Este documento presenta información sobre cómo las empresas pueden sacar más provecho de cumplir con el estándar PCI DSS para la seguridad de datos de tarjetas de pago. Explica que cumplir solo con los requisitos mínimos no es suficiente, y que las empresas deben ir más allá para proteger realmente los datos y promover la confianza de los clientes. Incluye ejemplos de cómo soluciones adicionales como hardware de seguridad y firewalls avanzados pueden ayudar a las empresas a cumplir mejor con PCI DSS y aumentar la
Seguridad Vs Acceso global de la informacionAbsner Anaya
Este documento describe las características y funciones de los antivirus. Explica que los antivirus son programas creados para detectar y eliminar virus, gusanos y troyanos. También describe las técnicas comunes de detección de virus como escaneo, suma de comprobación, programas de vigilancia y búsqueda heurística. Finalmente, detalla las características clave que debe tener un sistema antivirus efectivo como actualizaciones frecuentes, baja detección de falsos positivos y alta capacidad de desinfección.
Seguridad vs acceso global de la informacionAbsner Anaya
Este documento trata sobre la seguridad de la información y los antivirus. Explica que la seguridad busca salvaguardar la información confidencial de las empresas minimizando riesgos y daños. Luego describe diferentes técnicas de seguridad lógica de redes como firewalls, encriptación y control de acceso. También define qué es un antivirus, clasifica sus tipos, explica técnicas de detección de virus e identifica características deseables en un sistema antivirus. Finalmente, menciona algunos programas antivirus populares.
Este documento presenta una sesión sobre estrategias de defensa en profundidad para proveedores de servicios de internet e infraestructuras de centros de datos. Explica los conceptos de defensa en profundidad y sus ventajas, los riesgos y desafíos particulares de ISPs y centros de datos, y recomendaciones para la implementación de controles de seguridad en varias capas incluyendo seguridad física, perímetros, redes, hosts, aplicaciones y datos.
4.1 Protección y seguridad
Fundamentos de Ciberseguridad
Criptografía
VPN
IPsec
IDS/IPS
Buenas prácticas de la seguridad de la información
Ingeniería en TI
Este documento presenta información sobre la calidad de la información y los programas malignos. Explica conceptos como la teoría de la información de Shannon, la importancia de la información para las empresas, y los riesgos que plantean hackers, virus y otros ataques informáticos. También destaca la necesidad de que las empresas implementen políticas de seguridad para proteger su información.
Hoy las amenazas a la seguridad de sus datos y los ciberataques sofisticados no le dan respiro a las organizaciones. Los enfoques de seguridad tradicional ya no están a la altura de los desafíos actuales. Las nuevas tecnologías introducen nuevos riesgos, de hecho, los negocios están adoptando tecnologías de cloud y mobile a ritmos acelerados. ¿Cómo anticiparse y prevenir amenazas en su organización?
CSP Level 2: Defensa en profundidad para aplicaciones WebCaridy Patino
XSS continúa siendo el vector de ataque más común, y no es un secreto que la mayoría de las aplicaciones web son susceptibles a algún tipo de injection, proveyendo una puerta de acceso para atacar a cada usuario de la aplicación. También no es un secreto que la mayoría de los desarrolladores Web presta poca, o ninguna, atención a este tema, y las herramientas disponibles en el mercado para analizar el código y detectar posibles vías de inyección están basadas en análisis heurístico, lo que implica que tienen una efectividad muy limitada. A finales del 2012, W3C aceptó una propuesta para estandarizar CSP 1.0, que describe un interruptor mecánico controlado desde un servidor a un cliente para definir las políticas a seguir por la aplicación web, y declarar un conjunto de restricciones de contenido. La falla principal de CSP 1.0 consiste en su falta de flexibilidad, como por ejemplo soportar scripts en línea, una práctica muy arraigada en los desarrolladores web, y mucho dicen es una funcionalidad esencial para cualquier aplicación web. Hoy por hoy, tenemos CSP Level 2 como parte de las nuevas normativas de W3C, ya incluso disponible en algunos de los navegadores, y este promete ser mucho más efectivo y flexible a la vez. En esta presentación vamos a cubrir detalles de CSP Level 2, y algunas de las prácticas recomendadas. A la vez, queremos proveer un espacio para demostrar la efectividad de esta tecnología a través de un ejercicio de hackeo.
Red Team: Un cambio necesario para la visión holística de la ciberseguridadEduardo Arriols Nuñez
La mentalidad tradicional, es actualmente ineficaz. Las organizaciones realizan comprobaciones aisladas en seguridad que no les permiten conocer el verdadero riesgo al que están expuestas, provocando una falsa sensación de seguridad. Por ello es necesaria una evolución hacia el concepto y mentalidad Red Team.
Por ello, durante la presentación se expuso el concepto Red Team como servicio, como es posible aplicarlo en las organizaciones, así como casos de éxito realizados desde el Red Team de SIA.
Seguridad Vs Acceso global de la informacionAbsner Anaya
Este documento describe las características y funciones de los antivirus. Explica que los antivirus son programas creados para detectar y eliminar virus, gusanos y troyanos. También describe las técnicas comunes de detección de virus como escaneo, suma de comprobación, programas de vigilancia y búsqueda heurística. Finalmente, detalla las características clave que debe tener un sistema antivirus efectivo como actualizaciones frecuentes, baja detección de falsos positivos y alta capacidad de desinfección.
Seguridad vs acceso global de la informacionAbsner Anaya
Este documento trata sobre la seguridad de la información y los antivirus. Explica que la seguridad busca salvaguardar la información confidencial de las empresas minimizando riesgos y daños. Luego describe diferentes técnicas de seguridad lógica de redes como firewalls, encriptación y control de acceso. También define qué es un antivirus, clasifica sus tipos, explica técnicas de detección de virus e identifica características deseables en un sistema antivirus. Finalmente, menciona algunos programas antivirus populares.
Este documento presenta una sesión sobre estrategias de defensa en profundidad para proveedores de servicios de internet e infraestructuras de centros de datos. Explica los conceptos de defensa en profundidad y sus ventajas, los riesgos y desafíos particulares de ISPs y centros de datos, y recomendaciones para la implementación de controles de seguridad en varias capas incluyendo seguridad física, perímetros, redes, hosts, aplicaciones y datos.
4.1 Protección y seguridad
Fundamentos de Ciberseguridad
Criptografía
VPN
IPsec
IDS/IPS
Buenas prácticas de la seguridad de la información
Ingeniería en TI
Este documento presenta información sobre la calidad de la información y los programas malignos. Explica conceptos como la teoría de la información de Shannon, la importancia de la información para las empresas, y los riesgos que plantean hackers, virus y otros ataques informáticos. También destaca la necesidad de que las empresas implementen políticas de seguridad para proteger su información.
Hoy las amenazas a la seguridad de sus datos y los ciberataques sofisticados no le dan respiro a las organizaciones. Los enfoques de seguridad tradicional ya no están a la altura de los desafíos actuales. Las nuevas tecnologías introducen nuevos riesgos, de hecho, los negocios están adoptando tecnologías de cloud y mobile a ritmos acelerados. ¿Cómo anticiparse y prevenir amenazas en su organización?
CSP Level 2: Defensa en profundidad para aplicaciones WebCaridy Patino
XSS continúa siendo el vector de ataque más común, y no es un secreto que la mayoría de las aplicaciones web son susceptibles a algún tipo de injection, proveyendo una puerta de acceso para atacar a cada usuario de la aplicación. También no es un secreto que la mayoría de los desarrolladores Web presta poca, o ninguna, atención a este tema, y las herramientas disponibles en el mercado para analizar el código y detectar posibles vías de inyección están basadas en análisis heurístico, lo que implica que tienen una efectividad muy limitada. A finales del 2012, W3C aceptó una propuesta para estandarizar CSP 1.0, que describe un interruptor mecánico controlado desde un servidor a un cliente para definir las políticas a seguir por la aplicación web, y declarar un conjunto de restricciones de contenido. La falla principal de CSP 1.0 consiste en su falta de flexibilidad, como por ejemplo soportar scripts en línea, una práctica muy arraigada en los desarrolladores web, y mucho dicen es una funcionalidad esencial para cualquier aplicación web. Hoy por hoy, tenemos CSP Level 2 como parte de las nuevas normativas de W3C, ya incluso disponible en algunos de los navegadores, y este promete ser mucho más efectivo y flexible a la vez. En esta presentación vamos a cubrir detalles de CSP Level 2, y algunas de las prácticas recomendadas. A la vez, queremos proveer un espacio para demostrar la efectividad de esta tecnología a través de un ejercicio de hackeo.
Red Team: Un cambio necesario para la visión holística de la ciberseguridadEduardo Arriols Nuñez
La mentalidad tradicional, es actualmente ineficaz. Las organizaciones realizan comprobaciones aisladas en seguridad que no les permiten conocer el verdadero riesgo al que están expuestas, provocando una falsa sensación de seguridad. Por ello es necesaria una evolución hacia el concepto y mentalidad Red Team.
Por ello, durante la presentación se expuso el concepto Red Team como servicio, como es posible aplicarlo en las organizaciones, así como casos de éxito realizados desde el Red Team de SIA.
Este documento describe los servicios de seguridad digital que ofrece una empresa para proteger la información y sistemas de empresas e instituciones. La empresa lleva más de 10 años ofreciendo servicios como hacking ético, auditoría de sistemas, planes de continuidad, entre otros. El documento explica algunas de las modalidades de servicio como protección contra accesos no autorizados, bloqueo de ataques, acceso remoto seguro y más.
Este documento discute varias medidas para establecer una conexión segura a Internet y proteger los datos. Recomienda usar una contraseña fuerte y cifrado avanzado para el router, autenticación de dos factores, certificación ISO 27001 y firmas digitales para el software. También sugiere crear listas blancas y negras, filtrar puertos y elegir qué dispositivos se conectan a la red. Explica cómo configurar la seguridad del router y usar filtros de contenido y barreras de protección como cortafuegos y antivirus.
Este documento trata sobre seguridad de la información. Aborda varios temas como vulnerabilidades, ingeniería social, phishing y otros ataques. En particular, describe los conceptos básicos de seguridad como confidencialidad, disponibilidad e integridad. También analiza diferentes tipos de vulnerabilidades como las de configuración, permisos, validación de entrada, inyección de código y denegación de servicio. Explica cómo funciona la ingeniería social y el phishing para obtener información confidencial de usuarios.
Este documento presenta una propuesta de servicios consultivos de ciberseguridad. Resume las principales amenazas cibernéticas como ransomware y botnets. Propone estrategias de ciberseguridad que incluyen identificación de vulnerabilidades, mejora de procesos, gestión de respuestas a incidentes y programas de concientización. Recomienda el desarrollo de una estrategia de ciberseguridad integral, evaluación de riesgos periódica y educación en seguridad de los colaboradores.
La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.
Así, se presentan varias capas donde es posible aplicar diversos controles. Por ejemplo, aunque un servidor esté protegido por usuario y contraseña (capa equipo), eso no quita que no se implementen medidas de acceso por contraseña a las aplicaciones que estén instaladas en el equipo (capa aplicación), o que no se apliquen controles como protección por llaves para que no sea sencillo acceder al equipo (capa perímetro físico). Citando otro ejemplo, el tener instalado una software antivirus en los puestos de trabajo no es motivo para dejar de controlar la presencia de malware en los servidores de transporte como puede ser un servidor de correo. Dos capas de protección siempre ofrecerán mayor seguridad que una sola, y continuando con el ejemplo, un incidente en un equipo servidor no comprometería a los usuarios finales, o viceversa
Este documento presenta una introducción a los fundamentos de las redes seguras. Explica conceptos clave como datos personales, datos de la organización, atacantes y profesionales de la ciberseguridad, y la guerra ciberética. Cubre temas como la importancia de proteger la confidencialidad, integridad y disponibilidad de los datos, y los riesgos que plantean los atacantes como hackers y delincuentes organizados para robar datos e identidades. También describe el papel creciente de los profesionales de la ciberseguridad.
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
Las 5 principales ciberamenazas en el sector financiero generan perdidas millonarias y el Perú no es ajeno. Para prevenir se debe realizar inteligencia sobre las ciberamenazas y fortalecer los controles existentes e implementar nuevos.
Ransomware protect yourself with check point sand blastCristian Garcia G.
El documento habla sobre las amenazas de ransomware y cómo protegerse. Explica que ransomware como WannaCry y Petya han infectado sistemas a nivel mundial y cifrado archivos, solicitando rescates. Luego detalla formas en que los usuarios pueden protegerse, incluyendo educación, realizando copias de seguridad, instalando parches, y usando tecnologías de seguridad. Finalmente, promueve los productos de seguridad de Check Point como una forma de obtener protección multilayer contra ransomware y otras amenazas.
Este documento trata sobre redes y seguridad informática. Explica los tipos de redes locales como PAN, LAN, WAN y MAN, así como los protocolos de red más comunes como IP, IPX y NetBEUI. También describe cómo crear y configurar una red local, las utilidades básicas de las redes, los conceptos de seguridad en redes e Internet, y la importancia de la privacidad en Internet.
Be Aware Webinar - Asegurando los pos en retailSymantec LATAM
Be Aware Webinar - Asegurando los pos en retail
-Panorama de las amenazas
-Evolución del malware del POS
-Anatomía de un ataque a Retail
-Piedras angulares para la protección del POS
-Portafolio Symantec
-Protegiendo el IoT
-Ligas de interés
26. december 2nd 2015
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
Presentación realizada en XXI Jornadas del Instituto de Auditores Interno (IAI) donde se expuso en detalle en que consisten los ejercicios de intrusion avanzada o Red Team.
Mas información: http://jornadas.auditoresinternos.es/iai2016/es/event/57bdb647c0b65b521c8b4aef/agenda/57c40335c0b65b411c8b4f38
Protección de activos digitales a través de herramientas de software anti fuga de información de Trend Micro.
Corporación de Industrias Tecnológicas S.A. ( www.CorpintecSA.com - contacto@CorpintecSA.com ) es representante comercial certificado de E.D.S.I. Trend Argentina S.A.
El documento habla sobre la inteligencia en seguridad y cómo encontrar amenazas y anomalías en un mar de eventos de seguridad. Explica los desafíos actuales en seguridad como ataques cada vez más sofisticados y la necesidad de usar soluciones analíticas e integradas. También describe el enfoque de seguridad como un sistema inmune, el uso de SIEM para correlacionar datos de múltiples fuentes y detectar actividades anómalas, y la evolución hacia la seguridad cognitiva usando sistemas que puedan interpretar
Este documento resume los principales aspectos de la seguridad en bases de datos. Explica que la seguridad depende de seguir procedimientos sencillos en el diseño, instalación y desarrollo para prevenir accesos no autorizados. También describe los tipos de usuarios, medidas de seguridad físicas, personales y del sistema operativo y gestor de base de datos, y los diferentes tipos de ataques internos y externos a una base de datos.
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroXelere
Ya no alcanza con proteger el perímetro. Los ataques avanzados aprovechan servidores, pcs, notebooks, tabletas y teléfonos “débiles” para propagarse y conseguir sus objetivos. En esta presentación entenderás por qué los “endpoints” se consideran “el nuevo perímetro” y cómo hacer para mitigar los riesgos.
Webinar Gratuito: "Analisis Forense al Firewall de Windows"Alonso Caballero
Este documento presenta una introducción al firewall de Windows y cómo analizar su registro. Explica que el firewall de Windows descarta el tráfico de entrada no solicitado para proteger contra ataques maliciosos. También describe algunos puntos clave a examinar en el registro del firewall como las fechas, computadoras involucradas, puertos y tipos de paquetes para correlacionar eventos. Finalmente, promueve la configuración del registro del firewall para enriquecer las investigaciones forenses.
Este documento resume los desafíos de seguridad en los espacios de trabajo modernos, incluyendo el trabajo remoto y el uso de múltiples dispositivos y aplicaciones en la nube. Explica que los ciberdelincuentes aprovechan temas como el COVID-19 para lanzar ataques de phishing y descargas maliciosas. Los principales desafíos son los ataques de phishing, archivos maliciosos y la protección de dispositivos móviles, endpoints y aplicaciones en la nube. Check Point ofrece soluciones integrales de seg
HDFS transparent encryption allows data written to and read from encrypted directories to be encrypted and decrypted transparently without any changes to user code. The encryption is performed by the client and HDFS never handles unencrypted data or keys. A key management server provides a unified API and keys are stored in encryption zones with unique data encryption keys for each file. This provides end-to-end encryption with strong security while maintaining good performance.
Este documento describe los servicios de seguridad digital que ofrece una empresa para proteger la información y sistemas de empresas e instituciones. La empresa lleva más de 10 años ofreciendo servicios como hacking ético, auditoría de sistemas, planes de continuidad, entre otros. El documento explica algunas de las modalidades de servicio como protección contra accesos no autorizados, bloqueo de ataques, acceso remoto seguro y más.
Este documento discute varias medidas para establecer una conexión segura a Internet y proteger los datos. Recomienda usar una contraseña fuerte y cifrado avanzado para el router, autenticación de dos factores, certificación ISO 27001 y firmas digitales para el software. También sugiere crear listas blancas y negras, filtrar puertos y elegir qué dispositivos se conectan a la red. Explica cómo configurar la seguridad del router y usar filtros de contenido y barreras de protección como cortafuegos y antivirus.
Este documento trata sobre seguridad de la información. Aborda varios temas como vulnerabilidades, ingeniería social, phishing y otros ataques. En particular, describe los conceptos básicos de seguridad como confidencialidad, disponibilidad e integridad. También analiza diferentes tipos de vulnerabilidades como las de configuración, permisos, validación de entrada, inyección de código y denegación de servicio. Explica cómo funciona la ingeniería social y el phishing para obtener información confidencial de usuarios.
Este documento presenta una propuesta de servicios consultivos de ciberseguridad. Resume las principales amenazas cibernéticas como ransomware y botnets. Propone estrategias de ciberseguridad que incluyen identificación de vulnerabilidades, mejora de procesos, gestión de respuestas a incidentes y programas de concientización. Recomienda el desarrollo de una estrategia de ciberseguridad integral, evaluación de riesgos periódica y educación en seguridad de los colaboradores.
La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.
Así, se presentan varias capas donde es posible aplicar diversos controles. Por ejemplo, aunque un servidor esté protegido por usuario y contraseña (capa equipo), eso no quita que no se implementen medidas de acceso por contraseña a las aplicaciones que estén instaladas en el equipo (capa aplicación), o que no se apliquen controles como protección por llaves para que no sea sencillo acceder al equipo (capa perímetro físico). Citando otro ejemplo, el tener instalado una software antivirus en los puestos de trabajo no es motivo para dejar de controlar la presencia de malware en los servidores de transporte como puede ser un servidor de correo. Dos capas de protección siempre ofrecerán mayor seguridad que una sola, y continuando con el ejemplo, un incidente en un equipo servidor no comprometería a los usuarios finales, o viceversa
Este documento presenta una introducción a los fundamentos de las redes seguras. Explica conceptos clave como datos personales, datos de la organización, atacantes y profesionales de la ciberseguridad, y la guerra ciberética. Cubre temas como la importancia de proteger la confidencialidad, integridad y disponibilidad de los datos, y los riesgos que plantean los atacantes como hackers y delincuentes organizados para robar datos e identidades. También describe el papel creciente de los profesionales de la ciberseguridad.
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
Las 5 principales ciberamenazas en el sector financiero generan perdidas millonarias y el Perú no es ajeno. Para prevenir se debe realizar inteligencia sobre las ciberamenazas y fortalecer los controles existentes e implementar nuevos.
Ransomware protect yourself with check point sand blastCristian Garcia G.
El documento habla sobre las amenazas de ransomware y cómo protegerse. Explica que ransomware como WannaCry y Petya han infectado sistemas a nivel mundial y cifrado archivos, solicitando rescates. Luego detalla formas en que los usuarios pueden protegerse, incluyendo educación, realizando copias de seguridad, instalando parches, y usando tecnologías de seguridad. Finalmente, promueve los productos de seguridad de Check Point como una forma de obtener protección multilayer contra ransomware y otras amenazas.
Este documento trata sobre redes y seguridad informática. Explica los tipos de redes locales como PAN, LAN, WAN y MAN, así como los protocolos de red más comunes como IP, IPX y NetBEUI. También describe cómo crear y configurar una red local, las utilidades básicas de las redes, los conceptos de seguridad en redes e Internet, y la importancia de la privacidad en Internet.
Be Aware Webinar - Asegurando los pos en retailSymantec LATAM
Be Aware Webinar - Asegurando los pos en retail
-Panorama de las amenazas
-Evolución del malware del POS
-Anatomía de un ataque a Retail
-Piedras angulares para la protección del POS
-Portafolio Symantec
-Protegiendo el IoT
-Ligas de interés
26. december 2nd 2015
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
Presentación realizada en XXI Jornadas del Instituto de Auditores Interno (IAI) donde se expuso en detalle en que consisten los ejercicios de intrusion avanzada o Red Team.
Mas información: http://jornadas.auditoresinternos.es/iai2016/es/event/57bdb647c0b65b521c8b4aef/agenda/57c40335c0b65b411c8b4f38
Protección de activos digitales a través de herramientas de software anti fuga de información de Trend Micro.
Corporación de Industrias Tecnológicas S.A. ( www.CorpintecSA.com - contacto@CorpintecSA.com ) es representante comercial certificado de E.D.S.I. Trend Argentina S.A.
El documento habla sobre la inteligencia en seguridad y cómo encontrar amenazas y anomalías en un mar de eventos de seguridad. Explica los desafíos actuales en seguridad como ataques cada vez más sofisticados y la necesidad de usar soluciones analíticas e integradas. También describe el enfoque de seguridad como un sistema inmune, el uso de SIEM para correlacionar datos de múltiples fuentes y detectar actividades anómalas, y la evolución hacia la seguridad cognitiva usando sistemas que puedan interpretar
Este documento resume los principales aspectos de la seguridad en bases de datos. Explica que la seguridad depende de seguir procedimientos sencillos en el diseño, instalación y desarrollo para prevenir accesos no autorizados. También describe los tipos de usuarios, medidas de seguridad físicas, personales y del sistema operativo y gestor de base de datos, y los diferentes tipos de ataques internos y externos a una base de datos.
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroXelere
Ya no alcanza con proteger el perímetro. Los ataques avanzados aprovechan servidores, pcs, notebooks, tabletas y teléfonos “débiles” para propagarse y conseguir sus objetivos. En esta presentación entenderás por qué los “endpoints” se consideran “el nuevo perímetro” y cómo hacer para mitigar los riesgos.
Webinar Gratuito: "Analisis Forense al Firewall de Windows"Alonso Caballero
Este documento presenta una introducción al firewall de Windows y cómo analizar su registro. Explica que el firewall de Windows descarta el tráfico de entrada no solicitado para proteger contra ataques maliciosos. También describe algunos puntos clave a examinar en el registro del firewall como las fechas, computadoras involucradas, puertos y tipos de paquetes para correlacionar eventos. Finalmente, promueve la configuración del registro del firewall para enriquecer las investigaciones forenses.
Este documento resume los desafíos de seguridad en los espacios de trabajo modernos, incluyendo el trabajo remoto y el uso de múltiples dispositivos y aplicaciones en la nube. Explica que los ciberdelincuentes aprovechan temas como el COVID-19 para lanzar ataques de phishing y descargas maliciosas. Los principales desafíos son los ataques de phishing, archivos maliciosos y la protección de dispositivos móviles, endpoints y aplicaciones en la nube. Check Point ofrece soluciones integrales de seg
HDFS transparent encryption allows data written to and read from encrypted directories to be encrypted and decrypted transparently without any changes to user code. The encryption is performed by the client and HDFS never handles unencrypted data or keys. A key management server provides a unified API and keys are stored in encryption zones with unique data encryption keys for each file. This provides end-to-end encryption with strong security while maintaining good performance.
A Guide to SlideShare Analytics - Excerpts from Hubspot's Step by Step Guide ...SlideShare
This document provides a summary of the analytics available through SlideShare for monitoring the performance of presentations. It outlines the key metrics that can be viewed such as total views, actions, and traffic sources over different time periods. The analytics help users identify topics and presentation styles that resonate best with audiences based on view and engagement numbers. They also allow users to calculate important metrics like view-to-contact conversion rates. Regular review of the analytics insights helps users improve future presentations and marketing strategies.
Este documento presenta un resumen de varios temas relacionados con urgencias en neurología y neurocirugía. Incluye una introducción al examen neurológico, seguido de secciones sobre el estado mental, lenguaje, traumatismo craneoencefálico, enfermedad cerebrovascular, epilepsia, convulsiones en pediatría, trauma raquimedular e infecciones del sistema nervioso central. El documento proporciona una guía sobre el enfoque y manejo de estas condiciones neurológicas en entornos de urgencias
This document discusses transparent encryption in HDFS. It describes the need for encryption of data at rest and in transit. The architecture uses encryption zones, encryption keys, and encrypted data encryption keys. Data is encrypted by the client before being written to HDFS. On reads, the client decrypts the data. The key management server handles encryption keys separately from HDFS for security. Performance tests show the encryption adds minimal overhead, especially with hardware acceleration of AES encryption.
Este documento presenta a Second Life como una plataforma para el desarrollo de juegos. Explica brevemente que es un mundo virtual, como un ambiente simulado por computadora habitado por avatares que representan a los usuarios. También define qué es un avatar, como la representación del usuario, ya sea un modelo 3D o un icono. Finalmente, menciona algunas de las herramientas de software y hardware utilizadas para el desarrollo de juegos en Second Life.
El documento trata sobre un código de tres letras y números que podría referirse a un grupo, departamento u organización gubernamental con las siglas MDRG y la abreviatura DOT. No proporciona más detalles sobre el tema o propósito del código.
Polka Dot: Catálogo de artigos para festas para o ano de 2014PolkaDot Festas
Catálogo produtos para festas com design diferenciado. Copos de papel pratos de papel, guardanapos, lembrancinhas, canudos vintage, barbantes listrados e muito mais.
Desenvolvimento Distribuído de SoftwareRafael Vivian
O documento descreve a evolução do desenvolvimento de software, desde os anos 1950 até os modelos atuais de desenvolvimento distribuído. Fatores como a globalização e a terceirização levaram ao crescimento do desenvolvimento distribuído. Embora existam benefícios como redução de custos, também existem desafios como a dispersão geográfica e temporal das equipes.
The document provides instructions for setting up a development environment for JBoss, including installing Java JDK, EasyEclipse IDE, JBoss Application Server, and configuring directories. It also demonstrates how to create a basic J2EE web application with a Servlet, with code examples and build instructions. Key directories and files like the application.xml, web.xml, and packaging-build.xml are configured to deploy the Servlet war file to the JBoss Application Server.
K†ppersbusch obtiene tres premios red dot awards por el diseño de sus productosTekaGroup
Küppersbusch, una marca premium del Grupo Teka, ha recibido tres premios Red Dot por el diseño de tres de sus productos: un módulo de acero para cocina profesional, un horno microondas compacto, y una cafetera automática. El jurado reconoció la calidad e innovación en el diseño de estos productos.
Este documento discute uma palestra TEDx de Simon Sinek sobre começar com o "Porquê" ao invés do "O que". Ele usa um caso real de 1988 para ilustrar seu ponto e outro caso de 1994 para mostrar a importância do "Porquê".
O documento descreve a história de consolidação de uma empresa brasileira de soluções digitais que começou em 1996 e hoje atua em 8 áreas diferentes de negócios digitais como educação a distância, comércio eletrônico e marketing político digital, atuando em parceria com grandes empresas globais.
O documento descreve uma nova solução tecnológica chamada Ericsson Radio Dot para fornecer cobertura móvel em ambientes internos. A solução é pequena, pode ser instalada rapidamente e reduz custos, atendendo à crescente demanda por cobertura em locais como prédios. Ela se integra perfeitamente às redes móveis existentes e permite cobertura completa em todos os níveis dos edifícios.
WinMagic es una compañía de seguridad informática fundada en 1997 con sede en Toronto. Ofrece el producto SecureDoc, que proporciona cifrado de disco completo y control de acceso para proteger datos en reposo. SecureDoc ha sido acreditado por varias agencias de seguridad y tiene más de 3 millones de licencias instaladas en clientes de todo el mundo. WinMagic se enfoca en la innovación continua para brindar administración centralizada de claves y cumplimiento con normas de seguridad.
El documento resume las tendencias actuales en seguridad de la información y la identidad, e introduce los servicios de Information Security Services S.A. para proteger datos a través de encriptación, autenticación y prevención de pérdida de datos. Luego describe promociones vigentes para soluciones de autenticación de usuarios, encriptación y prevención de pérdida de datos.
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
En la presentación de José García González de Informática El Corte Inglés (IECI), nos mostró como el cumplimiento de PA DSS facilita, aunque no garantiza, el cumplimiento de PCI DSS.
El documento habla sobre la infraestructura PKIx y su importancia para el comercio electrónico seguro. Explica que PKIx se basa en protocolos de seguridad como SSL, PGP, SET e IPsec que usan criptografía, firmas digitales y certificados digitales. También describe brevemente algunos de estos protocolos y métodos criptográficos. Finalmente, resalta la necesidad de verificar los requisitos de sistemas y legales para lograr un comercio electrónico confiable.
Este documento explica el estándar PCI DSS para la seguridad de datos de tarjetas de pago. Describe los principales actores en los pagos con tarjeta, los 12 requisitos de PCI DSS, y cómo la seguridad debe integrarse en todo el ciclo de vida del desarrollo de software para cumplir con el estándar. El objetivo final es definir medidas para proteger la infraestructura que maneja datos de tarjetas de pago.
El documento presenta una visión general de la seguridad de la información de IBM, incluyendo los retos actuales y una propuesta de soluciones integrales. Propone un marco de seguridad flexible que identifica los requerimientos del cliente y automatiza tareas como la gestión de usuarios y el monitoreo en tiempo real, cumpliendo con los requerimientos del cliente y las mejores prácticas de la industria.
Secure Soft Corporation es una compañía peruana de ciberseguridad con 12 años de experiencia y certificaciones ISO. Ofrece soluciones de seguridad de red, datos, aplicaciones web y correo electrónico implementando tecnologías de Cisco, Checkpoint, F5 Networks y otras marcas líderes. Su objetivo es brindar protección a los activos de información de sus clientes.
Estrategias para compartir información de forma ágil, segura y cumplir con GDPRHelpSystems
La necesidad de otorgar acceso a datos críticos de forma rápida y segura es un conflicto permanente entre los responsables de Seguridad y los usuarios. Sin embargo, proteger eficazmente la información y a la vez garantizar que esté disponible, es posible. En esta presentación dictada por HelpSystems en iSMS Forum 2018, explicamos qué tecnologías y estrategias pueden ayudarle a lograrlo.
Conozca más sobre la oferta de Seguridad de HelpSystems en www.helpsystems.com/seguridad
Estrategias para compartir información de forma ágil, segura y cumplir con GDPRVíctor Hernández
La necesidad de otorgar acceso a datos críticos de forma rápida y segura es un conflicto permanente entre los responsables de Seguridad y los usuarios. Sin embargo, proteger eficazmente la información y a la vez garantizar que esté disponible, es posible. En esta presentación dictada por HelpSystems en iSMS Forum 2018, explicamos qué tecnologías y estrategias pueden ayudarle a lograrlo.
Conozca más sobre la oferta de Seguridad de HelpSystems en www.helpsystems.com/seguridad
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
Ponencia ofrecida en la jornada informativa de presentación del Programa de Ciberseguridad de la Cámara de Comercio de Granada sobre "Concienciación en Ciberseguridad y Buenas Prácticas" en la empresa.
Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.
Este documento discute la importancia de la privacidad y seguridad en la era digital. Explica que las nuevas tecnologías han transformado los estilos de vida y la cultura. También destaca la necesidad de implementar políticas de seguridad para proteger la información de amenazas como robo, alteración o suplantación de identidad. Finalmente, recomienda que las políticas evalúen riesgos y aseguren el acceso, almacenamiento, transmisión, autenticación y monitoreo de la información.
Este documento discute la importancia de la privacidad y seguridad en la era digital. Explica que las nuevas tecnologías han transformado los estilos de vida y la cultura. También destaca la necesidad de implementar políticas de seguridad para proteger la información de amenazas como robo, alteración o suplantación de identidad. Finalmente, recomienda que las políticas evalúen riesgos y aseguren el acceso, almacenamiento, transmisión, autenticación y monitoreo de la información.
El documento presenta un manual de procedimientos para implementar políticas de seguridad en plataformas de comercio electrónico. Explica las posibles amenazas en el e-commerce y técnicas como la encriptación y autenticación para proteger la información. También describe componentes de seguridad como políticas, manejo de contraseñas y protocolos de seguridad basados en criptografía simétrica y asimétrica para garantizar la privacidad y autenticidad de las transacciones.
El documento habla sobre la gestión de la seguridad de la información. Explica conceptos clave como riesgos, amenazas, vulnerabilidades y los pasos para realizar un análisis de riesgos. También describe normas y marcos comunes utilizados para la gestión de seguridad como ISO 27001, COBIT y BS 7799. Finalmente, menciona algunas tendencias futuras en tecnología y seguridad de la información.
Security Day 2010 Tecnologías ForefrontChema Alonso
El documento proporciona información sobre soluciones de seguridad de Microsoft denominadas "Business Ready Security". En resumen:
1. Business Ready Security ayuda a gestionar riesgos y aprovechar oportunidades empresariales integrando y extendiendo la seguridad en toda la empresa para proteger todos los activos y permitir el acceso desde cualquier ubicación.
2. Las soluciones incluyen mensajería segura, colaboración segura, equipos seguros, protección de información y administración de identidades y acceso para simplificar la experiencia de seg
El documento proporciona información sobre Secure Soft Ecuador S.A., incluyendo su nombre comercial, razón social, direcciones, RUC, teléfonos, correo electrónico, sitio web, fecha de inicio de actividades y gerente general. También describe los servicios y soluciones de seguridad informática que ofrece la compañía, como consultoría, implementación de plataformas de seguridad y servicios posventa. Además, incluye la lista del personal a cargo de las operaciones de la compañía en Ecuador y Perú.
El documento presenta una introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI). Explica que los SGSI permiten analizar, establecer procedimientos y medir controles para minimizar riesgos a la seguridad de la información como usuarios internos, externos y desastres naturales. Luego describe las normas ISO/IEC 27000 que proveen las mejores prácticas para implementar y mantener SGSI y cubren aspectos como políticas, procedimientos, controles de acceso y monitoreo. Finalmente, resume algunas de las polí
Similar a Cómo sacar rendimiento al PCI DSS. SafeNet. (20)
Las fuentes abiertas y las habilidades del analista OSINT, juegan un papel clave en la detección, defensa y respuesta ante las nuevas amenazas como la desinformación, las fake news o ataques a infraestructuras críticas, en los que intervienen actores tan diversos como el crimen organizado, el hacktivismo, el ciberterrorismo o los propios Estados, con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
En la exposición, se mostrarán ejemplos prácticos del uso de diversas técnicas OSINT e inteligencia artificial para adquirir y procesar grandes volúmenes de datos (tanto texto como contenido multimedia), con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
La ISO cuenta con estándares que especifican los requerimientos necesarios para las organizaciones al implementar sistemas de gestión, entre los cuales se tiene el estándar ISO/IEC 27001:2013 (Implementación de un Sistema de Gestión de Seguridad de la Información) el cual brinda un apoyo para poder lograr un cumplimiento de seguridad de la información en las compañías. Para esto, se debe seguir un proceso específico para poder lograr establecer de forma adecuada el sistema de gestión. Así mismo, el estándar ISO 22301:2012 plantea la gestión de continuidad del negocio el cual ayuda a buscar una operación continua del negocio a las compañías y es un ítem que hace parte de un SGSI. Se observarán el proceso de implementación de estos dos estándares para poder lograr un nivel de cumplimiento en cuanto a las mejores prácticas de seguridad de la información.
Durante el proceso de implementación de un SGSI o de un SGCN en contact centers o en BPOs, se presentan retos específicos de las realidades cambiantes de este tipo de negocios. El dinamismo que presentan hace que la implementación de estos sistemas requiera de una especial atención en los diferentes proyectos a los cuales se enfrentan las organizaciones, exploraremos de forma breve algunos de estos retos.
La nube es un término que agrega diferentes mecanismos de tercerización de los servicios de infraestructura o de aplicaciones, el uso de este tipo de servicios se está generalizando de manera que hoy en día muchas organizaciones que manejan datos sensibles están en proceso de definir una ruta para poder mover sus servicios de tecnología a proveedores de este tipo; sin embargo, estas migraciones conllevan retos importantes a nivel de seguridad, en especial para aquellas organizaciones que deben cumplir con PCI DSS. En esta presentación haremos un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento de este exigente estándar de seguridad prestando especial atención a aspecto entre los que se encuentran los Modelos de Despliegue y Servicio, las Consideraciones de Segmentación, la Delimitación del Ambiente CDE, etc.
Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
Tiene como objeto hacer un recuento de los principales fundamentos de las normas de protección de datos personales en Colombia y las obligaciones que de ellas surgen para las organizaciones que hacen tratamiento de datos de carácter personal. Además, se analizarán algunos casos que han derivado en sanciones impuestas por la autoridad administrativa (Superintendencia de Industria y Comercio), al considerar que han existido infracciones a la normativa de protección de datos personales. Finalmente, se expondrá brevemente la metodología utilizada por Internet Security Auditors y Summa Consultores para el desarrollo de proyectos de consultoría en la materia.
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
La dependencia cada vez mayor del software y la facilidad de explotación por cualquier actor, requiere incrementar los esfuerzos para minimizar los riesgos y la capacidad de impacto en el negocio. La conferencia presenta una evolución de las técnicas de seguridad en el software, desde las clásicas (Manual Inspections & Reviews, Threat Modeling, Code Review, Pentesting) hasta las más actuales relacionadas con IA y Machine Learning. Se enumeran herramientas de análisis de código basadas en técnicas de Machine Learning, y se presenta una visión respecto la influencia que las nuevas tecnologías y la Inteligencia Artificial pueden tener en el sector de la seguridad.
En la presentación expuesta se puede apreciar los resultados de las auditorias efectuadas a los dispositivos Smart TV (LG 43uf6407, SAMSUNG UE32F5500AW, Panasonic TX-40CX680E) y la Barra de sonido OKI SB Media Player 1g. Durante el workshop se pudieron apreciar fugas de información en las cabeceras de respuesta, servicios expuestos y componentes desactualizados. En el caso de la Barra de sonido OKI y en todos los mediacenter InOut TV las carencias en seguridad son acentuadas, ya que disponen de servicios como XAMPP, con credenciales por defecto, esto sumado la falta de actualizaciones supone un potencial riesgo que ello conlleva. Durante la auditoría también se efectuó una captura del tráfico, llegando en algunos casos a enviar la lista total de canales sintonizados y el orden en que están ordenados en el Smart TV.
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Este documento presenta información sobre los cambios recientes en las normas PCI y los requisitos de cumplimiento. Cubre actualizaciones a PCI DSS y PA-DSS, así como los diferentes tipos de autoformularios SAQ que las empresas pueden usar para demostrar el cumplimiento. También incluye una agenda con temas como los retos de seguridad en pagos, el ecosistema PCI SSC y recursos útiles relacionados con PCI.
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
Las redes sociales permiten, entre otros muchos aspectos, incrementar nuestro nivel de exposición. Este hecho implica a su vez que el nivel de riesgo también se incrementa, poniendo en peligro nuestra privacidad, que puede ser abusada con intenciones muy diversas. La presentación expone los riesgos a los que se expone cualquier usuario cuando crea una identidad digital en una red social, pero desde un punto de vista nada habitual. Para ello, se presentan casos prácticos en los que se demuestra las capacidades de explotación de los datos que exponemos, tanto de forma consciente como inconscientemente.
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
Esta presentación se centra, por un lado, en los aspectos más sensibles o complejos del registro en el RNDB, mostrando tanto los errores habituales en el proceso de registro como los puntos donde este proceso puede ser ambigüo o conducir a error y, por tanto, generar una incorrecta declaración de las bases de datos en el Registro; por otro lado, se presentan errores habituales y recomendaciones, basadas en nuestra experiencia en el cumplimiento de Protección de Datos, más allá del registro de BBDD. Una empresa puede haber llevado a cabo esta declaración pero no cumplir con la Ley y, por lo tanto, verse sujeta a sanciones.
1. El documento presenta tres casos resueltos por la SIC relacionados con incumplimientos a la Ley de Protección de Datos en Colombia.
2. El primer caso involucra una empresa que expuso datos personales de clientes en un sitio web sin controles de acceso adecuados.
3. El segundo caso trata sobre una empresa que recopilaba datos personales de forma ilegal y obstruyó una investigación de la SIC.
4. El tercer caso es sobre una empresa que no respondió oportunamente una solicitud de un cliente sobre el uso de sus
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
El documento habla sobre los riesgos y abusos del uso de perfiles en Internet para fines de investigación de redes sociales. Examina cómo la información pública de las redes sociales puede ser utilizada para propósitos de investigación, pero también plantea preocupaciones sobre el respeto a la privacidad de los usuarios y el consentimiento para el uso de sus datos.
En la presentación se tratan aspectos relacionados con la necesidad de tomar decisiones en nuestro día a día. En ocasiones, determinadas decisiones tienen un gran impacto en la sociedad y quienes han de tomarlas se encuentran bajo una fuerte responsabilidad y presión. A continuación, describiendo el problema del exceso de información que disponemos actualmente así como el de la fiabilidad de las fuentes y, por último, comentando el proceso y las bondades del uso de técnicas OSINT en la ayuda para la toma de decisiones como objetivo final. A modo de ejemplo, y tras ver una clasificación de las herramientas OSINT disponibles, se muestra un análisis sobre los atentados de París utilizando la última versión de la herramienta Tinfoleak.
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.
Taller práctico sobre “Ingeniería inversa en aplicaciones Android", impartido por Vicente Aguilera, en el que se presenta una metodología para llevar a cabo procesos de ingeniería inversa en Android, incluyendo las herramientas y técnicas disponibles. Se lleva a la práctica sobre diversas aplicaciones para poner en práctica los conocimientos adquiridos.
Segunda edición del (ISC)2 Security Congress EMEA celebrado en Munich (Alemania). Vicente Aguilera presenta su ponencia: “Your are beging watched...” en la que se habla de los problemas de privacidad existentes en las redes sociales, y dónde presenta una nueva versión de su ya famosa herramienta Tinfoleak, realizando una demostración en directo sobre cómo extraer información y actividad relevante de los usuarios de Twitter y cómo explotar esta información en el mundo real. Esta ponencia forma parte del Track "Technology, Business and the Future".
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)AbrahamCastillo42
Power point, diseñado por estudiantes de ciclo 1 arquitectura de plataformas, esta con la finalidad de dar a conocer el componente hardware llamado tarjeta de video..
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)codesiret
Los protocolos son conjuntos de
normas para formatos de mensaje y
procedimientos que permiten a las
máquinas y los programas de aplicación
intercambiar información.
La inteligencia artificial sigue evolucionando rápidamente, prometiendo transformar múltiples aspectos de la sociedad mientras plantea importantes cuestiones que requieren una cuidadosa consideración y regulación.
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...AMADO SALVADOR
Descarga el Catálogo General de Tarifas 2024 de Vaillant, líder en tecnología para calefacción, ventilación y energía solar térmica y fotovoltaica. En Amado Salvador, como distribuidor oficial de Vaillant, te ofrecemos una amplia gama de productos de alta calidad y diseño innovador para tus proyectos de climatización y energía.
Descubre nuestra selección de productos Vaillant, incluyendo bombas de calor altamente eficientes, fancoils de última generación, sistemas de ventilación de alto rendimiento y soluciones de energía solar fotovoltaica y térmica para un rendimiento óptimo y sostenible. El catálogo de Vaillant 2024 presenta una variedad de opciones en calderas de condensación que garantizan eficiencia energética y durabilidad.
Con Vaillant, obtienes más que productos de climatización: control avanzado y conectividad para una gestión inteligente del sistema, acumuladores de agua caliente de gran capacidad y sistemas de aire acondicionado para un confort total. Confía en la fiabilidad de Amado Salvador como distribuidor oficial de Vaillant, y en la resistencia de los productos Vaillant, respaldados por años de experiencia e innovación en el sector.
En Amado Salvador, distribuidor oficial de Vaillant en Valencia, no solo proporcionamos productos de calidad, sino también servicios especializados para profesionales, asegurando que tus proyectos cuenten con el mejor soporte técnico y asesoramiento. Descarga nuestro catálogo y descubre por qué Vaillant es la elección preferida para proyectos de climatización y energía en Amado Salvador.
1. Cómo sacar rendimiento al PCI DSS
Zane Ryan, Dot Force
Director General
Tlf. +34 93 656 74 00
Email: zane.ryan@dotforce.es
Bruce Mac Nab, SafeNet
Responsable Comercial & Regional España, Francia y Portugal
Tlf. +33 1 47 55 74 77
Email: bmacnab@fr.safenet-inc.com
2. www.safenet-inc.com
Agenda
Solamente cumplir con las normas
o ir más allá…
Sacar el mayor provecho de la
inversión.
Ejemplos de cómo se puede
incrementar el valor de la
inversión.
Un par de ejemplos concretos.
3. www.safenet-inc.com
El Valor de Dot Force
Proveer soluciones que estrechan la relación
entre empresas y clientes a través de medios
electrónicos de manera segura que al mismo
tiempo mejoran los procesos online, reducen
costes, mejoran los servicios, incrementan la
productividad y aumentan el valor.
5. www.safenet-inc.com
El porqué de PCI DSS
Ladrones
Confianza
By complying with the PCI Data Security Standard, merchants and service
providers not only meet their obligations to the payment system, but also
gain the ability to promote their business as adhering to the highest
security standards established for handling sensitive cardholder data.
Customers demand complete assurance that their account information is
safeguarded from all possible threats, and where they put their trust, and
their money, will be based on a merchant’s reputation for providing a safe
and secure place to do business.
Fuente: PCI - DSS
6. www.safenet-inc.com
Cumplir y nada más o
Cumplir y más
Tan solo seguir las normas de circulación no
convierte al conductor en un conductor seguro
Aún así ser un conductor seguro no prevee ciertas
amenazas o riesgos – ¿Sí o No?
Cumpliendo solamente con las normas de fabricación
de coches no se hacen los coches más seguros
¿Qué opciones de seguridad quiere Vd. para su
coche?
7. www.safenet-inc.com
Desarrollar y mantener una red segura
1. Instalar y mantener un Firewall para proteger los datos
2. No usar las contraseñas y otros parámetros de seguridad
suministrados por los fabricantes
Proteger los datos de los titulares de las tarjetas
3. Proteger los datos guardados
4. Cifrar las transmisiones de los datos e información sensible por las
redes públicas
Mantener un programa de gestión de vulnerabilidades
5. Utilizar y regularmente actualizar el software de Antivirus
6. Desarrollar y mantener sistemas y aplicaciones seguras
1/2
Los principios básicos
de PCI DSS
8. www.safenet-inc.com
Los principios
pricinpales de PCI DSS
Implantar medidas estrictas de control de acceso
7. Restringir los acceso a los datos según necesidad
8. Asignar una identificación única a cada persona con acceso a los
sistemas
9. Restringir al acceso físico a los datos
Regularmente monitorizar y probar la seguridad de las redes
10. Rastrear y monitorizar todos los accesos a los recursos de la red y los
datos de los titulares de las tarjetas
11. Regularmente probar la seguridad de los sistemas y los procesos
Mantener una política de seguridad de la información
12. Mantener una política que trate de todas las cuestiones de la
seguridad informática
2/2
9. www.safenet-inc.com
Preguntas para ver más allá
de PCI - DSS
Requisito Pregunta Posible solución
1. Montar un Firewall
de red
¿Llega a analizar paquetes de OSI 5,
6 y 7? IPS y/o WAF
2. No utilizar las
contraseñas por
defecto de los
fabricantes
¿Se pueden detectar
automáticamente firmas de
vulnerabilidades conocidas?
Sistemas de
autenticación de dos
factores, IPS y/o WAF
3. Proteger los datos
de las tarjetas y de los
titulares de las
tarjetas guardados
¿La base de datos está cifrada? Programas de cifrado de
datos
¿El acceso desde la aplicación Web a
la base de datos es directa?
Separar las aplicaciones
desde el servidor con la
base de datos con
Firewall y/o HSM
¿Qué protección hay contra fugas de
información?
Detectar y bloquear la
salida de información
sensible (WAF)
1/5
10. www.safenet-inc.com
Preguntas para mirar más
allá de PCI - DSS
Requisito Pregunta
Posible solución
4. Cifrar las
comunicaciones
¿Cómo se asegura de que el uso de un
protocolo de cifrado es suficiente fuerte?
Control de calidad
¿Se cifran las sesiones de comunicación? Cifrado de SSL o TLS y
cifrado de correo-e
¿Si, se cifran las comunicaciones con SSL,
¿Cómo se puede analizar los paquetes
cifrados?
IPS y WAF con capacidad de
analizar paquetes cifrados
con SSL
¿Se cifran todas las comunicaciones entre
las aplicaciones y los sistemas de back-
end?
Cifradores de conexiones de
red
¿Se cifran los accesos de los
administradores a las aplicaciones? SSL, TLS, VPN
5. Desplegar software de
Antivirus
¿Se detectan los virus en E-mail, IM, la
red?
Antispam, AntispIM, IPS,
WAF
¿Se detectan los troyanos y acceso a
través de puertas traseras? (WAF)
Antispam, AntispIM, IPS,
WAF
¿Se pueden entrar a través de navegación
en páginas Web no deseadas?
Filtrado de URL (Tiempo real
o bases de datos históricas)
2/5
11. www.safenet-inc.com
Preguntas para mirar más
allá de PCI - DSS
Requisito Pregunta Posible solución
6. Desarrollar y mantener
sistemas y aplicaciones
seguras
¿Cómo se detectan los ataques? IPS con capacidad de analizar y
catalogar el comportamiento
(negative security model)
¿Cómo se detectan la aparición de una
nueva aplicación en la red?
IPS y/o pasarelas de seguridad para la
mensajería instantánea (MI)
¿Cómo se detectan la aparición de un
nuevo equipo en la red?
IPS y/o pasarelas de seguridad para la
MI
¿Existe un Inventario completo (en
tiempo real) de todas la aplicaciones y
equipos en la red?
IPS y/o pasarelas de seguridad para
la MI
¿Se detectan cambios en las
aplicaciones? WAF
¿Se detectan imperfectos o
vulnerabilidades en las aplicaciones?
WAF con capacidad de catalogar el
comportamiento de aplicaciones
(positive secuirty model)
¿Se puede proteger la aplicación contra
vulnerabilidades sin reescribir la
aplicación? WAF
¿La aplicación está desarrollada con
código seguro? WAF y HSM
¿Qué control de calidad de la aplicación
existe?
Software de pruebas de calidad, y
pruebas de penetración, WAF y IPS
3/5
12. www.safenet-inc.com
Preguntas para ver más allá
de PCI - DSS
Requisito Pregunta Posible solución
7. Restringir el acceso
a los datos de las
tarjetas
¿El acceso es con contraseñas?
Llaves de autenticación,
tarjetas inteligentes con
certificados, biometría
¿Hay algún control más allá de la
autenticación de usuario?
NAC a veces incorporado
en IPS (Perfil de usuario,
dir. IP, MAC,
configuración del PC)
¿El acceso desde la aplicación a la
base de datos es directa?
HSM
8. Gestión de usuarios ¿Cómo se audita el acceso por
usuario? NAC, IPS, WAF, HSM
Asignar una identidad
única para cada
usuario
¿Cómo se audita el uso de los
programas por usuarios?
NAC, WAF
9. Acceso físico ¿Está físicamente separado y
controlado?
Salas protegidas de
máquinas y HSMs
4/5
13. www.safenet-inc.com
Preguntas para mirar más
allá de PCI - DSS
Requisito Pregunta Posible solución
10. Rastrear y monitorizar
todos los acceso a los datos
de las tarjetas
¿Cómo se monitoriza el acceso a los recursos
de la red y los datos de las tarjetas?
HSM, NAC, IPS, WAF
¿Cómo se monitoriza qué información sale de
la aplicación - Números de tarjetas? WAF
¿Cómo se previene la fuga de información? HSM, WAF, control de
dispositivos externos
¿Qué política hay para informar sobre todos
los accesos y usos de los datos de las
tarjetas?. HSM, NAC, WAF
11. Pruebas frecuentes ¿Se hacen pruebas de penetración
periódicamente? Consultores de seguridad
¿Se dispone de herramientas de escaneo y
detección de vulnerabilidades?
Aplicaciones de escaneo de
vulnerabilidades
¿Se disponen de herramientas de escaneo y
detección de vulnerabilidades en tiempo real? WAF
12. Mantener una política
de seguridad
¿Hay sistemas que aseguran el cumplimiento
según la política de la seguridad de las
aplicaciones en la organización HSM, WAF entre otros
5/5
16. www.safenet-inc.com
SafeNet: Expertos en seguridad
desde hace 23 años
Expertos en seguridad desde hace 23 años:
Comunicaciones
Propiedad Intelectual numérica
Datos e Identidades digitales
Ingresos en 2006: $293 millones
Empleados
1050 empleados con mas de 350 ingenieros expertos
en criptografía
Liderazgo en los sectores con los requisitos más
exigentes en seguridad:
El sector financiero
SafeNet HSMs tiene 7.600 asociados de SWIFT
Protección de Identidades
Los HSMs de SafeNet protegen los sistemas de los
pasaportes electrónicos de más de 30 países
21. www.safenet-inc.com
Global Top 100 – SafeNet Protege
3M Corporation Abbott Laboratories American Express Amgen Bank of
America Barclays BBVA-Banco Bilbao Vizcaya BNP Paribas BP
ChevronTexaco Cisco Systems Citigroup Coca-Cola Comcast
ConocoPhillips Dell Dow Chemical EI du Pont de Nemours Exxon Mobil
FannieMae France Telecom General Electric Goldman Sachs HBOS
Hewlett-Packard HSBC IBM ING Group Intel Johnson & Johnson
Lloyds TSB Bank Medtronic Merck & Co Merrill Lynch Microsoft Morgan
Stanley Nokia Novartis Pharma AG Oracle Corporation Pfizer Qualcomm
Royal Bank Of Scotland Royal Dutch/Shell Group Samsung Electronics
SBC Communications Siemens Group Telefonica Telstra Total Fina Elf
Tyco International UBS United Parcel Service Verizon Vodafone
Wachovia Wal-Mart Walt Disney Wells Fargo
23. www.safenet-inc.com
Gestión de llaves, Encriptación y PCI
Las exigencias del Payment Card Industry Data Security Standard:
Proteger los datos guardados y no guardar datos de tarjetas sin necesidad
Cifrar las transmisiones de los datos de los titulares de tarjetas e información sensible
enviada por redes públicas
Instalar y mantener un Firewall para proteger los datos
No usar las contraseñas y otros parámetros de seguridad suministrados por los fabricantes
Utilizar y actualizar regularmente el software de Antivirus
Desarrollar y mantener sistemas y aplicaciones seguras
Restringir los acceso a los datos según necesidad
Asignar una identificación única a cada persona con acceso a los sistemas
Restringir al acceso físico a los datos
Rastrear y monitorizar todos los accesos a los recursos de la red y los datos de los titulares
de las tarjetas
Regularmente probar la seguridad de los sistemas y los procesos
Mantener una política que trate todas las cuestiones de seguridad informática
24. www.safenet-inc.com
¿Qué es un HSM?
Un Hardware Security Module (HSM) es un módulo criptográfico que consiste en
una colección de algoritmos, almacenes seguros de llaves digitales, aceleración
de procesos criptográficos y gestión de llaves dentro de una caja negra no
modificable – es parecido a un juego de piezas criptográficas de LEGO – cómo se
juntan las piezas determina lo que hace el HSM
Una caja fuerte para almacenar seguramente las llaves digitales sensibles
Acelera las operaciones criptográficas para eliminar los cuellos de botella
Proporciona una estela de auditoría clara y facilita el cumplimiento con los estándares
Gama extensa de opciones de seguridad, rendimiento y capacidad de almacenamiento
25. www.safenet-inc.com
¿Porqué utilizar HSMs?
Protegen de ataques internos y externos
Previenen que las llaves sean vulnerables ante fallos del sistema
Defienden las llaves de Virus y Troyanos
Coartan, controlan y protegen las copias de seguridad
26. www.safenet-inc.com
Un caso práctico
en Inglaterra
www.commidea.com
Negocio: desarrollador de software de procesamiento
de pagos con tarjetas en Inglaterra
Situación: Una auditoria descubre que los códigos de
tarjetas no se cifraban
Solución: Implantación de una solución de cifrado de
base de datos con una HSM de SafeNet (Luna SA
homologado FIPS 140 -2 nivel 3)
27. www.safenet-inc.com
Un caso práctico
en España
PETROMIRALLES: www.pertomiralles.com
Negocio: En Cataluña encabeza el ranquing de las distribuidoras independientes
de combustibles líquidos, ocupando el tercer lugar en todo el estado
Situación: Una auditoria por UTA (emisor alemán de tarjetas de crédito) les obliga
a proteger su proceso de autorización de transacciones con HSMs
Solución a corto plazo: Implantación de dos HSMs de Protect Server de SafeNet en
alta disponibilidad e integración con la aplicación actual de autorización de
pagos para proteger y cifrar todo el proceso de la autorización de las
transacciones
Solución a medio plazo: Extender la utilidad del sistema actual a otras tarjetas
(VISA, Mastercard, PETROMIRALLES etc….) para cumplir con el PCI DSS
28. www.safenet-inc.com
A caso practico global
The largest scheduled coach provider in Europe
Operations include bus services in the USA & Canada, ALSA and Continental
Auto bus and coach services in Spain
Carry over 16 million customers to 1000 destinations every year in the UK
Multi-channel sales strategy
Ticket offices and travel agents
Call centres
Web sites
Self-service ticket kiosks
Mobile ticketing
Strong focus on security
Early adopter of Chip & PIN
29. www.safenet-inc.com
National Express and PCI DSS
Compliance a growing concern for UK businesses
The Logic Group selected SafeNet to provide the HSMs for its
Enhanced Security Solution
National Express turned to The Logic Group to deliver a
solution offering a high level of security without disruption to
the business
Installation of the Enhanced Security
Solution was completed within one
month from order