II Jornadas Técnicas de Protección de Sistemas de Control en Infraestructuras Críticas. Informe de Resultados
|
|
- Amparo Iglesias Cárdenas
- hace 8 años
- Vistas:
Transcripción
1 II Jornadas Técnicas de Protección de Sistemas de Control en Infraestructuras Críticas Informe de Resultados Madrid febrero 26 marzo
2
3 ÍNDICE 1. INTRODUCCIÓN Objeto Ámbito Estructura Acrónimos REferencias II JORNADAS PSCIC Objetivo de las Jornadas Técnicas Formato Calendario Participantes Evolución de las Jornadas Evolución en los Participantes ESCENARIO Y PLATAFORMA Plataforma Pruebas de Conexión Escenario 1ª Sesión Práctica Escenario 2º Sesión Práctica Evolución de las jornadas CONTENIDO DE LAS SESIONES PRÁCTICAS ª Sesión: Gestión de un Incidente de Seguridad en una IC Introducción a la Seguridad en IC Caso Práctico Conclusiones ª Sesión: Análisis y Gestión de Riesgos Introducción al Análisis Y Gestión de Riesgos Caso Práctico conclusiones VALORACIÓN DE LOS PARTICIPANTES Consecución de los Objetivos Planteados ª Sesión: Gestión de un Incidente de Seguridad en una IC ª Sesión: Análisis y Gestión de Riesgos Organización de las Jornadas Conexión Remota Valoración del Contenido de las Sesiones Prácticas i
4 ÍNDICE ª Sesión: Gestión de un Incidente de Seguridad en una IC ª Sesión: Análisis y Gestión de Riesgos Valoración de las Tecnologías utilizadas ANÁLISIS DE LOS RESULTADOS Y LECCIONES APRENDIDAS Objetivos de las Jornadas Organización de las Jornadas Contenidos de las Sesiones Prácticas Participantes CONCLUSIONES ii
5 1. INTRODUCCIÓN 1.1. OBJETO El objeto del presente informe es presentar los resultados, las lecciones aprendidas y los análisis obtenidos tras la realización de las II Jornadas Técnicas de Protección de Sistemas de Control en Infraestructuras Críticas (PSCIC), entre los días 5 de febrero y 26 de marzo de 2014, incluyendo una breve descripción de la estructura y contenidos de las mismas ÁMBITO Este informe presenta el análisis y los resultados obtenidos tras las respuestas dadas por los participantes en las sesiones prácticas mediante los cuestionarios, tanto técnicos como de valoración de las propias jornadas. También se han considerado los comentarios recibidos por los asistentes y en particular por los participantes, durante las sesiones presenciales de apertura y cierre de las jornadas. Se ha intentado mostrar los resultados de la forma más objetiva posible, en base a la información disponible ESTRUCTURA El informe está estructurado en los siguientes apartados: II Jornadas PSCIC o Introducción y resumen de las II Jornadas PSCIC, incluyendo la descripción de los objetivos de las mismas, así como su estructura o el detalle de los participantes. Escenarios y Plataforma o Descripción de la plataforma tecnológica utilizada y de los escenarios planteados para las sesiones prácticas. Contenido de las Jornadas o Descripción detallada del contenido y actividades de cada una de las sesiones prácticas las jornadas. Valoración de los Participantes o Presentación de los resultados de las valoraciones realizadas por los participantes en las sesiones prácticas. Análisis de los Resultados y Lecciones Aprendidas o Análisis de los resultados obtenidos, incluyendo las lecciones aprendidas Conclusiones o Conclusiones a tener en cuenta, tras la realización de las jornadas. 1
6 1.4. ACRÓNIMOS ACRONIMOS CCN CIISC-T2 CNCA CNPIC IC ISDEFE PSCIC SCADA SCI TIC Centro Criptológico Nacional Critical Infrastructure: Improvement of Security Control Against the Terrorist Threat Centro Nacional de Coordinación Antiterrorista Centro Nacional para la Protección de Infraestructuras Críticas Infraestructura Crítica Ingeniería de Sistemas para la Defensa de España Protección de Sistemas de Control en Infraestructuras Críticas Supervisory Control And Data Acquisition Sistema de Control Industrial Tecnologías de las Información y Comunicaciones Tabla 1 Acrónimos 2
7 1.5. REFERENCIAS REFERENCIAS [1] [2] [3] [4] Díptico I Jornadas PSCIC Visto en mayo de 2014 en: CIPS Grants awarded in Visto en mayo de 2014 en Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. BOE nº 102, 29 de abril de Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. BOE nº 121, 21 de mayo de 2011 [5] CCN-STIC-480x Seguridad en Sistemas SCADA. Centro Criptológico Nacional, [6] [7] [8] MAGERIT versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Ministerio de Hacienda y Administraciones Públicas NIST Special Publication rev 4. Security and Privacy Controls For Federal Information Systems and Organizations. NIST Commission Staff Working Document on a new approach to the European Programme for Critical Infrastructure Protection Making European Critical Infrastructures more secures. SWD (2013) 318 final Tabla 2 Referencias 3
8 2. II JORNADAS PSCIC Dentro de las prioridades estratégicas para la seguridad de las naciones se encuentra la protección de las Infraestructuras Críticas (IC), las cuales prestan servicios esenciales para el normal funcionamiento de la sociedad. Con el objetivo de continuar con las actividades prácticas de concienciación y adiestramiento en seguridad en IC a nivel europeo, Isdefe en colaboración con el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) ha organizado las II Jornadas Técnicas de Protección de Sistemas de Control en Infraestructuras Críticas (PSCIC) Sector de Transporte, Energía, Nuclear y Agua, como continuación de las exitosas I Jornadas PSCIC celebradas en 2012 [1]. Esta nueva edición de las jornadas se realiza en el marco del proyecto europeo Critical Infrastructure: Improvement of Security Control Against the Terrorist Threat (CIISC-T2), que cuenta con la participación del Centro Nacional de Coordinación Antiterrorista (CNCA), CNPIC, Isdefe y KEMEA. El proyecto CIISC-T2 está financiado por el programa Prevention, Preparedness and Consequence Management of Terrorism and other Security-related Risks Programme [2] de la Comisión Europea OBJETIVO DE LAS JORNADAS TÉCNICAS Al igual que en la edición anterior de las Jornadas, se ha pretendido dar a conocer y concienciar acerca de las amenazas a las que se encuentran sometidas las IC dentro del plano de las Tecnologías de la Información y Comunicaciones (TIC), caracterizadas estas últimas por: La creciente interconexión de los Sistemas de Control Industrial (SCI) con los sistemas TIC corporativos en busca de sinergias y ahorro de costes. Uso de tecnología y productos a medida cuyas vulnerabilidades y modos de explotación son cada vez más conocidas. Uso cada vez mayor de funcionalidades y capacidades de acceso remoto en los productos utilizados en los SCI. Demanda en los propios sectores de IC de mayor interconectividad con redes de terceros (soporte, mantenimiento remoto, etc.). Para alcanzar los citados objetivos, durante las Jornadas Técnicas se trataron y presentaron los siguientes aspectos: 1) Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las IC [3]; Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las IC [4]; y normativa y guías desarrolladas por el Centro Criptológico Nacional (CCN-STIC familia 480) [5] para este ámbito. 2) Las herramientas reconocidas dentro de la Administración para su empleo en el análisis y gestión de riesgos. 3) Análisis de recientes y sofisticados ciberataques sufridos en diferentes IC. Se ilustró mediante el estudio de las técnicas de ciberataque utilizadas en estos incidentes, que permitieron a quienes los llevaron a cabo robar información industrial o sabotear y controlar remotamente IC en diferentes países. 4
9 4) Tecnologías y modelos donde los responsables de SCI se pueden apoyar para la protección efectiva de sus sistemas. Además, para incrementar la efectividad en los procesos de detección y gestión adecuada de incidentes de seguridad, se trabajó con herramientas colaborativas, las cuales permiten ejercitar el proceso de intercambio de información FORMATO Las Jornadas Técnicas han girado en torno a una serie de talleres prácticos, desarrollados en varias sesiones en distintos días, en el que se presentaron una serie de casos o simulacros cuya resolución permitió mejorar la concienciación y adiestramiento en materia de seguridad en SCI. Cada taller práctico constó de una serie de charlas teóricas que permitieron introducir los aspectos de seguridad en los que trabajar, seguidos de los casos prácticos, todo ello de forma remota a través de una plataforma virtual, accesible desde Internet, proporcionada por la organización de las Jornadas. Las Jornadas se estructuran en 4 sesiones: Sesión Inaugural o Dirigida a presentar las Jornadas y orientar en los aspectos prácticos de su desarrollo, proporcionando a cada equipo participante el material y la documentación adecuada para que puedan realizar las sesiones prácticas. Esta sesión ha sido una oportunidad para la divulgación y sensibilización de la cultura de seguridad entre los diferentes actores implicados en la protección de las IC.. 1ª Sesión Práctica: Gestión de un Incidente de Seguridad en una IC o Presentación de la tecnología, herramientas y buenas prácticas aplicables a SCI mediante la realización de ejercicios prácticos. El objetivo final de los ejercicios propuestos ha sido el de potenciar la mejora de los procesos de gestión y respuesta a incidentes de seguridad utilizados en los operadores de IC. 2ª Sesión Práctica: Análisis y Gestión de Riesgos TIC en IC o El objetivo principal de este segundo día ha sido dar a conocer el análisis de riesgos, su utilidad y su aplicación práctica en entornos cada vez más comunes donde conviven sistemas corporativos con SCI. De este modo, los participantes se familiarizaron con el proceso de análisis y la gestión del riesgo aplicado a cada uno de sus entornos, identificando los beneficios que proporciona. Sesión de Clausura o Encaminada a identificar y exponer las conclusiones principales extraídas del ejercicio así como recoger las impresiones y comentarios de los participantes. Cada sesión se desarrolló en un día diferente. Tanto la Sesión Inaugural como la de Clausura fueron presenciales, en las instalaciones de Isdefe, contando principalmente con la asistencia de los participantes en las Jornadas. Las sesiones prácticas, por el contrario, se realizaron de forma remota desde de las instalaciones propias de cada uno de los participantes. 5
10 2.3. CALENDARIO El calendario de las Jornadas ha sido el siguiente: CALENDARIO JORNADA 05 FEB FEB FEB MAR 2014 Sesión de Apertura 09:30-15:00 1ª Sesión Práctica 09:00 15:00 2ª Sesión Práctica 09:00 13:15 Sesión de Clausura 09:30-14:00 Tabla 3 Calendario de las II Jornadas PSCIC 2.4. PARTICIPANTES El público objetivo de esta Segunda Edición de las Jornadas Técnicas han sido los principales Operadores de Infraestructuras Estratégicas (IE) de los sectores nacionales de Transporte, Agua, Energía y Nuclear, así como los organismos sectoriales de supervisión, como son el Ministerio de Fomento, el Ministerio de Industria, Energía y Turismo, el Ministerio de Agricultura, el Ministerio de Sanidad y el Consejo de Seguridad Nuclear. Entrando más en detalle, en la realización de las sesiones prácticas de estas segundas jornadas, ha habido una participación de 16 equipos distintos, cada uno de los cuales ha estado compuesto por varias personas, alcanzando 9 o más personas en algunos casos. En el siguiente gráfico se muestra la relación participantes por sectores: Agua 6% Otros 6% Nuclear 25% Transporte 38% Energía 25% Figura 1 Participación en la Sesiones Prácticas, por Sectores 6
11 Y en la siguiente tabla muestra la relación de organismos y empresas de participantes en las sesiones prácticas: Participante ADIF AENA NAVEGACIÓN AÉREA BAHIA BIZKAIA GAS CANAL ISABEL II CERT DE SEGURIDAD E INDUSTRIA COFRENTES CONSEJO DE SEGURIDAD NUCLEAR CORES EDP ENERGÍA ENUSA INDUSTRIAS AVANZADAS ESTACIÓN DE AUTOBUSES MADRID SUR GAS NATURAL METRO DE BILBAO METRO DE SEVILLA MINISTERIO DE FOMENTO - PUERTOS DEL ESTADO NUCLENOR Tabla 4 Participantes Sesiones Prácticas 2.5. EVOLUCIÓN DE LAS JORNADAS Las I Jornadas PSCIC fueron organizadas por Isdefe en colaboración con el CNPIC entre los meses de abril y mayo de 2012 en la participaron 20 equipos de los Sectores Estratégicos de Energía, Nuclear y Transporte, incluyendo grandes compañías nacionales que operaban Infraestructuras Estratégicas en los citados sectores (16 equipos), así como algunos organismos con responsabilidades sectoriales en la Protección de las Infraestructuras Críticas: Ministerio de Fomento, Ministerio de Industria, Energía y Turismo, Consejo de Seguridad Nuclear y Centro Nacional de Inteligencia (4 equipos). Estas II Jornadas han sido una continuación de la primera edición, compartiendo sus objetivos principales, en las que a los sectores participantes de la edición anterior se ha añadido el Sector del Agua. Puesto que uno de los objetivos principales de ambas jornadas ha sido la concienciación se ha 7
12 buscado la participación de organismos y empresas distintas, a pesar de que haya sectores que repiten. Por su parte, la estructura y formato se ha mantenido uniforme en ambas jornadas EVOLUCIÓN EN LOS PARTICIPANTES En esta segunda edición, la mayoría de los participantes han sido nuevos. Tan solo ha habido unos pocos que han estado presentes ambas ediciones. Por este motivo, es difícil comparar y evaluar la posible evolución de los participantes tras su participación en las Jornadas. A pesar de esto, hay un aspecto muy importante que ha llamado la atención. En las I Jornadas, la 2ª sesión (Análisis y Gestión de Riesgos) se consideró más complicada que la 1ª Sesión (Gestión de un Incidente de Seguridad en una IC). Sin embargo, en estas II Jornadas, se ha dado un giro de 180º, donde los participantes han considerado más complicada la 1ª Sesión. Analizando la situación, el contexto y los participantes, podemos deducir que los principales motivos para esto son, entre otros, los siguientes: Antes se daba una mucha mayor importancia al componente técnico de la seguridad. La tendencia está cambiando y se ve la seguridad como un aspecto global que implica no solo elementos técnicos, sino también operativos, de gestión, procedimentales, normativos, etc. Hay más gente, y sobre todo, más perfiles involucrados en la seguridad, de ahí la mayor diversidad entre los participantes. No solo personal técnico. Por otra parte, el uso de las herramientas para la gestión de eventos de seguridad, está cada vez más extendido, con lo que hay más gente que las conoce, con lo que ha habido más participantes con conocimientos sobre dichas herramientas. 8
13 3. ESCENARIO Y PLATAFORMA 3.1. PLATAFORMA Como elemento esencial para la realización de estas Jornadas, Isdefe ha desarrollado una plataforma capaz de simular cualquier escenario complejo en el que poder reproducir multitud de sistemas y configuraciones de seguridad y ser, por tanto, una potente herramienta para la formación y el entrenamiento mediante el uso de la simulación en el ámbito de la ciberseguridad. Sobre esta plataforma, se han implementado los escenarios de cada una de las sesiones prácticas, habiendo incorporado cada uno de ellos un sistema Supervisory Control And Data Acquisition (SCADA) de alcance limitado, que incluye algunos componentes esenciales de un entorno de SCI como puede ser un Human Machine Interface (HMI) o un Programmable Logic Controller (PLC). El acceso de los participantes a esta plataforma se realiza de forma remota mediante estos dos elementos que se facilitaron a los participantes en la Sesión Inaugural: DVD auto arrancable (DVD Live) con las herramientas necesarias para el seguimiento remoto de las mismas. Memoria USB (pendrive) con los correspondientes certificados digitales (únicos para cada equipo participante) para garantizar el acceso seguro y la identificación de cada equipo, así como con toda la documentación necesaria para su puesta en funcionamiento. Figura 2 Elemento para el Acceso a la Plataforma En resumen, el participante tan solo tiene que arrancar el equipo, introducir el DVD y conectar la memoria USB. El sistema se configura y conecta automáticamente a la plataforma de Isdefe de forma totalmente transparente. 9
14 En la figura siguiente se puede observar la arquitectura de acceso a la plataforma Figura 3 Acceso a la Plataforma Cada participante se conecta mediante sus propios equipos (utilizando el DVD proporcionado) a la plataforma a través de Internet. Una vez establecida la conexión, tiene acceso a los servicios y herramientas proporcionados por la plataforma para el seguimiento de las sesiones prácticas. Del mismo modo, cada participante puede acceder al Aula Virtual en la que seguir en tiempo real las presentaciones que está realizando el tutor así como hacer preguntas públicas (visibles por todos los participantes) o privadas (visibles solo por el tutor). En esta Aula Virtual se alternan las charlas presenciales del tutor con la visualización de videos e imágenes en tiempo real de la plataforma. Para acceder a esta aula no es necesario el uso del DVD. Tan solo se precisa una conexión a internet y disponer de las apropiadas credenciales de acceso (facilitadas por la organización de las Jornadas durante la Sesión Inaugural) PRUEBAS DE CONEXIÓN Durante los días previos a la 1ª sesión prácticas se realizaron las Pruebas de Conexión cuyo objetivo era primero probar la conectividad de cada participante con la plataforma, y segundo, familiarizar a cada participante tanto con los herramientas que se iban a emplear en las prácticas como con la red corporativa de esta empresa. Todo ello, mediante la realización de un mini-reto que incluía actividades como: 10
15 Identificación de activos: Obtención datos, servicios, servidores, componentes de red, sistemas operativos. Descubrimiento de activos no documentados: Gestión e inventario de activos. Análisis de vulnerabilidades. Verificación de la configuración de firewalls, servidores, IDS, etc. Mediante estas pruebas, los participantes pudieron conocer la plataforma sobre la que se realizaron las sesiones prácticas posteriormente ESCENARIO 1ª SESIÓN PRÁCTICA Para esta sesión, la arquitectura presentada simula una configuración que podría estar presente a día de hoy en un operador de IC, en este caso se ha puesto un ejemplo de un sistema de control ferroviario de una empresa ficticia, llamada Stark Enterprises, en el que los sistemas TIC corporativos y los de control industrial (sistema SCADA) tienen un punto de interconexión (ver figura siguiente). El sistema SCADA controla el cambio de vías, y su correspondiente señalización, de un sistema ferroviario ficticio. Figura 4 Escenario 1ª Sesión Práctica 11
16 Como puede ser frecuente en una arquitectura de estas características, el sistema consta de una serie de bloques con roles y objetivos muy concretos, separados mediante dispositivos de protección de perímetro (por ejemplo, cortafuegos): Red DMZ, cuyo objetivo es proteger los sistemas internos de la compañía de sus conexiones exteriores (por ejemplo Internet). En esta red se incluyen los servicios que la compañía pone a disposición de usuarios externos (servicios Web y bases de datos de acceso de empleados, servicio DNS, herramientas de monitorización, etc.) Red MZ, que incluye los servicios internos de la compañía, como son los controladores de dominio, servidores de correo, bases de datos, estaciones de usuarios y herramientas de seguridad. En el caso de las herramientas, se incluyen aquellas de análisis y la gestión de eventos de seguridad de los servidores y equipos del Sistema. Red SCADA, que contiene elementos característicos de un SCI, como dispositivo HMI conectado a red LAN SCADA por Ethernet, dispositivos PLC y estaciones de trabajo de control y desarrollo del sistema SCADA. Este tipo de tecnologías SCADA es ampliamente utilizado en SCI de gran variedad de sectores estratégicos como Industria, Energía, Transporte, etc., para controlar y monitorizar procesos industriales, como por ejemplo los que hacen funcionar una central eléctrica o los que controlan las vías de un tren de alta velocidad. En las siguientes figuras se puede ver con detalle los elementos físicos reales de los que se compone la maqueta SCADA de la plataforma, así como el detalle del software de control diseñado e instalado en el HMI. Figura 5 Detalle de la maqueta SCADA 12
17 Figura 6 Detalle de HMI Es importante destacar que tanto el HMI como el PLC empleado son componentes reales, de modelos ampliamente utilizados en sistemas SCADA reales, concretamente: HMI Weintek (Modelo MT-8070iH) PLC Koyo Click (Modelo C0-00DR-D) 13
18 3.4. ESCENARIO 2º SESIÓN PRÁCTICA El escenario desarrollado para esta segunda sesión práctica se basa en el mismo que se utilizó en la primera sesión, pues el conocimiento previo de éste suponía una gran ventaja para una mejor compresión de las actividades a realizar. Figura 7 Escenario 2ª Sesión Práctica En este escenario, se puso a disposición de cada uno de los participantes un acceso a la zona virtual donde se encontraban instaladas las herramientas necesarias para la correcta realización de las prácticas (herramienta de análisis de riesgos, archivos de trabajo, plantillas de riesgos, etc.). Figura 8 Recursos adicionales para la 2ª Sesión Práctica 14
19 3.5. EVOLUCIÓN DE LAS JORNADAS En esta segunda edición, las sesiones prácticas han seguido la misma estructura y formato en el contenido. Sin embargo el contenido ha cambiado, especialmente en la primera sesión. En esta ocasión el escenario planteado giraba entorno una empresa (Stark Enterprises) encargada de la gestión y monitorización de un sistema ferroviario. El escenario de la primera edición se centró en una compañía de gas, en la que el SCADA controlaba la entrada y salida de una bomba de gas, como puede verse en la siguiente figura. Figura 9 Escenario I Jornadas PSCIC A nivel técnico, cabe destacar los siguientes cambios: Actualización del escenario y plataforma. o o o Mejoras en estabilidad y rendimiento. Mayor coherencia en el escenario planteado. Inclusión de nuevos ataques. Simplificación del proceso de conexión, filosofía Plug and Play. o o Arrancar DVD Live, conectar el USB y listo. No ha habido ningún incidente relativo a la configuración del acceso a la plataforma. Pruebas de conexión desatendidas. o Incluyen un mini-reto para familiarizarse con el entorno y las herramientas. Sustitución de la Wiki por una plataforma colaborativa para el intercambio de información 15
20 4. CONTENIDO DE LAS SESIONES PRÁCTICAS Cada una de las sesiones prácticas estuvo precedida por una charla teórica, a través del aula virtual de la plataforma, con el objetivo de introducir los conceptos y técnicas en los que se trabajaría, así como describir la propia práctica ª SESIÓN: GESTIÓN DE UN INCIDENTE DE SEGURIDAD EN UNA IC Los objetivos específicos de esta primera sesión han sido: Concienciar y sensibilizar sobre las amenazas existentes, impactos y riesgos asociados en SCI. Poner en práctica conceptos de diseños de arquitectura seguras: tecnologías de seguridad, sistemas de monitorización de eventos de seguridad y buenas prácticas en seguridad de la información. Fomentar la cooperación y el intercambio de información entre los distintos actores relacionados con la protección de las IC. La jornada se ha dividido en tres fases principales: introducción a la seguridad y a los casos prácticos, caso práctico y conclusiones INTRODUCCIÓN A LA SEGURIDAD EN IC En esta primera fase se dio una breve introducción teórica a la seguridad en IC, la normativa aplicable y una descripción de algunos casos reales de ataques a IC como STUXNET, Duqu y Flame. En esta sesión se trabajó sobre un sistema SCADA, siendo éste el que permite la monitorización y el control de dispositivos de campo en procesos industriales. Estos sistemas soportan procesos críticos en muchos sectores nacionales, como por ejemplo el control de la red eléctrica, el suministro de agua, las telecomunicaciones, el tráfico aéreo o las líneas de ferrocarril. En sentido, y con objeto de introducir el caso práctico, se lanzó la siguiente pregunta Por qué proteger los sistemas SCADA o SCI de las IC?. Las IC proveen servicios esenciales necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el transporte, el bienestar social y económico de la sociedad o el eficaz funcionamiento de las Administraciones Públicas, pero éstas dependen cada vez más de tecnologías como los sistemas SCADA que realizan la gestión y el control de procesos industriales CASO PRÁCTICO En el desarrollo del caso práctico se utilizó la herramienta de gestión de eventos Open Source Security Information Management (OSSIM), así como una plataforma colaborativa con objeto de fomentar el intercambio de información. Esta plataforma fue utilizada por los participantes para detallar los incidentes de seguridad durante el caso práctico y como medio de comunicación y colaboración entre ellos. Además, constituyó el repositorio de los guiones de cada una de las sesiones prácticas y los manuales de las herramientas que iban a utilizar los participantes. OSSIM es un conjunto de herramientas de seguridad que contiene un módulo de sistema Security Information and Event Management (SIEM), que constituye un gestor de monitorización de eventos de seguridad que permite ver de forma gráfica y unificada todos los eventos de seguridad que 16
21 transmiten los equipos y sondas de seguridad que estén desplegados en las redes y sistemas de la compañía. Figura 10 OSSIM - SIEM Las funciones principales de una herramienta SIEM son: Recolección de logs y eventos del sistema y almacenamiento a largo plazo. Agregación y correlación de eventos. Generación de alertas y gestión de incidencias. Los sistemas SIEM permiten además filtrar los eventos por diversos campos como por ejemplo el origen de los datos que queremos visualizar. Durante la sesión práctica los participantes tuvieron el rol de Administrador de Seguridad del sistema de la compañía ferroviaria, cuyo nombre era Stark Enterprises. El primer paso de los participantes, como administradores de seguridad, fue conocer la estructura y composición de la red de la empresa Stark Enterprises, para así poder protegerla y vigilarla (esta actividad se realizó durante las Pruebas de Conexión los días previos). La segunda parte de la sesión práctica se centró en la gestión de incidentes, a través de una serie de ejercicios guiados en los que los incidentes procedentes de un ataque al sistema se monitorizaban, evaluaban y gestionaban en tiempo real según iban apareciendo. El ataque en cuestión consistió en tres fases: 17
22 Fase I. Ataque a la DMZ El objetivo de esta fase del ataque era la subred DMZ, dado que en ella se ubicaban los equipos y servicios accesibles desde Internet. De estos equipos, el servidor sobre el que cabría esperar un ataque era el servidor Web que suministraba la página corporativa de Stark Enterprises. El atacante realizaba varios ataques de inyecciones SQL (SQL injection) 1 para acceder a información privada de los empleados y administradores, como las direcciones de correo y contraseñas de usuarios (hash 2 ), y ataques de Path Traversal 3 para acceder y descargar información restringida de la empresa Stark Enterprises. Fase II: Ataque a la MZ En esta fase el atacante se hacía con el control de un ordenador dentro de la red MZ utilizando la técnica Spear Phising 4. Una vez comprometido, realizó un escaneo de puertos de la red descubriendo el resto de equipos y servidores que la componen. Posteriormente el atacante se centró en el servidor de ficheros de Stark Enterprises, comprometiéndole con la técnica Pass the Hash 5 y obteniendo información confidencial sobre la red SCADA. Fase III: Ataque a la red SCADA En la última fase del ataque, el atacante utilizaba la máquina comprometida de la red interna MZ como punto de pivote para acceder a otras redes y zonas de la red corporativa. Una vez ganado acceso al ordenador de desarrollo de SCADA es sencillo poder hacer pequeñas modificaciones al firmware o acceder directamente a la consola del HMI. Durante cada una de estas fases, el tutor iba alternando sus presentaciones con videos detallados de cada uno de las fases e imágenes en tiempo real de la plataforma. Al finalizar cada fase, se pidió a los participantes que completasen un breve cuestionario técnico a modo de evaluación del conocimiento adquirido. Seguidamente, el tutor mostraba los pasos que deberían haber seguido los participantes. De forma continua, durante toda la sesión práctica, el tutor iba respondiendo a todas aquellas dudas o cuestiones planteadas por los participantes, ya fuera de forma pública o privada CONCLUSIONES En la última parte de la sesión se presentaron las conclusiones derivadas de la recepción de un ataque y su gestión. En este punto se destacó la importancia de identificar las medidas y los controles necesarios a implantar para evitar incidentes de seguridad como el sufrido durante el caso práctico. Además, se recordaron los conceptos más importantes de la sesión práctica y se indicó que la seguridad es un aspecto fundamental en la protección de sistemas de control en IC
Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA
Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA Documento de trabajo elaborado para la Red Temática DocenWeb: Red Temática de Docencia en Control mediante Web (DPI2002-11505-E)
Más detallesPLAN DE MEJORAS. Herramienta de trabajo. Agencia Nacional de Evaluación de la Calidad y Acreditación
PLAN DE MEJORAS Herramienta de trabajo Agencia Nacional de Evaluación de la Calidad y Acreditación Índice 1 Introducción...3 2 Pasos a seguir para la elaboración del plan de mejoras...5 2.1 Identificar
Más detallesMetodología básica de gestión de proyectos. Octubre de 2003
Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución
Más detallesTITULO: SERVICIO DE INFORMACIÓN A TRAVÉS DE UNA RED DE PUNTOS DE INFORMACIÓN ELECTRÓNICA EN ESPACIOS PÚBLICOS DE LA CIUDAD DE MADRID
TITULO: SERVICIO DE INFORMACIÓN A TRAVÉS DE UNA RED DE PUNTOS DE INFORMACIÓN ELECTRÓNICA EN ESPACIOS PÚBLICOS DE LA CIUDAD DE MADRID Apoyado por: DOMINION S.A. 1.- Antecedentes/Problemática A la Dirección
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales GRADO EN INGENIERÍA DE ORGANIZACIÓN INDUSTRIAL
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2014 GRADO EN INGENIERÍA DE ORGANIZACIÓN INDUSTRIAL Facultad de Ciencias Técnicas e Ingeniería UDIMA INFORMACIÓN PUBLICA
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesMejora de la Seguridad de la Información para las Pymes Españolas
Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la
Más detallesE 6.3-2 Evaluación de pilotos. : Versión: 0.1 Fecha: 07/02/13 Autor: Pablo Martín Email: Pablo.martin@logica.com
E 6.3-2 Evaluación de pilotos : Versión: 0.1 Fecha: 07/02/13 Autor: Pablo Martín Email: Pablo.martin@logica.com Historial de cambios Versión Fecha Autor Cambios 0.1 10/12/12 Pablo Martín Blanco Versión
Más detallesFuncionalidades Software SAT GotelGest.Net (Software de Servicio de Asistencia Técnica)
Funcionalidades Software SAT GotelGest.Net (Software de Servicio de Asistencia Técnica) Servinet Sistemas y Comunicación S.L. www.softwaregestionsat.com Última Revisión: Octubre 2014 FUNCIONALIDADES SAT
Más detallesCapítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente
Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente En este capítulo definimos los requisitos del modelo para un sistema centrado en la mejora de la calidad del código fuente.
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2013 MASTER UNIVERSITARIO EN EFICIENCIA ENERGÉTICA Y ARQUITECTURA Escuela Superior de Arquitectura y Tecnología UCJC
Más detallesINSTALACIÓ N A3ERP. Informática para empresas INTRODUCCIÓN CONSIDERACIONES GENERALES DE LA INSTALACIÓN PAQUETES DE INSTALACIÓN PREDEFINIDOS
Página 1 de 20 INSTALACIÓ N A3ERP INTRODUCCIÓN La instalación de a3erp v9 ha sufrido una trasformación importante respecto a sus versiones anteriores. Cualquier instalación exige la existencia de un pc
Más detallesMéxico, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS
Marco Operativo para Empresas Líderes y Organismos Operadores México, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS REGLAS GENERALES DE OPERACIÓN Y COORDINACIÓN PARA LAS EMPRESAS LÍDERES, ORGANISMOS OPERADORES
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesCURSO COORDINADOR INNOVADOR
CURSO COORDINADOR INNOVADOR PRESENTACIÓN La tarea que el Ministerio de Educación se propone a través de Enlaces, en relación al aseguramiento del adecuado uso de los recursos, con el fin de lograr un impacto
Más detallesPLAN DIRECTOR DE SISTEMAS DE INFORMACIÓN DEL MINISTERIO DE TRABAJO Y ASUNTOS SOCIALES: ALGUNAS CONSIDERACIONES
PLAN DIRECTOR DE SISTEMAS DE INFORMACIÓN DEL MINISTERIO DE TRABAJO Y ASUNTOS SOCIALES: ALGUNAS CONSIDERACIONES Pilar Beriso GómezEscalonilla Consejera Técnica adjunta al Subdirector Subdirección General
Más detallesINTRANET DE UNA EMPRESA RESUMEN DEL PROYECTO. PALABRAS CLAVE: Aplicación cliente-servidor, Intranet, Área reservada, Red INTRODUCCIÓN
INTRANET DE UNA EMPRESA Autor: Burgos González, Sergio. Director: Zaforas de Cabo, Juan. Entidad colaboradora: Colegio de Ingenieros del ICAI. RESUMEN DEL PROYECTO El proyecto consiste en el desarrollo
Más detallesINSTALACIÓN A3ERP INTRODUCCIÓN CONSIDERACIONES GENERALES DE LA INSTALACIÓN PAQUETES DE INSTALACIÓN PREDEFINIDOS
INSTALACIÓN A3ERP INTRODUCCIÓN La instalación de a3erp v9 ha sufrido una trasformación importante respecto a sus versiones anteriores. Cualquier instalación exige la existencia de un pc al que le asignaremos
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detalles2.11.1 CONTRATAS Y SUBCONTRATAS NOTAS
NOTAS 1 Cuando en un mismo centro de trabajo desarrollen actividades trabajadores de dos o más empresas, éstas deberán cooperar en la aplicación de la normativa sobre prevención de riesgos laborales. A
Más detallesInfraestructura Tecnológica. Sesión 1: Infraestructura de servidores
Infraestructura Tecnológica Sesión 1: Infraestructura de servidores Contextualización La infraestructura de cualquier servicio o mecanismo es importante, define el funcionamiento de los elementos en que
Más detallesOficina Online. Manual del administrador
Oficina Online Manual del administrador 2/31 ÍNDICE El administrador 3 Consola de Administración 3 Administración 6 Usuarios 6 Ordenar listado de usuarios 6 Cambio de clave del Administrador Principal
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales GRADO EN COMUNICACIÓN AUDIOVISUAL
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2013 GRADO EN COMUNICACIÓN AUDIOVISUAL Facultad de Ciencias de la Comunicación UCJC INFORMACIÓN PUBLICA Valoración Final
Más detallesDIRECCION DE PROYECTOS II
DIRECCION DE PROYECTOS II DESARROLLO DEL CURSO PROFESIONAL EN DIRECCION DE PROYECTOS II: Durante el desarrollo del Curso Profesional en Dirección de Proyectos II, el alumno irá asimilando el contenido
Más detallesFUNCIONALIDADES DE LA PLATAFORMA
GUÍA INDICE GUIA INTRODUCCIÓN 3 FUNCIONALIDADES DE LA PLATAFORMA 5 ACCESO A LA PLATAFORMA 6 PÁGINA PRINCIPAL 7 ACCESO AL CURSO 9 2 1. INTRODUCCIÓN Las posibilidades de aplicación de las TIC al sistema
Más detallesSistemas de Gestión de Calidad. Control documental
4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4
Más detallesINFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA
INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA con destino a GORE DE ATACAMA ELIMCO SISTEMAS Alfredo Barros Errázuriz 1954
Más detallesDavid Erosa García Programador del C.G.A. de la D.G. de Innovación Educativa y Formación del Profesorado. Consejería de Educación, Junta de Andalucía
CENTRO DE GESTIÓN AVANZADO (C.G.A.) : LA GESTIÓN CENTRALIZADA DE LOS ORDENADORES DE LOS CENTROS TIC S DE LA CONSEJERÍA DE EDUCACIÓN DE LA JUNTA DE ANDALUCÍA Director del C.G.A. y jefe del Departamento
Más detallesWINDOWS 2008 5: TERMINAL SERVER
WINDOWS 2008 5: TERMINAL SERVER 1.- INTRODUCCION: Terminal Server proporciona una interfaz de usuario gráfica de Windows a equipos remotos a través de conexiones en una red local o a través de Internet.
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales MÁSTER UNIVERSITARIO EN PERIODISMO CULTURAL
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2013 MÁSTER UNIVERSITARIO EN PERIODISMO CULTURAL Facultad de Humanidades y Ciencias de la Comunicación CEU INFORMACIÓN
Más detallesModificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.
UNIVERSIDAD DE CARABOBO FACULTAD DE CIENCIA Y TECNOLOGÍA DIRECCION DE EXTENSION COORDINACION DE PASANTIAS Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere. Pasante:
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesEl objetivo principal del presente curso es proporcionar a sus alumnos los conocimientos y las herramientas básicas para la gestión de proyectos.
Gestión de proyectos Duración: 45 horas Objetivos: El objetivo principal del presente curso es proporcionar a sus alumnos los conocimientos y las herramientas básicas para la gestión de proyectos. Contenidos:
Más detallesGestión de proyectos
Gestión de proyectos Horas: 45 El objetivo principal del presente curso es proporcionar a sus alumnos los conocimientos y las herramientas básicas para la gestión de proyectos. Gestión de proyectos El
Más detallesGuía Rápida de Inicio
Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for SharePoint. Para disponer de instrucciones detalladas, por favor, diríjase
Más detallesPE06. RESPONSABILIDAD SOCIAL
Índice 1. Objeto 2. Alcance 3. Referencias/Normativa 4. Definiciones 5. Desarrollo de los procesos 6. Seguimiento y Medición 7. Archivo 8. Responsabilidades 9. Flujograma ANEXOS: No proceden Edición Fecha
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales MÁSTER UNIVERSITARIO EN COMUNICACIÓN DE MODA Y BELLEZA
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2013 MÁSTER UNIVERSITARIO EN COMUNICACIÓN DE MODA Y BELLEZA Facultad de Humanidades y Ciencias de la Comunicación CEU
Más detallesGuía del curso MÓDULO. DURACIÓN PREVISTA: 30 minutos CONTENIDO. Organización del curso;
MÓDULO 0 Guía del curso DURACIÓN PREVISTA: 30 minutos CONTENIDO Organización del curso; principales funciones de la plataforma de formación electrónica; y acuerdo de Usuario. 1 I. INTRODUCCIÓN Bienvenidos
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales MÁSTER UNIVERSITARIO EN COMUNICACIÓN CORPORATIVA
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2013 MÁSTER UNIVERSITARIO EN COMUNICACIÓN CORPORATIVA Facultad de Humanidades y Ciencias de la Comunicación CEU INFORMACIÓN
Más detallesLINEAMIENTOS DE RENDICIÓN DE CUENTAS DE LA CREG
LINEAMIENTOS DE RENDICIÓN DE CUENTAS DE LA CREG La política de rendición de cuentas establecida por el Gobierno Nacional a través del documento CONPES 3654 de 2010 busca consolidar una cultura de apertura
Más detallesPlantilla de buenas prácticas
Plantilla de Buenas Prácticas Julio 2015 Plantilla de buenas prácticas Esta plantilla proporciona información básica cerca las buenas prácticas, incluso también un formulario (p.3) para rellenar y documentar
Más detallesSISTEMAS Y MANUALES DE LA CALIDAD
SISTEMAS Y MANUALES DE LA CALIDAD NORMATIVAS SOBRE SISTEMAS DE CALIDAD Introducción La experiencia de algunos sectores industriales que por las características particulares de sus productos tenían necesidad
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales GRADO EN PROTOCOLO Y ORGANIZACIÓN DE EVENTOS
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2013 GRADO EN PROTOCOLO Y ORGANIZACIÓN DE EVENTOS Facultad de Ciencias de la Comunicación UCJC INFORMACIÓN PUBLICA Valoración
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2014 MÁSTER UNIVERSITARIO EN DIRECCIÓN DE PROTOCOLO, PRODUCCIÓN, ORGANIZACIÓN Y DISEÑO DE EVENTOS Facultad de Ciencias
Más detallesPlantilla de Buenas Prácticas
Marzo 2014 Plantilla de Buenas Prácticas Definición de buenas prácticas Una buena práctica se puede definir del siguiente modo: Una buena práctica no es tan sólo una práctica que se define buena en sí
Más detallesApp para realizar consultas al Sistema de Información Estadística de Castilla y León
App para realizar consultas al Sistema de Información Estadística de Castilla y León Jesús M. Rodríguez Rodríguez rodrodje@jcyl.es Dirección General de Presupuestos y Estadística Consejería de Hacienda
Más detallesManual de uso de la plataforma para monitores. CENTRO DE APOYO TECNOLÓGICO A EMPRENDEDORES -bilib
Manual de uso de la plataforma para monitores CENTRO DE APOYO TECNOLÓGICO A EMPRENDEDORES -bilib [Manual de uso de la plataforma para monitores] 1. Licencia Autor del documento: Centro de Apoyo Tecnológico
Más detallesUNA GUÍA DE ORIENTACIÓN PARA EL DESARROLLO Y LA EVALUACIÓN DE LAS COMPETENCIAS PROFESIONALES DE LOS ALUMNOS DEL MÁSTER DE CONTABILIDAD Y AUDITORÍA 1
UNA GUÍA DE ORIENTACIÓN PARA EL DESARROLLO Y LA EVALUACIÓN DE LAS COMPETENCIAS PROFESIONALES DE LOS ALUMNOS DEL MÁSTER DE CONTABILIDAD Y AUDITORÍA 1 Biedma López, Estibaliz; Gómez Aguilar, Nieves; Rodríguez
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales GRADO EN TERAPIA OCUPACIONAL. Facultad de Medicina UCM
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2013 GRADO EN TERAPIA OCUPACIONAL UCM INFORMACIÓN PUBLICA Valoración Final Uno de los compromisos esenciales que las
Más detallesManual del Alumno de la plataforma de e-learning.
2 Manual del Alumno de la Plataforma de E-learning 3 4 ÍNDICE 1. Página de Inicio...7 2. Opciones generales...8 2.1. Qué es el Campus...8 2.2. Nuestros Cursos...9 2.3. Cómo matricularme...9 2.4. Contactar...9
Más detallesPROYECTO AUD-GRA. REALIZACIÓN DE AUDITORíAS ENERGÉTICAS EN 84 MUNICIPIOS DE LA PROVINCIA DE GRANADA
PROYECTO AUD-GRA REALIZACIÓN DE AUDITORíAS ENERGÉTICAS EN 84 MUNICIPIOS DE LA PROVINCIA DE GRANADA Granada, Febrero de 2006 PROYECTO AUD-GRA PLAN DE ACTUACIÓN ENERGÉTICA MUNICIPAL Índice: 1 Introducción...
Más detallesInforme de Amenazas CCN-CERT IA-02/14. Riesgos de uso de Windows XP tras el fin de soporte
Informe de Amenazas Riesgos de uso de Windows XP tras el fin de soporte 22 de enero de 2014 LIMITACIÓN DE RESPONSABILIDAD El presente documento se proporciona de acuerdo con los términos en él recogidos,
Más detalles3 er premio Categoría de instituciones, organizaciones y centros. Programa Remote Controler para la empleabilidad juvenil
3 er premio Categoría de instituciones, organizaciones y centros Programa Remote Controler para la empleabilidad juvenil autores: Jorge García, José Manuel Pascual y María Robles de SEAS, Estudios Superiores
Más detallesAnexo III: Inventario de iniciativas horizontales incluidas en el Eje e-gestión.
Anexo III: Inventario de iniciativas horizontales incluidas en el Eje e-gestión. Se describe a continuación en formato de ficha de proyecto el detalle de cada uno de los proyectos de la presente clasificación.
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesLos mayores cambios se dieron en las décadas de los setenta, atribuidos principalmente a dos causas:
SISTEMAS DISTRIBUIDOS DE REDES 1. SISTEMAS DISTRIBUIDOS Introducción y generalidades La computación desde sus inicios ha sufrido muchos cambios, desde los grandes equipos que permitían realizar tareas
Más detallesPrograma de Formación en Gestión Empresarial para Mediadores de Seguros
Programa de Formación en Gestión Empresarial para Mediadores de Seguros Cuál es la situación actual del mediador de seguros? La evolución y resultados de un mediador de seguros, son la consecuencia de
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales GRADO EN ARQUITECTURA
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2013 GRADO EN ARQUITECTURA Escuela Superior de Arquitectura y Tecnología UCJC INFORMACIÓN PUBLICA Valoración Final Uno
Más detallesBechtle Solutions Servicios Profesionales
Soluciones Tecnología Bechtle Solutions Servicios Profesionales Fin del servicio de soporte técnico de Windows Server 2003 No hacer nada puede ser un riesgo BECHTLE Su especialista en informática Ahora
Más detallesWindows Server 2012: Infraestructura de Escritorio Virtual
Windows Server 2012: Infraestructura de Escritorio Virtual Módulo 1: Application Virtualization Módulo del Manual Autores: James Hamilton-Adams, Content Master Publicado: 5 de Octubre 2012 La información
Más detallesMódulo 10: Aplicaciones Informáticas de Gestión Comercial. Guía del formador por cada módulo formativo
Módulo 10: Aplicaciones Informáticas de Gestión Comercial Guía del formador por cada módulo formativo Módulo 10 1. DENOMINACIÓN DEL MÓDULO MÓDULO 10: APLICACIONES IN ORMÁTICAS DE GESTIÓN COMERCIAL 2.
Más detallesPrácticas ITIL para un mejor flujo de trabajo en el helpdesk
Prácticas ITIL para un mejor flujo de trabajo en el helpdesk Se diferencia tres partes de gestión para mejorar la resolución de las incidencias de soporte técnico según el marco ITIL: 1. Gestión de Incidencias
Más detallesIntroducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesEs de aplicación a todas aquellas situaciones en las que se necesita desplegar un objetivo para obtener una visión clara de cómo debe ser alcanzado.
DIAGRAMA DE AÁRBOL 1.- INTRODUCCIÓN Este documento describe el proceso de construcción de un Diagrama de Árbol, mediante el cual se dispone de una metodología simple y sistemática para la identificación
Más detallesQ-expeditive Publicación vía Internet
How to Q-expeditive Publicación vía Internet Versión: 2.0 Fecha de publicación 11-04-2011 Aplica a: Q-expeditive 3 Índice Introducción... 3 Publicación de servicios... 3 Ciudadanos... 3 Terminales de auto
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales MÁSTER UNIVERSITARIO EN ENTIDADES SIN ÁNIMO DE LUCRO
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2014 MÁSTER UNIVERSITARIO EN ENTIDADES SIN ÁNIMO DE LUCRO URJC INFORMACIÓN PUBLICA Valoración Final La adaptación de
Más detallesInformation Security Network Management Solutions
SM@RT-IT Information Security Network Management Solutions SERVICIO DE CONSULTORIA DE RED INTRODUCCIÓN El servicio de consultoría de red, considera actividades conducentes a obtener una visión holistica
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesCERTIFICACIÓN ENERGÉTICA DE EDIFICIOS RD 47/2007
CERTIFICACIÓN ENERGÉTICA DE EDIFICIOS RD 47/2007 FAQ S VERSIÓN 21 DE OCTUBRE 2009 1/8 REAL DECRETO 47/2007 CAPÍTULO III DISPOSICIONES GENERALES Artículo 4. Calificación de eficiencia energética de un edificio.
Más detallesIAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)
IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) Introducción 1. Como se indica en la Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", los objetivos globales
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales MÁSTER UNIVERSITARIO EN GESTIÓN SANITARIA
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2014 MÁSTER UNIVERSITARIO EN GESTIÓN SANITARIA Facultad de Ciencias de la Salud y de la Educación UDIMA INFORMACIÓN PUBLICA
Más detallesNorma ISO 9001: 2008. Sistema de Gestión de la Calidad
Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con
Más detalles1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS
1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS OBJETIVOS La formación del módulo contribuye a alcanzar los objetivos generales de este ciclo formativo que se relacionan a continuación: a. Analizar la
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2013 MÁSTER UNIVERSITARIO EN TECNOLOGÍA PARA EL DESARROLLO HUMANO Y LA Escuela Técnica Superior de Ingenieros Agrónomos
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales MÁSTER UNIVERSITARIO EN BANCA Y ASESORIA FINANCIERA
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2014 MÁSTER UNIVERSITARIO EN BANCA Y ASESORIA FINANCIERA Facultad de Ciencias Económicas y Empresariales UDIMA INFORMACIÓN
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales GRADO EN DERECHO. Facultad de Derecho UCM
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2013 GRADO EN DERECHO UCM INFORMACIÓN PUBLICA Valoración Final Uno de los compromisos esenciales que las universidades
Más detallesUNIVERSIDAD DE LA RIOJA
PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL
Más detalles4.4.1 Servicio de Prevención Propio.
1 Si se trata de una empresa entre 250 y 500 trabajadores que desarrolla actividades incluidas en el Anexo I del Reglamento de los Servicios de Prevención, o de una empresa de más de 500 trabajadores con
Más detallesSeminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets
Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 1 de 12 Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 3 Bienvenida. 4 Objetivos. 5 Interacciones de Negocios
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales GRADO EN CRIMINOLOGÍA Y SEGURIDAD. Facultad de Ciencias
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2013 GRADO EN CRIMINOLOGÍA Y SEGURIDAD Facultad de Ciencias Jurídicas y Económicas UCJC INFORMACIÓN PUBLICA Valoración
Más detallesQué es Google Calendar? Qué se puede hacer en Google Calendar?
Qué es Google Calendar? Google Calendar es una herramienta web 2.0 que permite tener una agenda virtual a la que se puede acceder desde cualquier lugar, en forma gratuita. La característica más interesante
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesLey Orgánica de Protección de Datos
Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener
Más detallesCI Politécnico Estella
PROGRAMACIÓN DEL /ASIGNATURA DEPARTAMENTO: Informática GRUPO/CURSO: 1º AS / 2.014-2.015 / ASIGNATURA: ISOP (IMPLANTACIÓN DE SISTEMAS OPERATIVOS) PROFESOR: Mikel Villanueva Erdozain 1. SÍNTESIS DE LA PROGRAMACIÓN
Más detallesrevista transparencia transparencia y... 3.3. UNIVERSIDADES
revista transparencia transparencia y... 3.3. UNIVERSIDADES 35 revista transparencia Mónica López del Consuelo Documentalista Open Data Universidad de Granada 3.3.1. El filtro básico de la transparencia.
Más detallesREGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales GRADO EN INGENIERÍA DE ORGANIZACIÓN INDUSTRIAL
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2014 GRADO EN INGENIERÍA DE ORGANIZACIÓN INDUSTRIAL Escuela Superior de Ciencias Experimentales y Tecnología URJC INFORMACIÓN
Más detallesPROCEDIMIENTO ESPECÍFICO. Código G083-01 Edición 0
Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. DEFINICIÓN...
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesGestión y Desarrollo de Requisitos en Proyectos Software
Gestión y Desarrollo de Requisitos en Proyectos Software Ponente: María Jesús Anciano Martín Objetivo Objetivo Definir un conjunto articulado y bien balanceado de métodos para el flujo de trabajo de Ingeniería
Más detallesTécnico en Gestión Administrativa (Temario Adaptado a Pruebas Libres de F.P. Grado Medio)
1 2 Introducción Debido a la creciente necesidad de incorporación laboral en el ámbito administrativo, se ha desarrollado el presente curso preparatorio, que pretende desarrollar unos conocimientos teórico
Más detallesIngeniería de Software. Pruebas
Ingeniería de Software Pruebas Niveles de prueba Pruebas unitarias Niveles Pruebas de integración Pruebas de sistema Pruebas de aceptación Alpha Beta Niveles de pruebas Pruebas unitarias Se enfocan en
Más detallespunto, es que los criterios de evaluación de las medidas antes citadas se ajustan a las medidas señaladas para la toma del indicador VTD.
CONSULTA Para esta Comisión es muy importante conocer los comentarios sectoriales relacionados con el contenido del entregable presentado por la firma Iteco en el marco del Contrato 038 de 2014, para avanzar
Más detallesICANN Un mundo. Una Internet. Una conexión para todos.
PLAN ESTRATÉGICO DE ICANN DE JULIO DE 2010 A JUNIO DE 2013 ICANN Un mundo. Una Internet. Una conexión para todos. ICANN es una organización global compuesta por partes interesadas que coordina el sistema
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesMICROSOFT PROJECT 2010
MICROSOFT PROJECT 2010 PRESENTACIÓN Curso de administración de proyectos utilizando la herramienta informática Microsoft Project. El curso presenta conceptos teóricos de la administración de proyectos
Más detalles