Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Haga clic para cambiar el estilo de título

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Haga clic para cambiar el estilo de título"

Transcripción

1 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos y definiciones principales Riesgos Estándares y mejores prácticas Lineamientos para Mejorar la Seguridad de las Aplicaciones Mecanismos de Autenticación Amenazas y Ataques Página 1 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Conceptos y definiciones principales

2 Contexto y Entorno 76 % del software y aplicaciones testeadas tienen graves problemas de seguridad en su diseño y en su implementación Encuentas de Foundstone $ 60B Es el costo de problemas en la calidad del software en los Estados Unidos Departamento de Comercio de Estados Unidos $3 B Es el costo del sofware inseguro en la Industria Financiera de Estados Unidos Encuenta del 2002 del NIST 100x Es hasta 100 veces más costoso corregir una debilidad de seguridad de programación en Producción que en la etapa de Diseño IBM Systems Sciences Institute Página 3 Contexto y Entorno El auge de Internet y su utilización como una herramienta de soporte al desarrollo de negocios ha generado un nuevo escenario en lo que refiere a seguridad informática; En paralelo al crecimiento en el uso de Internet distintos hechos han conducido a una mayor concientización sobre los riesgos de seguridad existentes en este nuevo ambiente de negocios Ataques de Hackers Worms, Troyanos y Virus Nuevas vulnerabilidades Sin embargo, la seguridad fue analizada y aplicada fundamentalmente sobre la capa de infraestructura tecnológica, mediante la implementación de soluciones tecnológicas puntuales Firewalls Antivirus Procesos de Patch Management Configuración Segura de Servidores y Dispositivos de Red Página 4 Contexto y Entorno La seguridad de la capa aplicativa recibe muy poca atención, limitando la consideración de aspectos de seguridad a la administración de usuarios y permisos de acceso. En general, los ciclos de desarrollo y puesta en marcha de nuevas aplicaciones no consideran de manera específica los requerimientos de seguridad No se incluyen los requerimientos de seguridad en el diseño de las aplicaciones No se utilizan estándares de arquitectura y codificación segura El control de acceso y la administración de usuarios es generalmente propietario El testeo de las aplicaciones no incluye pruebas destructutivas de seguridad En algunos casos, la consideración de los requerimientos de seguridad se produce cuando el proceso de desarrollo está muy avanzado, donde los costos de solución son significativos y a veces inviables desde el punto de vista del proyecto Página 5

3 Contexto y Entorno De manera concurrente, existe una tendencia creciente a que las aplicaciones de negocio sean web-enabled, de forma tal de facilitar su distribución y acceso, tanto a nivel interno como desde fuera de la organización En particular, las aplicaciones publicadas en Internet están expuestas a usuarios maliciosos, con conocimientos específicos de cómo aprovecharse de debilidades de programación para afectar la confidencialidad, integridad y disponibilidad de información de negocio. Este contexto hace que hoy en día las aplicaciones estén sometidas a nuevas presiones en materia de seguridad, y que requieran un enfoque de seguridad diferente al actualmente aplicado Página 6 Contexto y Entorno Para pensar Si los gigantes del software (ej. MICROSOFT) construyen aplicaciones con bugs de seguridad No es lógico pensar que las aplicaciones que nosotros desarrollamos también tengan bugs de seguridad?? Aplicaciones de HOME BANKING Extranets para Acceso a CLIENTE y PROVEEDORS Aplicaciones de Negocio / Corporativas web-enabled Página 7 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Riesgos

4 Riesgos y Expuestos - El impacto de la inseguridad en las aplicaciones Las debilidades de seguridad en las aplicaciones pueden derivar en situaciones criticas para la seguridad de la información que administran: Exposición de información confidencial a usuarios no autorizados Interrupciones del servicio por errores en el procesamiento de información ingresada al sistema Exposición a ataques de inyección de código que permitan acceder a las bases de datos de la aplicación Ejecución de comandos en el servidor, a partir de debilidades en la programación, generalmente con máximos privilegios sobre el recurso El impacto es sobre la información, que es el activo crítico que se intenta proteger Página 9 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Estándares y Mejores Prácticas Estándares y Mejores Prácticas - OWASP The Open Web Application Security Project (OWASP es un grupo voluntario que produce estándares y herramientas para el desarrollo seguro de aplicaciones web Este grupo desarrolla distintos documentos y estándares que constituyen un marco de referencia para la definición y evaluación de seguridad en aplicaciones web La guía OWASP Guide to Building Secure Web Applications contiene guías y recomendaciones para el desarrollo de aplicaciones web considerando los aspectos críticos y particulares de seguridad de este tipo de aplicaciones Página 11

5 Estándares y Mejores Prácticas - OWASP Principales documentos y estándares generados por OWASP Listado de Vulnerabilidades Críticas que afectan a las aplicaciones web TOP TEN Estándares para desarrollo de aplicaciones seguras Metodología para testing de seguridad de aplicaciones web Herramientas para soporte de revisión de seguridad de aplicaciones Aportes a la ISO17799 en la implementación técnica de seguridad en el desarrollo de aplicaciones web Página 12 Estándares y Mejores Prácticas - Estándares de Codificación Segura Dadas las particularidades propias de cada lenguaje, existen estándares de codificación segura con foco específico en la construcción de aplicaciones seguras en cada lenguaje Estos estándares describen prácticas de codificación para evitar la presencia de bugs de programación que afecten a la seguridad de la aplicación Microsoft (.NET), SUN (JAVA), y distintos grupos de desarrollo son las fuentes de elaboración de estos documentos Página 13 Estándares y Mejores Prácticas - Otros Estándares Otros estándares que pueden ser considerados como marco de referencia para mejorar los procesos de desarrollo desde el punto de vista de la seguridad de las aplicaciones: NIST Security Cosiderations in the Information System Development Life Cycle, que presenta una serie de mejores prácticas y actividades a incluir en el ciclo de desarrollo para mejorar la seguridad de las aplicaciones CMM (Capability Maturity Model) es un modelo iterativo para el desarrollo de aplicaciones, con foco en la calidad y mejora de los procesos de desarrollo para llegar a distintos niveles de madurez. Página 14

6 Estándares y Mejores Prácticas - Threat Modeling Es un proceso iterativo que permite la identificación y clasificación de las amenazas que pueden afectar a una aplicación. Threat Modeling Web Applications - Microsoft 2005 Página 15 Estándares y Mejores Prácticas - Threat Modeling - Etapas Identificar activos Identificar los activos a proteger Crear un esquema de la arquitectura Que hace la aplicación y que activos usa Crear un diagrama de la arquitectura Identificar las tecnologías utilizadas para la implementación Descomponer la aplicación Límites de confianza Puntos de entrada Flujo de información Identificar código crítico Crear y documentar un perfil de seguridad Página 16 Estándares y Mejores Prácticas - Threat Modeling - Etapas Identificar las amenazas De red, hosts y aplicación Categorías STRIDE Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of privilege Documentar las amenazas Clasificar las amenazas Probabilidad * Daño potencial Modelo DREAD Damage potential (daño potencial) Reproducibility (oportunidad) Exploitability (complejidad) Affected users (usuarios afectados) Discoverability (notoriedad) Página 17

7 Threat Modeling - Herramientas Microsoft Threat Modeling Tool: NIST CCToolbox (Common Criteria Toolbox): Página 18 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Lineamientos para Mejorar la Seguridad de las Aplicaciones Lineamientos para Mejorar la Seguridad de las Aplicaciones Principales aspectos a considerar desde el punto de vista de la seguridad de las aplicaciones Arquitectura de la Aplicación Consideraciones en la implementación Validación de los datos de entrada (fundamentalmente del lado servidor) Mecanismos de Autenticación y Autorización Manejo de Sesiones Mecanismos de Encripción Pasaje y Manipulación de Parámetros Manejo de Errores y Excepciones Logging y Auditoría Página 20

8 Lineamientos para Mejorar la Seguridad de las Aplicaciones Desarrollo de estándares de Seguridad Página 21 Lineamientos para Mejorar la Seguridad de las Aplicaciones Inclusión de Actividades de Seguridad en el Ciclo de Desarrollo Security Training Design Design Review Maintenance/ Update Request Construction Penetration Test Deployment Automated Scanning QA and Testing Penetration Test Code Review Automated Code Review Página 22 Lineamientos para Mejorar la Seguridad de las Aplicaciones Como encarar el proceso de cambio PLAN DESARROLLO IMPLEMENTACION ACTIVIT TIVIDADES Evaluar la situación existente Definir los requerimientos y necesidades de seguridad generales para las aplicaciones Desarrollar los estándares Definir los nuevos procesos Definir roles y responsabilidades Capacitar a los desarrolladores y otros recursos clave de IT Poner en funcionamiento los procesos y estándares RETROALIMENTACION ITERACION DEL PROCESO y MONITOREO CONCIENTIZACION A LOS DESARROLLADORES Página 23

9 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Seguridad en el proceso de Desarrollo Separación de Ambientes Es deseable tener al menos 3 ambientes para el desarrollo de sistemas con un adecuado nivel de seguridad y controles: Ambiente de Desarrollo Ambiente de Pruebas Ambiente de Producción Para cada nivel deben considerarse controles tipo AAA Es importante tener definido el proceso de pasaje de un ambiente al siguiente que contemple al menos: Responsables en cada punto crítico. Participación de las áreas usuarias. El flujo de las autorizaciones y de los desarrollos. La documentación respaldatoria que se generará. Niveles de aprobación de acuerdo a la criticidad. Página 25 Controles de Aplicaciones Exactitud (accuracy) La información/ datos ingresados a las distintas aplicaciones deben ser exactas. No debe haber diferencias entre lo que se tiene que ingresar y lo que se ingreso. Seguridad Preservar la C-I-D Consistencia La información/ datos deben ser consistentes Debe ser parte del proceso natural de desarrollo, no un agregado final. Debe estar contemplada en todas las fases del proyecto, desde la fase de requerimientos hasta la implementación de la solución. Página 26

10 Controles en las Aplicaciones Preventivos Detectivos Correctivos Precisión Consistencia Revisión de datos, formularios, pantallas personalizables, chequeos de validez, etc. Diccionario de datos, estándares de programación, DBMS CRC, hash, comprobaciones lógicas Controles de comparación, reconciliación Backups, reportes de control Comentarios en programas, controles en base de datos Seguridad clasificación, encripción, separación de ambientes IDS, logs de auditoria Respuesta ante emergencias Página 27 Diseño de Sistemas Hacer un diseño ordenado, utilizando casos de uso bien planteados permite Definir los límites del sistema Determinar relaciones contextuales Identificar Actores y Roles Determinar las condiciones Previas y Posteriores a la ejecución Simplifica el proceso de clasificación de la información Enfocarse exclusivamente en casos de uso positivos nos lleva a: Atrasos del proyecto al agregar y probar la seguridad Baja integración ió de la seguridad d en la aplicación ió Testeos y calidad de seguridad bajos Dentro de lo posible, crear al menos un caso de uso negativo (caso de abuso) por cada caso positivo Un caso de abuso es el inverso de un caso de uso Nos muestra aquellos actores con quienes no queremos interactuar (abusadores), y las acciones que el sistema debería detectar y no permitir. Página 28 Diseño de Sistemas Los casos de abuso Ven el sistema desde el punto de vista del atacante Ayudan a Determinar requerimientos de seguridad Crear Modelos de amenazas (Threat Modeling) Página 29

11 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Mecanismos de Autenticación Principales Mecanismos de Autenticación Autenticación HTTP Basic Digest Integrada NTLM Negotiate Certificados Form-Based Authentication Otros Página 31 Autenticación HTTP Básica La más débil de todas las opciones Transmite el usuario y clave en texto plano (Base64) Digest Usa un sistema de challenge-response Envía un digest encriptado. Susceptible de ataques de repetición La implementación de MS requiere que las claves sean reversibles Página 32

12 Autenticación NTLM (NT Lan Manager) Integrada con windows Requiere que todos los clientes usen el Internet Explorer Negotiate Extensión de NTLM de Windows 2000 Requiere que todos los clientes sean Windows 2000 o superior. Certificados Usa PKI y Certificados Digitales para autenticar al usuario Muy complejo de implementar Otros Diseños a medida Propietarios (ej: Oracle Forms) Página 33 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Amenazas y Ataques Amenazas y Ataques Ingeniería Social Password Attack Password Guessing Brute Force Dictionary Hybrid Citizen Programmers Se refiere a la programación NO supervisada. Generalmente ocurre cuando un usuario tiene permitido modificar los programas de software. Una de las plataformas susceptibles a este tipo de inconvenientes, es aquella relacionada con las aplicaciones desarrolladas en Visual Basic for Application, el cual forma parte de la suite de aplicaciones de Oficina mas popular. Página 35

13 Amenazas y Ataques (Cont.) Denial of Services (DoS) / Denial of Services Distributed (DDoS) Los ataques DoS pueden ser realizados por medio del envío de paquetes mal formados a la pila de red de un sistema determinado. Esto podría resultar en que el sistema objetivo, al no poder procesar correctamente este tipo de tráfico, se desborde o deje de realizar su tarea. Los ataques DoS intentan atacar los recursos de sistema del equipo objetivo. Estos pueden ser: Ancho de banda Procesos Cuota de disco Memoria CPU Etc. Los ataques DDoS son una extensión lógica de los DoS. Estos envuelven mas de un equipo informático con fines de amplificación. Página 36 Amenazas y Ataques (Cont.) Buffer Overflow Un Buffer Overflow, se produce cuando un programa, es poco estricto en la gestión de su espacio de memoria o no comprueba adecuadamente la longitud de las entradas recibidas como parte de su operación. Si una aplicación no verifica la cantidad de información que esta siendo ingresada, o lo hace incorrectamente, el atacante podría ingresar mas datos de los esperados, de modo tal que estos terminen sobrescribiendo otros segmentos de memoria. Este tipo de ataque puede ocasionar negaciones de servicio o habilitar que determinado código no autorizado se ejecute en modo privilegiado. Página 37 Buffer Overflow Qué es? Un Buffer Overflow, se produce cuando un programa, es poco estricto en la gestión de su espacio de memoria o no comprueba adecuadamente la longitud de las entradas recibidas como parte de su operación. Si una aplicación no verifica la cantidad de información que esta siendo ingresada, o lo hace incorrectamente, el atacante podría ingresar mas datos de los esperados, de modo tal que estos terminen sobrescribiendo otros segmentos de memoria. Este tipo de ataque puede ocasionar negaciones de servicio i o habilitar que determinado código no autorizado se ejecute en modo privilegiado. Página 38

14 Buffer Overflow Amenazas Al sobrescribir parte de la información del programa en memoria, puede perderse el control de la misma. Adecuadamente preparado, puede generar el acceso en forma privilegiada al sistema operativo. Recomendaciones Controlar adecuadamente TODA la información recibida como entrada a la aplicación; ió Minimizar los puntos de contacto de entrada, de manera tal de reducir al mínimo las interfaces capaces de ser explotadas; Probar activamente cada módulo de manera tal de asegurarse que el mismo no puede exponer, por un buffer overflow, la seguridad de la aplicación y/o el sistema operativo. Página 39 Inyección SQL Qué es? Ejecutar comandos maliciosos de SQL, al agregar queries de SQL en formularios web, o en el URL de acceso a una página web Clásico ejemplo de un programa que no valida la entrada proveniente del usuario Amenazas Acceso a la base de datos a través del servidor Web. Daño en función de: Privilegios de la cuenta utilizada por la aplicación para acceder a la base de datos. Seguridad del ambiente de base de datos y de la infraestructura de seguridad asociada. Página 40 Inyección SQL Mitos 1. Lo evito configurando bien mi firewall. 2. Es un problema sólo de Microsoft SQL Server 3. Cambiando los mensajes de error de mi web server, evito el problema 4. Client-side Javascript para validar los parámetros de los formularios, evitan el ataque 5. Si uso stored procedures, el problema no lo tengo Página 41

15 Inyección SQL Database Footprinting Es el proceso de recuperar información sobre la estructura y configuración de una base de datos. Suele ser el primer paso de un ataque, que sirve para decidir la forma más adecuada de hacer un ataque. El método más seguro de hacerlo (aunque lento) es a través de los mensajes de error de una página Ejemplo: Empezamos poniendo un ': Error Type: Microsoft OLE DB Provider for ODBC Drivers (0x80040E14) [Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ' AND U.uID=P.uID'. /prueba/sqlinj/index.asp, line 20 Página 42 Inyección SQL Recomendaciones Filtrar TODO el contenido provisto por el usuario en formularios o en URL; Modificar mensajes de error (dificulta, no lo protege); Limitar accesos provistos a la aplicación en la base de datos: diferentes tareas diferentes privilegios; Seguridad en la base de datos / criptografía; Validar cantidad de información que se obtiene en cada query a la base de datos. Página 43 Cross Site Scripting - XSS Qué es? Hacer que un servidor Web presente a un cliente (browser) código contenido en un URL, potencialmente dañino. El código es presentado al cliente con las credenciales del servidor. Ej: certificado digital de SSL. Página 44

16 XSS Amenazas El cliente confía en el código presentado por el servidor. Podría ingresar información confidencial: usuarios, contraseñas, información personal, financiera, etc; Podría contener links a sitios / código malicioso que el usuario podría descargar y/o ejecutar; Permite, en forma limitada, acceder a información de sesión (cookie theft). Página 45 Preguntas? Curso de Seguridad de la Información - Módulo VIII Seguridad en A li i 4

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos

Más detalles

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina Introducción Introducción n a la seguridad en el SDLC Actualmente

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Gestión de la Seguridad Informática

Gestión de la Seguridad Informática Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...

Más detalles

Modelado de Amenazas Una Introducción

Modelado de Amenazas Una Introducción OWASP Latam Tour The OWASP Foundation Buenos Aires, Argentina 2012 http://www.owasp.org Modelado de Amenazas Una Introducción Hernán M. Racciatti, CISSP, CSSLP, CEH SIClabs hracciatti@siclabs.com @my4ng3l

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

100% Laboratorios en Vivo

100% Laboratorios en Vivo 100% Laboratorios en Vivo Sabemos que la única forma de aprender es haciendo. Por lo mismo todos los laboratorios son con desafíos de hacking en un ambiente en vivo. Con servidores y servicios dentro de

Más detalles

Modelamiento de Amenazas en el Desarrollo de Software

Modelamiento de Amenazas en el Desarrollo de Software Modelamiento de Amenazas en el Desarrollo de Software Davor A. Pavisic Jalasoft CTO Agenda La importancia Definición Beneficios Metodología Conclusiones 2 Porque Modelar Amenazas? La seguridad de aplicaciones

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope.

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope. DENOMINACIÓN: Código: IFCT0609 Familia profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC303_3

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

OWASP: Un punto de vista. aplicaciones web seguras

OWASP: Un punto de vista. aplicaciones web seguras OWASP: Un punto de vista pragmático para el desarrollo de aplicaciones web seguras Armando Carvajal (armando.carvajal@globalteksecurity.com) Gerente Arquitecto Soluciones Globaltek Security Master en seguridad

Más detalles

Procedimiento de Gestión de Incidentes de Seguridad de la Información

Procedimiento de Gestión de Incidentes de Seguridad de la Información SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS Vicepresidencia de Infraestructura Gerencia Planeación Infraestructura y Servicios TABLA DE CONTENIDO 1. OBJETIVO...

Más detalles

Information Security Network Management Solutions

Information Security Network Management Solutions SM@RT-IT Information Security Network Management Solutions SERVICIO DE CONSULTORIA DE RED INTRODUCCIÓN El servicio de consultoría de red, considera actividades conducentes a obtener una visión holistica

Más detalles

Test de intrusión (Penetration Test) Introducción

Test de intrusión (Penetration Test) Introducción Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Seguridad en.net. Daniel Seara

Seguridad en.net. Daniel Seara eguridad en.et Daniel eara Proceso de desarrollo Definir que hace la aplicación y como se usa Los usuarios ven páginas con catálogos Realizan búsquedas del mismo Agregan ítems al carrito Cierran la operación

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Pruebas de Intrusión de Aplicación

Pruebas de Intrusión de Aplicación Pruebas de Intrusión de Aplicación Enero 23, 2013 Esteban O. Farao Information Security Director CISSP, CISA, CRISC, PCIP, PCI-QSA, PCI-ASV Enterprise Risk Management, Inc. Agenda Que significa Pruebas

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

Q-expeditive Publicación vía Internet

Q-expeditive Publicación vía Internet How to Q-expeditive Publicación vía Internet Versión: 2.0 Fecha de publicación 11-04-2011 Aplica a: Q-expeditive 3 Índice Introducción... 3 Publicación de servicios... 3 Ciudadanos... 3 Terminales de auto

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Fabian Portantier Consultor en Seguridad Informática Instructor y Escritor sobre el tema Coordinador de la Carrera de Seguridad www.portantier.com Aplicaciones Web Actuales

Más detalles

PCI Day Today PCI DSS. WebSphere DataPower. 2008 IBM Corporation

PCI Day Today PCI DSS. WebSphere DataPower. 2008 IBM Corporation PCI DSS WebSphere DataPower AGENDA Necesidades DataPower y PCI Demo Línea de productos LO QUE BUSCAN LOS EJECUTIVOS Flexibilidad crecer mas rápido Eficacia gastar menos Capacidad de Reacción aumentar la

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

ENCUENTA - CONTABILIDAD Net. Definiciones generales

ENCUENTA - CONTABILIDAD Net. Definiciones generales ENCUENTA - CONTABILIDAD Net Definiciones generales 2013 ENCUENTA - CONTABILIDAD Net Definiciones generales Contenido 1 GENERALIDADES... 3 2 DISTRIBUCIÓN GENERAL DE LOS ELEMENTOS DEL SISTEMA... 3 3 REQUERIMIENTOS...

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

calidad brochure Software Quality Assurance/Project Management IDEOLOGY INTELLIGENCE INFORMATION IMPR INNOVATION ISO 9001:2000

calidad brochure Software Quality Assurance/Project Management IDEOLOGY INTELLIGENCE INFORMATION IMPR INNOVATION ISO 9001:2000 calidad 2009 brochure Software Quality Assurance/Project Management IDEOLOGY INTELLIGENCE INFORMATION IMPR INNOVATION Software Quality Assurance Project Management Dos de los factores que más positivamente

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

PLAN DE PRUEBAS SISTEMA DE GESTIÓN HOSPITALARIA. Plan de Pruebas. File: 20130211-QA-INF-V2-PLAN DE PRUEBAS.odt STD-INF-GENERAL Versión: 1.

PLAN DE PRUEBAS SISTEMA DE GESTIÓN HOSPITALARIA. Plan de Pruebas. File: 20130211-QA-INF-V2-PLAN DE PRUEBAS.odt STD-INF-GENERAL Versión: 1. Cliente: FCM-UNA Página 1 de 14 PLAN DE PRUEBAS SISTEMA DE GESTIÓN HOSPITALARIA Cliente: FCM-UNA Página 2 de 14 Tabla de contenido 1. INTRODUCCIÓN 1.1. PROPÓSITO 1.2. ALCANCE 1.3. DEFINICIONES, ACRÓNIMOS

Más detalles

Custodia de Documentos Valorados

Custodia de Documentos Valorados Custodia de Documentos Valorados En el complejo ambiente en que se desarrollan los procesos de negocio actuales, se hace cada vez más necesario garantizar niveles adecuados de seguridad en la manipulación

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle

Desarrollo seguro en Drupal. Ezequiel Vázquez De la calle Sobre mi Estudios Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Experto en Seguridad de las TIC - US Experiencia Aficiones 3+ años como desarrollador web, casi 2 en Drupal

Más detalles

Impacto Real para un mejor Perú

Impacto Real para un mejor Perú Impacto Real para un mejor Perú Educación y Juventud Inclusión Social Desarrollo Regional Firmas Digitales Seguridad en Dispositivos Seguridad en la Información Seguridad en Internet Seguridad en la

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

Microsoft Dynamics. Instalación de Management Reporter for Microsoft Dynamics ERP

Microsoft Dynamics. Instalación de Management Reporter for Microsoft Dynamics ERP Microsoft Dynamics Instalación de Management Reporter for Microsoft Dynamics ERP Fecha: mayo de 2010 Tabla de contenido Introducción... 3 Información general... 3 Requisitos del sistema... 3 Instalación

Más detalles

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 YEIMMY JULIETH GARZON CODIGO 2012250071 CLAUDIA MYLENA SUAREZ CODIGO

Más detalles

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

www.eset-la.com Comprobada. Confiable.

www.eset-la.com Comprobada. Confiable. www.eset-la.com Comprobada. Confiable. Autenticación extremadamente resistente para proteger el acceso a la red y los bienes ESET Secure Authentication proporciona una autenticación potente para proteger

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

REQUERIMIENTOS NO FUNCIONALES

REQUERIMIENTOS NO FUNCIONALES REQUERIMIENTOS NO FUNCIONALES REQUERIMIENTOS NO FUNCIONALES A continuación se describen las principales características no funcionales que debe contener el sistema de información. Interfaces de usuario.

Más detalles

ESPECIALIZACIÓN EN GESTIÓN DE BASE DE DATOS GUÍA DIDÁCTICA PARA LA GESTIÓN DE PROYECTOS Código: EGBD-P01-GD01

ESPECIALIZACIÓN EN GESTIÓN DE BASE DE DATOS GUÍA DIDÁCTICA PARA LA GESTIÓN DE PROYECTOS Código: EGBD-P01-GD01 ESPECIALIZACIÓN EN GESTIÓN DE BASE DE DATOS GUÍA DIDÁCTICA PARA LA GESTIÓN DE PROYECTOS Código: EGBD-P01-GD01 1. IDENTIFICACIÓN DE LA GUÍA DIDÁCTICA DISEÑO Y ADMINISTRACIÓN DE UNA BODEGA DE DATOS Nombre

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Juan Isaias Calderón CISSP, GCFA, ECSA, CEH, MCP jcalderon@trustwave.com SpiderLabs Lámina 1 Dr. Roberto Gómez C. Inseguridad de las aplicaciones Web De 300 sites auditados

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

Agenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar

Agenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar Agenda I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar Juan Antonio Calles (@jantoniocalles) Quiénes somos? Jefe de Proyectos de Seguridad en everis www.flu-project.com elblogdecalles.blogspot.com

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

Seguridad de la información en SMart esolutions

Seguridad de la información en SMart esolutions Seguridad de la información en SMart esolutions Índice Qué es SMart esolutions? Qué es la seguridad de la información? Definiciones Opciones de seguridad de SMart esolutions Preguntas frecuentes 04/05/2005

Más detalles

Autenticación ultrarresistente para proteger el acceso a la red y la información corporativa

Autenticación ultrarresistente para proteger el acceso a la red y la información corporativa Autenticación ultrarresistente para proteger el acceso a la red y la información corporativa ESET Secure Authentication proporciona una autenticación fuerte para proteger el acceso remoto a la red corporativa

Más detalles

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1

Más detalles

Resumen de los protocolos de seguridad del Registro Telemático

Resumen de los protocolos de seguridad del Registro Telemático Resumen de los protocolos de seguridad del Registro Telemático Página 1 de 8 1 Introducción... 3 2 Criterios de... 4 2.1 Gestión global de la seguridad... 4 2.2 Política de seguridad... 4 2.2.1 Autenticidad...

Más detalles

ISO 17025: 2005. Requisitos generales para la competencia de los laboratorios de ensayo y calibración

ISO 17025: 2005. Requisitos generales para la competencia de los laboratorios de ensayo y calibración ISO 17025: 2005 Requisitos generales para la competencia de los laboratorios de ensayo y calibración El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información

Más detalles

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos

Más detalles

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Seguridad de Bases de Datos. Seguridad de Bases de Datos

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Seguridad de Bases de Datos. Seguridad de Bases de Datos Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

Empresa Financiera Herramientas de SW Servicios

Empresa Financiera Herramientas de SW Servicios Empresa Financiera Herramientas de SW Servicios Resulta importante mencionar que ésta es una empresa cuya actividad principal está enfocada a satisfacer las necesidades financieras de los clientes, a través

Más detalles

SOLUCIÓN DE PROBLEMAS

SOLUCIÓN DE PROBLEMAS SOLUCIÓN DE PROBLEMAS 1.- Opciones de Internet que deben estar habilitadas Opciones de Seguridad Abra Internet Explorer. En el menú Herramientas, seleccione Opciones de Internet y, a continuación, haga

Más detalles

Base de datos II Facultad de Ingeniería. Escuela de computación.

Base de datos II Facultad de Ingeniería. Escuela de computación. 2 Base de datos II Facultad de Ingeniería. Escuela de computación. Base de datos II. Guía 3 3 Introducción Este manual ha sido elaborado para orientar al estudiante de Bases de datos II en el desarrollo

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

Software generador de documentos a través de la Web

Software generador de documentos a través de la Web Julia Patricia Melo Morín 1 Software generador de documentos a través de la Web 1 Contacto: patricia.melo@itspanuco.edu.mx Resumen Uno de los mayores problemas a los que se enfrentan las grandes corporaciones

Más detalles

Beneficios estratégicos para su organización. Beneficios. Características V.2.0907

Beneficios estratégicos para su organización. Beneficios. Características V.2.0907 Herramienta de inventario que automatiza el registro de activos informáticos en detalle y reporta cualquier cambio de hardware o software mediante la generación de alarmas. Beneficios Información actualizada

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Microsoft Forefront Threat Management Gateway (TMG): Características: Microsoft Proxy Server

Microsoft Forefront Threat Management Gateway (TMG): Características: Microsoft Proxy Server Microsoft Forefront Threat Management Gateway (TMG): Es un completo gateway de seguridad web desarrollado por Microsoft que ayuda a proteger a las empresas de las amenazas que existen actualmente en internet.

Más detalles

Requerimiento Tecnológico para acceso a Sistemas del SIAF

Requerimiento Tecnológico para acceso a Sistemas del SIAF Requerimiento Tecnológico para acceso a Sistemas del SIAF Lineamientos de infraestructura tecnológica para la operación de Sistemas Financieros Ver. 3.0 Guatemala, Diciembre de 2008 PAG. 1/7 INDICE ANTECEDENTES...3

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

Guía de administración. BlackBerry Professional Software per Microsoft Exchange. Versión: 4.1 Service Pack: 4

Guía de administración. BlackBerry Professional Software per Microsoft Exchange. Versión: 4.1 Service Pack: 4 BlackBerry Professional Software per Microsoft Exchange Versión: 4.1 Service Pack: 4 SWD-313211-0911044452-005 Contenido 1 Gestión de cuentas de usuario... 7 Adición de una cuenta de usuario... 7 Agregar

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

Propuesta de Implementación del Sistema de Banca Móvil para: Banca Universal.

Propuesta de Implementación del Sistema de Banca Móvil para: Banca Universal. www.roassystems.com.ve www.sistemasroas.com.ve Propuesta de Implementación del Sistema de Banca Móvil para: Banca Universal. Octubre del 2012. Este documento contiene información PROPRIETARIA y CONFIDENCIAL,

Más detalles

Lo valoras, Optimiti Network lo protege. Seguridad a otro nivel { DISPONIBILIDAD } { CONFIDENCIALIDAD } { INTEGRIDAD } Credenciales 2015

Lo valoras, Optimiti Network lo protege. Seguridad a otro nivel { DISPONIBILIDAD } { CONFIDENCIALIDAD } { INTEGRIDAD } Credenciales 2015 Lo valoras, Optimiti Network lo protege { CONFIDENCIALIDAD } { DISPONIBILIDAD } { INTEGRIDAD } Seguridad a otro nivel Credenciales 2015 En Optimiti nos enfocamos en Productos y Soluciones Innovadoras y

Más detalles

Curso Online. Desarrollo Seguro en Java

Curso Online. Desarrollo Seguro en Java Curso Online Desarrollo Seguro en Java Índice: >> Plan de estudios >> Introducción >> A quién va dirigido >> Metodología >> Dinámica >> Contenido Cursos Online Plan de estudios: Itinerario Formativo por

Más detalles

Aranda SERVICE DESK. Beneficios estratégicos para su organización. Característica Especiales. Beneficios

Aranda SERVICE DESK. Beneficios estratégicos para su organización. Característica Especiales. Beneficios Optimice la gestión de soporte y servicio y maneje de manera eficiente estos procedimientos dentro y fuera de su organización, aumentando considerablemente su nivel de productividad. Beneficios Gestión

Más detalles

Gestión de la configuración en el software (SCM) Ingeniería de software Eduardo Ferreira, Martín Solari

Gestión de la configuración en el software (SCM) Ingeniería de software Eduardo Ferreira, Martín Solari Gestión de la configuración en el software (SCM) Ingeniería de software Eduardo Ferreira, Martín Solari 1 Temario Definiciones Problemas del cambio Elementos de la configuración Actividades de SCM Identificación

Más detalles

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red.

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red. Funciones de servidor La familia Windows Server 2003 ofrece varias funciones de servidor. Para configurar una función de servidor, instale dicha función mediante el Asistente para configurar su servidor;

Más detalles

MARCO DE REFERENCIA SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

MARCO DE REFERENCIA SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO MARCO DE REFERENCIA PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO SISTEMAS DE INFORMACIÓN PLANEACIÓN Y GESTIÓN DE SIS-INF 80. Definición Estratégica de los SIS-INF Las entidades deben, en la Arquitectura

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

Eagle e Center. Tel 57 1 6064173 Bogotá Colombia. estadístico que genera reportes gráficos y consolidados de esta información.

Eagle e Center. Tel 57 1 6064173 Bogotá Colombia. estadístico que genera reportes gráficos y consolidados de esta información. El valor de la información, definiendo información como los datos procesados bajo parámetros útiles, es determinante en los mercados actuales, donde las decisiones basadas en hechos y datos garantizan

Más detalles

Visión General de GXportal. Última actualización: 2009

Visión General de GXportal. Última actualización: 2009 Última actualización: 2009 Copyright Artech Consultores S. R. L. 1988-2009. Todos los derechos reservados. Este documento no puede ser reproducido en cualquier medio sin el consentimiento explícito de

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO 2015-1

INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO 2015-1 INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO 2015-1 A continuación haremos una descripción de los pasos con que cuenta nuestra metodología de la evaluación

Más detalles

3. Horario laboral referencial: Lunes Viernes 8:00 a.m. a 6:00 p.m.

3. Horario laboral referencial: Lunes Viernes 8:00 a.m. a 6:00 p.m. Arquitecto de Datos 1. Línea de Negocios: Soluciones de Negocios 2. Funciones Específicas: Participar en la realización de las actividades técnicas de actualización y migraciones a versiones mejoradas

Más detalles