Universidad de Colima Facultad de Telemática
|
|
- Amparo Hernández Juárez
- hace 8 años
- Vistas:
Transcripción
1 Universidad de Colima Facultad de Telemática ANÁLISIS E IMPLEMENTACIÓN DE UN ESQUEMA DE SEGURIDAD EN REDES PARA LA UNIVERSIDAD DE COLIMA TESIS Que para obtener el grado de MAESTRO EN CIENCIAS, AREA TELEMATICA Presenta Ing. Aaron Clemente Lacayo Arzú Asesor M.C. Raymundo Buenrostro Mariscal Colima, Colima Julio de 2004
2
3 Dedicatoria A Dios. Por darme la fuerza espiritual que siempre le pedí para llegar a mis metas. A mi Padre, Antonio Lacayo García, que en paz descanse. Por que siempre me aconsejo y me indico el buen camino. Te Amo, Papa, que Dios te tenga en su gloria. A mi Madre, Bertha Isabel Arzú Cacho Por estar siempre apoyándome y darme aliento para seguir adelante. Te Amo, madre, que Dios te bendiga. A mis hermanos Por creer en mí y motivarme a seguir adelante. A Patricia Alejandra Tabora Motiño. Mi linda. Por su inmenso amor y cariño Te Amo. Al Gobierno de México Porque esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México Muchas gracias por darme la oportunidad de completar mis estudios de maestría.
4 Agradecimiento Luego de un largo período y esfuerzo doy por terminada la Maestría en Ciencias Área Telemática, por lo que deseo agradecer a todos los que día a día me brindaron su apoyo incondicional. Primeramente deseo darle gracias a Dios, por todas las bendiciones derramadas en mi vida y principalmente por toda la fortaleza que obtuve y que hoy me permite culminar una etapa importante en mi vida. A mi familia, que me ha brindado apoyo y motivación constante para poder enfrentar este reto tan importante para mi bienestar personal y profesional. A la MAE. Patricia Alejandra Tábora Motiño por su tutoría constante en el desarrollo de la investigación. Al M.C. Raymundo Buenrostro por su apoyo incondicional para sacar adelante la investigación. A todos y cada uno de los profesores que participaron en el programa de la maestría por sus enseñanzas, su comprensión y disponibilidad. Al personal de la Dirección General de Servicios Telemáticos de la Universidad de Colima, por su apoyo y aportaciones. Al Gobierno de México, por permitirme culminar mis estudios gracias a la beca otorgada por la Secretaría de Relaciones Exteriores. y a todas y cada una de las personas que han estado a mi lado y me han brindado apoyo y palabras de aliento.
5 Resumen La seguridad informática requiere no solo de recursos tecnológicos, sino también de procesos y recursos humanos capacitados y especializados, esta meta es difícil de alcanzar pues existe un constante cambio, ya que día a día se descubren nuevas vulnerabilidades, nuevos tipos de ataques y nuevos parches que aplicar a los sistemas institucionales, convirtiendo la operación de la seguridad en una tarea sumamente compleja y demandante. El presente documento es sobre el desarrollo de la seguridad informática en la Intranet Universitaria, considerando las amenazas de seguridad desde perspectivas diferentes para permitir de esta forma conocer algunos riesgos que pueden afectar a la institución, así como determinar el nivel de madurez de la seguridad informática con relación al estándar ISO/17799, además se presentan una serie de lineamientos que la Dirección General de Servicios Telemáticos tiene que seguir para la adecuada implementación del plan táctico que se propone en la presente investigación.
6 Abstract Not only does computer security require technological resources, but also processes combined with trained and specialized human resources. Due to constant changes this goal is difficult to achieve, since new forms of vulnerability are discovered on a daily basis, along with new kinds of attack and new patches to be applied in institutional systems, hence turning the operation of security into a highly complex and demanding task. This research project deals with the development of computer security in the university Intranet, taking into consideration security threats from different perspectives so as to identify some risks which could affect the institution. This project also intends to determine the level of maturity regarding computer security in relation to the ISO/17799 standard, in addition to presenting the guidelines that the General Department of Telematic Services has to follow to properly implement the tactic proposed in this research project.
7 INDICE DE CONTENIDO CONTENIDO... Pagina Introducción ii Descripción de la Problemática... iii Objetivo General... iv Metas y Alcances... iv Justificación..iv Capitulo 1: Seguridad Informática Antecedentes de la Seguridad Estándares de Seguridad en Redes Estándar BS Estándar ISO/ La Seguridad en Redes Tipos de Ataques y Amenazas Amenazas Internas Amenazas Externas Reconocimiento Acceso no Autorizado Denegación de Servicios Mecanismos de Seguridad Roles de los Mecanismos de Seguridad en Redes Seguridad Perimetral Control de Rutas Permitidas Detección de Intrusión Políticas de Seguridad Selección de Controles Puntos de Inicio para la Política de Seguridad Informática Factores Críticos de Éxito Documento de la Política de Seguridad Informática... 44
8 1.6.5 Revisiones y Evaluaciones Coordinación de la Seguridad Informática Controles de Autorización para la Asignación de Recursos de Seguridad Informática Consejo de un especialista en seguridad informática Coordinación entre organizaciones Verificación independiente de la Política de seguridad informática Errores en la Planificación de la Seguridad Informática Capitulo 2: Contextualización y Análisis de Vulnerabilidades Marco Metodológico Levantamiento Información Análisis de Vulnerabilidades Análisis de Riesgos Plan táctico de seguridad Introducción al desarrollo de la metodología Contextualización Redes y Comunicaciones Servicio Electrónicos de Intranet Seguridad Perimetral Zona de Internet Zona de Red Interna Zona Militarizada Zona Desmilitarizada Estructura General de cada Campus Infraestructura Tecnológica evaluada Descripción de las pruebas Pruebas Internas Pruebas Externas Ejecución del Análisis de Vulnerabilidades Ejecución de las pruebas... 81
9 2.5.3 Dispositivos de Comunicación Firewalls Herramientas Utilizadas Análisis de Pruebas Generación de reportes Interpretación de los resultados Hallazgos Internos Hallazgos Externos Capitulo 3: Análisis de Riesgos Administración de Riesgos Valoración de riesgos Mitigación de Riesgos Desarrollo del Análisis de Riesgos Priorización de Riesgos Priorización de Controles Priorización de Actividades Controles de DIGESET respecto a las mejores prácticas Nivel de madurez de los controles de Seguridad Informática con base en el estándar ISO Resultados Consolidados Mejoras a Corto Plazo Capitulo 4: Plan Táctico de Seguridad Informática Objetivo del Plan Táctico de Seguridad Informática para DIGESET Descripción General del Plan Táctico de Seguridad Informática Preparación Operación Optimización Estructura operativa del plan táctico Desarrollo de la línea táctica de funciones de seguridad
10 Antecedentes Objetivos de la línea táctica funciones de segurida Departamento de seguridad Informática Beneficios Alcance Actividades Resultados esperados de la línea táctica funciones de seguridad Desarrollo de la línea táctica Políticas de Seguridad Antecedentes Objetivo del desarrollo de las políticas de seguridad Beneficios Alcance Actividades Políticas propuestas Desarrollo de la línea táctica programa de concienciación Antecedentes Objetivo del desarrollo de la línea táctica Beneficios Alcance Actividades Resultados esperados de la línea táctica de concienciación Desarrollo de la línea táctica arquitectura tecnológica Antecedentes Objetivo Alcances Elementos administrados Actividades propuestas Resultados esperados de la línea táctica de arquitectura tecnológica Factores críticos de éxito 161 Capitulo 5: Conclusiones Y Recomendaciones Bibliografía...169
11 Glosario..172 Anexos.183
12 ÍNDICE DE TABLAS Y FIGURAS Tabla 1.1 Incidentes de Delito Informático. 4 Figura 1.1. Diez puntos claves para el contexto de ISO/ Figura 1.2. Representación de los tipos de intrusos en una red..21 Figura 1.3. Muestra los posibles intrusos en una Intranet...24 Figura 1.4. Proceso normal de Acuerdo en Tres Fases..31 Figura 2.1. Metodología de la Investigación..52 Figura 2.2. Algunos servicios que proporciona DIGESET 60 Tabla 2.1. Ubicación y modelo de los conmutadores.63 Figura 2.3. Diagrama General de la red Telefónica 64 Figura 2.4. Organigrama de DIGESET...65 Figura 2.5. Diagrama de la seguridad perimetral de DIGESET..69 Figura 2.6. Diagrama general de los campus de la Universidad de Colima 73 Tabla 2.2. Enlaces de la Universidad de Colima.74 Figura 2.7. Diagrama del campus Colima 77 Tabla 2.3 Equipos críticos incluidos en el análisis de vulnerabilidades...79 Tabla 2.4. Grupo de pruebas aplicadas a los servidores Windows Tabla 2.5. Grupo de pruebas aplicadas a los servidores Unix..83 Tabla 2.6. Grupo de pruebas aplicadas a dispositivos de comunicación..83 Tabla 2.7. Grupo de pruebas aplicadas al cortafuego..84 Tabla 2.8. Herramientas utilizadas en el análisis de vulnerabilidades.85 Tabla 2.9. Clasificación de vulnerabilidades 86 Figura 2.8. Porcentaje de vulnerabilidades en servidores Windows Figura 2.9. Porcentaje de vulnerabilidades en servidores Unix 89 Figura Porcentaje de vulnerabilidades en dispositivos de comunicación 90 Figura Porcentaje de vulnerabilidades externas...90 Figura 3.1. Cuatro actividades de la administración de riesgos 94 Figura 3.2. Espectro de riesgos.95 Tabla 3.1. Información de los hallazgos encontrados en DIGESET Figura 3.3. Priorización grafica de los hallazgos 108
13 Figura 3.4. Relación tiempo y costo de los controles de seguridad 109 Figura 3.5. Representación grafica de la priorización de actividades 110 Tabla 3.2. Niveles de madurez con base al estándar ISO/ Tabla 3.3. Resultados de los niveles de madurez de DIGESET.117 Figura 4.1. Diagrama conceptual del plan táctico de seguridad.125 Figura 4.2. Relación de las etapas del modelo de operación Figura 4.3. Relación del plan táctico con el modelo de operación Figura 4.4. Organigrama de DIGESET con el departamento de seguridad Tabla 4.1. Dispositivos parte de la administración de seguridad Figura 4.4. Actividades propuestas para la administración de seguridad...158
14 Tabla de Contenido Introducción... ii Descripción de la Problemática...iii Objetivo... iv Metas y Alcances... iv Justificación... iv
15 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima Introducción La Dirección General de Servicios Telemáticos (DIGESET) tiene como objetivo ofrecer servicios de telecomunicaciones e informática, para apoyar las actividades mas importantes del área de comunicación de la universidad de Colima a través de la investigación y modernización de la infraestructura Intranet universitaria. Otro objetivo, es la vinculación de las dependencias de la Universidad de Colima con otras instituciones, brindando asesorías, propiciando la transferencia de conocimiento y tecnología. Además, busca impulsar la venta de servicios electrónicos en la comunidad universitaria para tener una fuente alterna de financiamiento que permita apoyar las inversiones en capacitación, recursos humanos e infraestructura de la dirección (Telemáticos, 2002). La DIGESET para cumplir con los objetivos planteados gestiona proyectos que permitan incrementar y modernizar las tecnologías de información de la institución. Entre ellos se tienen el PIFI, PROMEP, PRONAD e internos(telemáticos, 2002). La Universidad de Colima incorporó a su Intranet 1200 equipos de cómputo, con una inversión que superó los 12 millones de pesos, donde el 20% fueron adquiridas con recursos propios. En el año 2002 la Universidad instalo 28 redes y a la fecha se cuenta con 4423 equipos conectadas a Internet. Se ha incrementado la capacidad del enlace que une los campus de Coquimatlán y Villa de Álvarez. La universidad de colima se coloca como una de las universidades estatales de México con tecnología de vanguardia y es una institución compuesta por varias delegaciones regionales en una red Intranet, que hace uso de muchas aplicaciones a través de Internet, permitiendo a los alumnos y profesores estar en contacto con el mundo de la información en línea.(telemáticos, 2002). DIGESET incrementa su capacidad de ancho de banda de Internet de 4 Mbps a 34 Mbps y coloca su enlace de 2 Mbps al backbone de Internet 2, este crecimiento que se Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México ii
16 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima observa en la Universidad de Colima, trae consigo el incremento del uso de Internet y el surgimiento de nuevas tecnologías, dando lugar a nuevos retos, uno de esos retos es el mantenimiento de la seguridad e integridad de la información y servicios de las redes informáticas, a través de procedimientos bien definidos que permitan disminuir las vulnerabilidades, dicho en otras palabras, la Universidad de Colima está a la vanguardia con la aplicación de esta tecnología, pero al mismo tiempo está expuesta a nuevas vulnerabilidades que se pueden convertir en problemas si no se tratan a tiempo y con el debido procedimiento. Descripción de la Problemática Actualmente la Universidad de Colima se ha preocupado por la seguridad e integridad de la información y servicios contenidos en su Intranet, por lo que ha invertido una fuerte cantidad de dinero en equipos y aplicaciones que ayudan a disminuir las vulnerabilidades de seguridad. Esta inversión a logrado incrementar el nivel de seguridad pero no al grado que la institución requiere y esto se debe principalmente a que estos equipos y aplicaciones no están funcionando a un cien por ciento, además la falta de algunos elementos entre los que se pueden mencionar: Políticas oficializadas Procedimientos, Reglas de seguridad y Monitoreo constante de la información que proporcionan los equipos y aplicaciones. Por lo tanto DIGESET requiere de una planificación que involucre los puntos anteriormente expuestos a través de un plan de táctico de seguridad informática para las funciones críticas. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México iii
17 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima Objetivo Analizar el esquema actual de seguridad informática utilizado para la Intranet de la Dirección General de Servicios Telemáticos, con el fin de mejorarlo a través de un plan táctico que de solución a los puntos expuestos en la problemática. Metas y Alcances Generar las políticas de seguridad para las áreas del nodo principal de la Intranet. Establecer las mejoras necesarias para la correcta operación los equipos y sistemas de seguridad, con el objetivo de proteger la Intranet universitaria de intrusos internos y externos, especialmente aquellos de misión crítica del nodo principal y así lograr un nivel de seguridad que evite las potenciales perdidas tangibles o intangibles de la información en la red universitaria. Establecer una serie de lineamientos para el personal responsable del área de seguridad informática, dando a conocer las amenazas y vulnerabilidades que surgen día a día en la tecnología, con la única finalidad de capacitar al personal para vigilar y mantener la integridad de la Intranet. Justificación Los sistemas de información de hoy en día están relacionados en un 100% con la exposición de la información a entidades externas que son ajenas a la organización o delegación a la que pertenecen. La Universidad de Colima esta compuesta por muchas delegaciones y dependencias, cada una de ellas tienen sistemas de información independientes que hacen uso de la red externa (Internet) e interna (Intranet). Esto los Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México iv
18 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima hace vulnerables a eventos de amenazas que conllevan a riesgos que pueden provocar perdidas tangible e intangibles, para evitar estas perdidas que en muchos de los casos serán monetarias, se requiere del planteamiento de un esquema de seguridad que no solo contemple elementos técnicos que comúnmente encontramos en el mundo de la seguridad informática, sino que establezca una base sólida para el establecimiento de controles, políticas y proyectos de seguridad que administren el ciclo de vida de la seguridad informática. DIGESET es la dependencia encargada de la distribución y administración de la red externa e interna de la Universidad de Colima, por lo tanto, será el objeto de estudio de la investigación. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México v
19 Tabla de Contenido 1.1 Antecedentes de la Seguridad Informática Estándares de Seguridad en Redes Estándar BS Estándar ISO/ La Seguridad en Redes Tipos de Ataques y Amenazas Amenazas Internas Amenazas Externas Reconocimiento Acceso no Autorizado Denegación de Servicios Mecanismos de Seguridad Roles de los Mecanismos de Seguridad en Redes Seguridad Perimetral Control de Rutas Permitidas Detección de Intrusión Políticas de Seguridad Selección de Controles Puntos de Inicio para la Política de Seguridad Informática Factores Críticos de Éxito Documento de la Política de Seguridad Informática Revisiones y Evaluaciones Coordinación de la Seguridad Informática Controles de Autorización para la Asignación de Recursos de Seguridad Informática Consejo de un especialista en seguridad informática Coordinación entre organizaciones Verificación independiente de la Política de seguridad informática Errores en la Planificación de la Seguridad Informática... 48
20 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima 1.1 Antecedentes de la Seguridad Informática No se puede proponer un esquema de seguridad sin antes de hablar de algunos antecedentes trascendentales que determinaron la importancia de la seguridad informática. Al mismo tiempo es necesario definir qué es la seguridad informática, los elementos que intervienen en la seguridad y las diferentes tecnologías existentes para asegurar la información y los servicios de una red informática. El departamento de defensa de los Estados Unidos da los primeros pasos en cuestión de seguridad, cuando en 1967, la unidad de Defensa Científica concentro sus esfuerzos en un sistema de seguridad que salvaguardara la información confidencial que los sistemas de acceso remoto compartían. Como resultado de la aplicación de este nuevo sistema en febrero de 1970 se pública Controles de Seguridad para los Sistemas de Cómputo, el cual era un reporte de una serie de políticas y recomendaciones técnicas en las prácticas cotidianas de los sistemas de computo para reducir las amenazas que comprometían la seguridad de la información confidencial (Latham, 1985). En 1972 y 1973 se publicaron las primeras recomendaciones de políticas uniformes, requerimientos de seguridad, controles administrativos y medidas de seguridad técnica, para la protección de la información confidencial procesada por un sistema de cómputo. A mediados de los años setenta, la fuerza aérea, la agencia de proyectos de investigación avanzada y otras agencias de defensa, llevaron acabo investigaciones y desarrollo de algunas soluciones para los problemas técnicos que conlleva el control del flujo de información en los recursos de los sistemas de computo (Latham, 1985). La iniciativa del departamento de defensa acerca de la seguridad en sistemas de computo inicia en 1977, con el auspicio de la secretaria de defensa para la investigación e ingeniería. Actualmente este departamento se dirige a los asuntos de seguridad en computo liderando a la NBS (Nacional Bureau of Standards) en la definición de problemas y soluciones para la construcción, evaluación, y auditoria de sistemas de computo. Como parte de este trabajo la NBS posee dos áreas de trabajo que son complementarias, estas Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 2
21 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima son la auditoria y la evaluación de seguridad en computo. La primera fue constituida en marzo de 1977 y la segunda en noviembre de Uno de los resultados del trabajo realizado en la evaluación fue un reporte definitivo sobre los problemas relacionados a los criterios de evaluación y efectividad de técnicas de seguridad en cómputo. A consecuencia de las recomendaciones publicadas en este reporte y soportando la iniciativa del departamento de defensa, la corporación MITRE empieza a trabajar en criterios de evaluación de seguridad en computo que contribuían a determinar el grado de confianza que un sistema de seguridad podría tener al momento de proteger la información confidencial. En 1981 nace en los Estados Unidos el Centro de Seguridad en Computo para dotarse de personal y expandir el trabajo iniciado por el área de ingeniería e Investigación del departamento de defensa (Latham, 1985). En agosto de 1985 el Centro de Seguridad en Computo del Departamento de Defensa cambio su nombre a Centro Nacional de Seguridad en Computo. El concepto de seguridad de redes no es nuevo cuando en 1974 surgen las primeras conexiones que posteriormente dieron origen al Internet. Su crecimiento exponencial dio lugar a las primeras aplicaciones comerciales que permitían al usuario intercambiar información y con ella el crecimiento de posibles atacantes que día a día comprometían el funcionamiento de las redes de computadoras. Hasta ese momento la seguridad no era importante para los administradores de redes y es hasta el 2 de mayo de 1987, cuando dos hackers alemanes ingresan sin autorización al sistema central de investigaciones aeroespaciales mas grande del mundo, la NASA (Villalón Huerta, 2000). Aun cuando no destruyeron ni robaron información, estos dos jóvenes demostraron lo vulnerable que puede llegar a ser el sistema informático de la agencia espacial. Por otro lado, en 1988 Robert Morris propicia el primer incidente de perdida de información debido a que uno de sus programas denominado worm o gusano, invadió gran parte de las computadoras a través del navegador en Internet, imposibilitando durante días a más de 6000 sistemas dañados o perjudicados. Es después de estos y otros acontecimientos que surge la preocupación de los administradores por la seguridad en redes. La tabla 1.1 presenta algunos eventos de delito informático. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 3
22 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima Fecha Autor(es) Virus Descripcion Impacto Castigo May-87 Wau Holland y Ninguno Steffer Wenery Ingresaron sin autorización al sistema de investigaciones de la NASA. No destruyeron, no robaron información. Pero pone en estredicho la seguridad de la agencia espacial. Nov-88 Robert Morris Gusano Morris lanzó un gusano diseñado por el mismo para navegar en internet y mutiplicarse por si solo, causando sobreutilización de recursos de la maquina. Causó consumo de los recursos de muchisimas maquinas y que mas de 6000 sistemas resultaron dañados o fueron seriamente perjudicados. Significó días de productividad perdidos y millones de dólares. Fue condenado y sentenciado a tres años de libertad condicional, 400 horas de servicio comunitario y US $10,000 de fianza, bajo el cargo de fraude computacional y abuso. Ene-86 Herber Zinn (Shadowhack) Zinn tenía 17 años cuando violó el acceso a AT&T y los sistemas del departamento de defensa. Destruyó el equivalente a US$174,000 en archivos y copias de programas valorados en millones de dólares. Publicó contraseñas e instrucciones de cómo violar la seguridad de los sistemas computacionales. Fue el primer sentenciado bajo el cargo de fraude Computacional y Abuso. Fue sentenciado a 9 meses de carcel y a una fianza de US $10,000. No registrado David Smith Melissa Detenido por la FBI, junto con los ingenieros de American Online. Se le acuso de bloquear las comunicaciones públicas y dañar los sistemas informáticos. Crea el Virus Melissa, Esta en espera de su que consiguió condena, puede contaminar a más de enfrentar 10 años de 100,000 computadoras carcel. Esta en en todo el mundo. libertad bajo fianza de Afectó en forma 10,000 dólares. sustancial buzones de millones de usuarios que utilizaban el Outlook Express. Tabla 1.1. Incidentes de Delito Informático A raíz de estos incidentes el 17 de Noviembre de 1988, la agencia DARPA (Defense Advanced Research projects Agency) creó el CERT 1 (Equipo de respuestas a incidentes de Seguridad en Computo), un grupo formado en su mayoría por voluntarios calificados de la comunidad informática, con el objetivo de proporcionar a soluciones rápidas a los problemas de seguridad que se presenten en los host de Internet. Este organismo se encarga de divulgar las noticias de seguridad de redes mas recientes, así como las vulnerabilidades más importantes de las aplicaciones, sistemas operativos y productos. Hoy por hoy, CERT cumple 15 años de proporcionar servicio a las organizaciones que 1 CERT en ingles significa Computer Emergency Response Team Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 4
23 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima se han visto afectadas por incidentes de delito informático, convirtiéndose en la institución que más publicaciones de seguridad ha realizado (Artigas, 2003). Hay otras organizaciones que se dedican a la investigación de soluciones de seguridad, tal es el caso de SANS 2 (SysAdmin, Audit, Network, Security); la cual se dedica a la investigación, certificación y capacitación de profesionales que sean capaces de diseñar soluciones de seguridad. Esta institución fue creada en 1989 en respuesta a los incidentes de delito informático que se suscitaron a causa del crecimiento exponencial de Internet. SANS, cuenta con mas de 156,000 profesionales (seguridad, auditores, administradores de sistemas y administradores) que comparten experiencias vividas con respecto a la solución de nuevos retos que emergen del mundo de la seguridad. En el corazón de esta institución se encuentran agencias de gobierno, corporaciones y universidades de todo el mundo que invierten miles de horas anualmente en la investigación y capacitación para apoyar a la comunidad de la seguridad informática. Todas las instituciones anteriormente mencionadas se dedican a la publicación o divulgación de los incidentes de delito informático que se presentan en las organizaciones con aplicaciones de comercio electrónico. En vista de que la mayoría de los ataques son realizados en Internet o bien en una Intranet, CERT cuenta con una Centro de Coordinación (CERT/CC) el cual se dedica exclusivamente a la seguridad en plataformas intranet. CERT/CC se dedica a proporcionar consejos técnicos de prácticas de seguridad que ayuden a los administradores de redes. Además, se encarga de coordinar las respuestas a los incidentes de seguridad, trabajar en la solución de los problemas de seguridad, identificar las tendencias de ataques de intrusos, divulgar información a toda la comunidad, analizar código malicioso y las vulnerabilidades de los productos, publicar documentos técnicos y proporcionar cursos de capacitación (University, 2003). 2 SANS (Administración de Sistemas, Auditoria, Redes, Seguridad) Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 5
24 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima La forma de operar del CERT/CC, está en la identificación de dos aspectos: Las vulnerabilidades de los sistemas de información que usa una intranet y el análisis del código maligno desarrollado por el intruso. En ambos aspectos lo que se busca es la identificación de las fallas o defectos. Una vez identificados los defectos se procede a la atención del incidente, que consiste en explotar los defectos encontrados en el sistema y en el código maligno, para que éstas sean la base de la solución del incidente. El CERT/CC cuenta con procedimientos bien definidos acerca de cómo se deben de atender los delitos informáticos. Además, trabaja en alianza con las siguientes instituciones (University, 2003): Departamento de Defensa de los Estados Unidos de América. Oficina Ejecutiva del Presidente de los Estados Unidos. Servicio de Seguridad de los Estados Unidos. Alianza de Seguridad de Internet. Agencia de Defensa de Sistemas Informáticos. Centro Nacional de Protección de Infraestructura de los Estados Unidos. Protección de la Infraestructura Nacional de los Estados Unidos (INFRAGARD) Sistema Nacional de Comunicaciones de los Estados Unidos. Unified Incident Reporting and Alert Scheme (UNIRAS) Australian Computer Emergency Response Team (AUSCERT) Comité Nacional de Asesores en Seguridad de las Telecomunicaciones Departamento de Homeland Security Internet Engineering Task Force (IETF) North American Network Operators Group (NANOG) Sin embargo, el CERT, pública solo las vulnerabilidades que han sido reportadas por parte de las empresas afectadas, pero se dan casos en los cuales muchos de los incidentes de delito informático no son reportados por el temor de la misma empresa que se ve afectada, ya que puede comprometer la imagen del negocio; por ejemplo, el acceso a la Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 6
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesSecurity Health Check
www.pwc.es Security Health Check Aportamos el valor que necesitas Un problema no tan lejano... Durante los últimos años, las empresas han abordado procesos de transformación tecnológica sin precedentes
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesCONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesQué son y cómo combatirlas
Redes zombies Qué son y cómo combatirlas Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas
Más detallesREPORTE DE CUMPLIMIENTO ISO 17799
Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesSistema de Administración del Riesgos Empresariales
Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola
Más detallesREPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES
REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES III CURSO MAESTRIA EN ALTA GERENCIA PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN, BAJO LA NORMA ISO 17799:2005 EN ANDINATEL
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesHospital Nacional de Maternidad UNIDAD DE INFORMATICA
Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,
Más detallesAcerca de EthicsPoint
Acerca de EthicsPoint Reportes General Seguridad y confidencialidad de los reportes Consejos y mejores prácticas Acerca de EthicsPoint Qué es EthicsPoint? EthicsPoint es una herramienta de reporte anónima
Más detalles6 - Aspectos Organizativos para la Seguridad
Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesIniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones
Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones Marco de Gobernabilidad, Rendición de cuentas y Aprendizaje
Más detallesIntroducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas
Más detallesUnidad III. Software para la administración de proyectos.
Unidad III Software para la administración de proyectos. 3.1 Herramientas de software para administrar proyectos. El software de administración de proyectos es un concepto que describe varios tipos de
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesCharlas para la Gestión del Mantenimiento Fernando Espinosa Fuentes
Charlas para la Gestión del Mantenimiento Fernando Espinosa Fuentes Conseguir una alta eficiencia de los activos es un reto importante ya que tiene un impacto significativo sobre los beneficios. Afecta
Más detallesModificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.
UNIVERSIDAD DE CARABOBO FACULTAD DE CIENCIA Y TECNOLOGÍA DIRECCION DE EXTENSION COORDINACION DE PASANTIAS Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere. Pasante:
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE SOPORTE DE PLATAFORMA GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO El objeto del procedimiento es garantizar una plataforma tecnológica y un sistema de comunicación
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detalles"Diseño, construcción e implementación de modelos matemáticos para el control automatizado de inventarios
"Diseño, construcción e implementación de modelos matemáticos para el control automatizado de inventarios Miguel Alfonso Flores Sánchez 1, Fernando Sandoya Sanchez 2 Resumen En el presente artículo se
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesSoporte Técnico de Software HP
Soporte Técnico de Software HP Servicios Tecnológicos HP Servicios contractuales Datos técnicos El Soporte Técnico de Software HP ofrece servicios integrales de soporte remoto de para los productos de
Más detallesLA LOGÍSTICA COMO FUENTE DE VENTAJAS COMPETITIVAS
LA LOGÍSTICA COMO FUENTE DE VENTAJAS COMPETITIVAS Los clientes compran un servicio basandose en el valor que reciben en comparacion con el coste en el que incurren. Por, lo tanto, el objetivo a largo plazo
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesINSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE
SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6
Más detallesGuía de procesos en gestión de incidentes
SGSI Sistema de Gestión de Seguridad de la Información Guía de procesos en gestión de incidentes Versión 1.0 2010 Setiembre 2010 Table of Contents Guía de referencia en gestión de incidentes en seguridad
Más detallesIs not jus power, is reliability and trust. Yei Systems S.A. de C.V.
Is not jus power, is reliability and trust Yei Systems S.A. de C.V. Nos es muy grato dirigirnos a Usted para ofrecerle nuestros servicios de Auditoría de sistemas, Desarrollo de software y Seguridad Informática
Más detallesCertificación. Contenidos WWW.ISO27000.ES. 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.
Certificación Contenidos 1. Implantación del SGSI 2. Auditoría y certificación 3. La entidad de certificación 4. El auditor La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto
Más detallesBYOD - Retos de seguridad
BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir
Más detallesNORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.)
NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.) Normas de Uso Aceptable y Seguridad de la Red de datos de la Universidad Autónoma de Madrid (U.A.M.)
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesPERFILES OCUPACIONALES
PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan
Más detallesAUDITORÍA ADMINISTRATIVA INFORME. 1. Brindar a la organización los elementos necesarios para mejorar su funcionamiento.
Naturaleza AUDITORÍA ADMINISTRATIVA INFORME Auditoria Administrativa Alcance Toda la empresa Antecedentes No existen Objetivos 1. Brindar a la organización los elementos necesarios para mejorar su funcionamiento.
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesSISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT
SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,
Más detallesImplementando un ERP La Gestión del Cambio
Artículos> Implementando un ERP - La Gestión del Cambio Artículo Implementando un ERP La Gestión del Cambio 1 Contenido Sumario Ejecutivo 3 Los sistemas ERP flexibilizan la gestión de la empresa y su cadena
Más detallesNormas de Uso y Seguridad de la Red de Telecomunicaciones de la Universidad de Extremadura
Vicerrectorado de Tecnología de la Información y las Comunicaciones Normas de Uso y Seguridad de la Red de Telecomunicaciones de la Universidad de Extremadura Febrero 2008 Tabla de contenido 1 Antecedentes
Más detallesTERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Más detallesLas Relaciones Públicas en el Marketing social
Las Relaciones Públicas en el Marketing social El marketing social es el marketing que busca cambiar una idea, actitud o práctica en la sociedad en la que se encuentra, y que intenta satisfacer una necesidad
Más detallesSEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN La información es el principal activo de muchas organizaciones por lo que es necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro la continuidad
Más detallesPROCEDIMIENTO ELABORACIÓN DE DOCUMENTOS
P-04-01 Marzo 2009 05 1 de 19 1. OBJETIVO Definir la estructura y los lineamientos para la elaboración de todos los documentos que integran el Sistema de Gestión de la Calidad de la Comisión Nacional de
Más detallesDE VIDA PARA EL DESARROLLO DE SISTEMAS
MÉTODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS 1. METODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS CICLO DE VIDA CLÁSICO DEL DESARROLLO DE SISTEMAS. El desarrollo de Sistemas, un proceso
Más detallesRECETA ELECTRÓNICA Informe de Seguridad
RECETA ELECTRÓNICA Informe de Seguridad EJIE, S.A. AVDA. MEDITERRÁNEO, 3 01010 - VITORIA-GASTEIZ 27/03/2007 1. INTRODUCCIÓN La información incluida a continuación pretende dar una información aproximada
Más detallesGuía EMPRESA INTELIGENTE 2.0 para la PYME
Guía EMPRESA INTELIGENTE 2.0 para la PYME Consejos para desarrollar la gestión del cambio, tomar decisiones de manera ágil y eficaz y planificar estrategias atendiendo a los procesos como célula básica
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesCAPITULO I FORMULACION DEL PROBLEMA
CAPITULO I FORMULACION DEL PROBLEMA TITULO DESCRIPTIVO DEL PROYECTO. Implementación de un servidor proxy para el control de tráfico de la red y gestión de los servicios de Internet en los centros de cómputo
Más detallesAUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP
AUD 008-2014 Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP JUNIO 2014 0 I.- INFORMACIÓN GENERAL 1.1 Nombre del Estudio Verificación
Más detallesENFOQUE ISO 9000:2000
ENFOQUE ISO 9000:2000 1 PRESENTACION En 1980 la IOS (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION) organismo de origen europeo, enfoco sus esfuerzos hacia el establecimiento de lineamientos en términos
Más detallesCAPÍTULO I. FORMULACIÓN DEL PROBLEMA
CAPÍTULO I. FORMULACIÓN DEL PROBLEMA FORMULACIÓN DEL PROBLEMA. 1.1 TITULO DESCRIPTIVO DEL PROYECTO. Propuesta de Estrategias de Seguridad para Disminuir la Vulnerabilidad en las Redes de Área Local en
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO Satisfacer los requerimientos que hagan los usuarios para
Más detallesMéxico, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS
Marco Operativo para Empresas Líderes y Organismos Operadores México, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS REGLAS GENERALES DE OPERACIÓN Y COORDINACIÓN PARA LAS EMPRESAS LÍDERES, ORGANISMOS OPERADORES
Más detallesCAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA
CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA 1.1 Planteamiento del Problema Las pequeñas y medianas empresas (PYMEs) que, representan el 97% del total de las empresas en México, son las que tienen más problemas
Más detallesGeneralidades. DOCUMENTOS DE PATENTES COMO FUENTE DE INFORMACION TECNOLOGICA
DOCUMENTOS DE PATENTES COMO FUENTE DE INFORMACION TECNOLOGICA Generalidades. Cuando una persona ha realizado una invención lo más conveniente es protegerla obteniendo un derecho de Propiedad Industrial.
Más detallesAUDITORÍAS Y AUDITORES ISO 9000:2000
AUDITORÍAS Y AUDITORES ISO 9000:2000 Ing. Miguel García Altamirano Servicios CONDUMEX S.A. de C.V. Delegado Mexicano en el Comité Internacional ISO TC 176 en el grupo JWG "Auditorías" Resumen: Los sistemas
Más detallesCAPITULO VI PLAN DE IMPLEMENTACIÓN DEL SISTEMA DE PRESUPUESTOS DE COSTOS DE TIEMPOS ESTÁNDARES DE CONFECCIÓN DE PRENDAS DE VESTIR DE TEJIDO DE PUNTO.
204 CAPITULO VI PLAN DE IMPLEMENTACIÓN DEL SISTEMA DE PRESUPUESTOS DE COSTOS DE TIEMPOS ESTÁNDARES DE CONFECCIÓN DE PRENDAS DE VESTIR DE TEJIDO DE PUNTO. 6.1 INTRODUCCIÓN El éxito de la aplicación del
Más detallesUNIVERSIDAD CENTRAL DE VENEZUELA CONSEJO UNIVERSITARIO Ciudad Universitaria de Caracas
EL DE LA UNIVERSIDAD CENTRAL DE VENEZUELA En uso de las atribuciones legales establecidas en el Artículo 26, Numeral 20 de la Ley de Universidades vigente, dicta las siguientes: POLÍTICAS PARA EL USO RACIONAL
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesUNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema:
UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas SEGURIDAD INFORMATICA Tema: CATEGORÍAS DE BENEFICIOS DE ESTANDARES Y PROCEDIMIENTOS Integrantes Doris María Mera Mero
Más detallesANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS. Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un
ANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un efecto positivo o negativo sobre al menos un objetivo del proyecto, como tiempo,
Más detalles-OPS/CEPIS/01.61(AIRE) Original: español Página 11 5. Estructura del programa de evaluación con personal externo
Página 11 5. Estructura del programa de evaluación con personal externo 5.1 Introducción Esta sección presenta la estructura del programa de evaluación con personal externo. Describe las funciones y responsabilidades
Más detallesSistema de Control Interno
Empresas Inarco Sistema de Control Interno Auditoría Interna 2014 Objetivo del Sistema El siguiente sistema tiene como propósito establecer la metodología de trabajo a seguir en cada proceso de revisión
Más detallesExsis Software & Soluciones S.A.S
Exsis Software & Soluciones S.A.S., es una empresa de recursos y capital netamente colombiano que dio inicio a sus actividades como proveedor de soluciones a la medida, con el fin de brindar a nuestros
Más detallesPor otro lado podemos enunciar los objetivos más específicos de nuestro estudio:
RESUMEN La empresa familiar es aquella cuya administración, dirección y control está en manos de una familia. Sus miembros toman decisiones estratégicas y operativas, asumiendo por completo la responsabilidad
Más detallesVersión final 8 de junio de 2009
GRUPO DE EXPERTOS «PLATAFORMA PARA LA CONSERVACIÓN DE DATOS ELECTRÓNICOS PARA CON FINES DE INVESTIGACIÓN, DETECCIÓN Y ENJUICIAMIENTO DE DELITOS GRAVES» ESTABLECIDO POR LA DECISIÓN 2008/324/CE DE LA COMISIÓN
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesQué es un firewall? cortafuegos firewall
FIREWALL Qué es un firewall? Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones
Más detallesPolíticas particulares del Correo Electrónico para el dominio ucab.edu.ve
Políticas particulares del Correo Electrónico para el dominio ucab.edu.ve Justificación El presente documento tiene por objetivo establecer las características del servicio de correo electrónico bajo el
Más detallesNormas de Seguridad de los Laboratorios de Cómputos
Normas de Seguridad de los Laboratorios de Cómputos Junio 2012 ÍNDICE DE CONTENIDO I. Propósitos y Objetivos.... 1 II. Procedimientos Generales de Seguridad de los Laboratorios de Cómputos.... 1 2.1 Responsabilidad...
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesEthical Hacking and Countermeasures
Page 1 Ethical Hacking and Countermeasures http://www.eccouncil.org Página 2 EHTM CCertified Ethical Hacker Contenido Qué hay de nuevo en CEHv6?... Pág. 4 Certified Ethical Hacker v6...... Pág. 5 Programa
Más detallesMINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA
MINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA La Paz, Agosto de 2010 REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO INTERNET
Más detallesCapítulo 1. Introducción
Capítulo 1. Introducción Nombre del Tema Aspectos de seguridad en aplicaciones basadas en WIFI. Asesor: Dr. Oleg Starostenko Basarab Actualidad y Definición del problema Desde hace ya tiempo nos hemos
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El original del Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS Nº 574-2009,
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro
Más detallesMaterial adicional del Seminario Taller Riesgo vs. Seguridad de la Información
Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones
Más detallesPROCEDIMIENTO ESPECÍFICO. Código G083-01 Edición 0
Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. DEFINICIÓN...
Más detallesMetodología básica de gestión de proyectos. Octubre de 2003
Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detalles