Universidad de Colima Facultad de Telemática

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Universidad de Colima Facultad de Telemática"

Transcripción

1 Universidad de Colima Facultad de Telemática ANÁLISIS E IMPLEMENTACIÓN DE UN ESQUEMA DE SEGURIDAD EN REDES PARA LA UNIVERSIDAD DE COLIMA TESIS Que para obtener el grado de MAESTRO EN CIENCIAS, AREA TELEMATICA Presenta Ing. Aaron Clemente Lacayo Arzú Asesor M.C. Raymundo Buenrostro Mariscal Colima, Colima Julio de 2004

2

3 Dedicatoria A Dios. Por darme la fuerza espiritual que siempre le pedí para llegar a mis metas. A mi Padre, Antonio Lacayo García, que en paz descanse. Por que siempre me aconsejo y me indico el buen camino. Te Amo, Papa, que Dios te tenga en su gloria. A mi Madre, Bertha Isabel Arzú Cacho Por estar siempre apoyándome y darme aliento para seguir adelante. Te Amo, madre, que Dios te bendiga. A mis hermanos Por creer en mí y motivarme a seguir adelante. A Patricia Alejandra Tabora Motiño. Mi linda. Por su inmenso amor y cariño Te Amo. Al Gobierno de México Porque esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México Muchas gracias por darme la oportunidad de completar mis estudios de maestría.

4 Agradecimiento Luego de un largo período y esfuerzo doy por terminada la Maestría en Ciencias Área Telemática, por lo que deseo agradecer a todos los que día a día me brindaron su apoyo incondicional. Primeramente deseo darle gracias a Dios, por todas las bendiciones derramadas en mi vida y principalmente por toda la fortaleza que obtuve y que hoy me permite culminar una etapa importante en mi vida. A mi familia, que me ha brindado apoyo y motivación constante para poder enfrentar este reto tan importante para mi bienestar personal y profesional. A la MAE. Patricia Alejandra Tábora Motiño por su tutoría constante en el desarrollo de la investigación. Al M.C. Raymundo Buenrostro por su apoyo incondicional para sacar adelante la investigación. A todos y cada uno de los profesores que participaron en el programa de la maestría por sus enseñanzas, su comprensión y disponibilidad. Al personal de la Dirección General de Servicios Telemáticos de la Universidad de Colima, por su apoyo y aportaciones. Al Gobierno de México, por permitirme culminar mis estudios gracias a la beca otorgada por la Secretaría de Relaciones Exteriores. y a todas y cada una de las personas que han estado a mi lado y me han brindado apoyo y palabras de aliento.

5 Resumen La seguridad informática requiere no solo de recursos tecnológicos, sino también de procesos y recursos humanos capacitados y especializados, esta meta es difícil de alcanzar pues existe un constante cambio, ya que día a día se descubren nuevas vulnerabilidades, nuevos tipos de ataques y nuevos parches que aplicar a los sistemas institucionales, convirtiendo la operación de la seguridad en una tarea sumamente compleja y demandante. El presente documento es sobre el desarrollo de la seguridad informática en la Intranet Universitaria, considerando las amenazas de seguridad desde perspectivas diferentes para permitir de esta forma conocer algunos riesgos que pueden afectar a la institución, así como determinar el nivel de madurez de la seguridad informática con relación al estándar ISO/17799, además se presentan una serie de lineamientos que la Dirección General de Servicios Telemáticos tiene que seguir para la adecuada implementación del plan táctico que se propone en la presente investigación.

6 Abstract Not only does computer security require technological resources, but also processes combined with trained and specialized human resources. Due to constant changes this goal is difficult to achieve, since new forms of vulnerability are discovered on a daily basis, along with new kinds of attack and new patches to be applied in institutional systems, hence turning the operation of security into a highly complex and demanding task. This research project deals with the development of computer security in the university Intranet, taking into consideration security threats from different perspectives so as to identify some risks which could affect the institution. This project also intends to determine the level of maturity regarding computer security in relation to the ISO/17799 standard, in addition to presenting the guidelines that the General Department of Telematic Services has to follow to properly implement the tactic proposed in this research project.

7 INDICE DE CONTENIDO CONTENIDO... Pagina Introducción ii Descripción de la Problemática... iii Objetivo General... iv Metas y Alcances... iv Justificación..iv Capitulo 1: Seguridad Informática Antecedentes de la Seguridad Estándares de Seguridad en Redes Estándar BS Estándar ISO/ La Seguridad en Redes Tipos de Ataques y Amenazas Amenazas Internas Amenazas Externas Reconocimiento Acceso no Autorizado Denegación de Servicios Mecanismos de Seguridad Roles de los Mecanismos de Seguridad en Redes Seguridad Perimetral Control de Rutas Permitidas Detección de Intrusión Políticas de Seguridad Selección de Controles Puntos de Inicio para la Política de Seguridad Informática Factores Críticos de Éxito Documento de la Política de Seguridad Informática... 44

8 1.6.5 Revisiones y Evaluaciones Coordinación de la Seguridad Informática Controles de Autorización para la Asignación de Recursos de Seguridad Informática Consejo de un especialista en seguridad informática Coordinación entre organizaciones Verificación independiente de la Política de seguridad informática Errores en la Planificación de la Seguridad Informática Capitulo 2: Contextualización y Análisis de Vulnerabilidades Marco Metodológico Levantamiento Información Análisis de Vulnerabilidades Análisis de Riesgos Plan táctico de seguridad Introducción al desarrollo de la metodología Contextualización Redes y Comunicaciones Servicio Electrónicos de Intranet Seguridad Perimetral Zona de Internet Zona de Red Interna Zona Militarizada Zona Desmilitarizada Estructura General de cada Campus Infraestructura Tecnológica evaluada Descripción de las pruebas Pruebas Internas Pruebas Externas Ejecución del Análisis de Vulnerabilidades Ejecución de las pruebas... 81

9 2.5.3 Dispositivos de Comunicación Firewalls Herramientas Utilizadas Análisis de Pruebas Generación de reportes Interpretación de los resultados Hallazgos Internos Hallazgos Externos Capitulo 3: Análisis de Riesgos Administración de Riesgos Valoración de riesgos Mitigación de Riesgos Desarrollo del Análisis de Riesgos Priorización de Riesgos Priorización de Controles Priorización de Actividades Controles de DIGESET respecto a las mejores prácticas Nivel de madurez de los controles de Seguridad Informática con base en el estándar ISO Resultados Consolidados Mejoras a Corto Plazo Capitulo 4: Plan Táctico de Seguridad Informática Objetivo del Plan Táctico de Seguridad Informática para DIGESET Descripción General del Plan Táctico de Seguridad Informática Preparación Operación Optimización Estructura operativa del plan táctico Desarrollo de la línea táctica de funciones de seguridad

10 Antecedentes Objetivos de la línea táctica funciones de segurida Departamento de seguridad Informática Beneficios Alcance Actividades Resultados esperados de la línea táctica funciones de seguridad Desarrollo de la línea táctica Políticas de Seguridad Antecedentes Objetivo del desarrollo de las políticas de seguridad Beneficios Alcance Actividades Políticas propuestas Desarrollo de la línea táctica programa de concienciación Antecedentes Objetivo del desarrollo de la línea táctica Beneficios Alcance Actividades Resultados esperados de la línea táctica de concienciación Desarrollo de la línea táctica arquitectura tecnológica Antecedentes Objetivo Alcances Elementos administrados Actividades propuestas Resultados esperados de la línea táctica de arquitectura tecnológica Factores críticos de éxito 161 Capitulo 5: Conclusiones Y Recomendaciones Bibliografía...169

11 Glosario..172 Anexos.183

12 ÍNDICE DE TABLAS Y FIGURAS Tabla 1.1 Incidentes de Delito Informático. 4 Figura 1.1. Diez puntos claves para el contexto de ISO/ Figura 1.2. Representación de los tipos de intrusos en una red..21 Figura 1.3. Muestra los posibles intrusos en una Intranet...24 Figura 1.4. Proceso normal de Acuerdo en Tres Fases..31 Figura 2.1. Metodología de la Investigación..52 Figura 2.2. Algunos servicios que proporciona DIGESET 60 Tabla 2.1. Ubicación y modelo de los conmutadores.63 Figura 2.3. Diagrama General de la red Telefónica 64 Figura 2.4. Organigrama de DIGESET...65 Figura 2.5. Diagrama de la seguridad perimetral de DIGESET..69 Figura 2.6. Diagrama general de los campus de la Universidad de Colima 73 Tabla 2.2. Enlaces de la Universidad de Colima.74 Figura 2.7. Diagrama del campus Colima 77 Tabla 2.3 Equipos críticos incluidos en el análisis de vulnerabilidades...79 Tabla 2.4. Grupo de pruebas aplicadas a los servidores Windows Tabla 2.5. Grupo de pruebas aplicadas a los servidores Unix..83 Tabla 2.6. Grupo de pruebas aplicadas a dispositivos de comunicación..83 Tabla 2.7. Grupo de pruebas aplicadas al cortafuego..84 Tabla 2.8. Herramientas utilizadas en el análisis de vulnerabilidades.85 Tabla 2.9. Clasificación de vulnerabilidades 86 Figura 2.8. Porcentaje de vulnerabilidades en servidores Windows Figura 2.9. Porcentaje de vulnerabilidades en servidores Unix 89 Figura Porcentaje de vulnerabilidades en dispositivos de comunicación 90 Figura Porcentaje de vulnerabilidades externas...90 Figura 3.1. Cuatro actividades de la administración de riesgos 94 Figura 3.2. Espectro de riesgos.95 Tabla 3.1. Información de los hallazgos encontrados en DIGESET Figura 3.3. Priorización grafica de los hallazgos 108

13 Figura 3.4. Relación tiempo y costo de los controles de seguridad 109 Figura 3.5. Representación grafica de la priorización de actividades 110 Tabla 3.2. Niveles de madurez con base al estándar ISO/ Tabla 3.3. Resultados de los niveles de madurez de DIGESET.117 Figura 4.1. Diagrama conceptual del plan táctico de seguridad.125 Figura 4.2. Relación de las etapas del modelo de operación Figura 4.3. Relación del plan táctico con el modelo de operación Figura 4.4. Organigrama de DIGESET con el departamento de seguridad Tabla 4.1. Dispositivos parte de la administración de seguridad Figura 4.4. Actividades propuestas para la administración de seguridad...158

14 Tabla de Contenido Introducción... ii Descripción de la Problemática...iii Objetivo... iv Metas y Alcances... iv Justificación... iv

15 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima Introducción La Dirección General de Servicios Telemáticos (DIGESET) tiene como objetivo ofrecer servicios de telecomunicaciones e informática, para apoyar las actividades mas importantes del área de comunicación de la universidad de Colima a través de la investigación y modernización de la infraestructura Intranet universitaria. Otro objetivo, es la vinculación de las dependencias de la Universidad de Colima con otras instituciones, brindando asesorías, propiciando la transferencia de conocimiento y tecnología. Además, busca impulsar la venta de servicios electrónicos en la comunidad universitaria para tener una fuente alterna de financiamiento que permita apoyar las inversiones en capacitación, recursos humanos e infraestructura de la dirección (Telemáticos, 2002). La DIGESET para cumplir con los objetivos planteados gestiona proyectos que permitan incrementar y modernizar las tecnologías de información de la institución. Entre ellos se tienen el PIFI, PROMEP, PRONAD e internos(telemáticos, 2002). La Universidad de Colima incorporó a su Intranet 1200 equipos de cómputo, con una inversión que superó los 12 millones de pesos, donde el 20% fueron adquiridas con recursos propios. En el año 2002 la Universidad instalo 28 redes y a la fecha se cuenta con 4423 equipos conectadas a Internet. Se ha incrementado la capacidad del enlace que une los campus de Coquimatlán y Villa de Álvarez. La universidad de colima se coloca como una de las universidades estatales de México con tecnología de vanguardia y es una institución compuesta por varias delegaciones regionales en una red Intranet, que hace uso de muchas aplicaciones a través de Internet, permitiendo a los alumnos y profesores estar en contacto con el mundo de la información en línea.(telemáticos, 2002). DIGESET incrementa su capacidad de ancho de banda de Internet de 4 Mbps a 34 Mbps y coloca su enlace de 2 Mbps al backbone de Internet 2, este crecimiento que se Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México ii

16 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima observa en la Universidad de Colima, trae consigo el incremento del uso de Internet y el surgimiento de nuevas tecnologías, dando lugar a nuevos retos, uno de esos retos es el mantenimiento de la seguridad e integridad de la información y servicios de las redes informáticas, a través de procedimientos bien definidos que permitan disminuir las vulnerabilidades, dicho en otras palabras, la Universidad de Colima está a la vanguardia con la aplicación de esta tecnología, pero al mismo tiempo está expuesta a nuevas vulnerabilidades que se pueden convertir en problemas si no se tratan a tiempo y con el debido procedimiento. Descripción de la Problemática Actualmente la Universidad de Colima se ha preocupado por la seguridad e integridad de la información y servicios contenidos en su Intranet, por lo que ha invertido una fuerte cantidad de dinero en equipos y aplicaciones que ayudan a disminuir las vulnerabilidades de seguridad. Esta inversión a logrado incrementar el nivel de seguridad pero no al grado que la institución requiere y esto se debe principalmente a que estos equipos y aplicaciones no están funcionando a un cien por ciento, además la falta de algunos elementos entre los que se pueden mencionar: Políticas oficializadas Procedimientos, Reglas de seguridad y Monitoreo constante de la información que proporcionan los equipos y aplicaciones. Por lo tanto DIGESET requiere de una planificación que involucre los puntos anteriormente expuestos a través de un plan de táctico de seguridad informática para las funciones críticas. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México iii

17 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima Objetivo Analizar el esquema actual de seguridad informática utilizado para la Intranet de la Dirección General de Servicios Telemáticos, con el fin de mejorarlo a través de un plan táctico que de solución a los puntos expuestos en la problemática. Metas y Alcances Generar las políticas de seguridad para las áreas del nodo principal de la Intranet. Establecer las mejoras necesarias para la correcta operación los equipos y sistemas de seguridad, con el objetivo de proteger la Intranet universitaria de intrusos internos y externos, especialmente aquellos de misión crítica del nodo principal y así lograr un nivel de seguridad que evite las potenciales perdidas tangibles o intangibles de la información en la red universitaria. Establecer una serie de lineamientos para el personal responsable del área de seguridad informática, dando a conocer las amenazas y vulnerabilidades que surgen día a día en la tecnología, con la única finalidad de capacitar al personal para vigilar y mantener la integridad de la Intranet. Justificación Los sistemas de información de hoy en día están relacionados en un 100% con la exposición de la información a entidades externas que son ajenas a la organización o delegación a la que pertenecen. La Universidad de Colima esta compuesta por muchas delegaciones y dependencias, cada una de ellas tienen sistemas de información independientes que hacen uso de la red externa (Internet) e interna (Intranet). Esto los Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México iv

18 Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima hace vulnerables a eventos de amenazas que conllevan a riesgos que pueden provocar perdidas tangible e intangibles, para evitar estas perdidas que en muchos de los casos serán monetarias, se requiere del planteamiento de un esquema de seguridad que no solo contemple elementos técnicos que comúnmente encontramos en el mundo de la seguridad informática, sino que establezca una base sólida para el establecimiento de controles, políticas y proyectos de seguridad que administren el ciclo de vida de la seguridad informática. DIGESET es la dependencia encargada de la distribución y administración de la red externa e interna de la Universidad de Colima, por lo tanto, será el objeto de estudio de la investigación. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México v

19 Tabla de Contenido 1.1 Antecedentes de la Seguridad Informática Estándares de Seguridad en Redes Estándar BS Estándar ISO/ La Seguridad en Redes Tipos de Ataques y Amenazas Amenazas Internas Amenazas Externas Reconocimiento Acceso no Autorizado Denegación de Servicios Mecanismos de Seguridad Roles de los Mecanismos de Seguridad en Redes Seguridad Perimetral Control de Rutas Permitidas Detección de Intrusión Políticas de Seguridad Selección de Controles Puntos de Inicio para la Política de Seguridad Informática Factores Críticos de Éxito Documento de la Política de Seguridad Informática Revisiones y Evaluaciones Coordinación de la Seguridad Informática Controles de Autorización para la Asignación de Recursos de Seguridad Informática Consejo de un especialista en seguridad informática Coordinación entre organizaciones Verificación independiente de la Política de seguridad informática Errores en la Planificación de la Seguridad Informática... 48

20 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima 1.1 Antecedentes de la Seguridad Informática No se puede proponer un esquema de seguridad sin antes de hablar de algunos antecedentes trascendentales que determinaron la importancia de la seguridad informática. Al mismo tiempo es necesario definir qué es la seguridad informática, los elementos que intervienen en la seguridad y las diferentes tecnologías existentes para asegurar la información y los servicios de una red informática. El departamento de defensa de los Estados Unidos da los primeros pasos en cuestión de seguridad, cuando en 1967, la unidad de Defensa Científica concentro sus esfuerzos en un sistema de seguridad que salvaguardara la información confidencial que los sistemas de acceso remoto compartían. Como resultado de la aplicación de este nuevo sistema en febrero de 1970 se pública Controles de Seguridad para los Sistemas de Cómputo, el cual era un reporte de una serie de políticas y recomendaciones técnicas en las prácticas cotidianas de los sistemas de computo para reducir las amenazas que comprometían la seguridad de la información confidencial (Latham, 1985). En 1972 y 1973 se publicaron las primeras recomendaciones de políticas uniformes, requerimientos de seguridad, controles administrativos y medidas de seguridad técnica, para la protección de la información confidencial procesada por un sistema de cómputo. A mediados de los años setenta, la fuerza aérea, la agencia de proyectos de investigación avanzada y otras agencias de defensa, llevaron acabo investigaciones y desarrollo de algunas soluciones para los problemas técnicos que conlleva el control del flujo de información en los recursos de los sistemas de computo (Latham, 1985). La iniciativa del departamento de defensa acerca de la seguridad en sistemas de computo inicia en 1977, con el auspicio de la secretaria de defensa para la investigación e ingeniería. Actualmente este departamento se dirige a los asuntos de seguridad en computo liderando a la NBS (Nacional Bureau of Standards) en la definición de problemas y soluciones para la construcción, evaluación, y auditoria de sistemas de computo. Como parte de este trabajo la NBS posee dos áreas de trabajo que son complementarias, estas Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 2

21 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima son la auditoria y la evaluación de seguridad en computo. La primera fue constituida en marzo de 1977 y la segunda en noviembre de Uno de los resultados del trabajo realizado en la evaluación fue un reporte definitivo sobre los problemas relacionados a los criterios de evaluación y efectividad de técnicas de seguridad en cómputo. A consecuencia de las recomendaciones publicadas en este reporte y soportando la iniciativa del departamento de defensa, la corporación MITRE empieza a trabajar en criterios de evaluación de seguridad en computo que contribuían a determinar el grado de confianza que un sistema de seguridad podría tener al momento de proteger la información confidencial. En 1981 nace en los Estados Unidos el Centro de Seguridad en Computo para dotarse de personal y expandir el trabajo iniciado por el área de ingeniería e Investigación del departamento de defensa (Latham, 1985). En agosto de 1985 el Centro de Seguridad en Computo del Departamento de Defensa cambio su nombre a Centro Nacional de Seguridad en Computo. El concepto de seguridad de redes no es nuevo cuando en 1974 surgen las primeras conexiones que posteriormente dieron origen al Internet. Su crecimiento exponencial dio lugar a las primeras aplicaciones comerciales que permitían al usuario intercambiar información y con ella el crecimiento de posibles atacantes que día a día comprometían el funcionamiento de las redes de computadoras. Hasta ese momento la seguridad no era importante para los administradores de redes y es hasta el 2 de mayo de 1987, cuando dos hackers alemanes ingresan sin autorización al sistema central de investigaciones aeroespaciales mas grande del mundo, la NASA (Villalón Huerta, 2000). Aun cuando no destruyeron ni robaron información, estos dos jóvenes demostraron lo vulnerable que puede llegar a ser el sistema informático de la agencia espacial. Por otro lado, en 1988 Robert Morris propicia el primer incidente de perdida de información debido a que uno de sus programas denominado worm o gusano, invadió gran parte de las computadoras a través del navegador en Internet, imposibilitando durante días a más de 6000 sistemas dañados o perjudicados. Es después de estos y otros acontecimientos que surge la preocupación de los administradores por la seguridad en redes. La tabla 1.1 presenta algunos eventos de delito informático. Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 3

22 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima Fecha Autor(es) Virus Descripcion Impacto Castigo May-87 Wau Holland y Ninguno Steffer Wenery Ingresaron sin autorización al sistema de investigaciones de la NASA. No destruyeron, no robaron información. Pero pone en estredicho la seguridad de la agencia espacial. Nov-88 Robert Morris Gusano Morris lanzó un gusano diseñado por el mismo para navegar en internet y mutiplicarse por si solo, causando sobreutilización de recursos de la maquina. Causó consumo de los recursos de muchisimas maquinas y que mas de 6000 sistemas resultaron dañados o fueron seriamente perjudicados. Significó días de productividad perdidos y millones de dólares. Fue condenado y sentenciado a tres años de libertad condicional, 400 horas de servicio comunitario y US $10,000 de fianza, bajo el cargo de fraude computacional y abuso. Ene-86 Herber Zinn (Shadowhack) Zinn tenía 17 años cuando violó el acceso a AT&T y los sistemas del departamento de defensa. Destruyó el equivalente a US$174,000 en archivos y copias de programas valorados en millones de dólares. Publicó contraseñas e instrucciones de cómo violar la seguridad de los sistemas computacionales. Fue el primer sentenciado bajo el cargo de fraude Computacional y Abuso. Fue sentenciado a 9 meses de carcel y a una fianza de US $10,000. No registrado David Smith Melissa Detenido por la FBI, junto con los ingenieros de American Online. Se le acuso de bloquear las comunicaciones públicas y dañar los sistemas informáticos. Crea el Virus Melissa, Esta en espera de su que consiguió condena, puede contaminar a más de enfrentar 10 años de 100,000 computadoras carcel. Esta en en todo el mundo. libertad bajo fianza de Afectó en forma 10,000 dólares. sustancial buzones de millones de usuarios que utilizaban el Outlook Express. Tabla 1.1. Incidentes de Delito Informático A raíz de estos incidentes el 17 de Noviembre de 1988, la agencia DARPA (Defense Advanced Research projects Agency) creó el CERT 1 (Equipo de respuestas a incidentes de Seguridad en Computo), un grupo formado en su mayoría por voluntarios calificados de la comunidad informática, con el objetivo de proporcionar a soluciones rápidas a los problemas de seguridad que se presenten en los host de Internet. Este organismo se encarga de divulgar las noticias de seguridad de redes mas recientes, así como las vulnerabilidades más importantes de las aplicaciones, sistemas operativos y productos. Hoy por hoy, CERT cumple 15 años de proporcionar servicio a las organizaciones que 1 CERT en ingles significa Computer Emergency Response Team Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 4

23 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima se han visto afectadas por incidentes de delito informático, convirtiéndose en la institución que más publicaciones de seguridad ha realizado (Artigas, 2003). Hay otras organizaciones que se dedican a la investigación de soluciones de seguridad, tal es el caso de SANS 2 (SysAdmin, Audit, Network, Security); la cual se dedica a la investigación, certificación y capacitación de profesionales que sean capaces de diseñar soluciones de seguridad. Esta institución fue creada en 1989 en respuesta a los incidentes de delito informático que se suscitaron a causa del crecimiento exponencial de Internet. SANS, cuenta con mas de 156,000 profesionales (seguridad, auditores, administradores de sistemas y administradores) que comparten experiencias vividas con respecto a la solución de nuevos retos que emergen del mundo de la seguridad. En el corazón de esta institución se encuentran agencias de gobierno, corporaciones y universidades de todo el mundo que invierten miles de horas anualmente en la investigación y capacitación para apoyar a la comunidad de la seguridad informática. Todas las instituciones anteriormente mencionadas se dedican a la publicación o divulgación de los incidentes de delito informático que se presentan en las organizaciones con aplicaciones de comercio electrónico. En vista de que la mayoría de los ataques son realizados en Internet o bien en una Intranet, CERT cuenta con una Centro de Coordinación (CERT/CC) el cual se dedica exclusivamente a la seguridad en plataformas intranet. CERT/CC se dedica a proporcionar consejos técnicos de prácticas de seguridad que ayuden a los administradores de redes. Además, se encarga de coordinar las respuestas a los incidentes de seguridad, trabajar en la solución de los problemas de seguridad, identificar las tendencias de ataques de intrusos, divulgar información a toda la comunidad, analizar código malicioso y las vulnerabilidades de los productos, publicar documentos técnicos y proporcionar cursos de capacitación (University, 2003). 2 SANS (Administración de Sistemas, Auditoria, Redes, Seguridad) Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 5

24 Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima La forma de operar del CERT/CC, está en la identificación de dos aspectos: Las vulnerabilidades de los sistemas de información que usa una intranet y el análisis del código maligno desarrollado por el intruso. En ambos aspectos lo que se busca es la identificación de las fallas o defectos. Una vez identificados los defectos se procede a la atención del incidente, que consiste en explotar los defectos encontrados en el sistema y en el código maligno, para que éstas sean la base de la solución del incidente. El CERT/CC cuenta con procedimientos bien definidos acerca de cómo se deben de atender los delitos informáticos. Además, trabaja en alianza con las siguientes instituciones (University, 2003): Departamento de Defensa de los Estados Unidos de América. Oficina Ejecutiva del Presidente de los Estados Unidos. Servicio de Seguridad de los Estados Unidos. Alianza de Seguridad de Internet. Agencia de Defensa de Sistemas Informáticos. Centro Nacional de Protección de Infraestructura de los Estados Unidos. Protección de la Infraestructura Nacional de los Estados Unidos (INFRAGARD) Sistema Nacional de Comunicaciones de los Estados Unidos. Unified Incident Reporting and Alert Scheme (UNIRAS) Australian Computer Emergency Response Team (AUSCERT) Comité Nacional de Asesores en Seguridad de las Telecomunicaciones Departamento de Homeland Security Internet Engineering Task Force (IETF) North American Network Operators Group (NANOG) Sin embargo, el CERT, pública solo las vulnerabilidades que han sido reportadas por parte de las empresas afectadas, pero se dan casos en los cuales muchos de los incidentes de delito informático no son reportados por el temor de la misma empresa que se ve afectada, ya que puede comprometer la imagen del negocio; por ejemplo, el acceso a la Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México 6

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina 2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

Descripción General de la Empresa SECURE INFO S.A.

Descripción General de la Empresa SECURE INFO S.A. Universidad de Concepción Facultad de Ingeniería Departamento de Ingeniería Informática y Ciencias de Computación Informe Nº1 de la Empresa SECURE INFO S.A. Adm inistración Informática II-2002 Nombres:

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure

CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática La rapidez con que se pueda reconocer, analizar y responder a las amenazas, minimizará el daño y disminuirá los costos de recuperación.

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES III CURSO MAESTRIA EN ALTA GERENCIA PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN, BAJO LA NORMA ISO 17799:2005 EN ANDINATEL

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Guía: Seguridad Informática. Contenido suministrado por

Guía: Seguridad Informática. Contenido suministrado por Guía: Seguridad Informática Contenido suministrado por A quien le afecta? Compañías que tienen, usan o hacen soporte técnico de ordenadores, teléfonos inteligentes, correo electrónico, paginas web, medios

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

RECETA ELECTRÓNICA Informe de Seguridad

RECETA ELECTRÓNICA Informe de Seguridad RECETA ELECTRÓNICA Informe de Seguridad EJIE, S.A. AVDA. MEDITERRÁNEO, 3 01010 - VITORIA-GASTEIZ 27/03/2007 1. INTRODUCCIÓN La información incluida a continuación pretende dar una información aproximada

Más detalles

7. CONCLUSIONES Y RECOMENDACIONES

7. CONCLUSIONES Y RECOMENDACIONES CAPITULO VII 7. CONCLUSIONES Y RECOMENDACIONES 7.1 VERIFICACION DE LA HIPOTESIS Una vez terminada la investigación, se establece que la hipótesis planteada para el desarrollo de la Tesis "Metodología para

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

Catálogo de Servicios

Catálogo de Servicios Catálogo de Servicios Fecha: 14 de mayo de 2013 Índice 1 Presentación... 3 2 Servicios de Consultoría SQL Server... 4 2.1 Monitorización servidores SQL Server... 4 2.2 DBA Remoto... 5 2.3 Consolidación

Más detalles

LA SEGURIDAD EN INTERNET RESUMEN

LA SEGURIDAD EN INTERNET RESUMEN CENTRO DE INVESTIGACIONES Y DESARROLLO FACULTAD DE INGENIERÍA LA SEGURIDAD EN INTERNET La seguridad en la Red todavía está lejos de ser total. Los Firewalls una esperanza en seguridad informática. Los

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

Planificación del Help Desk de su escuela

Planificación del Help Desk de su escuela Capítulo 1 Planificación del Help Desk de su escuela Después de terminar este capítulo usted será capaz de: Describir cuál es la función de un Help Desk; Describir qué es el soporte de nivel 1; Explicar

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Capítulo I Antedecentes documento] En este capítulo de denotan los conceptos básicos para la compresión del proyecto.

Capítulo I Antedecentes documento] En este capítulo de denotan los conceptos básicos para la compresión del proyecto. Antedecentes documento] En este capítulo de denotan los conceptos básicos para la compresión del proyecto. 1.1 Concepto de la Seguridad Informática La seguridad informática es una disciplina que se relaciona

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Guía de procesos en gestión de incidentes

Guía de procesos en gestión de incidentes SGSI Sistema de Gestión de Seguridad de la Información Guía de procesos en gestión de incidentes Versión 1.0 2010 Setiembre 2010 Table of Contents Guía de referencia en gestión de incidentes en seguridad

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

UD 4: Instalación y configuración de cortafuegos

UD 4: Instalación y configuración de cortafuegos UD 4: Instalación y configuración de cortafuegos Cortafuegos software y hardware Luis Alfonso Sánchez Brazales 1 Cortafuegos software integrados en los sistemas operativos Un firewall gratuito es un Software

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

Planeación de Help Desk

Planeación de Help Desk Planeación de Help Desk Antes de empezar formalmente a ayudar a otros con problemas de computadores, debe tomar ciertas decisiones previas. Es necesario que entienda la importancia de trabajar con los

Más detalles

Qué es un firewall? cortafuegos firewall

Qué es un firewall? cortafuegos firewall FIREWALL Qué es un firewall? Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones

Más detalles

Correo Gestionado Inteligente, elección 100% segura. Uniway Consultoría. Servicio Gestionado. de Correo Electrónico

Correo Gestionado Inteligente, elección 100% segura. Uniway Consultoría. Servicio Gestionado. de Correo Electrónico WhitePaper Correo Gestionado Inteligente, elección 100% segura Uniway Consultoría Servicio Gestionado de Correo Electrónico Índice Análisis 3-4 Introducción 4-5 Clasificación, tipos de Servicio, Modalidades

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal

Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal función la protección de toda la Red, ya sea LAN, WAN

Más detalles

Universidad Tecnológica del Chocó Diego Luís Córdoba Nit. 891680089-4

Universidad Tecnológica del Chocó Diego Luís Córdoba Nit. 891680089-4 DIPLOMADO DE PROFUNDIZACIÓN EN SEGURIDAD INFORMATICA Y AUDITORIA Dirigido a: Personas que se desempeñen en el área de seguridad, auditoria o con Conocimientos en informática, bases de datos y redes de

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

Test de intrusión (Penetration Test) Introducción

Test de intrusión (Penetration Test) Introducción Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Qué son y cómo combatirlas

Qué son y cómo combatirlas Redes zombies Qué son y cómo combatirlas Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas

Más detalles

La Empresa en Riesgo?

La Empresa en Riesgo? 1 La Empresa en Riesgo? Claves de la Seguridad Informática MSc. Julio C. Ardita jardita@cybsec.com 19 de Octubre de 2004 Buenos Aires - ARGENTINA 2 Temario - Situación actual - Problemática de la seguridad

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

NTE INEN-ISO/IEC 27033-1 Primera edición

NTE INEN-ISO/IEC 27033-1 Primera edición Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27033-1 Primera edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE LA RED PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC 27033-1:2009,

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO Unidad de Proyectos Especiales Guía Técnico Normativa para el uso del equipo de cómputo y de los servicios de conectividad de la Dirección General

Más detalles

White Paper Gestión Dinámica de Riesgos

White Paper Gestión Dinámica de Riesgos White Paper Gestión Dinámica de Riesgos Compruebe por qué un Firewall con control de aplicaciones no es suficiente para los problemas de seguridad de hoy: Cómo controlar el riesgo de la red? Cómo verificar

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de

Más detalles

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V. Is not jus power, is reliability and trust Yei Systems S.A. de C.V. Nos es muy grato dirigirnos a Usted para ofrecerle nuestros servicios de Auditoría de sistemas, Desarrollo de software y Seguridad Informática

Más detalles

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu. ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.co Por qué es Importante?? La Gestión de Servicios de Tecnología

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red Protección perimetral para su red local por ALBA Software SIE Firewall es un sistema pensado para proteger la red de su empresa de posibles ataques de Internet. El firewall actua de barrera separando la

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Tecnología en Movimiento Para Usted

Tecnología en Movimiento Para Usted InsysGuard INSYS ofrece InsysGuard como Centro de Operaciones NOC & SOC (Network Operations Center & Security Operations Center) dentro del territorio nacional mexicano y todo el procesamiento se realizá

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Política y Procedimiento del uso de Firewalls

Política y Procedimiento del uso de Firewalls Fecha de aprobación: 27/mayo/2008 Página: 2 de 11 Control de Cambios Fecha Versión Descripción Autor 14/Enero/2008 1.0 Comenzando el desarrollo de las secciones Roberto García 21/Febrero/2008 1.0 Revisión

Más detalles

Auditoría especializada. Data Center Mensajeria Unificada Voz sobre Ip Convergencia de tecnologías. Pablo Alejandro Molina R.

Auditoría especializada. Data Center Mensajeria Unificada Voz sobre Ip Convergencia de tecnologías. Pablo Alejandro Molina R. Auditoría especializada Data Center Mensajeria Unificada Voz sobre Ip Convergencia de tecnologías Pablo Alejandro Molina R. Cod: 1700322751 Universidad de Caldas Auditoría de sistemas Manizales 2010 Centro

Más detalles

Porqué elegir Trend Micro para proteger su empresa del código malicioso y tener seguridad en el contenido?

Porqué elegir Trend Micro para proteger su empresa del código malicioso y tener seguridad en el contenido? ventas@widelans.com Porqué elegir Trend Micro para proteger su empresa del código malicioso y tener seguridad en el contenido? Le proporciona una ESTRATEGIA DE PROTECCIÓN EMPRESARIAL, probada y efectiva

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Anexo ALFA. Especificaciones Técnicas FUERZA AÉREA ARGENTINA DIRECCIÓN GENERAL DE SALUD DIBPFA

Anexo ALFA. Especificaciones Técnicas FUERZA AÉREA ARGENTINA DIRECCIÓN GENERAL DE SALUD DIBPFA FUERZA AÉREA ARGENTINA DIRECCIÓN GENERAL DE SALUD DIBPFA Anexo ALFA Especificaciones Técnicas El objetivo de esta contratación es lograr que se lleve a cabo el mantenimiento, operación y soporte constante

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

Aranda SERVICE DESK. Beneficios estratégicos para su organización. Característica Especiales. Beneficios

Aranda SERVICE DESK. Beneficios estratégicos para su organización. Característica Especiales. Beneficios Optimice la gestión de soporte y servicio y maneje de manera eficiente estos procedimientos dentro y fuera de su organización, aumentando considerablemente su nivel de productividad. Beneficios Gestión

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Exsis Software & Soluciones S.A.S

Exsis Software & Soluciones S.A.S Exsis Software & Soluciones S.A.S., es una empresa de recursos y capital netamente colombiano que dio inicio a sus actividades como proveedor de soluciones a la medida, con el fin de brindar a nuestros

Más detalles

Servicios Administrados de Infraestructura

Servicios Administrados de Infraestructura Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio

Más detalles

NCR APTRA Suite. La cartera de software de autoservicio financiero líder en el mundo

NCR APTRA Suite. La cartera de software de autoservicio financiero líder en el mundo NCR APTRA Suite La cartera de software de autoservicio financiero líder en el mundo MARQUE LA DIFERENCIA EN LA EXPERIENCIA DEL CONSUMIDOR. Según afirma la industria bancaria, la calidad de la experiencia

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition)

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) Boletín de Producto 11 de Marzo de 2010 Versión 2.6 ESET NOD32 Antivirus 4 Todos los usuarios necesitan contar con una protección completa

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Beneficios estratégicos para su organización. Resolución proactiva de problemas y eventualidades. Reducción instantánea de costos de soporte.

Beneficios estratégicos para su organización. Resolución proactiva de problemas y eventualidades. Reducción instantánea de costos de soporte. Beneficios Gestión organizada y control sobre las solicitudes de soporte. Información completa correspondiente a cada caso y asociación de los involucrados en el mismo (usuarios, especialistas). Seguimiento

Más detalles

Autodesk 360: Trabaje donde esté seguro

Autodesk 360: Trabaje donde esté seguro Visión general de seguridad Autodesk 360 Autodesk 360: Trabaje donde esté seguro Protegiendo sus intereses mientras trabaja en la web con Autodesk 360 https://360.autodesk.com Contenidos Una nube en su

Más detalles

POLITICAS Y NORMAS PARA EL USO DEL CORREO ELECTRONICO INSTITUCIONAL (LOTUS NOTES) E INTERNET DE LA COMISION NACIONAL DE SEGUROS Y FIANZAS

POLITICAS Y NORMAS PARA EL USO DEL CORREO ELECTRONICO INSTITUCIONAL (LOTUS NOTES) E INTERNET DE LA COMISION NACIONAL DE SEGUROS Y FIANZAS POLITICAS Y NORMAS PARA EL USO DEL 1 INDICE I. Descripción del Servicio 3 II Propósito de las políticas de acceso y uso de Internet 4 III Disposiciones Generales 4 De la Dirección General de Informática

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED

CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED Existen numerosas cuestiones que deben abordarse al elaborar una política de seguridad: 1. Quién esta autorizado para usar los recursos? 2. Cuál es el uso

Más detalles

SOLUCIÓN DE UNA INTRANET BAJO SOFTWARE OPEN SOURCE PARA EL GOBIERNO MUNICIPAL DEL CANTÓN BOLÍVAR [IOS-GMCB]

SOLUCIÓN DE UNA INTRANET BAJO SOFTWARE OPEN SOURCE PARA EL GOBIERNO MUNICIPAL DEL CANTÓN BOLÍVAR [IOS-GMCB] Gobierno Municipal del Cantón Bolívar. SOLUCIÓN DE UNA INTRANET BAJO SOFTWARE OPEN SOURCE PARA EL GOBIERNO MUNICIPAL DEL CANTÓN BOLÍVAR [IOS-GMCB] Visión Universidad Técnica del Norte Histórico de Revisiones

Más detalles

DOCUMENTO DE SEGURIDAD INFORMÁTICA. AÑO 2015

DOCUMENTO DE SEGURIDAD INFORMÁTICA. AÑO 2015 DOCUMENTO DE SEGURIDAD INFORMÁTICA 2015. Esta Política de Seguridad para sistemas informáticos está diseñada para proteger el CA UNED-Les Illes Balears, nuestros empleados, colaboradores y clientes de

Más detalles