SlideShare una empresa de Scribd logo

Seguridad 002 seguridad en aplicaciones web y bases de datos

L
Luis Fernando

Seguridad 002 seguridad en aplicaciones web y bases de datos

Educación
1 de 35
Descargar para leer sin conexión
LPIII – SEGURIDAD APP Y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 1
LPIII – SEGURIDAD APP Y BD
Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 3
Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 4
Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 5
Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 6
Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 7
Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 8
Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 9
Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 10
Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 11
Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 12
Seguridad App y BD Seguridad en aplicaciones web y bases de datos – Estado del Arte Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 13 • Entorno web • Entorno web es aquel en el que un cliente utiliza un protocolo de transporte para llegar a interactuar con un servidor web. • Tecnologías • Cliente web: aquel que inicia la comunicación con el servidor con el fin de realizar algún tipo de transacción de información • Conexión: • HTTP • TCP • IP • Otros
Seguridad App y BD Seguridad en aplicaciones web y bases de datos – Estado del Arte Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 14 • Servidor Web • servidor web será aquel que recoja y procese la petición del cliente, bien devolviendo información, bien llevando a cabo algún proceso. Existe infinidad de software distinto para procesar las distintas peticiones.
Seguridad App y BD Seguridad en aplicaciones web y bases de datos – Estado del Arte Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 15 • Protocolo de una petición • Dentro del protocolo HTTP existen distintas peticiones posibles a un servicio. Las más comunes son las peticiones GET y POST que, si bien son similares, difieren en la forma en que se envía información desde el cliente al servidor web.
Seguridad App y BD Seguridad en aplicaciones web y bases de datos – Estado del Arte Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 16 • Protocolo de una petición 1. Inicio de la petición: El usuario introduce una URL en la interfaz del navegador y ejecuta la petición. 2. Resolución de direcciones IP: Habitualmente la URL introducida es una dirección alfanumérica que debe ser convertida a una dirección IP. Para ello se dispone del protocolo DNS, mediante sus servidores y sistemas de caché se realiza esa traducción para que el protocolo HTTP sea capaz de realizar la petición correctamente. 3. Establecimiento de conexión con dirección IP: Apoyándose en el protocolo TCP se realiza la apertura de un socket a la dirección IP correspondiente. 4. Envío de la petición: En este momento se realiza la petición en sí, sea de tipo GET o POST con todos los datos asociados a la misma que son incluidos en la petición 5. Envío de la respuesta: Una vez procesada la petición por parte del servidor web se realiza la respuesta con el contenido devuelto como parte del contenido HTTP. 6. Mostrado de la información: El navegador web muestra en su interfaz la información suministrada en la respuesta.
Seguridad App y BD Seguridad en aplicaciones web y bases de datos – Estado del Arte Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 17 • Protocolo de una petición
Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 18 1. Seguridad de la Información El propósito es construir un sistema que tenga en cuenta todos los posibles riesgos en la administración de la información, estén o no relacionados con la seguridad informática. En concreto, el principio de la seguridad informática es prevenir el acceso, modificación, uso o destrucción no autorizados de la información, independientemente del soporte en el que se encuentre ésta.
Seguridad de la Información Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 19 Principios Básicos  Confidencialidad: Debe prevenirse el revelado de información a personas o sistemas no autorizados.  Integridad: La información debe mantenerse libre de cualquier modificación o alteración de su contenido que no sea autorizada.  Disponibilidad: Así mismo, la información deberá estar accesible y disponible para las personas o sistemas autorizados cuando así lo requieran.  Autenticidad/Autenticación: Es necesario poder garantizarse que el emisor de la información es quien dice ser.  No repudio: En determinados entornos, no debe caber posibilidad por parte del emisor de rechazar la autoría de la información.
Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 20 1. Seguridad Informática Esta disciplina es la encargada de implementar las medidas técnicas de protección de la información. Es decir, el despliegue de las tecnologías necesarias (desde el control de acceso, antivirus, cortafuegos, alertas, etcétera) que, articuladas junto con prácticas de dirección de las tecnologías de información, establecen las formas de actuación y defensa frente a situaciones de fallos y brechas de seguridad.
Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 21
Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 22 1. Seguridad Informática debe proteger  Datos  Usuarios  Infraestructura
Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 23 Protección de Datos En líneas generales, cualquier persona física o jurídica que recabe información en un fichero queda obligada a: • Comunicar la existencia del registro a la Agencia Nacional de Protección de Datos,a través de la inscripción del registro en el Registro General de Protección de datos, gestionado por la propia agencia. • Adoptar todas las medidas recogidas en la propia ley y en el reglamento que la regula. • Obtener el consentimiento informado acerca de la recogida y tratamiento de los datos del fichero. • Informar a las personas que aparecen en el fichero de los derechos que se les otorga, siendo estos de Acceso, Rectificación, Cancelación y Oposición (ARCO). • Respetar la privacidad de los datos así como el derecho a la intimidad de la personas. En general, mantener el secreto. Dentro de los distintos datos que pueden ser almacenados en un registro, se distinguen hasta tres niveles distintos de datos que se traducen en distintas medidas de seguridad que deberán ser adoptadas por los titulares del registro.
Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 24 Protección de Datos: Niveles
Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 25 La serie ISO 27000 recoge una serie de estándares de seguridad de la información elaborados de forma conjunta entre la organización de estandarización internacional (ISO) y la comisión internacional de electrotecnia (IEC). Estos estándares, aportan una serie de buenas prácticas en el manejo de seguridad de la información y control de riesgos en el contexto de un sistema de la información. Se trata de una definición de estándares amplia, que explica de forma profusa todo lo relativo a la seguridad no solo desde un punto de vista técnico. Aplicable para empresas y organismos de cualquier tamaño, donde cada una deberá evaluar los riesgos y medidas de seguridad a aplicar siempre desde un prisma de mejora continua, no entendiendo la seguridad de la información como un hecho o etapa puntuales. La serie posee numerosos estándares y otros más se encuentran en desarrollo.
Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 26 ISO/IEC 27001:2005 Este estándar, recoge de manera concreta la implementación de un SGSI, abarcando desde los requisitos previos hasta la documentación que debe generarse. Publicado en España como UNE-ISO/IEC 27001:2007. Principios fundamentales para un SGSI son: • Concientizar la necesidad de la seguridad. • Asignar responsables de esa seguridad dentro de la organización. • Comprometer a la dirección de la organización con la seguridad. • Determinar los controles apropiados para alcanzar niveles de riesgo aceptables. • Incorporar la seguridad como un elemento esencial en los sistemas. • Prevención activa de los incidentes de seguridad. • Evaluar la seguridad de la información de forma continua.
Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 27 Metodología Para llevar a cabo la implantación de un SGSI, el estándar recomienda la utilización del método PDCA, acrónimo del inglés Plan-Do-Check-Act.
Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 28 Metodología
Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 29 Metodología - Etapa Planificación  Definir la política de seguridad, que tenga en cuenta los distintos objetivos y requisitos de seguridad. Que establezca también los criterios con los que se evaluará el riesgo y que esté aprobada por la dirección.  Definir la metodología de evaluación de los riesgos de tal forma que los resultados sean comparables.  Identificar los riesgos. Establecer los activos de la organización, las amenazas referentes a éstos. Se evaluarán las vulnerabilidades que sean aprovechables por dichas amenazas y se identificará el impacto que tendrían.  Evaluar los riesgos. Se evalúa el impacto de un fallo de seguridad así como la probabilidad de que exista ese fallo estimando el nivel de riesgo y determinando por último si ese riesgo es aceptable o debe ser paliado.  Identificar opciones para el tratamiento de los riesgos. Aplicando controles, aceptando el riesgo, imposibilitándolo, transfiriéndolo, etcétera.  Elegir los objetivos de control y los controles. Para ello, el anexo A del estándar recoge un completo listado de ellos, dejando la posibilidad de incluir otros adicionales en caso de necesidades específicas. En este listado se basa el estándar ISO/IEC 27002 para proporcionar la guía de implantación de un SGSI.  Recibir la aprobación del SGSI por parte de la dirección de la organización.  Definir los criterios de implantación definiendo los distintos controles de implantación.
Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 30 Metodología - Etapa Hacer Llevar a cabo el plan del SGSI así como su utilización. o Definir e implantar el tratamiento de riesgos para la gestión de los mismos. o Definir un sistema de medidas para estimar la eficacia de los controles implementados. o Formar y concienciar al personal de la organización. o Gestionar las operaciones y recursos asignados al SGSI. o Implantar controles para la detección y respuesta temprana de los incidentes de seguridad.
Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 31 Metodología - Etapa Revisar  Ejecutar procedimientos de monitorización que permitan detectar los distintos errores, identificar agujeros de seguridad, uso indebido de sistemas y la correcta respuesta a los incidentes de seguridad.  Revisar la efectividad del SGSI, teniendo como criterio el cumplimiento de sus objetivos, las auditorías de seguridad, incidentes, resultados de las distintas mediciones.  Realizar auditorías internas periódicas.  Revisar las evaluaciones de riesgos teniendo en cuenta los distintos cambios que hayan podido producirse.  Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.
Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 32 Metodología - Etapa Actuar  Implantar en el SGSI las mejoras identificadas.  Realizar las acciones preventivas y correctivas adecuadas en función de la experiencia recopilada.  Comunicar las acciones y mejoras.  Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
Seguridad App y BD Tipologías de Ataques web Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 33 1. Tipos de Vulnerabilidad mas frecuentes • Vulnerabilidad de inyección. Sea SQL, LDAP u otros. • Ruptura del sistema de autenticación o del control de sesiones. • Cross-site scripting. • Referencias inseguras a elementos. • Configuración insegura. Aplicable a servidor web, base de datos… • Mostrado de información sensible. • Escaso control de acceso a las funcionalidades. • Cross-site request forgery. • Utilización de software con vulnerabilidades conocidas. • Redirecciones erróneas o no controladas.
Seguridad App y BD Tipologías de Ataques web Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 34 Top 10 vulnerabilidades: OWASP  A1 – Inyecciones (Starbucks 2019)  Esta vulnerabilidad consiste en la inyección de código (SQL, NOSQL, LDAP, etc.) por la falta de validación de entradas.  A2 – Pérdidas de Autenticación (Twitter 2020)  Esta vulnerabilidad consiste en que la parte responsable de la autenticación falla o se usa incorrectamente.  A3 – Exposición de datos sensibles (Walmart 2021)  Esta vulnerabilidad consiste en almacenar y procesar datos sensibles de forma incorrecta.  A4 – Uso de entidades externas en XML (IBM 2020)  La vulnerabilidad consiste en el uso de entidades externas en archivos XML. Dichas entidades externas permiten la ejecución de código desde estas entidades.  A5 – Fallos en el control de acceso (Facebook 2018)  La vulnerabilidad consiste en que un usuario ilegítimo pueda acceder a áreas o recursos restringidos, incluso pudiendo cambiar los permisos de acceso.  A6 – Malas configuraciones (Rockstar Games 2018)  Esta vulnerabilidad consiste en una falta de configuración o uso de configuración básica que no es capaz de evitar problemas.  A7 – Cross-Site Scripting (XSS) (GitLab 2019)  Esta vulnerabilidad permite inyectar código javascript como datos de entrada.  A8 – Deserialización insegura (U.S. Dept Of Defense 2018)  Esta vulnerabilidad consiste en la deserialización insegura por falta de validación que generalmente, permite la ejecución de código remoto.  A9 – Uso de componentes vulnerables (NPM 2019)  Esta vulnerabilidad consiste en el uso de componentes o dependencias con vulnerabilidades conocidas.  A10 – Logs y supervisión insuficiente (Marriott 2018)  Esta vulnerabilidad consiste en la falta de información necesaria en los logs o falta de supervisión mediante herramientas que monitoricen logs y eventos de seguridad.
Seguridad App y BD Taller Proyectos Software de OWASP Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 35 ✔ WebScarab --> ZAP (The Zed Attack Proxy) ✔ Dirbuster ✔ DotNet ✔ ESAPI ✔ WebGoat ✔ Mantra Framework ✔ OWASP Live CD ✔ OWASP AntiSamy Java Project ✔ OWASP WAF

Recomendados

Hacking ético
Hacking éticoHacking ético
Hacking éticoPaulo Colomés
 
Seguridad 005 clientes, navegadores y sandbox
Seguridad 005 clientes, navegadores y sandboxSeguridad 005 clientes, navegadores y sandbox
Seguridad 005 clientes, navegadores y sandboxLuis Fernando
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Computación forense
Computación forenseComputación forense
Computación forensemarcoacruz12
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informáticab1dmiriammunozelespinillo
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAWalter Edison Alanya Flores
 

Recomendados

Hacking ético
Hacking éticoHacking ético
Hacking éticoPaulo Colomés
 
Seguridad 005 clientes, navegadores y sandbox
Seguridad 005 clientes, navegadores y sandboxSeguridad 005 clientes, navegadores y sandbox
Seguridad 005 clientes, navegadores y sandboxLuis Fernando
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Computación forense
Computación forenseComputación forense
Computación forensemarcoacruz12
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informáticab1dmiriammunozelespinillo
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAWalter Edison Alanya Flores
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Legislación informática
Legislación informáticaLegislación informática
Legislación informáticaale-pruneda
 
Ppt seguridad informática
Ppt seguridad informáticaPpt seguridad informática
Ppt seguridad informáticakaribdis05
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
VAPT Services by prime
VAPT Services by primeVAPT Services by prime
VAPT Services by primePrime Infoserv
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralFrancisco Medina
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
Cifrado
CifradoCifrado
Cifradosindiguevarad
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informáticavektormrtnz
 
Vulnerability Assessment Report
Vulnerability Assessment ReportVulnerability Assessment Report
Vulnerability Assessment ReportHarshit Singh Bhatia
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónMarcos Harasimowicz
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresasPedro De La Torre Rodríguez
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)Karin Adaly
 
Vulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingVulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingYvonne Marambanyika
 
Articles 349495 recurso-105
Articles 349495 recurso-105Articles 349495 recurso-105
Articles 349495 recurso-105Monic Arguello
 
Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Monic Arguello
 

Más contenido relacionado

La actualidad más candente

DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Legislación informática
Legislación informáticaLegislación informática
Legislación informáticaale-pruneda
 
Ppt seguridad informática
Ppt seguridad informáticaPpt seguridad informática
Ppt seguridad informáticakaribdis05
 
VAPT Services by prime
VAPT Services by primeVAPT Services by prime
VAPT Services by primePrime Infoserv
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralFrancisco Medina
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informáticavektormrtnz
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónMarcos Harasimowicz
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)Karin Adaly
 
Vulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingVulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingYvonne Marambanyika
 

La actualidad más candente (20)

DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
 
Legislación informática
Legislación informáticaLegislación informática
Legislación informática
 
Ppt seguridad informática
Ppt seguridad informáticaPpt seguridad informática
Ppt seguridad informática
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
VAPT Services by prime
VAPT Services by primeVAPT Services by prime
VAPT Services by prime
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad Perimetral
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical Hacking
 
Cifrado
CifradoCifrado
Cifrado
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informática
 
Vulnerability Assessment Report
Vulnerability Assessment ReportVulnerability Assessment Report
Vulnerability Assessment Report
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresas
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)
 
Vulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingVulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration Testing
 

Similar a Seguridad 002 seguridad en aplicaciones web y bases de datos

Articles 349495 recurso-105
Articles 349495 recurso-105Articles 349495 recurso-105
Articles 349495 recurso-105Monic Arguello
 
Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Monic Arguello
 
Articles 349495 recurso-105 (2)
Articles 349495 recurso-105 (2)Articles 349495 recurso-105 (2)
Articles 349495 recurso-105 (2)Monic Arguello
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Miguel A. Amutio
 
Seguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsSeguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsLuis Fernando
 
Examen Parcial de redes IBM
Examen Parcial de redes IBMExamen Parcial de redes IBM
Examen Parcial de redes IBMKoreanASIA
 
Estado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadEstado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadMiguel A. Amutio
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...Miguel A. Amutio
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...xavazquez
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Pilar Santamaria
 
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdfJavierEnriqueRamosNa1
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadMiguel A. Amutio
 
IngSoftware-ParadigmasOrientadoAlaNube.pdf
IngSoftware-ParadigmasOrientadoAlaNube.pdfIngSoftware-ParadigmasOrientadoAlaNube.pdf
IngSoftware-ParadigmasOrientadoAlaNube.pdfFranciscoJavierRojas73
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Cisco Service Provider Mobility
 

Similar a Seguridad 002 seguridad en aplicaciones web y bases de datos (20)

Articles 349495 recurso-105
Articles 349495 recurso-105Articles 349495 recurso-105
Articles 349495 recurso-105
 
Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)
 
Articles 349495 recurso-105 (2)
Articles 349495 recurso-105 (2)Articles 349495 recurso-105 (2)
Articles 349495 recurso-105 (2)
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
 
Seguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsSeguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web apps
 
Examen Parcial de redes IBM
Examen Parcial de redes IBMExamen Parcial de redes IBM
Examen Parcial de redes IBM
 
Estado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadEstado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de Seguridad
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
 
SEPARATA SEMANA 7 SI.pdf
SEPARATA SEMANA 7 SI.pdfSEPARATA SEMANA 7 SI.pdf
SEPARATA SEMANA 7 SI.pdf
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
 
Articulo grupo 201014_42
Articulo grupo 201014_42Articulo grupo 201014_42
Articulo grupo 201014_42
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
 
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
Matriz de consistencia
Matriz de consistenciaMatriz de consistencia
Matriz de consistencia
 
IngSoftware-ParadigmasOrientadoAlaNube.pdf
IngSoftware-ParadigmasOrientadoAlaNube.pdfIngSoftware-ParadigmasOrientadoAlaNube.pdf
IngSoftware-ParadigmasOrientadoAlaNube.pdf
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)
 

Último

Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfMercedes Gonzalez
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxFernando Solis
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdfPlan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdfcarolinamartinezsev
 
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONRESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONamelia poma
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Juan Martín Martín
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOluismii249
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesMarisolMartinez707897
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxlclcarmen
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxiemerc2024
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfJonathanCovena1
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfapunteshistoriamarmo
 
Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024IES Vicent Andres Estelles
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Katherine Concepcion Gonzalez
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptAlberto Rubio
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfRosabel UA
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...jlorentemartos
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!CatalinaAlfaroChryso
 

Último (20)

Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdfPlan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
Plan-de-la-Patria-2019-2025- TERCER PLAN SOCIALISTA DE LA NACIÓN.pdf
 
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONRESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtuales
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdf
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdf
 
Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 
Power Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptxPower Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptx
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdf
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
 
Novena de Pentecostés con textos de san Juan Eudes
Novena de Pentecostés con textos de san Juan EudesNovena de Pentecostés con textos de san Juan Eudes
Novena de Pentecostés con textos de san Juan Eudes
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!
 

Seguridad 002 seguridad en aplicaciones web y bases de datos

  • 1. LPIII – SEGURIDAD APP Y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 1
  • 3. Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 3
  • 4. Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 4
  • 5. Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 5
  • 6. Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 6
  • 7. Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 7
  • 8. Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 8
  • 9. Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 9
  • 10. Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 10
  • 11. Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 11
  • 12. Seguridad App y BD Seguridad en aplicaciones web y bases de datos - Estadísticas Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 12
  • 13. Seguridad App y BD Seguridad en aplicaciones web y bases de datos – Estado del Arte Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 13 • Entorno web • Entorno web es aquel en el que un cliente utiliza un protocolo de transporte para llegar a interactuar con un servidor web. • Tecnologías • Cliente web: aquel que inicia la comunicación con el servidor con el fin de realizar algún tipo de transacción de información • Conexión: • HTTP • TCP • IP • Otros
  • 14. Seguridad App y BD Seguridad en aplicaciones web y bases de datos – Estado del Arte Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 14 • Servidor Web • servidor web será aquel que recoja y procese la petición del cliente, bien devolviendo información, bien llevando a cabo algún proceso. Existe infinidad de software distinto para procesar las distintas peticiones.
  • 15. Seguridad App y BD Seguridad en aplicaciones web y bases de datos – Estado del Arte Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 15 • Protocolo de una petición • Dentro del protocolo HTTP existen distintas peticiones posibles a un servicio. Las más comunes son las peticiones GET y POST que, si bien son similares, difieren en la forma en que se envía información desde el cliente al servidor web.
  • 16. Seguridad App y BD Seguridad en aplicaciones web y bases de datos – Estado del Arte Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 16 • Protocolo de una petición 1. Inicio de la petición: El usuario introduce una URL en la interfaz del navegador y ejecuta la petición. 2. Resolución de direcciones IP: Habitualmente la URL introducida es una dirección alfanumérica que debe ser convertida a una dirección IP. Para ello se dispone del protocolo DNS, mediante sus servidores y sistemas de caché se realiza esa traducción para que el protocolo HTTP sea capaz de realizar la petición correctamente. 3. Establecimiento de conexión con dirección IP: Apoyándose en el protocolo TCP se realiza la apertura de un socket a la dirección IP correspondiente. 4. Envío de la petición: En este momento se realiza la petición en sí, sea de tipo GET o POST con todos los datos asociados a la misma que son incluidos en la petición 5. Envío de la respuesta: Una vez procesada la petición por parte del servidor web se realiza la respuesta con el contenido devuelto como parte del contenido HTTP. 6. Mostrado de la información: El navegador web muestra en su interfaz la información suministrada en la respuesta.
  • 17. Seguridad App y BD Seguridad en aplicaciones web y bases de datos – Estado del Arte Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 17 • Protocolo de una petición
  • 18. Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 18 1. Seguridad de la Información El propósito es construir un sistema que tenga en cuenta todos los posibles riesgos en la administración de la información, estén o no relacionados con la seguridad informática. En concreto, el principio de la seguridad informática es prevenir el acceso, modificación, uso o destrucción no autorizados de la información, independientemente del soporte en el que se encuentre ésta.
  • 19. Seguridad de la Información Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 19 Principios Básicos  Confidencialidad: Debe prevenirse el revelado de información a personas o sistemas no autorizados.  Integridad: La información debe mantenerse libre de cualquier modificación o alteración de su contenido que no sea autorizada.  Disponibilidad: Así mismo, la información deberá estar accesible y disponible para las personas o sistemas autorizados cuando así lo requieran.  Autenticidad/Autenticación: Es necesario poder garantizarse que el emisor de la información es quien dice ser.  No repudio: En determinados entornos, no debe caber posibilidad por parte del emisor de rechazar la autoría de la información.
  • 20. Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 20 1. Seguridad Informática Esta disciplina es la encargada de implementar las medidas técnicas de protección de la información. Es decir, el despliegue de las tecnologías necesarias (desde el control de acceso, antivirus, cortafuegos, alertas, etcétera) que, articuladas junto con prácticas de dirección de las tecnologías de información, establecen las formas de actuación y defensa frente a situaciones de fallos y brechas de seguridad.
  • 21. Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 21
  • 22. Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 22 1. Seguridad Informática debe proteger  Datos  Usuarios  Infraestructura
  • 23. Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 23 Protección de Datos En líneas generales, cualquier persona física o jurídica que recabe información en un fichero queda obligada a: • Comunicar la existencia del registro a la Agencia Nacional de Protección de Datos,a través de la inscripción del registro en el Registro General de Protección de datos, gestionado por la propia agencia. • Adoptar todas las medidas recogidas en la propia ley y en el reglamento que la regula. • Obtener el consentimiento informado acerca de la recogida y tratamiento de los datos del fichero. • Informar a las personas que aparecen en el fichero de los derechos que se les otorga, siendo estos de Acceso, Rectificación, Cancelación y Oposición (ARCO). • Respetar la privacidad de los datos así como el derecho a la intimidad de la personas. En general, mantener el secreto. Dentro de los distintos datos que pueden ser almacenados en un registro, se distinguen hasta tres niveles distintos de datos que se traducen en distintas medidas de seguridad que deberán ser adoptadas por los titulares del registro.
  • 24. Seguridad App y BD Seguridad de la Información, Informática y Protección de Datos Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 24 Protección de Datos: Niveles
  • 25. Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 25 La serie ISO 27000 recoge una serie de estándares de seguridad de la información elaborados de forma conjunta entre la organización de estandarización internacional (ISO) y la comisión internacional de electrotecnia (IEC). Estos estándares, aportan una serie de buenas prácticas en el manejo de seguridad de la información y control de riesgos en el contexto de un sistema de la información. Se trata de una definición de estándares amplia, que explica de forma profusa todo lo relativo a la seguridad no solo desde un punto de vista técnico. Aplicable para empresas y organismos de cualquier tamaño, donde cada una deberá evaluar los riesgos y medidas de seguridad a aplicar siempre desde un prisma de mejora continua, no entendiendo la seguridad de la información como un hecho o etapa puntuales. La serie posee numerosos estándares y otros más se encuentran en desarrollo.
  • 26. Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 26 ISO/IEC 27001:2005 Este estándar, recoge de manera concreta la implementación de un SGSI, abarcando desde los requisitos previos hasta la documentación que debe generarse. Publicado en España como UNE-ISO/IEC 27001:2007. Principios fundamentales para un SGSI son: • Concientizar la necesidad de la seguridad. • Asignar responsables de esa seguridad dentro de la organización. • Comprometer a la dirección de la organización con la seguridad. • Determinar los controles apropiados para alcanzar niveles de riesgo aceptables. • Incorporar la seguridad como un elemento esencial en los sistemas. • Prevención activa de los incidentes de seguridad. • Evaluar la seguridad de la información de forma continua.
  • 27. Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 27 Metodología Para llevar a cabo la implantación de un SGSI, el estándar recomienda la utilización del método PDCA, acrónimo del inglés Plan-Do-Check-Act.
  • 28. Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 28 Metodología
  • 29. Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 29 Metodología - Etapa Planificación  Definir la política de seguridad, que tenga en cuenta los distintos objetivos y requisitos de seguridad. Que establezca también los criterios con los que se evaluará el riesgo y que esté aprobada por la dirección.  Definir la metodología de evaluación de los riesgos de tal forma que los resultados sean comparables.  Identificar los riesgos. Establecer los activos de la organización, las amenazas referentes a éstos. Se evaluarán las vulnerabilidades que sean aprovechables por dichas amenazas y se identificará el impacto que tendrían.  Evaluar los riesgos. Se evalúa el impacto de un fallo de seguridad así como la probabilidad de que exista ese fallo estimando el nivel de riesgo y determinando por último si ese riesgo es aceptable o debe ser paliado.  Identificar opciones para el tratamiento de los riesgos. Aplicando controles, aceptando el riesgo, imposibilitándolo, transfiriéndolo, etcétera.  Elegir los objetivos de control y los controles. Para ello, el anexo A del estándar recoge un completo listado de ellos, dejando la posibilidad de incluir otros adicionales en caso de necesidades específicas. En este listado se basa el estándar ISO/IEC 27002 para proporcionar la guía de implantación de un SGSI.  Recibir la aprobación del SGSI por parte de la dirección de la organización.  Definir los criterios de implantación definiendo los distintos controles de implantación.
  • 30. Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 30 Metodología - Etapa Hacer Llevar a cabo el plan del SGSI así como su utilización. o Definir e implantar el tratamiento de riesgos para la gestión de los mismos. o Definir un sistema de medidas para estimar la eficacia de los controles implementados. o Formar y concienciar al personal de la organización. o Gestionar las operaciones y recursos asignados al SGSI. o Implantar controles para la detección y respuesta temprana de los incidentes de seguridad.
  • 31. Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 31 Metodología - Etapa Revisar  Ejecutar procedimientos de monitorización que permitan detectar los distintos errores, identificar agujeros de seguridad, uso indebido de sistemas y la correcta respuesta a los incidentes de seguridad.  Revisar la efectividad del SGSI, teniendo como criterio el cumplimiento de sus objetivos, las auditorías de seguridad, incidentes, resultados de las distintas mediciones.  Realizar auditorías internas periódicas.  Revisar las evaluaciones de riesgos teniendo en cuenta los distintos cambios que hayan podido producirse.  Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.
  • 32. Seguridad App y BD ISO 27000 Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 32 Metodología - Etapa Actuar  Implantar en el SGSI las mejoras identificadas.  Realizar las acciones preventivas y correctivas adecuadas en función de la experiencia recopilada.  Comunicar las acciones y mejoras.  Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
  • 33. Seguridad App y BD Tipologías de Ataques web Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 33 1. Tipos de Vulnerabilidad mas frecuentes • Vulnerabilidad de inyección. Sea SQL, LDAP u otros. • Ruptura del sistema de autenticación o del control de sesiones. • Cross-site scripting. • Referencias inseguras a elementos. • Configuración insegura. Aplicable a servidor web, base de datos… • Mostrado de información sensible. • Escaso control de acceso a las funcionalidades. • Cross-site request forgery. • Utilización de software con vulnerabilidades conocidas. • Redirecciones erróneas o no controladas.
  • 34. Seguridad App y BD Tipologías de Ataques web Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 34 Top 10 vulnerabilidades: OWASP  A1 – Inyecciones (Starbucks 2019)  Esta vulnerabilidad consiste en la inyección de código (SQL, NOSQL, LDAP, etc.) por la falta de validación de entradas.  A2 – Pérdidas de Autenticación (Twitter 2020)  Esta vulnerabilidad consiste en que la parte responsable de la autenticación falla o se usa incorrectamente.  A3 – Exposición de datos sensibles (Walmart 2021)  Esta vulnerabilidad consiste en almacenar y procesar datos sensibles de forma incorrecta.  A4 – Uso de entidades externas en XML (IBM 2020)  La vulnerabilidad consiste en el uso de entidades externas en archivos XML. Dichas entidades externas permiten la ejecución de código desde estas entidades.  A5 – Fallos en el control de acceso (Facebook 2018)  La vulnerabilidad consiste en que un usuario ilegítimo pueda acceder a áreas o recursos restringidos, incluso pudiendo cambiar los permisos de acceso.  A6 – Malas configuraciones (Rockstar Games 2018)  Esta vulnerabilidad consiste en una falta de configuración o uso de configuración básica que no es capaz de evitar problemas.  A7 – Cross-Site Scripting (XSS) (GitLab 2019)  Esta vulnerabilidad permite inyectar código javascript como datos de entrada.  A8 – Deserialización insegura (U.S. Dept Of Defense 2018)  Esta vulnerabilidad consiste en la deserialización insegura por falta de validación que generalmente, permite la ejecución de código remoto.  A9 – Uso de componentes vulnerables (NPM 2019)  Esta vulnerabilidad consiste en el uso de componentes o dependencias con vulnerabilidades conocidas.  A10 – Logs y supervisión insuficiente (Marriott 2018)  Esta vulnerabilidad consiste en la falta de información necesaria en los logs o falta de supervisión mediante herramientas que monitoricen logs y eventos de seguridad.
  • 35. Seguridad App y BD Taller Proyectos Software de OWASP Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 35 ✔ WebScarab --> ZAP (The Zed Attack Proxy) ✔ Dirbuster ✔ DotNet ✔ ESAPI ✔ WebGoat ✔ Mantra Framework ✔ OWASP Live CD ✔ OWASP AntiSamy Java Project ✔ OWASP WAF