PROYECTO MARTHA ASCENCIO MENDOZA PEDRO JULIÁN MORENO PATIÑO
|
|
- Ángel Sáez Suárez
- hace 8 años
- Vistas:
Transcripción
1 PROYECTO Desarrollo de una Propuesta Metodológica para Determinar la Seguridad en una Aplicación Web MARTHA ASCENCIO MENDOZA PEDRO JULIÁN MORENO PATIÑO UNIVERSIDAD TECNOLOGICA DE PEREIRA FACULTAD DE INGENIERÍAS PROGRAMA DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN PEREIRA 2011
2 PROYECTO MARTHA ASCENCIO MENDOZA PEDRO JULIÁN MORENO PATIÑO INVESTIGACIÓN UNIVERSIDAD TECNOLOGICA DE PEREIRA FACULTAD DE INGENIERÍAS PROGRAMA DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN PEREIRA 2011
3 Nota aceptación: Firma Jurado Firma Jurado Pereira, 2011
4 DEDICATORIA Para nuestras familias. El Presente proyecto está dedicado a mi familia, mi esposo Luis Giraldo y mis hijos Jorge Luis y Diego Alejandro Giraldo Ascencio quienes con su amor, sacrificio y apoyo incondicional me ayudaron a culminar esta etapa en mi proyecto de vida. MARTHA ASCENCIO MENDOZA A mi madre Nelly Patiño Ordoñez por su dedicación y apoyo incondicional en todo el tiempo que me dio ánimos en esta etapa tan importante, a mi Padre Pedro Pablo Moreno Moreno por siempre aconsejarme y llevarme por los buenos caminos, a mis hermanos Juan Pablo Moreno Patiño y Gessler Anderson Moreno Patiño por acompañarme para lograr esta meta. PEDRO JULIÁN MORENO PATIÑO 1
5 AGRADECIMIENTOS Al Decano de la Facultad de Ingenierías: EEFC, el Ingeniero José Gilberto Vargas Cano y al Director del Programa de Ingeniería de Sistemas, el Ingeniero Carlos Augusto Meneses por su orientación y su constante apoyo a lo largo de la carrera. Al Ingeniero Jovanny Antonio Castaño Mejía por inspirarnos a lo que debe ser un Ingeniero de Sistemas, su importancia y papel en la sociedad, por su pasión y esfuerzo al tratar de transmitir sus enseñanzas y aporte al Programa de Ingeniería de Sistemas. Igualmente, agradezco a mis profesores de la Universidad Tecnológica de Pereira por su conocimiento, paciencia y ayuda para permitirnos culminar nuestro proyecto. 2
6 GLOSARIO TICs: Tecnologías de la Información y la Comunicación. APLICACIÓN WEB: En Ingeniería del Software una aplicación Web es aquella que los usuarios pueden utilizar accediendo a un servidor web a través de un Navegador, por lo tanto estas aplicaciones se codifican en lenguajes soportados por el navegador, entre los lenguajes se encuentran Html, CSS, Java Script. NAVEGADOR WEB: Es un programa que permite visualizar documentos de hipertexto, que combinan texto, imágenes, sonido, video, animaciones, enlaces, links o hipervínculos. SERVIDOR WEB: Un servidor Web es un ordenador en el que se ejecuta un programa servidor HTTP (Hypertext Transfer Protocol), por lo que puede blicar un sitio web en Internet, en una intranet o en una extranet 1. HTTP: Este es uno de los protocolos más importantes que se utilizan dentro de Internet; es el protocolo que rige la comunicación entre un cliente que utiliza un navegador Web. La función principal de un servidor Web es poner a disposición de clientes páginas Web. LENGUAJE DE PROGRAMACIÓN: Un lenguaje de Programación es un idioma artificial que permite crear programas y software. HTML: Es un lenguaje demarcado que permite la construcción de páginas web. VULNERABILIDAD: Es un fallo de seguridad. Es la debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos o aplicaciones. RIESGO: Se denomina riesgo a la posibilidad de que se materialice o no una amenaza aprovechando una vulnerabilidad. MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información. AMENAZA: En sistemas de información una amenaza es la presencia de uno o más factores de diversa índole (personas, máquinas o sucesos) que de tener la oportunidad atacarían al sistema aprovechando el nivel de vulnerabilidad ocasionando serios daños. 1 BROCHARD, Johnny, INTERNET INFORMATION SERVICES 6, Servidor Web 3
7 ATAQUE: El ataque es la materialización de una amenaza. IMPACTO: El impacto son las consecuencias de la materialización de una o más amenazas sobre los activos, es decir son los daños causados. ACTIVOS: Los activos son los recursos que pertenecen al sistema de información o que están relacionados con éste: Datos, Software, Hardware, Redes, Soporte (DVD, Tarjetas de memoria, Discos duros externos), Personal. SEGURIDAD INFORMÁTICA: Es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. AUDITORÍA: Es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis representa adecuadamente la realidad que pretende reflejar o cumple con las condiciones que han sido acordadas en el nivel de servicio 2. AUDITORÍA INFORMÁTICA: La auditoría es un análisis pormenorizado de un sistema de información que permite descubrir, identificar y corregir vulnerabilidades en los activos que lo componen y en los procesos que se realizan. Su finalidad es verificar que se cumplen los objetivos de la política de seguridad de la organización. Proporciona una imagen real y actual del estado de seguridad de un sistema de información 3. PROTOCOLO DE SEGURIDAD: Un protocolo de seguridad es un conjunto de programas que usan esquemas de seguridad criptográfica 4. PRUEBAS DE INTRUSIÓN (PENTEST): Un test de penetración es el arte de ejecutar hacking ético donde un grupo de especialistas en seguridad de la información verifican y documentan la seguridad o los controles de protección de una plataforma tecnológica con las mismas técnicas de un hacker/cracker con el fin de lograr comprometer a algún activo alcanzable por algún punto de la superficie de ataque de un sistema 5. WEB SHELL: Aplicación web para ejecutar comandos de sistema operativo. FRAMEWORK: Es un entorno de trabajo que posibilita hacer las cosas rápidamente a través de herramientas. 2 SCHNEIDER, Ben. Outsourcing: La herramienta de gestión que revoluciona el mundo de los negocios, Grupo EDITORIAL NORMA, Pág AGUILERA, Purificación. Seguridad Informática, EDITEX, Pág LÓPEZ BROX, Antonio. Promociones en espacios comerciales, EDITORIAL VERTICE, Pág MCCLURE, SM Stuart. Hackers, Secretos y soluciones para seguridad de redes, Osborne- McGrawHill,
8 PRUEBA DE CONCEPTO: La prueba de concepto refiere a una demostración que en principio demuestre cómo un sistema puede ser protegido o ser comprometido, sin la necesidad de construir un equipo de trabajo completo para ese propósito 6. CGI: De sus siglas en Inglés Common Gateway Interface, Es una interfaz que posibilita ejecutar solicitudes de clientes en aplicaciones externas al Servidor Web, que por lo general están escritas en lenguajes de scripting. SHELL: Intérprete de comandos que posibilita el acceso a servicios del sistema operativo. EXPLOIT: Software creado con la finalidad de explotar y aprovechar una vulnerabilidad ó hueco de seguridad. METASPLOIT: Es un framework con un conjunto de herramientas y exploits, que posibilitan el acceso a un sistema con vulnerabilidades o huecos de seguridad. CONSOLA: Es una interfaz de Usuario que posibilita el uso de una Shell para ejecutar acciones en el sistema operativo. COMANDO: Es un software que es ejecutado a través de una Shell. 6 WORDLINGO, Prueba de concepto [En línea], < [Citado el 31 de Agosto de 2011] 5
9 CONTENIDO DEDICATORIA...1 AGRADECIMIENTOS...2 GLOSARIO...3 INTRODUCCIÓN TITULO FORMULACIÓN DEL PROBLEMA JUSTIFICACION OBJETIVO GENERAL Y ESPECÍFICOS OBJETIVO GENERAL OBJETIVOS ESPECÍFICOS MARCO REFERENCIAL MARCO TEÓRICO APLICACIÓN WEB SEGURIDAD INFORMÁTICA SEGURIDAD EN APLICACIONES WEB VULNERABILIDADES EN LA WEB HERRAMIENTAS DE PRUEBAS DE INTRUSIÓN LA SERIE LA ISO METODOLOGÍA OWASP METODOLOGÍA ISSAF MARCO NORMATIVO LEY 1273 DE PROPUESTA METODOLÓGICA ENFOQUE DE CAJA NEGRA ENFOQUE DE CAJA BLANCA CICLO DE DESARROLLO DEL SOFTWARE RECOMENDACIONES CONCLUSIONES REFERENCIAS BIBLIOGRÁFICAS
10 TABLA DE ILUSTRACIONES Ilustración 1 - Arquitectura Cliente Servidor Ilustración 2 - Lenguajes de Programación Web Ilustración 3 - Funcionamiento de una Página Web Ilustración 4 - Seguridad Informática Ilustración 5 - Gestión de Riesgos Ilustración 6 - Resumen Seguridad Informática Ilustración 7 - Mapa de la guía para construir aplicaciones y servicios web seguros Ilustración 8 - Cliente OPENVAS para buscar vulnerabilidades Ilustración 9 - Cliente Nessus para buscar vulnerabilidades Ilustración 10 - Escaneo de Servicios con NMAP Ilustración 11 - Escaneo de una aplicación Web con NIKTO Ilustración 12 - Ataque de Inyección SQL con SQLMAP Ilustración 13 - Resultado del Ataque de Inyección SQL con SQLNINJA Ilustración 14 - Funcionamiento de ataque XSS con XSSER Ilustración 15 - Parámetros necesarios para Iniciar XSSER Ilustración 16 - Resultado del ataque de XSSER Ilustración 17 - Escaneo de URL con Fimap Ilustración 18 - Interfaz y Consola de depuración de CSRFTESTER Ilustración 19 - Prueba de Intrusión con Owasp Mantra Ilustración 20 - Estado del Escaneo, Owasp Mantra Ilustración 21 - Escaneo con Websecurify Ilustración 22 - Reporte Websecurify Ilustración 23 - Herramientas Backtrack Ilustración 24 - Histórico de la ISO Ilustración 25 - Modelo de Proceso PDCA Ilustración 26 - Etapa de Planeación Ilustración 27 - Etapa de Implementación Ilustración 28 - Etapa de Seguimiento Ilustración 29 - Etapa de Mejora Continua Ilustración 30 - Incremento de los costes de reparar bugs de seguridad en el SDLC Ilustración 31 - Flujo de trabajo de la Metodología OWASP Ilustración 32 - Metodología ISSAF Ilustración 33 - Propuesta Metodológica
11 INTRODUCCIÓN La información es el activo más importante para toda organización, asegurarla trae beneficios y credibilidad para ella, entonces cabe preguntarnos Dónde se encuentra la información o qué la manipula?. Es esencial saber que hoy en día la información se encuentra en una aplicación ó software, pero es muy importante conocer que el auge de las TICs y el Cloud Computing ha llevado a adquirir o desarrollar aplicaciones orientadas a la Web. Por esto debemos preguntarnos Está la información segura?, por lo tanto no podemos dejar de hablar de la seguridad en aplicaciones Web, ya que a partir de ellas podemos obtener información. Ofrecer una propuesta metodológica para determinar la seguridad en una aplicación web puede ser de gran utilidad. La propuesta metodológica incluye componentes del estándar ISO y de metodologías existentes, tales como OWASP e ISSAF. Para hablar de seguridad de la información, no sé puede dejar de hablar de ISO 27001, debido a que es el estándar de facto para la seguridad en la información, que ofrece un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejoras de todos los procesos que involucran la seguridad de la información en una organización por medio del Sistema de Gestión de la Seguridad de la Información (SGSI). OWASP es una metodología que tiene en cuenta la seguridad en el ciclo de desarrollo del software (SDLC). Por otro lado, ISSAF es una metodología para pruebas de intrusión en un sistema informático. Los capítulos 1º al 4º contienen el titulo, formulación del problema, justificación y objetivos respectivamente. En el capítulo 5º se abordan los conceptos teóricos que sirven de base para la elaboración de la propuesta, entre ellos se tiene aplicación Web, Seguridad Informática, Seguridad en aplicaciones Web, Vulnerabilidades en la Web, Herramientas de pruebas de Intrusión, ISO 27001, Metodología OWASP e ISSAF. En el capítulo 6º se presenta una propuesta metodológica para determinar la seguridad en una aplicación web bajo dos enfoques, el de caja negra y caja blanca. Los últimos tres capítulos contienen las recomendaciones, las conclusiones y la bibliografía respectivamente. 8
12 1. TITULO Desarrollo de una propuesta metodológica para determinar la seguridad en una aplicación web. 9
13 2. FORMULACIÓN DEL PROBLEMA Durante años las aplicaciones web han sido vulneradas, permitiendo que agentes no autorizados tengan acceso a datos confidenciales y causando pérdida de información. Colombia es el cuarto país más vulnerable de América Latina luego de Brasil, México y Venezuela 7. Este siglo ha sido catalogado como el siglo de la información 8, por lo tanto son los datos y la información los que generan el activo más importante, de manera que ofrecer una aplicación web con altos niveles de seguridad, integridad y confiabilidad, es vital para las operaciones de cualquier negocio 9. Otro de los factores que infieren en esta problemática es la falta de garantía a nivel empresarial respecto a la seguridad de los datos y aplicaciones. Aproximadamente el 60% de las empresas, no cuentan con una estrategia documentada de la seguridad en la información, y además solo el 28% tienen considerados los riesgos en sus planes de acción 10. La seguridad informática en aplicaciones Web se ha convertido en un tema de importancia, vislumbrado a través de las cifras considerables que están invirtiendo las empresas para contrarrestar y prevenir los ataques a los que están expuestas, siendo vulnerables a muchos de estos riesgos. Cabe entonces, preguntarse, sí desarrollar una propuesta metodológica para determinar el nivel de seguridad informática en las empresas, servirá como guía para adoptar mecanismos de protección y poder contar con un conjunto de recomendaciones que las orienten como parte de la estrategia de seguridad?. 7 FEDESOFT, Colombia es el cuarto país más vulnerable de América Latina en seguridad informática [En línea], < [Citado el 31 de Agosto de 2011] 8 Stuart McClure, SM, Hackers, Secretos y soluciones para seguridad de redes, Osborne- McGrawHill, UNIVERSIDAD AUTÓNOMA DEL CARIBE, Test de penetración como apoyo a la evaluación de riesgos en seguridad de la información [En línea], < no-1/articulo5-v7n1.pdf>, [Citado el 31 de Agosto de 2011] 10 FEDESOFT, 60% de las empresas no tienen estrategia de seguridad [En línea], < [Citado el 31 de Agosto de 2011] 10
14 3. JUSTIFICACION Las TICs, (Tecnologías de Información y Comunicación), especialmente el Internet han abierto un sin número de posibilidades de acceso a la información y de igual manera se han generado nuevos riesgos que involucran la seguridad de la misma. Este es un momento crítico de cambio, pues hay una gran apertura en las comunicaciones y las posibilidades para compartir información en internet demandan más seguridad para cada acción que se tome 11. En este contexto, los ejercicios de riesgos y controles propios de las empresas, para establecer y analizar los activos de información, han dejado de que para transformarse día a día en una disciplina que adopta la organización, para lograr como parte de su gestión, que la información sea una ventaja clave y competitiva frente a su entorno de negocio 12. Actualmente, con el auge del Cloud Computing todo el desarrollo de aplicaciones está siendo orientada a la web, lo cual conlleva una gran responsabilidad por parte de los desarrolladores y proveedores de servicios en internet. Una aplicación web con altos niveles de seguridad, es un elemento diferenciador, generador de confianza y valor para la empresa, sus clientes y grupos de interés. Las empresas en Latinoamérica cada vez más encuentran en la seguridad de la información una forma para marcar la diferencia como socio estratégico del negocio 13. Además la continua evolución de las TICs exige que los nuevos ingenieros se adapten rápido a los cambios, a las tendencias del mercado y propone el planteamiento de nuevas soluciones. Para esto es vital contar con herramientas robustas para revisar el nivel de calidad y seguridad de las aplicaciones, generando por consiguiente nuevas oportunidades de trabajo en un área que continuamente exige la participación de profesionales en seguridad informática AMÓRTEGUI T. Diego J., Ciberseguridad y Ciberterrorismo [En línea], < [Citado el 02 de Septiembre de 2011] 12 CANO Jeimy J., Ciberseguridad y ciberdefensa: Dos tendencias emergentes en un contexto global [En línea], < [Citado el 02 de Septiembre de 2011] 13 ASOCIACIÓN DE INGENIEROS DE SISTEMAS, Seguridad de la información en Latinoamérica, Tendencias 2011 [En línea], < [Citado el 02 de Septiembre de 2011] 14 ASOCIACIÓN DE INGENIEROS DE SISTEMAS, Seguridad de la información en Latinoamérica, Tendencias 2011 [En línea], < [Citado el 02 de Septiembre de 2011] 11
15 Este proyecto busca obtener una metodología que pueda brindar beneficios tales como: Para las empresas que tienen presencia en la web, una herramienta metodológica que le permitirá determinar que vulnerabilidades posee la aplicación web. Para los Ingenieros de sistemas y auditores de Sistemas, una herramienta útil para su trabajo que lo mantendrá a la vanguardia de las nuevas exigencias del mercado. Para la academia, un punto de partida que enriquecerá el contenido del área de Auditoria de Sistemas. 12
16 4. OBJETIVO GENERAL Y ESPECÍFICOS 4.1 OBJETIVO GENERAL Desarrollar una propuesta metodológica para determinar la seguridad en una aplicación web. 4.2 OBJETIVOS ESPECÍFICOS Analizar los conceptos y fundamentos de seguridad en aplicaciones web. Determinar los tipos de vulnerabilidades en las aplicaciones web. Determinar que herramientas existen actualmente para detección de vulnerabilidades en aplicaciones web. Determinar las características principales de algunas metodologías existentes para la seguridad en aplicaciones web. Documentar la propuesta metodológica para determinar la seguridad en una aplicación web. 13
17 5. MARCO REFERENCIAL 5.1 MARCO TEÓRICO APLICACIÓN WEB En Inge acceso a través de un navegador Web sobre una red, ya sea Internet o una Intranet. Es de agregar que las aplicaciones web son codificadas en un lenguaje soportado por un navegador (Mozilla Firefox, Google Chrome, Internet Explorer, entre otros). Una Aplicación Web es un tipo especial de aplicación Cliente/Servidor, en el que el Cliente (Navegador Web), el Servidor (Servidor Web) y el Protocolo (HTTP) canal de comunicación están estandarizados y no es creado por el programador de aplicaciones 15. Ilustración 1 - Arquitectura Cliente Servidor 16 El Cliente, gestiona las peticiones del usuario y la recepción de las páginas que provienen del servidor, igualmente, interpreta los documentos HTML y sus recursos. El Servidor, es el programa residente que espera peticiones: demonio (Daemon) en Unix y Servicio en servidores de Microsoft. En el servidor se encuentran 15 Luján Mora Sergio, Programación en Internet: Clientes Web, Editorial Club Universitario, Pág Ingeniería de Requerimientos, Arquitectura de Tres Capas [En línea], < [Citado el 5 de Septiembre de 2011] 14
18 páginas estáticas, Scripts o programas que al ser invocados se ejecutan y dan como resultado una página HTML 17. Actualmente existen diferentes lenguajes de programación para hacer desarrollos en la web, estos han ido surgiendo de acuerdo a las tendencias y necesidades de las plataformas. En el inicio del Internet las aplicaciones web creadas fueron realizadas mediantes lenguajes estáticos, posteriormente con el desarrollo y el avance de nuevas tecnologías surgen nuevas necesidades que dio lugar al desarrollo de Lenguajes Dinámicos de Programación que utilizan Bases de Datos y permiten interactuar con los usuarios. LENGUAJES WEB 18 En programación un lenguaje es un conjunto de símbolos y reglas que permiten desarrollar programas definiendo su estructura, expresiones y significado de sus elementos. Esto sin lugar a dudas permite facilitar la tarea de programación, ya que posibilita ser leídos y escritos por personas representando los códigos de manera simbólica. Ilustración 2 - Lenguajes de Programación Web HTML: Es el lenguaje de marcado predominante para la construcción de páginas web. Es usado para describir la estructura y el contenido en forma de tex to, así como para complementar el texto con objetos tales como imágenes 19. JavaScript: Es un lenguaje de scripting orientado a objetos utilizado para acceder a objetos en aplicaciones. Se utiliza principalmente, integrado en un navegador 17 Universidad de Alicante, Qué es una aplicación Web [En línea], < [Citado el 5 de Septiembre de 2011] 18 Wikispaces, Lenguajes de Programación [En línea], < [Citado el 5 de Septiembre de 2011] 19 CODEBOX, Glosario [En línea], < [Citado el 5 de Septiembre de 2011] 15
19 web permitiendo el desarrollo de interfaces de usuario mejoradas y páginas web dinámicas 20. PHP: Es un lenguaje de programación utilizado para la creación del sitio web. PHP es un lenguaje de script interpretado en el lado del servidor utilizado para la generación de páginas web dinámicas, embebidas en páginas HTML y ejecutadas en el servidor. PHP no necesita ser compilado para ejecutarse. Para su funcionamiento necesita tener instalado Apache con las librerías de PHP. La mayor parte de su sintaxis ha sido tomada de C, Java y Perl con algunas características específicas 21. Python: Es lenguaje de programación que busca principalmente la facilidad para hacer las cosas, este no maneja tipos (lo hace automáticamente), lo cual facilita la vida al programador, además el código no es compilado sino interpretado. En el siguiente gráfico se explica cómo funciona una aplicación web. De manera general, el cliente hace una solicitud al Servidor Web y éste la procesa, entregándole código HTML, éste puede ser estático (No se genera el código HTML desde un lenguaje de programación sino que directamente se entrega éste) ó dinámico (generado a través de lenguajes de programación web como JAVA, ASP.NET, PHP, entre otros), luego el código HTML es interpretado por el cliente (navegador Web) y es mostrado de manera amigable al Usuario Final. Ilustración 3 - Funcionamiento de una Página Web PORTAL HACKER, Programación en General [En línea], < [Citado el 6 de Septiembre de 2011] 21 New Web Star, Los diferentes lenguajes de programación para la web [En línea], < [Citado el 6 de Septiembre de 2011] 22 Ingeniería de Requerimientos, Arquitectura de Software [En línea], < [Citado el 7 de Septiembre de 2011] 16
20 5.1.2 SEGURIDAD INFORMÁTICA El objetivo de la seguridad informática será mantener la integridad, disponibilidad, privacidad (sus aspectos fundamentales), control y autenticidad de la información manejada por computadora 23. Ilustración 4 - Seguridad Informática 24 Así pues, la seguridad Informática no es otra cosa que la capacidad de salvaguardar intacta y protegida la información en un sistema informático. Sin embargo, la seguridad Informática abarca mucho más que la protección de la información, pero sin duda es ésta el activo más atractivo para los hackers, teniendo en cuenta que la información es la base económica de las empresas. La Seguridad Informática se basa en tres principios fundamentales: Confidencialidad Integridad Disponibilidad La confidencialidad es la seguridad de que los datos no son vistos por personas ajenas a la organización y que no tienen permiso para ello. Así pues, para controlar la confidencialidad de los datos se requiere la verificación y autorización. 23 ALDEGANI, Gustavo. Miguel. Seguridad Informática. MP EDICIONES. ARGENTINA Pág SOFTTRON NET, Seguridad Informática [En línea], < [Citado el 7 de Septiembre de 2011] 17
21 La Integridad se centra en que la información no sea manipulada, alterada o cambiada por el sistema que la almacena o por entes externos no autorizados. Para mantener la Integridad de la información entre quien envía y quien recibe, se emplean técnicas criptográficas de cifrado que aseguran que la información no es modificada 25. La Disponibilidad, según el Programa MAGERIT, es el grado en que la información está en el lugar, momento y forma en que es requerido por personal autorizado, es decir, un sistema seguro debe mantener la información disponible para los usuarios que la requieran. Un posible método de ataque a un sistema informático es la denegación de servicio, que es lo opuesto a la disponibilidad, esto significa que el usuario no puede obtener del sistema los recursos requeridos GESTIÓN DE RIESGO EN LA SEGURIDAD INFORMÁTICA 27 La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo para posteriormente implementar mecanismos que permitan controlarlo. La Gestión de Riesgo se divide en cuatro fases, Análisis, Clasificación, Reducción y Control, las cuales se citan a continuación: Ilustración 5 - Gestión de Riesgos 25 ASENSIO, Gonzalo. Seguridad en Internet, EDITORIAL NOWTILUS, Pág AGUILERA, Purificación. Seguridad Informática, EDITORIAL EDITEX, Pág ERB, Markus, Gestión de Riesgo en la Seguridad Informática [En línea], < [Citado el 7 de Septiembre de 2011] 18
22 Análisis: En la fase de análisis se determina los componentes del sistema que requieren protección, las vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el objetivo de revelar su grado de riesgo. Por lo tanto al identificar las vulnerabilidades y las amenazas del sistema, permitirá conocer los riesgos potenciales que atentan la seguridad del sistema. Clasificación: En la fase de Clasificación se determina si los riesgos encontrados y los riesgos restantes son aceptables. Reducción: En la fase de Reducción se define e implementa las medidas de protección y de igual forma se sensibiliza y capacita a los usuarios conforme a las necesidades. Control: En la fase de Control se analiza el funcionamiento, la efectividad y el cumplimiento de las medidas y si es el caso ajustarlas ANALISIS DE RIESGOS 28 Cuando se quiere dotar de seguridad a un sistema informático es necesario determinar los elementos o activos que requieren protección, identificar el nivel de vulnerabilidad de cada uno frente a determinadas amenazas y valorar el impacto que un ataque ocasionaría sobre el sistema informático. Los activos son los recursos que pertenecen al sistema de información, se pueden clasificar en: Datos: Los datos son el núcleo (core) de la organización, toda empresa u organización depende de sus datos y éstos pueden ser: Económicos, fiscales, recurso humano, clientes o proveedores. Software: Son el conjunto de aplicaciones instaladas que se encuentran en los equipos, que hacen parte del sistema de información, estas aplicaciones reciben, gestionan o transforman los datos. Hardware: Conjunto de equipos (Servidores y Terminales) que contienen las aplicaciones y permiten su funcionamiento, de igual manera almacenan los datos del sistema de información. Redes: Representa la vía de comunicación y transmisión de datos. 28 AGUILERA, Purificación. Seguridad Informática, EDITORIAL EDITEX, Pág
23 Soportes: Son los lugares donde la información queda registrada y almacenada durante un periodo de tiempo o de manera permanente: Tarjetas de memoria, Discos duros, DVD, CD. Personal: Está conformado por las personas que interactúan con el sistema de información: Programadores, Administradores, Usuarios internos y externos. Estudios calculan que se producen más fallos de seguridad por intervención humana que por los fallos de software. AMENAZAS Una amenaza es la presencia de uno o más factores (Personas, máquinas o sucesos) que de tener la oportunidad atacan al sistema aprovechando el nivel de vulnerabilidad y causando daños sustanciales. Existen diferentes tipos de amenazas que pueden afectar el sistema, entre las cuales se encuentran las amenazas físicas, ambientales, software malicioso, robo, destrucción o modificación de la información, errores intencionados o no de los usuarios, entre otros. Según el origen las amenazas se clasifican en: Accidentales: Las amenazas pueden ser incendios, inundaciones, fallos en los equipos, en redes, sistemas operativos o en software, errores humanos. Intencionadas: Las amenazas intencionadas son debidas a la acción humana, ejemplo de ello son la inyección de software malicioso, intrusión informática, robo o hurto. Este tipo de amenaza puede ser originada desde fuera de la empresa o dentro de la misma organización. Según el daño o intervención las amenazas se pueden clasificar en 4 grupos: Interrupción, interceptación, Modificación y Fabricación. Interrupción: El objetivo de ésta amenaza es deshabilitar el acceso a la información. Esta amenaza se puede llevar a cabo destruyendo componentes físicos como el disco duro, saturando los canales de comunicación o bloqueando el acceso a los datos. Interceptación: La Interceptación es el acceso no autorizado a un determinado recurso del sistema con el objetivo de captar información confidencial de la organización. 20
24 Modificación: Esta amenaza no solo accede a la información sino que además la modifica. Fabricación: Esta amenaza agrega información falsa en el conjunto de información del sistema. Para poder realizar un análisis de riesgo en un sistema de información es necesario: i. Ejecutar un proceso secuencial de análisis de activos. ii. Identificar las vulnerabilidades. iii. Identificar y valorar las amenazas. iv. Identificar las medidas de seguridad existentes. v. Identificar los objetivos de seguridad de la información en la organización. vi. Determinar la medición de los riesgos, el impacto del ataque. vii. Seleccionar las medidas de protección CONTROL DE RIESGOS Luego de realizar un análisis de los riesgos es necesario determinar qué servicios posee el sistema de información y cuales quedan al descubierto para posteriormente aplicar mecanismos de seguridad que permitan dotar al sistema de elementos suficientes para cumplir con los objetivos de la organización Servicios de Seguridad Entre los servicios de seguridad se encuentran: Integridad: La integridad asegura que los datos del sistema de información no han sido alterados por personas no autorizadas y el contenido de los mensajes recibidos es el correcto. Confidencialidad: La confidencialidad por su parte proporciona protección contra la revelación voluntaria o accidental de los datos en una comunicación. Disponibilidad: La disponibilidad permite que la información esté disponible cuando la requiera personal autorizado. Autenticación: La autenticación se refiere a que el sistema debe ser capaz de verificar que un usuario identificado que accede a un sistema de información es efectivamente quien dice ser. 21
25 No repudio: El no repudio consiste en no poder negar haber emitido una información que sí se emitió y en no poder negar su recepción, cuando sí fue recibida. Control de acceso: En el control de acceso solo podrán acceder a recursos del sistema usuarios con autorización Mecanismos De Seguridad Los mecanismos de seguridad se clasifican según la función que desempeñen, estos pueden ser Preventivos, Detectores o Correctores. Preventivos: Los mecanismos preventivos actúan antes de que se produzca un ataque, su misión principal es evitar el ataque. Detectores: Los mecanismos detectores actúan cuando el ataque se ha efectuado y antes de que éste cause daños en el sistema. Correctores: Los mecanismos correctores actúan después de que se ha presentado un ataque y se haya producido daños. Su principal objetivo es el de corregir las consecuencias del daño. Existen otros mecanismos de seguridad que dependen del sistema de información, de su función y de los riesgos a los que se expone el sistema, entre los cuales se encuentran los mecanismos de seguridad físicos y lógicos. Los Mecanismos de Seguridad Físicos y Lógicos tienen como misión prevenir, detectar o corregir ataques al sistema, asegurando que los servicios de seguridad queden cubiertos. a) Seguridad Física: Su objetivo es proteger al sistema de peligros físicos y lógicos. Un ejemplo de ellos son los dispositivos físicos de protección como los pararrayos, detectores de humo, cortafuegos por hardware, etc. Y por otro lado se encuentran las copias de respaldo o copias de seguridad de la información. b) Seguridad Lógica: Su principal objetivo es proteger digitalmente la información. A continuación se citan algunos de ellos: Control de acceso: Utilizando nombres de usuario y contraseña. 22
26 Cifrado de datos: Los datos se enmascaran utilizando algoritmos de encriptación. Fortalece la confidencialidad. Antivirus: Estos detectan e impiden la entrada de virus y software malicioso. Protege la integridad de la información. Cortafuegos: Los cortafuegos son dispositivos de software, hardware o mixtos que restringen el acceso al sistema. Protege la integridad de la información. Firma digital: Es utilizada para la transmisión de mensajes telemáticos y en la gestión de documentos electrónicos. Protege la integridad y confidencialidad de la información. Certificados digitales: Son documentos digitales que garantizan que una persona es quien dice ser. Protege la Integridad y confidencialidad de la información. Las redes inalámbricas necesitan precauciones adicionales tales como el usar un SSID (Service Set Identifier) que no es otra cosa que darle un nombre a la red, preferiblemente un nombre que no llame mucho la atención. Otra precaución es proteger la red mediante claves encriptadas WPA (Wifi Protected Access). Y por último el Filtrado de direcciones MAC (Media Access Control), este es un mecanismo de acceso al sistema mediante hardware, el cual solo admite determinadas direcciones HERRAMIENTA DE ANÁLISIS Y GESTIÓN DE RIESGOS Los objetivos y normas de seguridad están recopilados en las Políticas de seguridad de cualquier organización Política de Seguridad La política de seguridad recopila los objetivos de la organización en materia de seguridad del sistema de información, los cuales se encuentran categorizados en cuatro grupos. a) El primero de ellos es identificar las necesidades de seguridad y los riesgos que amenazan el sistema de información y de igual forma evaluar el impacto frente a un eventual ataque. 23
27 b) Tomar todas las medidas de seguridad que deban implementarse para afrontar los riesgos de cada activo. c) Determinar las reglas y los procedimientos que deben aplicarse para afrontar los riegos. d) Detectar todas las vulnerabilidades del sistema de información y controlar los fallos que se producen en los activos. e) Por último definir un plan de contingencia Auditoría La Auditoría es un examen minucioso de un sistema de información, que permite identificar y corregir vulnerabilidades en los activos que lo conforman y en los procesos que se realizan. La finalidad de la Auditoría es verificar que se cumplan los objetivos de la Política de Seguridad de la organización, así pues proporciona una imagen real y actual del estado de seguridad de un sistema de información. Luego de realizar una Auditoría, es decir, de realizar un análisis e identificar vulnerabilidades, el Auditor elabora un informe que debe contener una descripción de los activos y procesos analizados, una evaluación de las vulnerabilidades detectadas, una verificación del cumplimiento de la normatividad y una propuesta de medidas preventivas y correctivas. Existen herramientas para evaluar la seguridad en un sistema de información, éstas pueden ser manuales o software específico para auditoría. Con respecto a las Manuales, éstas pueden ser por observación directa de los activos, mediciones, cuestionarios, entrevistas, pruebas de funcionamientos entre otras. La herramienta de software de Auditoría se le conoce por las siglas CAAT (Computer Assisted Audit Techniques), éstas ayudan a mejorar la eficiencia de una Auditoría, ya que proporcionan una imagen total o parcial en tiempo real de un sistema de información; emitiendo luego un informe de las vulnerabilidades encontradas Plan de Contingencia El Plan de Contingencia contiene las medidas preventivas y de recuperación frente a cualquier tipo de amenaza. Estas pueden ser de tres tipos: 24
28 Plan de Respaldo: En el plan de respaldo se aplican medidas preventivas ante cualquier amenaza para evitar que se produzcan daños. Por ejemplo, Copias de respaldo. Plan de Emergencia: En el plan de emergencia se determina qué medidas tomar cuando se está materializando una amenaza o cuando acaba de producirse. Por ejemplo, restaurar las copias de seguridad. Plan de Recuperación: En el plan de recuperación se indican las medidas que se aplicarán cuando se ha producido un desastre. El objetivo principal es evaluar el impacto y regresar a un estado normal de funcionamiento del sistema Modelos de Seguridad Un modelo de seguridad es la expresión formal de una política de seguridad y se utiliza como directriz para evaluar los sistemas de información. Los modelos de seguridad se pueden clasificar en tres grupos: a) Matriz de acceso. Considera tres elementos básicos: el sujeto, objeto y tipo de acceso, es decir, un sujeto tiene o no permisos de acceso a un objeto del sistema. De esta manera se controla la integridad y confidencialidad de los datos. b) Acceso basado en funciones de control (RBAC Role Access Base Control): en este caso el acceso no se define en función de quién es el sujeto sino de qué función tiene. Este modelo controla la confidencialidad y la integridad de los datos. c) Multinivel. Se basa en la jerarquización de los datos, es decir, todos los datos son importantes, pero unos son más privados que otros. 25
29 El siguiente mapa conceptual resume a groso modo la Seguridad Informática: Ilustración 6 - Resumen Seguridad Informática 26
30 5.1.3 SEGURIDAD EN APLICACIONES WEB 29 La organización Open Web Application Security Project (OWASP) elaboró una guía para construir Aplicaciones Web Seguras y Servicios Web Seguros. Esta guía toma en cuenta desde las vulnerabilidades más antiguas como la Inyección SQL, hasta las más actuales como suplantación de identidad, sesiones, el cumplimiento de reglas y cuestiones de privacidad. Esto con el objetivo de ayudar a los desarrolladores, revisores de código, arquitectos de Software, entre otros, a tener pautas para evitar éstos problemas en el desarrollo, como otros mecanismos para hacer de las aplicaciones web más seguras. Principalmente la guía tiene en cuenta seguridad en aplicaciones Web y servicios, con ejemplos en los lenguajes de programación: J2EE, ASP.NET, PHP. La guía para construir Aplicaciones y servicios Web Seguros está compuesta por los siguientes ítems: Ilustración 7 - Mapa de la guía para construir aplicaciones y servicios web seguros 29 OWASP Foundation, guía para construir aplicaciones y servicios web seguros [En línea], < [Citado el 12 de Septiembre de 2011] 27
31 5.1.4 VULNERABILIDADES EN LA WEB 30 Son todos aquellos problemas de seguridad que afectan las páginas web, por lo general estos problemas permiten modificación y extracción de la información, lo cual es muy grave para las organizaciones; la mayoría de éstos son registrados por medio de un identificador de CVE (Common Vulnerabilty Exposure), él cual es un diccionario de los problemas de seguridad encontrados en la Internet. A continuación se hablará de algunas de ellas: a) CROSS SITE SCRIPTING (XSS): Es una técnica Hacking que permite a un atacante explotar vulnerabilidades en aplicaciones web e inyectar scripts del lado del cliente en éstas. Un ataque exitoso puede permitir al atacante secuestrar sesiones de usuario, robar información sensible o cambiar información en el sitio web. Hay dos tipos principales de XSS: No persistente ó reflejado Persistente ó almacenado El no persistente ó reflejado. Este ataque es uno de los más comunes, la raíz de la vulnerabilidad es el manejo inapropiado (falta de validación) de solicitudes de datos HTTP por el código del servidor, permitiendo a los sitios maliciosos reflejar código malicioso y atacar a otros usuarios. El principal vector de ataque es usualmente un mensaje de correo que contiene una URL maliciosa, cuando el usuario da clic en la URL, el código malicioso es ejecutado. Esta vulnerabilidad aprovecha el concepto de arquitectura cliente servidor (Servidor WEB Navegador Web), el navegador ejecuta el código porque cree que es el código original y no uno alterado. El persistente o almacenado. Este ataque no requiere usuarios que den clic en una URL con el fin de ejecutar código malicioso. En este caso el código es capaz de vivir en el servidor vulnerable y está embebido en el código HTML. Una vez más, este tipo de ataque es el resultado directo de validaciones pobres en el lado del servidor, lo que permite forzar entradas maliciosas que pueden ser mostradas en el sitio web. Este tipo de ataque es particularmente riesgoso, no solo porque no requiere una intervención directa del usuario sino porque tiene un alcance global más peligroso. 30 HP DVLabs, The 2011 Mid-Year top cyber security risks report [En línea], < [Citado el 12 de Septiembre de 2011] 28
32 b) INYECCIÓN DE CÓDIGO SQL (SQL Injection): Esta vulnerabilidad surge de las malas prácticas de programación en las solicitudes HTTP (POST y GETs), así un atacante aprovecha el mal manejo de éstas, inyectando código SQL adicional, por ejemplo: consultas SQL y el atacante puede aprovecharse para modificar la consulta y sacar información. c) EJECUCIÓN DE COMANDOS (Command Execution): Este tipo de vulnerabilidad toma ventaja de la falta de validación en las entradas en un sitio web, donde el atacante puede correr comandos del sistema operativo en la aplicación web vulnerada. Generalmente, esta vulnerabilidad permite aprovechar, que los datos de usuario son pasados como parámetros a operaciones de entrada y salida, para así añadir comandos de sistema operativo por medio de caracteres especiales como pipe ( ). d) DESBORDAMIENTO DE BUFFER (Buffer Overflow): Es un ataque que ocurre cuando un usuario malicioso sobrecarga la memoria del sistema temporal (llamada buffer) para causar estragos en la máquina de la víctima. A menudo, los atacantes también incluyen código de instrucción para aprovechar más la vulnerabilidad, como por ejemplo ejecutar código malicioso, acceder o modificar datos confidenciales o incluso enviar información al atacante. e) DENEGACIÓN DE SERVICIO (DoS): Es un tipo de vulnerabilidad que permite a un atacante agotar los recursos informáticos de un sistema, por medio de millones de solicitudes, agotando recursos como CPU, Memoria, acceso a la red, que imposibilitan el acceso a dicho sistema. Este ataque tiene una variante llamada Ataque de Denegación de Servicio Distribuido (DDoS), en el cual varios computadores infectados con virus atacan el servidor objetivo desde muchos lugares. 29
33 f) CROSS-SITE REQUEST FORGERY (CSRF 31 ): Es un ataque que fuerza a la victima a cargar una página que contiene una solicitud maliciosa, es maliciosa en el sentido en que hereda la identidad y privilegios de la victima para ejecutar acciones no deseadas en ella, como por ejemplo, cambiar la dirección de correo de la víctima, la dirección del hogar, o la contraseña. g) INCLUSIÓN REMOTA DE ARCHIVOS (Remote File Inclusion 32 ): por ejemplo: librerías $incfile = $_REQUEST["pag"]; include($incfile.".php"); Si observamos desde la URL: El valor asignado a pag es pagina1.php, pero imaginemos si en lugar de pagina1.php hubiera un link hacia otro sitio que tenga una web Shell, algo como: Lo cual posibilitaría la ejecución de comandos, modificación del sitio, entre otros. 31 OWASP Foundation, Cross-Site Request Forgery (CSRF) [En línea], < [Citado el 13 de Septiembre de 2011] 32 The Web Application Security Consortium, Remote File Inclusion [En línea], < [Citado el 13 de Septiembre de 2011] 30
34 5.1.5 HERRAMIENTAS DE PRUEBAS DE INTRUSIÓN HERRAMIENTAS DE ANALISIS DE SISTEMA OPERATIVO Y SERVICIOS a) OPENVAS (Open Vulnerability Assessment System), es un framework de código abierto que analiza a profundidad que vulnerabilidades poseen los servicios que tiene instalado un Sistema Operativo, éste genera un reporte de utilidad que posteriormente se usa para parchear y corregir los problemas de seguridad de éstos. La siguiente gráfica muestra el cliente de Conexión de OpenVas, para iniciar sesión con el usuario y contraseña. Ilustración 8 - Cliente OPENVAS para buscar vulnerabilidades 33 b) NESSUS, es un escáner de vulnerabilidades que ofrece diariamente actualizaciones sobres problemas de seguridad, posibilitando analizar qué tipo 33 La bitácora de Gabriel, Instalando OpenVas [En línea], < [Citado el 13 de Septiembre de 2011] 31
35 de problemas se encuentran en nuestros sistemas, para posteriormente parcharlos. Nessus posee un cliente para Windows y Linux. Este cliente se conecta al Servidor Nessus y agrega los hosts objetivo para buscar las vulnerabilidades. En la siguiente imagen se observa el cliente para Windows, donde el símbolo : Ilustración 9 - Cliente Nessus para buscar vulnerabilidades 34 c) NMAP, es una herramienta para escanear que servicios están disponibles y en que puertos, es muy útil para descubrir qué tipo de Sistema Operativo tiene el host analizado, como también que versiones de servicios y software tiene instalado. 34 ClubHACKMag, Nessus [En línea], < [Citado el 14 de Septiembre de 2011] 32
36 En la siguiente imagen podemos observar un escaneo con nmap a los hosts scanme.nmap.org y d0ze, el parámetro -A es para habilitar la detección de Sistema Operativo y -T4 para una ejecución rápida. Ilustración 10 - Escaneo de Servicios con NMAP LYON, Gordon, Nmap [En línea], < [Citado el 14 de Septiembre de 2011] 33
37 HERRAMIENTAS PARA EXPLOTAR VULNERABILIDADES WEB a) NIKTO 36 Es un escáner de código abierto que lleva a cabo múltiples pruebas exhaustivas en los servidores web, incluyendo alrededor de 6400 archivos cgi potencialmente peligrosos, revisa además alrededor de 1200 versiones desactualizadas de servidores, y problemas específicos de más de 270 servidores. Éste también chequea la configuración y opciones del servidor, para tratar de identificar que software trae instalado, como también la versión del servidor web. El parámetro -h específica el host o dominio objetivo como podemos ver en la siguiente gráfica: Ilustración 11 - Escaneo de una aplicación Web con NIKTO INC CIRT, Nikto [En línea], < [Citado el 14 de Septiembre de 2011] 37 ientry Network, Nikto Core version 2.01 Released [En línea], < [Citado el 19 de Septiembre de 2011] 34
38 b) SQLMAP 38 Es una herramienta de prueba de intrusión para automatizar el proceso de detección y explotación de fallas de inyección SQL, con el fin de tomar el control de la base de datos. Éste viene con un poderoso motor de detección que posee una amplia gama de pruebas, para acceder al sistema operativo y ejecutar consultas SQL. La herramienta se ejecuta de la siguiente manera: python sqlmap.py -u Donde -u es la URL o el enlace y --dbs es para enumerar las bases de datos disponibles. Ilustración 12 - Ataque de Inyección SQL con SQLMAP SQLMAP Developers, SQLMAP [En línea], < [Citado el 19 de Septiembre de 2011] 39 Hack Community, How to hack almost every site with sqlmap [En línea], < [Citado el 19 de Septiembre de 2011] 35
39 c) SQLNINJA 40 El principal objetivo de esta herramienta es explotar las vulnerabilidades de inyección SQL en aplicaciones Web que utilizan Microsoft SQL Server. Sqlninja se diferencia de otras herramientas, debido a que ellas están centradas a extraer información, en cambio Sqlninja se centra en conseguir una Shell interactiva con el servidor de bases de datos. Para poder iniciar el ataque es necesario configurar el archivo sqlninja.conf que se encuentra en el mismo directorio de la herramienta, de la siguiente forma: host = # Host a atacar port = 80 # Puerto method = GET # Método HTTP GET page = /default.asp # Página principal del aplicativo stringstart = id=1; # Variable GET y su valor de iniciación stringend = lhost = # IP donde se ejecuta el análisis msfpath = /opt/metasploit3/msf3/ # Path de metasploit Framework Luego desde la consola ejecutamos: #./sqlninja -m test En la siguiente gráfica se observa el resultado de la ejecución del comando: Ilustración 13 - Resultado del Ataque de Inyección SQL con SQLNINJA 41 d) XSSer 42 que automatiza la detección y explotación, para reportar vulnerabilidades XSS en aplicaciones web. Además posee varias 40 ICESURFER, SQLNINJA [En línea], < [Citado el 19 de Septiembre de 2011] 41 Selvi Savater, Jose, SQLNINJA [En línea], < [Citado el 20 de Septiembre de 2011] 42 XSSer Workgroup, XSSer [En línea], < [Citado el 20 de Septiembre de 2011] 36
CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesAtaques XSS en Aplicaciones Web
Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesCapítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable
Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable 1. Introducción. El Sistema de Administración de Información de un Negocio Franquiciable (SAINF)
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesMaterial adicional del Seminario Taller Riesgo vs. Seguridad de la Información
Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones
Más detallesArquitectura de seguridad OSI (ISO 7498-2)
Universidad Nacional Autónoma de México Facultad de Ingeniería Criptografía Grupo 2 Arquitectura de seguridad OSI (ISO 7498-2) ALUMNOS: ARGUETA CORTES JAIRO I. MENDOZA GAYTAN JOSE T. ELIZABETH RUBIO MEJÍA
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesGuía de doble autenticación
Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.
Más detallesRequisitos de control de proveedores externos
Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,
Más detallesServicios de Seguridad de la Información
Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos
Más detallesCómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.
El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones
Más detalles100% Laboratorios en Vivo
100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de
Más detallesCapítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN
CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesSISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT
SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesModulo I. Introducción a la Programación Web. 1.1 Servidor Web.
Modulo I. Introducción a la Programación Web. 1.1 Servidor Web. Antes de analizar lo que es un servidor Web y llevara a cabo su instalación, es muy importante identificar diferentes elementos involucrados
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE SOPORTE DE PLATAFORMA GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO El objeto del procedimiento es garantizar una plataforma tecnológica y un sistema de comunicación
Más detallesRETO FORENSE EPISODIO III Resumen Ejecutivo
RETO FORENSE EPISODIO III Resumen Ejecutivo José Antonio Valero Sánchez javalero@gmail.com Zaragoza, España 2006 Motivos de la intrusión. Después de analizar la imagen del sistema cabe destacar que el
Más detallesEstándares para el Uso de Herramientas de Desarrollo y Plataformas de Aplicaciones Web
Secretaría de Planificación Estratégica Oficina de Informática Estándares para el Uso de Herramientas de Desarrollo y Plataformas de Aplicaciones Web VERSIÓN 4 Julio 2009 Índice 1. Generalidades... 3 1.1
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detalles1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades
Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características
Más detallesSeguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.
Seguridad en Administración de Redes INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos. Administración de Seguridad en Redes La administración
Más detallesPropuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA
Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA Documento de trabajo elaborado para la Red Temática DocenWeb: Red Temática de Docencia en Control mediante Web (DPI2002-11505-E)
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesModificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.
UNIVERSIDAD DE CARABOBO FACULTAD DE CIENCIA Y TECNOLOGÍA DIRECCION DE EXTENSION COORDINACION DE PASANTIAS Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere. Pasante:
Más detalles3-ANÁLISIS DE VULNERABILIDADES
3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna
Más detallesInfraestructura Tecnológica. Sesión 10: Sistemas cortafuego
Infraestructura Tecnológica Sesión 10: Sistemas cortafuego Contextualización Actualmente tendemos a utilizar los sistemas de comunicación en una forma masiva, por lo que no siempre tenemos el cuidado adecuado
Más detallesSEGURIDAD Y PROTECCION DE FICHEROS
SEGURIDAD Y PROTECCION DE FICHEROS INTEGRIDAD DEL SISTEMA DE ARCHIVOS ATAQUES AL SISTEMA PRINCIPIOS DE DISEÑO DE SISTEMAS SEGUROS IDENTIFICACIÓN DE USUARIOS MECANISMOS DE PROTECCIÓN Y CONTROL INTEGRIDAD
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesINFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO 2015-1
INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO 2015-1 A continuación haremos una descripción de los pasos con que cuenta nuestra metodología de la evaluación
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesLa utilización de las diferentes aplicaciones o servicios de Internet se lleva a cabo respondiendo al llamado modelo cliente-servidor.
Procesamiento del lado del servidor La Programación del lado del servidor es una tecnología que consiste en el procesamiento de una petición de un usuario mediante la interpretación de un script en el
Más detallesPresentación. Porqué formarte con nosotros?
Presentación Un Hacker Ético es un profesional dotado de habilidades para encontrar las debilidades o vulnerabilidades en los sistemas utilizando el mismo conocimiento y herramientas que un hacker malicioso,
Más detallesCORPORACIÓN MEXICANA DE INVESTIGACIÓN EN MATERIALES, S.A. DE CV
Página 1 de 6 1. OBJETIVO El presente documento tiene la finalidad de citar los beneficios de la migración de la herramienta de análisis de riesgo, mantenimiento e inspección que en lo sucesivo se denominará
Más detallesPOLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE
SISTEMAS DE ÍNDICE PÁGINA INTRODUCCIÓN OBJETIVO 3 FUNDAMENTO LEGAL 4 DEFINICIONES 5 POLÍTICAS 6 De la base de datos Del acceso a los sistemas De los sistemas Web Ambientes de Desarrollo, Calidad o Pruebas,
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesContenido - 2. 2006 Derechos Reservados DIAN - Proyecto MUISCA
Contenido 1. Introducción...3 2. Objetivos...4 3. El MUISCA Modelo Único de Ingresos, Servicio y Control Automatizado...4 4. Ingreso a los Servicios Informáticos Electrónicos...5 4.1. Inicio de Sesión
Más detallesQué son y cómo combatirlas
Redes zombies Qué son y cómo combatirlas Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesAPLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS
MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO
Más detalles"Diseño, construcción e implementación de modelos matemáticos para el control automatizado de inventarios
"Diseño, construcción e implementación de modelos matemáticos para el control automatizado de inventarios Miguel Alfonso Flores Sánchez 1, Fernando Sandoya Sanchez 2 Resumen En el presente artículo se
Más detallesDiseño dinámico de arquitecturas de información
Diseño dinámico de arquitecturas de información CARACTERISTICAS DEL SISTEMA Las organizaciones modernas basan su operación en la gestión del conocimiento, es decir, en el manejo de información que se presenta
Más detallesInfraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor
Infraestructura Tecnológica Sesión 5: Arquitectura cliente-servidor Contextualización Dentro de los sistemas de comunicación que funcionan por medio de Internet podemos contemplar la arquitectura cliente-servidor.
Más detallesLa importancia de las pruebas de penetración (Parte I)
Publicado en Revista.Seguridad (http://revista.seguridad.unam.mx) Inicio > La importancia de las pruebas de penetración (Parte I) La importancia de las pruebas de penetración (Parte I) Por Erika Gladys
Más detallesMetasploit framework, al igual que nessus, su versión paga es mucho más informática que la gratuita.
Ethical Hacking en modo Gráfico Herramientas para hacking ético hay muchas, las profesionales o pagas ofrecen informes mucho más detallados que las no pagas, pero ambas nos dan un indicio de que es lo
Más detallesResumen de los protocolos de seguridad del Registro Telemático
Resumen de los protocolos de seguridad del Registro Telemático Página 1 de 8 1 Introducción... 3 2 Criterios de... 4 2.1 Gestión global de la seguridad... 4 2.2 Política de seguridad... 4 2.2.1 Autenticidad...
Más detallesAuditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.
Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de
Más detallesPRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE
PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,
Más detallesCapítulo 5. Cliente-Servidor.
Capítulo 5. Cliente-Servidor. 5.1 Introducción En este capítulo hablaremos acerca de la arquitectura Cliente-Servidor, ya que para nuestra aplicación utilizamos ésta arquitectura al convertir en un servidor
Más detallesVisión General de GXportal. Última actualización: 2009
Última actualización: 2009 Copyright Artech Consultores S. R. L. 1988-2009. Todos los derechos reservados. Este documento no puede ser reproducido en cualquier medio sin el consentimiento explícito de
Más detallesCAPITULO IV. HERRAMIENTAS DE CÓDIGO ABIERTO
CAPITULO IV. HERRAMIENTAS DE CÓDIGO ABIERTO En la actualidad la mayoría de las grandes empresas cuentan con un sin número de servicios que ofrecen a sus trabajadores y clientes. Muchos de estos servicios
Más detallesInfraestructura Tecnológica. Sesión 8: Configurar y administrar almacenamiento virtual
Infraestructura Tecnológica Sesión 8: Configurar y administrar almacenamiento virtual Contextualización Como sabemos, actualmente los servicios y medios de almacenamiento de información son muy variados,
Más detallesBeneficios estratégicos para su organización. Beneficios. Características V.2.0907
Herramienta de inventario que automatiza el registro de activos informáticos en detalle y reporta cualquier cambio de hardware o software mediante la generación de alarmas. Beneficios Información actualizada
Más detallesSUPLEMENTO EUROPASS AL TÍTULO
SUPLEMENTO EUROPASS AL TÍTULO DENOMINACIÓN DEL TÍTULO Técnico Superior en Desarrollo de Aplicaciones Web --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Más detallesPreguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información
Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detallesEntidad Certificadora y Políticas Pertinentes
Entidad Certificadora y Políticas Pertinentes Seguridad de Sistemas Departamento de Informática Universidad Técnica Federico Santa María Nicolás Troncoso Carrère ntroncos@alumnos.inf.utfsm.cl Valparaíso,
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesOffensive State Auditoría de Aplicaciones Web
Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4
Más detallesCapítulo 2. Planteamiento del problema. Capítulo 2 Planteamiento del problema
Capítulo2 Planteamientodelproblema 38 2.1Antecedentesycontextodelproyecto En lo que respecta a los antecedentes del proyecto, se describe inicialmente el contexto donde se utiliza el producto de software.
Más detallesDescripción. Este Software cumple los siguientes hitos:
WWWMONITORDBACOM Descripción Este Software cumple los siguientes hitos: a- Consola de Monitoreo b- Envío de Alertas (correo, SMS) c- Gestión de Eventos desatendidos (sea capaz ejecutar script de solución
Más detallesSeminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets
Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 1 de 12 Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 3 Bienvenida. 4 Objetivos. 5 Interacciones de Negocios
Más detallesIntroducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas
Más detallesQué es una página web?, qué conoces al respecto?, sabes crear una página
Semana 13 13 Empecemos! Bienvenidos a una nueva sesión, llena de aprendizajes! En semanas anteriores estudiamos lo que son bases de datos, estructuras de datos y métodos de ordenamientos, todo lo cual
Más detallesIntroducción a la Firma Electrónica en MIDAS
Introducción a la Firma Electrónica en MIDAS Firma Digital Introducción. El Módulo para la Integración de Documentos y Acceso a los Sistemas(MIDAS) emplea la firma digital como método de aseguramiento
Más detallesCondiciones de servicio de Portal Expreso RSA
Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados
Más detallesFAMILIA PROFESIONAL: Informática y Comunicación CICLO SUPERIOR DESARROLLO DE APLICACIONES MULTIMEDIA DAM 350 HORAS
FAMILIA PROFESIONAL: Informática y Comunicación CICLO SUPERIOR DESARROLLO DE APLICACIONES MULTIMEDIA DAM 350 HORAS Resultados de aprendizaje y criterios de evaluación 1. Identificar la estructura y organización
Más detallesResumen del trabajo sobre DNSSEC
Resumen del trabajo sobre Contenido 1. -...2 1.1. - Definición...2 1.2. - Seguridad basada en cifrado...2 1.3. - Cadenas de confianza...3 1.4. - Confianzas...4 1.5. - Islas de confianza...4 2. - Conclusiones...5
Más detallesSistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA)
Sistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA) Agenda 1. Introducción 2. Concepto Documento Electrónico 3. A que se le denomina Documento Electrónico 4. Componentes de un Documento Electrónico
Más detallesGuía de Apoyo Project Web Access. (Jefe de Proyectos)
Guía de Apoyo Project Web Access (Jefe de Proyectos) 1 ÍNDICE Contenido INTRODUCCIÓN... 3 CAPITULO I: ELEMENTOS INICIALES DE PROJECT WEB ACCESS... 4 Configuración General... 4 Área de Trabajo del Proyecto...
Más detallesIntroducción a las Redes de Computadoras. Obligatorio 2 2011
Introducción a las Redes de Computadoras Obligatorio 2 2011 Facultad de Ingeniería Instituto de Computación Departamento de Arquitectura de Sistemas Nota previa - IMPORTANTE Se debe cumplir íntegramente
Más detallesPráctica de Seguridad en Redes
Práctica de Seguridad en Redes Juan Boubeta Puig y Antonio García Domínguez Seguridad y Competencias Profesionales Departamento de Ingenieria Informatica Universidad de Cadiz Curso 2012-2013 1. Descripción
Más detallesInfraestructura Tecnológica. Sesión 2: Mejoras adicionales al servidor de archivos
Infraestructura Tecnológica Sesión 2: Mejoras adicionales al servidor de archivos Contextualización Los servidores como cualquier equipo de cómputo pueden contar con varias mejoras con las que se pueden
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesHacking ético y Seguridad en Red
TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...
Más detallesINTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesCONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL
CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.
Más detallesPOLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización
POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA Nuestra política de privacidad se aplica al uso de las aplicaciones informáticas de los siguientes medios de comunicación: LaTercera, LaCuarta,
Más detallesENFOQUE ISO 9000:2000
ENFOQUE ISO 9000:2000 1 PRESENTACION En 1980 la IOS (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION) organismo de origen europeo, enfoco sus esfuerzos hacia el establecimiento de lineamientos en términos
Más detallesALERTA ANTIVIRUS: RECOMENDACIONES
ALERTA ANTIVIRUS: RECOMENDACIONES REDESNA Informática S.L. ofrece a sus clientes las siguientes recomendaciones para mantener el sistema informático alejado de los virus. Esperamos que te sea útil! 1.-
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesVENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL.
VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL. MIGUEL HUGO CAMARGO MARTINEZ RESUMEN RESPONSABILIDAD DEL REVISOR FISCAL EN EL CONTROL INTERNO
Más detallesGENERALIDADES DE BASES DE DATOS
GENERALIDADES DE BASES DE DATOS A fin de evitar que idénticos datos se encuentren repetidos en múltiples archivos, parece necesario que los comunes se almacenen en un archivo único y que este archivo sea
Más detallesSEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA
2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias
Más detallesLABORATORIO 10. COPIAS DE SEGURIDAD, RESTAURACIÓN Y RECUPERACIÓN DE UNA BD
LABORATORIO 10. COPIAS DE SEGURIDAD, RESTAURACIÓN Y RECUPERACIÓN DE UNA BD GUÍA DE LABORATORIO Nº 1O Actividad de Proyecto No. 12: ESTABLECER PLANES DE RESGUARDO, RESTAURACION Y CONTINGENCIA. Copias de
Más detallesDIPLOMADO EN SEGURIDAD INFORMATICA
DIPLOMADO EN SEGURIDAD INFORMATICA Modulo 9: Soporte Computacional Clase 9_3:Protocolos de comunicación y conectividad de arquitecturas multiplataforma. Director Programa: César Torres A Profesor : Claudio
Más detallesLA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA
Más detallesINTRODUCCION. Tema: Protocolo de la Capa de aplicación. FTP HTTP. Autor: Julio Cesar Morejon Rios
INTRODUCCION Tema: Protocolo de la Capa de aplicación. FTP HTTP Autor: Julio Cesar Morejon Rios Qué es FTP? FTP (File Transfer Protocol) es un protocolo de transferencia de archivos entre sistemas conectados
Más detallesInformática 4º ESO Tema 1: Sistemas Informáticos. Sistemas Operativos (Parte 2)
1. Qué es un sistema operativo?...2 2. Funciones de los sistemas operativos...2 3. Windows...2 3.1. La interfaz gráfica...2 3.2. La administración y los usuarios...3 3.3. El sistema de archivos...3 3.4.
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detalles