SlideShare una empresa de Scribd logo

Presentacion Ontología de Seguridad para la securización de sistemas

Descargar como PPTX, PDF
G
guesta3f6ce

En esta presentación se muestra una Ontología orientada a la seguridad informática, diseñada para ayudar en las labores de securización de los sistemas tras un proceso de audtoría de aplicaciones web y de caja negra

Educación
1 de 41
ONTOLOGÍA DE SEGURIDAD APLICACIÓN A LOS PROCESOS DE AUDITORÍA DE CAJA NEGRA Y AUDITORÍA DE APLICACIONES WEB Juan Antonio Calles García
Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
El Estado de la informática en la actualidad Estudio DigiWorld Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC. Subida frente a 2008 de casi un 6%
¿Estos beneficios están seguros? NO. Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben.
Cualquiera puede recibir un ataque…
¿Cómo proteger los beneficios? Realizando auditorías de seguridad e implantando sistemas seguros. Para ello nacieron en la década de los 90 empresas especializadas en el sector de la seguridad. Estas empresas generaron solo en España 640.000.000€ en 2008
¿Cómo pueden poner en peligro la seguridad de las organizaciones? Malware: utilizando software malicioso para conseguir en el peor de los casos el control de las máquinas. Exploits: aprovecharse de vulnerabilidades en el software de la organización (normalmente bases de datos y sistemas operativos no actualizados) para modificar o robar datos. Ataques web: inyectando código en las zonas mal protegidas de un sitio web. Curiosidad: investigando las zonas no protegidas de una organización de forma manual o con automatizaciones de software.
Protección
Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
Auditoría de Seguridad Auditorías de seguridad Auditoría de Aplicaciones Web Auditoría interna Caja Negra Caja Blanca Caja Gris
Auditoría de aplicaciones web Ataques web: Pruebas para comprobar la seguridad de las aplicaciones web de una empresa. Se revisan exploits y vulnerabilidades web: sqlinjection ldapinjection xpathinjection cssp (connectionstringparameterpollution) local fileinclusion remotefileinclusion ejecución de comandos con manipulación de tokens tipo && ; y `` pathdisclosure path transversal XSS (Cross-site scripting)
Auditoría Interna menos Información inicial mas Información inicial
¿Cuánto cuesta una auditoría de seguridad?¿Se puede suprimir para que nuestra empresa sea segura? Dependiendo del tamaño de la organización y de los tipos de auditoría seleccionadas. De media unos 120.000€ No. La auditoría es necesaria para verificar la seguridad de una organización.
Securización de las vulnerabilidades encontradas en la auditoría Tras realizar la auditoría de seguridad, es necesario securizar el sistema, protegiendo las vulnerabilidades encontradas, trabajo que NO va incluido dentro de la auditoría y que se abonaría aparte. Éste coste podría ser ahorrado por la organización si su propio personal se encargase de la securización del sistema. Securización de las vulnerabilidades encontradas en la auditoría
Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
¿Si no contamos con personal especializado como securizamos el sistema? Mediante un software que ayude a los usuarios a solucionar las vulnerabilidades del sistema. En este proyecto se ha definido una Ontología de seguridad y se ha desarrollado una aplicación para ayudar a los usuarios a proteger un sistema tras una fase de auditoría. Ahorrando así dinero a la empresa.
Modificación del proceso de Securización
¿Cómo funciona la Ontología de seguridad? Al estilo “google”, indicándole a la aplicación las vulnerabilidades que se nos han indicado en el informe de la auditoría, nos detalla la solución que debemos aplicar. Conseguimos: Sistema Seguro
Contenido de la Ontología de Seguridad La Ontología ha sido diseñada para resolver las vulnerabilidades encontradas en la fase de Auditoría web y en la fase de Caja Negra dentro de la Auditoría Interna, omitiendo las fases de Caja Blanca y Caja Gris por su gran extensión. Contiene mas de 50 soluciones a vulnerabilidades.
Diagrama de clases
Conocimiento de la Ontología 1 La Ontología es capaz de dar solución a las siguientes vulnerabilidades web sqlinjection (PHP+MySQL). sqlinjection (JAVA). sqlinjection (C#, SQL Server). ldapinjection. xpathinjection. cssp (connectionstringparameterpollution). local file inclusión. remotefileinclusion (PHP). pathdisclosure. pathtraversal.
Conocimiento de la Ontología 2 La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Footprinting Fuzzing http Fuzzingdns Whois Transferencia de zona Mostrar banner por defecto del servidor Error 404 no controlado Metadatos en documentos web
Conocimiento de la Ontología 3 La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Fingerprinting Puertos abiertos extraños. Puertos abiertos innecesarios Y a los siguientes Exploits: Buffer Overflow. Racecondition. FormatstringBugs. XSS sqlinjection (PHP+MySQL) sqlinjection (JAVA) sqlinjection (C#, SQL Server) CRLF (Inyección de caracteres).
Conocimiento de la Ontología 4 La Ontología es capaz de dar solución a los siguientes tipos de Malware Adware Backdoor Badware alcalino Bomba fork Botnet Crackers Cryptovirus Dialers Hoaxes, Jokes o Bulos Keylogger Virtual crab o Ladilla virtual Leapfrog ,[object Object]
Pharming
Phising
Pornware
Riskware
Rootkit
Spam
Spyware
Troyano
Worms,[object Object]
2 ¿Cómo responde a nuestras preguntas la Ontología? Pregunta: ¿Qué protección a Footprinting protege a la fuga de datos por metadatos alojados en los documentos web? Protección Footprinting + Protege frente a: + contains + Metadatos en documentos web Respuesta: Siempre hay que eliminar los metadatos de los documentos antes de subirlos a un servidor, o sino instalar una herramienta como Meta Shield Protector (www.metashieldprotector.com) que elimina los metadatos de los documentos en tiempo real antes de que sean descargados por un usuario. Pregunta: ¿Qué solución a error web soluciona el “remotefileinclusion”? Solución a error web + soluciona el + contains + remotefile inclusión (PHP) Respuesta: Comprobar que el fichero solicitado en la URL tiene la extensión .PHP y que se encuentra dentro del directorio donde se encuentra alojado el sitio web y sino rechazar la petición web
Implementación La implementación del software ha sido realizada con la aplicación Protégé.
Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
DEMO

Recomendados

Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]
RootedCON
 
Panda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malwarePanda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malware
Panda Security
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
Cristian Garcia G.
 
De Hacker a C-Level
De Hacker a C-LevelDe Hacker a C-Level
De Hacker a C-Level
Alejandro Hernández
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
Argentesting
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén Vergara
INACAP
 
Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360
Panda Security
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo Godoy
INACAP
 

Recomendados

Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]
RootedCON
 
Panda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malwarePanda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malware
Panda Security
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
Cristian Garcia G.
 
De Hacker a C-Level
De Hacker a C-LevelDe Hacker a C-Level
De Hacker a C-Level
Alejandro Hernández
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
Argentesting
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén Vergara
INACAP
 
Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360
Panda Security
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo Godoy
INACAP
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
Cristian Garcia G.
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en España
bramstoker
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo Rivero
Cristian Garcia G.
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting
 
Catalogo Fortinet
Catalogo FortinetCatalogo Fortinet
Catalogo Fortinet
Sebastian Alvarez Obando
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
Websec México, S.C.
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
Iván Portillo
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
TECHNOLOGYINT
 
Respuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadRespuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridad
Gonzalo Espinosa
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
Cristian Garcia G.
 
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Internet Security Auditors
 
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasIntroduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Fernando Tricas García
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
fabibmx7
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
Websec México, S.C.
 
Ciberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers MéxicoCiberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers México
Juan Carlos Carrillo
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
Ad Ad
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
Les Esco
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
edithua
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones web
Juan Carlos Pérez Pardo
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
carolinanocua
 
Auditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NAAuditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NA
1426NA
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
Cristian Paul
 

Más contenido relacionado

La actualidad más candente

COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
Cristian Garcia G.
 
Respuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadRespuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridad
Gonzalo Espinosa
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
Cristian Garcia G.
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
fabibmx7
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
Websec México, S.C.
 

La actualidad más candente (15)

COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en España
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo Rivero
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgos
 
Catalogo Fortinet
Catalogo FortinetCatalogo Fortinet
Catalogo Fortinet
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
 
Respuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadRespuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridad
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
 
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
 
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasIntroduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
 
Ciberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers MéxicoCiberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers México
 

Destacado

Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
edithua
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
carolinanocua
 
Auditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivosAuditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivos
Hernán Sánchez
 
El área informática en las organizaciones
El área informática en las organizacionesEl área informática en las organizaciones
El área informática en las organizaciones
Nanda Chica
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informatica
janethvalverdereyes
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de Informacion
Javier Moreno
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
Wil Vin
 

Destacado (17)

Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones web
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
 
Auditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NAAuditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NA
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
 
Auditoria De ComunicacióN
Auditoria De ComunicacióNAuditoria De ComunicacióN
Auditoria De ComunicacióN
 
Presentacion auditoria de sistemas
Presentacion auditoria de sistemasPresentacion auditoria de sistemas
Presentacion auditoria de sistemas
 
Auditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivosAuditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivos
 
El área informática en las organizaciones
El área informática en las organizacionesEl área informática en las organizaciones
El área informática en las organizaciones
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de Informacion
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 

Similar a Presentacion Ontología de Seguridad para la securización de sistemas

Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
Wendy Perez Diaz
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
Wendy Perez Diaz
 
Trabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasTrabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemas
yisdan
 

Similar a Presentacion Ontología de Seguridad para la securización de sistemas (20)

Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y Seguridad
 
Auditoria bigdatamachinelearning
Auditoria bigdatamachinelearningAuditoria bigdatamachinelearning
Auditoria bigdatamachinelearning
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
Trabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasTrabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemas
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
Proyecto2
Proyecto2Proyecto2
Proyecto2
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgos
 
Seguridad clase-2
Seguridad clase-2Seguridad clase-2
Seguridad clase-2
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
 

Último

ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
jlorentemartos
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
Juan Martín Martín
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
patriciaines1993
 

Último (20)

TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADOTIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtuales
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VSSEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
Infografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdfInfografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdf
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
 
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptxCONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.pptFUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
 

Presentacion Ontología de Seguridad para la securización de sistemas

  • 1. ONTOLOGÍA DE SEGURIDAD APLICACIÓN A LOS PROCESOS DE AUDITORÍA DE CAJA NEGRA Y AUDITORÍA DE APLICACIONES WEB Juan Antonio Calles García
  • 2. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 3. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 4. El Estado de la informática en la actualidad Estudio DigiWorld Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC. Subida frente a 2008 de casi un 6%
  • 5. ¿Estos beneficios están seguros? NO. Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben.
  • 7. ¿Cómo proteger los beneficios? Realizando auditorías de seguridad e implantando sistemas seguros. Para ello nacieron en la década de los 90 empresas especializadas en el sector de la seguridad. Estas empresas generaron solo en España 640.000.000€ en 2008
  • 8. ¿Cómo pueden poner en peligro la seguridad de las organizaciones? Malware: utilizando software malicioso para conseguir en el peor de los casos el control de las máquinas. Exploits: aprovecharse de vulnerabilidades en el software de la organización (normalmente bases de datos y sistemas operativos no actualizados) para modificar o robar datos. Ataques web: inyectando código en las zonas mal protegidas de un sitio web. Curiosidad: investigando las zonas no protegidas de una organización de forma manual o con automatizaciones de software.
  • 10. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 11. Auditoría de Seguridad Auditorías de seguridad Auditoría de Aplicaciones Web Auditoría interna Caja Negra Caja Blanca Caja Gris
  • 12. Auditoría de aplicaciones web Ataques web: Pruebas para comprobar la seguridad de las aplicaciones web de una empresa. Se revisan exploits y vulnerabilidades web: sqlinjection ldapinjection xpathinjection cssp (connectionstringparameterpollution) local fileinclusion remotefileinclusion ejecución de comandos con manipulación de tokens tipo && ; y `` pathdisclosure path transversal XSS (Cross-site scripting)
  • 13. Auditoría Interna menos Información inicial mas Información inicial
  • 14. ¿Cuánto cuesta una auditoría de seguridad?¿Se puede suprimir para que nuestra empresa sea segura? Dependiendo del tamaño de la organización y de los tipos de auditoría seleccionadas. De media unos 120.000€ No. La auditoría es necesaria para verificar la seguridad de una organización.
  • 15. Securización de las vulnerabilidades encontradas en la auditoría Tras realizar la auditoría de seguridad, es necesario securizar el sistema, protegiendo las vulnerabilidades encontradas, trabajo que NO va incluido dentro de la auditoría y que se abonaría aparte. Éste coste podría ser ahorrado por la organización si su propio personal se encargase de la securización del sistema. Securización de las vulnerabilidades encontradas en la auditoría
  • 16. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 17. ¿Si no contamos con personal especializado como securizamos el sistema? Mediante un software que ayude a los usuarios a solucionar las vulnerabilidades del sistema. En este proyecto se ha definido una Ontología de seguridad y se ha desarrollado una aplicación para ayudar a los usuarios a proteger un sistema tras una fase de auditoría. Ahorrando así dinero a la empresa.
  • 18. Modificación del proceso de Securización
  • 19. ¿Cómo funciona la Ontología de seguridad? Al estilo “google”, indicándole a la aplicación las vulnerabilidades que se nos han indicado en el informe de la auditoría, nos detalla la solución que debemos aplicar. Conseguimos: Sistema Seguro
  • 20. Contenido de la Ontología de Seguridad La Ontología ha sido diseñada para resolver las vulnerabilidades encontradas en la fase de Auditoría web y en la fase de Caja Negra dentro de la Auditoría Interna, omitiendo las fases de Caja Blanca y Caja Gris por su gran extensión. Contiene mas de 50 soluciones a vulnerabilidades.
  • 22. Conocimiento de la Ontología 1 La Ontología es capaz de dar solución a las siguientes vulnerabilidades web sqlinjection (PHP+MySQL). sqlinjection (JAVA). sqlinjection (C#, SQL Server). ldapinjection. xpathinjection. cssp (connectionstringparameterpollution). local file inclusión. remotefileinclusion (PHP). pathdisclosure. pathtraversal.
  • 23. Conocimiento de la Ontología 2 La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Footprinting Fuzzing http Fuzzingdns Whois Transferencia de zona Mostrar banner por defecto del servidor Error 404 no controlado Metadatos en documentos web
  • 24. Conocimiento de la Ontología 3 La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Fingerprinting Puertos abiertos extraños. Puertos abiertos innecesarios Y a los siguientes Exploits: Buffer Overflow. Racecondition. FormatstringBugs. XSS sqlinjection (PHP+MySQL) sqlinjection (JAVA) sqlinjection (C#, SQL Server) CRLF (Inyección de caracteres).
  • 25.
  • 31. Spam
  • 34.
  • 35. 2 ¿Cómo responde a nuestras preguntas la Ontología? Pregunta: ¿Qué protección a Footprinting protege a la fuga de datos por metadatos alojados en los documentos web? Protección Footprinting + Protege frente a: + contains + Metadatos en documentos web Respuesta: Siempre hay que eliminar los metadatos de los documentos antes de subirlos a un servidor, o sino instalar una herramienta como Meta Shield Protector (www.metashieldprotector.com) que elimina los metadatos de los documentos en tiempo real antes de que sean descargados por un usuario. Pregunta: ¿Qué solución a error web soluciona el “remotefileinclusion”? Solución a error web + soluciona el + contains + remotefile inclusión (PHP) Respuesta: Comprobar que el fichero solicitado en la URL tiene la extensión .PHP y que se encuentra dentro del directorio donde se encuentra alojado el sitio web y sino rechazar la petición web
  • 36. Implementación La implementación del software ha sido realizada con la aplicación Protégé.
  • 37. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 38. DEMO
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 45. Conclusiones y Trabajos Futuros La Ontología de Seguridad ahorraría bastante dinero a las empresas, que podrían prescindir de los servicios de personal externo para implantar un sistema seguro tras una fase de auditoría Como trabajo futuro se propone aumentar la base de datos del conocimiento de la Ontología a las fases de Caja Gris y Caja Blanca de la fase de Auditoría Interna.
  • 46. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 47. Bibliografía Informe DigiWorld 2009, http://www.enter.ie.edu/enter/cms/es/informe/7049/1, Junio 2009. Enter, http://www.enter.ie.edu/, 2009. Idate, http://www.idate.fr/, 2009. Francisco Ros. El sector de la seguridad informática en España generó 640 millones de euros el año pasado,http://www.dicyt.com/noticias/el-sector-de-la-seguridad-informatica-en-espana-genero-640-millones-de-euros-el-ano-pasado, Octubre 2008. ISO/IEC 27001:2005, http://www.iso27001security.com/, 2009 OSSTMM, http://www.isecom.org/osstmm/, Noviembre 2009. OWASP, http://www.owasp.org/, Diciembre 2009. Sqlinyection: http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL, Diciembre 2009. Blind sqlinyection: http://es.wikipedia.org/wiki/Blind_SQL_injection, Diciembre 2009. XSS, Cross-Site Scripting: http://es.wikipedia.org/wiki/Cross-site_scripting, Noviembre 2009. Buffer Overflow: http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer, Octubre 2009. Chema Alonso, Rodolfo Bordón, Marta Beltrán y Antonio Guzmán. LDAP InjectionTechniques, ICCS 2008, Guangzho (China), Noviembre 2008 Antonio Guzmán, Marta Beltrán, Chema Alonso y Rodolfo Bordón. LDAP Injection and Blind LDAP Injection, Collecter 2008, Madrid (España), Junio 2008 Chema Alonso, Rodolfo Bordón, Daniel Katchakil, Antonio Guzmán y Marta Beltrán. Blind SQL Injection Time-basedUsing Heavy Queries: A practicalApproachfor MS SQL Server, MS Access, Oracle and MySQLDatabases, IASK 2007, Oporto (Portugal), Diciembre 2007 SethFogie, Jeremiah Grossman, Robert Hansen, AntonRager, Petko D. Petkov. XSS Attacks: Cross Site Scripting Exploits and Defense (Paperback) Juan Garrido Caballero, Análisis forense digital en entornos Windows. 2008 Protege: http://protege.stanford.edu/, 2009.