1. GENERALIDADES 2. OBJETIVOS DE LA PROPUESTA. 2.1 Objetivo General
|
|
- Silvia Vázquez Aguirre
- hace 8 años
- Vistas:
Transcripción
1 CAPITULO IV. DISEÑO DE UN SISTEMA DE MEDIDAS DE SEGURIDAD DE APLICACIÓN INTEGRAL, QUE EVITE QUE LOS ATAQUES INFORMÁTICOS TRASPASEN LAS PAREDES DE FUEGO 1. GENERALIDADES El contenido de este capítulo versa sobre la propuesta de un Diseño de un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego, con el que se busca maximizar la protección entre las computadoras y la Internet, ya que los problemas a los que se están enfrentando las grandes empresas comerciales en este momento, hacen que surja la necesidad de reforzar las medidas de seguridad que hay en las unidades informáticas, en especial, con el fin de proteger la información. Para elaborar el sistema se tomó en cuenta el marco teórico conceptual sobre sistemas de computación administrativa, sistema, medidas de seguridad, ataques informáticos, paredes de fuego y seguridad informática, así como también la información que se recopiló a través de la investigación de campo. Después de planificar, organizar, ejecutar y analizar la investigación de campo, así como obtenidos los resultados de la misma, se analizaron los elementos de juicio necesarios para comprobar que las grandes empresas comerciales, no cuentan con sistema propuesto, en este sentido, es necesario plantear la conveniencia de la implementación de un Diseño de un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego, dentro de las grandes empresas del Sector Comercio. 2. OBJETIVOS DE LA PROPUESTA 2.1 Objetivo General Diseñar un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego, para lograr
2 incrementar la seguridad informática en las gran empresas comerciales que poseen página Web, ubicadas en el área metropolitana de San Salvador. 2.2 Objetivos Específicos Diseñar un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego que sirva como herramienta de trabajo para una mayor seguridad de la información que se maneja. Proporcionar medidas de seguridad que contribuyan a la seguridad de la información al evitar que los ataques informáticos traspasen las paredes de fuego. Planificar y organizar la puesta en marcha de un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego que sirva como herramienta de trabajo para una mayor seguridad de la información que se maneja. 3. IMPORTANCIA Y BENEFICIOS DE LA PROPUESTA 3.1 Importancia de la Propuesta Desde la consolidación de Internet como medio de interconexión global y al volverse una herramienta necesaria para las grandes empresas comerciales, los incidentes de seguridad relacionados con sistemas informáticos vienen incrementándose de manera alarmante. Este hecho, unido a la progresiva dependencia de la mayoría de organizaciones hacia sus sistemas de información, viene provocando una creciente necesidad de implantar mecanismos de protección que reduzcan al mínimo los riesgos asociados a los incidentes de seguridad.
3 Partiendo de lo anterior, la presente propuesta aporta una visión general de los aspectos más relevantes de la seguridad informática, observando esta disciplina desde un punto de vista estratégico y táctico, para lo cual mencionaremos las amenazas y las contramedidas más frecuentes que deberían considerarse en toda organización para evitar que los ataques informáticos traspasen las Paredes de Fuego. 3.2 Beneficios de la Propuesta Para las Grandes Empresas Comerciales La propuesta de este sistema proporcionará a las empresas los lineamientos necesarios para establecer una eficaz gestión de la seguridad informática y a su vez fortalecer la capacidad empresarial para enfrentar la creciente competencia de mercado. A medida que el comercio de las empresas, y su publicación a través de páginas Web se hace más generalizado, la inseguridad en las transacciones comerciales se vuelve un problema crucial y en constante crecimiento que debe ser contemplado por la alta gerencia en la toma de decisiones y en la implementación de soluciones. Al hablar sobre la seguridad informática de las empresas que poseen página Web, nos referimos al gran índice de inseguridad interna de la infraestructura informática de las empresas, así como la falta de una cultura informática necesaria para contemplar estos problemas. El alto grado de vulnerabilidad de la información transferida por la Internet y la facilidad de ataques externos e internos que se traducen en pérdidas que ascienden hasta miles de dólares en términos de información alterada, robada o
4 perdida, hacen imprescindible que toda organización deba estar a la vanguardia de los procesos de cambio. Donde disponer de información continua, confiable y en el tiempo preciso, constituye una ventaja fundamental. Sabiendo que la identificación de los riesgos de la información es de vital importancia, un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego viene a ser una herramienta para las empresas que son cada vez más conscientes de la seguridad informática y no escatiman esfuerzos para evitar ser vulneradas Para el Sistema Económico La importancia para el Sistema Económico y para el país es que todas las empresas pueden acceder a esta herramienta que necesitan. Los costos de las diferentes herramientas de protección se están haciendo accesibles, en general, incluso para las organizaciones más pequeñas. Esto hace que la implementación de mecanismos de seguridad se dé prácticamente en todos los niveles. Empresas grandes, medianas, chicas y las multinacionales más grandes, saben que los atacantes mejoran sus armas y metodologías de penetración de forma incesante, el recambio y la revisión constantes en los mecanismos de seguridad se convierten en imprescindibles. Y éste es un verdadero punto crítico. Los constantes cambios de la tecnología hacen que para mantener un nivel parejo de seguridad cada empresa deba actualizar permanentemente las herramientas con las que cuenta. Contar con un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego es importante por que garantizará el manejo de la información de forma segura, lo cual contribuye a una buena imagen de las empresas. Y de esta forma se podrá ser más atractivos en el mercado mundial, y servir de referencia favorable para inversionistas.
5 3.2.3 Para el Usuario La importancia para el usuario es que el personal de las grandes empresas comerciales, estará manejando la información de manera segura, de tal manera que alcancen o superen las expectativas de los clientes, poniéndose a la orden tanto a nivel nacional como internacional. Además los clientes se verán beneficiados al proporcionárseles un servicio informático eficiente y seguro. Pero también se deben considerar clientes a los otros usuarios, al personal que a diario trabaja con los sistemas y aplicaciones y que son los primeros se favorecerán al trabajar en una plataforma confiable al aplicarse planes de calidad y seguridad informática. El eslabón más débil de la cadena en la seguridad la constituye el humano y no el tecnológico, lo cual destaca la importancia de tener en las empresas, políticas de seguridad, porque no existe, en muchas empresas, un responsable de la seguridad. 4. ALCANCE DE LA PROPUESTA Un Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego ha sido elaborado para que sea implementado, de manera principal, en el área informática de las grandes empresas comerciales, sin embargo, debe abarcar a toda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
6 5. DISEÑO DE UN SISTEMA DE MEDIDAS DE SEGURIDAD DE APLICACIÓN INTEGRAL QUE EVITE QUE LOS ATAQUES INFORMÁTICOS TRASPASEN LAS PAREDES DE FUEGO Para dar a conocer el Sistema de Medidas de Seguridad de Aplicación Integral que Evite que los Ataques Informáticos Traspasen las Paredes de Fuego y ofrecer una visión clara, se elaboró un esquema dentro del cual están representadas cada una de las etapas que lo conforman, así como también los ítems más importantes que se desarrollarán en cada una de ellas, para que al final se pueda obtener el resultado esperado. Luego se llevará a cabo la retroalimentación, la cual podrá permitir que exista un control del sistema y que el mismo tome medidas de corrección en base a la información retroalimentada. 5.1 Esquema Figura N 4 Diseño de un Sistema de Medidas de Seguridad de Aplicación Integral que evite que los Ataques informáticos Traspasen las Paredes de Fuego Etapa I: Diagnóstico del Estado Actual de la Empresa Etapa II: Planeación del Diseño Etapa III: Aplicación de Controles Etapa IV: Organización para la Implementación Etapa V: Evaluación y Control Retroalimentación Fuente: Autores de la Tesis
7 5.2 Objetivos del Diseño Objetivo General Constituir un aporte a través de una serie de etapas y pasos que la empresa deba seguir en forma ordenada y secuencial para implementar y dar vida al Sistema de Medidas de Seguridad propuesto Objetivos Específicos Promover la retroalimentación en Sistema Continuo para que éste sea permanente en la empresa. Permitir enriquecer el Sistema y mejorarlo a través de la participación de los involucrados en su desarrollo. 6. CONTENIDO DEL DISEÑO DE UN SISTEMA DE MEDIDAS DE SEGURIDAD DE APLICACIÓN INTEGRAL QUE EVITE QUE LOS ATAQUES INFORMÁTICOS TRASPASEN LAS PAREDES DE FUEGO Los resultados de la investigación de campo realizada a las Grandes empresas comerciales afiliadas a la ANEP, que están ubicadas en el área metropolitana de San Salvador hasta el mes de noviembre del año dos mil cuatro, respecto a la seguridad informática que poseen para evitar que los ataques informáticos traspasen las paredes de fuego, se evidenció que la mayoría ha detectado intrusos que podrían causar daños a la información de la empresa, evidentemente, arriba del 50% de la población encuestada cree que las medidas que actualmente se toman no son suficientes para mantener la seguridad de la información. Un alto porcentaje de las empresas investigadas manifestó que la seguridad de la información y la integridad y confiabilidad de la información son los beneficios principales que buscan en un sistema de medidas de seguridad.
8 ETAPA I: Diagnóstico del Estado Actual 1. Objetivo Elaborar un análisis que permita conocer los elementos del ambiente tanto internos como externos que puedan llegar a poner en riesgo la seguridad informática de las grandes empresas comerciales que poseen página Web ubicadas en el área metropolitana de San Salvador. 2. Evaluación de Riesgos El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas. Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir). Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado. Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto. La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; es de gran beneficio, analizar las repuestas a algunas interrogantes que ayudan a identificar lo anteriormente expuesto, como ejemplo se tiene:
9 " Qué puede ir mal?" " Con qué frecuencia puede ocurrir?"." Cuáles serían sus consecuencias?" " Qué fiabilidad tienen las respuestas a las tres primeras preguntas?" " Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?" " Cuál es el costo de una hora sin procesar, un día, una semana...?" " Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia? " Se tiene forma de detectar a un empleado deshonesto en el sistema?" " Se tiene control sobre las operaciones de los distintos sistemas?" " Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?" " A que se llama información confidencial y/o sensitiva?" " La información confidencial y sensitiva permanece así en los sistemas?" " La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?" " A quien se le permite usar que recurso?" " Quién es el propietario del recurso? y quién es el usuario con mayores privilegios sobre ese recurso?" " Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario? " Cómo se actuará si la seguridad es violada?" Una vez obtenida la respuesta se hace un cruce de la información, y se examina, de acuerdo al tipo de riego-factor, que se ejemplifica en el cuadro N 7 siguiente:
10 Cuadro N 7 Tipo de Riesgo-Factor Fuente: Site securite handbook, J Reynolds-p Holbrook, julio 1991 Según esta tabla habrá que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios según el factor de riesgo representado. 3. Evaluar los Riesgos Disponibles. Para comenzar el análisis de la Seguridad Informática se deberá conocer las características de lo que se pretende proteger: la Información. Establecer el valor de la información es algo totalmente relativo, pues constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, las aplicaciones y la documentación. Existe Información que debe o puede ser pública: puede ser visualizada por cualquier persona; y aquella que debe ser privada: sólo puede ser visualizada por un grupo selecto de personas que trabaja con ella. En esta última se debe maximizar los esfuerzos para preservarla, por lo que es importante reconocer las siguientes características en la Información:
11 a) Es Crítica: es indispensable para garantizar la continuidad operativa. b) Es Valiosa: es un activo con valor en sí misma. c) Es Sensitiva: debe ser conocida por las personas que la procesan y sólo por ellas. Algunas de las características de la información, a preservar son: a) La Integridad de la Información que es la característica que hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada para posteriores controles o auditorias. Una falla de integridad puede estar dada por anomalías en el hardware, software, virus informáticos y/o modificación por personas que se infiltran en el sistema. b) La Disponibilidad u Operatividad de la Información que es su capacidad de estar siempre disponible para ser procesada por las personas autorizadas. Esto requiere que la misma se mantenga correctamente almacenada con el hardware y el software funcionando perfectamente y que se respeten los formatos para su recuperación en forma satisfactoria. c) La Privacidad o Confidencialidad de la Información que es la necesidad de que la misma sólo sea conocida por personas autorizadas. En casos de falta de confidencialidad, la Información puede provocar severos daños a su dueño o volverse obsoleta (por ejemplo: los planes de desarrollo de un producto que se "filtran" a una empresa competidora, facilitarán a esta última desarrollar un producto de características semejantes). d) El Control sobre la información que permite asegurar que sólo los usuarios autorizados pueden decidir cuando y como permitir el acceso a la misma.
12 e) La Autenticidad que permite definir que la información requerida es válida y utilizable en tiempo, forma y distribución. Esta propiedad también permite asegurar el origen de la información, validando el emisor de la misma, para evitar suplantación de identidades. Adicionalmente pueden considerarse algunos aspectos adicionales, relacionados con los anteriores, pero que incorporan algunos aspectos particulares: Protección a la Réplica: mediante la cual se asegura que una transacción sólo puede realizarse una vez, a menos que se especifique lo contrario: No se deberá poder grabar una transacción para luego reproducirla, con el propósito de copiar la transacción para que parezca que se recibieron múltiples peticiones del mismo remitente original. No Repudio: mediante la cual se evita que cualquier entidad que envió o recibió información alegue, ante terceros, que no la envió o recibió. Consistencia: se debe poder asegurar que el sistema se comporte como se supone que debe hacerlo ante los usuarios que corresponda. Aislamiento: este aspecto, íntimamente relacionado con la confidencialidad, permite regular el acceso al sistema, impidiendo que personas no autorizadas hagan uso del mismo. Auditoria: es la capacidad de determinar qué acciones o procesos se están llevando a cabo en el sistema, así como quién y cuando las realiza. 4. Amenazas para la Seguridad Cabe definir Amenaza, en el entorno informático, como cualquier elemento que comprometa al sistema.
13 Las amenazas pueden ser analizadas en tres momentos: antes del ataque durante y después del mismo. Los siguientes mecanismos conformarán se deben tomar en cuenta para cuando se conformen las políticas que garantizarán la seguridad del sistema informático. a) La Prevención (antes): mecanismos que aumentan la seguridad (o fiabilidad) de un sistema durante su funcionamiento normal. Por ejemplo el cifrado de información para su posterior transmisión. b) La Detección (durante): mecanismos orientados a revelar violaciones a la seguridad. Generalmente son programas de auditoria. c) La Recuperación (después): mecanismos que se aplican, cuando la violación del sistema ya se ha detectado, para retomar éste a su funcionamiento normal. Por ejemplo recuperación desde las copias de seguridad (backup) realizadas. Las preguntas que se hace un técnico en sistemas de información ante un problema de seguridad, normalmente, están relacionadas con medidas defensivas que no solucionan un problema dado, sólo lo transforma o retrasa. La amenaza o riesgo sigue allí y las preguntas que este técnico debería hacerse son: Cuánto tardará la amenaza en superar la "solución" planteada? Cómo se hace para detectarla e identificarla a tiempo? Cómo se hace para neutralizarla? Para responderlas definiremos Riesgo como "la proximidad o posibilidad de daño sobre un bien". Ya se trate de actos naturales, errores u omisiones humanas y actos intencionales, cada riesgo debería ser atacado de las siguientes maneras:
14 1. Minimizando la posibilidad de su ocurrencia. 2. Reduciendo al mínimo el perjuicio producido, si no ha podido evitarse que ocurriera. 3. Diseño de métodos para la más rápida recuperación de los daños experimentados. 4. Corrección de las medidas de seguridad en función de la experiencia recogida. Luego, el Daño es el resultado de la amenaza; aunque esto es sólo la mitad del axioma. El daño también es el resultado de la no-acción, o acción defectuosa, del protector. El daño puede producirse porque el protector no supo identificar adecuadamente la amenaza y, si lo hizo, se impusieron criterios comerciales por encima de los de seguridad. De allí que se deriven responsabilidades para la amenaza (por supuesto) pero también para la figura del protector. Luego, el protector será el encargado de detectar cada una de las vulnerabilidades (debilidades) del sistema que pueden ser explotadas y empleadas, por la amenaza, para comprometerlo. También será el encargado de aplicar las contramedidas (técnicas de protección) adecuadas. Luego para garantizar que un sistema sea fiable se deberá garantizar las características ya mencionadas de Integridad, Operatividad, Privacidad, Control y Autenticidad. Se deberá conocer "qué es lo que queremos proteger", "de quién lo queremos proteger", "cómo se puede lograr esto legislativa y técnicamente"; para luego concluir con la formulación de estrategias adecuadas de seguridad tendientes a la disminución de los riesgos. Comprender y conocer de seguridad ayudará a llevar a cabo análisis sobre los Riesgos, las Vulnerabilidades, Amenazas y Contramedidas; evaluar las ventajas o desventajas de la situación; a decidir medidas técnicas y tácticas metodológicas, físicas, e informáticas, en base de las necesidades de seguridad.
15 5. Determinar las Razones de la Seguridad. Comprender el significado de intranet, Extranet, e Internet es importante porque son términos y conceptos básicos a la hora de diseñar la seguridad de las redes. Los términos definen los segmentos generales de la red. En SOHO, para las implementaciones de empresas, la demarcación intranet para Internet requiere un nivel de seguridad que variara en escala, ámbito y tamaño, como refleja los requisitos de conectividad específicos. Las intranets más complejas y visibles necesitan un a seguridad más sofisticada, porque tal vez los piratas informáticos o los empleados descontentos y curiosos las codicien más como objetivo. Estos términos existen para proporcionar clasificaciones o demarcaciones de varios extremos de red para una diferenciación clara. Para el contexto de nuestra tesis, remítase a estos términos según se describen en esta etapa. La seguridad general comienza con la compresión de cómo estas redes diferentes se interconectan o interactúan entre ellas. Cada una necesita un nivel y un tipo de seguridad diferentes. Estos términos pueden parecer obvios, pero son la base de este capitulo. Las siguientes secciones describen tipos comunes de redes y destacan los componentes de diseño importantes para la seguridad. a) Intranet: las intranets se definen como redes internas sobre las que un usuarios su empresa tienen control. Como punto de referencia formal, definiremos una intranet como una red privada contenida dentro de una empresa. Puede consistir en muchas redes del área local vinculadas entre si, y también utilizar líneas concedidas en la red de área extensa. Normalmente, una intranet incluye conexiones a Internet a través de uno o más equipos de puerta de enlace. El propósito principal de una intranet es compartir la información de una empresa y los recursos informáticos entre los empleados. Las intranets son las LAN y las WAN que interactúan una empresa; también pueden contener puntos de entradas y salidas (extranets e Internet) fuera de su control.
16 Para aclarar el concepto de una intranet, tenga en cuenta lo siguiente: los usuarios necesitan tener acceso a los datos de la empresa. Sin embargo, no todos los usuarios necesitarán tener acceso a toda la red, por ejemplo: Necesita el departamento de operaciones tener acceso a la documentación sobre el servidor y la red?, Necesita el departamento jurídico tener acceso sa los servidores de correo electrónico?, necesita el departamento de ventas tener acceso a la configuración del enrutador o del conmutador? Seguramente la respuesta es no en la mayoría de los casos. Para obtener el nivel mas elevado de seguridad, tal vez los administradores deseen clasificar estas redes en dominios de seguridad con diferentes requisitos de seguridad e implementar paredes de fuego para controlar y filtrar el traficó de acuerdo con esa clasificación. b) Extranet: Las extranets son redes de acceso externo para los asociados de empresa a empresa BSB, (Business-to- Business). Principales u otras redes sobre que el usuario no tiene control. Se define como una extranet a una red privada que utiliza protocolo Internet y el sistema de telecomunicaciones público para compartir de forma segura parte de la información de la empresa u operaciones con proveedores, colaboradores, clientes u otras empresas. Una extranet se puede ver como parte de la intranet de una empresa que se extiende a usuarios que están fuera de la empresa. También se ha descrito como un un estado ánimo en el que Internet se percibe como una forma de hacer negocio con otras empresas así como de vender productos a otros clientes Las relaciones empresariales pueden maximizar la productividad y disminuir el costo de hacer negocios con asociados, proporcionando acceso especializado entre las intranets de las empresas. Las grandes empresas manufactureras a las operaciones al por menor quizás tengan acceso directo al inventario de sus proveedores para proporcionar un registro de cobros o actualizaciones de los
17 depósitos a las bases de datos internas de los inventarios, que, a su vez, pueden activar una transacción con el proveedor para reponer las reservas cuando éstas alcancen un nivel determinado. Otro buen ejemplo de extrenets es el acceso que comparten las entidades gubernamentales como los contratistas militares, las extranets requieren procesos de seguridad adicionales y procedimientos que vayan más allá que los de las intranets. c) Internet: El término de Internet se utiliza sobre todo para describir la ínter conectividad entre redes autónomas (diferentes empresas o redes fuera de su control) que sirven para proporcionar una conectividad colectiva. Una Internet también puede verse como una intranet o una extranet. Con los años, las empresas han ampliado las redes para satisfacer los requisitos departamentales de las empresas o las empresas que se han adquirido y que ya tienen redes que necesitan conectividad con otras intranets. En vez de crear una única red autónoma volviendo a diseñar y a configurar redes existentes, estas redes se pueden unir para crear su propia Internet. Otra razón es el coste y la dificultad asociados a la migración de los protocolos de enrutamiento a un solo protocolo. La mayor Internet es, por supuesto, el World Wide Web, a la que se hace referencia como Internet, el acceso a Internet representa un tipo de riesgo especial para la seguridad. Las amenazas pueden proceder de ubicaciones muy lejanas imposibles de rastrear, para así poder llegar hasta una persona o incluso un origen. Las instrucciones en su red y sus sistemas pueden pasar desapercibidas a menos que haya implantado medidas de seguridad apropiadas y una pared de fuego. d) Proveedores de Servicios de Internet y Empresas Descentralizadas: Los proveedores de Internet (ISP. Internet Service Providers) ofrecen servicios que
18 varían desde la conectividad a Internet para usuarios que necesitan acceso telefónico directo para una PC, hasta los accesos a intranets corporativas que necesitan un acceso enrutador, con velocidades que varían entre los 56 Kbps y los 2,5 Gbps (por ejemplo OC-48). Los ISP proporcionan resúmenes de ruta y acceso para los millones de usuarios que necesitan tener acceso a los innumerables puntos de salida que ofrece el Internet. Para un ISP o una red corporativa grande, hay que prestar gran atención a la seguridad. En este caso, la seguridad tiene que servir para lo siguiente: Proporcionar flujo de tráfico IP ilimitados a ISP o clientes. Proporcionar componentes de acceso muy seguros (conmutadores y enrutadores de la capa 3) que puedan proporcionar acceso compartido en la misma estructura de red a empresas que compiten directamente entre sí. Proporcionar acceso de alta velocidad y una convergencia de enrutamiento rápida con una fragmentación de direcciones IP mínima mediante el resumen de rutas de las direcciones IP sin clase. Estos se haría utilizando el Enrutamiento entre dominios sin clase (CIDR, Classless Inter-Domain Routing). Prevenir el acceso no autorizado a los componentes de enrutamiento de entrada y salida. Controlar la publicidad y el enrutamiento de direcciones IP para evitar los problemas de enrutamiento, las direcciones suplicadas y anuncios del ámbito de las direcciones privadas.
19 Los proveedores de servicios y los diseños de grandes redes corporativas muy descentralizadas necesitan prestar atención especial a la seguridad. Los ISP tienen cientos, o incluso miles, de puntos de entrada/salida a sus redes y todos han de tener la atención puesta en la seguridad. Las empresas globales muy descentralizadas pueden tener empresas subsidiarias que hayan diseñado sus propias redes y que pueden llegar a superar el centenar, es básico conocer los puntos de accesos de entradas y salidas en las ubicaciones de la Intranet a la Internet o extranet. En estos puntos es donde pueden producirse las amenazas y los ataques. Por tanto, resulta básico documentarse, asegurar y controlar el acceso para cada punto de salida de una intranet, extranet o Internet, dado que es la primera línea de defensa en los diseños correctos de una Pared de Fuego. e) Seguridad Departamental: la seguridad en los puntos de entrada y salida departamentales de la intranet es importante para proteger las LAN y los servidores de Recursos Humanos, investigación y Desarrollo, Ingeniería, administración ejecutiva y finazas (por nombrar algunos). Hay muchas amenazas que deberían controlarse y mitigarse cuando se diseña la seguridad departamental. Las amenazas departamentales más habituales son PC desatendidos pero autorizados que cualquiera pueda aprovechar y utilizar, comandos y puertos de red que están activados pero que no se utilizan y que permiten a un individuo no autorizado entrar y conectar un equipo portátil para así tener acceso a la red. Si el protocolo de configuración dinámica del Host (DHCP, Dynamic Host Configution Protocol) está activado en este puerto, obtener una dirección IP disponible resulta aún más fácil, porque DHCP asigna la dirección al dispositivo de conexión. Mientras existan controles simples para mitigar estos riesgos, las paredes de fuego internas pueden reducir el riesgo de un daño global se omitieran estos controles.
20 6. Determinar los Puntos Débiles de la Seguridad de la Información. a) Las Paredes de fuego no ofrecen protección ante lo que se está autorizando. Se estará preguntando qué significa esto. Las Paredes de Fuego protege las aplicaciones y permiten el tráfico normal de comunicaciones hacia dichas aplicaciones; si no, para qué sirve? Si las propias aplicaciones tienen defectos, una Pared de Fuego no detendrá el ataque, dado que para que la Pared de Fuego la comunicación está autorizada. b) Las Paredes de Fuego son tan eficaces como las reglas que tienen que aplicar de acuerdo con su configuración. Un conjunto de reglas demasiado permisivo disminuiría la efectividad de la pared de Fuego. c) La Pared de Fuego no puede detener la ingeniería social o a un usuarios autorizado que utilice su acceso con propósito maliciosos. d) Las paredes de fuego no pueden solucionar las prácticas administrativas débiles o un diseño inadecuado de una directiva de seguridad. e) Las Paredes de Fuego no pueden detener ataques si el tráfico no pasa a través de ellos. 7. Determinar los Puntos Fuertes de la Seguridad de la Información. a) Las Paredes de fuego son excelentes para reforzar las políticas de seguridad de una empresa. Deberían configurarse para restringir la comunicación a lo que los administradores han determinado como aceptable. b) Las Paredes de fuego se utilizan para restringir el acceso a servicios específicos. Por ejemplo, la Pared de Fuego permite el acceso público a un
21 servidor Web pero evita el acceso a Telnet y otros dominios no públicos. La mayoría de las Paredes de Fuego pueden incluso proporcionar acceso selectivo mediante las funciones de autenticación. c) Las Paredes de Fuego tiene un propósito. Por tanto, no hay que comprometer ni la seguridad ni el uso. d) Las paredes de Fuego son excelentes auditores. Dada una gran cantidad de espacios de disco o capacidades de conexión remotas, una Pared de Fuego puede registrar parte o todo el tráfico que pasa a través de él. e) Las paredes de Fuego son excelentes para alertar a las personas apropiadas acerca de los sucesos que se producen. 8. Estudiar las Medidas de Seguridad Actuales de la Empresa. La directiva de seguridad de información de la empresa es el fundamento que establece la información de la empresa como un valor que se debe ser protegido, define la vulnerabilidad de la empresa ante el peligró y las consecuencias de la violación de la seguridad. La directiva de seguridad también define cómo deberían protegerse los datos; la pared de fuego es la implementación de esta directiva. Para las empresas más pequeñas que no dispones de una gran base de datos de directivas formalizadas, es increíblemente útil documentar los propósitos de la red y el uso de la pared de fuego para restringir el uso en función de esto. Las directivas permiten a los administradores denegar muchas solicitudes de nuevo acceso a la pared de fuego que siempre se presenta. Si no se define claramente lo que se debería permitir y lo que no, la efectividad de las paredes de fuego se reduce con el tiempo, ya que cada vez se permite más Servicios.
22 9. Identificación de las Metodologías de Ataque. A pesar de que los muchos intentos por tener acceso no autorizado en una red son síntomas de un ataque relativamente poco sofisticado que utiliza a ciegas y aleatoriamente herramientas fácil de obtener y de utilizar, hay casos en los que no sólo sucede esto. Cuando un ataque no es un simple incidente del azar, si no de un esfuerzo bien organizado para atacar y comprometer la red de datos de una organización especifica, o si crea dudas sobre la seguridad y la fiabilidad de la empresa, se utiliza una metodología más lógica y, a veces, muy eficaz. En la figura Nº 5 se muestra el método sencillo para encontrar y atacar o desactivar una Pared de Fuego. Este método es conocido entre los CRACKERs y, como tal, deberían conocerlo los administradores de las Paredes de Fuego. Esto permite a todos los administradores de sistemas preocupados por la seguridad, estar totalmente preparados para minimizar el impacto de esta metodología de ataque cuando se utilice en contra de sus propios sistemas.
23 Figura N 5 Diagrama de flujo de la metodología de auditoria de una Pared de Fuego Metodología de auditoria de las Paredes de Fuego Selección de destino Creación de Huellas Identificación Escrutinio Omitir y buscar destino Pasar por alto o explotar Denegación de servicios Fuente: Manual de Referencia, Firewalls, Keith E. Strassberg 9.1 Selección de Destino: Hay muchos motivos por los que una empresa puede ser objeto de una ataque. La mayoría de empresas de tamaño medio o grande tienen algún tipo de presencia de Internet. El simple hecho de esta presencia puede ser suficiente para que su empresa se convierta en el objetivo. Por el contrario, puede ser parte de una venganza personal contra organizaciones específicas, como un ex empleado enfadado, o una persona que no esta de acuerdo con una postura política o social concreta de la empresa. El hecho de tener empleados descontentos o relaciones públicas impopulares es casi imposible evitarlo. Pues no se pueden tener satisfechos a todos los empleados
24 y no es posible estar fuera de la presencia de Internet. Esto hace que la empresa, en general, y la pared de fuego, en concreto, sea el destino de un ataque. Independientemente de las razones o las motivaciones, una vez que se haya elegido un destino el siguiente paso es siempre el mismo: la creación de huellas. 9.2 Creación de Huellas: Recopilar información, detalles y especificaciones con la arquitectura de red de la empresa es necesario para un atacante serio. Los métodos utilizados son muchos y variados. Normalmente, cuando más moderna sea la identificación técnica de la red y sus diversas partes, más obvios son los métodos para aquellas empresas y administradores que saben lo que buscan. Por ejemplo, es bastante inocuo buscar información técnica en los registros públicos o las listas de correo. Sin embargo, realiza un examen detallado del sistema operativo o del servicio en el perímetro de red es otra cosa. Las siguientes subsecciones proporcionan una descripción detallada de las distintas fases de la recopilación de inteligencia, junto con algunas de las herramientas más conocidas y ejemplos de los tipos de información que se puede descubrir. 9.3 Poner Demasiada Información en Usenet: A menudo, una búsqueda en Usenet es una gran fuente de información para posibles infiltrados. Es habitual que los administradores, sin darse cuenta, expongan información sobre sus sistemas internos, que sería recomendable que fuera privada, el intercambio de información es la contramedida más eficaz para una exposición de Usenet, es una directiva global que describa lo que es información apropiada para publicarla y lo que no es, así como concienciar a los empleados acerca de la seguridad.
25 9.4 Determinación de Agujeros de la Pared Filtros de Paquetes Los filtros de paquete, como Check point firewall-1 y cisco PIX, analiza el tráfico de red en la capa del protocolo de transporte. Cada paquete se examina para determinar si la comunicación está permitida en función de la información de los encabezados de las capas de transporte y de red, y la dirección a la que va dirigido el paquete. Los filtros de paquetes habilitan al administrador para permitir o prohibir la transferencia de datos en función de la interfaz física de la red a la que llega el paquete, la dirección IP de origen a la que van los datos, el tipo de capa de transporte, el tipo de puerto de origen de la capa de transporte, Pared de Fuego Proxy de Nivel de Aplicación Las paredes de fuego Proxy de nivel de paquete operan en la capa de aplicación de la pila del protocolo. Una pared de fuego de nivel de aplicación ejecuta una aplicación del servidor Proxy que actúa un camino entre dos sistemas. Un cliente inicia una solicitud al servidor que se ésta ejecutando en la pared de fuego de nivel de aplicación, para conectarse a un servidor externo como FTP o HTTP. A continuación, evalúa la solicitud y admite o la deniega basándose en un conjunto de reglas que se aplica aun servidor determinado. La pared de fuego Proxy de nivel de aplicación son inteligentes porque pueden comprender el protocolo del servicio que ésta evaluando por lo tanto, sólo permite pasar a los paquetes compatibles con el protocolo de ese servicio. Una vez identificado una pared de fuego de forma positiva, puede iniciar el ataque. Seguramente, lo primero que un atacante hará es buscar en la red una o todas las vulnerabilidades que tiene una pared de fuego específico. Esta sección describe algunas vulnerabilidades y errores de configuración habítales que pueden sufrir las implementaciones de la pared de fuego, cómo las descubre y las explota el
26 atacante, y algunos ejemplo específicos de algunos incidentes que se han publicado Simulación de la Sesión Una simulación IP es una técnica en la que el atacante envía mensajes a un host con una dirección IP de origen que el host considera de confianza. Esto se ilustra en la siguiente figura N 6. Figura N 6 Representación visual simplificada de la simulación IP Fuente: Manual de Referencia, Firewalls, Keith E. Strassberg Si la pared de fuego no está configurada para verificar las solicitudes de conexión en función de la dirección IP de origen así como para determinar en que interfaz se origina la solicitud de conexión, esto podría permitir al atacante tener acceso libre a los host que aceptan las conexiones. La contramedida frente a la simulación IP consiste en configurar la pared de fuego para rechazar todos los paquetes que se originen a la interfaz externa de la pared
27 de fuego que contiene las direcciones IP de los host ubicados en la interfaz interna, o redes de confianza Apropiación de la Sesión Uno de los usos avanzados de la simulación de IP se conoce como apropiación de la sesión. Este es ataque que aprovecha un error fundamental en el protocolo TCP, permitiendo que un paquete se inunde y se inserte en una cadena de datos. A continuación, el atacante puede controlar la cadena de datos y enmascararse como un usuario real. Esto sólo es posible si el atacante tiene la capacidad de espiar de forma promiscua en la cadena de datos. Al referirnos de accesos no autorizados de las paredes de fuego, se supone que el atacante no tiene acceso a la red que aloja al servidor de destino de estas secciones. Por lo tanto, el atacante tiene que ser capaz de ver el tráfico de la victima bien en la misma red de la victima o bien en cualquier punto de la ruta entre la victima y el destino antes de llegar a la pared de fuego Lista de Control de Accesos Liberales Una lista de control de accesos (ACL, Access Control List) es una regla que determina que trafico tiene autorización para entrar a una red interna o salir de ella. Las ACL son muy eficaces cuando se implementa correctamente. Sin embargo, cuando se necesita un complejo conjunto de reglas, se puede introducir errores de forma inadvertida en una configuración, y permitir a un atacante crear correspondencia para toda la red. Se pueden utilizar muchas herramientas para comprobar la regla de ACL de una pared de fuego.
28 9.4.6 Túnel Túnel hace referencia al uso de un puerto abierto en una pared de fuego para pasar tráfico no esperado a través de dicha pared de fuego. Esto se ilustra en la Figura siguiente. Existen varias herramientas que facilitan esta tarea, tal y como se describe en las siguientes subsecciones, pero todas necesitan que un atacante haya comprometido ya al sistema dentro del perímetro configurado. Por suerte para los atacantes, es relativamente fácil conseguir que un usuario final abra el archivo adjunto de un correo electrónico, cosa que de lo contrario no harían. Figura N 7 Puerto abierto en una pared de fuego para pasar tráfico no esperado a través de una pared de fuego Fuente: Manual de Referencia, Firewalls, Keith E. Strassberg Acceso Externo Mediante Proxy Permitir el acceso externo a un servidor proxy habilita a los atacantes para utilizar sistema como un trampolín para atacar de forma anónima otros sistemas ese
29 empleando las vulnerabilidades que se han encontrado en los servicios de proxy (especialmente HTTP, FTP Y SOCKS). Para solucionar este ataque, siga las instrucciones del fabricante para desactivar el acceso de proxy desde la interfaz externa de la pared de fuego. También puede configurar el enrutador de borde de flujo ascendente de las ACL para restringir el tráfico de proxy entrante Sistemas Operativos y Aplicaciones Como los servicios externos protegidos por las paredes de fuego de proxy a nivel de aplicación en realidad están alojados en máquinas internas, estas conexiones están a merced de cualquier debilidad o error que se encuentre en esos servicios o el sistema operativo en el que se ejecutan esos servicios. La contramedida a este ataque es una batalla continua. Es muy importante descargar e instalar las revisiones y actualizaciones de los fabricantes tan pronto como estén disponibles No Especifico de la Pared de Fuego. Uno de los problemas más graves al que se puede enfrentar un administrador es una mala configuración o un error en la implementación de la capacidad de acceso remota del la pared de fuego. Es muy importante que sólo se proporcione acceso remoto a la pared de fuego bajo el control más estricto y con el mayor cuidado y preocupación. Comprometer la capacidad de administración remota es como dejar las llaves de casa puestas. Por desgracia, los errores en este importante servicio ya se han descubierto.éste es otro motivo para controlar, realizar auditorias y actualizar la pared de fuego y su configuración. Es muy importante que los administradores comprendan completamente lo que están haciendo cuando activan las capacidades de acceso
30 remoto, así como tener buenos conocimientos sobre la configuración de estas capacidades derivadas de la documentación de cada fabricante Denegación de Servicio. La denegación de servicio es un incidente en el que se priva a un usuario, red u organización de los servicios de los recursos que normalmente tienen. Generalmente, la pérdida está asociada a la desactivación de un servicio individual de red, como el correo electrónico, o la pérdida temporal de conectividad y servicios de red. Las paredes de fuego son susceptibles de varios tipos de ataques de denegación de servicio. ETAPA II: Planeación del Sistema 1. Objetivo. Estructurar un plan para llevar a cabo la implementación del Sistema 2. Diseño De Estrategias para la Aplicación del Sistema. 2.1 Estrategia de Seguridad Para establecer una estrategia adecuada es conveniente pensar una política de protección en los distintos niveles que esta debe abarcar y que no son ni mas ni menos que los estudiados hasta aquí: Física, Lógica, Humana y la interacción que existe entre estos factores. En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva BENSON, Christopher. Estrategias de Seguridad. Inobis Consulting Pty Ltd. Microsoft Solutions.
31 La Estrategia Proactiva (proteger y proceder) o de previsión de ataques es un conjunto de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. Para determinar el daño que un ataque va a provocar en un sistema, deberían explotarse las debilidades y puntos vulnerables durante los ataque s que han sucedido, ya que esto ayudará a desarrollar una mejor estrategia. La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible. Con respecto a la postura que puede adoptarse ante los recursos compartidos: Lo que no se permite expresamente está prohibido: significa que la organización proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa está prohibida. Lo que no se prohíbe expresamente está permitido: significa que, a menos que se indique expresamente que cierto servicio no está disponible, todos los demás sí lo estarán. Estas posturas constituyen la base de todas las demás políticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qué acciones se toleran y cuáles no. Actualmente, y gracias a las, cada día más repetitivas y eficaces, acciones que atentan contra los sistemas informáticos los expertos se inclinan por recomendar la primera política mencionada.
32 2.2 Diseño de una Directiva de Seguridad Aceptable para la Empresa. Se necesitarán varias directivas específicas para asegurar que los sistemas se utilizan y administran de acuerdo con las expectativas de la administración. Las directivas especificas hacen referencia a los métodos de seguridad detallados necesarios para salvaguardar la red y los sistemas de la red ante acciones perjudiciales, ya sean intencionadas o no. Las directivas específicas incluyen lo expuesto a continuación, pero no se deberían limitar sólo a ello. 2.3 Políticas de Seguridad para Empresas Específicas Dadas las diferencias entre las organizaciones, es conveniente analizar algunas cuestiones importantes que deben considerarse para escribir una política, por ejemplo: A quién se le permite tener una cuenta en su sitio? Tiene cuentas para huéspedes Qué hacer al respecto de los contratistas, proveedores y clientes? Pueden compartirse las cuentas entre varias personas? Qué pasa si una secretaria usa la cuenta de un ejecutivo para procesar el correo electrónico de esa persona? Qué de los proyectos en común? Qué hay de los miembros de la familia? Se comparte cuenta si permite que alguien tome prestada por un momento una ventana máquina? Cuándo pierde la gente el derecho de tener una cuenta y qué hacer al respecto? Qué -pasa si la gente se va o se le niega el acceso? Quién puede instalar módems para entrar a la red? Es correcto que otras personas instalen módems para hacer llamadas externas? Hay algo especial acerca de las líneas PPP, SUP o ISDN?
33 Qué debe hacer la gente antes de conectar una computadora a la red principal? Qué tan seguras deben ser las computadoras antes de obtener servicios de máquinas que se mantienen en forma centralizada? Qué tan seguras deben ser las computadoras para conectarse a una red sin protección con acceso a Internet? Cómo se protegerá la información financiera? Cómo se protegerá la información confidencial sobre la gente? Qué tienen que hacer los usuarios para protegerse a sí mismos y al sitio? Qué clase de contraseñas deben tener y cuándo deben cambiarlas? Qué puede hacer la gente en Internet? Pueden transferir archivos ejecutables al azar y ejecutarlos? Qué precauciones debe tomar contra los virus de las computadoras personales? Quién puede conectar su sitio con redes externas y qué es una red externa? Es correcto que un administrador de proyecto conecte su sitio a otro sitio específico? Qué pasa si establece una segunda conexión a Internet? Cómo van a asegurarse las computadoras caseras? Cómo van a tener acceso seguro a su red? Cómo va a tener acceso a la red la gente que viaja?
34 Qué información de la compañía se considera confidencial? Cómo será protegida? Puede enviarse fuera del sitio por medio del correo electrónico? Si tiene sitios remotos, cómo van a asegurar el acceso hacia su red principal? 2.4 Lo que Debe Contener una Política de Seguridad Primero y más importante, la política de seguridad es una forma de comunicarse con los usuarios y los gerentes. Debe decirles lo que deben saber para tomar las decisiones que deben tornar respecto a la seguridad Explicaciones Es importante que la política sea explícita y comprensible sobre por qué deben tomarse ciertas decisiones. Casi nadie sigue las instrucciones a menos que entienda por qué son importantes. Una política que especifique lo que debe hacerse, pero no por qué, está destinada al fracaso. Tan pronto como la gente que la escribió se vaya u olvide por qué tomó esa decisión, dejará de tener efecto Las Responsabilidades de Todos Una política establece expectativas y responsabilidades entre usted, sus usuarios y su gerencia; le permite a todos saber qué esperar el uno del otro. Es un error publicar una política que se concentre totalmente en lo que deben hacer los usuarios para que el sitio sea seguro (suena hostil e injusto), o totalmente en lo que deben hacer los administradores del sistema (le da razones a los usuarios para creer que alguien más se encargará de la seguridad y, por lo tanto, que no tienen que preocuparse por ella).
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesInfraestructura Tecnológica. Sesión 10: Sistemas cortafuego
Infraestructura Tecnológica Sesión 10: Sistemas cortafuego Contextualización Actualmente tendemos a utilizar los sistemas de comunicación en una forma masiva, por lo que no siempre tenemos el cuidado adecuado
Más detallesCONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesSeminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets
Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 1 de 12 Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 3 Bienvenida. 4 Objetivos. 5 Interacciones de Negocios
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesRedes de Área Local: Configuración de una VPN en Windows XP
Redes de Área Local: Configuración de una VPN en Windows XP Tatiana Echegoyen Blasco Facultad de Informática UPV - Curso 2005/2006 Índice 1. Qué es una VPN?...2 2. Cómo funciona una VPN?...2 3. Por qué
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesCapítulo IV. Manejo de Problemas
Manejo de Problemas Manejo de problemas Tabla de contenido 1.- En qué consiste el manejo de problemas?...57 1.1.- Ventajas...58 1.2.- Barreras...59 2.- Actividades...59 2.1.- Control de problemas...60
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesCómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.
El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones
Más detallesIntroducción a las redes de computadores
Introducción a las redes de computadores Contenido Descripción general 1 Beneficios de las redes 2 Papel de los equipos en una red 3 Tipos de redes 5 Sistemas operativos de red 7 Introducción a las redes
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesBYOD - Retos de seguridad
BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir
Más detallesPlus500 Ltd. Política de privacidad
Plus500 Ltd Política de privacidad Política de privacidad Política de privacidad de Plus500 La protección de la privacidad y de los datos personales y financieros de nuestros clientes y de los visitantes
Más detallesCondiciones de servicio de Portal Expreso RSA
Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados
Más detallesJavier Bastarrica Lacalle Auditoria Informática.
Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 11 CONTROL DE ACCESO 11.4 CONTROL DE ACCESO A
Más detallesMANUAL DE CALIDAD ISO 9001:2008
Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO
Más detallesPOLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización
POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA Nuestra política de privacidad se aplica al uso de las aplicaciones informáticas de los siguientes medios de comunicación: LaTercera, LaCuarta,
Más detallesMetodología básica de gestión de proyectos. Octubre de 2003
Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesInfraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor
Infraestructura Tecnológica Sesión 5: Arquitectura cliente-servidor Contextualización Dentro de los sistemas de comunicación que funcionan por medio de Internet podemos contemplar la arquitectura cliente-servidor.
Más detallesEnkarga.com LLC. Política de privacidad
Enkarga.com LLC. Política de privacidad Esta declaración de privacidad explica qué información recopilamos de usted se utiliza al ordenar productos Enkarga.com LLC y cuando usted visita nuestros sitios.
Más detallesDECLARACIÓN DE PRIVACIDAD DE FONOWEB
DECLARACIÓN DE PRIVACIDAD DE FONOWEB Fonoweb se compromete a respetar su privacidad y la confidencialidad de su información personal, los datos de las comunicaciones y el contenido de las comunicaciones
Más detallesRequisitos de control de proveedores externos
Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,
Más detallesPreguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información
Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesLo que usted necesita saber sobre routers y switches. Conceptos generales.
Lo que usted necesita saber Conceptos generales. Qué es Routing y Switching? Una red empresarial permite a todos los integrantes de su compañía conectarse entre sí, a clientes, Socio de Negocioss empresariales,
Más detallesTecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu
Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesPrácticas ITIL para un mejor flujo de trabajo en el helpdesk
Prácticas ITIL para un mejor flujo de trabajo en el helpdesk Se diferencia tres partes de gestión para mejorar la resolución de las incidencias de soporte técnico según el marco ITIL: 1. Gestión de Incidencias
Más detalles1.2 Alcance. 1.3 Definición del problema
1. INTRODUCCIÓN El avance de Internet y las comunicaciones de los últimos años ha provocado un interés creciente por el desarrollo de propuestas metodológicas que ofrezcan un marco de referencia adecuado
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesCUESTIONARIO DE AUTOEVALUACIÓN
CUESTIONARIO DE AUTOEVALUACIÓN El presente Cuestionario permite conocer en qué estado de madurez se encuentra el Sistema de Gestión Ambiental (en adelante, SGA) de su organización, de acuerdo a los requisitos
Más detallesAspectos Básicos de Networking
Aspectos Básicos de Networking ASPECTOS BÁSICOS DE NETWORKING 1 Sesión No. 4 Nombre: Capa de transporte del modelo OSI Objetivo: Al término de la sesión el participante aplicará las principales características
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesCloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico:
Cloud Security Alliance Política de Privacidad Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: La información
Más detallesDispositivos de Red Hub Switch
Dispositivos de Red Tarjeta de red Para lograr el enlace entre las computadoras y los medios de transmisión (cables de red o medios físicos para redes alámbricas e infrarrojos o radiofrecuencias para redes
Más detallesMETODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.
METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III,
Más detallesBechtle Solutions Servicios Profesionales
Soluciones Tecnología Bechtle Solutions Servicios Profesionales Fin del servicio de soporte técnico de Windows Server 2003 No hacer nada puede ser un riesgo BECHTLE Su especialista en informática Ahora
Más detallesMantenimiento de Sistemas de Información
de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD MSI 1: REGISTRO DE LA PETICIÓN...4 Tarea MSI 1.1: Registro de la Petición... 4 Tarea MSI 1.2: Asignación de la Petición... 5 ACTIVIDAD
Más detallesPRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE
PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,
Más detallesOperación 8 Claves para la ISO 9001-2015
Operación 8Claves para la ISO 9001-2015 BLOQUE 8: Operación A grandes rasgos, se puede decir que este bloque se corresponde con el capítulo 7 de la antigua norma ISO 9001:2008 de Realización del Producto,
Más detallesIntroducción a la Firma Electrónica en MIDAS
Introducción a la Firma Electrónica en MIDAS Firma Digital Introducción. El Módulo para la Integración de Documentos y Acceso a los Sistemas(MIDAS) emplea la firma digital como método de aseguramiento
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesPolíticas para Asistencia Remota a Usuarios
Políticas para Asistencia Remota a I. OBJETIVO La presente política tiene como objetivo establecer las pautas, condiciones, responsabilidades y niveles de seguridad correspondientes en el uso de la herramienta
Más detallesSecurity Health Check
www.pwc.es Security Health Check Aportamos el valor que necesitas Un problema no tan lejano... Durante los últimos años, las empresas han abordado procesos de transformación tecnológica sin precedentes
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesPOLÍTICA DE PRIVACIDAD DEL SITIO WEB DE KARDAMILI. Lineamientos generales
POLÍTICA DE PRIVACIDAD DEL SITIO WEB DE KARDAMILI Lineamientos generales Esta política de privacidad lo guiará en relación con nuestros lineamientos relacionados con el uso de su información personal,
Más detallesSeminario Electrónico de Soluciones Tecnológicas sobre Content Networking
Seminario Electrónico de Soluciones Tecnológicas sobre Content Networking 1 de 13 Seminario Electrónico de Soluciones Tecnológicas sobre Content Networking 3 Bienvenida. 4 Objetivos. 5 Soluciones comerciales
Más detallesMINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA
MINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA La Paz, Agosto de 2010 REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO INTERNET
Más detallesEl outsourcing o tercerización u operador logístico
El outsourcing o tercerización u operador logístico Es una de la mega tendencia en los tiempos de la globalización que cada día toma mayor auge en el mundo empresarial y consiste básicamente en la contratación
Más detallese-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.
Comercio electrónico. (e-commerce) Las empresas que ya están utilizando la red para hacer comercio ven como están cambiando las relaciones de la empresa con sus clientes, sus empleados, sus colaboradores
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesSistemas de Gestión de Calidad. Control documental
4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesCapítulo 5. Cliente-Servidor.
Capítulo 5. Cliente-Servidor. 5.1 Introducción En este capítulo hablaremos acerca de la arquitectura Cliente-Servidor, ya que para nuestra aplicación utilizamos ésta arquitectura al convertir en un servidor
Más detallesADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS
5 ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS Contenido: 5.1 Conceptos Generales Administración de Bases de Datos Distribuidas 5.1.1 Administración la Estructura de la Base de Datos 5.1.2 Administración
Más detallesModelo de Política de Privacidad
Queda prohibido cualquier tipo de explotación y, en particular, la reproducción, distribución, comunicación pública y/o transformación, total o parcial, por cualquier medio, de este documento sin el previo
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesTener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos:
Protege tu WiFi Qué riesgos hay en que alguien utilice nuestra WiFi? Tener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos: Reducción del ancho de banda. Dependiendo
Más detallesGUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES
GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES Tema: Cartas de Servicios Primera versión: 2008 Datos de contacto: Evaluación y Calidad. Gobierno de Navarra. evaluacionycalidad@navarra.es
Más detallesDE VIDA PARA EL DESARROLLO DE SISTEMAS
MÉTODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS 1. METODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS CICLO DE VIDA CLÁSICO DEL DESARROLLO DE SISTEMAS. El desarrollo de Sistemas, un proceso
Más detallesOBJETIVOS DE APRENDIZAJE
PLAN DE ESTUDIOS: SEGUNDO CICLO ESPECIALIDAD COMPUTACIÓN 4 to AÑO CAMPO DE FORMACIÓN: ESPECIALIZACIÓN ÁREA DE ESPECIALIZACIÓN: EQUIPOS, INSTALACIONES Y SISTEMAS UNIDAD CURRICULAR: ADMINISTRACIÓN DE SISTEMAS
Más detallesInfraestructura Tecnológica. Sesión 1: Infraestructura de servidores
Infraestructura Tecnológica Sesión 1: Infraestructura de servidores Contextualización La infraestructura de cualquier servicio o mecanismo es importante, define el funcionamiento de los elementos en que
Más detallesInformación de Producto:
Windows Server 2008 Foundation La nueva tecnología rentable de Windows Server 2008 Foundation La tecnología confiable y comprobada de Windows Server Foundation proporciona una base para ejecutar las aplicaciones
Más detallesINTERNET 4º ESO INFORMATICA / DEP. TECNOLOGIA
INTERNET 4º ESO INFORMATICA / DEP. TECNOLOGIA INTERNET Es una red mundial descentralizada, constituida por ordenadores que se conectan mediante un protocolo especial de comunicación, Internet Protocolo
Más detallesSISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT
SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,
Más detallesNorma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad
Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos 4. Sistema de Gestión de la Calidad Figura N 1. Estructura del capítulo 4, Norma ISO 9001:2008. La Norma ISO 9001: 2008
Más detallesPROPÓSITO... 2 DETERMINANTES PARA UNA BUENA EXPERIENCIA DE USO...
Tabla de Contenido PROPÓSITO... 2 DETERMINANTES PARA UNA BUENA EXPERIENCIA DE USO... 2 1. LA PRESENCIA DE INFORMACIÓN Y AYUDA ÚTIL PARA COMPLETAR LOS TRÁMITES EN LÍNEA.... 2 2. LA DISPONIBILIDAD DE DIVERSOS
Más detallesQué es un firewall? cortafuegos firewall
FIREWALL Qué es un firewall? Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones
Más detallesPrincipios de Privacidad y Confidencialidad de la Información
Principios de Privacidad y Confidencialidad de la Información Con el objetivo de mantener nuestro permanente liderazgo en la protección de la privacidad del cliente, Manufacturera 3M S.A de C.V está activamente
Más detallesSoporte Técnico de Software HP
Soporte Técnico de Software HP Servicios Tecnológicos HP Servicios contractuales Datos técnicos El Soporte Técnico de Software HP ofrece servicios integrales de soporte remoto de para los productos de
Más detallesServicio de administración de pautas publicitarias en Internet
Servicio de administración de pautas publicitarias en Internet Resumen Ejecutivo Es habitual que la publicidad en Internet sea un apéndice de la publicidad en otros medios. Como no se conocen los resultados,
Más detallesAcciones Correctivas y Preventivas. Universidad Autónoma del Estado de México
Acciones Correctivas y Preventivas Universidad Autónoma del Estado de México Mejora Continua La mejora continua del desempeño global de la organización debería ser un objetivo permanente de ésta. Mejora
Más detallesNOTAS TÉCNICAS SOBRE EL SIT: Definición y Configuración de Usuarios
NOTAS TÉCNICAS SOBRE EL SIT: Definición y Configuración de Usuarios Qué es un Usuario?...2 Definición...2 Características...2 Tipos de Usuario...3 Supervisor...3 Privilegios de Acceso...4 Confidenciales...4
Más detallesREGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesPolítica de Seguridad
Firewalls y Seguridad en Internet Sin tener en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso
Más detallesIAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN
IAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN Introducción 1. Las Normas Internacionales de Auditoría (NIA) se aplican a la auditoría de la información
Más detalles1. La falsa sensación de seguridad 2. La falsa creencia de que la seguridad de la información es meramente tecnológico.
Para la Gerencia de Negocios Estratégicos de SEGURIDAD ONCOR LTDA., es muy importante tener esta ventana de información, en la cual tratamos cada mes temas de gran sensibilidad para nuestros clientes en
Más detallesPOLITICA DE PRIVACIDAD. www.tuboleta.com
http://vive.tuboleta.com/content/privatepolicy.aspx POLITICA DE PRIVACIDAD Tu Boleta respeta la privacidad de todos sus clientes y contactos comerciales, y está comprometido a salvaguardar la información
Más detallesDirectiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros
Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros 2004 I HOJA DE INFORMACION GENERAL CONTROL DOCUMENTAL: PROCEDIMIENTO:
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detalles[VPN] [Políticas de Uso]
[VPN] [Políticas de Uso] [I] ÍNDICE [1] CONTEXTO GENERAL [1.1] ÁMBITO DEL SERVICIO [1.2] DISPONIBILIDAD DEL SERVICIO [2] NORMAS DE USO VPN [2.1] ALCANCE CONEXIÓN VPN PUCV [2.2] ACCESO A LAN PUCV [2.2.1]
Más detallesNORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.)
NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.) Normas de Uso Aceptable y Seguridad de la Red de datos de la Universidad Autónoma de Madrid (U.A.M.)
Más detallesPropuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA
Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA Documento de trabajo elaborado para la Red Temática DocenWeb: Red Temática de Docencia en Control mediante Web (DPI2002-11505-E)
Más detalles