Seguridad informática y protección de datos

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Seguridad informática y protección de datos"

Transcripción

1 Web Sciences Research Digitally signed by NOMBRE SANZ FUENTES JUAN IGNACIO - NIF S DN: c=es, o=fnmt, ou=fnmt Clase 2 CA, ou= , cn=nombre SANZ FUENTES JUAN IGNACIO - NIF S Reason: I am the author of this document Location: Pozuelo de Alarcón, Madrid (Spain) Date: :56:54 +01'00' ABC The ideal architect should be a man of letters, a skillful draftsman, a mathematician, familiar with historical studies, a diligent student of philosophy, acquainted with music; not ignorant of medicine, learned in the responses of jurisconsults, familiar with astronomy, and astronomical calculations Vitruvius 25 B.C. Seguridad informática y protección de datos Introducción: Evaluación de la Vulnerabilidad (VA Vulnerability Assessment) Escuela Politécnica Superior - Universidad CEU San Pablo Ingeniería Informática Seguridad informática y protección de datos - curso tercero (3º) Juan Ignacio Sanz Fuentes - - D Juan Ignacio Sanz Fuentes Madrid - enero 2009

2 Contenido Ventanas de vulnerabilidad Conceptos Calcular ventanas de vulnerabilidad Cálculo de Riesgos Evaluación de la vulnerabilidad: Vulnerability Assessment (VA) PASO 1: Descubrir información PASO 2: Enumeración PASO 3: Detección Tecnologías de seguridad para realizar VA Tests de penetración/intrusión vs. VA ETAPA 1: recuperar información ETAPA 2: detectar vulnerabilidades ETAPA 3: atacar y penetrar Referencias

3 Ventanas de vulnerabilidad

4 Qué entendemos por vulnerabilidades Vulnerabilidad (hace tiempo...): Error en el código (SW) o en el hardware que una persona malintencionada podría aprovechar. Vulnerabilidad (concepto moderno): Error en el código (SW) o en el hardware o defecto en la configuración que una persona malintencionada podría aprovechar. Gestión de la vulnerabilidad: Gestión de parches Gestión de la configuración Gestión de la seguridad Clasificación: Propia de cada fabricante (vendor) Intento de normalización/estandarización: CVE (Common Vulnerabilities and Exposures). CVE-year-number Cuál es el problema real? Ventanas de vulnerabilidad

5 Ventanas de vulnerabilidad Ventana de vulnerabilidad: Intervalo de tiempo en el que un sistema es vulnerable a un defecto de seguridad, problema de configuración u otro aspecto que reduzca la seguridad. Ventana de vulnerabilidad desconocida (unknown window of vulnerability): intervalo de tiempo que transcurre desde que se descubre una vulnerabilidad hasta que el sistema se arregla (patch). Ventana de vulnerabilidad conocida (known window of vulnerability): intervalo de tiempo que transcurre desde que un fabricante lanza un parche hasta que el sistema se arregla (patch). Aspectos a tener en cuenta: Políticas de versiones/parches, configuraciones para el Plan de Seguridad Software de terceros, open source,.... Security mailing Lists de diversos fabricantes: Bugtraq VulnWatch Full-Disclosure https://lists.grok.org.uk/mailman/listinfo/full-disclosure Microsoft Security Bulletins Apple Security Alerts

6 Calcular ventanas de vulnerabilidad (I) Vulnerability Name IE createtextrange Vulnerability (CVE ) Sendmail Race Condition (CVE ) Approximate Date Reported to Vendor Date Vendor Released Patch Time Delta (days) 10/02/ /04/ /01/ /03/ Date Patch Installed / Risk mitigated WMF Vulnerability (CVE ) 27/12/ /01/ Quicktime QTS Overflow (CVE ) MediaPlayer BMP Overflow (CVE ) 17/11/ /01/ /10/ /02/

7 Calcular ventanas de vulnerabilidad (II) Vulnerability Name IE createtextrange Vulnerability (CVE ) Approximate Date Reported to Vendor Date Vendor Released Patch Time Delta (days) Date Third- Party Patch Released Time Delta (days) 10/02/ /04/ /3/ Date Patch Installed / Risk mitigated WMF Vulnerability (CVE ) 27/12/ /01/ /12/2005 4

8 Cronograma de algunas vulnerabilidades comprometedoras Sendmail Race Condition (CVE ) ENE FEB MAR RV VP XC WMF Vulnerability (CVE ) DEC ENE 1 5 XC 0 dias MAR 3P 4 dias VP 9 dias IE createtextrange Vulnerability (CVE ) FEB RV XC 3P ABR VP 80 dias 82 dias RV = Reported to Vendor VP = Vendor Released Patch 3P = Third Party Patch XC = Exploit Code 60 dias 42 dias 0 dias Windows Media Player BM Overflow (CVE ) OCT 1 5 NOV DIC ENE FEB RV VP XC 121 dias 120 dias 0 dias

9 Calcular el riesgo que presentan las vulnerabilidades Factores: Puntuación asignada por el fabricante Criticidad o nivel de compromiso de los sistemas afectados dentro de una organización Número de sistemas afectados dentro de una empresa Exposición de los sistemas afectados en la organización Riesgo = Vulnerabilidad x Ataques x Amenazas x Exposición (Risk = Vulnerability x Attacks x Threads x Exposure) Criticidad? Puntuación del fabricante? Entorno?

10 Ejemplos de Riesgo Un entorno de servidores de una compañía de alojamiento popular vulnerables a CVE (Condición de carrera de sendmail) V = 5, A = 2, T = 4, E = 5 R = 5 x 2 x 4 x 5 = 200 (1min máx) Para el mismo entorno de servidores de la misma empresa calcular la vulnerabilidad a CVE (Windows MetaFile) V = 5, A = 5, T = 1, E = 1 R = 5 x 5 x 1 x 1 = 25 (1min máx) Misma vulnerabilidad anterior CVE (Windows MetaFile) en un entorno de usuario final, que navega por Internet de forma habitual: V = 5, A = 5, T = 5, E = 3 R = 5 x 5 x 5 x 3 = 375 (1min máx)

11 CVSS: Common Vulnerability Scoring System métricas Fijadas por los fabricantes. Una vez asignadas NO cambian. fórmula Base Métricas del Grupo Base Vector de acceso Complejidad de acceso Autentificación punt. Base Impacto sobre la confidencialidad Impacto sobre la integridad Impacto sobre la disponibilidad Métricas del Grupo Temporal Vector de acceso Complejidad de acceso Autentificación Métricas del Grupo de Entorno Daños colaterales Distribución de objetivos Requisito de confidencialidad Requisito de integridad Requisito de disponibilidad métricas Fijadas por los fabricantes. Pueden modificar su valor a lo largo el tiempo. fórmula Temporal punt. Temporal métricas Fijadas por los usuarios finales en función de la configuración de su entorno fórmula Entorno punt. Entorno

12 Evaluación de la vulnerabilidad (Vulnerability Assessment VA)

13 Conceptos Métodos tradicionales y alternativos para descubrir vulnerabilidades Misión de reconocimiento militar: conocer fortalezas y debilidades Secuencia de tres pasos: Paso 1: Descubrimiento (Information gathering/discovery) Paso 2: Enumeración (Network Enumeration) Paso 3: Detección (Detection)

14 Paso 1: descubrimiento Proceso por el que nos aseguramos del contexto que se pretende evaluar: el objetivo el identificar y determinar el número total de sistemas y aplicaciones que se evaluarán. Resultado de esta etapa: hostnames rangos y direcciones IP puertos Información de contacto Proceso: No intrusivo: whois proporciona: dirección física, contactos, rangos de IP, servidores DNS (RIPE), Semi-intrusivo: nmap -sp (nmap -sl) Nessus (Tenable Network Security) y Retina (eeye Digital Security) Elaboran informes, automatizaciones, planificables, mayor precisión

15 Paso 2: enumeración Proceso para determinar el sistema operativo (OS fingerprinting) y las aplicaciones que residen en la máquina Puertos conocidos: que utilizan procesos con privilegios de root ICANN (Internet Corporation for Assigned Names and Numbers) e IANA (Internet Assigned Numbers Authority) nmap -sv Permite asociar puertos a aplicaciones y por tanto a vulnerabilidades: es la etapa previa a la detección

16 Paso 3: detección Permite determinar si un sistema o aplicación es susceptible de ser atacada (vulnerable) NO confirma que la vulnerabilidad existe (test de penetración) Herramientas de pago: Nessus (tenable Network Security) Retina (eeye Digital Security) Preguntan y comparan respuestas y en función de la respuesta deciden si existe vulnerabilidad o no.

17 Tecnologías de seguridad para realizar VA Interpretar datos de las herramientas de VA Duración del tiempo de sondeo Número de máquinas Vulnerabilidades por severidad Vulnerablidades totales Vulnerabilidades por máquina Remediar para evaluar Política de actualizaciones Puede compensar la ausencia de una infraestructura para VA Gestión de Actualizaciones y de Configuraciones Contabilidad de actualizaciones por máquina Control de configuración de cada máquina Exige el mantenimiento de gestores de BBDD y sistemas intermedios

18 Tests de Penetración/ Intrusión vs. VA (pen tests)

19 Tests de penetración A nivel de sistema, red o aplicación. Tipos de tests: black box: usuarios malintencionados, trata de explotar 0 day y otras vulnerabilidades. No hay reglas, explotar todos los recursos (SQL, XSS,...). Avanzadillas, revelar información, bots,... white box: con conocimiento previo de los bienes (diagramas de red, código fuente de aplicaciones, credenciales, etc). Limitados (disponibilidad), planificados, autorización previa,... Resultados: Validar programas y políticas de seguridad Valorar productos Conformar controles de seguridad (estrategias defense in-depth) Soporte a Auditorías de Internet (OWASP

20 Etapas de un Test de penetración Etapa 1: Recuperar información Etapa 2: Detectar vulnerabilidades Etapa divertida: identificar y confirmar vulnerabilidades Cómo proceder si sale a la luz una nueva vulnerabilidad? Datos de partida de la etapa anterior: Lista de sistemas comprobar Lista de sistemas que NO en necesario comprobar Etapa 3: Atacar y penetrar Interno, externo, o ambos Core Impact, Core Security, metodologías y Frameworks propios

21 Etapa 1: recuperar información Pasos 1 y 2 de la VA: descubrimiento y enumeración Resultados por máquina: IP address MAC address Sistema operativo Servicios Software instalado Clasificación de los bienes (assets) (Gestión del riesgo) Identificar assets: información, SW, HW, servicios de comunicaciones Identificar propietarios Parámetros: confidencialidad, valor, sensibilidad al factor tiempo, credenciales, destrucción Resultado: Diseñar y definir zonas de seguridad (Planificar la VA por diversos criterios: criticidad, localización,...) Programar los test de ataque Conocer y valorar la infraestructura necesaria para llevar a cabo VA

22 Etapa 2: detectar vulnerabilidades Empresa Producto URL eeye Digital Security Retina Tenable Network Security Nessus Internet Security Systems (ISS) Internet Scanner Configurar herramienta: Máquinas Puertos Auditoría (SANS Top 20 u otras) Opciones adicionales Credenciales Metodologías propias: OWASP en aplicaciones web (http://www.owasp.org Guide Project)

23 Vulnerability Assessments vs. Penetration Tests VAs: El tiempo es un condicionante El coste es un dato a tener en cuenta Se persigue ver si las correcciones funcionan Evaluar la tendencia PTs: Inventario de bienes limitado Necesitamos confirmar aspectos relativos a la seguridad Flexibilidad financiera El tiempo no es un problema

24 Cuándo sondear Razones para sondear (scan): Ante la aparición de nuevas vulnerabilidades Ante el lanzamiento de actualizaciones o parches Punto de control en el tiempo del estado de las políticas correctoras (Plan Director de Seguridad PDS) Compromiso entre rendimiento y alcance del sondeo (Clase C -> días!!!) Planificación Cuándo sondear Qué sondear Nuevas vulnerabilidades Lanzamiento de actualizaciones Punto de control Como respuesta inmediata al conocimiento de la vulnerabilidad. De lo más comprometido a lo menos comprometido Dependiendo de las políticas de configuración y eliminación de vulnerabilidades Ante cambios en el entorno Según las políticas o programas del PDS (bimensual, cuatrimestral) Compromiso rendimiento/ precisión. Sondear sistemas o aplicaciones concretos y dependientes de la vulnerabilidad. Valoración de VA tools (0 day) Sistemas comprometidos Ayuda en las auditorías de configuración: herramientas de gestión de configuraciones Totalmente dependiente de la herramienta de VA Dependerá del estado del proyecto y sondeos anteriores

25 Referencias

26 Referencias Robert J. Shimonski, Will Schmied, Dr. Thomas W. Shinder, Victor Chang, Drew Simonis, Damiano Imperatore. Building DMZs for Enterprise Networks by Syngress Publishing, Inc. Steve Manzuik, André Gold, Chris Gatford. Network Security Assessment: From Vulnerability to Patch by Syngress Publishing, Inc. Peter Mell, Karen Scarfone, Sasha Romanosky. A Complete Guide to the Common Vulnerability Scoring System. Version 2.0. June, Forum of Incident Response and Security Teams (FIRST). Disponible en The Open Web Application Security Project (OWASP). OWASP 2.0: A Guide to Building Secure Web Applications and Web Services 2.0 Black Hat Edition. July 27, Disponible en

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado

Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado Qué es un pentest? Es un método para evaluar la seguridad de un ordenador o una red de ordenadores simulando un ataque externo o interno no autorizado Qué implica? Un análisis activo del sistema en busca

Más detalles

Seguridad en Software Libre

Seguridad en Software Libre Seguridad en Software Libre Carlos Sarraute Ariel Futoransky 7 junio 2005 USUARIA 2005 Motivación Hay alguna diferencia estratégica perceptible entre la seguridad de soluciones de código abierto vs. código

Más detalles

Guía Docente ESCUELA POLITÉCNICA SUPERIOR

Guía Docente ESCUELA POLITÉCNICA SUPERIOR Guía Docente SEGURIDAD INFORMÁTICA Y PROTECCIÓN DE DATOS TERCER CURSO SEGUNDO SEMESTRE GRADO EN INGENIERÍA DE SISTEMAS DE INFORMACIÓN MODALIDAD: PRESENCIAL CURSO 2015/2016 ESCUELA POLITÉCNICA SUPERIOR

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

Prácticas y Tecnologías de Seguridad Informática

Prácticas y Tecnologías de Seguridad Informática El estado del arte actual Iván Arce І ivan.arce@corest.com Prácticas y Tecnologías Agenda El estado actual: Prácticas Penetration Tests El estado actual: Herramientas Vulnerability Scanners Intrusion Detection

Más detalles

Tests de Intrusión. Análise da seguridade en entornos GNU/Linux

Tests de Intrusión. Análise da seguridade en entornos GNU/Linux Francisco José Ribadas Pena ribadas@uvigo.es Departamento de Informática Universidade de Vigo Tests de Intrusión. Análise da seguridade en entornos GNU/Linux Ferramentas de seguridade en GNU/Linux Curso

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Seguridad en Redes Introducción al Ethical Hacking

Seguridad en Redes Introducción al Ethical Hacking Seguridad en Redes Introducción al Ethical Hacking Félix Molina Ángel molina@uagro.mx Objetivo: Fomentar la importancia de asegurar los recursos informáticos para evitar el acceso no autorizado. Agenda

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010 La seguridad como ventaja competitiva Web Application: Security Tips Hernán M. Racciatti hracciatti@siclabs.com SICLABS Acerca del Autor Analista

Más detalles

Adelantándose a los Hackers

Adelantándose a los Hackers 1 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 5 de Julio de 2001 Buenos Aires - ARGENTINA 2 Adelantándose a los Hackers Temario

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

Ethical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar

Ethical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Ethical Hacking Capacitación IT 13/03/2013 Federico Pacheco @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Contenidos Las evaluaciones de seguridad El hacker ético Metodología de ataque

Más detalles

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas. El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones

Más detalles

Introducción al análisis automático de la seguridad de aplicaciones web

Introducción al análisis automático de la seguridad de aplicaciones web Introducción al análisis automático de la seguridad de aplicaciones web 22 de octubre de 2012 1 Contenidos Vulnerabilidades de seguridad en aplicaciones web Herramientas para el análisis de vulnerabilidades

Más detalles

Del Penetration Test a la realidad

Del Penetration Test a la realidad Del Penetration Test a la realidad Autor: MSc. Julio C. Ardita (jardita@cybsec.com) Resumen: Analizar la evolución de las metodologías y técnicas de Penetration Test (Evaluación de la Seguridad) desde

Más detalles

Hacking Ético y Frameworks Opensource

Hacking Ético y Frameworks Opensource Hacking Ético y Frameworks Opensource Mariano Nuñez Di Croce mnunez@cybsec.com Febrero 11-13, 13, 2009 IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información La Habana,, Cuba Copyright

Más detalles

Implantación de un Sistema de Gestión de Seguridad de la Información según la

Implantación de un Sistema de Gestión de Seguridad de la Información según la Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

Hacking en 5 pasos usando Software libre

Hacking en 5 pasos usando Software libre Hacking en 5 pasos usando Ponente: JUAN DAVID BERRIO LOPEZ judabe2003@gmail.com Ingeniero en Informática. Especialista en redes Universidad san Buenaventura Posgrado en Seguridad Redes UOC, CCNSP Cyberoam/India

Más detalles

Administración y Seguridad de Sistemas 2016 Ethical Hacking

Administración y Seguridad de Sistemas 2016 Ethical Hacking Administración y Seguridad de Sistemas 2016 Ethical Hacking Carina Indarte Juan Ignacio Larrambebere Guillermo Leopold Agustín Romano Ethical Hacking Introducción Footprinting Doxing Áreas de testeo y

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com

Investigación y Descubrimiento de Vulnerabilidades. Lic. Julio C. Ardita jardita@cybsec.com Investigación y Descubrimiento de Vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com Agenda - El mundo de las vulnerabilidades de seguridad - Descubriendo vulnerabilidades - Experiencias en la investigación

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Programación de código seguro

Programación de código seguro Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo

Más detalles

Seguridad Informática: Introducción (II)

Seguridad Informática: Introducción (II) Seguridad Informática: Introducción (II) Jesús Moreno León j.morenol@gmail.com Septiembre 2010 Estas diapositivas son una obra derivada de los seminarios de formación impartidos por Marta Beltrán y Antonio

Más detalles

mnunez@cybsec.com 12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina

mnunez@cybsec.com 12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina Mariano Nuñez Di Croce mnunez@cybsec.com 12 de Septiembre de 2007 Hotel Sheraton Buenos Aires - Argentina Agenda Introducción al Penetration Testing El PenTest Hoy Casos Reales El Futuro del Penetration

Más detalles

Del Penetration Test a la Realidad

Del Penetration Test a la Realidad 1 MSc. Julio C. Ardita jardita@cybsec.com 10 15 de Mayo de 2004 VII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones La Habana - CUBA 2 Temario - Qué es el Penetration

Más detalles

un enfoque práctico en el entorno universitario

un enfoque práctico en el entorno universitario Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario Evangelino Valverde Álvarez Área de Tecnología y Comunicaciones UCLM Contexto 4 campus Ciudad Real, Albacete, Cuenca, Toledo

Más detalles

Seguridad Informática: Test de intrusión

Seguridad Informática: Test de intrusión Seguridad Informática: Test de intrusión Jesús Moreno León j.morenol@gmail.com Septiembre 2010 Estas diapositias son una obra derivada del artículo Test de intrusión de Chema Alonso y de los seminarios

Más detalles

Sistema de Medición de Riesgos en Enrutadores bajo el. Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler Amador Donado

Sistema de Medición de Riesgos en Enrutadores bajo el. Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler Amador Donado Sistema de Medición de Riesgos en Enrutadores bajo el estándar 802.11g basándose en los lineamientos i planteados por la OSSTMM Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler

Más detalles

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Manual de Aplicación Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Johana Sosa Contenido Introducción... 3 1. Conceptos

Más detalles

Cómo citar el artículo Número completo Más información del artículo Página de la revista en redalyc.org

Cómo citar el artículo Número completo Más información del artículo Página de la revista en redalyc.org REICIS. Revista Española de Innovación, Calidad e Ingeniería del Software E-ISSN: 1885-4486 reicis@ati.es Asociación de Técnicos de Informática España Pozo Zulueta, Delmys; Quintero Ríos, Mairelis; Hernández

Más detalles

White Paper Gestión Dinámica de Riesgos

White Paper Gestión Dinámica de Riesgos White Paper Gestión Dinámica de Riesgos Compruebe por qué un Firewall con control de aplicaciones no es suficiente para los problemas de seguridad de hoy: Cómo controlar el riesgo de la red? Cómo verificar

Más detalles

Auditoría de Seguridad

Auditoría de Seguridad Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad

Más detalles

Guía de Pentesting Básico

Guía de Pentesting Básico Guía de Pentesting Básico V1.0 Jul 2014 Ing. Aarón Mizrachi CISA ITILv3F Introducción al Pentesting Definición: Es un tipo de auditoría externa basada en ataques, orientada a ganar acceso en los sistemas

Más detalles

Unidad 8. Evaluación y gestión de seguridad S E G U R I D A D D E L A I N F O R M A C I O N

Unidad 8. Evaluación y gestión de seguridad S E G U R I D A D D E L A I N F O R M A C I O N Unidad 8 Evaluación y gestión de seguridad S E G U R I D A D D E L A I N F O R M A C I O N Sistemas de Evaluación - Objetivos Mostrar que un sistema cumple requerimientos de seguridad específicos bajo

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Mesografía y Bibliografía.

Mesografía y Bibliografía. Mesografía y Bibliografía. Capítulo 1. [1]- ROJAS Nava, Leticia. Arquitectura de seguridad perimetral y en sitio para sistemas Unix Caso: Unidad de Servicios de Cómputo Académico de la Facultad de Ingeniería.

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

Práctica de laboratorio 8.4.3 Realización de análisis de vulnerabilidad

Práctica de laboratorio 8.4.3 Realización de análisis de vulnerabilidad Práctica de laboratorio 8.4.3 Realización de análisis de vulnerabilidad PRECAUCIÓN: Es posible que este laboratorio no cumpla con las políticas de seguridad legales y de la organización. El analizador

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

INFORME DE VULNERABILIDADES 2º SEMESTRE 2011

INFORME DE VULNERABILIDADES 2º SEMESTRE 2011 INFORME DE VULNERABILIDADES 2º SEMESTRE 2011 2º Semestre 2011 La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo licencia Reconocimiento-No comercial

Más detalles

Listado de Guías CCN-STIC

Listado de Guías CCN-STIC MARZO 2015 LIMITACIÓN DE RESPONSABILIDAD El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente cualquier tipo de garantía implícita que se pueda encontrar

Más detalles

Seguridad Ofensiva en WordPress

Seguridad Ofensiva en WordPress V WordPress Meetup Facultad de Ciencias del Trabajo Seguridad Ofensiva en WordPress EDUARDO SÁNCHEZ Readme.html Eduardo Sánchez (Profesor F.P.) Ingeniero Informático / Master Seguridad TIC Comunidades:

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Juan Isaias Calderón CISSP, GCFA, ECSA, CEH, MCP jcalderon@trustwave.com SpiderLabs Lámina 1 Dr. Roberto Gómez C. Inseguridad de las aplicaciones Web De 300 sites auditados

Más detalles

Práctica de Seguridad en Redes

Práctica de Seguridad en Redes Práctica de Seguridad en Redes Juan Boubeta Puig y Antonio García Domínguez Seguridad y Competencias Profesionales Departamento de Ingenieria Informatica Universidad de Cadiz Curso 2012-2013 1. Descripción

Más detalles

Palabras Clave Amenazas, Vulnerabilidades, Redes Inalámbricas, Seguridad de la Información, Usuarios SoHo, Análisis y Gestión de Riesgos.

Palabras Clave Amenazas, Vulnerabilidades, Redes Inalámbricas, Seguridad de la Información, Usuarios SoHo, Análisis y Gestión de Riesgos. RESUMEN Este artículo explica el estudio que se realizó para proporcionar a los Usuarios SoHo(Small Office, Home Officce) una herramienta que mide el nivel de riesgo que puede tener una red inalámbrica

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

www.microsoft.com/sir

www.microsoft.com/sir www.microsoft.com/sir Este documento tiene fines exclusivamente informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPRESA, IMPLÍCITA O PREVISTA POR LEY, CON RESPECTO A LA INFORMACIÓN CONTENIDA

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

info.uruguay@isec-global.com 4342-4685 4342-2079 4342-5440 www.isec-global.com

info.uruguay@isec-global.com 4342-4685 4342-2079 4342-5440 www.isec-global.com thical Ethical La permanente exposición al riesgo de robo, extravío, alteración o delitos sobre la información confidencial de las empresas, las sitúa en una posición bastante delicada y critica, por lo

Más detalles

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial Presentada por: Julio César Ardita, CTO CYBSEC jardita@cybsec.com Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento

Más detalles

OWASP: Un punto de vista. aplicaciones web seguras

OWASP: Un punto de vista. aplicaciones web seguras OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

Más detalles

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Más detalles

Especificaciones Técnicas para Ethical Hacking

Especificaciones Técnicas para Ethical Hacking Especificaciones Técnicas para Ethical Hacking OBJETIVO PRINCIPAL El BANCO DEL ESTADO, requiere efectuar un estudio de Ethical Hacking sobre su infraestructura, que permita identificar y corregir las vulnerabilidades

Más detalles

Métodos actuales de Apropiación de dominios

Métodos actuales de Apropiación de dominios Métodos actuales de Apropiación de dominios HackMeeting 2003 Pamplona, 24-26 de Octubre Vicente Aguilera Díaz vaguilera@isecauditors.com Contenido 1. Introducción 2. Registro de dominios 3. Métodos de

Más detalles

Fundamentos y categorías de ataques LSI 2013/2014

Fundamentos y categorías de ataques LSI 2013/2014 Fundamentos y categorías de ataques LSI 2013/2014 Contenido Conceptos básicos y definiciones Categorías de ataques Servicios de seguridad Mecanismos de seguridad 2 Introducción Seguridad Informática: El

Más detalles

Protección de los clientes contra los ataques a la red

Protección de los clientes contra los ataques a la red Protección de los clientes contra los ataques a la red La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fecha

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

Universidad Nacional de La Matanza Escuela Internacional de Informática

Universidad Nacional de La Matanza Escuela Internacional de Informática Universidad Nacional de La Matanza Escuela Internacional de Informática Curso 02 Días: de lunes 20 a viernes 24 de Octubre Horario: de 8:30 a 12:30 hs. Horas totales del curso: 20 con evaluación Cantidad

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Respuesta al. Reto de Análisis Forense. Resumen ejecutivo. Marzo de 2006. Germán Martín Boizas

Respuesta al. Reto de Análisis Forense. Resumen ejecutivo. Marzo de 2006. Germán Martín Boizas Respuesta al Reto de Análisis Forense Resumen ejecutivo Marzo de 2006 Germán Martín Boizas Introducción Este documento es el resumen ejecutivo en respuesta al reto de análisis forense lanzado por UNAM-CERT

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

De los #exploits al más m s allá!

De los #exploits al más m s allá! De los #exploits al más m s allá! Joaquín Paredes Senior Security Consultant Ing. Iván Huertas Security Consultant 1 Agenda Tendencias en Seguridad para el 2013: APT como tendencia destacada APT & Botnets

Más detalles

Port Scanning. Definición

Port Scanning. Definición Universidad del Valle de Guatemala Redes Ing. Gerson Raymundo Donald Antonio Velásquez Aguilar, 09379 Javier Alejandro Pérez Archila, 09377 Fecha: 27/05/2012 Port Scanning Definición El término Port Scanning

Más detalles

DESARROLLO DE METODOLOGÍA PARA HALLAZGOS DE VULNERABILIDADES EN REDES CORPORATIVAS E INTRUSIONES CONTROLADAS. DIEGO FERNANDO ORTIZ ARISTIZÁBAL

DESARROLLO DE METODOLOGÍA PARA HALLAZGOS DE VULNERABILIDADES EN REDES CORPORATIVAS E INTRUSIONES CONTROLADAS. DIEGO FERNANDO ORTIZ ARISTIZÁBAL DESARROLLO DE METODOLOGÍA PARA HALLAZGOS DE VULNERABILIDADES EN REDES CORPORATIVAS E INTRUSIONES CONTROLADAS. DIEGO FERNANDO ORTIZ ARISTIZÁBAL FUNDACIÓN UNIVERSITARIA LOS LIBERTADORES FACULTAD DE INGENIERÍAS

Más detalles

SECURITY DAY PERU. Ataques a la familia de Sistemas Operativos Windows. Explotando Vulnerabilidades a Servicios / Ataques a Clientes.

SECURITY DAY PERU. Ataques a la familia de Sistemas Operativos Windows. Explotando Vulnerabilidades a Servicios / Ataques a Clientes. SOLUTIONS FOR KEEPING YOUR BUSINESS UP Email: info@ximark.com Tel. +(507) 271 5951 Tel. +(1) 928 752 1325 Aptdo. 55-0444, Paitilla. Panama City, Panama SECURITY DAY PERU Ataques a la familia de Sistemas

Más detalles

TEMARIO. Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía

TEMARIO. Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía TEMARIO Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía Fundamentos de seguridad de la información o Conceptos y definiciones o Fuga

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

Microsoft Security Intelligence Report

Microsoft Security Intelligence Report Microsoft Security Intelligence Report Volumen 12 JULIO DICIEMBRE DE 2011 PRINCIPALES CONCLUSIONES www.microsoft.com/sir Microsoft Security Intelligence Report Este documento se publica exclusivamente

Más detalles

Gestión de la Seguridad con OSSIM

Gestión de la Seguridad con OSSIM Mayo del 2006 www.itdeusto.com Gestión de la Seguridad con OSSIM Gonzalo Asensio Asensio Jefe de Proyecto Seguridad Informática gasensio@itdeusto.com La Seguridad en IT-Deusto Área de Seguridad IT Deusto

Más detalles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

La importancia de las pruebas de penetración (Parte I)

La importancia de las pruebas de penetración (Parte I) Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > La importancia de las pruebas de penetración (Parte I) La importancia de las pruebas de penetración (Parte I) Por Erika Gladys

Más detalles

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian)

Quienes somos. Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) CON Quienes somos Eduardo Arriols (@_Hykeos) Roberto Lopez (@leurian) Estudiantes de Ing. Informática en la EPS de la UAM y apasionados del mundo de la seguridad informática y el hacking. Fundadores del

Más detalles

Práctica de laboratorio 8.4.3 Realización de análisis de vulnerabilidad

Práctica de laboratorio 8.4.3 Realización de análisis de vulnerabilidad Práctica de laboratorio 8.4.3 Realización de análisis de vulnerabilidad PRECAUCIÓN: Es posible que este laboratorio no cumpla con las políticas de seguridad legales y de la organización. El analizador

Más detalles

UNIVERSIDAD DE LA RIOJA

UNIVERSIDAD DE LA RIOJA PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

PROPUESTA DE UN MODELO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

PROPUESTA DE UN MODELO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN PROPUESTA DE UN MODELO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Rogfel Thompson Martínez 1 Centro Telemática. UCI. La Habana. rthompson@uci.cu RESUMEN Las tecnologías y software desarrollados en el

Más detalles

ANÁLISIS DE RIESGOS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES TOP TEN DE OWASP.

ANÁLISIS DE RIESGOS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES TOP TEN DE OWASP. ANÁLISIS DE RIESGOS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES TOP TEN DE OWASP. Lenin Salgado, Mario Ron, Fernando Solis Universidad de las Fuerzas

Más detalles

Sophos Endpoint Security and Control Guía de inicio de usuario independiente

Sophos Endpoint Security and Control Guía de inicio de usuario independiente Sophos Endpoint Security and Control Guía de inicio de usuario independiente Sophos Endpoint Security and Control para Windows, versión 10.0 Sophos Anti-Virus para Mac OS X, versión 8 Edición: junio de

Más detalles

Práctica 1. Ethical Haking. Pentest en la red.

Práctica 1. Ethical Haking. Pentest en la red. Administración de la seguridad informática (Planes y respuestas a contigencias) Práctica 1. Ethical Haking. Pentest en la red. dsc.itmorelia.edu.mx/~hferreir/isms/practica1/ Introducción. CEH (Certified

Más detalles

Seguridad en Redes (Monitoreo y Control)

Seguridad en Redes (Monitoreo y Control) Seguridad en Redes (Monitoreo y Control) Problema Las Redes de computadores estan diseñadas para lograr el maximo de conectividad. Por lo generar una red corporativa provee un conjunto de servicios criticos

Más detalles

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas W8: wexplor VIROLOGÌA Y CRIPTOLOGÌA 4NM73 W8:INTERNET EXPLORER U5: FILE TRANSFER

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB. FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB. MODULO II - HACKING

Más detalles