Universidad de Colima Facultad de Telemática

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Universidad de Colima Facultad de Telemática"

Transcripción

1 Universidad de Colima Facultad de Telemática ANÁLISIS E IMPLEMENTACIÓN DE UN ESQUEMA DE SEGURIDAD EN REDES PARA LA UNIVERSIDAD DE COLIMA TESIS Que para obtener el grado de MAESTRO EN CIENCIAS, AREA TELEMATICA Presenta Ing. Aaron Clemente Lacayo Arzú Asesor M.C. Raymundo Buenrostro Mariscal Colima, Colima Julio de 2004

2

3 Dedicatoria A Dios. Por darme la fuerza espiritual que siempre le pedí para llegar a mis metas. A mi Padre, Antonio Lacayo García, que en paz descanse. Por que siempre me aconsejo y me indico el buen camino. Te Amo, Papa, que Dios te tenga en su gloria. A mi Madre, Bertha Isabel Arzú Cacho Por estar siempre apoyándome y darme aliento para seguir adelante. Te Amo, madre, que Dios te bendiga. A mis hermanos Por creer en mí y motivarme a seguir adelante. A Patricia Alejandra Tabora Motiño. Mi linda. Por su inmenso amor y cariño Te Amo. Al Gobierno de México Porque esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México Muchas gracias por darme la oportunidad de completar mis estudios de maestría.

4 Agradecimiento Luego de un largo período y esfuerzo doy por terminada la Maestría en Ciencias Área Telemática, por lo que deseo agradecer a todos los que día a día me brindaron su apoyo incondicional. Primeramente deseo darle gracias a Dios, por todas las bendiciones derramadas en mi vida y principalmente por toda la fortaleza que obtuve y que hoy me permite culminar una etapa importante en mi vida. A mi familia, que me ha brindado apoyo y motivación constante para poder enfrentar este reto tan importante para mi bienestar personal y profesional. A la MAE. Patricia Alejandra Tábora Motiño por su tutoría constante en el desarrollo de la investigación. Al M.C. Raymundo Buenrostro por su apoyo incondicional para sacar adelante la investigación. A todos y cada uno de los profesores que participaron en el programa de la maestría por sus enseñanzas, su comprensión y disponibilidad. Al personal de la Dirección General de Servicios Telemáticos de la Universidad de Colima, por su apoyo y aportaciones. Al Gobierno de México, por permitirme culminar mis estudios gracias a la beca otorgada por la Secretaría de Relaciones Exteriores. y a todas y cada una de las personas que han estado a mi lado y me han brindado apoyo y palabras de aliento.

5 Resumen La seguridad informática requiere no solo de recursos tecnológicos, sino también de procesos y recursos humanos capacitados y especializados, esta meta es difícil de alcanzar pues existe un constante cambio, ya que día a día se descubren nuevas vulnerabilidades, nuevos tipos de ataques y nuevos parches que aplicar a los sistemas institucionales, convirtiendo la operación de la seguridad en una tarea sumamente compleja y demandante. El presente documento es sobre el desarrollo de la seguridad informática en la Intranet Universitaria, considerando las amenazas de seguridad desde perspectivas diferentes para permitir de esta forma conocer algunos riesgos que pueden afectar a la institución, así como determinar el nivel de madurez de la seguridad informática con relación al estándar ISO/17799, además se presentan una serie de lineamientos que la Dirección General de Servicios Telemáticos tiene que seguir para la adecuada implementación del plan táctico que se propone en la presente investigación.

6 Abstract Not only does computer security require technological resources, but also processes combined with trained and specialized human resources. Due to constant changes this goal is difficult to achieve, since new forms of vulnerability are discovered on a daily basis, along with new kinds of attack and new patches to be applied in institutional systems, hence turning the operation of security into a highly complex and demanding task. This research project deals with the development of computer security in the university Intranet, taking into consideration security threats from different perspectives so as to identify some risks which could affect the institution. This project also intends to determine the level of maturity regarding computer security in relation to the ISO/17799 standard, in addition to presenting the guidelines that the General Department of Telematic Services has to follow to properly implement the tactic proposed in this research project.

7 INDICE DE CONTENIDO CONTENIDO... Pagina Introducción ii Descripción de la Problemática... iii Objetivo General... iv Metas y Alcances... iv Justificación..iv Capitulo 1: Seguridad Informática Antecedentes de la Seguridad Estándares de Seguridad en Redes Estándar BS Estándar ISO/ La Seguridad en Redes Tipos de Ataques y Amenazas Amenazas Internas Amenazas Externas Reconocimiento Acceso no Autorizado Denegación de Servicios Mecanismos de Seguridad Roles de los Mecanismos de Seguridad en Redes Seguridad Perimetral Control de Rutas Permitidas Detección de Intrusión Políticas de Seguridad Selección de Controles Puntos de Inicio para la Política de Seguridad Informática Factores Críticos de Éxito Documento de la Política de Seguridad Informática... 44

8 1.6.5 Revisiones y Evaluaciones Coordinación de la Seguridad Informática Controles de Autorización para la Asignación de Recursos de Seguridad Informática Consejo de un especialista en seguridad informática Coordinación entre organizaciones Verificación independiente de la Política de seguridad informática Errores en la Planificación de la Seguridad Informática Capitulo 2: Contextualización y Análisis de Vulnerabilidades Marco Metodológico Levantamiento Información Análisis de Vulnerabilidades Análisis de Riesgos Plan táctico de seguridad Introducción al desarrollo de la metodología Contextualización Redes y Comunicaciones Servicio Electrónicos de Intranet Seguridad Perimetral Zona de Internet Zona de Red Interna Zona Militarizada Zona Desmilitarizada Estructura General de cada Campus Infraestructura Tecnológica evaluada Descripción de las pruebas Pruebas Internas Pruebas Externas Ejecución del Análisis de Vulnerabilidades Ejecución de las pruebas... 81

9 2.5.3 Dispositivos de Comunicación Firewalls Herramientas Utilizadas Análisis de Pruebas Generación de reportes Interpretación de los resultados Hallazgos Internos Hallazgos Externos Capitulo 3: Análisis de Riesgos Administración de Riesgos Valoración de riesgos Mitigación de Riesgos Desarrollo del Análisis de Riesgos Priorización de Riesgos Priorización de Controles Priorización de Actividades Controles de DIGESET respecto a las mejores prácticas Nivel de madurez de los controles de Seguridad Informática con base en el estándar ISO Resultados Consolidados Mejoras a Corto Plazo Capitulo 4: Plan Táctico de Seguridad Informática Objetivo del Plan Táctico de Seguridad Informática para DIGESET Descripción General del Plan Táctico de Seguridad Informática Preparación Operación Optimización Estructura operativa del plan táctico Desarrollo de la línea táctica de funciones de seguridad

10 Antecedentes Objetivos de la línea táctica funciones de segurida Departamento de seguridad Informática Beneficios Alcance Actividades Resultados esperados de la línea táctica funciones de seguridad Desarrollo de la línea táctica Políticas de Seguridad Antecedentes Objetivo del desarrollo de las políticas de seguridad Beneficios Alcance Actividades Políticas propuestas Desarrollo de la línea táctica programa de concienciación Antecedentes Objetivo del desarrollo de la línea táctica Beneficios Alcance Actividades Resultados esperados de la línea táctica de concienciación Desarrollo de la línea táctica arquitectura tecnológica Antecedentes Objetivo Alcances Elementos administrados Actividades propuestas Resultados esperados de la línea táctica de arquitectura tecnológica Factores críticos de éxito 161 Capitulo 5: Conclusiones Y Recomendaciones Bibliografía...169

11 Glosario..172 Anexos.183

12 ÍNDICE DE TABLAS Y FIGURAS Tabla 1.1 Incidentes de Delito Informático. 4 Figura 1.1. Diez puntos claves para el contexto de ISO/ Figura 1.2. Representación de los tipos de intrusos en una red..21 Figura 1.3. Muestra los posibles intrusos en una Intranet...24 Figura 1.4. Proceso normal de Acuerdo en Tres Fases..31 Figura 2.1. Metodología de la Investigación..52 Figura 2.2. Algunos servicios que proporciona DIGESET 60 Tabla 2.1. Ubicación y modelo de los conmutadores.63 Figura 2.3. Diagrama General de la red Telefónica 64 Figura 2.4. Organigrama de DIGESET...65 Figura 2.5. Diagrama de la seguridad perimetral de DIGESET..69 Figura 2.6. Diagrama general de los campus de la Universidad de Colima 73 Tabla 2.2. Enlaces de la Universidad de Colima.74 Figura 2.7. Diagrama del campus Colima 77 Tabla 2.3 Equipos críticos incluidos en el análisis de vulnerabilidades...79 Tabla 2.4. Grupo de pruebas aplicadas a los servidores Windows Tabla 2.5. Grupo de pruebas aplicadas a los servidores Unix..83 Tabla 2.6. Grupo de pruebas aplicadas a dispositivos de comunicación..83 Tabla 2.7. Grupo de pruebas aplicadas al cortafuego..84 Tabla 2.8. Herramientas utilizadas en el análisis de vulnerabilidades.85 Tabla 2.9. Clasificación de vulnerabilidades 86 Figura 2.8. Porcentaje de vulnerabilidades en servidores Windows Figura 2.9. Porcentaje de vulnerabilidades en servidores Unix 89 Figura Porcentaje de vulnerabilidades en dispositivos de comunicación 90 Figura Porcentaje de vulnerabilidades externas...90 Figura 3.1. Cuatro actividades de la administración de riesgos 94 Figura 3.2. Espectro de riesgos.95 Tabla 3.1. Información de los hallazgos encontrados en DIGESET Figura 3.3. Priorización grafica de los hallazgos 108

13 Figura 3.4. Relación tiempo y costo de los controles de seguridad 109 Figura 3.5. Representación grafica de la priorización de actividades 110 Tabla 3.2. Niveles de madurez con base al estándar ISO/ Tabla 3.3. Resultados de los niveles de madurez de DIGESET.117 Figura 4.1. Diagrama conceptual del plan táctico de seguridad.125 Figura 4.2. Relación de las etapas del modelo de operación Figura 4.3. Relación del plan táctico con el modelo de operación Figura 4.4. Organigrama de DIGESET con el departamento de seguridad Tabla 4.1. Dispositivos parte de la administración de seguridad Figura 4.4. Actividades propuestas para la administración de seguridad...158

14 Tabla de Contenido Introducción... ii Descripción de la Problemática...iii Objetivo... iv Metas y Alcances... iv Justificación... iv

15 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima Introducción La Dirección General de Servicios Telemáticos (DIGESET) tiene como objetivo ofrecer servicios de telecomunicaciones e informática, para apoyar las actividades mas importantes del área de comunicación de la universidad de Colima a través de la investigación y modernización de la infraestructura Intranet universitaria. Otro objetivo, es la vinculación de las dependencias de la Universidad de Colima con otras instituciones, brindando asesorías, propiciando la transferencia de conocimiento y tecnología. Además, busca impulsar la venta de servicios electrónicos en la comunidad universitaria para tener una fuente alterna de financiamiento que permita apoyar las inversiones en capacitación, recursos humanos e infraestructura de la dirección (Telemáticos, 2002). La DIGESET para cumplir con los objetivos planteados gestiona proyectos que permitan incrementar y modernizar las tecnologías de información de la institución. Entre ellos se tienen el PIFI, PROMEP, PRONAD e internos(telemáticos, 2002). La Universidad de Colima incorporó a su Intranet 1200 equipos de cómputo, con una inversión que superó los 12 millones de pesos, donde el 20% fueron adquiridas con recursos propios. En el año 2002 la Universidad instalo 28 redes y a la fecha se cuenta con 4423 equipos conectadas a Internet. Se ha incrementado la capacidad del enlace que une los campus de Coquimatlán y Villa de Álvarez. La universidad de colima se coloca como una de las universidades estatales de México con tecnología de vanguardia y es una institución compuesta por varias delegaciones regionales en una red Intranet, que hace uso de muchas aplicaciones a través de Internet, permitiendo a los alumnos y profesores estar en contacto con el mundo de la información en línea.(telemáticos, 2002). DIGESET incrementa su capacidad de ancho de banda de Internet de 4 Mbps a 34 Mbps y coloca su enlace de 2 Mbps al backbone de Internet 2, este crecimiento que se Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México ii

16 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima observa en la Universidad de Colima, trae consigo el incremento del uso de Internet y el surgimiento de nuevas tecnologías, dando lugar a nuevos retos, uno de esos retos es el mantenimiento de la seguridad e integridad de la información y servicios de las redes informáticas, a través de procedimientos bien definidos que permitan disminuir las vulnerabilidades, dicho en otras palabras, la Universidad de Colima está a la vanguardia con la aplicación de esta tecnología, pero al mismo tiempo está expuesta a nuevas vulnerabilidades que se pueden convertir en problemas si no se tratan a tiempo y con el debido procedimiento. Descripción de la Problemática Actualmente la Universidad de Colima se ha preocupado por la seguridad e integridad de la información y servicios contenidos en su Intranet, por lo que ha invertido una fuerte cantidad de dinero en equipos y aplicaciones que ayudan a disminuir las vulnerabilidades de seguridad. Esta inversión a logrado incrementar el nivel de seguridad pero no al grado que la institución requiere y esto se debe principalmente a que estos equipos y aplicaciones no están funcionando a un cien por ciento, además la falta de algunos elementos entre los que se pueden mencionar: Políticas oficializadas Procedimientos, Reglas de seguridad y Monitoreo constante de la información que proporcionan los equipos y aplicaciones. Por lo tanto DIGESET requiere de una planificación que involucre los puntos anteriormente expuestos a través de un plan de táctico de seguridad informática para las funciones críticas. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México iii

17 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima Objetivo Analizar el esquema actual de seguridad informática utilizado para la Intranet de la Dirección General de Servicios Telemáticos, con el fin de mejorarlo a través de un plan táctico que de solución a los puntos expuestos en la problemática. Metas y Alcances Generar las políticas de seguridad para las áreas del nodo principal de la Intranet. Establecer las mejoras necesarias para la correcta operación los equipos y sistemas de seguridad, con el objetivo de proteger la Intranet universitaria de intrusos internos y externos, especialmente aquellos de misión crítica del nodo principal y así lograr un nivel de seguridad que evite las potenciales perdidas tangibles o intangibles de la información en la red universitaria. Establecer una serie de lineamientos para el personal responsable del área de seguridad informática, dando a conocer las amenazas y vulnerabilidades que surgen día a día en la tecnología, con la única finalidad de capacitar al personal para vigilar y mantener la integridad de la Intranet. Justificación Los sistemas de información de hoy en día están relacionados en un 100% con la exposición de la información a entidades externas que son ajenas a la organización o delegación a la que pertenecen. La Universidad de Colima esta compuesta por muchas delegaciones y dependencias, cada una de ellas tienen sistemas de información independientes que hacen uso de la red externa (Internet) e interna (Intranet). Esto los Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México iv

18 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima hace vulnerables a eventos de amenazas que conllevan a riesgos que pueden provocar perdidas tangible e intangibles, para evitar estas perdidas que en muchos de los casos serán monetarias, se requiere del planteamiento de un esquema de seguridad que no solo contemple elementos técnicos que comúnmente encontramos en el mundo de la seguridad informática, sino que establezca una base sólida para el establecimiento de controles, políticas y proyectos de seguridad que administren el ciclo de vida de la seguridad informática. DIGESET es la dependencia encargada de la distribución y administración de la red externa e interna de la Universidad de Colima, por lo tanto, será el objeto de estudio de la investigación. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México v

19 Tabla de Contenido 1.1 Antecedentes de la Seguridad Informática Estándares de Seguridad en Redes Estándar BS Estándar ISO/ La Seguridad en Redes Tipos de Ataques y Amenazas Amenazas Internas Amenazas Externas Reconocimiento Acceso no Autorizado Denegación de Servicios Mecanismos de Seguridad Roles de los Mecanismos de Seguridad en Redes Seguridad Perimetral Control de Rutas Permitidas Detección de Intrusión Políticas de Seguridad Selección de Controles Puntos de Inicio para la Política de Seguridad Informática Factores Críticos de Éxito Documento de la Política de Seguridad Informática Revisiones y Evaluaciones Coordinación de la Seguridad Informática Controles de Autorización para la Asignación de Recursos de Seguridad Informática Consejo de un especialista en seguridad informática Coordinación entre organizaciones Verificación independiente de la Política de seguridad informática Errores en la Planificación de la Seguridad Informática... 48

20 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima 1.1 Antecedentes de la Seguridad Informática No se puede proponer un esquema de seguridad sin antes de hablar de algunos antecedentes trascendentales que determinaron la importancia de la seguridad informática. Al mismo tiempo es necesario definir qué es la seguridad informática, los elementos que intervienen en la seguridad y las diferentes tecnologías existentes para asegurar la información y los servicios de una red informática. El departamento de defensa de los Estados Unidos da los primeros pasos en cuestión de seguridad, cuando en 1967, la unidad de Defensa Científica concentro sus esfuerzos en un sistema de seguridad que salvaguardara la información confidencial que los sistemas de acceso remoto compartían. Como resultado de la aplicación de este nuevo sistema en febrero de 1970 se pública Controles de Seguridad para los Sistemas de Cómputo, el cual era un reporte de una serie de políticas y recomendaciones técnicas en las prácticas cotidianas de los sistemas de computo para reducir las amenazas que comprometían la seguridad de la información confidencial (Latham, 1985). En 1972 y 1973 se publicaron las primeras recomendaciones de políticas uniformes, requerimientos de seguridad, controles administrativos y medidas de seguridad técnica, para la protección de la información confidencial procesada por un sistema de cómputo. A mediados de los años setenta, la fuerza aérea, la agencia de proyectos de investigación avanzada y otras agencias de defensa, llevaron acabo investigaciones y desarrollo de algunas soluciones para los problemas técnicos que conlleva el control del flujo de información en los recursos de los sistemas de computo (Latham, 1985). La iniciativa del departamento de defensa acerca de la seguridad en sistemas de computo inicia en 1977, con el auspicio de la secretaria de defensa para la investigación e ingeniería. Actualmente este departamento se dirige a los asuntos de seguridad en computo liderando a la NBS (Nacional Bureau of Standards) en la definición de problemas y soluciones para la construcción, evaluación, y auditoria de sistemas de computo. Como parte de este trabajo la NBS posee dos áreas de trabajo que son complementarias, estas Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 2

21 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima son la auditoria y la evaluación de seguridad en computo. La primera fue constituida en marzo de 1977 y la segunda en noviembre de Uno de los resultados del trabajo realizado en la evaluación fue un reporte definitivo sobre los problemas relacionados a los criterios de evaluación y efectividad de técnicas de seguridad en cómputo. A consecuencia de las recomendaciones publicadas en este reporte y soportando la iniciativa del departamento de defensa, la corporación MITRE empieza a trabajar en criterios de evaluación de seguridad en computo que contribuían a determinar el grado de confianza que un sistema de seguridad podría tener al momento de proteger la información confidencial. En 1981 nace en los Estados Unidos el Centro de Seguridad en Computo para dotarse de personal y expandir el trabajo iniciado por el área de ingeniería e Investigación del departamento de defensa (Latham, 1985). En agosto de 1985 el Centro de Seguridad en Computo del Departamento de Defensa cambio su nombre a Centro Nacional de Seguridad en Computo. El concepto de seguridad de redes no es nuevo cuando en 1974 surgen las primeras conexiones que posteriormente dieron origen al Internet. Su crecimiento exponencial dio lugar a las primeras aplicaciones comerciales que permitían al usuario intercambiar información y con ella el crecimiento de posibles atacantes que día a día comprometían el funcionamiento de las redes de computadoras. Hasta ese momento la seguridad no era importante para los administradores de redes y es hasta el 2 de mayo de 1987, cuando dos hackers alemanes ingresan sin autorización al sistema central de investigaciones aeroespaciales mas grande del mundo, la NASA (Villalón Huerta, 2000). Aun cuando no destruyeron ni robaron información, estos dos jóvenes demostraron lo vulnerable que puede llegar a ser el sistema informático de la agencia espacial. Por otro lado, en 1988 Robert Morris propicia el primer incidente de perdida de información debido a que uno de sus programas denominado worm o gusano, invadió gran parte de las computadoras a través del navegador en Internet, imposibilitando durante días a más de 6000 sistemas dañados o perjudicados. Es después de estos y otros acontecimientos que surge la preocupación de los administradores por la seguridad en redes. La tabla 1.1 presenta algunos eventos de delito informático. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 3

22 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima Fecha Autor(es) Virus Descripcion Impacto Castigo May-87 Wau Holland y Ninguno Steffer Wenery Ingresaron sin autorización al sistema de investigaciones de la NASA. No destruyeron, no robaron información. Pero pone en estredicho la seguridad de la agencia espacial. Nov-88 Robert Morris Gusano Morris lanzó un gusano diseñado por el mismo para navegar en internet y mutiplicarse por si solo, causando sobreutilización de recursos de la maquina. Causó consumo de los recursos de muchisimas maquinas y que mas de 6000 sistemas resultaron dañados o fueron seriamente perjudicados. Significó días de productividad perdidos y millones de dólares. Fue condenado y sentenciado a tres años de libertad condicional, 400 horas de servicio comunitario y US $10,000 de fianza, bajo el cargo de fraude computacional y abuso. Ene-86 Herber Zinn (Shadowhack) Zinn tenía 17 años cuando violó el acceso a AT&T y los sistemas del departamento de defensa. Destruyó el equivalente a US$174,000 en archivos y copias de programas valorados en millones de dólares. Publicó contraseñas e instrucciones de cómo violar la seguridad de los sistemas computacionales. Fue el primer sentenciado bajo el cargo de fraude Computacional y Abuso. Fue sentenciado a 9 meses de carcel y a una fianza de US $10,000. No registrado David Smith Melissa Detenido por la FBI, junto con los ingenieros de American Online. Se le acuso de bloquear las comunicaciones públicas y dañar los sistemas informáticos. Crea el Virus Melissa, Esta en espera de su que consiguió condena, puede contaminar a más de enfrentar 10 años de 100,000 computadoras carcel. Esta en en todo el mundo. libertad bajo fianza de Afectó en forma 10,000 dólares. sustancial buzones de millones de usuarios que utilizaban el Outlook Express. Tabla 1.1. Incidentes de Delito Informático A raíz de estos incidentes el 17 de Noviembre de 1988, la agencia DARPA (Defense Advanced Research projects Agency) creó el CERT 1 (Equipo de respuestas a incidentes de Seguridad en Computo), un grupo formado en su mayoría por voluntarios calificados de la comunidad informática, con el objetivo de proporcionar a soluciones rápidas a los problemas de seguridad que se presenten en los host de Internet. Este organismo se encarga de divulgar las noticias de seguridad de redes mas recientes, así como las vulnerabilidades más importantes de las aplicaciones, sistemas operativos y productos. Hoy por hoy, CERT cumple 15 años de proporcionar servicio a las organizaciones que 1 CERT en ingles significa Computer Emergency Response Team Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 4

23 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima se han visto afectadas por incidentes de delito informático, convirtiéndose en la institución que más publicaciones de seguridad ha realizado (Artigas, 2003). Hay otras organizaciones que se dedican a la investigación de soluciones de seguridad, tal es el caso de SANS 2 (SysAdmin, Audit, Network, Security); la cual se dedica a la investigación, certificación y capacitación de profesionales que sean capaces de diseñar soluciones de seguridad. Esta institución fue creada en 1989 en respuesta a los incidentes de delito informático que se suscitaron a causa del crecimiento exponencial de Internet. SANS, cuenta con mas de 156,000 profesionales (seguridad, auditores, administradores de sistemas y administradores) que comparten experiencias vividas con respecto a la solución de nuevos retos que emergen del mundo de la seguridad. En el corazón de esta institución se encuentran agencias de gobierno, corporaciones y universidades de todo el mundo que invierten miles de horas anualmente en la investigación y capacitación para apoyar a la comunidad de la seguridad informática. Todas las instituciones anteriormente mencionadas se dedican a la publicación o divulgación de los incidentes de delito informático que se presentan en las organizaciones con aplicaciones de comercio electrónico. En vista de que la mayoría de los ataques son realizados en Internet o bien en una Intranet, CERT cuenta con una Centro de Coordinación (CERT/CC) el cual se dedica exclusivamente a la seguridad en plataformas intranet. CERT/CC se dedica a proporcionar consejos técnicos de prácticas de seguridad que ayuden a los administradores de redes. Además, se encarga de coordinar las respuestas a los incidentes de seguridad, trabajar en la solución de los problemas de seguridad, identificar las tendencias de ataques de intrusos, divulgar información a toda la comunidad, analizar código malicioso y las vulnerabilidades de los productos, publicar documentos técnicos y proporcionar cursos de capacitación (University, 2003). 2 SANS (Administración de Sistemas, Auditoria, Redes, Seguridad) Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 5

24 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima La forma de operar del CERT/CC, está en la identificación de dos aspectos: Las vulnerabilidades de los sistemas de información que usa una intranet y el análisis del código maligno desarrollado por el intruso. En ambos aspectos lo que se busca es la identificación de las fallas o defectos. Una vez identificados los defectos se procede a la atención del incidente, que consiste en explotar los defectos encontrados en el sistema y en el código maligno, para que éstas sean la base de la solución del incidente. El CERT/CC cuenta con procedimientos bien definidos acerca de cómo se deben de atender los delitos informáticos. Además, trabaja en alianza con las siguientes instituciones (University, 2003): Departamento de Defensa de los Estados Unidos de América. Oficina Ejecutiva del Presidente de los Estados Unidos. Servicio de Seguridad de los Estados Unidos. Alianza de Seguridad de Internet. Agencia de Defensa de Sistemas Informáticos. Centro Nacional de Protección de Infraestructura de los Estados Unidos. Protección de la Infraestructura Nacional de los Estados Unidos (INFRAGARD) Sistema Nacional de Comunicaciones de los Estados Unidos. Unified Incident Reporting and Alert Scheme (UNIRAS) Australian Computer Emergency Response Team (AUSCERT) Comité Nacional de Asesores en Seguridad de las Telecomunicaciones Departamento de Homeland Security Internet Engineering Task Force (IETF) North American Network Operators Group (NANOG) Sin embargo, el CERT, pública solo las vulnerabilidades que han sido reportadas por parte de las empresas afectadas, pero se dan casos en los cuales muchos de los incidentes de delito informático no son reportados por el temor de la misma empresa que se ve afectada, ya que puede comprometer la imagen del negocio; por ejemplo, el acceso a la Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 6

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES III CURSO MAESTRIA EN ALTA GERENCIA PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN, BAJO LA NORMA ISO 17799:2005 EN ANDINATEL

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Qué es un firewall? cortafuegos firewall

Qué es un firewall? cortafuegos firewall FIREWALL Qué es un firewall? Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

LA SEGURIDAD EN INTERNET RESUMEN

LA SEGURIDAD EN INTERNET RESUMEN CENTRO DE INVESTIGACIONES Y DESARROLLO FACULTAD DE INGENIERÍA LA SEGURIDAD EN INTERNET La seguridad en la Red todavía está lejos de ser total. Los Firewalls una esperanza en seguridad informática. Los

Más detalles

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO Unidad de Proyectos Especiales Guía Técnico Normativa para el uso del equipo de cómputo y de los servicios de conectividad de la Dirección General

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina 2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

Guía 1: Implementación de Modelo de Firma Electrónica Simple con Identificador/Clave

Guía 1: Implementación de Modelo de Firma Electrónica Simple con Identificador/Clave Guía 1: Implementación de Modelo de Firma Electrónica Simple con Identificador/Clave Agustinas 1291, piso 5, ofic. G - Santiago de Chile F: (56 2) 694 5808 / (56 2) 694 5964 - Fax: (56 2) 694 5965 http://www.modernizacion.gov.cl

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos.

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos. Pagina 1 de 5 INTRODUCCIÓN Dentro del FONAES, se tienen instalados un conjunto de recursos informáticos (computadoras personales, servidores, impresoras, programas, etc.) que son de gran importancia para

Más detalles

Planeación de Help Desk

Planeación de Help Desk Planeación de Help Desk Antes de empezar formalmente a ayudar a otros con problemas de computadores, debe tomar ciertas decisiones previas. Es necesario que entienda la importancia de trabajar con los

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

Descripción General de la Empresa SECURE INFO S.A.

Descripción General de la Empresa SECURE INFO S.A. Universidad de Concepción Facultad de Ingeniería Departamento de Ingeniería Informática y Ciencias de Computación Informe Nº1 de la Empresa SECURE INFO S.A. Adm inistración Informática II-2002 Nombres:

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

NCR APTRA Suite. La cartera de software de autoservicio financiero líder en el mundo

NCR APTRA Suite. La cartera de software de autoservicio financiero líder en el mundo NCR APTRA Suite La cartera de software de autoservicio financiero líder en el mundo MARQUE LA DIFERENCIA EN LA EXPERIENCIA DEL CONSUMIDOR. Según afirma la industria bancaria, la calidad de la experiencia

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Auditoría especializada. Data Center Mensajeria Unificada Voz sobre Ip Convergencia de tecnologías. Pablo Alejandro Molina R.

Auditoría especializada. Data Center Mensajeria Unificada Voz sobre Ip Convergencia de tecnologías. Pablo Alejandro Molina R. Auditoría especializada Data Center Mensajeria Unificada Voz sobre Ip Convergencia de tecnologías Pablo Alejandro Molina R. Cod: 1700322751 Universidad de Caldas Auditoría de sistemas Manizales 2010 Centro

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

UD 4: Instalación y configuración de cortafuegos

UD 4: Instalación y configuración de cortafuegos UD 4: Instalación y configuración de cortafuegos Cortafuegos software y hardware Luis Alfonso Sánchez Brazales 1 Cortafuegos software integrados en los sistemas operativos Un firewall gratuito es un Software

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Guía: Seguridad Informática. Contenido suministrado por

Guía: Seguridad Informática. Contenido suministrado por Guía: Seguridad Informática Contenido suministrado por A quien le afecta? Compañías que tienen, usan o hacen soporte técnico de ordenadores, teléfonos inteligentes, correo electrónico, paginas web, medios

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

Guía de procesos en gestión de incidentes

Guía de procesos en gestión de incidentes SGSI Sistema de Gestión de Seguridad de la Información Guía de procesos en gestión de incidentes Versión 1.0 2010 Setiembre 2010 Table of Contents Guía de referencia en gestión de incidentes en seguridad

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

7. CONCLUSIONES Y RECOMENDACIONES

7. CONCLUSIONES Y RECOMENDACIONES CAPITULO VII 7. CONCLUSIONES Y RECOMENDACIONES 7.1 VERIFICACION DE LA HIPOTESIS Una vez terminada la investigación, se establece que la hipótesis planteada para el desarrollo de la Tesis "Metodología para

Más detalles

TCP/IP. IRI 2 do cuatrimestre 2015

TCP/IP. IRI 2 do cuatrimestre 2015 TCP/IP IRI 2 do cuatrimestre 2015 Redes y Protocolos Una red es un conjunto de computadoras o dispositivos que pueden comunicarse a través de un medio de transmisión en una red. Los pedidos y datos de

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V. Is not jus power, is reliability and trust Yei Systems S.A. de C.V. Nos es muy grato dirigirnos a Usted para ofrecerle nuestros servicios de Auditoría de sistemas, Desarrollo de software y Seguridad Informática

Más detalles

UNIVERSIDAD AUTÓNOMA DEL CARIBE

UNIVERSIDAD AUTÓNOMA DEL CARIBE Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE SOPORTE DE PLATAFORMA GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO El objeto del procedimiento es garantizar una plataforma tecnológica y un sistema de comunicación

Más detalles

Guía de Seguridad en Redes Inalámbricas

Guía de Seguridad en Redes Inalámbricas Guía de Seguridad en Redes Inalámbricas INTRODUCCIÓN Las conexiones inalámbricas se han popularizado fuertemente los últimos años, tanto en el ámbito hogareño como en el corporativo y en los espacios públicos.

Más detalles

CAPITULO 4. 4.1 Resultados de la investigación de fuentes secundarias.

CAPITULO 4. 4.1 Resultados de la investigación de fuentes secundarias. CAPITULO 4 4.1 Resultados de la investigación de fuentes secundarias. En el presente capítulo se presentan tanto los resultados de la investigación que se hizo de fuentes secundarias, así como la de los

Más detalles

RECETA ELECTRÓNICA Informe de Seguridad

RECETA ELECTRÓNICA Informe de Seguridad RECETA ELECTRÓNICA Informe de Seguridad EJIE, S.A. AVDA. MEDITERRÁNEO, 3 01010 - VITORIA-GASTEIZ 27/03/2007 1. INTRODUCCIÓN La información incluida a continuación pretende dar una información aproximada

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Qué son y cómo combatirlas

Qué son y cómo combatirlas Redes zombies Qué son y cómo combatirlas Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas

Más detalles

Test de intrusión (Penetration Test) Introducción

Test de intrusión (Penetration Test) Introducción Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales

Más detalles

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de

Más detalles

CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure

CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática La rapidez con que se pueda reconocer, analizar y responder a las amenazas, minimizará el daño y disminuirá los costos de recuperación.

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

Aranda SERVICE DESK. Beneficios estratégicos para su organización. Característica Especiales. Beneficios

Aranda SERVICE DESK. Beneficios estratégicos para su organización. Característica Especiales. Beneficios Optimice la gestión de soporte y servicio y maneje de manera eficiente estos procedimientos dentro y fuera de su organización, aumentando considerablemente su nivel de productividad. Beneficios Gestión

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

Sistemas de Pagos de Latinoamérica y el Caribe

Sistemas de Pagos de Latinoamérica y el Caribe Continuidad de Negocio en los Sistemas de Pagos de Latinoamérica y el Caribe Evaluación del estado actual Banco de México Septiembre, 2008 Agradecimientos El Banco de México agradece a los Bancos Centrales

Más detalles

Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal

Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal función la protección de toda la Red, ya sea LAN, WAN

Más detalles

FRAUDE TELEFÓNICO DESTACAR la necesidad DE ASEguRAR los SiSTEmAS DE ComuniCACión DE las EmpRESAS nota DE ApliCACión

FRAUDE TELEFÓNICO DESTACAR la necesidad DE ASEguRAR los SiSTEmAS DE ComuniCACión DE las EmpRESAS nota DE ApliCACión FRAUDE TELEFÓNICO DESTACAR la necesidad de asegurar los sistemas de comunicación de las empresas Nota de aplicación Índice de contenidos Escenarios de cliente / 1 Qué ha pasado? / 1 Por qué aumenta el

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red Qué amenazas nos podemos encontrar por la red Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Todo el mundo que utiliza algún equipo informático ha escuchado alguna vez

Más detalles

Beneficios estratégicos para su organización. Resolución proactiva de problemas y eventualidades. Reducción instantánea de costos de soporte.

Beneficios estratégicos para su organización. Resolución proactiva de problemas y eventualidades. Reducción instantánea de costos de soporte. Beneficios Gestión organizada y control sobre las solicitudes de soporte. Información completa correspondiente a cada caso y asociación de los involucrados en el mismo (usuarios, especialistas). Seguimiento

Más detalles

La Gerencia de Análisis de Redes (GAR) del Instituto

La Gerencia de Análisis de Redes (GAR) del Instituto Certificación ISO 9001 de la Gerencia de Análisis de Redes Javier Martínez H. e Isabel Chipolla O. En sus más de 20 años de existencia, la GAR ha colaborado principalmente en el desarrollo de programas

Más detalles

Recuperación y Continuidad del Negocio

Recuperación y Continuidad del Negocio Recuperación y Continuidad del Negocio CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento

Más detalles

Modelos y Normas Disponibles de Implementar

Modelos y Normas Disponibles de Implementar Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor Infraestructura Tecnológica Sesión 5: Arquitectura cliente-servidor Contextualización Dentro de los sistemas de comunicación que funcionan por medio de Internet podemos contemplar la arquitectura cliente-servidor.

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

PROCEDIMIENTO RED Y COMUNICACIÓN DE DATOS

PROCEDIMIENTO RED Y COMUNICACIÓN DE DATOS P-06-05 Marzo 2009 03 1 de 7 1. OBJETIVO Asegurar el funcionamiento eficiente y seguro de la Local Area Network (LAN) y de las telecomunicaciones en la Comisión Nacional de los Salarios Mínimos (CONASAMI),

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

Planificación del Help Desk de su escuela

Planificación del Help Desk de su escuela Capítulo 1 Planificación del Help Desk de su escuela Después de terminar este capítulo usted será capaz de: Describir cuál es la función de un Help Desk; Describir qué es el soporte de nivel 1; Explicar

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El original del Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS Nº 574-2009,

Más detalles

Seguridad de Información en el área de Acreditación, Seguridad y Beneficios Jorge Molero

Seguridad de Información en el área de Acreditación, Seguridad y Beneficios Jorge Molero Seguridad de Información en el área de Acreditación, Seguridad y Beneficios Jorge Molero Superintendencia de Servicios de Certificación Electrónica SUSCERTE En materia de Seguridad, Estamos evolucionando

Más detalles

Capítulo I Antedecentes documento] En este capítulo de denotan los conceptos básicos para la compresión del proyecto.

Capítulo I Antedecentes documento] En este capítulo de denotan los conceptos básicos para la compresión del proyecto. Antedecentes documento] En este capítulo de denotan los conceptos básicos para la compresión del proyecto. 1.1 Concepto de la Seguridad Informática La seguridad informática es una disciplina que se relaciona

Más detalles

TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL

TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL Análisis de Vulnerabilidades de Seguridad Informática del Sistema de Expediente Digital Interinstitucional (SEDI). I. DATOS GENERALES Nombre del

Más detalles

Sistema de Control Interno

Sistema de Control Interno Empresas Inarco Sistema de Control Interno Auditoría Interna 2014 Objetivo del Sistema El siguiente sistema tiene como propósito establecer la metodología de trabajo a seguir en cada proceso de revisión

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles