OPERACIONES FINANCIERAS Superintendencia Financiera de Colombia Bogotá, octubre 2011 Recomendaciones generales No acepte la ayuda de extraños para realizar

Más detalles

Mejores prácticas en las pruebas de aplicaciones móviles

Mejores prácticas en las pruebas de aplicaciones móviles Diciembre 2013 Santiago Díaz Responsable técnico en el Centro experto en movilidad de atsistemas En este artículo: Introducción Tests en dispositivos o en simuladores Tipos de pruebas Pruebas funcionales

Más detalles

Requerimientos de seguridad y calidad en el manejo de. de distribución n de productos y Servicios Financieros. Conferencista: Pablo A. Malagón n T.

Requerimientos de seguridad y calidad en el manejo de. de distribución n de productos y Servicios Financieros. Conferencista: Pablo A. Malagón n T. Requerimientos de seguridad y calidad en el manejo de información n a través s de canales de distribución n de productos y Servicios Financieros (Proyecto de Circular Junio 2007) Conferencista: Pablo A.

Más detalles

CENTRALIZACIÓN DE REGISTROS DE EVENTOS

CENTRALIZACIÓN DE REGISTROS DE EVENTOS CENTRALIZACIÓN DE REGISTROS DE EVENTOS Pontificia Universidad Javeriana Carrera de Ingeniería de Sistemas Bogotá, Colombia 2007 CENTRALIZACIÓN DE REGISTROS DE EVENTOS Diana Carolina Niño Mejía Alejandro

Más detalles

Solución de una Intranet bajo software Open Source para el Gobierno Municipal del Cantón Bolívar [IOS-GMCB] Gobierno Municipal del Cantón Bolívar

Solución de una Intranet bajo software Open Source para el Gobierno Municipal del Cantón Bolívar [IOS-GMCB] Gobierno Municipal del Cantón Bolívar Gobierno Municipal del Cantón Bolívar Solución de una Intranet bajo software Open Source para el Gobierno Municipal del Cantón Bolívar [IOS-GMCB] Plan de Pruebas Universidad Técnica del Norte Histórico

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

Sistemas de Información Administrativo - Universidad Diego Portales. Cátedra : Sistemas de Información Administrativa S.I.A.

Sistemas de Información Administrativo - Universidad Diego Portales. Cátedra : Sistemas de Información Administrativa S.I.A. Cátedra : Sistemas de Información Administrativa S.I.A. Escuela de Contadores Auditores Tema: Ingeniería del Software Estrategias de Pruebas Relator: Sr. Eduardo Leyton G Pruebas del Software (Basado en

Más detalles

[CASI v.0110] Pág. 1

[CASI v.0110] Pág. 1 I. DATOS INFORMATIVOS II. SUMILLA Carrera Especialidad Curso Código : T-INF105 Ciclo : Segundo Requisitos : Ninguno Duración : 12 Semanas Horas Semana : 06 horas Versión : v.0110 : COMPUTACIÓN E INFORMATICA

Más detalles

SIA Preventivo: Tips financieros para Navidad y la temporada de fin de año

SIA Preventivo: Tips financieros para Navidad y la temporada de fin de año SIA Preventivo: Tips financieros para Navidad y la temporada de fin de año debe tener en cuenta para la temporada que se aproxima, la más crítica en materia de seguridad durante el año. Recomendaciones

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles

Técnicas Avanzadas de Testing Automático

Técnicas Avanzadas de Testing Automático Técnicas Avanzadas de Testing Automático Marcelo Frias ITBA - Buenos Aires, Argentina CONICET Preliminares: Calidad Validación y Verificación Especificaciones y V&V Análisis estático y dinámico Inspecciones

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Universidad Tecnológica del Chocó Diego Luís Córdoba Nit. 891680089-4

Universidad Tecnológica del Chocó Diego Luís Córdoba Nit. 891680089-4 DIPLOMADO DE PROFUNDIZACIÓN EN SEGURIDAD INFORMATICA Y AUDITORIA Dirigido a: Personas que se desempeñen en el área de seguridad, auditoria o con Conocimientos en informática, bases de datos y redes de

Más detalles

SSTQB. Nivel Fundamentos. Examen ejemplo. Programa de estudios 2010

SSTQB. Nivel Fundamentos. Examen ejemplo. Programa de estudios 2010 SSTQB Nivel Fundamentos Examen ejemplo Página 1 de 12 Fecha publicación: 28 - octubre - 2015 Índice Preguntas... 3 Respuestas... 12 Página 2 de 12 Fecha publicación: 28 - octubre - 2015 Preguntas 1 2 Una

Más detalles

Diseño de una aplicación informática, con soporte CAD, para cálculo de uniones en estructura metálica.

Diseño de una aplicación informática, con soporte CAD, para cálculo de uniones en estructura metálica. Titulación: INGENIERÍA INDUSTRIAL Alumno: RICARDO PERALTA PÉREZ Título PFC: Diseño de una aplicación informática, con soporte CAD, para cálculo de uniones en estructura metálica. Director del PFC: DAVID

Más detalles

Webinar Gratuito Hacking Ético

Webinar Gratuito Hacking Ético Webinar Gratuito Hacking Ético V. 2 Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 30 de Octubre

Más detalles

Ataques a Bases de Datos Webinar Gratuito

Ataques a Bases de Datos Webinar Gratuito Ataques a Bases de Datos Webinar Gratuito Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 2

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Desarrollo de una Aplicación Móvil para Revisar

Desarrollo de una Aplicación Móvil para Revisar Desarrollo de una Aplicación Móvil para Revisar Horarios de Atención de Tutores de la UNAD Development of a Movil Application for Check Over Office Hours of Tutors of the Unad Correa Rodríguez Arellys

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

TALLER MANUEL ARROYAVE HENAO PRESENTADO A:

TALLER MANUEL ARROYAVE HENAO PRESENTADO A: TALLER DESCUBRIENDO OTRAS HERRAMIENTAS DE SW AUDITORIA MANUEL ARROYAVE HENAO JHON FREDY GIRALDO PRESENTADO A: CARLOS HERNAN GÓMEZ INGENIERO DE SISTEMAS UNIVERSIDAD DE CALDAS FACULTAD DE INGENIRIAS INGENIERIA

Más detalles

Qué es la Auditoria en Sistemas de Información?

Qué es la Auditoria en Sistemas de Información? Qué es la Auditoria en Sistemas de Información? Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la administración informática de una organización, con el fin de emitir

Más detalles

Acueductospr.com TÉRMINOS DE USO

Acueductospr.com TÉRMINOS DE USO Autoridad de Acueductos y Alcantarillados de Puerto Rico Estado Libre Asociado de Puerto Rico Acueductospr.com TÉRMINOS DE USO Introducción Gracias por visitar www.acueductospr.com, el Portal electrónico

Más detalles

Experiencias en Análisis Forense Informático

Experiencias en Análisis Forense Informático Experiencias en Análisis Forense Informático Lic. Julio C. Ardita jardita@cybsec.com CYBSEC S.A. Security Systems Agenda - Incidentes de seguridad informática - Metodologías aplicadas - Análisis Forense

Más detalles

INFORME PREVIO DE EVALUACIÓN DE SOFTWARE N EI-007-2007

INFORME PREVIO DE EVALUACIÓN DE SOFTWARE N EI-007-2007 INFORME PREVIO DE EVALUACIÓN DE SOFTWARE N EI-007-2007 1. NOMBRE DEL ÁREA División de Sistemas de Información 2. RESPONSABLE DE LA EVALUACIÓN Luis Antonio Manya Aqquehua 3. CARGO Jefe de Sistemas de Información

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB

SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB SWAT BROCHURE SEGURIDAD EN APLICACIONES WEB La seguridad en aplicaciones web ha sido hasta ahora un gran reto para las empresas, ya que hay muy pocas soluciones eficaces disponibles en el mercado. La primera

Más detalles

Bases de Datos / Elementos de Bases de Datos 2011. Que es un Stored Procedure? Stored Procedures: Ventajas

Bases de Datos / Elementos de Bases de Datos 2011. Que es un Stored Procedure? Stored Procedures: Ventajas Bases de Datos / Elementos de Bases de Datos 2011 Stored Procedures, Triggers y Transacciones en MySQL Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 1 Que es un Stored

Más detalles

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Web Application: Security Tips Hernán M. Racciatti hracciatti@siclabs.com SICLABS Acerca del Autor Analista

Más detalles

MASTER EN HACKING ÉTICO

MASTER EN HACKING ÉTICO MASTER EN HACKING ÉTICO Máster Hacking Ético Titulación Universitaria 1. Descripción: IDO Business School (Iberoamericana de Desarrollo Organizacional), en colaboración con la Universidad Internacional

Más detalles

Mapa de Riesgos Fraude y Corrupción

Mapa de Riesgos Fraude y Corrupción Mapa de s Fraude y Corrupción Cód. Evento Causa Evaluación y Control RECON11 RECON12 RECON15 RESPR10 Falta de objetividad y/o imparcialidad y/o veracidad en los Conflictos de interés, presión o amenazas

Más detalles

PRUEBAS, CALIDAD Y MANTENIMIENTO DEL SOFTWARE

PRUEBAS, CALIDAD Y MANTENIMIENTO DEL SOFTWARE VI PRUEBAS, CALIDAD Y MANTENIMIENTO DEL SOFTWARE 6.1 PRUEBAS DEL SOFTWARE Una vez generado el código el software debe ser probado para descubrir el máximo de errores posibles antes de su entrega al cliente.

Más detalles

4.4. IMPLEMENTACION DE SISTEMAS

4.4. IMPLEMENTACION DE SISTEMAS 4.4. IMPLEMENTACION DE SISTEMAS DEFINICION: - Todas las actividades necesarias para convertir el sistema anterior al nuevo sistema - Proceso que asegura la operatividad del sistema de información y que

Más detalles

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E INFORMÁTICA ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E INFORMÁTICA SQL Y MODELAMIENTO DE DATOS SQL SERVER 2012 I.- PRESENTACIÓN: El Curso está dirigido a estudiantes de la carrera profesional de Ingeniería de

Más detalles

SEÑORES Y SEÑORAS, Gracias por considerar antispameurope. Oliver Dehning y Daniel Hofmann

SEÑORES Y SEÑORAS, Gracias por considerar antispameurope. Oliver Dehning y Daniel Hofmann SOLO CORREO BUENO SEÑORES Y SEÑORAS, Phishing Virus Clean Mail DoS Attack Trojan Horse Malware 02 Gracias por considerar antispameurope. Gracias por considerar antispameurope. Déjenos decirle que tenemos

Más detalles