Cómo proteger las API contra ataques y robos con CA Layer 7

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Cómo proteger las API contra ataques y robos con CA Layer 7"

Transcripción

1 REPORTE OFICIAL Febrero de 2014 Cómo proteger las API contra ataques y robos con CA Layer 7 Lo que debe saber para proteger las aplicaciones de la empresa para dispositivos móviles, la nube y la Web abierta

2 2 Reporte oficial: Cómo proteger las API contra ataques y robos con CA Layer 7 Tabla de contenidos Introducción 3 Nueva tecnología, viejas amenazas 3 Tres categorías de riesgos amplias 5 1. Riesgos de parámetros 5 2. Riesgos de identidades y sesiones 6 3. Riesgos de intermediarios 7 Orientación para la mitigación 8 1. Validar parámetros 8 2. Aplicar detección de amenazas 8 3. Activar SSL en todos lados 9 4. Separar identidades 9 5. Utilizar soluciones probadas 9 Arquitecturas de API seguras 10 Conclusiones 11 Contáctese con CA Technologies 12

3 3 Reporte oficial: Cómo proteger las API contra ataques y robos con CA Layer 7 Introducción La interfaz de programación de aplicaciones (API) es una tecnología emergente para la integración de aplicaciones mediante tecnología web. Este enfoque está creciendo en popularidad, debido a que se basa en técnicas bien comprendidas y aprovecha algunas infraestructuras existentes. Sin embargo, es un error pensar que podemos proteger las API con los mismos métodos y tecnologías que usamos para proteger la Web convencional centrada en el navegador. Si bien es verdad que las API comparten muchas de las mismas amenazas que invaden la Web, las API son fundamentalmente diferentes de los sitios web y tienen un perfil de riesgo único que se debe abordar. En este reporte oficial, se examinan los vectores de amenazas tradicionales que se trasladan desde la Web convencional, además de una nueva clase de riesgo que proviene de las diferencias fundamentales entre las API y los sitios web. Afortunadamente, existen soluciones disponibles para contrarrestar ambos vectores de manera simultánea. Al adoptar una arquitectura de API segura desde el principio, las organizaciones pueden seguir estrategias de API de forma segura, y beneficiarse de la integración ágil prometida por esta nueva e interesante tecnología. Nueva tecnología, viejas amenazas Las API pueden representar una tecnología relativamente nueva, pero son susceptibles a muchos de los mismos riesgos que invadieron la computación desde los comienzos de Internet. La inyección de SQL, por ejemplo, tiene sus orígenes en el comienzo de la programación de cliente/servidor. Se espera que, a esta altura, los desarrolladores estén bien familiarizados con las medidas correctivas para lidiar con un ataque desarrollado de dicha magnitud. Pero la inyección de SQL migró fácilmente en aplicaciones web y está ahora resurgiendo a medida que más organizaciones publican API de Internet y vinculadas directamente a las infraestructuras de aplicaciones. Las API son ventanas a las aplicaciones y, como con cualquier ventana, una API puede utilizarse fácilmente de forma incorrecta. Las API bien diseñadas tiene la cualidad de autodescripción. Un buen desarrollador debe poder intuir cómo utilizar una API simplemente inspeccionando su URL, los parámetros de entrada y cualquier contenido de retorno. Sin embargo, esta misma claridad a menudo expone la implementación subyacente de una aplicación (detalles que de lo contrario quedarían ocultos por capas de funcionalidades de aplicaciones web). La transparencia que una API proporciona en una estructura interna de una aplicación a menudo ofrece a piratas informáticos pistas peligrosas que pueden llevar a vectores de ataque que quizá, de otro modo, puedan pasar por alto. Las API no solo colocan las aplicaciones bajo el microscopio del pirata informático, sino que también generan una mayor posibilidad de que haya un control corrupto al aumentar la superficie de ataque en las aplicaciones cliente. Las API ofrecen a los desarrolladores del lado del cliente, tanto desarrolladores legítimos como posibles crackers de sistemas, un acceso mucho más detallado a una aplicación que una aplicación web típica. Esto se debe a que el límite de especificidad para las llamadas a niveles de back-end se mueve de niveles internos relativamente seguros (aquellos que residen seguros en una DMZ) hasta la aplicación cliente que reside en Internet. Esto se muestra en la ilustración 1.

4 4 Reporte oficial: Cómo proteger las API contra ataques y robos con CA Layer 7 Una aplicación web típica consolida operaciones detalladas, como llamadas a un nivel de datos, detrás de simples páginas web. En la Web tradicional orientada a HTML, las interacciones se limitaban a interacciones básicas. Esto redujo el rango de posibles interacciones y, al hacerlo, redujo la exposición general, particularmente si la aplicación depuraba sus entradas de manera adecuada. Por su parte, las API mueven este límite de especificidad a la aplicación cliente en sí. Esto ofrece a un pirata informático considerablemente más lugares para explotar. En lugar de tener una sola forma simple funcionando como proxy para muchas llamadas internas a recursos de back-end, una aplicación impulsada por API puede realizar todas estas llamadas individualmente y cualquiera de estas puede exponer vulnerabilidades. Este crecimiento en la superficie de ataque incrementa el riesgo que una organización debe administrar a medida que publica API en la gran Internet. Ilustración 1. Las API trasladan el límite de especificidad de la función al cliente, lo que proporciona al pirata informático una superficie de ataque mucho más amplia con la que puede trabajar. Límite de granularidad Las API aumentan la superficie de ataque Servidor HTTP Cliente web Servidor de aplicaciones Base de datos Servidor de aplicaciones Base de datos Límite de granularidad Aplicación Servidor HTTP

5 5 Reporte oficial: Cómo proteger las API contra ataques y robos con CA Layer 7 Tres categorías de riesgos amplias Es fácil desalentarse por el rango de posibles ataques contra las API. Dado que cada API es única, cada instancia conlleva un riesgo único según su implementación subyacente. Esto parece convertir la seguridad de las API en una tarea imposible. Afortunadamente, la mayoría de los ataques individuales contra las API caen en una de tres amplias categorías: 1. Parámetros: los ataques de parámetros explotan los datos enviados en una API, incluida la URL, los parámetros de consulta, los encabezados HTTP y el contenido de publicación. 2. Identidad: los ataques de identidad explotan las fallas en la autenticación, la autorización y el seguimiento de sesiones. En particular, muchos de estos ataques generan la migración de malas prácticas de la Web al desarrollo de API. 3. Intermediario: estos ataques interceptan transacciones legítimas y explotan datos no firmados o no cifrados. Pueden revelar información confidencial (como datos personales), alterar una transacción en vuelo o incluso reproducir transacciones legítimas. Una vez que comprendemos estas amplias categorías, podemos comenzar a diseñar una estrategia de migración eficaz contra los ataques a las API. Una estrategia de seguridad de API eficaz debe proteger incluso contra vectores de ataque futuros no previstos. Cada una de las tres categorías de ataque se describe en detalle a continuación. 1. Riesgos de parámetros El ataque de parámetros clásico, como ya se observó, es la inyección de SQL. Los parámetros diseñados para cargar entradas legítimas en una consulta a la base de datos pueden a menudo ser manipulados para cambiar radicalmente el objetivo de una plantilla SQL subyacente 1. La inserción de script aprovecha los sistemas que finalmente interpretan el contenido enviado como un script. El clásico ejemplo es un fragmento de código de JavaScript enviado en una publicación en un foro web. Si esto no se intercepta en el ingreso (y por suerte casi todos los foros ahora detectan tales ataques), cualquier usuario posterior que lea la publicación experimentará la ejecución del script en su navegador, que posiblemente robará los token de sesión u otra información importante. Pero la inyección de script también puede ocurrir del lado del servidor, donde las aplicaciones mal diseñadas evalúan los datos enviados por el usuario y responden al script encapsulado. Los ataques fuera del límite o de sobrecarga del búfer también son riesgos de parámetros. Estos ataques intentan explotar un sistema ofreciéndole datos fuera del rango o tipo esperado, lo que puede generar fallas en el sistema u ofrecer acceso al espacio en la memoria. Este es el clásico ataque contra programas en C que fue tan popular en la década de los 90, pero que aún existe. Los ataques de parámetros se generan debido a que los desarrolladores no restringen cuidadosamente las entradas a una pequeña gama de tipos previstos. Las API son particularmente susceptibles a estos ataques porque su característica de autodocumentación a menudo proporciona a los piratas informáticos las perspectivas de cómo un sistema subyacente utiliza un parámetro. A diferencia de las aplicaciones web, donde el uso final de un parámetro generalmente se oculta o incluso se esconde por completo detrás de una apariencia HTML, las API pueden identificar con claridad el significado subyacente de un parámetro. Esto es muy común si la API se genera de manera automática a partir de un código de aplicación subyacente, ya que los nombres internos significativos se asignan por lo general directamente a parámetros de API externos.

6 6 Reporte oficial: Cómo proteger las API contra ataques y robos con CA Layer 7 2. Riesgos de identidades y sesiones Los piratas informáticos han utilizado durante mucho tiempo credenciales falsificadas o robadas para explotar aplicaciones en Internet. En este sentido, las API simplemente proporcionan otra vía para aplicar los mismos ataques. Pero las API también abren vectores de ataque únicos que utilizan identidades. Una cantidad de estos ataques explotan malas prácticas comunes que se originan en la comunidad de desarrollo de aplicaciones web. A medida que los desarrolladores web se trasladan al desarrollo de API, a menudo acarrean malos hábitos de la Web convencional. Otros ataques surgen de una extensa confusión sobre cómo las API difieren del desarrollo de aplicaciones web tradicional. Muchas aplicaciones que publican API requieren que los clientes utilicen una clave API para obtener acceso a su funcionalidad. Sin embargo, el nombre "clave API" es un tanto inexacto, ya que implica que la clave es exclusiva de una API específica. De hecho, una clave API se asocia con una aplicación del lado del cliente y se puede aplicar en toda una gama de llamadas de API diferentes que una aplicación puede realizar. Generalmente, la clave API es un identificador no visible enviado a un desarrollador e incorporado dentro de su aplicación. Por lo tanto, identifica una aplicación determinada, pero no una instancia específica de una aplicación, ya que esta clave es común en cada copia de la aplicación. Parece sencillo, pero, en la práctica, las claves API son el origen de una gran confusión. Esta confusión es la fuente de un nuevo vector de ataque a las API. Una clave API no identifica un usuario ni tampoco una instancia única de una aplicación. Además, las claves API no son fidedignas, ya que la clave en sí se oculta, por lo general, en un código compilado y está sujeta a la extracción por parte de cualquier desarrollador capacitado. (La reutilización de claves API de aplicaciones existentes es un truco común del desarrollador para tratar con administradores de API, como Twitter, que restringen la distribución de nuevas claves). Las claves API nunca deben sustituir las credenciales de usuarios cuando se autoriza el acceso a las API. Una clave API se debe tratar como un mecanismo de seguimiento no fidedigno para proporcionar métricas operativas básicas (como una carga relativa proveniente de diferente aplicaciones). No debe ser la base de la auditoría, ya que puede generar la solicitud de reintegros, simplemente porque no es confiable para manejarse de forma segura del lado del cliente, como una contraseña. Es sencillamente demasiado fácil falsificar una clave API, de modo que no se puede confiar en esta para auditorías importantes. Lamentablemente, demasiadas aplicaciones utilizan las claves API sin cuidado, como si fueran secretos compartidos almacenados de forma segura. Esta informalidad proporciona a los piratas informáticos un nuevo vector de ataque simple para explotar. Si el modelo de seguridad de una aplicación asume que una clave API es única para un usuario o es una prueba segura y fidedigna de una aplicación cliente particular, la aplicación de servidor es vulnerable al uso incorrecto. La administración de sesiones es otra área de considerable confusión en la comunidad de API. Los desarrolladores que provienen del mundo de aplicaciones web detestan incluir credenciales formales en cada transacción, ya que esto no es algo que se consideraría nunca en un sitio web convencional. En la Web normal, los navegadores mantienen sesiones con cookies u otros ID de sesión no visibles. Lamentablemente, las API rara vez adoptan un enfoque consistente para la administración de sesiones, lo que deja a los desarrolladores crear uno propio, a veces de dudosa calidad. Posiblemente, OAuth llena este vacío y es el enfoque preferido para el desarrollo de API. Sin embargo, OAuth es difícil de aplicar bien y aún confía en la protección de claves críticas como token de acceso y token de actualización en el cliente y en tránsito. Es una tecnología prometedora, pero la aplicación de OAuth sigue siendo un gran desafío. La configuración y aplicación incorrectas son problemas comunes que aumentan el riesgo de las API.

7 7 Reporte oficial: Cómo proteger las API contra ataques y robos con CA Layer 7 3. Riesgos de ataques intermediarios Las API están sujetas a un mayor riesgo de ataques intermediarios cuando la transmisión no se cifra ni firma o cuando hay un problema con la configuración de una sesión segura. Si una API no utiliza de manera correcta el estándar SSL/TLS, todas las solicitudes y respuestas entre un cliente y el servidor API pueden verse posiblemente comprometidas. Las transmisiones pueden alterarse en tránsito o reproducirse. Se pueden capturar datos confidenciales (como información personalmente identificable, identificadores de sesión, etc.) Incluso esas API que utilizan el estándar SSL/TLS están en riesgo si esto se configura de manera inadecuada en el lado del servidor, si el servidor está sujeto a ataques de degradación en cifras o si el cliente no está validando de manera adecuada la sesión segura (como una validación de certificado total, cadenas de confianza, confiabilidad de autoridades de certificación sospechosas o comprometidas, etc.). Una parte de este riesgo es el resultado de problemas culturales persistentes. En el mundo de aplicaciones web, el estándar SSL usualmente solo se utiliza en algunas transacciones "importantes", como el envío de tarjetas de crédito o contraseñas. Por cierto, estos datos necesitan protección, como también la necesitan las claves de sesión que acompañan otras transacciones comunes después de un inicio de sesión inicial. Herramientas como Firesheep, que interceptan fácilmente las cookies en transmisiones web no cifradas, ilustran drásticamente los riesgos asociados con este enfoque. Esta práctica es, en gran medida, histórica y proviene de la etapa cuando SSL era informáticamente costoso para utilizar en servidores. Sin embargo, Google demostró de forma persuasiva que, en servidores contemporáneos, la carga informática adicional que surge de SSL es básicamente insignificante. A pesar de esto, muchos desarrolladores dejan las API abiertas y desprotegidas solo por falta de hábito. De hecho, la versión original de OAuth incluyó firmas aplicadas en parámetros de consulta como una forma de garantizar la integridad en transacciones. OAuth 1.0a utilizó estas firmas para la protección contra los ataques de intermediarios que pueden alterar parámetros en vuelo o robar un token de acceso para utilizar en otras transacciones. Esto fue un pequeño avance en la dirección correcta, ya que reconoció que existe un riesgo, pero solo lo mitigó por un subconjunto de posibles ataques a las API (por ejemplo, ignora problemas de confidencialidad completamente). En práctica, les resultó muy difícil a los desarrolladores aplicar firmas de forma consistente en OAuth. La versión dos de la especificación hizo optativas las firmas en reconocimiento a esta complejidad, en lugar de requerir el uso de TLS/SSL para proteger los token portadores. Como consecuencia de este cambio, la nueva solución abordó problemas de confidencialidad. Sin embargo, esta solución aún asume que SSL/TLS se debe configurar correctamente, y esto es algo decisivamente más complejo que solo agregar "s" a http en una URL de API.

8 8 Reporte oficial: Cómo proteger las API contra ataques y robos con CA Layer 7 Orientación para la mitigación Si bien las API son susceptibles a una amplia gama de ataques, la aplicación de solo cinco estrategias simples de mitigación permitirá a una organización publicar API de forma segura. Cree una lista blanca breve de contenido válido 1. Validar parámetros La única defensa más eficaz contra los ataques de inyección es validar todos los datos entrantes con una lista blanca de valores esperados. El enfoque más práctico para esto es aplicar una validación con esquemas a todos los datos entrantes con un modelo de datos altamente restrictivo. La validación con esquemas debe ser lo más restrictiva posible y se debe utilizar la escritura, los rangos y los conjuntos cada vez que sea posible. Lamentablemente, los esquemas producidos de manera automática por muchas herramientas de implementación a menudo reducen todos los parámetros a simples cadenas y no son eficaces para la identificación de posibles amenazas. Se prefieren mucho más los esquemas manuales, ya que los desarrolladores pueden limitar mejor las entradas, según su comprensión de qué datos espera la aplicación. Los datos estructurados publicados se deben validar con un lenguaje de esquema formal. El contenido XML tiene la ventaja de un lenguaje de esquema XML muy expresivo que es altamente eficaz para la creación de estructura y modelos de contenido restringido. Sin embargo, las aplicaciones pueden validar el contenido basado en JSON con un lenguaje de esquema JSON emergente. Esta tecnología puede no ser tan buena como el esquema XML pero, como JSON, el lenguaje del esquema es mucho más simple de componer y comprender que XML, lo que aporta a los desarrolladores una ventaja decidida. Los parámetros de consulta generalmente se correlacionan con tipos más simples y pueden, por lo tanto, validarse con modelos textuales simples. Las expresiones regulares son un enfoque excelente para crear un esquema de parámetros de consulta muy restringido, pero ampliamente comprendido. Incluya explícitamente posibles amenazas en la lista negra 2. Aplicar detección de amenazas La detección de amenazas suele ser un ejercicio en la ubicación en la lista negra del contenido riesgoso, como declaraciones SQL o etiquetas SCRIPT. El desafío es aplicar esto eficazmente. Es fácil analizar los datos entrantes para textos como SELECT. Sin embargo, es mucho más difícil evitar falsos positivos cuando esta secuencia de caracteres se produce legítimamente. Es importante poder ajustar el análisis de seguridad adecuadamente para la API en cuestión. La detección de virus también se debe considerar en contenido cifrado. El contenido binario publicado posiblemente puede ocultar contenido ejecutable. Las API involucradas en la transferencia de archivos debe decodificar de manera definitiva documentos adjuntos base64 y enviarlos para el análisis de virus de servidor. Muchos proveedores antivirus comerciales ofrecen una solución basada en el servidor con una API simple que cumple con ICAP. Una aplicación debe enviar contenido a esta antes de que persista en cualquier sistema de archivos, donde posiblemente pueda activarse como un virus. Finalmente, recuerde que la complejidad y el tamaño del mensaje pueden en sí mismos ser una amenaza para las API. Los mensajes muy largos, las estructuras de datos anidados o las estructuras de datos demasiado complejas pueden representar ataques de denegación de servicios eficaces contra un servidor de API. Es riesgoso comenzar simplemente el procesamiento de parámetros en una aplicación sin primero validar que el contenido esté dentro de un rango aceptable.

9 9 Reporte oficial: Cómo proteger las API contra ataques y robos con CA Layer 7 SSL es económico, utilícelo 3. Activar SSL en todos lados Haga de SSL/TLS la regla para todas las API. En el siglo XXI, SSL no es un lujo, es un requisito básico. Agregar SSL/TLS, y aplicarlo correctamente, es una defensa eficaz contra el riesgo de ataques intermediarios. SSL/TLS proporciona confidencialidad e integridad en todos los datos intercambiados entre un cliente y un servidor, incluidos los token de acceso importantes como aquellos utilizados en OAuth. Ofrece opcionalmente una autenticación del lado del cliente mediante certificados, que es importante en muchos entornos de alta seguridad. Sin embargo, a pesar de ser mucho más simple que los métodos de seguridad de mensajes, como WS-Security, SSL aún está sujeto a un uso indebido. Es fácil realizar una configuración incorrecta, y la investigación ha demostrado que muchos desarrolladores no validan adecuadamente certificados y confían en las relaciones cuando lo aplican 2. Destine tiempo a auditar la configuración y el uso del lado del servidor y del lado del cliente. Siempre utilice las bibliotecas de OAuth existentes en lugar de diseñar nuevas de cero No escriba sus propias soluciones 4. Separar identidades La identidad del usuario y la identidad de la aplicación son distintas. Los desarrolladores deben reconocer las limitaciones de las credenciales de ID de aplicaciones, como las claves API, y comprender el contexto correcto para utilizarlas. Los desarrolladores del lado del servidor deben separar con claridad las identidades de usuarios y las identidades de API, y posiblemente considerar incluso la autorización basada en un amplio contexto de identidades, que puede incluir todo el conjunto de detalles, como el usuario, la aplicación, el dispositivo (p. ej., un teléfono móvil particular), la ubicación, la hora, etc. OAuth se está convirtiendo rápidamente en el método de autorización aceptado para las API, pero es importante darse cuenta que OAuth sigue siendo una tecnología compleja y confusa. Si bien OAuth, en algunos aspectos, se ha simplificado con su evolución de la versión 1.0a a la versión 2.0, su alcance se ha incrementado drásticamente. Esto creó una gran confusión sobre cómo y cuándo aplicarla. También creó problemas de interoperabilidad significativos. Los desarrolladores deben seguir los casos de uso básicos y de fácil comprensión, y siempre utilizar bibliotecas existentes en lugar de intentar crear una propia. 5. Utilizar soluciones probadas La regla básica de seguridad es: no invente una propia. Las API no son la excepción a esta regla. No hay ningún motivo para crear su propio marco de seguridad de API. Ya existen excelentes soluciones de seguridad para las API, como así también para la Web. El desafío es aplicarlas. Las bibliotecas para la validación de parámetros basada en formularios en aplicaciones web son comunes, de modo que debe tenerlas en cuenta en la arquitectura de API. De un modo similar, hay muchas bibliotecas de OAuth buenas disponibles para los idiomas más comunes. Otro enfoque probado es separar la seguridad de las API de la aplicación que las publica. Esto permite a los desarrolladores de aplicaciones focalizarse completamente en la lógica de la aplicación, mientras un experto en seguridad dedicado se centra en aplicar una política de seguridad de forma consistente en todas las API. Este enfoque se describe en la siguiente sección.

10 10 Reporte oficial: Cómo proteger las API contra ataques y robos con CA Layer 7 Arquitecturas de API seguras La mejor práctica para la arquitectura de seguridad de API es separar la implementación de API y la seguridad de API en distintos niveles. Estos niveles separados enfatizan que el diseño de API y la seguridad de API son roles esencialmente diferentes que requieren un conocimiento diferente. Esta es una separación muy lógica de cuestiones, una que focaliza la experiencia en el problema adecuado, en el momento adecuado. Bajo este modelo, un desarrollador de API puede centrarse completamente en el dominio de una aplicación, garantizando que cada API esté bien diseñada y promueva la integración entre diferentes aplicaciones. Esto libera al desarrollador de la responsabilidad de proteger las API publicadas, ya que de esto se encargará un profesional dedicado en la seguridad de las API. El experto en seguridad de las API es responsable de aplicar una política de seguridad de forma consistente en toda la organización. Su foco está en la identidad, las amenazas y la seguridad de datos, en otras palabras, cada uno de los problemas y amenazas destacados en este documento. Es muy importante otorgar a cualquiera que desempeñe este rol crítico las herramientas adecuadas para el trabajo, ya que necesitará separar la seguridad de la implementación de API en sí. El proxy de API SecureSpan de CA Layer 7 es la herramienta adecuada. Este es un dispositivo reforzado, que se proporciona en forma física o virtual y se implementa generalmente en la DMZ de una organización, como se indica en la ilustración 2 a continuación. Es el proxy seguro entre la aplicación interna y la Internet externa. El proxy de API proporciona al administrador de seguridad de API un control total sobre el control de acceso, la detección de amenazas, la confidencialidad, la integridad y la auditoría en cada API que publica la organización. Ilustración 2. El proxy de API SecureSpan de CA Layer 7 crea una separación de intereses entre el desarrollo de API del lado del servidor y la seguridad en la API. Arquitectura segura de API con proxy de API SecureSpan Puerta de enlace de acceso sencilla Control de accesos Detección de amenazas Confidencialidad e integridad Firewall Administración de auditorías Dispositivos móviles AT&T Nubes, aplicaciones web, etc. Clientes API Servidor de API interno Firewall CA Layer 7 Hardware o dispositivo virtual de proxy de API Integraciones impulsadas por API informales Directorio/ IAM Red empresarial

11 11 Reporte oficial: Cómo proteger las API contra ataques y robos con CA Layer 7 El proxy de API tiene un modelo de seguridad basado en políticas que se diseña fácilmente para adaptarse a los diferentes requisitos de seguridad para cada API. Ofrece políticas centrales que se pueden compartir fácilmente en conjuntos de API para crear una instancia de seguridad básica consistente, además de la capacidad de especializarse en una API por vez para cumplir con las necesidades específicas de una aplicación determinada. También se integra fácilmente con los sistemas de identidades existentes (LDAP, IAM, etc.) y sistemas de monitoreo operativos. El proxy de API proporciona al administrador de seguridad un control total sobre todos los aspectos de la seguridad de las API, como los siguientes: La detección de amenazas, como la inyección de SQL, XSS, CSRF, el tamaño del mensaje, etc. La confidencialidad y la integridad, incluidas las limitaciones en conjuntos de cifras, cifras avanzadas basadas en tecnología, como certificados digitales de ECC, seguridad basada en mensajes, etc. La validación de mensajes, como la validación de esquemas XML y JSON. El soporte de autenticación, como las credenciales básicas, las claves API, OAuth, SAML, OpenID Connect, Kerberos, certificados digitales x509, etc. La integración con los sistemas de administración de identidades y accesos (IAM) más comunes, como LDAP genérico, Microsoft AD, Tivoli Access Manager, Oracle Access Manager, CA/Netegrity, etc. La limitación de la tasa de transferencia y la configuración del tráfico de transacciones con cualquier modelo. La notificación de eventos y la auditoría impulsados por políticas, como la capacidad de capturar eventos según el criterio personalizado e integrarse con una infraestructura de administración y seguridad existente. Conclusiones Se dice que aquellos que no aprenden de la historia están condenados a repetirla. La seguridad de las API parece corroborarlo. En importante reconocer, sin embargo, que las API incorporan nuevas amenazas que se deben abordar. La verdadera perspectiva que debemos tener de la historia es que los desarrolladores de aplicaciones se ocupan de la seguridad al final del proyecto, si se llegan a ocupar, y aceleran la implementación. Este comportamiento es difícil de cambiar. Es hora de adoptar un enfoque diferente. Separar el desarrollo de las API y la implementación de seguridad de las API es la mejor práctica que se debe seguir para crear una estrategia de API segura. El proxy de API SecureSpan de CA Layer 7 proporciona a los administradores de seguridad las herramientas necesarias para proteger las API de una organización.

12 12 Reporte oficial: Cómo proteger las API contra ataques y robos con CA Layer 7 Contáctese con CA Technologies CA Technologies recibe cualquier pregunta, comentario y opinión general. Para obtener más información, contáctese con un representante de CA Technologies o visite Comuníquese con CA Technologies en. Agility Made Possible: la ventaja de CA Technologies CA Technologies (NASDAQ: CA) ofrece soluciones de administración de TI que ayudan a los clientes a administrar y proteger los entornos de TI complejos para permitir la provisión de servicios de negocio ágiles. Las organizaciones aprovechan el software de CA Technologies y las soluciones de SaaS (software como servicio) para acelerar la innovación, transformar la infraestructura y proteger los datos y las identidades, desde el centro de datos hasta la nube. CA Technologies asume el compromiso de garantizar que los clientes obtengan los resultados deseados y el valor de negocio previsto, gracias a la utilización de nuestra tecnología. Para obtener más información sobre los programas para el éxito del cliente, visite /customer-success. Para obtener más información sobre CA Technologies, visite. 1 Mejor ilustrado por XKCD: 2 Para obtener un excelente estudio sobre los problemas comunes en el uso de SSL/TLS del lado del cliente en relación con las API, consulte: edu/~shmat/shmat_ccs12.pdf. Copyright 2014 CA. Todos los derechos reservados. Todas las marcas registradas, los nombres comerciales, las marcas de servicios y los logotipos mencionados en este documento pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo, y CA no se responsabiliza de la exactitud e integridad de la información que en él figura. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación tal cual, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños.

puede aumentar la innovación en la cartera de productos?

puede aumentar la innovación en la cartera de productos? RESUMEN DE LA SOLUCIÓN Soluciones de gestión de proyectos y carteras para la innovación de productos puede aumentar la innovación en la cartera de productos? you can Las soluciones de gestión de productos

Más detalles

Mejores prácticas de Seguridad en Línea

Mejores prácticas de Seguridad en Línea Mejores prácticas de Seguridad en Línea Antecedentes e Introducción El propósito del siguiente documento es para ayudar a su negocio a tomar las medidas necesarias para utilizar las mejores prácticas de

Más detalles

Introducción. Ciclo de vida de los Sistemas de Información. Diseño Conceptual

Introducción. Ciclo de vida de los Sistemas de Información. Diseño Conceptual Introducción Algunas de las personas que trabajan con SGBD relacionales parecen preguntarse porqué deberían preocuparse del diseño de las bases de datos que utilizan. Después de todo, la mayoría de los

Más detalles

RESUMEN DE LA SOLUCIÓN

RESUMEN DE LA SOLUCIÓN RESUMEN DE LA SOLUCIÓN Gestión de infraestructuras convergentes de CA Technologies Cómo puedo ofrecer servicios innovadores a los clientes en una infraestructura cada vez más convergente y compleja con

Más detalles

identidad como el nuevo perímetro: adopción segura de la nube, los dispositivos móviles y las redes sociales agility made possible

identidad como el nuevo perímetro: adopción segura de la nube, los dispositivos móviles y las redes sociales agility made possible identidad como el nuevo perímetro: adopción segura de la nube, los dispositivos móviles y las redes sociales agility made possible Transformación de TI y evolución de identidades Una cantidad de tendencias

Más detalles

Internet Explorer proporciona diversas características que le ayudan a proteger su privacidad y

Internet Explorer proporciona diversas características que le ayudan a proteger su privacidad y INTERNET NIVEL MEDIO DE INTERNET MÁS SOBRE INTERNET OPCIONES DE SEGURIDAD Internet Explorer proporciona diversas características que le ayudan a proteger su privacidad y aumentan la seguridad de su equipo

Más detalles

Inter American Accreditation Cooperation. Grupo de prácticas de auditoría de acreditación Directriz sobre:

Inter American Accreditation Cooperation. Grupo de prácticas de auditoría de acreditación Directriz sobre: Grupo de prácticas de auditoría de acreditación Directriz sobre: Auditando la competencia de los auditores y equipos de auditores de organismos de certificación / registro de Sistemas de Gestión de Calidad

Más detalles

Cómo las herramientas en línea están revolucionando la implementación de ITIL e ISO 20000

Cómo las herramientas en línea están revolucionando la implementación de ITIL e ISO 20000 Cómo las herramientas en línea están revolucionando la implementación de ITIL e ISO 20000 Informe 14 de marzo de 2014 Copyright 2014 20000Academy. Todos los derechos reservados. 1 Resumen ejecutivo Antes

Más detalles

MANTENIMIENTO Y SOPORTE

MANTENIMIENTO Y SOPORTE MANTENIMIENTO Y SOPORTE Copyright 2014 Magalink SA Todos los derechos reservados. Este documento no puede ser reproducido de ninguna manera sin el consentimiento explícito de Magalink S.A. La información

Más detalles

Guía del usuario de DocuShare Email Agent

Guía del usuario de DocuShare Email Agent Guía del usuario de DocuShare Email Agent Fecha de publicación: Febrero de 2011 Este documento cubre DocuShare versión 6.6.1. Preparado por: Xerox Corporation DocuShare Business Unit 3400 Hillview Avenue

Más detalles

Introducción a Visual Studio.Net

Introducción a Visual Studio.Net Introducción a Visual Studio.Net Visual Studio es un conjunto completo de herramientas de desarrollo para la generación de aplicaciones Web ASP.NET, Servicios Web XML, aplicaciones de escritorio y aplicaciones

Más detalles

Sistema de Mensajería Empresarial para generación Masiva de DTE

Sistema de Mensajería Empresarial para generación Masiva de DTE Sistema de Mensajería Empresarial para generación Masiva de DTE TIPO DE DOCUMENTO: OFERTA TÉCNICA Y COMERCIAL VERSIÓN 1.0, 7 de Mayo de 2008 CONTENIDO 1 INTRODUCCIÓN 4 2 DESCRIPCIÓN DE ARQUITECTURA DE

Más detalles

Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema

Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema Objetivo El presente procedimiento tiene como objetivo establecer y describir las tareas a desarrollar para efectuar

Más detalles

PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI

PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI Versión: 1.0 Fecha de la versión: Febrero del 2012 Creado por: PwC Costa Rica Aprobado

Más detalles

Para llegar a conseguir este objetivo hay una serie de líneas a seguir:

Para llegar a conseguir este objetivo hay una serie de líneas a seguir: INTRODUCCIÓN La Gestión de la Calidad Total se puede definir como la gestión integral de la empresa centrada en la calidad. Por lo tanto, el adjetivo total debería aplicarse a la gestión antes que a la

Más detalles

Para tener una visión general de las revistas de estadística, ir a: http://www.statsci.org/jourlist.html

Para tener una visión general de las revistas de estadística, ir a: http://www.statsci.org/jourlist.html 8. Difusión 8.4. Documentos - Métodos La expresión "publicar o perecer" hace referencia a la presión de publicar trabajos constantemente para continuar o sostener una carrera en el sector académico. La

Más detalles

EMPRESAS EN LÍNEA - GUÍA RÁPIDA Para Administradores del Sistema

EMPRESAS EN LÍNEA - GUÍA RÁPIDA Para Administradores del Sistema EMPRESAS EN LÍNEA - GUÍA RÁPIDA Para Administradores del Sistema Introducción En Mercantil Commercebank estamos comprometidos a salvaguardar su identidad en línea con la mejor tecnología disponible. Esta

Más detalles

Manual de usuario para Android de la aplicación PORTAFIRMAS MÓVIL

Manual de usuario para Android de la aplicación PORTAFIRMAS MÓVIL Manual de usuario para Android de la aplicación PORTAFIRMAS MÓVIL Índice 1 Introducción... 5 1.1 Perfil de la aplicación... 5 1.2 Requisitos técnicos... 5 2 Manual de usuario... 7 2.1 Instalación del certificado...

Más detalles

Manual del Profesor Campus Virtual UNIVO

Manual del Profesor Campus Virtual UNIVO Manual del Profesor Campus Virtual UNIVO Versión 2.0 Universidad de Oriente UNIVO Dirección de Educación a Distancia INDICE 1. Campus Virtual. 03 1.1 Accesos al Curso 04 1.2 Interfaz del Curso...06 1.3

Más detalles

Capítulo 6: Conclusiones

Capítulo 6: Conclusiones Capítulo 6: Conclusiones 6.1 Conclusiones generales Sobre el presente trabajo se obtuvieron varias conclusiones sobre la administración del ancho de banda en una red inalámbrica, basadas en la investigación

Más detalles

IDENTIDAD DEL TITULAR DEL SITIO WEB

IDENTIDAD DEL TITULAR DEL SITIO WEB IDENTIDAD DEL TITULAR DEL SITIO WEB El sitio web y red social periodistasdeportivostv.es son de titularidad de TRACOR, S.A., con domicilio en la calle López de Hoyos, 370, 29043 Madrid, con código de identificación

Más detalles

LA REVOLUCIÓN DE LOS SISTEMAS DE INFORMACIÓN (S.I.) Introducción PORQUÉ SISTEMAS DE INFORMACIÓN? El Competitivo Entorno de los Negocios

LA REVOLUCIÓN DE LOS SISTEMAS DE INFORMACIÓN (S.I.) Introducción PORQUÉ SISTEMAS DE INFORMACIÓN? El Competitivo Entorno de los Negocios LA REVOLUCIÓN DE LOS SISTEMAS DE INFORMACIÓN (S.I.) Introducción Tanto empresas grandes como pequeñas usan Sistemas de Información y Redes para realizar una mayor proporción de sus actividades electrónicamente,

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Fecha de la última versión de febrero 2013 1. Datos de registro Cuando te registres en el Servicio Fon, es probable que te pidamos información como tu nombre de usuario, contraseña,

Más detalles

Política de Uso Aceptable para Medios Sociales

Política de Uso Aceptable para Medios Sociales Política de Uso Aceptable para Medios Sociales Introducción Visión Mundial Colombia establece la política relacionada con el uso aceptable de medios sociales para ayudar a todos los miembros de la Red

Más detalles

1. Solicitando una cuenta de correo a nuestro proveedor de Internet. 2. Adquiriendo una cuenta de correo a través de la web (webmail).

1. Solicitando una cuenta de correo a nuestro proveedor de Internet. 2. Adquiriendo una cuenta de correo a través de la web (webmail). CORREO ELECTRÓNICO NIVEL BÁSICO DE CORREO ELECTRÓNICO INICIACIÓN A CORREO ELECTRÓNICO OBTENER UNA CUENTA DE CORREO ELECTRÓNICO GRATUITA Al correo electrónico también se lo conoce como e-mail, abreviatura

Más detalles

CALIDAD TOTAL. Visión estratégica y buena gestión son los ingredientes fundamentales.

CALIDAD TOTAL. Visión estratégica y buena gestión son los ingredientes fundamentales. CALIDAD TOTAL Visión estratégica y buena gestión son los ingredientes fundamentales. ALFREDO SERPELL Ingeniero civil industrial UC Phd University of Texas at Austin.Profesor titular ingeniería y gestión

Más detalles

Política de Privacidad del Grupo Grünenthal

Política de Privacidad del Grupo Grünenthal Política de Privacidad del Grupo Grünenthal Gracias por su interés en la información ofrecida por Grünenthal GmbH y/o sus filiales (en adelante Grünenthal ). Queremos hacerle saber que valoramos su privacidad.

Más detalles

Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández.

Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández. Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández. Con el fin de regular el uso de los recursos informáticos y telemáticos del servicio de correo en

Más detalles

Guía de Usuario. Seguridad Internet. Triara.com SA de CV. Todos los derechos reservados

Guía de Usuario. Seguridad Internet. Triara.com SA de CV. Todos los derechos reservados Guía de Usuario Seguridad Internet Triara.com SA de CV Todos los derechos reservados Esta guía no puede ser reproducido ni distribuida en su totalidad ni en parte, en cualquier forma o por cualquier medio,

Más detalles

Para obtener una cuenta de padre

Para obtener una cuenta de padre Orientación de Calificaciones Portal Padres Temas Principales Características Para obtener una Cuenta de Padres Lineamientos sobre el uso Manejo de la Cuenta Información de apoyo Calificaciones en Portal

Más detalles

I.E.S. AGUADULCE PROGRAMACIÓN DIDÁCTICA. Programación CICLO FORMATIVO DE GRADO SUPERIOR DESARROLLO DE APLICACIONES WEB

I.E.S. AGUADULCE PROGRAMACIÓN DIDÁCTICA. Programación CICLO FORMATIVO DE GRADO SUPERIOR DESARROLLO DE APLICACIONES WEB I.E.S. AGUADULCE PROGRAMACIÓN DIDÁCTICA Programación CICLO FORMATIVO DE GRADO SUPERIOR DESARROLLO DE APLICACIONES WEB PROFESORADO: José Luis Berenguel Gómez DEPARTAMENTO: Informática CURSO ACADÉMICO: 2011/2012

Más detalles

M.T.I. Arturo López Saldiña

M.T.I. Arturo López Saldiña M.T.I. Arturo López Saldiña A medida que crece un negocio, requiere manejar mayor cantidad de información. El éxito de la administración radica en un adecuado manejo de la contabilidad, que proporcione

Más detalles

2. Aceptación de Términos

2. Aceptación de Términos Apreciado Usuario: El sitio WEB de La Imprenta Nacional de tiene como función principal proveer información y servicios, así como promover, divulgar las leyes, normas y decretos del Gobierno Nacional.

Más detalles

Guía de usuario del Administrador CPA BT icomms

Guía de usuario del Administrador CPA BT icomms Guía de usuario del Administrador CPA BT icomms Enero 2015 Contenido Bienvenido... 3 Usuarios... 3 Convenciones de texto... 3 Siglas... 4 Publicaciones relacionadas... 4 Cómo obtener ayuda... 4 Capítulo

Más detalles

GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES

GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES Tema: Cartas de Servicios Primera versión: 2008 Datos de contacto: Evaluación y Calidad. Gobierno de Navarra. evaluacionycalidad@navarra.es

Más detalles

Guía basada en conceptos de usabilidad web

Guía basada en conceptos de usabilidad web Diseño de páginas de internet: Guía basada en conceptos de usabilidad web José Mario Serrano Objetivo. Hacer una revisión de la compatibilidad del sitio y algunos aspectos relacionados a la usabilidad.

Más detalles

Yo soy Darwin Betancourt, de Ecuador, y ayude con esta traducción. Nosotros vamos a dar una visión general del PolarISS WebOS.

Yo soy Darwin Betancourt, de Ecuador, y ayude con esta traducción. Nosotros vamos a dar una visión general del PolarISS WebOS. PolarISS WebOS Nick Vidal (nick@iss.im) Darwin Betancourt (traducción en español) Hola. Mi nombre es Nick Vidal, soy de Brasil. Yo soy Darwin Betancourt, de Ecuador, y ayude con esta traducción Nosotros

Más detalles

1. Introducción... 3 2. Perfiles de Usuarios... 3 2.1 Definir el primer perfil... 3 3. Añadir perfiles... 6 4. Introducción a Internet... 7 4.1.

1. Introducción... 3 2. Perfiles de Usuarios... 3 2.1 Definir el primer perfil... 3 3. Añadir perfiles... 6 4. Introducción a Internet... 7 4.1. 1. Introducción... 3 2. Perfiles de Usuarios... 3 2.1 Definir el primer perfil... 3 3. Añadir perfiles... 6 4. Introducción a Internet... 7 4.1. World Wide Web... 8 4.2. Las páginas web... 8 4.3.1. Los

Más detalles

Puede reducir sus costes de software mainframe con un riesgo limitado?

Puede reducir sus costes de software mainframe con un riesgo limitado? RESUMEN DE LA SOLUCIÓN PROGRAMA DE RACIONALIZACIÓN DE SOFTWARE MAINFRAME (MSRP) Puede reducir sus costes de software mainframe con un riesgo limitado? agility made possible El Programa de racionalización

Más detalles

Manual etime para supervisores

Manual etime para supervisores Contenido Introducción...3 Empezando a usar etime...4 Cómo entrar a etime?...5 *Cambiar su propia contraseña...5 Partes de pantalla principal...6 Funcionamiento estándar de las pantallas de captura...7

Más detalles

Autenticación Centralizada

Autenticación Centralizada Autenticación Centralizada Ing. Carlos Rojas Castro Herramientas de Gestión de Redes Introducción En el mundo actual, pero en especial las organizaciones actuales, los usuarios deben dar pruebas de quiénes

Más detalles

Capítulo 11. Conclusiones y trabajo futuro

Capítulo 11. Conclusiones y trabajo futuro Capítulo 11. Conclusiones y trabajo futuro En esta tesis ha realizado un entorno de desarrollo Web que proporciona herramientas para la mejora de la calidad del código de los desarrolladores. Para conseguir

Más detalles

CA Technologies ahorra USD 23 millones a través de un mayor control de los activos de TI globales

CA Technologies ahorra USD 23 millones a través de un mayor control de los activos de TI globales Historia de éxito de cliente Agosto de 2015 CA Technologies ahorra USD 23 millones a través de un mayor control de los activos de TI globales Perfil del cliente Sector: Tecnología Empresa: CA Technologies

Más detalles

Novell Vibe 4.0. Marzo de 2015. Inicio rápido. Inicio de Novell Vibe. Introducción a la interfaz de Novell Vibe y sus funciones

Novell Vibe 4.0. Marzo de 2015. Inicio rápido. Inicio de Novell Vibe. Introducción a la interfaz de Novell Vibe y sus funciones Novell Vibe 4.0 Marzo de 2015 Inicio rápido Cuando se empieza a usar Novell Vibe, en primer lugar se recomienda configurar un área de trabajo personal y crear un área de trabajo de Este documento explica

Más detalles

Política de Privacidad por Internet

Política de Privacidad por Internet Política de Privacidad por Internet Última actualización: 17 de noviembre de 2013 Su privacidad es importante para nosotros. Esta Política de Privacidad por Internet explica cómo recopilamos, compartimos,

Más detalles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR

Más detalles

Contraseñas seguras: Cómo crearlas y utilizarlas

Contraseñas seguras: Cómo crearlas y utilizarlas Contraseñas seguras: Cómo crearlas y utilizarlas Contraseñas seguras y seguridad de las contraseñas Las contraseñas son las claves que utiliza para obtener acceso a información personal que ha almacenado

Más detalles

Ayuda de instalación (Español) Primeros pasos

Ayuda de instalación (Español) Primeros pasos Primeros pasos Ayuda de instalación (Español) Nos alegramos de que se haya decidido por nuestro producto y esperamos que esté totalmente satisfecho(a) con su nuevo software G DATA. Si algo no funcionara

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

Planificación, Administración n de Bases de Datos. Bases de Datos. Ciclo de Vida de los Sistemas de Información. Crisis del Software.

Planificación, Administración n de Bases de Datos. Bases de Datos. Ciclo de Vida de los Sistemas de Información. Crisis del Software. Planificación, n, Diseño o y Administración n de Crisis del Software Proyectos software de gran envergadura que se retrasaban, consumían todo el presupuesto disponible o generaban productos que eran poco

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Grupo de Trabajo del Tratado de Cooperación en materia de Patentes (PCT)

Grupo de Trabajo del Tratado de Cooperación en materia de Patentes (PCT) S PCT/WG/8/7 ORIGINAL: INGLÉS FECHA: 12 DE MARZ0 DE 2015 Grupo de Trabajo del Tratado de Cooperación en materia de Patentes (PCT) Octava reunión Ginebra, 26 a 29 de mayo de 2015 FORMACIÓN DE EXAMINADORES

Más detalles

Correspondencias entre taxonomías XBRL y ontologías en OWL Unai Aguilera, Joseba Abaitua Universidad de Deusto, EmergiaTech

Correspondencias entre taxonomías XBRL y ontologías en OWL Unai Aguilera, Joseba Abaitua Universidad de Deusto, EmergiaTech Correspondencias entre taxonomías XBRL y ontologías en OWL Unai Aguilera, Joseba Abaitua Universidad de Deusto, EmergiaTech Resumen Todo documento XBRL contiene cierta información semántica que se representa

Más detalles

Privacidad. <Nombre> <Institución> <e-mail>

Privacidad. <Nombre> <Institución> <e-mail> Privacidad Contenido Privacidad Riesgos principales Cuidados a tener en cuenta Fuentes Privacidad (1/3) En Internet tu privacidad puede verse expuesta: independientemente

Más detalles

BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE

BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE RESUMEN Por años, los administradores de seguridad de la información y de giros comerciales

Más detalles

Términos & Condiciones de Uso Goutto App

Términos & Condiciones de Uso Goutto App Términos & Condiciones de Uso Goutto App 1- Información Legal La App significará el software proporcionado por Goutto para ofrecer servicios relacionados con Turismo, las empresas anunciantes en la App,

Más detalles

GUÍA BÁSICA DE USO DEL SISTEMA RED

GUÍA BÁSICA DE USO DEL SISTEMA RED SUBDIRECCIÓN GENERAL DE INSCRIPCIÓN, AFILIACION Y RECAUDACIÓN EN PERIODO VOLUNTARIO GUÍA BÁSICA DE USO DEL SISTEMA RED Marzo 2005 MINISTERIO DE TRABAJO Y ASUNTOS SOCIALES TESORERÍA GENERAL DE LA SEGURIDAD

Más detalles

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos 4. Sistema de Gestión de la Calidad Figura N 1. Estructura del capítulo 4, Norma ISO 9001:2008. La Norma ISO 9001: 2008

Más detalles

Microsoft Dynamics. Instalación de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Instalación de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Instalación de Management Reporter for Microsoft Dynamics ERP Fecha: mayo de 2010 Tabla de contenido Introducción... 3 Información general... 3 Requisitos del sistema... 3 Instalación

Más detalles

Norma ISO 9001:2015. Cuáles son los cambios presentados en la actualización de la Norma?

Norma ISO 9001:2015. Cuáles son los cambios presentados en la actualización de la Norma? Norma ISO 9001:2015 Cuáles son los cambios presentados en la actualización de la Norma? Norma ISO 9001:2015 Contenido Introducción Perspectiva de la norma ISO 9001 Cambios de la norma ISO 9001 Cambios

Más detalles

TÉRMINOS Y CONDICIONES

TÉRMINOS Y CONDICIONES TÉRMINOS Y CONDICIONES Titular de la web y datos de contacto www.coin-app.net es un dominio en Internet de la titularidad de Coin App inscrita en la cámara de comercio de Bucaramanga con NIT 1020740844-8

Más detalles

8. Las VLAN 8.1. Visión general de las VLAN La solución para la comunidad de la universidad es utilizar una tecnología de networking

8. Las VLAN 8.1. Visión general de las VLAN La solución para la comunidad de la universidad es utilizar una tecnología de networking 8. Las VLAN 8.1. Visión general de las VLAN La solución para la comunidad de la universidad es utilizar una tecnología de networking denominada LAN virtual (VLAN). Una VLAN permite que un administrador

Más detalles

EL PELIGRO DE LAS REDES SOCIALES

EL PELIGRO DE LAS REDES SOCIALES EL PELIGRO DE LAS REDES SOCIALES Las redes sociales ofrecen infinitas posibilidades, tales como, entrar en contacto con gente de otros países y culturas, mantener el contacto con personas que viven a larga

Más detalles

MINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA

MINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA MINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA La Paz, Agosto de 2010 REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO INTERNET

Más detalles

GESTIÓN DE LA DOCUMENTACIÓN

GESTIÓN DE LA DOCUMENTACIÓN Página: 1 de 8 Elaborado por: Revidado por: Aprobado por: Comité de calidad Responsable de calidad Director Misión: Controlar los documentos y registros del Sistema de Gestión de Calidad para garantizar

Más detalles

Usuarios y Permisos. Capítulo 12

Usuarios y Permisos. Capítulo 12 Capítulo 12 Usuarios y Permisos La gente simplemente intenta utilizar el sitio web Joomla! que has creado - ya sea de forma activa o pasiva. Cuanto mejor sea la experiencia que tenga al hacerlo, mejor

Más detalles

Análisis y gestión de riesgo

Análisis y gestión de riesgo Marco Dueñes Intriago María Cabrales Jaquez Resumen capitulo 6 Ingeniería del software Análisis y gestión de riesgo Estrategias de riesgo proactivas vs reactivas Una estrategia considerablemente más inteligente

Más detalles

Manual de usuario Sucursal Virtual

Manual de usuario Sucursal Virtual INDICE 1. Introducción 2. Requerimientos 3. Página Inicial 4. Registro 4.1 Registro con tarjeta de débito 4.2 Registro con clave de acceso 5. Acceso a 6. Pestaña Consultas 6.1 Saldo de cuentas 6.1.1 Saldo

Más detalles

Descarga Automática. Manual de Usuario. Operador del Mercado Ibérico de Energía - Polo Español Alfonso XI, 6 28014 Madrid

Descarga Automática. Manual de Usuario. Operador del Mercado Ibérico de Energía - Polo Español Alfonso XI, 6 28014 Madrid Descarga Automática Manual de Usuario Operador del Mercado Ibérico de Energía - Polo Español Alfonso XI, 6 28014 Madrid Versión 5.2 Fecha: 2008-10-15 Ref : MU_DescargaAutomática.doc ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Programa de soporte técnico ampliado MSA Start

Programa de soporte técnico ampliado MSA Start 1 1. TÉRMINOS Y CONDICIONES GENERALES En este documento se incluye una lista de casos de soporte técnico, en relación con los que Kaspersky Lab proporcionará asistencia al propietario de este Certificado

Más detalles

SEMANA 12 SEGURIDAD EN UNA RED

SEMANA 12 SEGURIDAD EN UNA RED SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de

Más detalles

Complejo Deportivo UCA. República Saharaui s/n 11510 Puerto Real (Cádiz) Tel.956016270.Fax.956016275 www.uca.es/deportes e-mail: deport@uca.

Complejo Deportivo UCA. República Saharaui s/n 11510 Puerto Real (Cádiz) Tel.956016270.Fax.956016275 www.uca.es/deportes e-mail: deport@uca. La dificultad de los usuarios, tanto de la comunidad universitaria como externos, a la hora de desplazarse a las oficinas del Área para llevar a cabo las distintas gestiones, ha ido obligando al (ADE)

Más detalles

Implementación y administración de Microsoft Exchange Server 2003

Implementación y administración de Microsoft Exchange Server 2003 2404A Implementación y administración de Microsoft Exchange Server 2003 Fabricante: Microsoft Grupo: Servidores Subgrupo: Microsoft Exchange Server 2003 Formación: Descataloga dos Horas: 25 Introducción

Más detalles

NOTIFICACIÓN DE MOVIMIENTOS DE ESTUPEFACIENTES POR PARTE DE LOS LABORATORIOS FARMACÉUTICOS Y ALMACENES MAYORISTAS DE DISTRIBUCIÓN

NOTIFICACIÓN DE MOVIMIENTOS DE ESTUPEFACIENTES POR PARTE DE LOS LABORATORIOS FARMACÉUTICOS Y ALMACENES MAYORISTAS DE DISTRIBUCIÓN NOTIFICACIÓN DE MOVIMIENTOS DE ESTUPEFACIENTES POR PARTE DE LOS LABORATORIOS FARMACÉUTICOS Y ALMACENES MAYORISTAS DE DISTRIBUCIÓN GUÍA PARA LA PRESENTACIÓN DE NOTIFICACIONES Versión: 27/06/2012-1 ÍNDICE:

Más detalles

BASES DE DATOS TEMA 3 MODELO ENTIDAD - RELACIÓN

BASES DE DATOS TEMA 3 MODELO ENTIDAD - RELACIÓN BASES DE DATOS TEMA 3 MODELO ENTIDAD - RELACIÓN 3.3 Aplicaciones Definición de Aplicación (Application). Programa informático que permite a un usuario utilizar una computadora con un fin específico. Las

Más detalles

Prácticas ITIL para un mejor flujo de trabajo en el helpdesk

Prácticas ITIL para un mejor flujo de trabajo en el helpdesk Prácticas ITIL para un mejor flujo de trabajo en el helpdesk Se diferencia tres partes de gestión para mejorar la resolución de las incidencias de soporte técnico según el marco ITIL: 1. Gestión de Incidencias

Más detalles

Guía rápida de instalación

Guía rápida de instalación Guía rápida de instalación Microsoft Windows Vista / XP / 2000 / 2003 / 2008 Protegemos su Mundo Digital ESET NOD32 Antivirus le provee a su computadora protección de última generación contra códigos maliciosos.

Más detalles

Querido gestor TIC, a continuación podrás seguir detalladamente uno a uno los pasos para crear una cuenta de correo electrónico 1.

Querido gestor TIC, a continuación podrás seguir detalladamente uno a uno los pasos para crear una cuenta de correo electrónico 1. Querido gestor TIC, a continuación podrás seguir detalladamente uno a uno los pasos para crear una cuenta de correo electrónico 1. Correo Electrónico Una cuenta de correo electrónico ofrece una variedad

Más detalles

Guía de inicio rápido del Administrador de Colecciones de WorldShare de OCLC

Guía de inicio rápido del Administrador de Colecciones de WorldShare de OCLC Guía de inicio rápido del Administrador de Colecciones de WorldShare de OCLC Verificación del símbolo de OCLC de preferencia y de las credenciales del servidor proxy... 1 Opciones de edición de MARC...

Más detalles

TPV Virtual Santander Elavon: Guía de desarrollador- Almacenamiento seguro de tarjetas con definiciones XML. Versión: 1.1

TPV Virtual Santander Elavon: Guía de desarrollador- Almacenamiento seguro de tarjetas con definiciones XML. Versión: 1.1 TPV Virtual Santander Elavon: Guía de desarrollador- Almacenamiento seguro de tarjetas con definiciones XML Versión: 1.1 Índice 1 Acerca de esta guía 3 1.2 Destinatarios.4 1.3 Requisitos previos 4 1.4

Más detalles

Instructivo Asesoría Básica Comunidad Virtual SharePoint 2010

Instructivo Asesoría Básica Comunidad Virtual SharePoint 2010 Instructivo Asesoría Básica Comunidad Virtual SharePoint 2010 CONTENIDO 1. Qué es? 2. Cómo crear y acceder a la Comunidad Virtual en Microsoft SharePoint 2010? Ejemplo. 3. Qué tengo en la página de inicio

Más detalles

Organización como función administrativa Resumen para Administración y Gestión Profesor: Gonzalo V.

Organización como función administrativa Resumen para Administración y Gestión Profesor: Gonzalo V. Organización como función administrativa Introducción: Organización rganización como función administrativa En las organizaciones que se caracterizan por estar orientadas al éxito, a la eficiencia y al

Más detalles

CAPÍTULO 2 ANTECEDENTES

CAPÍTULO 2 ANTECEDENTES CAPÍTULO 2 ANTECEDENTES 2.1 Educación y las Nuevas Tecnologías. La introducción en la sociedad de las llamadas "Nuevas Tecnologías" (como las redes de computadoras, los sistemas de Chat, los sistemas de

Más detalles

CONDICIONES GENERALES PARA LA UTILIZACIÓN DE LA PÁGINA WEB

CONDICIONES GENERALES PARA LA UTILIZACIÓN DE LA PÁGINA WEB CONDICIONES GENERALES PARA LA UTILIZACIÓN DE LA PÁGINA WEB Los términos y condiciones que a continuación se indican regulan el acceso y el uso de: (URL), a través del cual la sociedad GAS DIRECTO, S.A.

Más detalles

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS A través de las Políticas de Seguridad recogidas en el Documento de Seguridad se describen las

Más detalles

Secretaría de Salud. Subsecretaria de Innovación y Calidad. Dirección General de Calidad y Educación en Salud

Secretaría de Salud. Subsecretaria de Innovación y Calidad. Dirección General de Calidad y Educación en Salud Secretaría de Salud Subsecretaria de Innovación y Calidad Dirección General de Calidad y Educación en Salud Dirección General Adjunta de Calidad en Salud Dirección de Mejora de Procesos Manual de Usuario

Más detalles

Figura 4.1 Clasificación de los lenguajes de bases de datos

Figura 4.1 Clasificación de los lenguajes de bases de datos 1 Colección de Tesis Digitales Universidad de las Américas Puebla Romero Martínez, Modesto Este capítulo describen los distintos lenguajes para bases de datos, la forma en que se puede escribir un lenguaje

Más detalles

AVISO DE PRIVACIDAD DE ÁCIDO DE MÉXICO S.A. DE C.V.

AVISO DE PRIVACIDAD DE ÁCIDO DE MÉXICO S.A. DE C.V. AVISO DE PRIVACIDAD DE ÁCIDO DE MÉXICO S.A. DE C.V. Con el fin de dar cumplimiento al artículo 17 de la Ley Federal de Protección de datos Personales en Posesión de los Particulares, y consientes de la

Más detalles

Nota de Información al cliente ISO/IEC 22301 Proceso de auditoría

Nota de Información al cliente ISO/IEC 22301 Proceso de auditoría Nota de Información al cliente ISO/IEC 22301 Proceso de auditoría La presente Nota de Información al Cliente explica las principales fases del proceso de certificación y auditoría de Sistemas de Gestión

Más detalles

Manual de uso para autoadministrar Pixtoome

Manual de uso para autoadministrar Pixtoome Manual de uso para autoadministrar Pixtoome Versión para profesores Hoy en día la colaboración, interacción y coordinación entre personas ha adquirido una nueva dinámica mediante el uso de las redes sociales,

Más detalles

Base de datos en la Enseñanza. Open Office

Base de datos en la Enseñanza. Open Office 1 Ministerio de Educación Base de datos en la Enseñanza. Open Office Módulo 1: Introducción Instituto de Tecnologías Educativas 2011 Introducción Pero qué es una base de datos? Simplificando mucho, podemos

Más detalles

Aviso de Privacidad. Aviso de Privacidad de GRUPO EMPRESARIAL DASCLEAN DE MEXICO, S.A. DE C.V.

Aviso de Privacidad. Aviso de Privacidad de GRUPO EMPRESARIAL DASCLEAN DE MEXICO, S.A. DE C.V. Aviso de Privacidad Aviso de Privacidad de GRUPO EMPRESARIAL DASCLEAN DE MEXICO, S.A. DE C.V. Estimado Cliente: Conforme a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de

Más detalles

Servicio de estadísticas de Alojamiento Fecha de revisión: 19/09/2005

Servicio de estadísticas de Alojamiento Fecha de revisión: 19/09/2005 Servicio de estadísticas de Alojamiento Fecha de revisión: 19/09/2005 1. Acerca de este documento Este documento describe el servicio de estadísticas del que actualmente disfrutan algunas de las páginas

Más detalles

------------------------------------------------------------------------------------------------------------------------ VISIÓN, MISIÓN, VALORES

------------------------------------------------------------------------------------------------------------------------ VISIÓN, MISIÓN, VALORES ------------------------------------------------------------------------------------------------------------------------ VISIÓN, MISIÓN, VALORES Se abrió este foro acerca de las primeras definiciones estratégicas,

Más detalles

Jornada informativa Nueva ISO 9001:2008

Jornada informativa Nueva ISO 9001:2008 Jornada informativa Nueva www.agedum.com www.promalagaqualifica.es 1.1 Generalidades 1.2 Aplicación Nuevo en Modificado en No aparece en a) necesita demostrar su capacidad para proporcionar regularmente

Más detalles

I. Introducción: [AUDITORÍA DE SISTEMAS] UNI - RUACS. Unidad I: Auditoría Informática

I. Introducción: [AUDITORÍA DE SISTEMAS] UNI - RUACS. Unidad I: Auditoría Informática Unidad I: Auditoría Informática Tema: Introducción Conceptos de Auditoría Informática Objetivos de la Auditoría Informática Importancia de la Auditoría Informática Reafirmando La Necesidad de Auditar I.

Más detalles

Centro de Capacitación en Informática

Centro de Capacitación en Informática Fórmulas y Funciones Las fórmulas constituyen el núcleo de cualquier hoja de cálculo, y por tanto de Excel. Mediante fórmulas, se llevan a cabo todos los cálculos que se necesitan en una hoja de cálculo.

Más detalles

Tener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos:

Tener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos: Protege tu WiFi Qué riesgos hay en que alguien utilice nuestra WiFi? Tener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos: Reducción del ancho de banda. Dependiendo

Más detalles

Los elementos que usualmente componen la identidad digital son:

Los elementos que usualmente componen la identidad digital son: Enero 2016 Programa Civismo Digital - Escolar Material Educativo Lección: TU IDENTIDAD EN INTERNET v. 1.0 Topico: Alfabetización Digital, Huella Digital Objetivo: Fomentar en los alumnos la importancia

Más detalles

Temas Relevantes para el auditor

Temas Relevantes para el auditor Temas Relevantes para el auditor Septiembre 2011 Agenda ISA 600 Auditorías para Grupos Aspectos Generales Observaciones identificadas por reguladores Recomendaciones Escepticismo profesional Observaciones

Más detalles