Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011"

Transcripción

1 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes Director de desarrollo. S2 Grupo 12 de Mayo, 2011

2 Antecedentes Nueva Directiva comunitaria sobre Protección de Datos. Referencias a PbD 2

3 3 Motivación

4 4 Motivación

5 Por qué hemos llegado a esto? Históricamente, la industria del software ha funcionado liberando al mercado productos con un escaso nivel de madurez y se ha ocupado sobre la marcha de corregir los defectos que fueran apareciendo. La presión por cumplir con el calendario y el presupuesto de proyecto y la exigencia de los usuarios por disponer de nuevas funcionalidades, provocan con frecuencia que la seguridad no sea algo prioritario para los equipos de desarrollo. Además, la eliminación de vulnerabilidades se suele entender como una tarea de la que alguien se encarga en la fase de testeo al final del ciclo de desarrollo, cuando la fase de programación ha concluido. 5

6 Sin embargo, el énfasis que desde distintas organizaciones y entidades se está haciendo por incorporar la seguridad al ciclo de desarrollo de software, parece indicar que las tendencias están cambiando. Muchos pensamos hoy que todas las fases del proceso de desarrollo deberían compartir un objetivo: garantizar la seguridad del software. 6

7 A pesar de todo, es bastante común que en organizaciones que producen software, no exista ninguna incorporación formal de medidas de seguridad al ciclo de desarrollo. Los motivos son diversos: falta de presupuesto, de concienciación, de conocimiento La realidad es que en la mayoría de los casos el software se valora fundamentalmente por la funcionalidad que implementa y la seguridad del código raramente se considera; hasta que ocurre lo que nadie tuvo en cuenta 7

8 Las auditorias de seguridad revelan un número elevado de problemas y vulnerabilidades que se repiten con frecuencia en los sistemas auditados. La resolución de algunos de estos problemas que aparecen en sistemas en producción, en ocasiones de una elevada complejidad ya que afectan al diseño de la totalidad del sistema, supone un elevado coste que en ocasiones ni siquiera es abordable. Resulta evidente la eficacia de la introducción de medidas en etapas tempranas del ciclo de desarrollo de software destinadas a evitar la aparición de estos problemas en origen. 8

9 Privacy by design Secure by design Build security in Security by default Privacy by default 9

10 Una iniciativa de desarrollo seguro debe contemplar todas las fases del ciclo de vida de la aplicación. Una aplicación es segura cuando: Ha sido diseñada considerando la seguridad como un aspecto irrenunciable. Se implementa siguiendo un conjunto de buenas prácticas para evitar la introducción de errores y vulnerabilidades. Se asume, desde el principio, la seguridad de su comportamiento por defecto. 10

11 La seguridad en el ciclo de desarrollo Fuente: 11 https://www.owasp.org/images/d/da/owasp_spain_ _herramientas_de_análisis_estático_de_seguridad_del_código_estado_del_arte.pdf

12 Análisis de requisitos La norma ISO 27002, en el dominio de control Adquisición, Desarrollo y Mantenimiento de Sistemas establece un objetivo de control dirigido a los Requisitos de seguridad de los sistemas. Este objetivo de control fija la necesidad de la elaboración de una sección específica en materia de seguridad en el documento de análisis de requisitos Garantizar que el análisis de requisitos contemple lo establecido por las dimensiones de seguridad definidas en la ISO Confidencialidad: Requisitos que garanticen que la información esté accesible únicamente para las personas autorizadas. Integridad: Requisitos que contemplen las salvaguardas necesarias para garantizar que los datos que maneja el sistema no son manipulados o alterados de forma anómala. Disponibilidad: Requisitos destinados a garantizar que el diseño y la arquitectura del sistema sean capaces de dotar al sistema de una disponibilidad acorde a su criticidad. Autenticación: Requisitos destinados a garantizar una adecuada gestión de identidades. Autorización: Requisitos destinados a garantizar un adecuado control de acceso a la información No repudio: Requisitos destinados a que el registro del sistema permita probar la participación de las partes en una operación. Trazabilidad: Requisitos orientados a que el sistema permita conocer quién ha hecho qué y en qué momento en relación a la información. El análisis de requisitos debe también contemplar el cumplimiento de lo establecido por el marco legal vigente (LOPD, RDLOPD,LSSI, LISI, etc.) según corresponda. 12

13 Conformidad legal La legislación vigente en materia de datos de carácter personal (LOPD) y en concreto el reglamento que la desarrolla, establece un conjunto de requisitos que deben respetarse durante el diseño e implementación de los sistemas que manejen datos de carácter personal. Desde el punto de vista de las aplicaciones, el reglamento de desarrollo de la LOPD, que es un reglamento de mínimos, establece entre otras cosas: Valoración de tipos de datos de carácter personal y su clasificación desde el punto de vista de la seguridad. Gestión de contraseñas, fortaleza y caducidad de las mismas. Adecuada gestión de los ficheros temporales que puedan contener datos de carácter personal. Gestión de usuarios / perfiles. Control de acceso lógico a los datos. Registro de acceso a los datos en función de su nivel de seguridad, que permita identificar quién, cuándo y a qué información acceden los usuarios. Cifrado de los datos. Formularios web de captación de datos personales (leyendas de cumplimiento de la legislación vigente). Por otro lado, el marco legal en materia de propiedad intelectual y una creciente variedad de licencias de código abierto que pueden afectar a componentes o librerías con frecuencia utilizados por los productos desarrollados, requieren un detenido análisis que garantice la viabilidad legal del resultado final. 13

14 Casos de abuso El caso de uso es una técnica para la captura de requisitos potenciales de un nuevo sistema de software. Cada caso de uso proporciona uno o más escenarios que indican cómo debería interactuar el sistema con el usuario o con otro sistema para conseguir un objetivo específico Los analistas tienden a especificar estos casos describiendo el comportamiento de un sistema cuando todo va bien (cuando los usuarios cooperan, en entornos amigables y el código está libre de defectos). Este enfoque suele llevar a una visión funcional del sistema basada en la asunción de que el sistema no va a ser objeto de abusos intencionados o a usos indebidos por negligencia o error, sin embargo, si el sistema va a ser usado, tarde o temprano se abusará de él. 14

15 Casos de abuso Para crear software que sea seguro y confiable, el análisis debe anticiparse a comportamientos anómalos. Los casos de abuso permiten a la organización ver el sistema resultante de forma similar a como lo vería un atacante, se trata de pensar como los malos e identificar las posibles situaciones en las que un atacante pueda abusar del sistema. Para una adecuada identificación de las situaciones que pueden llegar a comprometer un sistema, es necesario adoptar una Actitud Defensiva que debe hacerse extensiva a todas las fases del ciclo de desarrollo de software. Esta actitud aparece de forma natural mediante la implantación progresiva de una cultura de la seguridad en la organización. 15 Los casos de abuso son una buena entrada para la identificación de requisitos de seguridad y el modelado de amenazas.

16 Modelado de amenazas Técnica de análisis y evaluación de riesgos orientada a aplicaciones Es una vista del software que enfatiza las amenazas a las que se enfrenta, basada en sus componentes y las fronteras que mantiene. De esta forma, las posibles vulnerabilidades se presentan con mucha más claridad que cuando el foco está exclusivamente puesto en la funcionalidad y el rendimiento. A diferencia de técnicas puras de verificación, como el test de penetración, el modelado de amenazas se puede realizar antes de que un producto haya sido implementado. El modelado de amenazas permite garantizar que un producto es tan seguro por diseño como es posible, reduciendo la dependencia sobre procesos de verificación a posteriori o alternativas reactivas con el producto en producción. 16

17 Modelado de amenazas Diagram Diagrama de la arquitectura del sistema Añadir los limites de confianza y su detalle Id threats Address Threats Validate Identificar amenazas con un método como STRIDE Iterar sobre el diagrama Rediseñar utilizando salvaguardas estándares Usar salvaguardas a medida cuando sea inevitable Validar que los diagramas y el código coinciden Validar cada amenaza y su salvaguarda Spoofing Tampering Repudio Information Disclosure Denegación de servicio Elevación de privilegios 17

18 Modelado de amenazas 18

19 Diseño seguro El diseño de un sistema debe considerar una serie de principios que garanticen su seguridad: Menor Privilegio: un sujeto sólo debe dar a un objeto los privilegios que necesita para completar sus tareas asignadas. Economía y simplificación de mecanismos de seguridad: Los mecanismos de seguridad que se establezcan deben ser tan sencillos como sea posible. Configuraciones por defecto seguras: A menos que un sujeto haya otorgado acceso explícito a un objeto, éste no debería tenerlo. Es decir, todo lo que no está estrictamente permitido es prohibido. Mediación completa: Todos los accesos a un objeto(s) deben ser verificados para asegurarse de que cuentan con el permiso para hacerlo. Diseño Abierto: Evitar hacer uso de la seguridad por oscuridad. Privilegios Condicionados: Los privilegios no deben ser estáticos para los programas o rutinas en el tiempo y en ejecución. Aceptación psicológica: El mecanismo de seguridad que se establezca para un objeto no debe sugerir mayor dificultad que la que tendría si el mecanismo no estuviese presente. En otras palabras, el mecanismo de seguridad deber ser fácil de usar. Minimizar la interfaz atacable: La interfaz expuesta por la aplicación, y por tanto atacable, debe reducirse al mínimo imprescindible para la adecuada ejecución del sistema. 19

20 Análisis estático Análisis estático de código: Automático y sin ejecutar el código Ventajas: Consistencia. La herramienta ve lo que ve, sin ideas preconcebidas (que normalmente tienen los desarrolladores o revisores). Apuntan a la causa raíz, no a los síntomas. Una prueba de penetración puede establecer que hay un problema, pero no su causa final ni cómo corregirlo. Detección precoz. La aplicación no tiene que estar integrada ni necesita ejecutarse. Su ejecución es barata. Un sistema puede re-analizarse cuando se aplican cambios, o cuando se descubre una nueva vulnerabilidad de aplicación. Inconvenientes: Falsos positivos. Impacto (coste) crece al tener que evaluar cada positivo. Falsos negativos. Suelen ser incapaces de detectar vulnerabilidades de seguridad achacables al diseño, o específicas del contexto propio de la aplicación (se centran en vulnerabilidades genéricas, de codificación). Los resultados emitidos por herramientas de análisis estático necesitan de evaluación humana Fuente: 20 https://www.owasp.org/images/d/da/owasp_spain_ _herramientas_de_análisis_estático_de_seguridad_del_código_estado_del_arte.pdf

21 Testeo (o auditoria) de seguridad Idealmente, el análisis estático sería capaz de identificar todas las vulnerabilidades existentes en el software, pero no es así. Por este motivo es necesaria la introducción de métodos dinámicos de testeo que interactúen con la aplicación como lo haría un atacante (Penetration Testing). El testeo de seguridad es similar al testeo funcional del software con la diferencia de que en este caso se busca que la aplicación funcione de formas para las que no ha sido diseñada: Aproximación priorizada basada en el modelado de amenazas. Existen herramientas que permiten su automatización aunque de nuevo, será necesario contar con las manos de un experto para testear aquellos aspectos que no es posible automatizar. 21

22 Code review Durante la fase de programación se realizan auditorias periódicas de código en busca de vulnerabilidades y en caso de que estás se detecten se ofrecen recomendaciones para proceder a su corrección y evitar su futura reaparición. Entre otras, se trabaja para evitar vulnerabilidades producidas por: Cross Site Scripting (XSS) Vulnerabilidades debidas a Inyecciones Malicious File Execution Insecure Direct Object Reference Cross Site Request Forgery (CSRF) Pérdidas de información Manejo inadecuado de errores Auntenticación y gestión de sesiones inadecuados Almacenamiento criptográfico inseguro Comunicaciones inseguras Acceso a URLs no restringido Validación de datos de entrada Buffer overflows, integer overflows Ataques de denegación de servicio Gestión de la configuración insegura Fallos en la separación de entornos Control de cambios inadecuado Fallos en el control de versiones Incompatibilidad en el uso de licencias Uso inseguro de ficheros temporales Política y gestión inadecuada de contraseñas Carencia o falta de adecuación de registros de acceso 22

23 23

24 OWASP (Open Web Application Security Project) OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. Es un proyecto apoyado por una fundación sin ánimo de lucro y en el que intervienen numerosas grandes empresas del negocio del software. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad del software que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquier organización. 24

25 OSSTMM (Open Source Security Testing Methodology Manual) OSSTMM es un estándar open source que define una metodología de testeo de seguridad y que se encuentra en proceso de convertirse en Norma ISO. Es un conjunto de reglas que definen CÓMO, CUÁNDO y QUÉ eventos son testeados. La metodología cubre el testeo de seguridad externo, es decir, el que se produce desde un entorno no privilegiado hacia un entorno privilegiado. Es un método estandarizado para realizar un exhaustivo test de seguridad de cada sección con presencia de seguridad (por ejemplo, seguridad física, seguridad inalámbrica, seguridad de comunicaciones, seguridad de la información, seguridad de las tecnologías de Internet, y seguridad de procesos) de una organización. Debido a la comunidad que lo desarrolla, es un método abierto y evaluado por expertos, para realizar exhaustivos testeos de seguridad, que se ha convertido en un estándar de facto internacional. La metodología es la base para la realización de un test práctico y eficiente de vulnerabilidades conocidas, filtraciones de información, infracciones de la ley, estándares de la industria y prácticas recomendadas. 25

26 ISO Dominio: Adquisición, desarrollo y mantenimiento de sistemas Requerimientos de seguridad de los sistemas de información. Procesamiento correcto en las aplicaciones. Controles criptográficos. Seguridad de los archivos del sistema. Seguridad de los procesos de desarrollo y soporte. Gestión de la vulnerabilidad técnica 26

27 Por dónde empezar? La incorporación de todas estas medidas, especialmente cuando se parte de una situación de poca cultura de seguridad, puede resultar algo abrumadora. Aunque el objetivo final debe ser adoptar el proceso completo, no es imprescindible que se adopten todas desde el principio para obtener mejoras significativas en la seguridad del software producido. La modificación del proceso se puede plantear como un proceso de mejora continua, empezando por aquellas medidas que requieren un esfuerzo y nivel de conocimiento y especialización moderado, para ir incorporando el resto según la experiencia y el know-how de la organización vaya creciendo. Algo es mejor que nada, algunas medidas pueden ser adoptadas inicialmente asumiendo un coste reducido y con un retorno importante: Análisis de requisitos de seguridad. Modelado de amenazas. Análisis estático. 27

28 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes Director de desarrollo. S2 Grupo 12 de Mayo,

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica DANIEL FIRVIDA PEREIRA Técnico de seguridad - INTECO-CERT 23 de Noviembre 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Marco normativo para el establecimiento de las medidas de seguridad

Marco normativo para el establecimiento de las medidas de seguridad Marco normativo para el establecimiento de las medidas de seguridad Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre,

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

CONSEJERÍA DE EMPLEO. Secretaría General Técnica

CONSEJERÍA DE EMPLEO. Secretaría General Técnica PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL APOYO A LA ADMINISTRACIÓN DE SERVIDORES DE BASE DE DATOS ORACLE Y MÁQUINAS SERVIDORAS CON SISTEMA OPERATIVO UNIX DE LA CONSEJERÍA DE EMPLEO DE LA JUNTA DE ANDALUCÍA

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Offensive State Auditoría de Aplicaciones Web

Offensive State Auditoría de Aplicaciones Web Offensive State Auditoría de Aplicaciones Web Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

El largo camino de un Plan Director de Seguridad de la Información

El largo camino de un Plan Director de Seguridad de la Información El largo camino de un Plan Director de Seguridad de la Información Dolores de la Guía Martínez Secretaría General Adjunta de Informática CSIC Presentación 1. Las expectativas 2. El pliego 3. El concurso

Más detalles

Proceso de adaptación al ENS en la UPCT

Proceso de adaptación al ENS en la UPCT Proceso de adaptación al ENS en la UPCT Francisco J. Sampalo Lainz Universidad Politécnica de Cartagena Paco.sampalo@si.upct.es Adaptación ENS en la UPCT 1 Programa 1. Consideraciones previas. 2. Cómo

Más detalles

Anuncio de software ZP10-0561 de IBM Europe, Middle East and Africa con fecha 16 de noviembre de 2010

Anuncio de software ZP10-0561 de IBM Europe, Middle East and Africa con fecha 16 de noviembre de 2010 con fecha 16 de noviembre de 2010 IBM Rational AppScan Source Edition e IBM Rational AppScan Build Edition V8.0 ofrecen ahora una función de comprobación de la vulnerabilidad de las aplicaciones mejorada

Más detalles

Ataques XSS en Aplicaciones Web

Ataques XSS en Aplicaciones Web Ataques XSS en Aplicaciones Web Education Project Antonio Rodríguez Romero Consultor de Seguridad Grupo isoluciones antonio.rodriguez@isoluciones.es Copyright 2007 The Foundation Permission is granted

Más detalles

Resumen de los protocolos de seguridad del Registro Telemático

Resumen de los protocolos de seguridad del Registro Telemático Resumen de los protocolos de seguridad del Registro Telemático Página 1 de 8 1 Introducción... 3 2 Criterios de... 4 2.1 Gestión global de la seguridad... 4 2.2 Política de seguridad... 4 2.2.1 Autenticidad...

Más detalles

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN CONCEPTOS DE PRUEBAS DE APLICACIÓN El departamento de Testing se encarga de diseñar, planear y aplicar el rol de pruebas a los sistemas que el PROVEEDOR

Más detalles

Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente

Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente En este capítulo definimos los requisitos del modelo para un sistema centrado en la mejora de la calidad del código fuente.

Más detalles

Seguridad de la información en SMart esolutions

Seguridad de la información en SMart esolutions Seguridad de la información en SMart esolutions Índice Qué es SMart esolutions? Qué es la seguridad de la información? Definiciones Opciones de seguridad de SMart esolutions Preguntas frecuentes 04/05/2005

Más detalles

Mantenimiento del Software

Mantenimiento del Software Mantenimiento del Software S4 Francisco Ruiz, Macario Polo Grupo Alarcos Dep. de Informática ESCUELA SUPERIOR DE INFORMÁTICA UNIVERSIDAD DE CASTILLA-LA MANCHA http://alarcos.inf-cr.uclm.es/doc/mso/ Ciudad

Más detalles

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet

Hacking Ético Web. I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com. @ciyinet Hacking Ético Web I Jornadas Tecnológicas CEEPS 27-03-2012 Carlos García García i52gagac@uco.es ciyinet@gmail.com @ciyinet Índice Introducción OWASP OWASP Top 10 (2010) Demostración ataques Inyección SQL

Más detalles

Aseguramiento de la Calidad

Aseguramiento de la Calidad ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-CAL 1: IDENTIFICACIÓN DE LAS PROPIEDADES DE CALIDAD PARA EL SISTEMA... 3 Tarea EVS-CAL 1.1: Constitución del Equipo

Más detalles

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina Introducción Introducción n a la seguridad en el SDLC Actualmente

Más detalles

Uso de la plataforma y aceptación de las condiciones de funcionamiento

Uso de la plataforma y aceptación de las condiciones de funcionamiento AVISO LEGAL PLATAFORMA E-CATALUNYA Qué es? e-catalunya es la plataforma promovida por el Gobierno de la Generalitat de Cataluña para grupos de trabajo colaborativo (Comunidades de Práctica, equipos de

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA...7 Tarea DSI 1.1: Definición de Niveles de Arquitectura...9 Tarea DSI 1.2:

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

Auditoría de Seguridad

Auditoría de Seguridad Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones Auditoría de Seguridad

Más detalles

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Sobre mi Formación Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US Experiencia Aficiones 4+ años como desarrollador web, más de 2 en Drupal

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

SSTQB. Nivel Fundamentos. Examen ejemplo. Programa de estudios 2010

SSTQB. Nivel Fundamentos. Examen ejemplo. Programa de estudios 2010 SSTQB Nivel Fundamentos Examen ejemplo Página 1 de 12 Fecha publicación: 28 - octubre - 2015 Índice Preguntas... 3 Respuestas... 12 Página 2 de 12 Fecha publicación: 28 - octubre - 2015 Preguntas 1 2 Una

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Capítulo 2.- Vulnerabilidades en aplicaciones web.

Capítulo 2.- Vulnerabilidades en aplicaciones web. Capítulo 2.- Vulnerabilidades en aplicaciones web. En este capítulo se explican algunas vulnerabilidades en aplicaciones web que pueden ser explotadas por software o por personas malintencionadas y como

Más detalles

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD 1. Prestaciones y propiedad de los datos En el contexto de la prestación de servicios encargada por..y con la finalidad

Más detalles

CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 23 CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC300_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC Seguridad en Redes Módulo 1 Control de acceso Carlos A. Rojas Kramer UCC Agenda Identificación y autenticación. Autorización, derechos y permisos. Modelos de control de acceso. Técnicas y dispositivos

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Ingeniería del So:ware II

Ingeniería del So:ware II Ingeniería del So:ware II Tema 04 (1). Integración de Proyectos So:ware Carlos Blanco Bueno DPTO. DE MATEMÁTICAS, ESTADÍSTICA Y COMPUTACIÓN carlos.blanco@unican.es Este tema se publica bajo Licencia: CreaRve

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Mantenimiento de Sistemas de Información

Mantenimiento de Sistemas de Información de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD MSI 1: REGISTRO DE LA PETICIÓN...4 Tarea MSI 1.1: Registro de la Petición... 4 Tarea MSI 1.2: Asignación de la Petición... 5 ACTIVIDAD

Más detalles

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tenemos que tener en cuenta que los principales objetivos del ENS son: Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de

Más detalles

SERVICIOS MÓDULOS FUNCIONALIDADES DESCRIPCIÓN

SERVICIOS MÓDULOS FUNCIONALIDADES DESCRIPCIÓN MANUAL Solicitud desde el Cliente de su propio Certificado de propósito Multiple (Correo, Firma Documentos, Usuario, Sellado de Fecha, etc...) El cliente dispondrá de un interfaz completamente personalizado

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Introducción a la Ingeniería de Software - Examen 20/07/2012

Introducción a la Ingeniería de Software - Examen 20/07/2012 Cada pregunta múltiple opción contestada correctamente tiene un valor de 2,5 puntos. Esta parte consta de 20 preguntas, haciendo un total de 50 puntos. Los ejercicios de desarrollo tienen un valor total

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

EEHC. Enhacke Ethical Hacking Certification

EEHC. Enhacke Ethical Hacking Certification EEHC Enhacke Ethical Hacking Certification Curso de Certificación de Hacking Ético ENHACKE S.A.C. Año 2010 ENHACKE ETHICAL HACKING CERTIFICATION EEHC INTRODUCCION El curso EEHC provee el conocimiento necesario

Más detalles

UNIVERSIDAD DE LA RIOJA

UNIVERSIDAD DE LA RIOJA PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL

Más detalles

Mejora en la compartición de recursos basada en Cloud Computing para el Grado en Informática en Sistemas de Información (Proyecto ID2012/099)

Mejora en la compartición de recursos basada en Cloud Computing para el Grado en Informática en Sistemas de Información (Proyecto ID2012/099) Memoria del Proyecto de Innovación Docente Titulado: Mejora en la compartición de recursos basada en Cloud Computing para el Grado en Informática en Sistemas de Información (Proyecto ID2012/099) Profesor

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce

Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce Marcos Mateos García Jefe de Proyecto Germinus Grupo Gesfor Índice 1. Introducción 2. Desarrollo

Más detalles

Seguridad en el Proceso de Desarrollo de Software

Seguridad en el Proceso de Desarrollo de Software GSEI Seguridad en el Proceso de Desarrollo de Software 24/11/09 Seguridad en el Proceso de Desarrollo de Software Versión 0.9 ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9

Más detalles

Curso de postgrado en Seguridad Informática

Curso de postgrado en Seguridad Informática Curso de postgrado en Seguridad Informática Mayo 2014 Índice 1. Presentación... 1 2. Objetivos... 2 3. Dirigido para... 2 4. Contenidos... 3 5. Programa... 5 6. Desarrollo del curso... 6 7. Prerrequisitos,

Más detalles

calidad brochure Software Quality Assurance/Project Management IDEOLOGY INTELLIGENCE INFORMATION IMPR INNOVATION ISO 9001:2000

calidad brochure Software Quality Assurance/Project Management IDEOLOGY INTELLIGENCE INFORMATION IMPR INNOVATION ISO 9001:2000 calidad 2009 brochure Software Quality Assurance/Project Management IDEOLOGY INTELLIGENCE INFORMATION IMPR INNOVATION Software Quality Assurance Project Management Dos de los factores que más positivamente

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003 2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC EC-15189- IMNC-2006 / ISO 15189:2003 4. REQUISITOS DE GESTIÓN 4.1 Organización y gestión 4.2 Sistema de gestión de la calidad 4.3 Control de los documentos

Más detalles

SEGURIDAD Y PROTECCION DE FICHEROS

SEGURIDAD Y PROTECCION DE FICHEROS SEGURIDAD Y PROTECCION DE FICHEROS INTEGRIDAD DEL SISTEMA DE ARCHIVOS ATAQUES AL SISTEMA PRINCIPIOS DE DISEÑO DE SISTEMAS SEGUROS IDENTIFICACIÓN DE USUARIOS MECANISMOS DE PROTECCIÓN Y CONTROL INTEGRIDAD

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence

Más detalles

INFORME FINAL DE AUDITORIA. Nivel de madures CMM para las dominios de la norma ISO/IEC 27001:2005. Telecomunicaciones.

INFORME FINAL DE AUDITORIA. Nivel de madures CMM para las dominios de la norma ISO/IEC 27001:2005. Telecomunicaciones. INFORME FINAL DE AUDITORIA Nivel de madures CMM para las dominios de la norma ISO/IEC 27001:2005 Telecomunicaciones Elaborado por: Héctor Fernando Vargas Montoya Junio 2014 La información acá contenida

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Seguridad en aplicaciones y base de datos

Seguridad en aplicaciones y base de datos Universidad Nacional de Asunción Facultad Politécnica Maestría en TIC Énfasis en Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) e-mail alternativo:

Más detalles

PLAN DE PRUEBAS SISTEMA DE GESTIÓN HOSPITALARIA. Plan de Pruebas. File: 20130211-QA-INF-V2-PLAN DE PRUEBAS.odt STD-INF-GENERAL Versión: 1.

PLAN DE PRUEBAS SISTEMA DE GESTIÓN HOSPITALARIA. Plan de Pruebas. File: 20130211-QA-INF-V2-PLAN DE PRUEBAS.odt STD-INF-GENERAL Versión: 1. Cliente: FCM-UNA Página 1 de 14 PLAN DE PRUEBAS SISTEMA DE GESTIÓN HOSPITALARIA Cliente: FCM-UNA Página 2 de 14 Tabla de contenido 1. INTRODUCCIÓN 1.1. PROPÓSITO 1.2. ALCANCE 1.3. DEFINICIONES, ACRÓNIMOS

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA... 7 Tarea DSI 1.1: Definición de Niveles de Arquitectura... 9 Tarea DSI

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI)

Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI) Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI) Referencia Guía para la elaboración del marco normativo- Creative common FINAL.doc Creación

Más detalles

ADMINISTRACIÓN DE PROYECTOS

ADMINISTRACIÓN DE PROYECTOS ADMINISTRACIÓN DE PROYECTOS QUÉ ES LA ADMINISTRACIÓN DE PROYECTOS? Es la planeación, organización, dirección y control de los recursos para lograr un objetivo a corto plazo. También se dice que la administración

Más detalles

ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELACIONES CON CLIENTES CUALIFICACIÓN PROFESIONAL

ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELACIONES CON CLIENTES CUALIFICACIÓN PROFESIONAL Página 1 de 23 CUALIFICACIÓN PROFESIONAL Familia Profesional Nivel 3 Código IFC363_3 Versión 5 Situación RD 1701/2007 Actualización ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS

Más detalles

E 2.4.1 Documento de entrega de Aplicación

E 2.4.1 Documento de entrega de Aplicación E 2.4.1 Documento de entrega de Aplicación Versión: 0.1 Fecha: 11/08/11 Autor: Email: Antoni Bertran Bellido abertran@opentrends.net Historial de cambios Versión Fecha Autor Cambios 0.1 11/08/11 Antoni

Más detalles