Ciclo de vida de desarrollo de Software Seguro

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Ciclo de vida de desarrollo de Software Seguro"

Transcripción

1 Ciclo de vida de desarrollo de Software Seguro Facultad Politécnica UNA Maestría en TICs 2015 Énfasis Auditoría y Seguridad de la Información Seguridad en aplicaciones y base de datos Cristian Cappo NIDTEC - Núcleo de Investigación y Desarrollo Tecnológico - FPUNA

2 Contenido Principios de diseño de seguridad Seguridad en el ciclo de vida de un software Modelo de desarrollo de software seguro de OWASP (OpenSMMI) (diapositivas prestadas) 2

3 Principios de diseño de seguridad (PDS) * Estos principios se aplican para el diseño e implementación de mecanismos de seguridad. Se enfoca en las ideas de simplicidad y restricción 1) Diseño abierto 2) Seguro a fallas, por defecto 3) Privilegios mínimos 4) Economía de mecanismo 5) Separación de privilegios 6) Mediación completa 7) Mecanismo de menos común 8) Aceptabilidad psicológica *Saltzer & Schoroeder. The protection of information in Computer Systems. Proceedings of the IEEE. Vol. 63 Num 9. Pag: DOI: /PROC

4 PDS (2) 1) Diseño abierto/público (Open Design) Sugiere que la complejidad no agrega seguridad Definición: la seguridad de un mecanismo no debería depender del secreto de su diseño o implementación. El término seguridad por oscuridad captura el concepto. Ejemplo: El sistema CSS (Content Scrambling System) es un algoritmo criptográfico que protegía a los DVDs de copias no autorizadas. Aunque el algoritmo se mantuvo oculto, en 1999 se descubrió el algoritmo, se publicó y se rompió. 4

5 PDS (3) 2) Seguro ante fallas, por defecto Restringe como los privilegios son inicializados cuando un sujeto u objeto es creado. Definición: un privilegio a un sujeto debe ser dado explícitamente sobre un objeto, de lo contrario se debe denegar el acceso al mismo. El acceso por defecto es ninguno Ejemplo: Si un servidor de mail no puede crear el directorio de spool, éste debe cerrar la conexión, emitir un mensaje de error y parar. No debe tratar de guardar el mensaje o expandir sus privilegios para guardar el mensaje en otro lugar, esto daría lugar a un atacante para sobrescribir o alzar nuevos archivos o llenando el disco (ataque DoS). 5

6 PDS (4) 3) Privilegios mínimos Indica como los privilegios son otorgados Definición: un sujeto debe tener solo los privilegios necesarios a fin de completar su tarea. Si alguien no necesita de un privilegio, no lo debe tener. Ejemplo 1: En Unix al usuario root no se le aplica control de acceso, tiene privilegio a todo. Viola este principio Ejemplo 2: un mail server que acepta conexiones de internet y copia los mensajes al directorio spool. Solo necesita acceso al puerto de red, crear los archivos y modificarlos. Debe renunciar a sus derechos sobre el archivo tan pronto como termina su tarea. Este no debe poder leer luego los archivos de usuarios. 6

7 PDS (5) 4) Economía en los mecanismos Enfatiza que el diseño e implementación de los mecanismos de seguridad deben ser simples. Definición: los mecanismos de seguridad deben ser tan simples como se pueda. Si los mecanismos son simples, existe menos posibilidades de error. El proceso de pruebas de los mecanismos es menos complejo. Los mecanismos complejos a veces hacen asunciones sobre el sistema o entorno donde se ejecutan. Si éstas con incorrectas, podrían generar problemas de seguridad. 7

8 PDS (6) 5) Separación de privilegios Limita el acceso a las entidades del sistema Definición: un sistema no debe otorgar permisos basados en una simple decisión. Sistemas y programas deben dar acceso a recursos solo cuando mas de una condición es cumplida. Ejemplo: En Berkeley-Unixs, los usuarios no pueden cambiarse a la cuenta root a no ser que se den dos situaciones. La primera es que conozca la contraseña de root y la segunda que se encuentre en el grupo wheel. 8

9 PDS (7) 6) Mediación completa Este principio restringe la información en caché. Definición: requiere que todos los accesos a los objetos sean chequeados para asegurar que ellos sean permitidos. Ejemplo: El DNS guarda información en el caché de los nombres de hosts con sus direcciones IP. Si un atacante envenena el caché implantando registros asociados a un IP falso con un nombre válido, un host puede enrutar conexiones a otro host incorrectamente. 9

10 PDS (8) 7) Mecanismo común mínimo Es restrictivo ya que limita el compartir Definición: los mecanismos para acceso a recursos no deben ser compartidos. Compartir recursos provee un canal por el cual la información puede ser transmitida, por lo que debe minimizarse el compartir. Ejemplo: un sitio web provee servicio de comercio electrónico a una compañía. Los atacantes quieren privar a esa compañía de sus ganancias, así que inundan el sitio con mensajes obstruyendo el servicio de comercio electrónico haciendo que los usuarios legítimos no puedan accederlo. En este caso el compartir Internet con el sitio de los atacantes causan que el ataque sea exitoso. 10

11 PDS (9) 8) Aceptabilidad psicológica Se reconoce el elemento humano en la seguridad informática. Definición: los mecanismos de seguridad no deben hacer mas dificultoso el acceso a un recurso que cuando éstos no estén presentes. Configurar y ejecutar un programa debe ser fácil e intuitivo tanto como sea posible, y la salida debe ser clara, directa y útil. Ejemplo: el programa ssh permite al usuario configurar el mecanismo de clave pública para cifrar la comunicación. Si se guarda la clave pública, se permite la conexión sin proveer la contraseña pero se mantiene la conexión cifrada. 11

12 Ejercicios sobre PDS 1. Un programa llamado lsu da acceso a un rol en un sistema. Se chequea los derechos del usuario y entonces se requiere introducir su contraseña. Si tiene derecho y su contraseña es correcta entonces lsu permite el cambio. María utiliza lsu desde su cuenta, porqué lsu requiere su contraseña? Cuál es el principio aplicado? 2. Un mecanismo común para proteger de obtención de contraseña por fuerza bruta es deshabilitar la cuenta luego de 3 o un número definido de intentos. 1. Cómo esta técnica puede prevenir que usuarios legítimos acceda al sistema?. Qué principio de diseño viola y porqué? 2. Se puede argumentar que este es un mecanismo que aborda el principio de seguro ante fallas, por defecto. Indique porqué se aplicaría este principio. En que caso no es una aplicación de este principio. 12

13 Componentes de la seguridad(ext) Confidencialidad El dato es accesible solo para los que poseen permiso para ello. Integridad Privacidad: personas Condidencialidad: datos. Datos y sistema son cambiados solo de la forma apropiada por las personas apropiadas Disponibilidad El sistema esta disponible cuando se le necesita y su performance es aceptable. Otros componentes extendidos pero relacionados a los anteriores Autenticación: La identidad de usuarios es establecida (Confidencialidad). Autorización: El acceso o no de usuarios a los recursos es explícito. (Integridad) No repudio: Usuarios no pueden realizar una acción y luego negar que la hicieron. (Integridad) 13

14 Seguridad en el ciclo de vida de un software Abordaje erróneo: diseñar y construir software ignorando la seguridad desde el principio Agregar seguridad una vez que los requerimientos funcionales son satisfechos. Mejor abordaje: incorporar seguridad desde el principio, en todas las fases del proceso de desarrollo. Descubrir problemas de seguridad en fases avanzadas del desarrollo son difíciles de arreglar y solucionar y generalmente más costosas. Según Fortify corregir errores de seguridad en el nivel de requerimiento es 100 veces menos costoso que hacerlo en un software terminado. Business Software Assurance: Identifying and Reducing - 9th Semi-Annual Software Assurance Forum, Gaithersburg, MD,

15 Seguridad en el ciclo de vida de un software Fase del proceso de desarrollo de un software (presentes generalmente en todas las metodologías de desarrollo) Requerimientos Diseño Implementación Testing Implantación Dónde agregar seguridad? En todas las fases 15

16 Seguridad en el ciclo de vida de un software El diseño, construcción y despliegue de una aplicación debe integrar seguridad en todo su ciclo de vida. Veremos en las siguientes diapositivas actividades específicas que integran la seguridad en cada ciclo de la vida de la aplicación Estas actividades se basan en las recomendaciones de Microsoft para desarrollo de aplicaciones (SDL). Mandatorio en MS desde

17 Seguridad en el ciclo de vida de un software 17

18 Terminología - revisión Amenaza Es un evento no deseado. Una ocurrencia potencial o un efecto que puede dañar o comprometer un activo u objetivo. Vulnerabilidad Es una debilidad (falla) en algún aspecto o característica del sistema que hace posible su ataque. Puede existir en la red, host, aplicación o prácticas operacionales. Ataque (o exploit) Es una acción que usa una o más vulnerabilidades para concretar una amenaza. Contramedida Aplicar acciones para reducir la probabilidad de ataques o el impacto de ellas. No abordan directamente las amenazas sino se enfocan en las causas que las generan. 18

19 Actividades de seguridad en el SDLC 1. Objetivos de seguridad: Define los objetivos y requerimientos de seguridad de forma temprana en el proceso. Son metas y restricciones que afectan la CID de datos y aplicación. 2. Guía de Diseño por seguridad Eliminar los vulnerabilidades comunes por mala elección de diseño. 3. Modelado de amenazas Identificar y comprender las amenazas y vulnerabilidades relevantes en el contexto del sistema. Identifica acciones de un atacante y como puede comprometer el sistema. 4. Diseño y arquitectura por seguridad Analiza el diseño y la arquitectura desde el punto de vista de seguridad. Incluye aspectos como implantación e infraestructura. 5. Revisión de código por seguridad Identificar vulnerabilidades de seguridad en la implementación. 6. Pruebas de seguridad Abordaje basado en riesgo (asegurar que el sistema pueda defenderse de ataques probables y ataques más costosos) 7. Revisión de implantación por seguridad: Incluye la evaluación del entorno de ejecución y configuración del sistema 19

20 Actividades de seguridad en el ciclo de vida de una aplicación 20

21 1) Objetivos de seguridad 21

22 Descubriendo los objetivos de seguridad Matriz de roles Derivar de los requerimientos funcionales 22

23 Matriz de roles Ejemplo 23

24 Derivar de los requerimientos funcionales Ejemplo 24

25 2) Guía de Diseño por seguridad Consisten en un conjunto de prácticas que pueden ser empleados para reducir el riesgo de vulnerabilidades de seguridad. Cada directriz/guía debe ser: Accionable Asociada a una vulnerabilidad a ser mitigada Relevante Asociada a una vulnerabilidad que es conocida afecta a aplicaciones reales. De impacto Debe representar una decisión de ingeniería que tenga un impacto amplio. Este conjunto es referenciado en un marco de seguridad o de trabajo (framework) 25

26 Marco de seguridad Es una modelo de información-patrón que define un conjunto de aspectos de seguridad para la aplicación que se está diseñando. Las guías de patrones y prácticas incluyen un marco de seguridad específico por cada tipo de aplicación. 26

27 Categoría de vulnerabilidades común en muchos tipos de aplicaciones 27

28 Directrices específicas para una aplicación específica Ejemplo: aplicación web 28

29 Consideraciones de despliegue 29

30 Directrices de diseño que son comunes en muchas aplicaciones 30

31 Directrices de diseño que son comunes en muchas aplicaciones (2) 31

32 3) Modelado de amenazas Software security es un área de la seguridad computacional que se enfoca en el diseño e implementación segura del software. Construir software seguro que funcione como es esperado a través de todo su ciclo de vida. Es diferente a security software Porqué? El modelado de amenazas es parte integral del ciclo de desarrollo seguro de una aplicación. Cuando desarrolla o actualiza un sistema, debe considerar cómo un intruso puede atacarlo y cómo construir las defensas apropiadas en los estadios de diseño e implementación del mismo. 32

33 Modelado de amenazas Existen muchos abordajes No existe una forma bien establecida para medirla calidad de un modelo de amenazas. Aun en el campo más maduro, como por ejemplo el de criptografía, muchos programas populares aun no han probado ser seguros (HeartBleed bug de OpenSSL - CVE ). 33

34 Modelado de amenazas Es una técnica de ingeniería que se utiliza para identificar amenazas, ataques, vulnerabilidades y contramedidas Ayuda a: Reconocer los objetivos de seguridad Amenazas relevantes Vulnerabilidades y contramedidas Es realizado para identificar cuando y donde se requieren más recursos para reducir los riesgos. Se realiza usualmente en la fase de diseño de un sistema y se retroalimenta de otras fases. Provee también las bases para el plan de test de seguridad (penetration test) y para la revisión de código 34

35 Modelado de amenazas proceso iterativo 35

36 Modelado de amenazas en el ciclo de vida de un SW En el modelo SDL de MS 36

37 Proceso de modelo de amenazas, resumen de entrada/salida por cada paso 37

38 Utilizando STRIDE STRIDE es una taxonomía de amenazas que identifica varios tipos de amenazas considerándolas desde la perspectiva del atacante. Es también una propuesta de MS. Amenaza Spoofing Falsificación de identidad Tampering Modificación de dato o código Repudiation Negar que se ha realizado una acción Componente de seguridad Autenticación Integridad No Repudio Information disclosure Exponer información no autorizada Denial of service Denegar o degradar el servicio a los usuarios Elevation of privilege Ganar capacidades sin la debida autorización Confidencialidad Disponibilidad Autorización 38

39 Modelado de amenazas Forma parte del SDL (Security Development Lifecycle) En el modelo de amenazas utilizando STRIDE, se descompone el sistema en componentes relevantes, se analiza cada componente por susceptibilidad a las amenazas y se mitiga las mismas. Este proceso se repite hasta que uno se encuentre confortable con las amenazas que restan. Si hace esto puede argumentar que su sistema es seguro. 39

40 El proceso de modelado con STRIDE 40

41 El proceso de modelado con STRIDE Diagrama: se utiliza DFD (Data Flow Diagram Diagrama de Flujo de Datos) aunque se puede utilizar cualquier otro para representar el diseño del sistema. 41

42 Elementos del DFD 42

43 DFD Puede hacerse en varios niveles Diagrama de contexto. Alto nivel, el producto/sistema completo Nivel 1 Alto nivel con los principales componentes Nivel 2 Bajo nivel con detalle de subcomponentes Nivel 3 Mucho más detallado, solo para grandes proyectos 43

44 Ejemplo (diagrama de contexto) 44

45 Ejemplo (Diagrama de nivel 1) 45

46 DFD Análisis o Síntesis TopDown Comienza del contexto Se focaliza en el sistema como un todo Bottom up Se conoce en detalle las características Se comienza desde abajo Abordaje no es conveniente para la síntesis 46

47 Reglas básicas Los datos no aparecen mágicamente, los datos vienen de un DataStore (almacenamiento) o de una entidad externa. Los datos no mueren en un DataStore, se indica un DataStore por alguna razón. Los datos no fluyen mágicamente entre los DataStores, debe existir un proceso entre ellos. No reensamblar el diagrama de clases o grafos de llamadas. 47

48 Amenazas por cada elemento del sistema (Identificando amenazas) En caso de almacenar datos de auditoría/logging tiene una amenaza de Repudio 48

49 Mitigación: algunas mitigaciones estándar 49

50 Mitigaciones Tipo de amenaza Spoofing Tampering Repudiation Técnica de mitigación Autenticación apropiada, Protección de datos secretos No guardar secretos Autorización apropiada, Hashes, MAC(message authentication code), Firma digital, Uso de protocolos resistentes a modificaciones Firma digital, Timestamps, logs de auditoría Information disclosure Autorización, Protocolos de privacidad mejorados, encripción, protección de secretos, no guardar secretos Denial of service Elevation of privilege Autenticación, autorización, filtrado, calidad de servicio, regulación de tráfico Ejecución con menos privilegio posible 50

51 Validación Validar todo el modelo Coincide con el código final? Son todas las amenazas enumeradas? Mínimo: STRIDE de cada elemento que toca la línea o límite de confianza Esta cada amenaza mitigada? Son las mitigaciones correctas? Validar la información capturada Qué otro código utiliza? Qué funciones de seguridad esta en otro código? Es seguro? 51

52 Ejemplo Suponga un sencillo sistema que colecta las ventas desde varias sucursales, procesa los datos de ventas y produce reportes semanales. Existen muchas amenazas obvias a este sistema ( Cuáles son?) 52

53 DFD Inicial Vendedores Sucursal 01 Datos Vendedores Aplicación de ventas Datos Venta Proceso de envío Proceso Recolección Aplicación de ventas Datos Venta Proceso de envío Proceso Análisis Vendedores Sucursal NN Datos Análisis Cliente Límite de confianza Servidor 53

54 Un DFD mejor analizado Datos Vendedores Vendedores Sucursal 01 Vendedores Sucursal NN 1 2 Proceso recolección y análisis 3 Datos Análisis Generación Reportes Administrador 54

55 Analizando los flujo de datos y almacenamientos Flujo de Dato 1: Tampering - Information disclosure - Denial of Service Flujo de Dato 2: Tampering - Information disclosure - Denial of Service Flujo de Dato 3: Tampering - Information Disclosure - Denial of service Almacenamiento Datos Vendedores Tampering - Information Disclosure - Denial of service Almacenamiento Datos Análisis Tampering - Information Disclosure - Denial of service Proceso de recolección y análisis de datos Spoofing - Information Disclosure - Denial of service - Elevation of privilege - Repudiation 55

56 Determinando el riesgo Opción 1: Riesgo = Chance del ataque x Daño Potencial. Problemático para determinar la probabilidad a priori Opción 2: El modelo de MS utiliza DREAD para determinar el riesgo. Damage Potencial: cuál es el grado de daño en caso de ataque? Reproducibility: qué tan fácil es reproducir un ataque? Exploitability: Cuánto tiempo, expertise y esfuerzo es necesario para explotar la amenaza? Affected users: si la amenaza es explotada, cuántos usuarios son afectados? Discoverability: qué tan fácil es descubrir esta amenaza? Para determinar el riesgo se da a cada amenaza un valor de 1 al 10, donde 10 indica más riesgo. Se promedia y se puede distribuir en alto, medio y bajo riesgo. 56

57 Otra forma de ver las amenazas y contramedidas Grafo de amenazas Atacante puede leer los mensajes de usuarios Usuario no cerró su sesión en una computadora compartida Mala validación de los datos, permitiendo inyección SQL Autorización puede fallar permitiendo acceso no autorizado El navegador puede contener parte del mensaje en su caché Implementar un buen esquema de validación de datos Implementar un buen chequeo de autorización Implementar anticaching de cabeceras HTTP Usar SSL 57

58 Modelado de amenazas (conclusiones) Es una actividad estructurada que permite identificar y evaluar amenazas y vulnerabilidades. Debe empezar temprano con el diseño arquitectónico del sistema Debe ser refinado en la etapa de implementación Debe coincidir plenamente con el diseño de los objetivos de seguridad Debe ayudar a ponderar contra otros aspectos de diseño como el rendimiento. 58

59 Otros abordajes de modelado de amenazas OWASP ( Básicamente es el mismo mostrado aquí. Trike ( OCTAVE (CERT) (SEI - Carnegie Mellon University ) ( 59

60 Ejercicio Realice el Modelado de amenazas de la aplicación payroll utilizado en clases pasadas. Asuma que esta aplicación será instalada en un servidor web disponible en la red Interna de la entidad. Analice la aplicación Construya el DFD Indique las amenazas posibles Proponga las contramedidas posibles para cada amenaza en caso de que estas sean de alto o medio riesgo considerando el modelo DREAD y los valores promedios : Alto : Medio : Bajo 60

61 App: Payroll 61

62 DFD - Payroll 62

63 4) Diseño arquitectónico seguro 63

64 Consideraciones de despliegue e infraestructura 64

65 Arquitectura de la aplicación y consideración de diseño 65

66 5) Revisión de Código seguro 1: establecer metas y restricciones de la revisión 2: usar análisis estático para encontrar un conjunto inicial de vulnerabilidades 3: revisión de código buscando vulnerabilidades comunes guiados por el paso 2 4: revisar mecanismos únicos de seguridad en la arquitectura Técnicas de revisión: ControFlow DataFlow 66

67 Lista de preguntas para revisar el código 67

68 Lista de preguntas para revisar el código(2) 68

69 7) Revisión de Despliegue seguro Categorías de configuración de un servidor 69

70 Revisión de despliegue seguro Categorías de aseguramiento del servidor 70

71 Revisión de despliegue seguro Categorías de aseguramiento del servidor(2) Aquí termina el modelo SDL de MS 71

72 Verificación de aplicaciones web OWASP ASVS (Application Security Verification Standard) Normaliza el rango de cubrimiento y nivel de rigor disponible en el mercado cuando se realiza una verificación de una aplicación web por seguridad. Ideal para verificar software de terceros o empresas de consultoría de seguridad. Define niveles de verificación 72

73 OWASP ASVS (2) Nivel O (Coursory) Es opcional e indica que la aplicación ha pasado algún tipo de verificación 1 (Opportunistic) Existen defensas adecuadas para vulnerabilidades fáciles de descubrir 2 (Standard) Existen defensas adecuadas para vulnerabilidades prevalentes cuya existencia genera un riesgo moderado a serio. Puede incluir las vulnerabilidades Top 10 OWASP y vulnerabilidades lógicas. 3 (Advanced) Existen defensas adecuadas contra todas las vulnerabilidades avanzadas y se muestra principios de un buen diseño por seguridad. 73

74 OWASP ASVS (3) Áreas de verificación que define Autenticación Manejo de sesión Control de acceso Manejo de entrada maliciosa Criptografía y REST Manejo de errores y logging Protección de datos Comunicación HTTP Control de código malicioso Lógica del negocio Archivos y recursos Mobile 74

75 OWASP ASVS (4) Ejemplo de tabla de verificación por área 75

76 Bibliografía/Referencias M. Bishop. Introduction to Computer Security. Addison Wesley (capítulo 13) J.D. Meir et al. Security Engineering Explained. Patterns & practices. Microsoft STRIDE Model. Microsoft. NIST rev. 2 Security considerations in the System Development Life Cycle ( Rev2/SP Revision2.pdf) OWASP - SAMM ( OWASP ASVS ( on_standard_project) Microsoft SDL ( 76

77 Gracias! Preguntas? 77

Modelado de Amenazas Una Introducción

Modelado de Amenazas Una Introducción OWASP Latam Tour The OWASP Foundation Buenos Aires, Argentina 2012 http://www.owasp.org Modelado de Amenazas Una Introducción Hernán M. Racciatti, CISSP, CSSLP, CEH SIClabs hracciatti@siclabs.com @my4ng3l

Más detalles

Seguridad en el ciclo de vida del desarrollo de software

Seguridad en el ciclo de vida del desarrollo de software Seguridad en el ciclo de vida del desarrollo de software Lic. Pablo Milano 12 de Septiembre de 2007 Buenos Aires - Argentina Introducción Introducción n a la seguridad en el SDLC Actualmente

Más detalles

Seguridad en aplicaciones y base de datos

Seguridad en aplicaciones y base de datos Universidad Nacional de Asunción Facultad Politécnica Maestría en TIC Énfasis en Auditoría y Seguridad Informática Seguridad en aplicaciones y base de datos Cristian Cappo (ccappo@pol.una.py) e-mail alternativo:

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

Catalogo cursos de Seguridad Informática

Catalogo cursos de Seguridad Informática Catalogo cursos de Seguridad Informática 1. Curso de Desarrollo Web Seguro Tema 1 El entorno Web 1.1 Introducción Introducción Arquitectura Web Problemas de seguridad más habituales: Comprensión de las

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos?

Pruebas de Seguridad en aplicaciones web segun OWASP Donde estamos... Hacia donde vamos? Venezuela The Foundation http://www.owasp.org Chapter Pruebas de Seguridad en aplicaciones web segun Donde estamos... Hacia donde vamos? Edgar D. Salazar T Venezuela Chapter Leader edgar.salazar@owasp.org

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB Nombre: 1. Protocolo HTTPS Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto),

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

Servicios de Seguridad de la Información

Servicios de Seguridad de la Información Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos

Más detalles

Seguridad en.net. Daniel Seara

Seguridad en.net. Daniel Seara eguridad en.et Daniel eara Proceso de desarrollo Definir que hace la aplicación y como se usa Los usuarios ven páginas con catálogos Realizan búsquedas del mismo Agregan ítems al carrito Cierran la operación

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

Programación de código seguro

Programación de código seguro Programación de código seguro Distinción de vulnerabilidades Stack OverFlow y Heap OverFlow Comunes en lenguajes y aplicaciones de escritorio TOP 10 OWASP Muchas otras Stack OverFlow Stack OverFlow: Ejemplo

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Modelamiento de Amenazas en el Desarrollo de Software

Modelamiento de Amenazas en el Desarrollo de Software Modelamiento de Amenazas en el Desarrollo de Software Davor A. Pavisic Jalasoft CTO Agenda La importancia Definición Beneficios Metodología Conclusiones 2 Porque Modelar Amenazas? La seguridad de aplicaciones

Más detalles

Módulo Nº 7. Aspectos de Seguridad en Redes de Área Extendida

Módulo Nº 7. Aspectos de Seguridad en Redes de Área Extendida Módulo Nº 7 Aspectos de Seguridad en Redes de Área Extendida Bibliografía W. Stalling, Fundamentos de seguridad en redes, 2º edición, Prentice Hall. A. V. Herta, Seguridad en Unix y Redes, Versión 1.2

Más detalles

Curso: (62612) Diseño de aplicaciones seguras

Curso: (62612) Diseño de aplicaciones seguras Curso: (62612) Diseño de aplicaciones seguras Fernando Tricas García Departamento de Informática e Ingeniería de Sistemas Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/

Más detalles

Sistema de Medición de Riesgos en Enrutadores bajo el. Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler Amador Donado

Sistema de Medición de Riesgos en Enrutadores bajo el. Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler Amador Donado Sistema de Medición de Riesgos en Enrutadores bajo el estándar 802.11g basándose en los lineamientos i planteados por la OSSTMM Ing. Eduardo A. García M. Ing. Robinson J. Navarro I. Director: Ing. Siler

Más detalles

Seguridad en el desarrollo

Seguridad en el desarrollo OWASP Latam Tour Venezuela 2013 Seguridad en el desarrollo Mateo Martínez, CISSP mateo.martinez@owasp.org OWASP Uruguay Comité Global de Industrias de OWASP Agenda Agenda Introducción Seguridad en el ciclo

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

Seguridad de la información en SMart esolutions

Seguridad de la información en SMart esolutions Seguridad de la información en SMart esolutions Índice Qué es SMart esolutions? Qué es la seguridad de la información? Definiciones Opciones de seguridad de SMart esolutions Preguntas frecuentes 04/05/2005

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0 Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. COMPONENTES

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

seguridad en redes inalámbricas

seguridad en redes inalámbricas Ç soluciones de seguridad en redes inalámbricas ` María Victoria Figueroa Domínguez Subdirectora General Adjunta del Ministerio de la Presidencia Daniel Merino Mateo Tecnocom En este artículo se pretende

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos

Más detalles

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Haga clic para cambiar el estilo de título

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Haga clic para cambiar el estilo de título Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Agenda Conceptos

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Bitácora del sistema - Introducción

Bitácora del sistema - Introducción Bitácora del sistema M A T E R I A : A R Q U I T E C T U R A A V A N Z A D A P R O F E S O R : J U A N J O S E M U Ñ O Z A L U M N O : F E D E R I C O D I B E N E D E T T O M A T R I C U L A : 7 6 5 6

Más detalles

ATAQUE Y CONTRAMEDIAS

ATAQUE Y CONTRAMEDIAS Unidad 3 4-5 3. AUTENTICACIÓN 4. CONTROL DE ACCESO 5. ATAQUE Y CONTRAMEDIAS jun-10 M.C. Gustavo A. Gutiérrez Carreón DEFINICIÓN AUTENTICACIÓN Autenticación o autentificación es el acto de establecimiento

Más detalles

Implementación de Sistemas de Información Seguros

Implementación de Sistemas de Información Seguros Implementación de Sistemas de Información Seguros Cristian Mora Aguilar, CISSP, CISM, MCSE+Security crismora@microsoft.com Security Consultant Microsoft Security Center of Excellence, SCoE Agenda Conceptos

Más detalles

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.

Más detalles

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas. El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Seguridad del Protocolo HTTP

Seguridad del Protocolo HTTP Seguridad del Protocolo HTTP - P R O T O C O L O H T T P S. - C O N E X I O N E S S E G U R A S : S S L, TS L. - G E S T IÓN D E C E R T IF I C A D O S Y A C C E S O --S E G U R O C O N H T T P S Luis

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,

Más detalles

Técnicas y Procedimientos para la realización de Test de Intrusión

Técnicas y Procedimientos para la realización de Test de Intrusión Extrelan 2008 Cáceres. Marzo de 2008 Técnicas y Procedimientos para la realización de Test de Intrusión SG6 Soluciones Globales en Seguridad de la Información http://www.sg6.es INDICE DE CONTENIDOS Primera

Más detalles

Resumen de los protocolos de seguridad del Registro Telemático

Resumen de los protocolos de seguridad del Registro Telemático Resumen de los protocolos de seguridad del Registro Telemático Página 1 de 8 1 Introducción... 3 2 Criterios de... 4 2.1 Gestión global de la seguridad... 4 2.2 Política de seguridad... 4 2.2.1 Autenticidad...

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes

Más detalles

Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado

Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado Resumen de Requisitos Técnicos para incorporación de Organismos a la Plataforma Integrada de Servicios Electrónicos del Estado Ministerio Secretaría General de la Presidencia Unidad de Modernización y

Más detalles

OBJETIVOS DE APRENDIZAJE

OBJETIVOS DE APRENDIZAJE PLAN DE ESTUDIOS: SEGUNDO CICLO ESPECIALIDAD COMPUTACIÓN 4 to AÑO CAMPO DE FORMACIÓN: ESPECIALIZACIÓN ÁREA DE ESPECIALIZACIÓN: EQUIPOS, INSTALACIONES Y SISTEMAS UNIDAD CURRICULAR: ADMINISTRACIÓN DE SISTEMAS

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL AUTOR: Chema Alonso Consultor de Seguridad en Informática 64. Microsoft MVP Enterprise Security

Más detalles

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server SEGURIDAD EN REDES NOMBRE: Daniel Leonardo Proaño Rosero TEMA: SSH server SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve

Más detalles

Política de Privacidad. Diciembre 2013

Política de Privacidad. Diciembre 2013 Política de Privacidad Diciembre 2013 RESPONSABLES ELABORADO POR: Certificación y Seguridad REVISADO POR: - Gerente de Certificación y Seguridad - Consultora Ingenia Global. APROBADO POR: Gerente General

Más detalles

Seguridad en Servicios de Hosting

Seguridad en Servicios de Hosting Tendencias de la Tecnología en Seguridad Informática 2009 Seguridad en Servicios de Hosting Juan Pablo Perez Etchegoyen jppereze@cybsec.com 16 de Septiembre de 2009 Buenos Aires - Argentina Agenda Introducción

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT

AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT EDMUNDO TREVIÑO GELOVER CGEIT, CISM, CISA AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT 4. TIPOS DE CONTROLES DE APLICACIÓN

Más detalles

Seguridad en la transmisión de Datos

Seguridad en la transmisión de Datos Seguridad en la transmisión de Datos David Peg Montalvo Santiago de Compostela Noviembre 2005 Índice 01 Seguridad. Ámbito de aplicación 02 Control de acceso 03 Conceptos básicos de criptografía 04 PKI

Más detalles

CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED

CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED Existen numerosas cuestiones que deben abordarse al elaborar una política de seguridad: 1. Quién esta autorizado para usar los recursos? 2. Cuál es el uso

Más detalles

Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce

Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce Marcos Mateos García Jefe de Proyecto Germinus Grupo Gesfor Índice 1. Introducción 2. Desarrollo

Más detalles

Guía de integración de Management Reporter for Microsoft Dynamics GP

Guía de integración de Management Reporter for Microsoft Dynamics GP Microsoft Dynamics Guía de integración de Management Reporter for Microsoft Dynamics GP Octubre de 2012 Encontrará actualizaciones de esta documentación en la siguiente ubicación: http://go.microsoft.com/fwlink/?linkid=162565

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC Seguridad en Redes Módulo 1 Control de acceso Carlos A. Rojas Kramer UCC Agenda Identificación y autenticación. Autorización, derechos y permisos. Modelos de control de acceso. Técnicas y dispositivos

Más detalles

Seguridad Informática

Seguridad Informática Universidad Rey Juan Carlos Grado en Ingeniería Informática Seguridad Informática Curso 2012/13 Prueba 3 - Seguridad en es Lea detenidamente las instrucciones del examen antes de comenzar: El examen consta

Más detalles

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS Vicepresidencia de Infraestructura Gerencia Planeación Infraestructura y Servicios TABLA DE CONTENIDO 1. OBJETIVO...

Más detalles

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue CRIPTOGRAFIA Qué es, usos y beneficios de su utilización Introducción Antes, computadoras relativamente aisladas Hoy, computadoras en redes corporativas conectadas además a Internet Transmisión de información

Más detalles

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web Unidad 4 Criptografía, SSL/TLS y HTTPS Índice Introducción. Criptografía Introducción Algoritmos criptográficos Introducción. Clave secreta. Clave pública. Funciones resumen (hash). 2 Índice Firma digital.

Más detalles

Guía de determinación de tamaño y escalabilidad de Symantec Protection Center 2.1

Guía de determinación de tamaño y escalabilidad de Symantec Protection Center 2.1 Guía de determinación de tamaño y escalabilidad de Symantec Protection Center 2.1 Guía de determinación de tamaño y escalabilidad de Symantec Protection Center El software descrito en el presente manual

Más detalles

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

Facultat d Informàtica de Barcelona SSI Examen final 2008/06/11 Duración: 2h HOJA 1

Facultat d Informàtica de Barcelona SSI Examen final 2008/06/11 Duración: 2h HOJA 1 NOMBRE: APELLIDOS: HOJA 1 NOTA: Todas las preguntas se deben responder únicamente en el espacio dado en la hoja (lo conciso de la respuesta puntúa). 1.1 PREGUNTA (0,5 puntos) Explica qué similitudes consideras

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

SOLUCIÓN DE UNA INTRANET BAJO SOFTWARE OPEN SOURCE PARA EL GOBIERNO MUNICIPAL DEL CANTÓN BOLÍVAR [IOS-GMCB]

SOLUCIÓN DE UNA INTRANET BAJO SOFTWARE OPEN SOURCE PARA EL GOBIERNO MUNICIPAL DEL CANTÓN BOLÍVAR [IOS-GMCB] Gobierno Municipal del Cantón Bolívar. SOLUCIÓN DE UNA INTRANET BAJO SOFTWARE OPEN SOURCE PARA EL GOBIERNO MUNICIPAL DEL CANTÓN BOLÍVAR [IOS-GMCB] Visión Universidad Técnica del Norte Histórico de Revisiones

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Índice. Capítulo 1. Novedades y características... 1

Índice. Capítulo 1. Novedades y características... 1 Índice Capítulo 1. Novedades y características... 1 Introducción a Windows Server 2008... 1 Administración de servidor... 3 Seguridad y cumplimiento de directivas... 5 El concepto de Virtualización...

Más detalles

ADMINISTRADOR DE XARXES LOCALS

ADMINISTRADOR DE XARXES LOCALS ADMINISTRADOR DE XARXES LOCALS Administración de un entorno Microsoft Windows Server 2003 Módulo 1: Introducción a la administración de cuentas y recursos El entorno Windows Server 2003 Iniciar la sesión

Más detalles

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial Presentada por: Julio César Ardita, CTO CYBSEC jardita@cybsec.com Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento

Más detalles

6445 Implementing and Administering Windows Small Business Server 2008

6445 Implementing and Administering Windows Small Business Server 2008 6445 Implementing and Administering Windows Small Business Server 2008 Introducción Este taller práctico de cinco días impartido por instructor, provee a estudiantes con el conocimiento necesario para

Más detalles

Seguridad en el Ciclo de Desarrollo

Seguridad en el Ciclo de Desarrollo First OWASP DAY Chile 2010 The OWASP Foundation http://www.owasp.org Seguridad en el Ciclo de Desarrollo Alejandro Johannes M. Business Advisor Vice president Capítulo Chileno OWASP ajohannesm@gmail.com

Más detalles

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Tema 6 SSI T. intrusión Tipos Metodologías Fases Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión Seguridad en Sistemas Informáticos Noviembre-2012 Tema 6 SSI Contenido

Más detalles

Guía de doble autenticación

Guía de doble autenticación Guía de doble autenticación Índice Guía doble autenticación 1. Introducción a la Doble Autenticación: Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2.

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Seguridad en Sistemas Módulo 1 Parte 1: Conceptos Generales. Carlos A. Rojas Kramer UCC

Seguridad en Sistemas Módulo 1 Parte 1: Conceptos Generales. Carlos A. Rojas Kramer UCC Seguridad en Sistemas Módulo 1 Parte 1: Conceptos Generales Carlos A. Rojas Kramer UCC Amenazas y ataques Amenaza es una violación potencial de la seguridad de un sistema. Ataque es un intento (exitoso

Más detalles

Tableau Online Seguridad en la nube

Tableau Online Seguridad en la nube Tableau Online Seguridad en la nube Autor: Ellie Fields Directora sénior, marketing de productos, Tableau Software Junio de 2013 p2 Tableau Software comprende que los datos están dentro de los recursos

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas W8: wexplor VIROLOGÌA Y CRIPTOLOGÌA 4NM73 W8:INTERNET EXPLORER U5: FILE TRANSFER

Más detalles

Sistemas de Computación Archivos de Red. 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio

Sistemas de Computación Archivos de Red. 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio Sistemas de Computación Archivos de Red 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio NFS Características: Provee un acceso transparente a un Sistema de Archivos

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles