Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS"

Transcripción

1 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005

2 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Introducción Descripción General de la Metodología Utilizada Detalle de las tareas realizadas Principales vulnerabilidades de Seguridad en el Sistema Financiero Hondureño Actividades a Corto Plazo

3 Introducción Objetivos: Brindar un servicio de consultoría en seguridad informática de los riesgos externos (Internet) e internos en que pueden verse involucrados los equipos de cómputo de las Instituciones Financieras supervisadas por la CNBS. Determinar si la información crítica de las Instituciones en términos de disponibilidad, integridad y confidencialidad está expuesta y altamente en riesgo. Determinar si existen políticas de seguridad a nivel institucional que protejan el activo información. Determinar si existe segmentación en las redes.

4 Introducción Objetivos: Determinar si la navegación en Internet por los usuarios de la red interna se realiza de manera segura. Determinar si existen Procesos de Traslado de Desarrollo a Producción. Determinar si existen Procesos de Respaldo y Restauración. Fomentar la conciencia de Seguridad a nivel nacional.

5 Metodología: Introducción El análisis se desarrolla mediante la ejecución de ataques y técnicas de penetración a sistemas informáticos (Hacking ético). Lo que realmente hacemos es reproducir ataques informáticos a los cuales pueden verse sometidas las instituciones supervisadas y si logramos penetrar los servidores de las instituciones podremos realizar las recomendaciones técnicas oportunas. Excepciones: Previendo no afectar el funcionamiento de los equipos y servicios no se efectúan ataques de denegación de servicios.

6 Información Requerida: Introducción Los ataques realizados desde la red interna se llevan a cabo sin ningún usuario autorizado, únicamente con una dirección IP válida de la red. En cuanto a los ataques desde Internet, estos se realizan sin ningún conocimiento previo es decir a partir de cero. Entregable: Al final la auditoría se le entrega un reporte a la institución, el reporte presenta un resumen ejecutivo de las principales debilidades encontradas en materia de seguridad informática. El reporte también incluye los detalles de los puntos débiles encontrados y las respectivas recomendaciones.

7 Descripción General de la Metodología Es necesario conocer y tratar de pensar cómo actúan los atacantes y piratas informáticos para ser capaces recomendar soluciones acerca de la seguridad de la información. Evaluar la configuración de la red tanto privada como pública, determinando la forma en como estas dos redes se interconectan, verificar si existe segmentación. Identificar si existen dispositivos que garanticen la privacidad de la red Interna de la institución ante la amenaza de ataques externos. Determinar si existen Políticas de Seguridad a nivel institucional y evaluar si están definidas y aplicadas en los equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.)

8 Descripción General de la Metodología Verificar que los equipos de seguridad estén configurados de tal forma que no permitan transferencia de información que ponga en riesgo la red Interna, como ser transferencias de Zonas DNS, publicación de Direcciones IP, retransmisión de paquetes a solicitud de ataques de HACKERS etc. Identificar si la institución cuenta con un Sistema de Detección o Prevención de Intrusos, Antivirus Corporativo, Filtros de contenido, Servidores de Actualización etc. 8vyaleh31&d ktu.dtrw8743$fie*n3h

9 Descripción General de la Metodología Evaluar las políticas de acceso a información externa, y el nivel de monitoreo de las mismas, a fin de establecer el nivel de riesgo a que puede verse expuesta la red privada. Identificar y evaluar los mecanismos de alerta y notificación de los aspectos que se consideran irregulares dentro de la administración del sistema.

10 Descripción General de la Metodología Evaluación de los Dispositivos Verificar que los Sistemas Operativos hayan sido instalados de acuerdo a las recomendaciones de hardware, configuraciones especiales y Parches necesarios que estén definidos para la plataforma que se ha instalado. Verificar que todas las versiones de software instalado, se encuentren actualizadas a la última versión del mismo, o que contengan todas las actualizaciones que el fabricante haya puesto a disponibilidad de esa plataforma y versión. Verificar que la configuración de los servidores se encuentre ajustada a las necesidades de la empresa, esto es que no mantenga activo servicios y protocolos que la empresa no pretenda usar.

11 Descripción General de la Metodología Evaluación de los dispositivos Verificar que hayan sido deshabilitados todos aquellos usuarios que el sistema, base de datos u otro software aplicativo en uso, hayan definido por defecto, y que no serán de utilidad. Verificar que exista un software antivirus corporativo actualizado, que garantice la integridad del software y datos críticos de la institución. Verificar que exista un plan de respaldo y recuperación tanto a nivel de política establecida así como a nivel del sistema.

12 Descripción General de la Metodología Evaluación de los dispositivos Evaluar si se utilizan protocolos que transmiten los datos en claro, de ser así estos deben ser reemplazados por protocolos que encriptan la información. Verificar si existen usuarios definidos en el sistema que no deberían existir, por ejemplo usuarios invitados o usuarios creados por intrusos, así como programas con código malicioso como troyanos o puertas traseras (Informática Forense). Verificar si está activa la auditoría en los equipos principales, servidores o dispositivos de red.

13 Descripción General de la Metodología Evaluación de los dispositivos Revisar los permisos que tienen cada uno de los usuarios tanto a nivel de Directorios y archivos como a nivel de comandos, servicios y protocolos. Verificar que existan políticas de seguridad de contraseñas definidas en el sistema, esto es para minimizar el riesgo de penetración, por ejemplo se debe establecer como política de seguridad el forzar a cambiar regularmente las contraseñas y el establecer tiempos de caducidad de las mismas Verificar que las contraseñas sean robustas y que se hayan modificado las contraseñas que vienen por omisión tanto en los sistemas operativos como en los programas de administración instalados Evaluar que el acceso físico a los servidores esté restringido

14 Descripción General de la Metodología Estaciones de Trabajo Verificar que estén aplicados los parches de seguridad mas recientes del sistema operativo y software instalados El Software antivirus debe estar actualizado No deben existir carpetas compartidas Verificar que no esté instalado software que pueda poner el riesgo el funcionamiento de la red o la información misma

15 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna 1. Seguridad de Protocolos TCP/IP En esta fase se pretende obtener información sobre los servidores de la organización que serán atacados. Una vez que sabemos cuáles son los servidores y sus sistemas operativos realizamos conexiones a los mismos utilizando usuarios y contraseñas que vienen por omisión en cada sistema operativo, si alguno de ellos no ha sido modificado habremos penetrado sin ningún problema.

16 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Se realiza un rastreo de puertos tanto de los servidores como de los dispositivos de comunicaciones, es a través de estos puertos que se intenta realizar la penetración. Herramienta utilizada: nmap Una vez determinados cuáles son los puertos abiertos en cada equipo, procedemos a explotar las vulnerabilidades conocidas de cada puerto y servicio tcp o udp.

17 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Intentamos averiguar para cada servidor y equipo de comunicación los siguientes datos: las interfaces de red conectadas los recursos compartidos los servicios instalados cuentas de usuario redes conectadas direcciones Mac Rutas Conexiones Activas

18 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Se determina si algún dispositivo tiene activo el protocolo SNMP y si está configurado con las contraseñas de comunidad por omisión, si es así podremos tomar control total sobre el dispositivo. Herramienta utilizada: SolarWinds Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3 (Podemos averiguar la contraseña de correo de todos los usuarios), snmp, telnet etc.

19 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Herramienta utilizada: Brutus Un ataque de diccionario consiste en probar una combinación de todos los usuarios y contraseñas posibles basados en un diccionario. Un ataque de fuerza bruta consiste en probar una combinación de todos los usuarios y contraseñas posibles basados en todos los caracteres disponibles.

20 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Ataques a Protocolos Utilizar un rastreador de redes, mediante estos aplicaciones podemos ver todo el tráfico de información que circula a través de la red, con el objetivo de capturar información valiosa como las contraseñas de los administradores, también podemos capturar contraseñas de protocolos como POP3, telnet, FTP, SNMP,Oracle SQL*Net etc. Herramientas utilizadas: Ethereal + Ettercap, Cain, Iris Recomendaciones: No utilizar protocolos que transmiten la información en claro, utilizar por ejemplo el protocolo SSH en lugar de FTP ytelnet, El SSH transmite la información en forma cifrada.

21 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna 2. Información del Objetivo Dibujar un diagrama de la red, esto nos dará un amplio panorama de la estructura y situación actual de la red. Herramientas utilizadas: Cheops, Networkview Si los sistemas operativos y los programas instalados en servidores y equipos de comunicación no están actualizados y parchados, es posible acceder al archivo de contraseñas para luego descifrarlos localmente.

22 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Existen muchos métodos para obtener estos archivos dependiendo de la vulnerabilidad no parchada y del sistema operativo, también existen varias herramientas para descifrar las contraseñas. Herramientas utilizadas: enum, pwdump, john the ripper. Existe una serie de ataques que pueden hacerse contra servidores y equipos no parchados, por ejemplo ataques de buffer Overflow.

23 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Buffer Overflow (Programas que provocan un desbordamiento de la memoria y retornan un shell del Sistema Operativo) Recomendaciones: Establecer políticas que permitan mantener actualizados y parchados los recursos informáticos de la red. Proteger los archivos importantes relacionados a la seguridad, tanto a nivel de sistemas operativos como de datos. Establecer políticas de creación y cambio de contraseñas con el fin de dificultar la averiguación de las mismas.

24 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Determinar todas las carpetas compartidas dentro de la red, estas representan un foco de infección de virus y de pérdida de información, utilizamos programas que además de listar las carpetas compartidas averigua las contraseñas en segundos. Recomendación: Establecer una política de seguridad que prohíba la creación de carpetas compartidas.

25 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna 3. Ataques a Servidores Verificar la existencia de servicios que estén mal configurados desde el punto de vista de la seguridad, así como la existencia de servicios innecesarios para la empresa, por ejemplo el IIS v5 instala programas ejemplo que permiten navegar ( y modificar) en el disco duro del Web Server de la compañía, o cualquier otro servidor que tenga instalado el IIS. Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, Netcat, Metaexploit.

26 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Recomendación: Hacer un inventario de todos los servicios instalados a fin de determinar cuáles son necesarios y cuáles no. Revisar la configuración de los servicios existentes. Análisis de los siguientes puntos: Ataques vía ODBC Revisión de existencia de Puertas Traseras Emuladores de terminales (Configuración) Revisar los privilegios asignados a los usuarios Determinar si existen cuentas que pertenezcan a usuarios que ya no trabajan en la empresa. Verificar si es posible que los usuarios actuales tienen la posiblidad de Elevación de Privilegios

27 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa 4. Establecimiento del objetivo En esta fase se busca obtener la mayor información general disponible de la víctima, información como direcciones IP externas, nombres de los responsables técnicos de la institución, sistemas operativos y sus versiones, etc. Para realizar esta actividad realizamos búsquedas en Internet de información relacionada con la empresa, por ejemplo podemos determinar las páginas que tengan enlaces al sitio de la víctima o listar todas las páginas que componen el sitio Internet de la empresa.

28 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Otra información que podemos obtener es la lista de servidores de la empresa, con esto podremos determinar cuál es servidor de correo, el firewall, el DNS, el Web Server, etc. Herramienta utilizada: Nslookup También obtenemos información como cuál es el proveedor de Internet de la organización, el sistema operativo del Web server, el historial de cambios de direcciones IP o de proveedor de internet y datos acerca de un posible sitio seguro que utilice el protocolo https. Herramienta utilizada:

29 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Intentamos averiguamos para cada servidor y equipos de comunicación datos tales como los siguientes: las interfaces de red conectadas los recursos compartidos los servicios instalados cuentas de usuario redes conectadas direcciones Mac Rutas Conexiones Activas También intentamos determinar si algún dispositivo tiene activo el protocolo SNMP y están configuradas las contraseñas por omisión, si es así podremos tomar control total sobre el dispositivo.

30 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3, snmp, telnet, etc. También se determinan las vulnerabilidades existentes para los puertos y protocolos disponibles y se intenta penetrar a través de las mismas. Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, Netcat, Metaexploit.

31 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Ataques a las aplicaciones de Internet Verificar si las aplicaciones de Internet son susceptibles a ataques de: SQL Injection Cross-Site Scripting Secuestro de Sesiones válidas Ataques de diccionario y/o Fuerza bruta Algunas Recomendaciones: Validar todos los campos de entrada Almacenar en bitácora todas las transacciones realizadas por los usuarios No escribir contraseñas o claves para descifrar contraseñas dentro del código Las aplicaciones no deben efectuar sentencias directamente a la base de datos

32 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Algunas Recomendaciones: El proceso de encripción de las contraseñas debe incluir una llave de encripción propia de la institución mas datos particulares del usuario (Valor SALT), de tal forma que la contraseña almacenada no sea simplemente el resultado del algoritmo de encripción y de esta forma protegerla contra ataques de diccionario o fuerza bruta. La identificación o administración de la sesión debe ser llevada a cabo por la aplicación y no por el Servidor de Internet La base de datos debe estar en un servidor separado del Servidor de Internet o servidor de aplicaciones. Las aplicaciones deben asegurar que ningún parámetro con información útil para un posible atacante viaje a través del navegador del cliente y así evitar que estos parámetros puedan ser manipulados, esto incluye las consultas a nivel de URL.

33 Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional En general no existe conciencia de Seguridad Informática a nivel nacional No existe un Área de Seguridad dedicada a tiempo completo a proteger la disponibilidad, integridad y confidencialidad de la información No existen políticas de seguridad a nivel institucional que protejan el activo información No existe segmentación en la arquitectura de la red, los servidores de producción están en el mismo segmento de red que las estaciones de trabajo. No existe control sobre las carpetas compartidas en la red

34 Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional En algunas instituciones no existe un sistema automatizado que permita las actualizaciones de seguridad en los sistemas operativos La navegación a Internet se realiza desde la red interna lo cual expone tanto la red interna como todas las redes a las cuales esté conectado el usuario En algunas instituciones no están instalados Sistemas de Prevención o Detección de Intrusos a nivel de red. No existe una correcta separación de los ambientes de desarrollo y producción Configuraciones de servidores y equipos de comunicación sin controles de seguridad En algunas instituciones es posible que un atacante ingrese a la red interna desde Internet

35 Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional Lo anterior conlleva un sinnúmero de riesgos entre los que se destacan la sustracción, eliminación o modificación de la información sensitiva del banco, por ejemplo es posible obtener el archivo de contraseñas de los usuarios de la aplicación de banca electrónica, descifrarlas e ingresar al sistema con usuarios válidos, habilitando al atacante a realizar transferencias bancarias o cualquier servicio disponible en el sitio de la institución. Se utilizan protocolos a nivel de red que envían información en claro la cual puede ser interceptada por cualquier usuario y de esta forma obtener contraseñas o cualquier tipo de información que ponga en peligro la seguridad de la información de la institución

36 Actividades a Corto Plazo Actualmente la CNBS está creando la primera Normativa para el Sistema Financiero en relación a la Seguridad Informática, la normativa pretende regular los aspectos mas relevantes de la seguridad informática en las instituciones del sistema financiero nacional: Crear un Área de Seguridad Informática Regular la documentación tecnológica Generar registros de auditoría Outsourcing de Tecnologías de Información Generación de políticas de Seguridad

37 Actividades a Corto Plazo Regular la confidencialidad de la información: (1) Identificación y autentificación, (2) Privacidad y confidencialidad, (3) Integridad y disponibilidad, y (4) No-repudio. Regular la Arquitectura de Red Regular la Banca Electrónica Respaldo y Recuperación

38 Actividades a Corto Plazo Actualmente la CNBS está creando el Área de Seguridad Informática que se encargará entre otras funciones de: Generar políticas de Seguridad a nivel de la CNBS: Uso de Internet Uso del Correo Electrónico Uso de las estaciones de Trabajo Proceso Antivirus Adquisición de Hardware y Software Seguridad de Contraseñas Seguridad de la Información Sensitiva Seguridad de Servidores Seguridad de equipos de comunicación Seguridad en redes inalámbricas (Si existen) Seguridad en Redes con Terceros Acceso y Configuración remotos.

39 Actividades a Corto Plazo Entregar prototipos de Políticas de Seguridad a las instituciones del Sistema Financiero Nacional. Desarrollar Normativa hacia las Instituciones del Sistema Financiero Nacional referente a los controles de Seguridad mínimo en el proceso de Comercio Electrónico y arquitectura de Redes. Llevar a cabo pruebas de penetración periódicas (Hacking ético) a las redes externas e internas de la CNBS y de las Instituciones para descubrir vulnerabilidades de Seguridad y realizar las recomendaciones respectivas.

40 Actividades a Corto Plazo Involucrase en el diseño de los Sistemas de Información Internos de la CNBS para garantizar que el código de los programas se desarrolle tomando en cuenta la Seguridad de la Información. Reacción, en conjunto con la División de Operaciones, ante incidentes de Seguridad dentro de las redes de la CNBS y las Instituciones del sistema Financiero Nacional. Crear un ambiente y una cultura de Seguridad a nivel del Sistema Financiero Nacional y la CNBS, para esto se deben llevar a cabo campañas de concientización a los usuarios en el tema de la importancia de la Seguridad de la Información.

41 Taller Demostrativo Servidor de Agencia ROUTER Switch de Agencia Servidor de Base de Datos Switch de Oficina Principal Controlador de Dominio PC del Administrador de la Red

42 Taller Demostrativo Conexión TCP Syn Syn tack PC A Ack PC B

43 Muchas Gracias por su Atención!

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA Mayo 2008 CAPITULO DECIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Kalio.Server... Servicio de Productividad

Kalio.Server... Servicio de Productividad Kalio.Server... Servicio de Productividad Kalio.Server Servicio de Productividad 2 Tabla de contenido... Kalio.Server... Servicio de Productividad... Tabla de contenido...2 Descripción... 3 Ejemplo de

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Sistemas de Computación Archivos de Red. 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio

Sistemas de Computación Archivos de Red. 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio Sistemas de Computación Archivos de Red 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio NFS Características: Provee un acceso transparente a un Sistema de Archivos

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012) Características generales. La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA TEMA 3. REDES Y SEGURIDAD INFORMÁTICA REDES INFORMÁTICAS. 1. Qué ventajas tiene usar ordenadores en red, frente al trabajo aislado? 2. Explica la diferencia entre el área de alcance de una red LAN y una

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Protección de su Red

Protección de su Red Protección de su Red Ing. Teofilo Homsany Gerente General SOLUTECSA PaiBlla Mall, Local 45. Telefono: +507.209.4997 E mail: ventas@solucionesdetecnologia.com Áreas vulnerables de su red Gateway (entrada

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

OBJETIVOS. Seguridad en el SID. INTERNET E INTRANET ÍNDICE MODELO DE RED CORPORATIVA. Tema VII

OBJETIVOS. Seguridad en el SID. INTERNET E INTRANET ÍNDICE MODELO DE RED CORPORATIVA. Tema VII OBJETIVOS Tema VII Seguridad en el SID. INTERNET E INTRANET Identificar problemas de seguridad en los SID. Estudiar las características de los cortafuegos y aprender a seleccionarlos. Funciones de los

Más detalles

SOLICITUD PRIVADA DE OFERTAS 2015-142 ADQUISICIÓN DE HARDWARE Y SOFTWARE PARA LA PERSONERÍA DE MEDELLÍN ADENDA 3

SOLICITUD PRIVADA DE OFERTAS 2015-142 ADQUISICIÓN DE HARDWARE Y SOFTWARE PARA LA PERSONERÍA DE MEDELLÍN ADENDA 3 SOLICITUD PRIVADA DE OFERTAS 2015-142 ADQUISICIÓN DE HARDWARE Y SOFTWARE PARA LA PERSONERÍA DE MEDELLÍN ADENDA 3 Mediante la presente Adenda se modifica el siguiente aspecto: ANEXO 3. ESPECIFICACIONES

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS Vicepresidencia de Infraestructura Gerencia Planeación Infraestructura y Servicios TABLA DE CONTENIDO 1. OBJETIVO...

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Gestión de la Seguridad Informática

Gestión de la Seguridad Informática Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Dispositivos de Red Hub Switch

Dispositivos de Red Hub Switch Dispositivos de Red Tarjeta de red Para lograr el enlace entre las computadoras y los medios de transmisión (cables de red o medios físicos para redes alámbricas e infrarrojos o radiofrecuencias para redes

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA CÓDIGO: APO4-P-002 FECHA DE VIGENCIA 05/Feb/2014 1. OBJETIVO Proveer, mantener y garantizar

Más detalles

CAPITULO 14 SEGURIDAD EN LA RED

CAPITULO 14 SEGURIDAD EN LA RED CAPITULO 14 SEGURIDAD EN LA RED Seguridad en la red La palabra seguridad de acuerdo con el Diccionario American Heritage es sinónimo de garantía y garantizar. Según el diccionario de la Real Academia seguridad

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR)

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) Sistema Unificado de Control en Tiempo Real - SUCTR: El sistema unificado de control en tiempo real, en adelante SUCTR, es un sistema de administración

Más detalles

Norma de uso Identificación y autentificación Ministerio del Interior N02

Norma de uso Identificación y autentificación Ministerio del Interior N02 Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados

Más detalles

OBJETIVOS DE APRENDIZAJE

OBJETIVOS DE APRENDIZAJE PLAN DE ESTUDIOS: SEGUNDO CICLO ESPECIALIDAD COMPUTACIÓN 4 to AÑO CAMPO DE FORMACIÓN: ESPECIALIZACIÓN ÁREA DE ESPECIALIZACIÓN: EQUIPOS, INSTALACIONES Y SISTEMAS UNIDAD CURRICULAR: ADMINISTRACIÓN DE SISTEMAS

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección

Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección contra intrusos: Protección contra personas y/o programas.

Más detalles

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1

Más detalles

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO 1. POLÍTICA DE ACCESO PORTÁTILES SEDES EMTELCO.

DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO 1. POLÍTICA DE ACCESO PORTÁTILES SEDES EMTELCO. DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO Las siguientes políticas de seguridad son aplicables a los clientes, proveedores y/o terceros, que tengan alguna relación

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Técnicas de Hacking y Seguridad Luis Yagüe EFOR Temario Comparación de Sistemas Operativos desde el punto de vista de la Seguridad Informática Firewalls, Proxys, DMZs. Virus Informáticos

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX CAPITULO 7 CONCLUSIONES Y RECOMENDACIONES 1.- CONCLUSIONES Linux es un sistema operativo que requiere de altos conocimientos técnicos como programación, una alta cultura investigativa, curiosidad e iniciativa,

Más detalles

Diplomado en Seguridad Informática

Diplomado en Seguridad Informática Diplomado en Seguridad Informática Presentación SEGURO, RA (Del lat. securus). Adj. Libre y exento de todo peligro, daño o riesgo. 2. Cierto, indubitable, y en cierta manera infalible. 3. Firme, constante,

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas. El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.

Más detalles

Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica

Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica 2007 Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

Seguridad en Servicios de Hosting

Seguridad en Servicios de Hosting Tendencias de la Tecnología en Seguridad Informática 2009 Seguridad en Servicios de Hosting Juan Pablo Perez Etchegoyen jppereze@cybsec.com 16 de Septiembre de 2009 Buenos Aires - Argentina Agenda Introducción

Más detalles

Evaluación de los aprendizajes Elabora un cuadro comparativo con las principales características de los componentes básicos de una red de datos.

Evaluación de los aprendizajes Elabora un cuadro comparativo con las principales características de los componentes básicos de una red de datos. NÚCLEO: Sector Comercio y Servicios SUBSECTOR: Informática y comunicación Nombre del Módulo: REDES total: 90 horas Objetivo General: Desarrollar conocimientos teóricos/prácticos para el diseño, configuración

Más detalles

Adelantándose a los Hackers

Adelantándose a los Hackers 1 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 5 de Julio de 2001 Buenos Aires - ARGENTINA 2 Adelantándose a los Hackers Temario

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Políticas para Asistencia Remota a Usuarios

Políticas para Asistencia Remota a Usuarios Políticas para Asistencia Remota a I. OBJETIVO La presente política tiene como objetivo establecer las pautas, condiciones, responsabilidades y niveles de seguridad correspondientes en el uso de la herramienta

Más detalles

Política de Continuidad del Negocio de BME Clearing

Política de Continuidad del Negocio de BME Clearing Política de Continuidad del Negocio de BME Clearing Contenido 1. Introducción 1 2. Objetivos globales de la Política de Continuidad 1 3. Alcance de la Política de Continuidad del Negocio de BME CLEARING

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy Diplomado Desarrollo de Aplicaciones para Internet Ingeniero Germán A. Chavarro F., M.Sc Pontificia Universidad Javeriana Julio 2004 Qué

Más detalles

Guía de Seguridad en Redes Inalámbricas

Guía de Seguridad en Redes Inalámbricas Guía de Seguridad en Redes Inalámbricas INTRODUCCIÓN Las conexiones inalámbricas se han popularizado fuertemente los últimos años, tanto en el ámbito hogareño como en el corporativo y en los espacios públicos.

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

Julio C. Ardita, CISM jardita@cybsec.com. 9 de Abril de 2014

Julio C. Ardita, CISM jardita@cybsec.com. 9 de Abril de 2014 Experiencias i de Seguridad d en SAP Julio C. Ardita, CISM jardita@cybsec.com 9 de Abril de 2014 Agenda - Seguridad en la arquitectura - Seguridad en el SO y DB del entorno SAP - Seguridad a nivel técnico

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

GATEWAYS COMO FIREWALLS

GATEWAYS COMO FIREWALLS GATEWAYS COMO FIREWALLS Ricardo Sánchez Q. Estudiante Ingeniería Telemática Aunque las empresas que han experimentado un ataque a su red por mano de usuarios no deseados, son recientes a hablar sobre sus

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

Seguridad Informática

Seguridad Informática Pretende identificar las amenazas y reducir los riesgos al detectar las vulnerabilidades nulificando o minimizando así el impacto o efecto nocivo sobre la información de las personas (Voussets, 2013, p.

Más detalles

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX MÁSTER ONLINE EN ADMINISTRACIÓN LINUX Módulo 1 Hardware & Arquitectura de sistemas - 20 horas Este módulo permite conocer y configurar los elementos básicos del hardware del sistema, como también otros

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros

Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros 2004 I HOJA DE INFORMACION GENERAL CONTROL DOCUMENTAL: PROCEDIMIENTO:

Más detalles

Nombre C.C. Representante Legal EL USUARIO

Nombre C.C. Representante Legal EL USUARIO ESPECIFICACIONES DE CONECTIVIDAD A LOS SISTEMAS TRANSACCIONALES DE DERIVEX Y PARA AFILIADOS QUE UTILIZAN PANTALLAS INFORMATIVAS Nombre C.C. Representante Legal EL USUARIO TABLA DE CONTENIDO INTRODUCCION...

Más detalles

EEHC. Enhacke Ethical Hacking Certification

EEHC. Enhacke Ethical Hacking Certification EEHC Enhacke Ethical Hacking Certification Curso de Certificación de Hacking Ético ENHACKE S.A.C. Año 2010 ENHACKE ETHICAL HACKING CERTIFICATION EEHC INTRODUCCION El curso EEHC provee el conocimiento necesario

Más detalles

Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS. Jesús Losada - Jesús López - 2º ASIR

Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS. Jesús Losada - Jesús López - 2º ASIR Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS Jesús Losada - Jesús López - 2º ASIR Índice de contenidos Administración remota Acceso en modo texto Escritorio remoto Servidor de

Más detalles

DIPLOMADO EN SEGURIDAD INFORMATICA

DIPLOMADO EN SEGURIDAD INFORMATICA DIPLOMADO EN SEGURIDAD INFORMATICA Modulo 9: Soporte Computacional Clase 9_3:Protocolos de comunicación y conectividad de arquitecturas multiplataforma. Director Programa: César Torres A Profesor : Claudio

Más detalles

MANUAL DE PROCESOS Y PROCEDIMIENTOS UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES - TICS

MANUAL DE PROCESOS Y PROCEDIMIENTOS UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES - TICS MANUAL DE PROCESOS Y PROCEDIMIENTOS UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES - Guatemala, julio de 2011 1 CONTENIDO DEL MANUAL Sección Página Acrónimos 1 Mapa de macro procesos y relaciones

Más detalles

INFRAESTRUCTURA DE SERVIDORES MICROSOFT

INFRAESTRUCTURA DE SERVIDORES MICROSOFT INFRAESTRUCTURA DE SERVIDORES MICROSOFT TABLA DE CONTENIDO INTRODUCCION... 3 ESTRUCTURA PROGRAMATICA... 4 TEMA 1: ADMINISTRACION, SOPORTE Y MANTENIMIENTO DE WINDOWS SERVER 2008... 4 Preparar la administración

Más detalles

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red.

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red. Funciones de servidor La familia Windows Server 2003 ofrece varias funciones de servidor. Para configurar una función de servidor, instale dicha función mediante el Asistente para configurar su servidor;

Más detalles

DIPLOMADO DE INFRAESTRUCTURA DE SERVIDORES MICROSOFT

DIPLOMADO DE INFRAESTRUCTURA DE SERVIDORES MICROSOFT DIPLOMADO DE INFRAESTRUCTURA DE SERVIDORES MICROSOFT TABLA DE CONTENIDO INTRODUCCION... 3 ESTRUCTURA DEL DIPLOMADO... 4 TEMA 1: ADMINISTRACION, SOPORTE Y MANTENIMIENTO DE WINDOWS SERVER 2012... 4 Preparar

Más detalles

Qué es un firewall? cortafuegos firewall

Qué es un firewall? cortafuegos firewall FIREWALL Qué es un firewall? Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Arquitectura y seguridad

Arquitectura y seguridad En el desarrollo del SIGOB nos hemos enfrentado a diversos problemas que nos han llevado a investigar y desarrollar nuestras propias tecnologías. En este documento presentamos cada uno de los desarrollos

Más detalles

Servicios Administrados de Infraestructura

Servicios Administrados de Infraestructura Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio

Más detalles

Seguridad Informática: Introducción (II)

Seguridad Informática: Introducción (II) Seguridad Informática: Introducción (II) Jesús Moreno León j.morenol@gmail.com Septiembre 2010 Estas diapositivas son una obra derivada de los seminarios de formación impartidos por Marta Beltrán y Antonio

Más detalles

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

Guía de Seguridad en Redes Sociales

Guía de Seguridad en Redes Sociales Guía de Seguridad en Redes Sociales INTRODUCCIÓN Las redes sociales son parte de los hábitos cotidianos de navegación de gran cantidad de personas. Cualquier usuario de Internet hace uso de al menos una

Más detalles

Política de Seguridad

Política de Seguridad Firewalls y Seguridad en Internet Sin tener en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 138 Viernes 10 de junio de 2011 Sec. I. Pág. 59197 ANEXO III I. IDENTIFICACIÓN DEL CERTIFICADO DE PROFESIONALIDAD Denominación: Seguridad informática Código: IFCT0109 Familia Profesional: Informática

Más detalles

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red Protección perimetral para su red local por ALBA Software SIE Firewall es un sistema pensado para proteger la red de su empresa de posibles ataques de Internet. El firewall actua de barrera separando la

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS

Más detalles