Introducción a la Problemática de la Seguridad Informática en Organizaciones Gubernamentales. CEATS Rosario, 1 de Agosto de 2008
|
|
- Óscar Figueroa Maldonado
- hace 8 años
- Vistas:
Transcripción
1 IntroducciónalaProblemáticade laseguridadinformáticaen OrganizacionesGubernamentales CEATS Rosario,1deAgostode2008
2 Agenda ConceptosBásicos(aprox.30minutos) SeguridadFísicayLógica Marcoconceptual:Confidencialidad,Integridad,DisponibilidadyNorepudio Documentaciónformalenseguridadinformática Modelodeadversario:InsidervsOutsider SeguridadLógica(aprox.90minutos) Fundamentos Principiosbásicos Elciclodevidadelaseguridad ClasificacióndeInformación Criptografíaclásicaydeclavepública Paradigmasdeamenazasaactivosinformáticos Infraestructuradedefensa:componentesbásicos
3 Agenda(cont) Practicum(aprox.120minutos) AnálisisRoSI AnálisisdeRiesgo AnálisisdeImpactoaNegocio EvoluciónenArquitecturadeProtección Rolesyactividadesenelárea/deptseguridadinformática Outsourcingvsprestacióndeserviciospropios PlanesdeContingenciayContinuidaddeNegocio NormasyEstándares AuditoríadelaSeguridad Referencias
4 Objetivos Alfinalizarlacapacitaciónelasistentedebería Entenderquelaseguridadinformáticaseocupadelaadministraciónderiesgos Sercapazdecomprenderlaimportanciadeunavisiónproactivaporsobreuna reactiva Comprenderlasdistintasactividadesquedebeencarareláreadeseguridaden unaorganizacióngubernamental Entenderlosdistintosaspectosinvolucradosconunprocesodeauditoríade seguridad ConocerlaexistenciadenormasinternacionalesISO,BS,etc Conocerloscomponentesfundamentalesdeunplanderecuperaciónante desastresycontinuidaddenegocios
5 Instructor GuillermoMarro MiembrofundadordeFlowgateSecurityConsulting SedesempeñacomocoordinadordeSeguridadInformáticadelprogramaSINTyS(gobiernonacional) ObtuvosuMSc.enseguridadinformáticaenlaUniversidaddeCalifornia(Davis USA) RecibiósutítulodeIngenieroElectrónicodelaUniversidadNacionaldeRosario(Rosario Argentina) EsinstructorinvitadodecursosdeseguridadinformáticaenlaUniversidadComplutensedeMadrid SedesempeñócomoGerentedeIntegraciónySeguridadenUNLB(BaseLogísticadeNacionesUnidas Italia) CuentaconexperienciacorporativainternacionalenrelevantesempresasyorganizacionesdeUSA, EuropayArgentina FuebecarioFulbright SedesempeñócomoresearchengineerenlaUniversidaddeArizona(USA),enelproyectoNeurolab'98 paralanasa.
6 ConceptosBásicos
7 SeguridadInformática ElISC2(InternationalInformationSystemsSecurityCertificationConsortium) describe10dominiosdentrodelcuerpodeconocimientosdelaseguridad Informática(SI): GerenciamientodelaSI OperacióndelaSI SeguridadFísica MétodosdeControldeAcceso Criptografía ArquitecturadeSeguridadCorporativa SeguridaddeAplicaciones SeguridadenlasTelecomunicaciones,InternetyRedes Leyes,InvestigacionesForensesyEtica PlanificacióndelaContinuidaddeNegocio
8 SeguridadInformática(cont) Noobstante,tradicionalmentelaSIsedesglosaendosgrandes componentes: SeguridadFísica(SF) SeguridadLógica(SL) Trataremosamboscomponentesporseparado
9 SeguridadFísica LaSFseocupadelapreservaciónfísicadelosactivosdeinformación deunaorganización Activomásimportante:elrecursohumano! Hastahaceunospocosaños,eraelúnico'tipo'deseguridadquese aplicabaasistemasdecómputo Cuerpodeconocimientosheredadosdelasprácticasmilitares ancestrales,adaptadosanuevastecnologías Tradicionalmenteadministradaporpersonaldevigilanciaofuerzas delorden
10 SeguridadLógica Coneladvenimientodelasredesinformáticas,dondeelofensor noprecisaestarfísicamenteenellugardelcrimen,surgelasl RequiereunenfoquemuydiferentealdelaSF ConsecuentementeesadministradaporexpertosenSL(cuerpo deconocimientosradicalmentediferenteydegrandinamismo) Esunaespecialidadensímisma,enplenaexpansión
11 PremisasBásicas Integridad Confidencialidad Disponibilidad No repudiación Autenticación Autorización Trazabilidad Privacidad
12 PolíticasyMecanismos PolíticadeSeguridad Definiciónconcisadeloqueestápermitidoyloquenoestápermitido MecanismodeSeguridad Procedimiento,herramientaométodoparagarantizarelcumplimientodelapolítica deseguridad
13 DocumentaciónFormal Esdeseablequetodaorganizacióntengaunsetdepolíticas,estándaresy procedimientosdeseguridadqueabarqueexhaustivamentetodalaoperatoriade lamisma. IMPLEMENTACION Comoloharemos? TECNOLOGIA ESTANDARES Conquetecnología? CULTURA POLITICAS ó n Niveldedetalle FrecuenciadeActualizaci PROCED Queesloqueharemos?
14 DocumentaciónFormal(cont) Loidealesqueladocumentaciónformal(políticas,estándaresy procedimientos)seaaprobadayendosadaporlajerarquíamáximadela organización EstopermiteposicionaralaSIcomoprioridaddelaorganizaciónydeesta manerafacilitarlaimposicióndecontrolesdesi Debeademásdifundirseladocumentaciónentretodoslosmiembrosdela organización(plandeconcientización) Además,dichadocumentacióndebeactualizarseconperiodicidad
15 Referencias I. MattBishop;ComputerSecurity.ArtandScience;AddisonWesley;2003 II. RossAnderson;SecurityEngineering;Wiley;2001. III.MorrieGasser;BuildingaSecureComputerSystem;VanNostrandReinhold;1988. IV.NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecialPublication V. RickLehtinen;ComputerSecurityBasics;O'reilly;2006
16 SeguridadFísica
17 SeguridadFísica PartedelaSIqueseencargadeprotegerlainfraestructuradelaorganización deamenazasasociadasalaccesofísicoarecursosdelamismaydeamenazas ambientalesengeneral. Elrecursomásimportanteeselhumano! LoscontrolesdeSFseimplementanparaprotegerlosrecursoshumanos,los recursosdelasinstalaciones,losrecursosdeinfraestructurainformáticaylos decomunicaciones
18 AmenazascontralaSF Naturales Artificiales Terremotos Inundaciones Cataclismos Robos Rebelionespopulares Escapestóxicos Roturadecaños Cortesdeenergía Incendios Explosiones
19 Riesgos Interrupciónenlaprovisióndeservicios Dañofísico Filtracióndeinformación Compromisodeintegridad Robo
20 ControlesdeAccesoFísico Restriccióndeentrada/salidadepersonassegúnincumbenciasendiferentes accesosdelaorganización Muchasveceselcontroldesalidaentraenconflictoconlaseguridaddelas personas(particularmenteduranteemergencias)sinoestábienresuelto Suelerobustecerseconfactoresmúltiplesparalaautenticacióndeindividuos (biometría,tarjetasdeproximidad,pin,etc) CircuitosCCTVdemonitorizacióndeambientescríticosydeperímetro Suelecomplementarseconproteccióndeperímetrodefuerzasdelorden(públicas oprivadas)
21 ControlesdeIncendio Restriccióndeelementoscombustibles Sensoresdehumo,sobre temperatura,excesodepartículasensuspensióncon remotizacióndealarmas Mapasdeevacuación Salidasdeincendioclaramenteseñaladasysinobstrucción Extintoresbasadosenrociadoresdeagua,Halon,etc
22 ControlesAmbientales Funcionamientoapropiadodeacondicionamientodeaire Adecuacióndeinstalacionessanitarias Controlesdepurezadeaire Adecuacióndelespaciodetrabajo
23 ControldeDispositivosMóviles Ingreso/EgresonoautorizadodeLaptops/PDAs/Smartphones Adecuacióndemecanismosdeproteccióndedatosen Laptops/PDAs/Smartphones Mecanismosdedeteccióndeconexiónnoautorizadaarecursoslocalesdered (IDD)
24 OtrosControles CoberturadeSeguros Fuentesalternativasdeenergías(UPS,Generadores) Backups(on siteyoff site)
25 Recomendaciones Cumplirconleyesyregulacionesvigentes Implementarcontrolesqueseanviableseconómicamente(tenerencuenta costosoperativos) Hacerunbuenanálisisderiesgoydeimpactoanegocio ComojustificarmedidasdeSF? Requeridasporleyoregulación Costonosignificativoconbeneficiosimportantes Costosignificativo,peroevitaataquesdeconsecuenciascatastróficas RoSIapropiado
26 SeguridadLógica
27 Definiciones Riesgo Laposibilidaddequeocurraalgoadverso Amenaza Todaviolaciónpotencialmentefactibledelaspolíticasdeseguridad Ataque Todaintentoconsumadodeviolacióndelaspolíticasdeseguridad
28 TaxonomíasdeAmenazas Filtración Accesonoautorizado Decepción Provisióndeinformaciónfalsa Disrupción Interrupcióndeservicio Usurpación Controlnoautorizadodeunsistema
29 SistemaSeguro Laimplementaciónplasmaperfectamenteloespecificadoporla políticadeseguridad
30 HipóthesisdeConfianza Cadamecanismoimplementaunapartedelapolíticadeseguridad Launióndetodoslosmecanismosimplementatodoslosaspectosdela política Losmecanismosestánimplementadoscorrectamente Losmecanismossoninstaladosyadministradoscorrectamente
31 ConfianzaentodaslasEtapas Especificación Detallaformaloinformalmenteelfuncionamientodeseadodelsistema Diseño Traducelaespecificaciónencomponentesquelaimplementarán Implementación Materializaeldiseñoenalgoquelosatisface Operación Mantieneelsistemafuncionandoencondicionesaceptables
32 PrincipiosUniversalesdelaSI Mínimoprivilegio Lospermisosotorgadosaunsujetodebenestarbasadosenlanecesidaddesaber Valoresporomisiónseguros Amenosqueseotorgueexplícitamenteaunsujetoaccesoaunobjeto,éstedeberserdenegado Economíademecanismos Losmecanismosdeseguridaddebenserlosmássimplesposibles Mediacióncompleta Todoslosaccesosaobjetosdebenpoderauditarse
33 PrincipiosUniversalesdelaSI Diseñoabierto Laseguridaddeunsistemanodebedependerdesecretosensudiseñooimplementación Separacióndefunciones Elsistemanodebeconcederpermisosarecursoscríticosbasadoexclusivamenteenunaúnicacondición (DefensaenCapas) Menormecanismocomún Losmecanismosusadosparaaccederarecursosnodebensercompartidos Aceptaciónpsicológica Losmecanismosadoptadosnodebentornaralsistemaen'pocousable'
34 AceptaciónPsicológica?
35 CiclodelaSeguridad
36 ModeladodeAdversarios Disponibilidadderecursos Niveldeaccesoalsistema Nivelderiesgoqueestándispuestosatolerar Objetivosquepersiguenalatacaralsistema Puntodepartidaparalaplanificación decualquiersistemadeseguridad!
37 InsidervsOutsider Serequiereladiferenciacióndealmenosdostiposdeadversario: Outsider:Bajoniveldeaccesoalainformaciónreservadadelaorganización, accesoarecursoscorporativosescasoonulo Insider:Altoniveldeaccesoainformaciónreservada,altoaccesoarecursos corporativosdelaorganización,favorecidoporeltradicionalmodelodeconfianza
38 AAA Autenticación, Autorización y Auditoría (AAA) son tres mecanismos básicos de cualquier sistema de seguridad Autenticación: proceso por el cual un sistema verifica una identidad pretendida (correspondencia entre identidad real e identidad digital) Autorización: derechos de acceso otorgados a un sujeto. Control de acceso: mecanismo por el cual un sistema verifica que un sujeto está autorizado a acceder a un recurso. Auditoría: proceso por el cual se registran los eventos relacionados con aspectos de seguridad informática
39 Autenticación Loqueunosabe ej:usuarioycontraseña Loqueunotiene ej:token,smartcard,gpsphone,etc Loqueunoes ej:scanderetina,huelladactilar,etc Loqueunopuedehacer ej:firmamanuscrita,patronesdetipeo,etc Dondeunoestá ej:ubicacióngps Combinandocualquieradeestosfactoressetieneautenticacióndedoblefactor,detriple factor,etc
40 ContraseñaIdeal AlgoqueSOLOelusuarioconoce,quelacomputadorapuedeverificaryquenadie máspuedeadivinar,independientementedelpoderdecómputoquetenga Elproblemaesqueenlaprácticaesmuydifícilacercarseaesteideal! Típicoconflictoentreseguridadyusabilidad 'Yourpasswordmustbeatleast18770charactersandcannotrepeatanyofyour previous30689passwords' MicrosoftKnowledgeBaseArticle
41 ContraseñasReales Dadalaimposibilidaddecontarconcontraseñasideales,setomanciertosrecaudos paralograrestetipodeautenticaciónviable Condiciones LongitudMínima:8caracteres Impedirpalabrasdediccionario ForzarlaNoRepeticióndelasúltimas10contraseñas Forzarladuraciónmáximadelascontraseñas(valorrelacionadoconlapotenciamáxima decómputodeladversario) Forzarladuraciónmínimadelacontraseña ComposiciónObligatoria: Almenosunaletraminúscula Almenosunaletramayúscula Almenosunnúmero Almenosunsímbolo
42 CrackeandoContraseñas Segúnestudiosde1993,basadosenunaestimacióndecapacidaddecómputocomoparaprobar6,4 millonesdecontraseñasporsegundo*enunataqueporfuerzabruta,setienenlassiguientestablas:
43 Autenticación: Token&Smartcards Dispositivosportátilessupuestamenteinviolables Puedencontenercertificadosdigitales,firmas digitales,clavesoanillosdeclaves Seproveesoftwarequerealizalasoperaciones criptográficasdesoporte Cuentanconproteccióndeaccesoalsistemade archivos,queevitanlamanipulaciónindiscriminada dedatosdesdeelso(blindajededatoscontenidosen eldispositivo)
44 Autenticación:OTP OneTimePasswords Enentornoscorporativosseobligaalusuarioarecordarunnúmeroimportantede contraseñas Dadalaimposibilidadhumanaenrecordarmuchascontraseñasrobustas,sesuelerequerir unúnicosetdecredenciales(singlesign On)paraautenticarseaunaplataformaAAA común,desdedondeelusuariopodráaccederalosdistintosaplicativosconlospermisos correspondientes Laventajaobviaeslasimplicidadparaelusuarioylaposibilidaddeemplearpolíticasde altarobustezparalascontraseñas Ladesventajaesquecuandosecomprometelacontraseñadelusuario,elatacantetiene accesoinmediatoatodoslosderechosdelavíctima
45 Autorización Mecanismomedianteelcual,unavezqueelsistemaasignaunaidentidadlógica conocidaaunaidentidadfísicapretendida(credencialesadecuadas),leasignalos permisoscorrespondientesasuperfilalosdistintosactivosinformáticos
46 ControldeAccesoenSSOO Discretionary(Identity Based)AccessControl(DACoIBAC) Elpropietariodeunobjetopuededelegarsuspermisosenotrosujeto OriginatorControlledAccessControl(ORCON) Elcreadordeunobjetopuededelegarsuspermisosenotrosujeto Mandatory(Rule Based)AccessControl(MAC) ElpropietariouoriginadordeunobjetoNOpuededelegarsuspermisosenotrosujeto,sinoque eladministradoresquienconfiguralasreglasdeacceso siguiendolapolíticadeseguridad y elsolasimplementa Role BasedAccessControl(RBAC) Controldeaccesobasadoenelrolquetieneelsujetoenelsistema.
47 ClasificacióndeInformación Sedefinenlossiguientesnivelesdeclasificacióndeinformación,en ordendecriticidaddecreciente: UltraSecreta Secreta Confidencial SinClasificaroIrrestricta
48 ClasificacióndeInformación(2) Elniveldeaccesodeunsujeto(SecurityClearance)eselque determinahastaqueniveldeclasificacióndichosujetopuede acceder (UltraSecreto) Secreto Confidencial Irrestricto
49 ModelodeConfidencialidad PropuestoporBell LaPadulaamediadosdelos'70 Nosepermitenescrituras'haciaabajo'nilecturas'haciaarriba' secreto confidencial Escritura irrestricto Lectura
50 ModelodeConfidencialidad PropuestoporBibaafinesdelos'70 Nosepermitenlecturas'haciaabajo'niescrituras'haciaarriba' secreto confidencial Lectura irrestricto Escritura
51 DeclasificacióndeInformación Hayotrosmodelosmáscomplejos(MurallaChina,Clark Wilson).Perolos modelosteóricospurosnocontemplannecesidadesreales LaDECLASIFICACIONdeinformaciónconsisteenlareasignacióndelosniveles declasificacióndeunciertoobjeto Ladegradacióndeniveldeclasificacióndeunobjetonosuelerepresentarun problema Laelevacióndeniveldeclasificacióndeunobjetoesunproblemadesolución notrivial
52 DeclasificacióndeInformación(2) Cuandounobjetopasaamanosdeunsujetodenivelinferioraldelobjetoqueda instantáneamentedeclasificadoalniveldelsujeto Elprocesodebesersupervisadoporsujetosespecialmentedesignadosatalfin (AutoridadesdeClasificacióndeInformaciónoACI) Enoportunidades,antesdedeclasificarlainformación,sesometeaunprocesode saneamiento(sanitization) EstorespetaelprincipiodeMediaciónCompleta Debenexistirprocedimientosquedescribanlospasosaseguirantecadatipode objetoqueesdeclasificado(impreso,archivodigital,correoelectrónico,etc) Anteunadeclasificaciónforzada(erroreneltratamientodelainformación),todos lossujetosinvolucradosenelincidentedebenreportarloenformainmediataala/s ACI/s.
53 SeguridadMultinivel(MLS) Matrizdepermisosdeaccesoquedeterminaquesujetosaccedenalos distintosobjetos('compartimentalizar'lainformación) Laideaesdefinirdichospermisosbasadosexclusivamenteenelnivelde accesodelusuario(clearance)yelprincipiodemínimoprivilegio(necesidadde saber) Soluciónmásadecuadaparaentornosoperativosconinformaciónclasificada Algunasimplementacionescomercialesyfuenteabierta,concapacidades limitadas,disponibles Dificultadoperativaparaadministradoresdesistemas,razóndesupoca aceptación Seimplementaentodasudimensióncasiconexclusividadenambientes militares
54 Accounting (RegistrosdeAuditoría) Eslaprovisióndeserviciosderesguardodeinformaciónotrazabilidadde accionesdeunsistemaconfinesforenses. Espartedelsoportetecnológicoparadeterminaraposterioriviolacionesalas políticasdeseguridadoparahacerdebuggingdeunciertosistemao aplicación. Engeneralconstadedosetapas:laregistracióndeeventosoacciones (logging)ylaauditoría(auditing)oanálisisdetaleseventosoacciones. Laregistracióndeeventosincluyeunaetiquetadetiempo(timestamp)que establecelahoraexactaalacualocurrióelevento. Ambasetapassoncrucialesparaelanálisispost mortemysonfundamentales entodosistemadeseguridad Eslaaplicacióndirectadelprincipiodemediacióncompleta
55 QueseRegistra? Eventosqueimpliquenunaviolaciónalaspolíticasdeseguridad EventosdelSOodeaplicacionesrelacionadosconlaseguridaddelosmismos Ejemplos: Logindeusuarios Intentosfallidosdeacceso Logoutdeusuarios Accesoarecursos Transacciones Intentosdeescalamientodeprivilegios Estadodeoperacióndeservicios Escasezdeciertosrecursosdesistema etc
56 Criptografía Provienedelacomposicióndedospalabrasgriegasquesignificanescriturasecreta. Eselmilenarioarte cienciadeocultarelsignificadodeciertosmensajes Tuvoprogresosrevolucionariosdurantela2daguerramundial(máquinaenigma) Sedivideendosgrandesfilosofías:CriptografíaSimétricaoClásicayCriptografía AsimétricaodeClavePública Criptoanálisis:arte cienciadequebrarcódigos Criptología:Criptografía+Criptoanálisis Laprincipalaspiracióndeuncriptosistema,esqueelmejorataqueposibleseaelde fuerzabrutacontraelespaciodeclaves
57 Criptosistemas
58 TiposdeAtaques Sobremensajecifrado(cyphertextonly) ElatacantesólocuentaconCyquiereobtenerMydeserposible,lasclaves Sobremensajeentextoclaroconocido(knownplaintext) Elatacanteconoceambos,CyM,yquiereobtenerlasclaves Sobretextoclaroseleccionado(chosenplaintext) Elatacanteproporcionaeltextoclaroasuelecciónyselesuministraeltextocifrado,ysuobjetivoes encontrarlasclaves
59 CriptografíaClásica TambiénllamadaSimétricaodeClaveComún Lamismaclavequeseutilizaparacifrar,seempleaparadescifrar
60 CriptografíaClásica:Propiedades Laseguridaddelcifradoconvencionalosimétricodependedevariosfactores: Primero,elalgoritmodecifradodebeserlobastantepotenteparaquenoseaprácticodescifrarel mensajesóloapartirdeltextocifrado. Ademásdeeso,laseguridaddelcifradoconvencionaldependedelsecretodelaclaveysulongitudyno delsecretodelalgoritmo. Laprincipalpremisaconelusodelcifradoconvencionalosimétricoes,pues, mantenerensecretolaclave. Losalgoritmosestánbasadosenpermutacionesysustitucionesdebits Elprincipalinconvenientequepresentaesque,alserdeclavecompartida,noprovee no repudiación Losalgoritmosconvencionalesmásimportantesson:DES,TripleDESyRijndael(AES).
61 CriptografíadeClavePública Lacriptografíadeclavepública(DiffieyHellman,1976)eselprimeravance revolucionarioenelcifradoenmilesdeaños. Estoesdebidoaunacausa:sebasaenfuncionesmatemáticas(logaritmosdiscretos, aritméticamodular,curvaselípticas)enlugardesustitucionesypermutaciones. Perolomásimportante,lacriptografíadeclavepúblicaesasimétricaysuponeelusode dosclavesindependientes,encontrasteconelcifradosimétricoconvencional,quesólo utilizaunaclave.utilizardosclavestieneconsecuenciasprofundasenlasáreasde confidencialidad,distribucióndeclavesyautenticación. Cadausuariousaráconservarásuclaveprivadaamáximoresguardoyharápúblicasu clavepúblicaenrepositorioshabilitadosatalfin Losalgoritmossontales,queconocidaunaclavedeunusuarioesimposiblederivarla otra.losmáspopularessonrsa,dsa,elgamal,etc
62 CriptografíadeClavePública(cont)
63 CriptografíadeClavePública(cont) ImaginemosdosusuariosBobyAliceconsusrespectivasclavesBpriv,BpubyApriv,Apub Discusióndediferentescasos: C[Msg,Bpriv] IntegridaddeOrigen Bob IntegridaddeOrigen yconfidencialidad C[Msg,Bpriv,Apub] Alice
64 CriptoSimétricavsAsimétrica CriptoSimétrica Confidencialidad Confidencialidad Autenticaciónparcial Autenticacióntotal Nopuedeusarseparafirmadigital Puedeusarseparafirmadigital Clavesrelativamentecortas,devidano prolongada Altavelocidaddecómputo Bajavelocidaddecómputo Noproveeno repudiación Proveeno repudiación Seusaparaclavesdesesión Seusaparaclavespermanentes CriptoAsimétrica Clavesrelativamentelargas,devida prolongada
65 FuncionesHash UnafunciónhashaceptaunmensajedelongitudvariableMcomoentradayproduce comosalidaunaetiquetadetamañofijoh(m),algunasvecesllamadaresumen (digest)delmensaje. Elresumenseenvíajuntoalmensajedetalformaqueelresumendelmensajese puedeutilizarenelreceptorparaautenticarlo(códigodeautenticacióndemensaje) Ademásdeautenticación,elresumenproporcionaintegridaddelosdatos.Sisealtera algúnbitaccidentalmenteeneltránsito,elresumendelmensajeproduciráunerror.
66 FuncionesHash(cont) Elobjetivodeunafunciónhashseguraesproduciruna huelladactilar enelmensaje. Debeverificarlosiguiente: Hpuedeseraplicadaabloquesdedatosdecualquiertamaño. Hproduceunasalidadelongitudfija. H(x)esrelativamentefácildecalcularparaunxdado,haciendoprácticalaimplementaciónenhardwarey software. Parauncódigodadom,escomputacionalmenteimposibleencontrarunxtalqueH(x)=m. Paraunbloquedadox,escomputacionalmenteimposibleencontraruny xconh(y)=h(x). Escomputacionalmenteimposibleencontrarunapareja(x,y)talqueH(x)=H(y). LosejemplosdefuncioneshashmáspopularessonMD5ySHA
67 FirmaDigital Permitefirmarmensajesenformadigitalconpremisasdeintegridadyno repudiación Basadaencriptografíaasimétrica(suimplementaciónrequiereinfraestructura PKI) Enmuchospaíses(cadavezmás)esaceptadaconvalidezjurídica EnArgentina,desdelaley25.506promulgadaenel2001,sereconocesu validezjurídicaconalgunaspocasexcepciones
68 FirmaDigital(cont) Secomputaelhash(digesto)del documentoafirmar Sefirmaconlaclavesecretadel remitentedichodigesto Seenvíaeldocumentooriginal+el digestofirmado Suelecomplementarseconun certificadodigitaldelremitenteque contieneunavalidacióndesuclave pública
69 Referencias I. MattBishop;IntroductiontoComputerSecurity.ArtandScience;Prenticehall;2004 II. MattBishop;ComputerSecurity.ArtandScience;AddisonWesley;2003 III.RossAnderson;SecurityEngineering;Wiley;2001. IV.MorrieGasser;BuildingaSecureComputerSystem;VanNostrandReinhold;1988. V.NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecialPublication VI.JohnWylder;StrategicInformationSecurity;AurbachPublications;2004
70 Practicum
71 EvolucióndelaSI ANTES AHORA LaSIesunproblemapuramentetécnico LaSIesungasto LaSIesunainversión ElobjetivoeslaSI Elobjetivoeslacontinuidaddenegocio Vamosacomprarelgadgetquenos garantizalasi LaSIesunproblemaquecompetea todalaorganización LaSIesunproceso
72 AnálisisRoSI ReturnofSecurityInvestment:análisisqueintentacuantificarlarazonabilidaddeadoptar ciertasmedidasdeprotección Silavaloracióneconómicadeunactivodeinformaciónesmenoraldesumecanismode protecciónmásindicado,entoncesimplementartalmecanismonoesrentable Cuantitativamente: CMA=(CEIA CEIAPI)*POA Donde: CMA:CostosdeMitigacióndelaAmenaza CEIA:CostoEstimadodelImpactodelAtaque CEIAPI:CostoEstimadodelImpactodelAtaquePost Inversión POA:ProbablidaddeOcurrenciadelAtaque
73 AnálisisdeImpactoaNegocio BusinessImpactAnalysis(BIA):análisisqueordenalosactivosinformáticospor índicedecriticidad,deacuerdoacómoimpactanlosobjetivosdenegocio Realizadoporlosindividuosdelaorganizaciónquemejorconocimientotienendel negocioysusprincipalesprocesos Defundamentalimportanciaporquepermitecuantificarydimensionarlosesfuerzos deprotecciónadestinaracadaactivoinformático Requieredeactualizaciónfrecuente(anual,bi anual)
74 GerenciamientodeRiesgos Procesoqueinvolucra: Evaluarlosriesgos Tomarmedidasparareducirelriesgohastavaloresaceptables(mitigaciónderiesgos) Tomarmedidasparamantenerelnivelderiesgoenvaloresaceptables(riesgoresidual) LaprincipaltareadelCISO(ChiefInformationSecurityOfficer)esladegerenciar losriesgosderivadosdelusodelatiqueafectanasuorganización Elanálisisderiesgoaportaunconocimientomásprofundodelaorganizaciónque involucrarecurso,tecnologíasyprocedimientos
75 GerenciamientodeRiesgos(cont)
76 AnálisisdeRiesgos Comprende3actividades: determinarelalcanceylametodologíadelaevaluación recolecciónyanálisisdedatos interpretacióndedatos Elriesgoestáinfluenciadopormuchosfactores:activosexpuestos,amenazas, vulnerabilidades,mecanismosdeprotecciónactivos,impactoyprobabilidadde ocurrencia Enparticularlaestimacióndeprobabilidadesdeocurrenciadeataquesesuna suertedearte ciencia,enlacualelhistorialestadísticojuegaunpapelimportante (uncertaintyanalysis) Normalmentelasprincipalesdificultadessonlaestimacióndeprobabilidadesde ocurrenciaylavaloracióneconómicadelosactivos.
77 AnálisisdeRiesgos(cont) Elanálisisdebecontemplar: Identificaciónyevaluaciónderiesgos Identificaciónyevaluacióndelimpactodelosriesgos Recomendacióndemedidasdereducciónderiesgos Antecadaactivo,sedebeconstruirunamatrizderiesgo(MR)queconsiderecada premisaafectada(confidencialidad,integridadydisponibilidad)ycadaamenaza posible Elriesgosepodráexpresarentérminosporcentualesoenvaloreseconómicos según: Riesgo($)=ProbabilidadxImpacto($)
78 ConsecuenciasdelRiesgo
79 ConsecuenciasdelRiesgo
80 MitigacióndelRiesgo:Factibilidad Análisiscosto/beneficio Impactooperacional Viabilidaddeimplementación Efectividadenlamitigación Confiabilidad
81 MitigacióndelRiesgo:Estrategias Aceptacióndelriesgo Postergacióneneltratamientodelriesgo Minimizacióndelimpactodelriesgo Transferenciadelriesgo(ej:pólizadeseguro)
82 Evoluciónen ModelosdeProtección Tipo Fortaleza Tipo Aeropuerto Tipo Peer-to-Peer
83 ModeloFortaleza SeguridadPerimetral Modelobinariodeconfianza Estático,nodiferenciado Difícildeadaptar Inaceptableenorganizacionesde ciertaenvergadura(insiderproblem)
84 ModeloAeropuerto Mayorflexibilidad Múltipleszonasdeseguridadbasadasenmodelostransaccionalesynecesidades denegocio Proteccionesmultinivelinterzonas Colecciónjerárquicadefortalezasinteractuantes
85 ModeloAeropuerto
86 ModeloPeer to Peer Conceptosdinámicosdeconfianza,autenticaciónyautorización Requerimientoscomerciales Requerimientostecnológicos Inferirentiemporealquéquierohaceryconquiénquierohacerlo PuederequerirserviciosprovistosporTTP(TrustedThirdParties)
87 ModeloPeer to Peer(cont)
88 DispositivosdeDefensa Firewalls VPNProcessor MalwareDetectors SpamFilters AAAServers SBS(SecureBackupSolutions) IDS(IntrusionDetection Systems) IPS(IntrusionPrevention Systems) Honeypots,Honeynets PlataformasForenses CERTs IDD(InfrastructureDiscovery Devices) CorrelationEngines Biometría
89 RolesenunEquipodeSI Coordinador(CISO) Analistadesoportealcliente Especialistasdeplataformas(SSOO,Aplicaciones) Instructores EspecialistasenDocumentacióndeSI EspecialistasenRD&CN AuditoresdeSI AdministradoresdeSI AnalistasdeRespuestaaIncidencias ArquitectosdeSI Desarrolladores'Security Aware'
90 ContratandoAnalistasdeSI Cuidarelprocesodeselección:RRHHsuelenoentenderlosskillsdelosanalistasdeSI. Enestosmomentos,dadoquenoexisteformaciónacadémicaenSIenelpaís,esmuy difícildarconrecursosapropiados.considerarloparaelarmadodelaofertalaboral. Tenerencuentafactoreshumanos(ej:atenciónaldetalle,curiosidad,discreción, honorabilidad,etc)yfactorestécnicos(ej:conocimientostécnicos,capacidad intelectual,etc)
91 DesafectandoAnalistasdeSI Intentarladesafectaciónentérminosamistosos,yaquetienenaccesoainformación estratégicadelaorganización SeguirlasnormascorporativasquemanejaRRHH(lascualessupuestamentetienensoporte legal) Quitaraccesofísico Quitaraccesológico Comunicarapropiadamenteaproveedoresyclienteslasituación
92 GerenciamientodeSI: FactoresLegales ELChiefInformationSecurityOfficer(CISO)debeconocerelcuerpobásico deleyesqueafectanlaprácticadelasi.ademásdeberestarasesorado porelárealegalsobreelimpactodenuevasleyesenlaorganización LaimplementacióndeunaPolíticadeUsoAceptable(PUA)ydeun ConveniodeConfidencialidad(NDA)debenserprácticaestablecidaen todaorganización ElCISOtambiéndebeconocerlabasedelalegislacióninternacional vigenteenmateriadesiylosdistintostiposdeacuerdosdecooperación entreagenciasgubernamentalesenaspectosderespuestaaincidencias
93 GerenciamientodeSI: FactoresHumanos CorrectobalanceSeguridadvsUsabilidad SumaralosRRHHalalíneadedefensamedianteplanesdeconcientizaciónen distintosaspectosdelasi Imponerperoinformandolasrazones Factoresatenerencuentaenlacontratación Factoresatenerencuentaenladesafectación
94 OutsourcingvsInHouse Outsourcing Másalto Costo Valoragregado Mayor RapidezenelDelivery Másrápido Confidencialidad Menorconfidencialidad InHouse Másbajo Menor Máslento Mayorconfidencialidad
95 OrganizacionesdeGobierno: Complicaciones Generalmentelascomprasseresuelvenconprocesoslicitatorios,que llevanmuchosmesesparalaadquisición,vsladinámicaqueimponelasi Complejidadenlacontratacióndepersonalexperto Infraestructuratecnológicanoadecuada Dificultadesparafinanciarlicenciasdesoftwarecomercialsostenidamente Anivelsubnacional: faltadelegislaciónaplicable faltadegruposexclusivamentededicadosalasi faltadecerts(arcertsólodaserviciosalaadministraciónpública Nacional)
96 Referencias I. NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecialPublication II. Limoncelli&Hogan;ThePracticeofSystem&NetworkAdministration;Adisson Wesley; 2001 III.Wylder,J;StrategicInformationSecurity;AuerbachPublications;2004 IV.Snedaker,S;ITSecurityProjectManagementHandbook;Syngress;2006
97 Contingencia UnacontingenciadeSIesuneventoconelpotencialdeinterrumpirelfuncionamiento delossistemasyenconsecuencia,funcionescríticasdenegocio Sitalcontingenciaesdeciertagravedad,selaconsideradesastre ElPlandeContingencia(PC)oPlandeRecuperacióndeDesastresyContinuidadde Negocioo(PRDyCN)soportadirectamentelosobjetivosdelaorganización, garantizandolacontinuidaddelnegocio
98 TiposdeDesastres Natural Fuego,Inundación,Tormenta,Terremoto,Huracán Tecnológico Derrametóxico,Explosión,CortedeEnergía,CortedeComunicaciones,Virus Informático,etc Incitado Amenazadebomba,Terrorismo,Sabotaje,etc
99 TopTen 1.CortedeEnergía 2.Sobretensiones 3.ErrordeHardware 4.ErrordeSoftware 5.Dañosportormentas 6.Inundaciones 7.Huracanes 8.Incendios 9.Terremotos 10.Bombas
100 RazonesparaelPC ProtegerlosRRHH VentajasCompetitivas Evitarresignarsegmentosdemercado Evitarpérdidasmonetarias Evitarapercibimientosregulatorios Evitarimpactodeimagenanteclientesyaccionistas Bajarcostosdepólizasdeseguro Controlarelimpactooperativo
101 ImpactodeDesastres 43%delasorganizacionesafectadaspordesastresmayoresnovuelvenaoperar 29%continúanoperandoperocierranoperacionesdentrodelos2añosdeocurrido eldesastre 75%delasorganizacionesquepadecenundesastremayornuncaserecuperan
102 PlanesdeContingencia Unacontingenciasueleserestresante,conloqueesunerrorasumirquelos miembrosdelaorganizaciónpodránreaccionarimprovisandolasmedidasde recuperaciónmáseficientes Elobjetivofundamentaleseldeminimizarelimpactodedesastresenlaoperación continuadelasfuncionesdenegocio PlanificarvsImprovisar
103 PRDyCN:Etapas 1.Identificacióndefuncionescríticasdenegocio 2.Identificacióndelosrecursosquesoportandichasfunciones(RRHH,capacidadde cómputo,serviciosdecómputo,aplicacionesydatos,infraestructurafísica, documentosypapeles) 3.Anticipaciónacontingencias(desastres)potenciales 4.Seleccióndeestrategiasdecontingencia 5.Implementacióndelasestrategiasdecontingencia 6.Simulacióndecontingencia(testing)yrevisióndelplan
104 PRDyCN:Comité SedesignanmiembrosdelaorganizaciónparaintegrarelcomitédeRDyCN Dichosintegrantessuelensermiembrosdedistintasunidadesorganizativas(RRHH, Legal,Finanzas,Operaciones,Tecnología,Directorio,etc)ysuelenestarliderados poruncoordinadorderdycn ElComitédeRDyCNeselresponsabledeanalizarlanecesidaddeactivacióndel PRDyCNycomunicarloalrestodelaorganización TambiénesresponsabledelaactualizaciónyevaluaciónpermanentedelPRDyCN
105 PRDyCN:Fases Lasfasesdecontingenciasesuelendividirentrespartes: 1. Respuesta:abarcalasaccionesinicialesparaprotegerlasvidashumanasylimitar eldaño 2. Recuperación:pasosquesetomanparaelsoportecontinuodefuncionescríticasde negocio 3. Continuidad:eselretornoaoperaciónnormal
106 PRDyCN:Infraestructura HotSiteoRedundantSite ColdSite Sitiosreservadosensucursales(branchoffice) AcuerdoRecíprococonotraorganización Altadisponibilidadenequipamientoyenlacesencasamatriz(headquarters)
107 PRDyCN:Contenido ElPlandebeespecificar: Quénecesitahacerse Comosehará Dondesehará Cuandosehará Quienlohará
108 PRDyCN:Evaluación Muchosplanesnuncaevaluadosfallanmiserablementeenlacontingencia Elplandebeserevaluadoencondicionesrealistas Durantelasevaluacionesdelplansuelenencontrarseycorregirsevarioserrores Loserrorespuedenserenlalógicaoenlosprocedimientos Enciertoscasos,sesimulandesastresyseevalúanencondicionespseudo realesla validezyaplicabilidaddelplan(ejerciciosdeevacuación,etc) ElcomitédeRDyCNdebeorganizar,planificareimplementarlostestsconcierta periodicidad
109 Referencias I. BettyKildow;DisasterRecoveryPlanning:InsuringBusinessContinuity;AMA Seminars;2003 II.Maiwald&Sieglein;SecurityPlanning&DisasterRecovery;McGraw Hill;2002. III.NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecial Publication
110 NormasyEstándares Compilanlaexperienciadeprofesionalesdestacados,consensuandounconjuntode 'buenasprácticas'sobrelasqueeventualmenteseexigecumplimiento,por disposicionesregulatoriasquevaríandepaísenpaís Definenunaplataformaviableyunificadadeinteracciónentreorganizaciones,tanto paraelmundoprivadocomoparaelmundopúblico. Lasnormasdeestandarizacióntiendenaserabiertaseimparciales(vendor agnostic)paranofavoreceraciertosvendedoresdetecnología Algunasdeestasorganizacionessoninternacionalesytienenimpactoglobalporsu relevancia
111 Organizaciones ISO:InternationalOrganizationforStandarization(NGO) BSI:BritishStandardInstitute(UK) NIST:NationalInstituteofStandardsandTechnology(USA) IRAM:InstitutoArgentinodeNormalizaciónyCertificación ONTI:OficinaNacionaldeTecnologíadelaInformación(órganorectordelusodela TIparalaAdministraciónPúblicaNacional)
112 EstándaresenSI BS7799(1995,1999,2002,2005) ISO17799(1995) ISO/IEC/IRAM17799 ISO27001(2005)
113 ISO27001 EstábasadaenlaBS7799 3ydescribeunprocesode6etapas: I. DefinicióndeunapolíticadeSI II.DefinicióndelalcancedelgestióndelaSI III.ImplementacióndeunanálisisderiesgodeSI IV.Gestióndelosriesgosidentificados V.Seleccióndeloscontrolesaimplementarseyaplicarse VI.Elaboracióndelascondicionesdeaplicación AdiferenciadelaISO17799,permitelacertificaciónauditadaporciertasentidades homologadas(antiguamentesólolabs7799permitíalacertificación)
114 PlataformasdeITGovernance COSO(CommitteeofSponsoringOrganizationsoftheTreadway Commission) COBIT(ControlObjectivesforIT) SAC(SystemsAuditability&Control) SAS(StatementsonAuditingStandards)
115 AuditoríadeSI AuditoríaTradicional:basadaenlasrecomendacionesdeconsenso internacional(iso/bs17799,etc) AuditoríadeCódigodeSistemas Auditoríadeseguridad Auditoríafuncional(noladesarrollaremospornoserdenuestrointerés) AuditoríaPerimetral(penetrationtest) AuditoríabasadaenIngenieríaSocial AuditoríaForense
116 AuditoríadeCódigo Losauditoresinspeccionan,enformaautomatizadaprimero(con herramientasespecíficas)yenformamanualdespués,elcódigofuentede unaaplicaciónparadetectarvulnerabilidadesquepuedanserexplotadas poratacantes Seevalúalagravedaddelasvulnerabilidadesencontradas,sufactibilidad deexplotaciónlocaloremotaysecalculaelriesgoquelamisma representaparaelsistemaenestudio Enocasionespuedensugerirsealternativasparacorregirdichas vulnerabilidades Requiereespecializaciónentécnicasdeprogramaciónsegura
117 Pentest Implementadoporunequipodeanalistas(redteamotigerteam)quienes exploranelperímetroinformáticoydecomunicacionesdeuna organizaciónconelobjetivodeencontrarfallasdeseguridadexplotables Laideaessimularunataquetalcomoloharíanatacantesreales (proactividadvspasividad) Constadetresetapas Reconocimiento(fingerprintingdeSSOO,serviciosyaplicaciones) Explotación(demostracióncontroladadelaexplotacióndeunafalla) Reporte(presentaciónderesultadosalaorganizaciónquelocontrata) Requierepre acordarelalcancedemaneramuyprecisaconelcliente (infraestructuraaauditar,horariodeintervención,ndas,contactosante emergencias,etc)
118 IngenieríaSocial Implementadoporunequipodeanalistasquienesdiseñaneimplementan ataquesalaorganizaciónbasadoseningenieríasocial Departicularefectividadenorganizacionesgrandesconpolíticaslaxasde seguridadoconunplandeconcientizacióndeseguridadmuypobre Puedenalcanzarunniveldesofisticaciónsorprendente Ennumerososcasosselogranresultadosimpensados Contemplantécnicascomo Phonescreening E mailcontroyanos Escuchasilegales Phishing Presentacionesespontáneassimulandoserproveedores,etc Dumpsterdiving
119 AuditoríaForense Consisteenelanálisispost mortemdeunincidentedeseguridad Puedeserdeextremadadificultadpreservarlaevidenciaparaquetenga validezlegalanteposiblesaccionesqueinicielaorganizaciónvíctima Lasprincipalcomplicacióneslacapturadeinformacióndememorias volátiles Esunaespecialidadensímismaquerequiereprofundosconocimientosde bajoniveldessoo,lenguajesdeprogramación,compiladores,dispositivos dei/o
120 Referencias I. JackChamplain;AuditingInformationSystems;JohnWiley&Sons;2003 II.Senftetal;InformationTechnologyControl&Audit;Auerbach;2004. III.SusanSnedaker;ITSecurityProjectManagementHandbook;Syngress;2006
121 Gracias! GuillermoMarro
MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED
MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas
Más detallesDIPLOMADO EN SEGURIDAD INFORMÁTICA
INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el
Más detallesCURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información
CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,
Más detallesSeguridad de la Información & Norma ISO27001
Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos
Más detallesBS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008
BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo
Más detallesLa gestión del riesgo digital: conocimiento y mitigación
: conocimiento y mitigación Andrés García Ortega Banco Santander Madrid, 14 de Marzo de 2012 Conceptos 2 Transformación de los Riesgos Operacionales y como se manifiestan, afectados por los cambios y la
Más detallesMaterial adicional del Seminario Taller Riesgo vs. Seguridad de la Información
Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones
Más detallesSeguridad de la Información. Juan Heguiabehere
Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones
Más detallesCurso de doctorado. Seguridad en Redes de Ordenadores. Tema 1: Introducción a la seguridad informática
Curso de doctorado Seguridad en Redes de Ordenadores Tema 1: Introducción a la seguridad informática Definiciones: La seguridad informática es un atributo relativo, resultado del equilibrio conseguido
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesResolución Rectoral Nº 11150005-ULP-2010. ANEXO IV. Fecha Emisión Versión Revisión. ANEXO IV Resolución Rectoral Nº 11150005-ULP-2010
Pág. 1 de 8 ANEXO IV Resolución Rectoral Nº 11150005-ULP-2010 TERMINOS Y CONDICIONES CON TERCEROS USUARIOS DEL INSTITUTO DE FIRMA DIGITAL DE LA PROVINCIA DE SAN LUIS Política de Certificación del Instituto
Más detallesAUDITORIA DE SISTEMAS
AUDITORIA DE SISTEMAS Contenido 1 SEGURIDAD EN LOS CENTROS DE PROCESOS DE DATOS 2 SEGURIDAD FISICA 3 MECANISMOS DE SEGURIDAD BASICOS QUE DEBE CONTEMPLAR UN DATACENTER 4 COMBINACION DE METODOS PARA AUMENTAR
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesPROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:
PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos
Más detallesCÓDIGO: G52332 CURSO: SEGURIDAD INFORMATICA NIVEL MEDIO-AVANZADO Modalidad: Distancia Duración: 150 h
PROGRAMA FORMATIVO CÓDIGO: G52332 CURSO: SEGURIDAD INFORMATICA NIVEL MEDIO-AVANZADO Modalidad: Distancia Duración: 150 h Objetivos: Los contenidos incluidos en este curso abarcan los conceptos básicos
Más detallesPotenciando Internet
1 Potenciando Internet Pablo D. Sisca psisca@cybsec.com Seminario Tendencias de la Tecnología en Seguridad Informática 12 de Septiembre de 2002 Buenos Aires - ARGENTINA 2 Potenciando Internet Temario -
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesPOSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001
Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo
Más detallesSeguridad de la información en SMart esolutions
Seguridad de la información en SMart esolutions Índice Qué es SMart esolutions? Qué es la seguridad de la información? Definiciones Opciones de seguridad de SMart esolutions Preguntas frecuentes 04/05/2005
Más detallesDIPLOMADO SEGURIDAD EN REDES Y NORMA ISO IEC 27001
DIPLOMADO SEGURIDAD EN REDES Y NORMA ISO IEC 27001 DURACION LUGAR 168 horas. Pontificia Universidad Javeriana Cali OBJETIVO GENERAL Estar en capacidad de proponer soluciones de seguridad informática para
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesNTP - ISO/IEC 27001:2008
NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo
Más detallesINSTALACIÓN CERTIFICADO DE SEGURIDAD DEL SITIO WEB
INSTRUCTIVO INSTALACIÓN CERTIFICADO DE SEGURIDAD DEL SITIO WEB Elaborado por: María Fernanda Olivos Lloreda Analista de Tecnología Fecha 08/02/2010 Código: GTI-I-SU-03 Versión: 01 Revisado por: Erika Bracho
Más detallesResumen Norma ISO-27001.
Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:
Más detalles6 - Aspectos Organizativos para la Seguridad
Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detallesDESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA
DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar
Más detallesBIENVENIDOS! SITEPRO S.A.
BIENVENIDOS! SITEPRO S.A. QUÉ BUSCAMOS? Aumentar la seguridad en el acceso Sitios Web Software o Aplicaciones Home Banking Web Mail Redes y VPN PC s y Notebooks Esquemas SaaS Cloud Computing. ISO 27001/27002
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesLos mecanismos de seguridad convencionales ya no son suficientes
Los mecanismos de seguridad convencionales ya no son suficientes Acerca de mi Yered Céspedes Ingeniero en sistemas CISSP, CISA, CEH, CISM, ITIL Security+ Pentester Finalista de Global Cyberlympics 5 años
Más detallesBootcamp de Certificación 2015
CISSP 2015 Bootcamp de Certificación 2015 La Información es el activo más importante de la Organización y de las personas. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada
Más detallesFUNDAMENTOS SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2005
FUNDAMENTOS SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2005 Sistema de Gestión SISTEMA PARA ESTABLECER LA POLÍTICA Y LOS OBJETIVOS Y PARA LOGRAR DICHOS OBJETIVOS (ISO 9000 numeral 3.2.2)
Más detallesLa auditoría operativa cae dentro de la definición general de auditoría y se define:
AUDITORIA DE SISTEMAS DE INFORMACIÓN Definición de auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos
Más detallesCURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO
CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO Escuela de Informática y Telecomunicaciones El
Más detallesGestión de riesgo operacional
Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación
Más detallesBanco de la República Bogotá D. C., Colombia
Banco de la República Bogotá D. C., Colombia Departamento de Seguridad Informática SUBGERENCIA DE INFORMÁTICA MECANISMOS DE SEGURIDAD DE LOS SERVICIOS INFORMÁTICOS USI-ASI-1 Junio de 2007 Versión 3 CONTENIDO
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesSeguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática
Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema
Más detallesADOBE LIVECYCLE ES. Factores clave en la seguridad de documentos electrónicos. Roberto Boya Roberto.Boya@Adobe.com ENTERPRISE SUITE
Factores clave en la seguridad de documentos electrónicos ADOBE LIVECYCLE ES ENTERPRISE SUITE Roberto Boya Roberto.Boya@Adobe.com 2006 Adobe Systems Incorporated. All Rights Reserved. Agenda Adobe PDF
Más detallesCondiciones para que la Gerencia de Seguridad de. permanezca vigente.
Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.
Más detallesCómo hacer coexistir el ENS con otras normas ya
Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción
Más detallesASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.
SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesSeguridad Informática
Seguridad Informática Programa de estudio versión 1.0 The European Computer Driving Licence Foundation Ltd (ECDL Foundation) Third Floor Portview House Thorncastle Street Dublin 4, Ireland Tel: +353 1
Más detallesmope SEGURIDAD INFORMÁTICA
DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3
Más detallesCRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue
CRIPTOGRAFIA Qué es, usos y beneficios de su utilización Introducción Antes, computadoras relativamente aisladas Hoy, computadoras en redes corporativas conectadas además a Internet Transmisión de información
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesPrograma de Asignatura
Programa de Asignatura Seguridad Informática 01 Carrera: Licenciatura en Tecnología Informática 02 Asignatura: Seguridad Informática 03 Año lectivo: 2013 04 Año de cursada: 3er año 05 Cuatrimestre: Segundo
Más detallesTendencias actuales en Seguridad Informática
Alejandro Oliveros Director aoliveros@trends-idc.com.ar Tendencias actuales en Seguridad Informática www.idc.com Agenda Software de seguridad Servicios de seguridad Hardware de seguridad Mercado mundial
Más detallesInformación. Ing. Max Lazaro. Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesGestión de riesgo operacional
Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación
Más detallesAgenda. Seguridad y Control en las Organizaciones Electrónicas (e-business)
Seguridad y Control en las Organizaciones Electrónicas (e-business) IMAI- XX Encuentro Nacional de Auditores Internos Agosto 12, 2005 Ing. Director del Programa en Comercio Electrónico ITESM Campus Monterrey
Más detallesCómo organizar un proyecto de seguridad de la información en el. M. en C. Ulises Castillo. CISSP, CISM, CISA. Julio, 2009
Cómo organizar un proyecto de seguridad de la información en el M. en C. Ulises Castillo. CISSP, CISM, CISA. Julio, 2009 Agenda Agenda 0. Lineamientos generales Agenda 0. Lineamientos generales 1. Problemática
Más detallesVicepresidencia de Regulación y Negocios con Operadores Bogotá D.C., Colombia Teléfono: +57 1 242 2141 Fax: +57 1 342 3513
Resolución 3067 Seguridad en Red Modelos de Seguridad ETB desarrolla el modelo de seguridad basado en los requerimientos de los clientes y bajo el marco de las normas ISO 27001 y 27002. El modelo extiende
Más detallesDECLARACIÓN INTERNACIONAL DE PRÁCTICAS DE AUDITORÍA 1013. COMERCIO ELECTRÓNICO EFECTO EN LA AUDITORÍA DE ESTADOS FINANCIEROS (Vigente)
DECLARACIÓN INTERNACIONAL DE PRÁCTICAS DE AUDITORÍA 1013 COMERCIO ELECTRÓNICO EFECTO EN LA AUDITORÍA DE ESTADOS FINANCIEROS (Vigente) Report to the Audit Committee February 26, 2010 Objetivo El propósito
Más detallesSeguridad en la transmisión de Datos
Seguridad en la transmisión de Datos David Peg Montalvo Santiago de Compostela Noviembre 2005 Índice 01 Seguridad. Ámbito de aplicación 02 Control de acceso 03 Conceptos básicos de criptografía 04 PKI
Más detallesTaller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC
Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones
Más detallesDE RIESGOS DE TI. GESTIÓN 1. INTRODUCCIÓN
GESTIÓN DE RIESGOS DE TI. 1. INTRODUCCIÓN Dentro de los modelos de gestión de TI soportados bajo el enfoque de procesos, gestión de riesgos y PHVA, se encuentran las normas ISO 27001, ISO 20000, ITIL y
Más detallesSeguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups.
1 Colegio Bosque Del Plata Tecnología de la Información y las Comunicaciones UNIDAD 3 Uso y control de los sistemas de información E-mail: garcia.fernando.j@gmail.com Profesor: Fernando J. Garcia Ingeniero
Más detallesNorma Técnica Peruana:
Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con
Más detallesContinuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes
Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes José Luis Reyes Noviembre de 2015 AGENDA Quienes somos? Definiciones: Awareness, Previsión, COB, Riesgo y Activos
Más detallesMETODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.
METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la
Más detallesTELETRABAJO SEGURO. Manuel Arrevola Director General Comercial. Zitralia Seguridad Informatica S.L.
TELETRABAJO SEGURO Manuel Arrevola Director General Comercial Zitralia Seguridad Informatica S.L. Agenda Tendencia actual al TELETRABAJO Descripción de la compañía ZITRALIA Introducción: Riesgos en los
Más detallesSoluciones Tecnológicas para La Banca Virtual Fabian Martins, M.Sc. Gerente de Desarrollo de Productos y Ethical Hacking
Soluciones Tecnológicas para La Banca Virtual Fabian Martins, M.Sc. Gerente de Desarrollo de Productos y Ethical Hacking 1975 Fundación. 1989 Adquisición por Bradesco. 1996 La primera banca por internet
Más detallesTEMA XIV. Concepto de seguridad
TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad
Más detallesNuevas formas de archivar documentos electrónicos
Nuevas formas de archivar documentos electrónicos Fundación Sierra Pambley 5as Jornadas Archivando León 8 y 9 de noviembre 2012 Carmen Conty Directora General EVER TEAM Spain Gestión y conservación de
Más detallesPOLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN
PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO
Más detallesINFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA
INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES
Más detallesManejo y Análisis de Incidentes de Seguridad Informática
Manejo y Análisis de Incidentes de Seguridad Informática Julio Ardita jardita@cybsec.com CYBSEC Agenda - Incidentes de seguridad en la Argentina - Manejo de incidentes de seguridad - Metodologías de investigación
Más detallesCoordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados
ANEXO 3: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesSeguridad en Sistemas Módulo 1 Parte 1: Conceptos Generales. Carlos A. Rojas Kramer UCC
Seguridad en Sistemas Módulo 1 Parte 1: Conceptos Generales Carlos A. Rojas Kramer UCC Amenazas y ataques Amenaza es una violación potencial de la seguridad de un sistema. Ataque es un intento (exitoso
Más detallesCómo se garantiza la seguridad en gestión documental?
13º WEBINAR Cómo se garantiza la seguridad en gestión documental? Jueves, 12 de marzo de 2015 Instrucciones Índice del webinar Bienvenida participantes y presentación Lucía González. Cómo se garantiza
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesESCUELA POLITECNICA NACIONAL
1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesProfesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012
Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.
Más detallesEl Banco Central de la República Argentina
El Banco Central de la República Argentina Gerencia de Auditoría Externa de Sistemas Marcelo Héctor González, CISA, CRISC 1 Puntos de Interés La visión del riesgo de tecnología informática (TI). Activos
Más detallesTEMA: PONENTE: PROEXPORT (Colombia) Miguel
TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP
Más detallesBanco de la República Bogotá D. C., Colombia
Banco de la República Bogotá D. C., Colombia Subgerencia de Informática Unidad de Protección y Continuidad Informática Manual de Contingencia Servicio de Liquidación de Transacciones por Archivo entre
Más detallesSeguridad en aplicaciones y base de datos
Universidad Nacional de Asunción Facultad Politécnica Maestría en TIC Énfasis en Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) e-mail alternativo:
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesNombre del documento: Programa de Estudio de asignatura de Especialidad. Nombre de la asignatura: Seguridad Informática I
Referencia a la Norma ISO 9001:2008 7.3 Página 1 de 13 1.- DATOS DE LA ASIGNATURA Nombre de la asignatura: Seguridad Informática I Carrera: Ingeniería en Sistemas Computacionales Clave de la asignatura:
Más detallesPROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN
i Security PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN 0412 3328072-0414 1328072-0414 3209088 i Security INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA (CSI00N1) 1. Principios de seguridad
Más detallesANEXO 12: CORRESPONDENCIA DE ESTÁNDARES
ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República
Más detallesBIENVENIDOS! SITEPRO S.A.
BIENVENIDOS! SITEPRO S.A. QUÉ BUSCAMOS? Aumentar la seguridad en el acceso Sitios Web Software o Aplicaciones Home Banking Web Mail Redes y VPN PC s y Notebooks Esquemas SaaS Cloud Computing. ISO 27001/27002
Más detallesCI Politécnico Estella
SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos
Más detallesLos virus informáticos
SEGURIDAD DE LA INFORMACIÓN Es el estudio de los métodos y medios de protección de los sistemas de información y comunicaciones frente a amenazas de los siguientes tipos: - Sin intervención humana Amenazas
Más detallesModelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM
Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel
Más detallesSeguridad de la Información
ESTRATEGIAS CORPORATIVAS y Seguridad de la Información Carlos Ormella Meyer Ing. Carlos Ormella Meyer & Asoc ECySI - 1 Planificación estratégica Misión, valores. Visión, metas y objetivos. Planificación.
Más detallesDescripción y Contenido del Curso. Cisco CCNA Security. Capacity Academy. www.capacityacademy.com
Descripción y Contenido del Curso Cisco CCNA Security Capacity Academy Educación en Tecnología de la Información Online, Efectiva y Garantizada Qué aprenderá si toma este Curso? Con este importante curso
Más detallesSeminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:
Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1 Agenda La Seguridad
Más detallesGlosario de términos
Glosario de términos Acreditación Proceso por el cual se verifica, ante la Autoridad Administrativa Competente, que la planta de certificación PKI cumple con los estándares internacionales contemplados
Más detallesAlternativas actuales y de futuro en la autenticación de Usuarios Gestión de identidad en la Banca On-line
Alternativas actuales y de futuro en la autenticación de Usuarios Gestión de identidad en la Banca On-line Miguel López Sales Manager Aladdin Europe Índice 1. Qué es la autenticación fuerte? 2. Por qué
Más detallesLA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA
Más detallesAuditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.
Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de
Más detallesCLOUD COMPUTING MITOS Y VERDADES
CLOUD COMPUTING MITOS Y VERDADES Presentada por: Ardita, Julio César CTO CYBSEC jardita@cybsec.com Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material
Más detalles