Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS"

Transcripción

1 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005

2 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Introducción Descripción General de la Metodología Utilizada Detalle de las tareas realizadas Principales vulnerabilidades de Seguridad en el Sistema Financiero Hondureño Actividades a Corto Plazo

3 Introducción Objetivos: Brindar un servicio de consultoría en seguridad informática de los riesgos externos (Internet) e internos en que pueden verse involucrados los equipos de cómputo de las Instituciones Financieras supervisadas por la CNBS. Determinar si la información crítica de las Instituciones en términos de disponibilidad, integridad y confidencialidad está expuesta y altamente en riesgo. Determinar si existen políticas de seguridad a nivel institucional que protejan el activo información. Determinar si existe segmentación en las redes.

4 Introducción Objetivos: Determinar si la navegación en Internet por los usuarios de la red interna se realiza de manera segura. Determinar si existen Procesos de Traslado de Desarrollo a Producción. Determinar si existen Procesos de Respaldo y Restauración. Fomentar la conciencia de Seguridad a nivel nacional.

5 Metodología: Introducción El análisis se desarrolla mediante la ejecución de ataques y técnicas de penetración a sistemas informáticos (Hacking ético). Lo que realmente hacemos es reproducir ataques informáticos a los cuales pueden verse sometidas las instituciones supervisadas y si logramos penetrar los servidores de las instituciones podremos realizar las recomendaciones técnicas oportunas. Excepciones: Previendo no afectar el funcionamiento de los equipos y servicios no se efectúan ataques de denegación de servicios.

6 Información Requerida: Introducción Los ataques realizados desde la red interna se llevan a cabo sin ningún usuario autorizado, únicamente con una dirección IP válida de la red. En cuanto a los ataques desde Internet, estos se realizan sin ningún conocimiento previo es decir a partir de cero. Entregable: Al final la auditoría se le entrega un reporte a la institución, el reporte presenta un resumen ejecutivo de las principales debilidades encontradas en materia de seguridad informática. El reporte también incluye los detalles de los puntos débiles encontrados y las respectivas recomendaciones.

7 Descripción General de la Metodología Es necesario conocer y tratar de pensar cómo actúan los atacantes y piratas informáticos para ser capaces recomendar soluciones acerca de la seguridad de la información. Evaluar la configuración de la red tanto privada como pública, determinando la forma en como estas dos redes se interconectan, verificar si existe segmentación. Identificar si existen dispositivos que garanticen la privacidad de la red Interna de la institución ante la amenaza de ataques externos. Determinar si existen Políticas de Seguridad a nivel institucional y evaluar si están definidas y aplicadas en los equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.)

8 Descripción General de la Metodología Verificar que los equipos de seguridad estén configurados de tal forma que no permitan transferencia de información que ponga en riesgo la red Interna, como ser transferencias de Zonas DNS, publicación de Direcciones IP, retransmisión de paquetes a solicitud de ataques de HACKERS etc. Identificar si la institución cuenta con un Sistema de Detección o Prevención de Intrusos, Antivirus Corporativo, Filtros de contenido, Servidores de Actualización etc. 8vyaleh31&d ktu.dtrw8743$fie*n3h

9 Descripción General de la Metodología Evaluar las políticas de acceso a información externa, y el nivel de monitoreo de las mismas, a fin de establecer el nivel de riesgo a que puede verse expuesta la red privada. Identificar y evaluar los mecanismos de alerta y notificación de los aspectos que se consideran irregulares dentro de la administración del sistema.

10 Descripción General de la Metodología Evaluación de los Dispositivos Verificar que los Sistemas Operativos hayan sido instalados de acuerdo a las recomendaciones de hardware, configuraciones especiales y Parches necesarios que estén definidos para la plataforma que se ha instalado. Verificar que todas las versiones de software instalado, se encuentren actualizadas a la última versión del mismo, o que contengan todas las actualizaciones que el fabricante haya puesto a disponibilidad de esa plataforma y versión. Verificar que la configuración de los servidores se encuentre ajustada a las necesidades de la empresa, esto es que no mantenga activo servicios y protocolos que la empresa no pretenda usar.

11 Descripción General de la Metodología Evaluación de los dispositivos Verificar que hayan sido deshabilitados todos aquellos usuarios que el sistema, base de datos u otro software aplicativo en uso, hayan definido por defecto, y que no serán de utilidad. Verificar que exista un software antivirus corporativo actualizado, que garantice la integridad del software y datos críticos de la institución. Verificar que exista un plan de respaldo y recuperación tanto a nivel de política establecida así como a nivel del sistema.

12 Descripción General de la Metodología Evaluación de los dispositivos Evaluar si se utilizan protocolos que transmiten los datos en claro, de ser así estos deben ser reemplazados por protocolos que encriptan la información. Verificar si existen usuarios definidos en el sistema que no deberían existir, por ejemplo usuarios invitados o usuarios creados por intrusos, así como programas con código malicioso como troyanos o puertas traseras (Informática Forense). Verificar si está activa la auditoría en los equipos principales, servidores o dispositivos de red.

13 Descripción General de la Metodología Evaluación de los dispositivos Revisar los permisos que tienen cada uno de los usuarios tanto a nivel de Directorios y archivos como a nivel de comandos, servicios y protocolos. Verificar que existan políticas de seguridad de contraseñas definidas en el sistema, esto es para minimizar el riesgo de penetración, por ejemplo se debe establecer como política de seguridad el forzar a cambiar regularmente las contraseñas y el establecer tiempos de caducidad de las mismas Verificar que las contraseñas sean robustas y que se hayan modificado las contraseñas que vienen por omisión tanto en los sistemas operativos como en los programas de administración instalados Evaluar que el acceso físico a los servidores esté restringido

14 Descripción General de la Metodología Estaciones de Trabajo Verificar que estén aplicados los parches de seguridad mas recientes del sistema operativo y software instalados El Software antivirus debe estar actualizado No deben existir carpetas compartidas Verificar que no esté instalado software que pueda poner el riesgo el funcionamiento de la red o la información misma

15 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna 1. Seguridad de Protocolos TCP/IP En esta fase se pretende obtener información sobre los servidores de la organización que serán atacados. Una vez que sabemos cuáles son los servidores y sus sistemas operativos realizamos conexiones a los mismos utilizando usuarios y contraseñas que vienen por omisión en cada sistema operativo, si alguno de ellos no ha sido modificado habremos penetrado sin ningún problema.

16 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Se realiza un rastreo de puertos tanto de los servidores como de los dispositivos de comunicaciones, es a través de estos puertos que se intenta realizar la penetración. Herramienta utilizada: nmap Una vez determinados cuáles son los puertos abiertos en cada equipo, procedemos a explotar las vulnerabilidades conocidas de cada puerto y servicio tcp o udp.

17 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Intentamos averiguar para cada servidor y equipo de comunicación los siguientes datos: las interfaces de red conectadas los recursos compartidos los servicios instalados cuentas de usuario redes conectadas direcciones Mac Rutas Conexiones Activas

18 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Se determina si algún dispositivo tiene activo el protocolo SNMP y si está configurado con las contraseñas de comunidad por omisión, si es así podremos tomar control total sobre el dispositivo. Herramienta utilizada: SolarWinds Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3 (Podemos averiguar la contraseña de correo de todos los usuarios), snmp, telnet etc.

19 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Herramienta utilizada: Brutus Un ataque de diccionario consiste en probar una combinación de todos los usuarios y contraseñas posibles basados en un diccionario. Un ataque de fuerza bruta consiste en probar una combinación de todos los usuarios y contraseñas posibles basados en todos los caracteres disponibles.

20 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Ataques a Protocolos Utilizar un rastreador de redes, mediante estos aplicaciones podemos ver todo el tráfico de información que circula a través de la red, con el objetivo de capturar información valiosa como las contraseñas de los administradores, también podemos capturar contraseñas de protocolos como POP3, telnet, FTP, SNMP,Oracle SQL*Net etc. Herramientas utilizadas: Ethereal + Ettercap, Cain, Iris Recomendaciones: No utilizar protocolos que transmiten la información en claro, utilizar por ejemplo el protocolo SSH en lugar de FTP ytelnet, El SSH transmite la información en forma cifrada.

21 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna 2. Información del Objetivo Dibujar un diagrama de la red, esto nos dará un amplio panorama de la estructura y situación actual de la red. Herramientas utilizadas: Cheops, Networkview Si los sistemas operativos y los programas instalados en servidores y equipos de comunicación no están actualizados y parchados, es posible acceder al archivo de contraseñas para luego descifrarlos localmente.

22 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Existen muchos métodos para obtener estos archivos dependiendo de la vulnerabilidad no parchada y del sistema operativo, también existen varias herramientas para descifrar las contraseñas. Herramientas utilizadas: enum, pwdump, john the ripper. Existe una serie de ataques que pueden hacerse contra servidores y equipos no parchados, por ejemplo ataques de buffer Overflow.

23 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Buffer Overflow (Programas que provocan un desbordamiento de la memoria y retornan un shell del Sistema Operativo) Recomendaciones: Establecer políticas que permitan mantener actualizados y parchados los recursos informáticos de la red. Proteger los archivos importantes relacionados a la seguridad, tanto a nivel de sistemas operativos como de datos. Establecer políticas de creación y cambio de contraseñas con el fin de dificultar la averiguación de las mismas.

24 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Determinar todas las carpetas compartidas dentro de la red, estas representan un foco de infección de virus y de pérdida de información, utilizamos programas que además de listar las carpetas compartidas averigua las contraseñas en segundos. Recomendación: Establecer una política de seguridad que prohíba la creación de carpetas compartidas.

25 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna 3. Ataques a Servidores Verificar la existencia de servicios que estén mal configurados desde el punto de vista de la seguridad, así como la existencia de servicios innecesarios para la empresa, por ejemplo el IIS v5 instala programas ejemplo que permiten navegar ( y modificar) en el disco duro del Web Server de la compañía, o cualquier otro servidor que tenga instalado el IIS. Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, Netcat, Metaexploit.

26 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Interna Recomendación: Hacer un inventario de todos los servicios instalados a fin de determinar cuáles son necesarios y cuáles no. Revisar la configuración de los servicios existentes. Análisis de los siguientes puntos: Ataques vía ODBC Revisión de existencia de Puertas Traseras Emuladores de terminales (Configuración) Revisar los privilegios asignados a los usuarios Determinar si existen cuentas que pertenezcan a usuarios que ya no trabajan en la empresa. Verificar si es posible que los usuarios actuales tienen la posiblidad de Elevación de Privilegios

27 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa 4. Establecimiento del objetivo En esta fase se busca obtener la mayor información general disponible de la víctima, información como direcciones IP externas, nombres de los responsables técnicos de la institución, sistemas operativos y sus versiones, etc. Para realizar esta actividad realizamos búsquedas en Internet de información relacionada con la empresa, por ejemplo podemos determinar las páginas que tengan enlaces al sitio de la víctima o listar todas las páginas que componen el sitio Internet de la empresa.

28 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Otra información que podemos obtener es la lista de servidores de la empresa, con esto podremos determinar cuál es servidor de correo, el firewall, el DNS, el Web Server, etc. Herramienta utilizada: Nslookup También obtenemos información como cuál es el proveedor de Internet de la organización, el sistema operativo del Web server, el historial de cambios de direcciones IP o de proveedor de internet y datos acerca de un posible sitio seguro que utilice el protocolo https. Herramienta utilizada:

29 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Intentamos averiguamos para cada servidor y equipos de comunicación datos tales como los siguientes: las interfaces de red conectadas los recursos compartidos los servicios instalados cuentas de usuario redes conectadas direcciones Mac Rutas Conexiones Activas También intentamos determinar si algún dispositivo tiene activo el protocolo SNMP y están configuradas las contraseñas por omisión, si es así podremos tomar control total sobre el dispositivo.

30 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Una vez que sabemos los puertos y protocolos disponibles procedemos a realizar ataques de diccionario y ataques de fuerza bruta contra ciertos protocolos como Ftp, http, pop3, snmp, telnet, etc. También se determinan las vulnerabilidades existentes para los puertos y protocolos disponibles y se intenta penetrar a través de las mismas. Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa, Netcat, Metaexploit.

31 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Ataques a las aplicaciones de Internet Verificar si las aplicaciones de Internet son susceptibles a ataques de: SQL Injection Cross-Site Scripting Secuestro de Sesiones válidas Ataques de diccionario y/o Fuerza bruta Algunas Recomendaciones: Validar todos los campos de entrada Almacenar en bitácora todas las transacciones realizadas por los usuarios No escribir contraseñas o claves para descifrar contraseñas dentro del código Las aplicaciones no deben efectuar sentencias directamente a la base de datos

32 Detalle de las Tareas Realizadas Proceso de Auditoría de la Seguridad de la información desde la Red Externa Algunas Recomendaciones: El proceso de encripción de las contraseñas debe incluir una llave de encripción propia de la institución mas datos particulares del usuario (Valor SALT), de tal forma que la contraseña almacenada no sea simplemente el resultado del algoritmo de encripción y de esta forma protegerla contra ataques de diccionario o fuerza bruta. La identificación o administración de la sesión debe ser llevada a cabo por la aplicación y no por el Servidor de Internet La base de datos debe estar en un servidor separado del Servidor de Internet o servidor de aplicaciones. Las aplicaciones deben asegurar que ningún parámetro con información útil para un posible atacante viaje a través del navegador del cliente y así evitar que estos parámetros puedan ser manipulados, esto incluye las consultas a nivel de URL.

33 Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional En general no existe conciencia de Seguridad Informática a nivel nacional No existe un Área de Seguridad dedicada a tiempo completo a proteger la disponibilidad, integridad y confidencialidad de la información No existen políticas de seguridad a nivel institucional que protejan el activo información No existe segmentación en la arquitectura de la red, los servidores de producción están en el mismo segmento de red que las estaciones de trabajo. No existe control sobre las carpetas compartidas en la red

34 Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional En algunas instituciones no existe un sistema automatizado que permita las actualizaciones de seguridad en los sistemas operativos La navegación a Internet se realiza desde la red interna lo cual expone tanto la red interna como todas las redes a las cuales esté conectado el usuario En algunas instituciones no están instalados Sistemas de Prevención o Detección de Intrusos a nivel de red. No existe una correcta separación de los ambientes de desarrollo y producción Configuraciones de servidores y equipos de comunicación sin controles de seguridad En algunas instituciones es posible que un atacante ingrese a la red interna desde Internet

35 Principales debilidades de Seguridad encontradas en el Sistema Financiero Nacional Lo anterior conlleva un sinnúmero de riesgos entre los que se destacan la sustracción, eliminación o modificación de la información sensitiva del banco, por ejemplo es posible obtener el archivo de contraseñas de los usuarios de la aplicación de banca electrónica, descifrarlas e ingresar al sistema con usuarios válidos, habilitando al atacante a realizar transferencias bancarias o cualquier servicio disponible en el sitio de la institución. Se utilizan protocolos a nivel de red que envían información en claro la cual puede ser interceptada por cualquier usuario y de esta forma obtener contraseñas o cualquier tipo de información que ponga en peligro la seguridad de la información de la institución

36 Actividades a Corto Plazo Actualmente la CNBS está creando la primera Normativa para el Sistema Financiero en relación a la Seguridad Informática, la normativa pretende regular los aspectos mas relevantes de la seguridad informática en las instituciones del sistema financiero nacional: Crear un Área de Seguridad Informática Regular la documentación tecnológica Generar registros de auditoría Outsourcing de Tecnologías de Información Generación de políticas de Seguridad

37 Actividades a Corto Plazo Regular la confidencialidad de la información: (1) Identificación y autentificación, (2) Privacidad y confidencialidad, (3) Integridad y disponibilidad, y (4) No-repudio. Regular la Arquitectura de Red Regular la Banca Electrónica Respaldo y Recuperación

38 Actividades a Corto Plazo Actualmente la CNBS está creando el Área de Seguridad Informática que se encargará entre otras funciones de: Generar políticas de Seguridad a nivel de la CNBS: Uso de Internet Uso del Correo Electrónico Uso de las estaciones de Trabajo Proceso Antivirus Adquisición de Hardware y Software Seguridad de Contraseñas Seguridad de la Información Sensitiva Seguridad de Servidores Seguridad de equipos de comunicación Seguridad en redes inalámbricas (Si existen) Seguridad en Redes con Terceros Acceso y Configuración remotos.

39 Actividades a Corto Plazo Entregar prototipos de Políticas de Seguridad a las instituciones del Sistema Financiero Nacional. Desarrollar Normativa hacia las Instituciones del Sistema Financiero Nacional referente a los controles de Seguridad mínimo en el proceso de Comercio Electrónico y arquitectura de Redes. Llevar a cabo pruebas de penetración periódicas (Hacking ético) a las redes externas e internas de la CNBS y de las Instituciones para descubrir vulnerabilidades de Seguridad y realizar las recomendaciones respectivas.

40 Actividades a Corto Plazo Involucrase en el diseño de los Sistemas de Información Internos de la CNBS para garantizar que el código de los programas se desarrolle tomando en cuenta la Seguridad de la Información. Reacción, en conjunto con la División de Operaciones, ante incidentes de Seguridad dentro de las redes de la CNBS y las Instituciones del sistema Financiero Nacional. Crear un ambiente y una cultura de Seguridad a nivel del Sistema Financiero Nacional y la CNBS, para esto se deben llevar a cabo campañas de concientización a los usuarios en el tema de la importancia de la Seguridad de la Información.

41 Taller Demostrativo Servidor de Agencia ROUTER Switch de Agencia Servidor de Base de Datos Switch de Oficina Principal Controlador de Dominio PC del Administrador de la Red

42 Taller Demostrativo Conexión TCP Syn Syn tack PC A Ack PC B

43 Muchas Gracias por su Atención!

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA Mayo 2008 CAPITULO DECIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX CAPITULO 7 CONCLUSIONES Y RECOMENDACIONES 1.- CONCLUSIONES Linux es un sistema operativo que requiere de altos conocimientos técnicos como programación, una alta cultura investigativa, curiosidad e iniciativa,

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA TEMA 3. REDES Y SEGURIDAD INFORMÁTICA REDES INFORMÁTICAS. 1. Qué ventajas tiene usar ordenadores en red, frente al trabajo aislado? 2. Explica la diferencia entre el área de alcance de una red LAN y una

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

Protección de su Red

Protección de su Red Protección de su Red Ing. Teofilo Homsany Gerente General SOLUTECSA PaiBlla Mall, Local 45. Telefono: +507.209.4997 E mail: ventas@solucionesdetecnologia.com Áreas vulnerables de su red Gateway (entrada

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012) Características generales. La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA CÓDIGO: APO4-P-002 FECHA DE VIGENCIA 05/Feb/2014 1. OBJETIVO Proveer, mantener y garantizar

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

Sistemas de Computación Archivos de Red. 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio

Sistemas de Computación Archivos de Red. 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio Sistemas de Computación Archivos de Red 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio NFS Características: Provee un acceso transparente a un Sistema de Archivos

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

Kalio.Server... Servicio de Productividad

Kalio.Server... Servicio de Productividad Kalio.Server... Servicio de Productividad Kalio.Server Servicio de Productividad 2 Tabla de contenido... Kalio.Server... Servicio de Productividad... Tabla de contenido...2 Descripción... 3 Ejemplo de

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Adelantándose a los Hackers

Adelantándose a los Hackers 1 Adelantándose a los Hackers Herramientas y técnicas de testing de vulnerabilidades Lic. Julio C. Ardita jardita@cybsec.com 5 de Julio de 2001 Buenos Aires - ARGENTINA 2 Adelantándose a los Hackers Temario

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

Dispositivos de Red Hub Switch

Dispositivos de Red Hub Switch Dispositivos de Red Tarjeta de red Para lograr el enlace entre las computadoras y los medios de transmisión (cables de red o medios físicos para redes alámbricas e infrarrojos o radiofrecuencias para redes

Más detalles

OBJETIVOS. Seguridad en el SID. INTERNET E INTRANET ÍNDICE MODELO DE RED CORPORATIVA. Tema VII

OBJETIVOS. Seguridad en el SID. INTERNET E INTRANET ÍNDICE MODELO DE RED CORPORATIVA. Tema VII OBJETIVOS Tema VII Seguridad en el SID. INTERNET E INTRANET Identificar problemas de seguridad en los SID. Estudiar las características de los cortafuegos y aprender a seleccionarlos. Funciones de los

Más detalles

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1

Más detalles

DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO 1. POLÍTICA DE ACCESO PORTÁTILES SEDES EMTELCO.

DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO 1. POLÍTICA DE ACCESO PORTÁTILES SEDES EMTELCO. DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO Las siguientes políticas de seguridad son aplicables a los clientes, proveedores y/o terceros, que tengan alguna relación

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

Gestión de la Seguridad Informática

Gestión de la Seguridad Informática Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas W8: wexplor VIROLOGÌA Y CRIPTOLOGÌA 4NM73 W8:INTERNET EXPLORER U5: FILE TRANSFER

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS Vicepresidencia de Infraestructura Gerencia Planeación Infraestructura y Servicios TABLA DE CONTENIDO 1. OBJETIVO...

Más detalles

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas. El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones

Más detalles

ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA ELABORACIÓN REVISIÓN APROBACIÓN Elaborado por: Revisado por: Aprobado por: Patricia Eugenia Gómez Escobar Rafael López Hoyos Rafael López Hoyos Cargo: Cargo:

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy Diplomado Desarrollo de Aplicaciones para Internet Ingeniero Germán A. Chavarro F., M.Sc Pontificia Universidad Javeriana Julio 2004 Qué

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección

Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección contra intrusos: Protección contra personas y/o programas.

Más detalles

INDICE. Agradecimientos Introducción Parte I Fundamentos de la conectividad de redes XIX XXI

INDICE. Agradecimientos Introducción Parte I Fundamentos de la conectividad de redes XIX XXI INDICE Agradecimientos Introducción Parte I Fundamentos de la conectividad de redes 3 1 El negocio de la conectividad Conectividad de redes: la perspectiva corporativa Qué necesita su compañía? 4 Puestos

Más detalles

DIPLOMADO EN SEGURIDAD INFORMATICA

DIPLOMADO EN SEGURIDAD INFORMATICA DIPLOMADO EN SEGURIDAD INFORMATICA Modulo 9: Soporte Computacional Clase 9_3:Protocolos de comunicación y conectividad de arquitecturas multiplataforma. Director Programa: César Torres A Profesor : Claudio

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Técnicas de Hacking y Seguridad Luis Yagüe EFOR Temario Comparación de Sistemas Operativos desde el punto de vista de la Seguridad Informática Firewalls, Proxys, DMZs. Virus Informáticos

Más detalles

Política y Procedimiento del uso de Firewalls

Política y Procedimiento del uso de Firewalls Fecha de aprobación: 27/mayo/2008 Página: 2 de 11 Control de Cambios Fecha Versión Descripción Autor 14/Enero/2008 1.0 Comenzando el desarrollo de las secciones Roberto García 21/Febrero/2008 1.0 Revisión

Más detalles

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR)

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) Sistema Unificado de Control en Tiempo Real - SUCTR: El sistema unificado de control en tiempo real, en adelante SUCTR, es un sistema de administración

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 138 Viernes 10 de junio de 2011 Sec. I. Pág. 59197 ANEXO III I. IDENTIFICACIÓN DEL CERTIFICADO DE PROFESIONALIDAD Denominación: Seguridad informática Código: IFCT0109 Familia Profesional: Informática

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

Guía de Seguridad en Redes Sociales

Guía de Seguridad en Redes Sociales Guía de Seguridad en Redes Sociales INTRODUCCIÓN Las redes sociales son parte de los hábitos cotidianos de navegación de gran cantidad de personas. Cualquier usuario de Internet hace uso de al menos una

Más detalles

Servicios Administrados de Infraestructura

Servicios Administrados de Infraestructura Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio

Más detalles

Evaluación de los aprendizajes Elabora un cuadro comparativo con las principales características de los componentes básicos de una red de datos.

Evaluación de los aprendizajes Elabora un cuadro comparativo con las principales características de los componentes básicos de una red de datos. NÚCLEO: Sector Comercio y Servicios SUBSECTOR: Informática y comunicación Nombre del Módulo: REDES total: 90 horas Objetivo General: Desarrollar conocimientos teóricos/prácticos para el diseño, configuración

Más detalles

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.

Más detalles

Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS. Jesús Losada - Jesús López - 2º ASIR

Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS. Jesús Losada - Jesús López - 2º ASIR Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS Jesús Losada - Jesús López - 2º ASIR Índice de contenidos Administración remota Acceso en modo texto Escritorio remoto Servidor de

Más detalles

SISTEMA DE COPIAS DE SEGURIDAD

SISTEMA DE COPIAS DE SEGURIDAD SISTEMA DE COPIAS DE SEGURIDAD Ya tiene a su disposición el servicio de copias de seguridad adbackup en acuerdo con la ASOCIACIÓN DE ASESORÍAS DE EMPRESA haciendo más asequible el servicio, y con el respaldo

Más detalles

Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3]

Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3] INFORMÁTICA Y COMUNICACIONES Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3] Seguridad informática Contenidos I IDENTIFICACIÓN DEL CERTIFICADO DE PROFESIONALIDAD DENOMINACIÓN...06 CÓDIGO...06

Más detalles

EEHC. Enhacke Ethical Hacking Certification

EEHC. Enhacke Ethical Hacking Certification EEHC Enhacke Ethical Hacking Certification Curso de Certificación de Hacking Ético ENHACKE S.A.C. Año 2010 ENHACKE ETHICAL HACKING CERTIFICATION EEHC INTRODUCCION El curso EEHC provee el conocimiento necesario

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB Contenido 1. NOMBRE DEL AREA... 2 2. RESPONSABLES DE LA EVALUACIÓN... 2 3. CARGOS... 2 4. FECHA... 2 5. JUSTIFICACIÓN... 2 6.

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls EL64E Alberto Castro Rojas 1 Agenda Las redes locales y su conexión a distancias Dirección MAC y dirección IP Equipos de interconexión Los protocolos

Más detalles

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX MÁSTER ONLINE EN ADMINISTRACIÓN LINUX Módulo 1 Hardware & Arquitectura de sistemas - 20 horas Este módulo permite conocer y configurar los elementos básicos del hardware del sistema, como también otros

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

: COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones : Técnicas de Hacking : Z-RED109

: COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones : Técnicas de Hacking : Z-RED109 I. DATOS INFORMATIVOS Carrera Especialidad Curso Código Ciclo : Sexto Requisitos Duración Horas Semana : 08 horas Versión : v.0109 II. SUMILLA: : COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

SOLICITUD PRIVADA DE OFERTAS 2015-142 ADQUISICIÓN DE HARDWARE Y SOFTWARE PARA LA PERSONERÍA DE MEDELLÍN ADENDA 3

SOLICITUD PRIVADA DE OFERTAS 2015-142 ADQUISICIÓN DE HARDWARE Y SOFTWARE PARA LA PERSONERÍA DE MEDELLÍN ADENDA 3 SOLICITUD PRIVADA DE OFERTAS 2015-142 ADQUISICIÓN DE HARDWARE Y SOFTWARE PARA LA PERSONERÍA DE MEDELLÍN ADENDA 3 Mediante la presente Adenda se modifica el siguiente aspecto: ANEXO 3. ESPECIFICACIONES

Más detalles

Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica

Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica 2007 Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

Norma de uso Identificación y autentificación Ministerio del Interior N02

Norma de uso Identificación y autentificación Ministerio del Interior N02 Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

MANUAL DE PROCESOS Y PROCEDIMIENTOS UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES - TICS

MANUAL DE PROCESOS Y PROCEDIMIENTOS UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES - TICS MANUAL DE PROCESOS Y PROCEDIMIENTOS UNIDAD DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES - Guatemala, julio de 2011 1 CONTENIDO DEL MANUAL Sección Página Acrónimos 1 Mapa de macro procesos y relaciones

Más detalles

VERIFIQUE EN EL LISTADO MAESTRO DE DOCUMENTOS Y REGISTROS DEL SIG QUE ESTA ES LA VERSIÓN VIGENTE ANTES DE UTILIZAR EL DOCUMENTO

VERIFIQUE EN EL LISTADO MAESTRO DE DOCUMENTOS Y REGISTROS DEL SIG QUE ESTA ES LA VERSIÓN VIGENTE ANTES DE UTILIZAR EL DOCUMENTO CONTROL DE CAMBIOS MANUAL DE PROCESOS Y PROCEDIMIENTOS Fecha: 30/11/2012 Página: 1 de 22 Versión Fecha Descripción de la modificación 01 23/09/2011 Inicial 02 30/11/2012 AUTORIZACION Modifico nombre del

Más detalles

PROGRAMA FORMATIVO CÓDIGO: G13613 CURSO: SEGURIDAD INFORMATICA. Modalidad: Distancia Duración: 150 h. Objetivos: Contenidos:

PROGRAMA FORMATIVO CÓDIGO: G13613 CURSO: SEGURIDAD INFORMATICA. Modalidad: Distancia Duración: 150 h. Objetivos: Contenidos: PROGRAMA FORMATIVO CÓDIGO: G13613 CURSO: SEGURIDAD INFORMATICA Modalidad: Distancia Duración: 150 h Objetivos: En la actualidad existe cada vez más sensibilidad hacia la seguridad informática ya que cada

Más detalles

DESCRIPCIÓN ESPECÍFICA

DESCRIPCIÓN ESPECÍFICA DESCRIPCIÓN ESPECÍFICA NÚCLEO: Sector Comercio y Servicios SUBSECTOR: Informática y Comunicación Nombre del Módulo: REDES total: 90 horas Objetivo General: Aplicar los principios de comunicación digital

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

Pack Antivirus McAfee

Pack Antivirus McAfee Manual de Usuario Detalle de toda la suite del para configurar y usar el producto con facilidad. Índice Consola 1 1. Descripción del panel de Control 2 2. Protección Antispyware y Antivirus 3 2.1 Análisis

Más detalles

Diplomado en Seguridad Informática

Diplomado en Seguridad Informática Diplomado en Seguridad Informática Presentación SEGURO, RA (Del lat. securus). Adj. Libre y exento de todo peligro, daño o riesgo. 2. Cierto, indubitable, y en cierta manera infalible. 3. Firme, constante,

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Webcast Aranda 360 ENDPOINT SECURITY ANDREZ LAMOUROUX S. Network & Security Solutions Manager - LATAM El Problema: La Protección de sus Puntos Finales Control de Laptops / Netbooks Uso no controlado del

Más detalles

Julio C. Ardita, CISM jardita@cybsec.com. 9 de Abril de 2014

Julio C. Ardita, CISM jardita@cybsec.com. 9 de Abril de 2014 Experiencias i de Seguridad d en SAP Julio C. Ardita, CISM jardita@cybsec.com 9 de Abril de 2014 Agenda - Seguridad en la arquitectura - Seguridad en el SO y DB del entorno SAP - Seguridad a nivel técnico

Más detalles

Seminario Seguridad en desarrollo del Software. Tema: Panorama general de la seguridad informática. Autor: Leudis Sanjuan

Seminario Seguridad en desarrollo del Software. Tema: Panorama general de la seguridad informática. Autor: Leudis Sanjuan Seminario Seguridad en desarrollo del Software Tema: Panorama general de la seguridad informática Autor: Leudis Sanjuan Qué es la seguridad informática? Existen muchas definiciones para este término, pero

Más detalles