Arquitectura de Un PenTestingInterno Para grandes Empresas
|
|
- Estefania Giménez Salazar
- hace 8 años
- Vistas:
Transcripción
1 Arquitectura de Un PenTestingInterno dsteamseguridad.seguridad JUAN DAVID BERRIO LOPEZ
2 Agenda Presentación Objetivo Qué es una auditoria del tipo PenTesting aplicada al negocio Impacto del Pentesting en el CORE de un Negocio Pentesting Tradicional VS Pentesting Grandes Empresas Metodología Centuriones Ejemplo: Arquitectura de un Pentesting empresa Cliente como hacemos los PenTesting en DSTEAM Herramientas de apoyo Como nos capacitamos Conclusiones Reflexión: Anímate a participar en Conferencias de seguridad!!!
3 -Acuerdo de Confidencialidad- Criterios Legales. Arquitectura de Un Pentesting Interno para Las demostraciones, practicas, talleres y conceptos impartidos en esta Desconferencia, no buscan promocionar personas, promover el uso de programas para la Intrusión en sistemas informáticos, solo se hace con fines educativos, por lo que cualquier uso de los programas y contenidos de links aquí mencionados a los asistentes, no es responsabilidad de la Empresa DSTEAM Seguridad, o de los organizadores del evento Barcamp_SE. Si desea probar los métodos e información suministrada en esta charla en sistemas y redes ajenos y Públicos, hágalo bajo su responsabilidad. Ley Colombiana 1273 de 2009 Artículo 269 A. Acceso abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis(96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
4 grande Empresas Arquitecto de Seguridad y creador de la empresa de Seguridad de la información DSTEAM, Ingeniero en Informática, Magíster en Seguridad Informática de la Universidad Oberta de Cataluña -España, Posgrado en Redes y Nuevas Tecnologías Universidad San Buenaventura, Posgrado en Seguridad de Redes UOC España, Certificación CCNSP Cyberoam - India, CEH- EC-Council, Professional Penetration Tester BASE64 University, Lead Auditor/Corporativo de I.T para Importante Grupo Empresarial en Medellín, Consultor e Investigador de Seguridad independiente para importantes empresas del país. Ha participado en varios diplomados y cursos internacionales en Seguridad de la Información ofensiva y defensiva, con importantes empresas como el SANS Institute, Tennable Security, Offensive Security, INFOSEC, entre otros. Docente desde hace 8 años de cátedra en redes, y de cursos y diplomados en seguridad Perimetral, Defensa en profundidad y Hacking Ético. Ha participado en diversos eventos de seguridad de la información a nivel nacional como conferencista, tales como INFOSECURITY, Hackxcolombia, BARCAMPSE/Medellín, Barcamp Parque Explora, Jornadas de seguridad ASYS, Semana de la seguridad USB, entre otros. También ha escrito artículos de seguridad para importantes diarios del país como La República. Además es el creador y el apoyo oficial del proyecto de educación continua y gratuita en seguridad informática ofensiva y defensiva llamada DSLABS, y de la certificación en seguridad Certified Offensive and Defensive Security Professional- CODSP.
5 Si alguna vez te has preguntado, o has sentido curiosidad sobre la forma en que las empresas dedicadas a seguridad de la información y Auditorias de seguridad realizan las auditorias del tipo Penetration Testing? Si la respuesta es SI, esta Desconferencia te puede ayudar mucho.
6 Objetivo Esta Desconferencia tiene como principal objetivo el compartir con los asistentes al evento Barcamp_SE, consejos TIPS y recomendaciones respecto a experiencias vividas por el personal de auditorias de seguridad técnica de la empresa DSTEAM, en lo que respecta a la ejecución de Auditorias del Seguridad del tipo Pentesting, aplicada a Empresas Grandes, con altos volúmenes de ingre$o$ y con Macro Infraestructuras Tecnológicas.
7 Auditoria del tipo Pentesting aplicada al Negocio Todos los asistentes a este evento tenemos algo en común Seguridad de la Información Seguridad Ofensiva (Hacking) Seguridad Defensiva (Defensa en Profundidad) Buenas Practicas y Gestión(SGSI, Estándares, entre otros) La auditoria del tipo Pentesting aplicada a una estructura empresarial o similar, se define como el proceso mediante el cual se identifican amenazas y riesgos tecnológicos, los cuales puedan causar algún tipo de perdida cualitativa o cuantitativa en una organización empresarial.
8 Impacto del Pentesting en el CORE de un Negocio u Organización Como se delimita el impacto en una organización al no realizar seguimientos y verificaciones a la seguridad de la información, y que posteriormente sea victima de ataques informáticos? Ejemplos. FUENTE:
9 Impacto del Pentesting en el CORE de un Negocio u Organización Este tipo de situaciones deben de evaluarse, ya que su impacto puede considerarse según el tipo de negocio como cualitativo (Posicionamiento, nivel social), o cuantitativo(robo de información, pérdidas económicas) FUENTE:
10 Impacto del Pentesting en el CORE de un Negocio u Organización Otros Ejemplos similares!! FUENTE:
11 Impacto del Pentesting en el CORE de un Negocio u Organización Que pasaría si es su organización la, que sale en estos textos y sitiosweb??? Mentiroso Baja Reputación O Simplemente no pasa nada, ya que todos los datos importantes de una empresa XYZ no están en el Hosting, están enlaredlocal
12 Pentesting Tradicional VS Pentesting Grandes Empresas El ser humano por naturaleza le teme a lo que no conoce, razón por la cual muchas organizaciones contratan auditorias de seguridad externas, de las cuales en su mayoría realizan su mayor esfuerzo en los sitios web corporativos
13 Pentesting Tradicional VS Pentesting Grandes Empresas El Pentesting Tradicional, en la mayoría de ocasiones tiene un esfuerzo representativo en los sitios web corporativos.
14 Pentesting Tradicional VS Pentesting Grandes Empresas En el Pentesting Tradicional, el evaluador de seguridad, por lo regular realizará sus labores de Recolección de Información, Scanning de Puertos, Enumeración, Análisis de Vulnerabilidades y Explotación bajo tecnologías como las siguientes: Servidores Web: Apache y Microsoft IIS Sistemas Operativos Windows Server, Linux CentOS, Ubuntu y Fedora Tecnologías de Scripting como JavaScript, PHP y ASP Infraestructuras de hosting o Virtual Server compartidas entre diversas empresas Firewalls y UTM Perimetrales(En muchas ocasiones compartidos) General: Cpanel, worpress, joomla, moodle, entre otros. BasesdedatosSQLServer,MySQL
15 Pentesting Tradicional VS Pentesting Grandes Empresas En el Pentesting Tradicional, el evaluador de seguridad, por lo regular realizará no encontrará lo siguiente: Balanceadores de Carga Switches transaccionales(para altos volúmenes de Información) Busdedatos Protocolos propietarios Servidores de aplicación de alta disponibilidad IPS a nivel Hardware Pentesting físicos no tradicionales
16 Pentesting Tradicional VS Pentesting Grandes Empresas El Pentesting que se realiza en LAS GRANDES EMPRESAS, por lo regular es una auditoria concretada directamente con la Gerencia de una empresa, y no con las direcciones ni coordinaciones de los departamentos de informática y/o Infraestructura. Este tipo de auditorias tiene las siguientes características: Debe de ejecutarse por un equipo multidisciplinario Va totalmente ligado a un análisis de riesgo y perdidas cuantitativas de un negocio Se debe hacer por criterios contractuales Debe de tener criterios de auditoria Los evaluadores de seguridad técnicos se enfrentan a grandes infraestructuras tecnológicas.
17 Arquitectura de un Pentesting empresa Cliente DSTEAM A modo de ejemplo y de trasferencia de conocimientos vamos a ver algunas de las características del tipo de auditorias que se hacen en DSTEAM en grandes organizaciones. Para este ejemplo vamos a tomar una empresas Colombianas del Sector de Juegos de Azar, Apuestas y prestación de múltiples servicios como recargas, rifas, boletas, ventas de seguros, recaudos, entre otros.!!!anotación: Por confidencialidad del Cliente de DSTEAM, las empresas de las cuales se soporta la información mostrada en este ejemplo se mantienen anónimas.
18 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Preparación Conocer el CORE del negocio(conocer que hace la empresa) Delimitar Alcances Establecer Criterios de Auditoria (Normas, Buenas Practicas, Bases de datos usadas a nivel Internacional) Aspectos legales(firmas de clausulas) Definir cronograma de Auditoria Presentar el equipo de Trabajo(Metodología Centuriones)
19 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Importante!!. Respecto a aspectos legales debemos de tener conocimiento o referencia frente a normas relacionadas con la seguridad de la información y delitos informáticos a nivel nacional o internacional, ya que muchas empresas tienen sus servidores en la nube, y localizados en otros países. En el siguiente URL se encuentra un resumen de leyes relacionadas con delitos informáticos para unos 40 países, incluyendo países de Suramérica:
20 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Algunos países que tienen implementadas leyes contra delitos informáticos son: Estados Unidos Canadá Inglaterra Alemania Australia Japon Singapore
21 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: No aplica Don Salomón!!!!!!!!!!!!!!!!!!!!!!!, el que todo lo sabe
22 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Metodología Centuriones
23 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Metodología Centuriones Max Ray Especialista en las Operaciones Marinas. Jake Rockwell Especialista en las Misiones Terrestres. Ace McCloud Especialista en las Operaciones Aéreas.
24 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Arquitecto de Seguridad Metodología Centuriones Ingeniero 1 Especialista en operaciones de Infraestructura. Ingeniero 2 Especialista en operaciones de Software y Aplicaciones Ingeniero 3 Especialista en las operaciones de Micro cómputo
25 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 2: Ejecución de la Auditoria Al ejecutar una auditoria para una empresa del tamaño del tipo de empresas mencionados para este ejemplo, el equipo humano de auditorias de seguridad del tipo PenTesting, se enfrenta a: infraestructuras tecnológicas de alta disponibilidad Protocolos de red propietarios BasesdedatosenClúster Balanceadores de carga y Switches Transaccionales Pruebas de seguridad del tipo Criptoanálisis Test de Seguridad Físicos Recolección de evidencias y hallazgos Nosehacenpruebasdenegacióndeservicios(DoS)
26 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 2: Ejecución de la Auditoria
27 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 2: Ejecución de la Auditoria Durante la ejecución de las auditorias de ejemplo tomadas para esta Desconferencia, los auditorías de seguridad y/o Pen-Testers realizaron pruebas como estas: Pruebas de intrusión para enlaces VPN con aliados estratégicos Pruebas de intrusión físicas para tratar de obtener premios de apuestas Análisis de protocolos de red propietarios Pruebas de seguridad para servidores con buses transaccionales Pruebas de intrusión desde diferentes VLANS A nivel general tambien se hacen pruebas tradicionaels, como Ataques a Passwords, redes inalambricas, aplicaciones web, entre otros.
28 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 2: Ejecución de la Auditoria Durante la ejecución de las auditorias de ejemplo tomadas para esta Desconferencia, los auditorías de seguridad y/o Pen-Testers debieron de evaluar, fundamentarse y conocer tecnologías tales como:
29 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 3: Reportes Esta es la fase mas importante, ya que depende de lo que se justifique en los reportes, una empresa lo vuelve o no a contratar. Los reportes que se entregan son: Reporte Ejecutivo y Reporte técnico. Lo que normalmente en DSTEAM colocamos como datos en este tipo de reportes son: Introducción Reporte ejecutivo, no mas de 6 paginas, amplio en graficas y muy diciente y concluso frente a las situaciones encontradas en la auditoria de seguridad(pentesting) Registro de riesgos, amenzas e impactos mas representativos Metodología usada Registro de Hallazgos
30 Servidores B.D Nube: Balanceadores de Carga, Switches Transaccionales, Etc Internet DMZ-1 Ethical Hacker Red LAN Ethical Hacker Ethical Hacker Ethical Hacker Aliados Estratégicos
31 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 3: Reportes Recomendaciones Clasificación de las vulnerabilidades Conclusiones Apéndices
32 Algunas Herramientas de Apoyo Arquitectura de Un Pentesting Interno para Trasparente a que sean grandes organizaciones, de igual forma hay aplicaciones se seguridad a nivel ofensivo que automatizan labores. En DSTEAM usamos las siguientes:
33 Como nos capacitamos Arquitectura de Un Pentesting Interno para Teniendo como un gran propósito empresarial la mejora continua, nuestro equipo de auditores de sistemas de seguridad recibe capacitaciones continuas con importantes empresas a nivel nacional e internacional, participando en cursos y diplomados tales como: Profesional Certificado en Seguridad Ofensiva y Defensiva
34 Como nos capacitamos Arquitectura de Un Pentesting Interno para Teniendo como un gran propósito empresarial la mejora continua, nuestro equipo de auditores de sistemas de seguridad recibe capacitaciones continuas con importantes empresas a nivel internacional, participando en cursos y diplomados tales como: Penetration Testing with Offensive Security Wireless Cracking the Perimeter BackTrack Attacks
35 Como nos capacitamos Penetration Testing Profesional TenableNessus vulnerability& Compliance Auditing Coliseum Web Aplication Security Learn ethical hacking, become a Pentester
36 Como nos capacitamos Arquitectura de Un Pentesting Interno para
37 Conclusiones Primero Guru, Luego Pen-Tester Es importante un equipo interdisciplinario buen preparado, y articulado para procesos de Pentesting en grandes empresas. Metasploit, Backtrack, y todos sus aliados, solo son parte del proceso de auditoria. Mas fácil un experto en un aplicativo como OAS aprende a manejar Metasploit, Backtrack, entre otros, que un experto en Metasploit, Backtrack maneje aplicativos como OAS.
38 Anímate a dictar conferencias de Seguridad
39
Hacking en 5 pasos usando Software libre
Hacking en 5 pasos usando Ponente: JUAN DAVID BERRIO LOPEZ judabe2003@gmail.com Ingeniero en Informática. Especialista en redes Universidad san Buenaventura Posgrado en Seguridad Redes UOC, CCNSP Cyberoam/India
Más detallesHacking Ético y Defensa en Profundidad "Versión 3.2.2
DIPLOMADO INTEGRAL EN SEGURIDAD DE LA INFORMACION LLAMADO: Hacking Ético y Defensa en Profundidad "Versión 3.2.2 Dictado por el grupo de Ingenieros de la empresa: DSTEAM Seguridad. INTRODUCCIÓN: La seguridad
Más detallesCertified Professional Offensive and Defensive Security
Certified Professional Offensive and Defensive Security Security -CPODS v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral en Seguridad de la información ofrecida por
Más detallesCertified Offensive and Defensive Security Professional -CODSP v1.0
-CODSP v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Ponente: Juan David Berrio López Arquitectode Seguridad Empresa DSTEAM Primer Profesional Certificado -CPODS- Máster en Seguridad
Más detallesCertified Offensive and Defensive SecurityProfessional-CODSP v1.0
Su Aliado Estratégico en Seguridad de la Información Certified Offensive and Defensive SecurityProfessional-CODSP v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral
Más detalles100% Laboratorios en Vivo
100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de
Más detallesLos diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)
Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs) 10 de Julio de 2015 http://www.itbusinessedge.com/slideshows/ten-top-paying-tech-security-jobs.html Sin lugar a dudas,
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesEthical Hacking. Capacitación IT 13/03/2013. Federico Pacheco. @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar
Ethical Hacking Capacitación IT 13/03/2013 Federico Pacheco @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Contenidos Las evaluaciones de seguridad El hacker ético Metodología de ataque
Más detallesPresentación. Porqué formarte con nosotros?
Presentación Un Hacker Ético es un profesional dotado de habilidades para encontrar las debilidades o vulnerabilidades en los sistemas utilizando el mismo conocimiento y herramientas que un hacker malicioso,
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesDIPLOMADO DIPLOMADO SEGURIDAD DE DE LA LA INFORMACIÓN
DIPLOMADO DIPLOMADO SEGURIDAD DE DE LA LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Escuela de Informática y Telecomunicaciones Hoy en día, los profesionales del área informática requieren una sólida formación
Más detallesBechtle Solutions Servicios Profesionales
Soluciones Tecnología Bechtle Solutions Servicios Profesionales Fin del servicio de soporte técnico de Windows Server 2003 No hacer nada puede ser un riesgo BECHTLE Su especialista en informática Ahora
Más detallesPRESENTACION CORPORATIVA Y PORTAFOLIO DE SERVICIOS. Copyright Y5KM5. Todos los derechos reservados.
PRESENTACION CORPORATIVA Y PORTAFOLIO DE SERVICIOS INDICE 1. Presentación Corporativa. 2. Portafolio de Servicios. 3. Área de Investigación. 4. Objetivos del Servicio. 5. Fases del Servicio. 6. Contáctenos.
Más detallesSecurity Health Check
www.pwc.es Security Health Check Aportamos el valor que necesitas Un problema no tan lejano... Durante los últimos años, las empresas han abordado procesos de transformación tecnológica sin precedentes
Más detallesCAPÍTULO VI CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES Y RECOMENDACIONES 6.1. Conclusiones. 6.2. Recomendaciones. 6.1. CONCLUSIONES Informática forense La Informática Forense en la actualidad ha tomado gran importancia porque permite encontrar
Más detallesAUDITOR INTERNO ISO/IEC 27001:2013
Propuesta: AUDITOR INTERNO ISO/IEC 27001:2013 Junio 11 de 2015 Las partes se comprometen a mantener la confidencialidad absoluta con respecto a la información contenida en el presente documento. Esta "Información",
Más detallesEscalar de un Dominio a otro
Escalar de un Dominio a otro 1.- Introducción: El presente artículo describe una técnica que podría utilizar un pentester para tomar control de más de un dominio en una empresa, identificando las relaciones
Más detallesHacking Ético de Sistemas y Redes 4ª Edición 2014 Curso: HESR-01 Nivel: Básico. Ficha técnica
Hacking Ético de Sistemas y Redes 4ª Edición 2014 Curso: HESR-01 Nivel: Básico Ficha técnica Datos del curso Duración: 40 horas / 2 meses Modalidad: E Learning 100 % Inicio del curso: 29 de octubre de
Más detallesHacking Ético & Seguridad Ofensiva
Hacking Ético & Seguridad Ofensiva INDICE DATOS DEL CURSO OBJETIVOS DEL CURSO CONTENIDO MATERIALES Y RECURSOS DEL CURSO EVALUACION DATOS DEL CURSO Duración: 6 Jornadas (30horas), (08:00 am a 13:00 pm)
Más detallesCURSO DE GESTIÓN DE PROYECTOS PMI ORIENTADO A OBTENER LA CERTIFICACIÓN PMP
CURSO DE GESTIÓN DE PROYECTOS PMI ORIENTADO A OBTENER LA CERTIFICACIÓN PMP JUSTIFICACION En el mundo moderno existen empresas que ejecutan sus actividades bajo el esquema de proyectos y es necesario hacer
Más detallesCURSO DE GESTIÓN DE PROYECTOS PMI ORIENTADO A OBTENER LA CERTIFICACIÓN PMP
CURSO DE GESTIÓN DE PROYECTOS PMI ORIENTADO A OBTENER LA CERTIFICACIÓN PMP JUSTIFICACION En el mundo moderno existen empresas que ejecutan sus actividades bajo el esquema de proyectos y es necesario hacer
Más detallesCURSO DE GESTIÓN DE PROYECTOS PMI ORIENTADO A OBTENER LA CERTIFICACIÓN PMP
CURSO DE GESTIÓN DE PROYECTOS PMI ORIENTADO A OBTENER LA CERTIFICACIÓN PMP CONTENIDO TEMATICO Y DOCENTES JUSTIFICACION En el mundo moderno existen empresas que ejecutan sus actividades bajo el esquema
Más detallesEthical Hacking and Countermeasures
Page 1 Ethical Hacking and Countermeasures http://www.eccouncil.org Página 2 EHTM CCertified Ethical Hacker Contenido Qué hay de nuevo en CEHv6?... Pág. 4 Certified Ethical Hacker v6...... Pág. 5 Programa
Más detallesSu aliado Estratégico. José E. Quintero Forero CISM, CRISC
Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios
Más detallesLa importancia de las pruebas de penetración (Parte I)
Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > La importancia de las pruebas de penetración (Parte I) La importancia de las pruebas de penetración (Parte I) Por Erika Gladys
Más detallesXITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO
Auditorias de seguridad en TI Presentación del servicio Agenda: 1. Qué es una auditoria de Seguridad? 2. Metodología de Implementación 3. Ejemplos de entregables 4. Porqué es necesaria? 5. Beneficios Qué
Más detallesCONTENIDO TEMATICO Y DOCENTES
Curso de gestión de proyectos PMI orientado a obtener la certificación PMP CONTENIDO TEMATICO Y DOCENTES JUSTIFICACION En el mundo moderno existen empresas que ejecutan sus actividades bajo el esquema
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesDIPLOMADO SEGURIDAD EN REDES Y NORMA ISO IEC 27001
DIPLOMADO SEGURIDAD EN REDES Y NORMA ISO IEC 27001 DURACION LUGAR 168 horas. Pontificia Universidad Javeriana Cali OBJETIVO GENERAL Estar en capacidad de proponer soluciones de seguridad informática para
Más detallesIntroducción. La certificación bajo la norma ISO 27001 garantiza que una empresa tiene implantado un SGSI y refuerza su imagen de marca.
ISO 27001:2005 Introducción La tendencia hacia un mercado global y sus correspondientes desafíos hace que muchas organizaciones, especialmente sus sistemas de información y redes de trabajo, se vean enfrentadas
Más detallesPUBLICACIÓN INFORMATIVA DE LA ASOCIACIÓN ESPAÑOLA DE FINANCIEROS DE EMPRESA N 64. MARZO
PUBLICACIÓN INFORMATIVA DE LA ASOCIACIÓN ESPAÑOLA DE FINANCIEROS DE EMPRESA N 64. MARZO 2013 Entrevista a Luis de la Haza, Grupo COSENTINO ı 38 ı Deducibilidad de los gastos financieros en el IS ı 24 ı
Más detallesSOLUCIONES TECNOLÓGICAS FLEXIBLES PARA LAS NECESIDADES DE SU NEGOCIO
SOLUCIONES TECNOLÓGICAS FLEXIBLES PARA LAS NECESIDADES DE SU NEGOCIO PRODUCTOS Y SERVICIOS TODO LO QUE USTED NECESITA GRAN VARIEDAD DE PRODUCTOS Y SERVICIOS PARA CADA ASPECTO DE LA SEGURIDAD Y TECNOLOGIAS
Más detallesPlan de Estudios. Diploma de Especialización en Seguridad Informática
Plan de Estudios Diploma de Especialización en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías
Más detallesCómo hacer que el CEO nos invite a cenar a su casa. SI como Unidad de Negocio
Cómo hacer que el CEO nos invite a cenar a su casa. SI como Unidad de Negocio Presentada por: Marcelo F. Rodríguez Director de Operaciones ROOT-SECURE 1 Aclaración: Todos los derechos reservados. No está
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesCómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.
El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones
Más detallesSOLUCIÓN HOSPEDADA. Introducción a los modelos de asociación de partners de Microsoft Dynamics CRM
SOLUCIÓN HOSPEDADA Introducción a los modelos de asociación de partners de Microsoft Dynamics CRM Aprovechar el ecosistema de Microsoft para el éxito de CRM hospedado Microsoft Dynamics CRM ofrece a clientes
Más detallesQué necesito saber para tener mi sitio web en Internet?
Qué necesito saber para tener mi sitio web en Internet? Introducción Antes es importante tener en cuenta que Es importante considerar lo siguiente: Definir claramente tu actividad en Internet Establecer
Más detallesOffensive State Auditoría de Aplicaciones Web
Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesGestión de la Seguridad de Activos Intelectuales
Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos
Más detallesUnidad 1. Fundamentos en Gestión de Riesgos
1.1 Gestión de Proyectos Unidad 1. Fundamentos en Gestión de Riesgos La gestión de proyectos es una disciplina con la cual se integran los procesos propios de la gerencia o administración de proyectos.
Más detallesUniversidad Autónoma de los Andes Evaluación y Auditoría Informática Unidad 1: Metodología de una Auditoría de Sistemas Computacionales - ASC Ing. John Toasa Espinoza http://waudinfingjohntoasa.wikispaces.com
Más detallesMETODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.
METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la
Más detallesPUBLICACIÓN PAGINA WEB
PUBLICACIÓN PAGINA WEB TÉRMINOS DE REFERENCIA No.530 PROYECTO TARJETA PROVEEDOR BANCÓLDEX FECHA: Mayo 15 2014 BANCO DE COMERCIO EXTERIOR DE COLOMBIA S.A. - BANCÓLDEX RESPUESTA A LAS INQUIETUDES O PREGUNTAS
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detallesoportutec.com Diseño, Marketing y Nuevas Tecnologías Mantenimiento Informático y Asisténcia
Mantenimiento Informático y Asisténcia Soluciones informáticas para empresa. oportutec.com le ofrece una servicio completo de consultoria informática I tecnológica para cubrir todas sus necesidades. Disponemos
Más detallesE-learning: E-learning:
E-learning: E-learning: capacitar capacitar a a su su equipo equipo con con menos menos tiempo tiempo y y 1 E-learning: capacitar a su equipo con menos tiempo y Si bien, no todas las empresas cuentan con
Más detallesAuditoria Técnica en seguridad de la Informacion
INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad
Más detallesDeterminar el tiempo de realizar las diferentes actividades para la implementación del sistema EVECP.
CAPITULO V IMPLEMENTACION DEL SISTEMA AUTOMATIZADO EN UN ENTORNO VIRTUAL PARA LA EDUCACION CONTINUA Y PERMANTENTE PAR LAS UNIDADES DE ENSEÑANZA E INVESTIGACION. 5.1 GENERALIDADES El presente capitulo contiene
Más detallesInfraestructura Tecnológica. Sesión 12: Niveles de confiabilidad
Infraestructura Tecnológica Sesión 12: Niveles de confiabilidad Contextualización La confianza es un factor determinante y muy importante, con ésta se pueden dar o rechazar peticiones de negocio, amistad
Más detallesPROTECCIÓN DEL PATRIMONIO TECNOLÓGICO
PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO Mtra. Mariela Osorio Domínguez El Modelo Nacional de Gestión de Tecnología considera la Protección del Patrimonio Tecnológico como la salvaguarda y cuidado del patrimonio
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesTERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL
TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL Análisis de Vulnerabilidades de Seguridad Informática del Sistema de Expediente Digital Interinstitucional (SEDI). I. DATOS GENERALES Nombre del
Más detallesPragmatica C O N S U L T O R E S
u n a v i s i ó n p r á c t i c a En una sociedad en la que los cambios se producen de manera vertiginosa, donde la información, la tecnología y su continua innovación son el propulsor principal de una
Más detallesSeguimiento y evaluación
Seguimiento y evaluación Por qué es necesario contar con herramientas para el seguimiento y la evaluación? Es la manera en que se puede evaluar la calidad e impacto del trabajo en relación con el plan
Más detallesInformation Security Network Management Solutions
SM@RT-IT Information Security Network Management Solutions SERVICIO DE CONSULTORIA DE RED INTRODUCCIÓN El servicio de consultoría de red, considera actividades conducentes a obtener una visión holistica
Más detallesServicios de Seguridad de la Información
Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos
Más detallesUNIVERSIDAD COOPERATIVA DE COLOMBIA INSTITUCIONAL VI
UNIVERSIDAD COOPERATIVA DE COLOMBIA INSTITUCIONAL VI Docente: Adriana Sánchez Puentes TEMA: PROYECTO SOFTWEB S.A.S Proponentes: Andrés Camilo Merchán Albarracín Mercedes Patarroyo Cubides Ingenieros de
Más detallesNuestras soluciones están construidas sobre una plataforma altamente adaptable a las necesidades especificas de cada cliente.
Quienes somos Somos una organización con 15 años de experiencia, constituida por profesionales especializados en Sistemas de Información orientados a la Industria Farmacéutica. Nuestras soluciones están
Más detallesEn la vida no hay problemas, solo soluciones que no hemos encontrado.
En la vida no hay problemas, solo soluciones que no hemos encontrado. Desde 1994 somos una empresa dedicada a brindar soluciones de negocios y servicios informáticos de última generación con el fin de
Más detalles3-ANÁLISIS DE VULNERABILIDADES
3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna
Más detallesSERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO
SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO OBJETIVO IQ INFORMATION QUALITY, presenta los servicios para realizar las pruebas de HACKING ÉTICO, con el fin de verificar los niveles
Más detallesRRHH. capacitación. Contiene la solución para la. de los. Contact Center. de tu. Aprendizaje dinámico basado en situaciones reales de tu negocio.
Contiene la solución para la capacitación Aprendizaje dinámico basado en situaciones reales de tu negocio. Materiales de alta calidad que refuerzan el conocimiento. Trainners con experiencia internacional
Más detallesDESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA
DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar
Más detallesDIAGNOSTICO SERVIDOR Y PLATAFORMA MOODLE
ESCUELA DE PEDAGOGÍA E INVESTIGACIÓN EDUCATIVA PROYECTO MARCANDO HUELLAS CON LA UGCA DIAGNOSTICO SERVIDOR Y PLATAFORMA MOODLE Julián Andrés Franco Alzate UNIVERSIDAD LA GRAN COLOMBIA SECCIONAL ARMENIA
Más detallesDe los #exploits al más m s allá!
De los #exploits al más m s allá! Joaquín Paredes Senior Security Consultant Ing. Iván Huertas Security Consultant 1 Agenda Tendencias en Seguridad para el 2013: APT como tendencia destacada APT & Botnets
Más detallesLa toma de decisiones está presente dentro de la vida de la mayoría de las personas. Los
ANEXO II. Sistema de Soporte a las Decisiones-SSD La toma de decisiones está presente dentro de la vida de la mayoría de las personas. Los gerentes día a día deben tomar decisiones también, la diferencia
Más detallesConfiguración de la red
Semana 55 Empecemos! Bienvenidos a una nueva semana de trabajo! Aprenderemos sobre la configuración de la red LAN, la cual es una de las tareas más importantes del administrador de la red. La mayoría de
Más detallesSeñor A/P. Lino Bessonart FEMI Presente Ref.: 181/2009
1 Montevideo, 11 de marzo de 2009 Señor A/P. Lino Bessonart FEMI Presente Ref.: 181/2009 De nuestra consideración, De acuerdo a vuestra solicitud, tenemos el agrado de poner a su consideración la presente
Más detallesAgenda. Seguridad y Control en las Organizaciones Electrónicas (e-business)
Seguridad y Control en las Organizaciones Electrónicas (e-business) IMAI- XX Encuentro Nacional de Auditores Internos Agosto 12, 2005 Ing. Director del Programa en Comercio Electrónico ITESM Campus Monterrey
Más detallesCreaciones de paginas WEB Internet es una herramienta indispensable en los negocios. El tener un Sitio Web te permite dar a conocer a tu empresa o
Creaciones de paginas WEB Internet es una herramienta indispensable en los negocios. El tener un Sitio Web te permite dar a conocer a tu empresa o negocio a una cantidad inimaginable de clientes potenciales,
Más detallesPROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN
i Security PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN 0412 3328072-0414 1328072-0414 3209088 i Security INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA (CSI00N1) 1. Principios de seguridad
Más detallesINFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA
INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesREPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES
REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES III CURSO MAESTRIA EN ALTA GERENCIA PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN, BAJO LA NORMA ISO 17799:2005 EN ANDINATEL
Más detallesBROCHURE CORPORATIVO 2013. Web: www.itconsultingperu.com Mail: informes@itconsultingperu.com Twitter: @ITConsultingPE Facebook: ITConsultingPeru
BROCHURE CORPORATIVO 2013 Quiénes Somos? IT Consulting Perú es una empresa constituida en Lima conformada por profesionales altamente calificados y con experiencia en la implementación de nuevas Tecnologías
Más detalleshttp://www.nicasoft.com.ni
BSC-RH es un sistema automatizado de planificación estratégica y gestión, utilizado en empresas para direccionar las actividades del negocio a la visión y estrategia de la organización. Mejora la comunicación
Más detallesUniversidad Francisco Gavidia Tecnología, Humanismo y Calidad
Universidad Francisco Gavidia Tecnología, Humanismo y Calidad Trabajo de graduación: Sistematización del proceso de auditoría de redes para proveer continua disponibilidad a los sistemas de información
Más detallesCURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO
CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO Escuela de Informática y Telecomunicaciones El
Más detallesCisco ProtectLink Endpoint
Cisco ProtectLink Endpoint Proteja la información y los usuarios de una manera fácil y asequible Cuando su mayor prioridad son los negocios, no queda tiempo para corregir los problemas de seguridad ni
Más detallesOferta Comercial Junio 2012. Quiénes somos? La Red Líquida de esmartian.com
Quiénes somos? La Red Líquida de esmartian.com Desde esmartian.com promovemos una red de autónomos especializados en informática y más particularmente en seguridad. Consideramos que los autónomos ofrecemos
Más detallesUSO DE EXCEL Y ACCESS PARA EL DESARROLLO DE APLICACIONES ADMINISTRATIVAS EMPRESARIALES
Nota: En el link Envió Actividades de la plataforma de curso, debe enviar las actividades descritas a continuación teniendo en cuenta que por cada actividad deberá crear un documento en Word donde cada
Más detallesProtocolos de los Indicadores G3: Responsabilidad sobre productos (PR) 2000-2006 GRI. Version 3.0
IP Protocolos de los Indicadores G3: Responsabilidad sobre productos (PR) 2000-2006 GRI Version 3.0 Protocolos de los Indicadores G3: Responsabilidad sobre productos PI Responsabilidad sobre productos
Más detallesEsri Partner Network. Preguntas Fecuentes Julio de 2012. Programa para Partners que desarrollan soluciones y servicios GIS sobre la plataforma Esri
Esri Partner Network Preguntas Fecuentes Julio de 2012 Programa para Partners que desarrollan soluciones y servicios GIS sobre la plataforma Esri Julio 2012 1 ESRI Partner Network (EPN) Introducción a
Más detallesObteniendo credenciales en redes internas sin despeinarse
Obteniendo credenciales en redes internas sin despeinarse 1. Introducción: En algunas ocasiones al momento de llevar a cabo un test de intrusión interno, nos encontramos con que los equipos analizados
Más detallesDesarrolladores: Christian David Merino Cruz. Bryan Alexis Peraza Navas. Erik Alberto Renderos Morales.
Manual del usuario Learn To Drive Desarrolladores: Christian David Merino Cruz. Bryan Alexis Peraza Navas. Erik Alberto Renderos Morales. 1 Índice Contenido Pantalla Introduccion... 3 Descripcion de modulos
Más detallesGuía de indicadores de la gestión para la seguridad de la información. Guía Técnica
Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesRiesgo: Se puede llegar al destino sin información veraz y oportuna?
La mejor ruta Se ha imaginado pilotear un avión? Usted ya lo está haciendo. Su compañía se asemeja a un avión. Imagine la cabina como el área de finanzas y contraloría. Para pilotear el avión es necesario
Más detallesBabel Enterprise 2.0. Gestión de la seguridad para entornos corporativos. Area de Sistemas y Seguridad
Babel Enterprise 2.0 Gestión de la seguridad para entornos corporativos Area de Sistemas y Seguridad Qué es Abartia Team? Consultoría tecnológica de Software Libre Especializada en Sistemas y Seguridad,
Más detallesEvaluación del ROI en implementación de Sistemas de Gestión de Activos Mineros. Universidad Técnica Federico Santa María
Evaluación del ROI en implementación de Sistemas de Gestión de Activos Mineros Universidad Técnica Federico Santa María Gestión de Activos: La eficiencia en la Gestión de Activos Mineros es uno de los
Más detallesPenetration Test Metodologías & Usos
Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances
Más detallesCómo registrarse y crear su cuenta de usuario? < IMAGEN 2.1.1: HAZ CLIC SOBRE EL BOTÓN RESALTADO
Cómo registrarse y crear su cuenta de usuario? Si es la primera vez que visita la página, y nunca ha creado un usuario para poder acceder a todos los servicios que el sistema ofrece, deberá registrarse
Más detalles