Seguridad en el Ciclo de Desarrollo
|
|
- Esteban Villalba Gallego
- hace 8 años
- Vistas:
Transcripción
1 First OWASP DAY Chile 2010 The OWASP Foundation Seguridad en el Ciclo de Desarrollo Alejandro Johannes M. Business Advisor Vice president Capítulo Chileno OWASP +(569) OWASP Guide Temario Evolución TI en las Organizaciones Capítulo: Principios de Codificación Segura en SDLC Contexto y referencias OWASP Modelo de Protección de la Información Principios para Aplicaciones Seguras desde el Diseño Flujo Modelo Amenazas Ejemplos 2 1
2 OWASP Guide Guía para construir aplicaciones y servicios WEB seguros Varios editores, autores, directores de proyecto (40 aproximadamente.) Publicación gratuita y abierta a interesados en mejorar la seguridad de aplicaciones Conjunto de definiciones, alertas, vulnerabilidades y buenas prácticas. No impone, pero sugiere Copyright The Open Web Application Security Project (OWASP). Todos los derechos reservados. Se concede permiso para copiar, distribuir y / o modificar este documento siempre que se incluya este aviso de derechos de autor y se mantenga la atribución a OWASP. Evolución de las TI en las Organizaciones APPLICATION & PROJECT ARCHIT. MGNT QUALITY & SERVICE PQM LEVEL APP VENDORS & OUTS. MGNT CAPACITY PLANNING TECHNICAL OPERATIONS Claramente una aplicación se encuentra en un entorno que corresponde a la realidad y nivel de madurez que tiene La Empresa en sus procesos de negocio y soporte. BUSINESS INFORMATION CONTINUITY SECURITY PLANNING PROBLEM & CHANGE INCIDENT $ Nivel de Madurez Inicial Definir Donde quiero Estar?? De Madurez De Integracion De Control Contagio Crecer en los Niveles de Madurez requiere mayores niveles de inversión de las organizaciones en TI y aceptar que ésta representa un área de soporte estratégico al Negocio Tiempo / Volúmenes Ref.: Extacto de Richard Nolan, Profesor de la escuela de negocios de Harvard 2
3 Capítulo: Principios de Codificación Segura en SDLC La elección de una metodología de desarrollo no es tan importante como el simple hecho de poseer una. El desarrollo Ad hoc no es lo suficiente estructurado para producir aplicaciones seguras. Elegir la metodología adecuada. Considerar: Complejidad: puede sobreburocratizar identificando demasiados roles diferentes Fuerte aceptación de diseño, testeo y documentación Espacios donde se puedan insertar controles de seguridad (tales como análisis de riesgo de amenazas, revisiones por parte de pares, revisiones de código, etc.) Que funcione para el tamaño y nivel de madurez de la organización Tenga potencial de reducir tasa actual de errores y de mejorar la productividad de los desarrolladores. Contexto y Referencias OWASP Los principios de seguridad tales como confidencialidad, integridad, y disponibilidad aunque son importantes, amplios y vagos no cambian OWASP propicia: Adoptar un Modelo de Riesgo de Amenazas: Microsoft / Trike / CVSS / AS4360 / y Octave Mejores prácticas de mercado: CobIT / ISO / ISO / PCI / SOX Una gestión organizacional que abogue por la seguridad Políticas de seguridad documentadas y apropiadamente basadas en estándares nacionales-internacionales Una metodología de desarrollo con adecuados puntos de control y actividades de seguridad Gestión segura de versiones y configuración Lograr un SDL : Security Development Lifecycle 3
4 ROLES Y FUNCIONES APLICA- CIONES INFORMA- INFOR- ADOPTED REVISIÓN SYSVAL MACIÓN INDEPEN- BIBLIO- USUARIOS USERS DIENTE TECAS DDM ACCESOS JOBD Y MONITOREO CLIENT ACLs ACCESS SQL FTP CONTROL CONTROL DE CAMBIOS RECURSOS Y VULNERABI- MONITOREO LIDADES RELACIÓN USUARIOS APLICA- CIONES Principios para Aplicaciones Seguras desde el Diseño Análisis de Riesgos Identificación de amenazas, revisión de pares, revisiones de código, Fuerte aceptación de diseño, testeo, Ethical Hacking, documentación, etc Clasificación de Activos: La selección de controles sólo es posible después de clasificar los datos a proteger tales como Datos, Código SW, Configuración FW Orientación arquitectura (p.ej. la capa Web no debe llamar a la base de datos directamente, Aislar Producción de Desarrollo con Firewall) Niveles mínimos de documentación requerida Requerimientos de testeo mandatorios (inspecciones, Ethical Hacking, comprobar en el tiempo Niveles mínimos de comentarios entre código y estilo de comentarios preferidos Manejo de excepciones Control de integridad del código fuente 4
5 Principios para Aplicaciones Seguras desde el Diseño La arquitectura de seguridad empieza el día en que se modelan los requisitos del negocio, y no termina nunca hasta que la última copia de su aplicación es retirada Seguridad por defecto (p.ej. estructura passwords, valores sistemas, continuidad operativa,..) Principio del mínimo privilegio Fallos de manera segura Los sistemas externos son inseguros: la confianza implícita de ejecutar sistemas externos, no está garantizada Segregación de Funciones: Identificar funciones sensibles No confiar la seguridad en la oscuridad, sino hacer lo contrario Incorporar bitácoras: Logs, Journals, prender los Audit journals, y disponer de un mecanismo de su revisión. Principio de NO-Repudiación Ej.: Identificación y Autenticación / Reputación / Financiero / Privacidad / Garantías, SLA / Estándares / Continuidad Operativa / Minimizar Fraudes / etc Flujo Modelo Amenazas Identificar Objetivos de Seguridad Revisión Aplicación Ej.: Servidor / Lenguaje, Motor BdD, s.o. / Router, redes / Backups, Retención, Recuperación / Autenticación / Repairs Identificar Vulnerabilidade s Descomponer Aplicación Ej.: Disponibilidad operativa / Hackers / Error digitación / Extracción Datos / Robo / Legales / Pérdida confidencialid Identificar y Documentar Amenazas 5
6 PLANIFICAR SEGÚN MODELO DE LOS PROCESOS DE SEGURIDAD Administración de Problemas e Incidentes Seguridad Administración Acceso Red, Mail, Internet Control Vulnerabilidades y Alertas de Mercado Control de Cambios Infor- mación Revisión Independien te y Monitoreos Administración Usuarios/Acces os Administración Acceso Físico y Control Ambiental Uso y Control Claves Privilegiadas Disponibilida d y Continuidad Operativa Ejemplo, Análisis de Protección : Usuarios VULNERABILIDADES Propietario no definido Clasificación ids por funciones Administración usuarios (password default, grupos, accesos directos, expiración, ids privilegiados) Programas con escalamiento de privilegios Etc USUARIOS CONTROLES DE PROTECCIÓN ACTIVOS DE INFORMA- CIÓN 6
7 Ejemplo, Análisis de Protección : Accesos VULNERABILIDADES Procedimientos y metodología (nomenclatura, clasificación, control de cambios, privilegio usuarios, revisión journals) Datos de Producción no encriptados usados en Areas de Desarrollo, Testing u otros Cxs remotas, filtros, ftp, Userids privilegiados sin control, configuración Routers Tareas programadas desprotegidas. Etc ACCESOS CONTROLES DE PROTECCIÓN ACTIVOS DE INFORMA- CIÓN Se inicia y logra con el compromiso y responsabilidad del Top Management 7
8 8
Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.
Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro
Más detallesPrivacidad y Protección de la Información, Mito o Realidad
Privacidad y Protección de la Información, Mito o Realidad Eduardo Cocina, CISA, CGEIT, CRISC Socio Deloitte Ivan Campos, CISSP, CISA, CGEIT, CRISC, ITIL Gerente Senior Deloitte Problemática Actual Mito
Más detallesInformation Security Network Management Solutions
SM@RT-IT Information Security Network Management Solutions SERVICIO DE CONSULTORIA DE RED INTRODUCCIÓN El servicio de consultoría de red, considera actividades conducentes a obtener una visión holistica
Más detallesGestión de riesgo operacional
Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesProtección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas
Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence
Más detallesGestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP
Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesCiber-ataques en la Industria y sus Oportunidades
Ciber-ataques en la Industria y sus Oportunidades Lecciones en el Campo de batalla Ing. Kristian Ayala, M.C. / 11 de Septiembre de 2014 AGENDA Situación actual Organismos contribuyentes Estadísticas de
Más detallesA la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:
XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesImpacto del ENS: Propuesta Oracle
Impacto del ENS: Propuesta Oracle Jose Manuel Rodríguez de Llano Sales Manager Identidad y Seguridad Objetivo del Esquema Nacional de Seguridad La finalidad del Esquema Nacional de
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesGuía de indicadores de la gestión para la seguridad de la información. Guía Técnica
Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por
Más detallesITIL. 75.46 - Administración y Control de Proyectos II
ITIL Introducción El problema Gerencia de Ventas Aplicación de Negocio Correo Electrónico Office PC (características requeridas por los aplicativos) Red Servicio 8 a 22 hs, sin interrupciones Antivirus
Más detallesCómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón
Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones
Más detallesAdministración de Centros de Computo. ITIL. MSG.ING. DARWIN CERCADO B dcercado@primma.com.ec
Administración de Centros de Computo. ITIL dcercado@primma.com.ec Situación Procesos de negocio complejos y cambiantes, tiempos acelerados y un mercado global imponen requerimientos exigentes. El negocio
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesIRONWALL Grupo MNEMO. Fernando García Vicent Director General. Zona para Logotipo organización (es)
Seguridad para la Sede Electrónica y los Procedimientos Electrónicos en un entorno interoperable T16: Esquema Nacional de Interoperabilidad (2ª parte) 26/10/2010 Fernando García Vicent Director General
Más detallesTITULO. Gobernabilidad de TI & Seguridad de la Información
TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar
Más detallesSGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es
SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesBS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008
BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo
Más detallesSOLUCIONES TECNOLÓGICAS FLEXIBLES PARA LAS NECESIDADES DE SU NEGOCIO
SOLUCIONES TECNOLÓGICAS FLEXIBLES PARA LAS NECESIDADES DE SU NEGOCIO PRODUCTOS Y SERVICIOS TODO LO QUE USTED NECESITA GRAN VARIEDAD DE PRODUCTOS Y SERVICIOS PARA CADA ASPECTO DE LA SEGURIDAD Y TECNOLOGIAS
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesGestión de la Seguridad de Activos Intelectuales
Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos
Más detallesAlgunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesSistema de Administración del Riesgos Empresariales
Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesINFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA
INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detalles1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades
Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características
Más detallesDesarrollo Seguro: Principios y Buenas Prácticas. Por Cesar R. Cuenca Díaz @ccuencad
Desarrollo Seguro: Principios y Buenas Prácticas Por Cesar R. Cuenca Díaz @ccuencad Acerca del Expositor Licenciado en Informática UMSA, ACE AccessData Examiner, CISO Certified Information Security Officer.
Más detallesBootcamp de Certificación 2015
CISSP 2015 Bootcamp de Certificación 2015 La Información es el activo más importante de la Organización y de las personas. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada
Más detallesPROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:
PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos
Más detallesIng. Nicolás Serrano nserrano@bcu.gub.uy
Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del
Más detallesAdministración de Riesgos. Reglas Prudenciales en Materia de Administración de Riesgos
Administración de Riesgos Reglas Prudenciales en Materia de Administración de Riesgos Lineamientos Normativos Sector Financiero Establecer los lineamientos mínimos para implementar una adecuada Administración
Más detallesASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.
SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos
Más detallesCarrera: SCE-0005. Clave de la asignatura: 4-0-8
1.- DATOS DE LA ASIGNATURA Nombre de la asignatura: Carrera: Gestión de Tecnologías de Ingeniería en Sistemas Computacionales Clave de la asignatura: Horas teoría-horas práctica-créditos SCE-0005 4-0-8
Más detallesSu aliado Estratégico. José E. Quintero Forero CISM, CRISC
Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesSeguridad Gestionada, más allá de lo perimetral Infraestructuras Seguras en los Sistemas de Información Financieros
Seguridad Gestionada, más allá de lo perimetral Infraestructuras Seguras en los Sistemas de Información Financieros Marcos Polanco Velasco Director de Servicios Gestionados de Seguridad Mnemo evolution
Más detallesFactores en el mercado de seguridad TI en la protección de la información y los accesos remotos
Factores en el mercado de seguridad TI en la protección de la información y los accesos remotos Manuel Arrevola Director General Comercial Zitralia 21-11-2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD
Más detallesPROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES
PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando
Más detallesLa Administración n de Servicios ITIL. Noviembre, 2006
La Administración n de Servicios ITIL Noviembre, 2006 1 4.- LA GESTION DE PROBLEMAS 2 4.- LA GESTION DE PROBLEMAS OBJETIVO Minimizar el impacto adverso de los incidentes y los problemas sobre el negocio
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesImplantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRC
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRC Jornadas Técnicas 2014, ISACA 6 de Noviembre de 2014 1. Las 3 Líneas de Defensa y SAP GRC Alineamiento de la organización para responder
Más detallesPolítica de Gestión de Incidentes de Seguridad de la Información
SGSI Sistema de Gestión de Seguridad de la Información Política de Gestión de Incidentes de Seguridad de la Información Versión 1.1 2010 Setiembre 2010 Versión 1.1 2010 Este documento ha sido elaborado
Más detallesVenciendo a la Pesadilla de la Gestión de Usuarios
Venciendo a la Pesadilla de la Gestión de Usuarios Presentada por: Ing. Colasurdo Silvana Marina CEO, Penta Security Solutions / Pitbull Software Aclaración: Todos los derechos reservados. No está permitida
Más detallesGestión de riesgo operacional
Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación
Más detallesDESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA
DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar
Más detallesOWASP Seguridad de Acceso a Datos 2011. David Sutherland Socio Consultor Datactiva. dsutherland@datactiva.cl
OWASP LatamTour Chile 2011 The OWASP Foundation http://www.owasp.org OWASP Seguridad de Acceso a Datos 2011 David Sutherland Socio Consultor Datactiva dsutherland@datactiva.cl Temario Introducción. Control
Más detallesPruebas de Intrusión de Aplicación
Pruebas de Intrusión de Aplicación Enero 23, 2013 Esteban O. Farao Information Security Director CISSP, CISA, CRISC, PCIP, PCI-QSA, PCI-ASV Enterprise Risk Management, Inc. Agenda Que significa Pruebas
Más detallesSeguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.
Seguridad en Administración de Redes INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos. Administración de Seguridad en Redes La administración
Más detallesPOLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN
PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detalles1 GLOSARIO. Actor: Es un consumidor (usa) del servicio (persona, sistema o servicio).
1 GLOSARIO A continuación se definen, en orden alfabético, los conceptos básicos que se han abordado a lo largo del desarrollo de la metodología para la gestión de requisitos bajo la Arquitectura Orientada
Más detallesDefinición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010
Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las
Más detalles75.46 - Administración y Control de Proyectos II. Sergio Martinez
75.46 - Administración y Control de Proyectos II Sergio Martinez 1er cuatrimestre 2006 Introducción Qué es un Servicio? Cliente Lavandería Transporte Lavadero Industrial Precio por el Servicio Mismo día:\300
Más detallesAnálisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento
Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Cumplimiento En Forma y Fondo Cumplimiento En Forma: Requerimientos y herramientas
Más detallesG.UA.01 Guía del dominio de Uso y Apropiación
G.UA.01 Guía del dominio de Uso y Apropiación Versión 1.0 30 de diciembre de 2014 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0 30/12/2014 Emisión 2 DERECHOS DE AUTOR A menos que se indique de forma
Más detallesAdministración electrónica en Defensa y Seguridad RSA, La División de Seguridad de EMC
Administración electrónica en Defensa y Seguridad RSA, La División de Seguridad de EMC La Seguridad Centrada en la Información Javier Bustillo Director Comercial Administración Pública EMC: El líder en
Más detallesSistemas de información Hacia una Cultura del Control. Pereira 2011
Sistemas de información Hacia una Cultura del Control Pereira 2011 Agenda Concepto de riesgo Creación de valor de los sistemas de información Sistemas de información y estrategias de negocio Confidencialidad
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesProcedimiento de Gestión de Incidentes de Seguridad de la Información
SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detalles"IT Governance" Diciémbre 06, 2005. Copyright 2004 Rendón&Asociados Derechos Reservados. www.rendonyasociados.com
"IT Governance" Diciémbre 06, 2005 Copyright 2004 Rendón&Asociados Derechos Reservados. www.rendonyasociados.com AGENDA Antecedentes Definición y aplicación Antecedentes. Personales IT Governance Es parte
Más detallesSeguridad en Sistemas y Redes de Computadoras. Módulo 3: Seguridad de las operaciones. Carlos A. Rojas Kramer UCC
Seguridad en Sistemas y Redes de Computadoras Módulo 3: Seguridad de las operaciones Carlos A. Rojas Kramer UCC Agenda Manejo administrativo. Conceptos de operación de computadoras. Mecanismos para protección
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesTaller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC
Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones
Más detallesSistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)
INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación
Más detallesLa Administración n de Servicios ITIL
La Administración n de Servicios ITIL Noviembre, 2006 1 1 ITIL y Administración n de Servicios IT DEFINICIONES ITIL: Infraestructure Technology Infraestructure Library Brinda un conjunto detallado de mejores
Más detallesDía 22, Almacenamiento seguro Alta Seguridad para entornos de almacenamiento departamental
Día 22, Almacenamiento seguro Alta Seguridad para entornos de almacenamiento departamental Manuel Arrevola Director General Comercial Zitralia 22-11-2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD
Más detallesMonitoreo de Plataformas TI. de Servicios
Por qué Provectis Infraestructura de Monitoreo de Plataformas TI Administrados de Servidores Administrados de Almacenamiento Administrados de Respaldo y Recuperación Administrados de Plataformas de Escritorio
Más detallesMS_80221 Installation and Configuration for Microsoft Dynamics AX 2012
Installation and Configuration for Microsoft Dynamics AX 2012 www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Por favor no imprimas este documento
Más detallesRecursos HELP DESK Biblioteca 2012
Selección de herramientas para la implementación de ITIL - Segunda Parte Uno de los principales objetivos del marco de trabajo ITIL es administrar la información que se usa para manejar la calidad y la
Más detallesMestrado em Tecnologia da Informação. Segurança da Informação
Mestrado em Tecnologia da Informação Segurança da Informação La información Se utiliza para tomar decisiones con vistas a un accionar concreto. Esta es la importancia que tiene la Informática en la actualidad,
Más detallesINTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS
INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes
Más detallesGestión de la configuración en el software (SCM) Ingeniería de software Eduardo Ferreira, Martín Solari
Gestión de la configuración en el software (SCM) Ingeniería de software Eduardo Ferreira, Martín Solari 1 Temario Definiciones Problemas del cambio Elementos de la configuración Actividades de SCM Identificación
Más detallesNorma Técnica Peruana:
Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con
Más detallesCATALOGO DE SERVICIOS
Quiénes Somos Applies Chile es una consultora que provee servicios involucrados en la Gestión de Procesos de Negocios, Ingeniería de Software, Nuevas Tecnologías de Información y Comunicaciones (TIC),
Más detallesCAPITULO 14 SEGURIDAD EN LA RED
CAPITULO 14 SEGURIDAD EN LA RED Seguridad en la red La palabra seguridad de acuerdo con el Diccionario American Heritage es sinónimo de garantía y garantizar. Según el diccionario de la Real Academia seguridad
Más detallesTERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Más detallesFORMACIÓN CURSO Salvaguarda y seguridad de los datos
FORMACIÓN CURSO Salvaguarda y seguridad de los datos En un mercado laboral en contante evolución, la formación continua de los profesionales debe ser una de sus prioridades. En Galejobs somos conscientes
Más detallesSeguridad de la Información & Norma ISO27001
Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos
Más detallesWHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA
CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA Mayo 2008 CAPITULO DECIMO SEGUNDO: REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN
Más detallesAntes de imprimir este documento piense en el medio ambiente!
Versión 2.0 Página 1 de 8 1. OBJETIVO Establecer el procedimiento y parametrización de la toma de copias de respaldo, a través de la definición de las actividades que se deben surtir, para garantizar la
Más detallesManual de Procedimientos
1 de 8 Elaborado por: Revisado por: Aprobado por: Oficina de Informática y Telecomunicaciones -Área de Infraestructura- Coordinador de Infraestructura Director Oficina de Informática y Telecomunicaciones
Más detallesCustodia de Documentos Valorados
Custodia de Documentos Valorados En el complejo ambiente en que se desarrollan los procesos de negocio actuales, se hace cada vez más necesario garantizar niveles adecuados de seguridad en la manipulación
Más detallesSeguridad de la Información
Gestión de Riesgos ISO 27001/27005 & ISO 31000 Seguridad de la Información Germán Castro Arévalo CROSS BORDER TECHNOLOGY Abril 15, 2013 Agenda Introducción Conceptos básicos sobre seguridad de la información
Más detallesTecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"
Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de
Más detallesEl estado del arte de la Seguridad Informática
1 El estado del arte de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com Seminario Tendencias de la Tecnología en Seguridad Informática 12 de Septiembre de 2002 Buenos Aires - ARGENTINA
Más detallesImproving performance, reducing risk. Proceso de Actualización Normas de Sistemas de Gestión ISO 9001 de Calidad ISO 14001 de Medio Ambiente
Improving performance, reducing risk Proceso de Actualización Normas de Sistemas de Gestión ISO 9001 de Calidad ISO 14001 de Medio Ambiente Principales cambios en ISO 9001: versión 2008 vs 2015 A qué peligros
Más detallesPROCESS INTELLIGENCE. Análisis de rendimiento para procesos de negocios
PROCESS INTELLIGENCE Análisis de rendimiento para procesos de negocios "Lo que no se define no se puede medir, lo que no se mide no se puede mejorar. Lo que no se mejora, se degrada siempre. Sir William
Más detalles