SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB"

Transcripción

1 SWAT BROCHURE

2 SEGURIDAD EN APLICACIONES WEB La seguridad en aplicaciones web ha sido hasta ahora un gran reto para las empresas, ya que hay muy pocas soluciones eficaces disponibles en el mercado. La primera opción es adquirir un escáner básico de aplicaciones web, con una funcionalidad muy limitada, indudablemente ésta opción debe ser evitada, sobre todo por las empresas con un alto valor de marca asociado a su presencia en línea. La segunda opción es la adquisición de un escáner de aplicaciones web más complejo, mismo que requiera de técnicos expertos en seguridad para obterner resultados de manera eficiente y continua. Esta opción aumenta significativamente los costos de operación de una empresa debido a que los técnicos especializados son costosos de mantener como empleados de tiempo completo. Además, también requerirán de un entrenamiento de alto nivel para poder operar e interpretar el escáner. La tercera opción es contratar una empresa de seguridad para llevar a cabo las complejas pruebas de penetración sobre las diferentes aplicaciones web corporativas, con el fin de identificar las amenazas inmediatas. Aunque esta opción es muy precisa, desgraciadamente, se considera un remedio a corto plazo, ya que nuevos métodos de ataque son descubiertos diariamente y el contenido en las aplicaciones web cambia constantemente. LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB SWAT (conocido por sus siglas en inglés Secure Web Application Tactics) de Outpost24 ofrece la combinación perfecta entre alta tecnología en herramientas de escaneo web y expertos en seguridad. Ésta brillante combinación proporciona la solución de escaneo para aplicaciones web más precisa y confiable del mercado. La tecnología inteligente utilizada en SWAT permite al sistema identificar nuevas amenazas, aprender sobre ellas y alterar su comportamiento, sin interferir con las operaciones diarias. SWAT ofrece resultados con cero falsos positivos, no requiere de capacitación e incluye soporte técnico especializado 7x24. Además como SWAT ofrece monitoreo continuo, garantiza que las aplicaciones web de nuestros clientes permanezcan protegidas, incluso cuando se modifique su contenido o se descubran nuevos métodos de ataque.

3 BENEFICIOS Desafío: Los escáneres de aplicaciones web no son capaces de poner a prueba la lógica de una aplicación Solución: La combinación exacta entre herramientas de escaneo de alta tecnología y expertos en seguridad La realización de pruebas de escaneo para comprobar problemas relacionados con la confidencialidad, restricciones de acceso o ataques de escalamiento vertical, son muy subjetivas y difíciles de obtener. Las herramienta tradicionales no corroborar éste tipo de errores ya que el comportamiento de las aplicaciones dependen totalmente de la percepción humana. SWAT aborda éste tema por medio de sus características de aprendizaje avanzadas y los servicios de proceso y verificación, combinadas con el apoyo de expertos en seguridad, alcanzando una cobertura total para esta clase de amenazas. Desafío: Los escáneres de seguridad a menudo corrompen los sitios web e interfieren con las operaciones diarias Solución: Prácticas de escaneo seguras sobre plataformas en producción Las aplicaciones web tienen una amplia gama de funcionalidades que pueden ser afectadas durante la ejecución de un escaneo de seguridad causando trastornos irreversibles. Por ejemplo, ciertos comandos sobre la base de datos pueden desencadenar acciones no deseadas. SWAT sigue las normas de seguridad más estrictas y garantiza prácticas de escaneo seguras, evitando de esta manera cualquier perturbación en la disponibilidad o integridad de la información. Desafío: Detecciones erróneas causan resultados incorrectos y vulnerabilidades no detectadas Solución: Análisis, verificación, pruebas manuales y eliminación de falsos positivos SWAT ofrece reportes con información previamente verificada por expertos en seguridad. Estos reportes eliminan el problema de falsos positivos y permiten a los clientes mitigar sus riesgos de forma rápida y eficiente. Desafío: Vulnerabilidades técnicas con frecuencia son difíciles de entender requiriendo el apoyo de expertos para una mayor aclaración Solución: Soporte técnico de expertos 7x24 Outpost24 ofrece soporte técnico con disponiblidad 7x24. Los usuarios pueden enviar cualquier tipo de pregunta respecto a nuevas vulnerabilidades identificadas directamente en la interfaz de usuario y recibir una pronta respuesta. El soporte técnico también está disponible en español por medio de una llamada telefónica a nuestros expertos. Desafío: Los sitios web cambian con frecuencia debido a la introducción de nuevas funciones y contenido Solución: Monitoreo continuo SWAT es una solución inteligente con la capacidad de identificar y reaccionar ante nuevas amenazas, alterando sus patrones de comportamiento. SWAT monitorea continuamente las aplicaciones web, detectando cualquier cambio, como por ejemplo nuevas páginas o contenido. Durante el escaneo, se utilizan una carga e intensidad muy baja durante un período prolongado, asegurando de esta forma una maxima cobertura, produciendo el menor impacto.

4 TABLA DE COMPARACIÓN TÉCNICA La base de datos Open Web Application Security Project Top 10 (OWASP TOP 10) incluye las vulnerabilidades más comúnmente encontradas y reportadas en sitios web. Ésta base de datos, agrupa hallazgos de vulnerabilidad en familias; por lo tanto, los escáneres web tradicionales afrontan sólo los subconjuntos de las diferentes familias de vulnerabilidades obteniendo resultados con hasta un 75% de falsos negativos. OWASP top Herramientas automáticas Pruebas de penetración SWAT A1-Injection A2-Broken Authentication and Session Management Poorly supported A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References Poorly supported A5-Security Misconfiguration A6-Sensitive Data Exposure A7-Missing Functio Level Access Control A8-Cross-Site Request Forgery (CSRF) A9-Using Components with Known Vulnerabilities Only default types Poorly supported Low accuracy Low accuracy and coverage A10-Unvalidated Redirects and Forwards

5 FINDINGS VISTA APPLICATION VISTA La tabla de Monitoreo y Cobertura que se muestra a continuación, indica una revisión de seguridad realizada a una aplicación; su capacidad para detectar cambios en la aplicación en un periodo de tiempo establecido y su capacidad para trabajar con una aplicación dinámica. A pesar de que las pruebas de penetración son muy completas e incluyen una cobertura máxima, están muy limitados en su capacidad para mantener niveles de alta seguridad a largo plazo. Monitoreo y Cobertura Herramientas automáticas Pruebas de penetración SWAT Zero Touch Configuration Maximum links Often Dictated by time Unlimited Continuous detection If implemented in the process Test new deployed content Detect changed credentials Poorly Rogue website detection Rarely Rarely Time available for a test Often hours Often a week Continuous Smart form testing

6 La tabla de Seguridad en Producción se refiere a los riesgos involucrados cuando un escáner o una prueba de escaneo afecta el host que está siendo escaneado. A menudo, las pruebas de penetración no son seguras a menos que sea solicitado de manera específica por el usuario y se considere como una prioridad. La seguridad en producción es indispensable para conservar la integridad de la información en aplicaciones críticas, ya que las pruebas de escaneo mal ejecutadas pueden afectar la aplicación y la experiencia de uso del usuario final. Seguridad en Producción Herramientas automáticas Pruebas de penetración SWAT Production safe testing Medium Low traffic and database intensity Submit forms only when safe Prevents dangerous link use

7 VULNERABILITY DISCUSSION VISTA La tabla de Verificación y Orientación está relacionada con el grado de experiencia que una organización requiere para ser capaz de utilizar y beneficiarse de una solución de escaneo. La seguridad en aplicaciones web es una aptitud muy específica que a menudo es costosa de mantener dentro de una organización. Verificación y orientación Herramientas automáticas Pruebas de penetración SWAT False positives removed Proof of exploitability provided Poorly Vulnerability rating put in context Context-aware CVSS scoring Sometimes Unlimited re-testing and verifications Retests rarely possible Ask experts for advice on remediation On delivery only Smart vulnerability grouping

8 ACERCA DE OUTPOST24 Fundada en 2001, Outpost24 es una empresa de gestión de vulnerabilidades que proporciona las mejores soluciones del mercado, ya que permite a usuarios identificar y mitigar las vulnerabilidades de su red. Outpost24 ofrece alertas de vulnerabilidad en tiempo real y elabora reportes que permiten el reconocimiento inmediato de las vulnerabilidades existentes. Con más de 40 oficinas alrededor del mundo, Outpost24 detecta más de 12 mil vulnerabilidades diariamente y analiza más de 400 millones de direcciones IP semanalmente. Más de 2000 grandes corporaciones confían en Outpost24 para proteger sus redes internas y externas. Para obtener más información, visite

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Curso de desarrollo de Aplicaciones Web Seguras

Curso de desarrollo de Aplicaciones Web Seguras Curso de desarrollo de Aplicaciones Web Seguras Información del Curso Instructores: Gonzalo Médez + Diego Ledesma Duración del curso: 18 horas aula A quién está dirigido? Este curso introductorio está

Más detalles

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting ARGENTINA COLOMBIA CHILE ESPAÑA EE.UU. MÉXICO PANAMÁ VENEZUELA David del Pozo González dpozog@grupogesfor.com WAPITI Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad Junio 2010 www.gesfor.es

Más detalles

Curso: (30227) Seguridad Informática

Curso: (30227) Seguridad Informática Curso: (30227) Seguridad Informática Fernando Tricas García Departamento de Informática e Ingeniería de Sistemas Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/ ftricas@unizar.es

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

Fundamentos y categorías de ataques LSI 2013/2014

Fundamentos y categorías de ataques LSI 2013/2014 Fundamentos y categorías de ataques LSI 2013/2014 Contenido Conceptos básicos y definiciones Categorías de ataques Servicios de seguridad Mecanismos de seguridad 2 Introducción Seguridad Informática: El

Más detalles

SEGURIDAD EN APLICATIVOS WEB

SEGURIDAD EN APLICATIVOS WEB Treball Fi de Carrera ENGINYERIA TÈCNICA EN INFORMÀTICA DE SISTEMES Facultat de Matemàtiques Universitat de Barcelona SEGURIDAD EN APLICATIVOS WEB Director: Eloi Puertas Prats Realitzado en: Departament

Más detalles

Mantenemos sus datos en sus manos

Mantenemos sus datos en sus manos FOLLETO CORPORATIVO Mantenemos sus datos en sus manos Outpost24 proporciona tecnología punta y servicios de gestión de vulnerabilidades que simplifican las complejas necesidades de seguridad de las empresas

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

OWASP Testing Guide. John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru

OWASP Testing Guide. John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru OWASP Testing Guide John Vargas Open-Sec Senior Security Consultant OWASP Perú Chapter Leader John.Vargas@owasp.org @John_Vargas / @OWASP_Peru The OWASP Foundation http://www.owasp.org Derechos de Autor

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

La Seguridad Un desafío Contínuo. Elving Santana

La Seguridad Un desafío Contínuo. Elving Santana La Seguridad Un desafío Contínuo Elving Santana Objetivo Situación Actal Agenda Conceptos de Seguridad Seguridad es un Proceso Contínuo El Proceso de Seguridad d Evaluación y Gestión de Riesgos Las 10

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Tendencias en Seguridad y Control en Aplicaciones

Tendencias en Seguridad y Control en Aplicaciones Tendencias en Seguridad y Control en Aplicaciones Lucio Augusto Molina Focazzio Certified information Systems Auditor - CISA Certified Information Security Manager CISM CobiT Accredited Trainer Consultor

Más detalles

Presentada por: Ing. Hernán Pacín Consultor de Seguridad Informática

Presentada por: Ing. Hernán Pacín Consultor de Seguridad Informática Presentada por: Ing. Hernán Pacín Consultor de Seguridad Informática Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

GeneXus y OWASP TOP 10. Guía de desarrollo GeneXus

GeneXus y OWASP TOP 10. Guía de desarrollo GeneXus GeneXus y OWASP TOP 10 Guía de desarrollo GeneXus TABLA DE CONTENIDO Índice... 2 Sección : I. Introducción... 3 Objetivo... 3 Autores... 3 Versiones... 3 Sección : II. GeneXus y OWASP Top 10... 4 A1-Injection...

Más detalles

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

Tecnologías Aplicadas al Dominio Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de

Más detalles

Seguridad en el desarrollo

Seguridad en el desarrollo OWASP Latam Tour Venezuela 2013 Seguridad en el desarrollo Mateo Martínez, CISSP mateo.martinez@owasp.org OWASP Uruguay Comité Global de Industrias de OWASP Agenda Agenda Introducción Seguridad en el ciclo

Más detalles

Manejo de lo inesperado

Manejo de lo inesperado Manejo de lo inesperado Navegar a través de los riesgos y salir adelante El mundo de los negocios de hoy se encuentra amenazado por una gran cantidad de riesgos de seguridad en línea, sin embargo, muchas

Más detalles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR

Más detalles

La historia de Imperva

La historia de Imperva La historia de Imperva La misión de Imperva es sencilla: Proteger la información que impulsa a las empresas de nuestros clientes Para lograr eso, Imperva es la empresa líder en la creación de una nueva

Más detalles

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido Escáner de vulnerabilidades para aplicaciones web y gestores de contenido Denise Betancourt Sandoval Omar Alí Domínguez Cabañas Rodrigo Augusto Ortiz Ramón Problemática Pruebas de penetración como una

Más detalles

IBM MobileFirst: Seguridad Móvil

IBM MobileFirst: Seguridad Móvil IBM MobileFirst: Seguridad Móvil Isabel Tristán del Pino Comercial Soluciones de Seguridad. isabel.tristan@es.ibm.com, 650.755.876 IBM Security Systems 1 #ibmmovilidad Principales Retos de la Seguridad

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

Usando OWASP para cumplir PCI-DSS

Usando OWASP para cumplir PCI-DSS AppSec Latam 11 The OWASP Foundation Usando OWASP para cumplir PCI-DSS Mauro Flores OWASP Global Industry Committee OWASP PCI Project OWASP Uruguay Chapter Co-Leader Mauro.flores@owasp.org @mauro_fcib

Más detalles

Armas del CISO Actual. OWASP Venezuela OWASP Uruguay

Armas del CISO Actual. OWASP Venezuela OWASP Uruguay Armas del CISO Actual Edgar Salazar Mateo Martínez OWASP Venezuela OWASP Uruguay OWASP 14 Años de servicio a la comunidad 170 Proyectos Activos 200 Capítulos Activos 43,000+ Participantes en listas de

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

75.46 - Administración y Control de Proyectos II. Sergio Martinez

75.46 - Administración y Control de Proyectos II. Sergio Martinez 75.46 - Administración y Control de Proyectos II Sergio Martinez 1er cuatrimestre 2006 Introducción Qué es un Servicio? Cliente Lavandería Transporte Lavadero Industrial Precio por el Servicio Mismo día:\300

Más detalles

Calidad y Seguridad en la programación de aplicaciones

Calidad y Seguridad en la programación de aplicaciones Calidad y Seguridad en la programación de aplicaciones Presentada por: Tartarelli Martin COO, Infobyte Security Research Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial

Más detalles

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas. El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones

Más detalles

Concientización en Seguridad

Concientización en Seguridad Security Awareness Concientización en Seguridad El Factor Humano MBA Lic. Roberto Langdon Lic. en Sistemas y MBA en Marketing Management USAL State University of New York Albany, USA Director del Instituto

Más detalles

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez

Seguridad en Sitios Web de Alto Tráfico. Ing. Enrique Hurtarte Juárez Seguridad en Sitios Web de Alto Tráfico Ing. Enrique Hurtarte Juárez Guatemala, 24 de Julio de 2014 XumaK Quienes somos XumaK es una empresa que fue fundada en 2003 por Marcos Andres como una de las primeras

Más detalles

Prácticas y Tecnologías de Seguridad Informática

Prácticas y Tecnologías de Seguridad Informática El estado del arte actual Iván Arce І ivan.arce@corest.com Prácticas y Tecnologías Agenda El estado actual: Prácticas Penetration Tests El estado actual: Herramientas Vulnerability Scanners Intrusion Detection

Más detalles

Penetration Testing. Conceptos generales y situación actual. PwC

Penetration Testing. Conceptos generales y situación actual. PwC Penetration Testing Conceptos generales y situación actual A/S Rodrigo Guirado, CISA, CGEIT Senior Manager Advisory Services rodrigo.guirado@uy.pwc.com PwC Agenda / Contenido Motivación Definiciones Generales

Más detalles

OWASP Day Costa Rica

OWASP Day Costa Rica OWASP Day Costa Rica En contra de la delincuencia Cibernética Michael Hidalgo michael.hidalgo@owasp.org Chapter Leader OWASP Costa Rica Colaborador OWASP O2 Platform Project Acerca de Mi Software Developer

Más detalles

Gestión de los Servicios de TI

Gestión de los Servicios de TI Gestión de los Servicios de TI Destrabando el valor de las TI a través de las mejores prácticas de ITIL Francisco Petour G. Relator Diploma ITIL Relator Diploma en Gestión de TI fpetour@fen.uchile.cl Departamento

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Anuncio de software ZP11-0010 de IBM Europe, Middle East and Africa con fecha 18 de enero de 2011

Anuncio de software ZP11-0010 de IBM Europe, Middle East and Africa con fecha 18 de enero de 2011 con fecha 18 de enero de 2011 IBM Tivoli Business Service Manager for the Enterprise V4.2.1 permite que los negocios y las operaciones vean y comprendan las complejas relaciones de impacto empresarial

Más detalles

Cómo impedir la entrada a la red a través de vulnerabilidades en las aplicaciones

Cómo impedir la entrada a la red a través de vulnerabilidades en las aplicaciones Cómo impedir la entrada a la red a través de vulnerabilidades en las aplicaciones Protección de servidores web y Angelo Comazzetto, director ejecutivo de productos de seguridad para redes Las nuevas técnicas

Más detalles

Cómo defenderse de los ataques actuales de phishing dirigidos

Cómo defenderse de los ataques actuales de phishing dirigidos Cómo defenderse de los ataques actuales de phishing dirigidos Introducción Este mensaje es un engaño o es legítimo? Esta es la pregunta que hacen cada vez con mayor frecuencia los empleados y, en especial,

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl no asume responsabilidades o garantías sobre el contenido y uso de ésta documentación y declina cualquier garantía explicita o implícita de comercialidad

Más detalles

Auditoría de Seguridad

Auditoría de Seguridad Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad

Más detalles

Seguridad en el Contexto de la Calidad del Software

Seguridad en el Contexto de la Calidad del Software Seguridad en el Contexto de la Calidad del Software Mario Céspedes S. IBM Software CTP mcespede@cl.ibm.com Las demandas para Calidad hoy Entregar más calidad y alto desempeño en menos tiempo Disminuir

Más detalles

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com

New Generation. Secure your Network. Totally Reloaded. www.hauri-la.com New Generation Secure your Network Totally Reloaded www.hauri-la.com Menos Trabajo + Protección Completa Más Características Simplifica tus tareas administrativas a través del Administrador del Historial

Más detalles

CyberSOC Seguridad 24/7

CyberSOC Seguridad 24/7 CyberSOC Seguridad 24/7 Una nueva realidad Escenario actual Las organizaciones se enfrentan hoy en día a un amplio catálogo de amenazas de seguridad que pueden materializarse tanto dentro como fuera del

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Oferta de servicios de Capgemini Infrastructure Services (IS) Gestión inteligente

Oferta de servicios de Capgemini Infrastructure Services (IS) Gestión inteligente Infrastructure Services Oferta de servicios de Capgemini Infrastructure Services (IS) Gestión inteligente Por qué Capgemini? El portfolio de servicios de IS cubre todas las necesidades, en lo referente

Más detalles

Curso Online. Desarrollo Seguro en Java

Curso Online. Desarrollo Seguro en Java Curso Online Desarrollo Seguro en Java Índice: >> Plan de estudios >> Introducción >> A quién va dirigido >> Metodología >> Dinámica >> Contenido Cursos Online Plan de estudios: Itinerario Formativo por

Más detalles

Anuncio de software ZP10-0561 de IBM Europe, Middle East and Africa con fecha 16 de noviembre de 2010

Anuncio de software ZP10-0561 de IBM Europe, Middle East and Africa con fecha 16 de noviembre de 2010 con fecha 16 de noviembre de 2010 IBM Rational AppScan Source Edition e IBM Rational AppScan Build Edition V8.0 ofrecen ahora una función de comprobación de la vulnerabilidad de las aplicaciones mejorada

Más detalles

Acoustic Fibre Optic Pipeline Security System

Acoustic Fibre Optic Pipeline Security System fuego securidad protección y vigilancia Acoustic Fibre Optic Pipeline Security System Sistema Acústico de Fibra Óptica de Seguridad de Ductos La prevención o la detección de fugas ocasionadas por la corrosión,

Más detalles

Introducción al análisis automático de la seguridad de aplicaciones web

Introducción al análisis automático de la seguridad de aplicaciones web Introducción al análisis automático de la seguridad de aplicaciones web 22 de octubre de 2012 1 Contenidos Vulnerabilidades de seguridad en aplicaciones web Herramientas para el análisis de vulnerabilidades

Más detalles

ORACLE TUNING PACK 11G

ORACLE TUNING PACK 11G ORACLE TUNING PACK 11G CARACTERÍSTICAS CLAVE: Asesor de Ajuste SQL Asesor de Ajuste Automático SQL Perfiles SQL Asesor de Acceso SQL Grupos de Ajuste SQL Wizard de reorganización de Objetos BENEFICIOS

Más detalles

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina Introducción Introducción n a la seguridad en el SDLC Actualmente

Más detalles

Protección de la Información Esencial. Ramón Castillo, SE México y Centro América. rcastillo@websense.com Octubre, 2009

Protección de la Información Esencial. Ramón Castillo, SE México y Centro América. rcastillo@websense.com Octubre, 2009 Protección de la Información Esencial Ramón Castillo, SE México y Centro América. rcastillo@websense.com Octubre, 2009 La Perspectiva del Pasado sobre Web 2.0 NO NO NO NO 2 El Enfoque de Websense hacia

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

In-seguridad y malware en dispositivos móviles

In-seguridad y malware en dispositivos móviles In-seguridad y malware en dispositivos móviles Damián Muraña damian @ murana.uy @damianmurana damianmurana@joindiaspora.com www.murana.uy Para qué usamos los móviles? 03/2013 Com. por internet E-Mail Noticias

Más detalles

MS_10747 Administering System Center 2012 Configuration Manager

MS_10747 Administering System Center 2012 Configuration Manager Administering System Center 2012 Configuration Manager www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Introducción Este curso describe cómo

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com

Seminario de SEGURIDAD WEB. Pedro Villena Fernández www.consultoriainnova.com Seminario de SEGURIDAD WEB Pedro Villena Fernández www.consultoriainnova.com Algunas cosas antes de empezar... Este seminario NO tiene la intención de piratear otras webs. Los ataques que aprenderemos

Más detalles

Antivirus Seguridad endpoint Seguridad Perimetral análisis y gestión de riesgos telefonía IP

Antivirus Seguridad endpoint Seguridad Perimetral análisis y gestión de riesgos telefonía IP Antivirus Seguridad endpoint Seguridad Perimetral análisis y gestión de riesgos telefonía IP Sobre Nosotros En uso de Internet en los últimos años ha cambiado las formas de hacer negocios, ofreciéndonos

Más detalles

1 / 5. Profesora María Cristina Díaz Ministra de Educación Ministerio de Educación de San Juan Argentina

1 / 5. Profesora María Cristina Díaz Ministra de Educación Ministerio de Educación de San Juan Argentina 1 / 5 Profesora María Cristina Díaz Ministra de Educación Ministerio de Educación de San Juan Argentina "porque no se trata sólo de mejorar la cantidad de nuestra oferta educativa, creando más escuelas,

Más detalles

MONITOREO, EVALUACIÓN Y CONTROL DEL PROYECTO. Generalmente, esas herramientas se pueden organizar en cuatro categorías:

MONITOREO, EVALUACIÓN Y CONTROL DEL PROYECTO. Generalmente, esas herramientas se pueden organizar en cuatro categorías: MONITOREO, EVALUACIÓN Y CONTROL DEL PROYECTO Ni aun los proyectos dotados de una planificación excepcional, óptimos recursos e implementación rigurosa, se alcanzan automáticamente los resultados deseados.

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Estudio sobre la seguridad de las aplicaciones móviles

Estudio sobre la seguridad de las aplicaciones móviles Informe Estudio sobre la seguridad de las aplicaciones móviles Informe de 2013 Índice 3 Hallazgos del informe 4 Hallazgos de la investigación 4 Problemas de privacidad 5 Falta de protección binaria 5 Almacenamiento

Más detalles

Pruebas de Penetración contra Aplicaciones Web

Pruebas de Penetración contra Aplicaciones Web Pruebas de Penetración contra Aplicaciones Web Alonso Eduardo Caballero Quezada Consultor en Hacking Ético e Informática Forense e-mail: ReYDeS@gmail.com Sitio Web: www.reydes.com Quién Soy? Alonso Eduardo

Más detalles

La Seguridad. Nuevos Retos en el Mundo Digital. Seguridad B2B Telefonica. elevenpaths.com" "

La Seguridad. Nuevos Retos en el Mundo Digital. Seguridad B2B Telefonica. elevenpaths.com La Seguridad Nuevos Retos en el Mundo Digital Seguridad B2B Telefonica elevenpaths.com 1 La Telefónica que conoce y la que queremos que conozca_ Top 10 de empresas de Telecomunicaciones Presente en 45

Más detalles

Unidad 6. Seguridad en aplicaciones web Ataques a servicios y aplicaciones S E G U R I D A D D E L A I N F O R M A C I O N

Unidad 6. Seguridad en aplicaciones web Ataques a servicios y aplicaciones S E G U R I D A D D E L A I N F O R M A C I O N Unidad 6 Seguridad en aplicaciones web Ataques a servicios y aplicaciones Pen-test vs Vuln. assessment Vulnerability assessment: Proceso de identificar y cuantificar vulnerabilidades en un sistema. Penetration

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

Security Intelligence & Big Data

Security Intelligence & Big Data Security & Big Data Presentada por: Jamardo, Facundo Director de Servicios de Cyber Risk, Deloitte Argentina Cavanna Santiago Especialista en Seguridad, IBM Argentina Un panorama que cambia constantemente

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

Programación de código seguro

Programación de código seguro Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo

Más detalles

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC Seguridad en Redes Módulo 1 Control de acceso Carlos A. Rojas Kramer UCC Agenda Identificación y autenticación. Autorización, derechos y permisos. Modelos de control de acceso. Técnicas y dispositivos

Más detalles

Descripción General de la Empresa SECURE INFO S.A.

Descripción General de la Empresa SECURE INFO S.A. Universidad de Concepción Facultad de Ingeniería Departamento de Ingeniería Informática y Ciencias de Computación Informe Nº1 de la Empresa SECURE INFO S.A. Adm inistración Informática II-2002 Nombres:

Más detalles

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas

Seguridad en aplicaciones web en el ámbito de la e-administración. Problemas más comunes y principales contramedidas Problemas más comunes y principales contramedidas Seguridad en aplicaciones web Problemas más comunes y principales contramedidas Fernando de la Villa Gerente de Soluciones Area Seguridad Mnemo Evolution

Más detalles

Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago

Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago Organiza: Patrocina: Seguridad OWASP en la Certificación PA DSS de Aplicaciones de Pago Abril 2011 Colabora: c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278

Más detalles

Viaje a las nubes, pero asegure la realidad. Roque C. Juárez IBM de México

Viaje a las nubes, pero asegure la realidad. Roque C. Juárez IBM de México Viaje a las nubes, pero asegure la realidad Roque C. Juárez IBM de México Contenido De las buenas intenciones a la realidad. Implicaciones del nuevo paradigma. Dónde ponemos la seguridad? Consideraciones

Más detalles

Solución del ciclo de vida IBM Rational AppScan: la construcción de la seguridad en las aplicaciones de Web para la entrega de software y sistemas.

Solución del ciclo de vida IBM Rational AppScan: la construcción de la seguridad en las aplicaciones de Web para la entrega de software y sistemas. Una protección estratégica para los activos de Web a fin de dar soporte a sus objetivos empresariales Solución del ciclo de vida IBM Rational AppScan: la construcción de la seguridad en las aplicaciones

Más detalles

XSSer. The Cross Site Scripting Framework (ES)

XSSer. The Cross Site Scripting Framework (ES) XSSer The Cross Site Scripting Framework (ES) / Cross Site Scripter / - Última versión: XSSer v1.6 Grey Swarm - Web del proyecto: http://xsser.sf.net - Qué es XSSer? - De dónde viene? - Quién puede usarlo?

Más detalles

Pentesting con OWASP Zed Attack Proxy

Pentesting con OWASP Zed Attack Proxy Pentesting con OWASP Zed Attack Proxy 1. Introducción ZAP es una poderosa herramienta para realizar ataques de penetración (disciplina conocida como Pentesting), que permite analizar sitios web para buscar

Más detalles

White Paper Gestión Dinámica de Riesgos

White Paper Gestión Dinámica de Riesgos White Paper Gestión Dinámica de Riesgos Compruebe por qué un Firewall con control de aplicaciones no es suficiente para los problemas de seguridad de hoy: Cómo controlar el riesgo de la red? Cómo verificar

Más detalles

ADMINISTRACIÓN DE SEGURIDAD Y BIG DATA EN LA PRÁCTICA

ADMINISTRACIÓN DE SEGURIDAD Y BIG DATA EN LA PRÁCTICA ADMINISTRACIÓN DE SEGURIDAD Y BIG DATA EN LA PRÁCTICA Un plan de trabajo de big data en la analítica de la seguridad ASPECTOS FUNDAMENTALES Este informe técnico tratará sobre: La creciente complejidad

Más detalles

Volum: Juan Berlanga Fuentes

Volum: Juan Berlanga Fuentes Títol: Altair-T: Sistema de detección y gestión de amenazas sobre activos Volum: 1 Alumne: Juan Berlanga Fuentes Director: Manuel García-Cervigón Gutiérrez Departament: Arquitectura de computadores Data:

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Ecyware GreenBlue Inspector

Ecyware GreenBlue Inspector Ecyware GreenBlue Inspector Guía de usuario Versión 1.0 Copyright Ecyware Solutions. All rights reserved, Ecyware 2003-2004. Tabla de contenido TABLA DE CONTENIDO 2 INTRODUCCIÓN 4 CARACTERÍSTICAS 5 ECYWARE

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com Investigación y Descubrimiento de Vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com Agenda - El mundo de las vulnerabilidades de seguridad - Descubriendo vulnerabilidades - Experiencias en la investigación

Más detalles

CA Security Management. CA Identity and Access Management

CA Security Management. CA Identity and Access Management CA Security Management CA Identity and Access Management CA Security Management Hoy en día, las organizaciones se enfrentan a múltiples desafíos, muchos de los cuales están relacionados con la administración

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

BrightStor. Storage Management

BrightStor. Storage Management BrightStor Storage Los costos ocultos de la administración ineficiente del almacenamiento Los analistas de la industria estiman que los datos de las empresas crecen en una proporción del 20-40% anual,

Más detalles

La necesidad de construir software seguro

La necesidad de construir software seguro La necesidad de construir software seguro Vicente Aguilera Díaz vicente.aguilera@owasp.org OWASP Spain Chapter Leader Socio de Internet Security Auditors IBM Software Summit #START013. Madrid 06/11/2012.

Más detalles

Creación y gestión de tareas de impresión Soluciones CLARiSUITE

Creación y gestión de tareas de impresión Soluciones CLARiSUITE Garantía de que el código correcto está en el producto adecuado Creación y gestión de tareas de impresión Soluciones CLARiSUITE 2 Las soluciones CLARiSUITE de Videojet ayudan a garantizar que el código

Más detalles

Informe técnico sobre el RailScanner

Informe técnico sobre el RailScanner Informe técnico sobre el RailScanner 1.Introducción El RailScanner es un sistema electrónico de monitoreo que verifica la condición de la vía férrea bajo una carga operativa real. Lo que hace es medir

Más detalles

ITIL. 75.46 - Administración y Control de Proyectos II

ITIL. 75.46 - Administración y Control de Proyectos II ITIL Introducción El problema Gerencia de Ventas Aplicación de Negocio Correo Electrónico Office PC (características requeridas por los aplicativos) Red Servicio 8 a 22 hs, sin interrupciones Antivirus

Más detalles