SlideShare una empresa de Scribd logo
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL  -  FIIS ING. MUJICA RUIZ ÓSCAR
Las organizaciones modernas que operan o centran gran parte de su actividad en los recursos informáticos y necesitan dotar sus sistemas e infraestructuras informáticas de las políticas y medidas de protección más adecuadas que garanticen el continuo desarrollo y operatividad de sus actividades. Las estadísticas de seguridad muestran que las principales vulnerabilidades se encuentran dentro de las organizaciones,  principalmente en las personas, esto no sólo porque no se aplican sofisticados sistemas de seguridad, sino porque no existen políticas de seguridad  institucionales y por ende no existe una cultura de seguridad. Por otro lado, existe la gran creencia de que el problema de la seguridad de la información es un problema de las áreas de Tecnología.
Son aquellos recursos (hardware/software), que tiene una empresa es un evento con el potencial de afectar negativamente la Confidencialidad, Integridad o disponibilidad de los Activos de Información
La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte a un Activo de Información Hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones
TÉCNICAS PARA DETECTAR LAS VULNERABILIDADES DE LOS ACTIVOS : Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las  estaciones de trabajo, redes de comunicaciones o servidores.
Técnica de Seguridad Perimetral: Mediante la simulación de un ataque externo, con objetivos maliciosos, evaluamos la seguridad de la red externa de su negocio. Gracias a esa evaluación podemos descubrir las vulnerabilidades y fallos de seguridad que tiene su sistema, y obtener información privada de la misma, que permitirá elaborar planes de prevención de seguridad adaptados a las necesidades de la seguridad de su negocio. Técnica de Seguridad Wireless Simulando un ataque interno y externo a los sistemas de información que forman la infraestructura Wireless de su empresa se detectan las vulnerabilidades de su sistema y conocer el grado de seguridad que tienen sus redes wireles, los tipos de ataques que puede sufrir en qué condiciones los puede sufrir así como los orígenes y consecuencias de los mismos.
Técnica del Autoservicio Bancario Evalúa y Analiza el nivel de seguridad de la Plataforma informática y la Red IP del Autoservicio Bancario, detecta las vulnerabilidades de su sistema e implanta una solución para eliminarlas y aumentar su nivel de seguridad.  Se describirle todos los datos de acceso a los que podría acceder un intruso en su autoservicio bancario, los problemas del acceso, cantidad de accesos etc. Técnica de Seguridad Interna Análisis y Protección contra los riesgos procedentes de empleados (vulnerabilidad interna) capaces  de violar la seguridad de los sistemas de información de la empresa.  Se localizan todas las posibles vías de acceso que puede tener un agresor interno. Un análisis desde un sistema conectado a la red interna de su empresa. (simulando ser un atacante interno) Se utiliza a los Mejores profesionales especializados en el Hacking ético (penetración controlada en los sistemas informáticos de una empresa, de la misma forma que lo haría un hacker o pirata informático pero de forma ética, previa autorización por escrito.)
Técnica del Análisis Forense La técnica del  Análisis Forense te ayudará a:  Descubrir las vulnerabilidades que han hecho posible el ataque. Descubrir el origen y el autor del ataque.  Identificar y determinar las acciones realizadas y las herramientas y métodos utilizados en el ataque.  Establecer las medidas adecuadas para que la situación no se repita. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperatividad del sistema, el análisis se denomina análisis POSTMORTEM.
Análisis de Aplicativos y del Código Fuente Ayuda a las empresas a conocer el nivel de seguridad de las aplicaciones utilizadas en sus sistemas de información, estudia el nivel de seguridad del código de las aplicaciones de la empresa y del software de base en que se apoya. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado Análisis de Paginas Web Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
Tecnologías de detección IDS  (INTRUSION DETECTION SYSTEMS)
Sistemas de Detección de Intrusos.  Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una red, considerando intrusión a toda actividad no autorizada o no que no debería ocurrir en ese sistema. Es un complemento del cortafuegos.  Deben estar continuamente en ejecución con un mínimo de supervisión. Se deben recuperar de las posibles caídas o problemas con la red. Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante. Debe utilizar los mínimos recursos posibles. Debe estar configurado acorde con la política de seguridad seguida por la organización. Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.
 
 
 
Esta fase es la que más tiempo insume dentro de la planificación. Lo que se busca en primera instancia es  definir  al objetivo y, a partir de ello, obtener la mayor cantidad de información sobre él. Para el caso de  personas físicas , ejemplos de recopilación de información serían direcciones de e-mail, direcciones físicas, información personal, etcétera. En el ámbito corporativo, además se buscarán direcciones IP, resolución de nombres DNS, etcétera FASE DE RECONOCIMIENTO
En esta fase utilizaremos la información previa con el objetivo de  detectar vectores de ataque  en la infraestructura de la organización. PHLAK COMO HERRAMIENTA DE SEGURIDAD phlak, un software de seguridad que trabaja en ambiente linux Metasploit   Nessus Netcat Nmap Hydra REFERENCIAS www.phalak.org www.elhacker.net www.thc-hydra.com www.microsoft.com FASE DE ESCANEO
Una vez detectadas las vulnerabilidades, el gran paso es el ingreso al sistema definido como objetivo Si esto se realiza en el marco de una simulación , no se suele tomar control sobre el sistema sino, simplemente, detectar las vulnerabilidades y proponer soluciones para resolver los problemas FASE DE ACCESO FASE DE MANTENIMIENTO DE ACCESO
 
HACKING ÉTICO  - VULNERABILIDAD DETECTADA EN SITIO WEB DE PNP Esto va dirigido a las técnicas de seguridad interna, Se aplica el hacker ético para detectar las vulnerabilidades de una organización, El ejemplo da a conocer como se demostró que la mayoría de páginas gubernamentales del Perú están propensas a que cualquier intruso pueda obtener información solo ingresando a la página oficial y usando una herramienta gratuita. Los Metadatos son  datos altamente estructurados que describen información,  hay metadatos que se usan para catalogar la información, pero los que se usan  para marcar el origen de la información  son los que pueden ser peligrosos. El español  José María Alonso, “Chema” demostró que usando la herramienta gratuita FOCA, los  517 documentos publicados en la página de la policía nacional  http://www.pnp.gob.pe/  ,  contaban con metadatos que catalogan la informaci
Al implementar un plan de seguridad, éste debe adaptarse a la empresa, no la empresa al plan de seguridad; por lo tanto, en el momento de la planeación, la entidad debe escoger los modelos de seguridad adecuados dependiendo de sus necesidades y requerimientos con el fin de minimizar los riesgos. El proceso de aseguramiento de los sistemas de información de la empresa debe ser iterativo y controlado en cada una de sus etapas. Es necesario involucrar todas las áreas de la empresa para que trabajen con el departamento de tecnología, conocer su infraestructura tecnológica  lo posible se debe probar y comprobar periódicamente el nivel de seguridad de la empresa, tanto la protección de las maquinas de escritorio como las que administran y/o mantienen la información, con el fin de garantizar el  aseguramiento físico de los recursos de la organización
Es recomendable que una empresa este preparada para superar cualquier eventualidad que interrumpa las actividades habituales, mediante procedimientos tales como la sincronización y fijación del tiempo de equipos y el registro de actividades. Es recomendable una metodología para la aplicación de una infraestructura de seguridad a nivel lógico y físico, pues ésta sirve de guía para empresas que en la actualidad no poseen un área de tecnología de información o no cuenten con los recursos necesarios y adecuados para realizar este tipo de tareas. Se debe seguir con las políticas, estándares y procedimientos de Seguridad conforman el conjunto de lineamientos que una organización debe seguir para asegurar sus sistemas. La auditoria de sistemas debe considerarse como un método que ayuda a incrementar y mejorar los procesos de seguridad al interior de la organización.

Más contenido relacionado

La actualidad más candente

seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
yamyortiz17
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
Jesús Moreno León
 
Physical security.ppt
Physical security.pptPhysical security.ppt
Physical security.ppt
Faheem Ul Hasan
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
Rosmery Banr
 
Línea del tiempo sobre los Sistemas Gestores de Bases de Datos
Línea del tiempo sobre los Sistemas Gestores de Bases de DatosLínea del tiempo sobre los Sistemas Gestores de Bases de Datos
Línea del tiempo sobre los Sistemas Gestores de Bases de Datos
Alejandra Caballero Quintero
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
Carolina Cols
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
Jean Carlos Leon Vega
 
2. access control
2. access control2. access control
2. access control
7wounders
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
Jherdy Sotelo Marticorena
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
ascêndia reingeniería + consultoría
 
Seguridad ,logica y fisica
Seguridad ,logica y fisicaSeguridad ,logica y fisica
Seguridad ,logica y fisica
Diana Amaya
 
Information Security Principles - Access Control
Information Security  Principles -  Access ControlInformation Security  Principles -  Access Control
Information Security Principles - Access Control
idingolay
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputo
marily calderón lizana
 
Seguridad física de un centro de cómputos parte 1 gestión de información.
Seguridad física de un centro de cómputos parte 1 gestión de información.Seguridad física de un centro de cómputos parte 1 gestión de información.
Seguridad física de un centro de cómputos parte 1 gestión de información.
Isa Digital
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Cyber Security Incident Response
Cyber Security Incident ResponseCyber Security Incident Response
Cyber Security Incident Response
PECB
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
Sistema de informacion
Sistema de informacionSistema de informacion
Sistema de informacion
argentm
 
Information security
Information securityInformation security
Diagramas UML: Componentes y despliegue
Diagramas UML: Componentes y despliegueDiagramas UML: Componentes y despliegue
Diagramas UML: Componentes y despliegue
joshell
 

La actualidad más candente (20)

seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
 
Physical security.ppt
Physical security.pptPhysical security.ppt
Physical security.ppt
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
 
Línea del tiempo sobre los Sistemas Gestores de Bases de Datos
Línea del tiempo sobre los Sistemas Gestores de Bases de DatosLínea del tiempo sobre los Sistemas Gestores de Bases de Datos
Línea del tiempo sobre los Sistemas Gestores de Bases de Datos
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
 
2. access control
2. access control2. access control
2. access control
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Seguridad ,logica y fisica
Seguridad ,logica y fisicaSeguridad ,logica y fisica
Seguridad ,logica y fisica
 
Information Security Principles - Access Control
Information Security  Principles -  Access ControlInformation Security  Principles -  Access Control
Information Security Principles - Access Control
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputo
 
Seguridad física de un centro de cómputos parte 1 gestión de información.
Seguridad física de un centro de cómputos parte 1 gestión de información.Seguridad física de un centro de cómputos parte 1 gestión de información.
Seguridad física de un centro de cómputos parte 1 gestión de información.
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Cyber Security Incident Response
Cyber Security Incident ResponseCyber Security Incident Response
Cyber Security Incident Response
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Sistema de informacion
Sistema de informacionSistema de informacion
Sistema de informacion
 
Information security
Information securityInformation security
Information security
 
Diagramas UML: Componentes y despliegue
Diagramas UML: Componentes y despliegueDiagramas UML: Componentes y despliegue
Diagramas UML: Componentes y despliegue
 

Destacado

Auditoría Informática en los Procesos Contables
Auditoría Informática en los Procesos ContablesAuditoría Informática en los Procesos Contables
Auditoría Informática en los Procesos Contables
Evelyn Gissele Quiroz Lara
 
Taller i auditoria sistemas informaticos ii
Taller i auditoria sistemas informaticos iiTaller i auditoria sistemas informaticos ii
Taller i auditoria sistemas informaticos ii
Gema Zambrano Cruzatty
 
Seguridad so
Seguridad soSeguridad so
Seguridad so
Karina Gutiérrez
 
¿Por qué la Virtualización?
¿Por qué la Virtualización?¿Por qué la Virtualización?
¿Por qué la Virtualización?
Enrique Jose Fermin Nieves
 
Administracion de Licencia de Software
Administracion de Licencia de SoftwareAdministracion de Licencia de Software
Administracion de Licencia de Software
Joseph Edward Flores Luján
 
T3ch fest leganes_final
T3ch fest leganes_finalT3ch fest leganes_final
T3ch fest leganes_final
Rober Garamo
 
El auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoriaEl auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoria
Cristian Rivera
 
18 de noviembre
18 de noviembre18 de noviembre
02 1 planeamiento de la auditoría
02 1 planeamiento de la auditoría02 1 planeamiento de la auditoría
02 1 planeamiento de la auditoría
Luis Morales
 
Diapositivas de Auditoria informatica
Diapositivas de Auditoria informaticaDiapositivas de Auditoria informatica
Diapositivas de Auditoria informatica
mcmazon
 
Auditoria Informática.
Auditoria Informática. Auditoria Informática.
Auditoria Informática.
pertuzm
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
Vanessa Castillo
 
Planeamiento de auditoria
Planeamiento de auditoriaPlaneamiento de auditoria
Planeamiento de auditoria
briyit campos
 
Detección y corrección de errores
Detección y corrección de erroresDetección y corrección de errores
Detección y corrección de errores
santi_rafael7777
 
TIPOS DE AUDITORIA
TIPOS DE AUDITORIATIPOS DE AUDITORIA
TIPOS DE AUDITORIA
alexismayacg
 
Etapas de la auditoria
Etapas de la auditoriaEtapas de la auditoria
Etapas de la auditoria
Lourdesespinoza
 
AUDITORIA CONTABLE
AUDITORIA CONTABLEAUDITORIA CONTABLE
AUDITORIA CONTABLE
Paolita Gamarra
 
Fases auditoria
Fases auditoriaFases auditoria
Fases auditoria
arelyochoa
 
La evasion y la elusion tributaria
La evasion y la elusion tributariaLa evasion y la elusion tributaria
La evasion y la elusion tributaria
Ali Chang
 
Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoria
Nidia Niño
 

Destacado (20)

Auditoría Informática en los Procesos Contables
Auditoría Informática en los Procesos ContablesAuditoría Informática en los Procesos Contables
Auditoría Informática en los Procesos Contables
 
Taller i auditoria sistemas informaticos ii
Taller i auditoria sistemas informaticos iiTaller i auditoria sistemas informaticos ii
Taller i auditoria sistemas informaticos ii
 
Seguridad so
Seguridad soSeguridad so
Seguridad so
 
¿Por qué la Virtualización?
¿Por qué la Virtualización?¿Por qué la Virtualización?
¿Por qué la Virtualización?
 
Administracion de Licencia de Software
Administracion de Licencia de SoftwareAdministracion de Licencia de Software
Administracion de Licencia de Software
 
T3ch fest leganes_final
T3ch fest leganes_finalT3ch fest leganes_final
T3ch fest leganes_final
 
El auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoriaEl auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoria
 
18 de noviembre
18 de noviembre18 de noviembre
18 de noviembre
 
02 1 planeamiento de la auditoría
02 1 planeamiento de la auditoría02 1 planeamiento de la auditoría
02 1 planeamiento de la auditoría
 
Diapositivas de Auditoria informatica
Diapositivas de Auditoria informaticaDiapositivas de Auditoria informatica
Diapositivas de Auditoria informatica
 
Auditoria Informática.
Auditoria Informática. Auditoria Informática.
Auditoria Informática.
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Planeamiento de auditoria
Planeamiento de auditoriaPlaneamiento de auditoria
Planeamiento de auditoria
 
Detección y corrección de errores
Detección y corrección de erroresDetección y corrección de errores
Detección y corrección de errores
 
TIPOS DE AUDITORIA
TIPOS DE AUDITORIATIPOS DE AUDITORIA
TIPOS DE AUDITORIA
 
Etapas de la auditoria
Etapas de la auditoriaEtapas de la auditoria
Etapas de la auditoria
 
AUDITORIA CONTABLE
AUDITORIA CONTABLEAUDITORIA CONTABLE
AUDITORIA CONTABLE
 
Fases auditoria
Fases auditoriaFases auditoria
Fases auditoria
 
La evasion y la elusion tributaria
La evasion y la elusion tributariaLa evasion y la elusion tributaria
La evasion y la elusion tributaria
 
Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoria
 

Similar a Metodologia para detectar vulnerabilidades de los activos

HackWeb
HackWebHackWeb
Auditoria Manual
Auditoria ManualAuditoria Manual
Auditoria Manual
longinus692
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
sandruitus
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
sandruitus
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
Santiago Toribio Ayuga
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
Aniiitha01
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes
JORGE MONGUI
 
Clase dieciocho 2011
Clase dieciocho  2011Clase dieciocho  2011
Clase dieciocho 2011
tecnodelainfo
 
Seguridad de redes
Seguridad de redes Seguridad de redes
Seguridad de redes
Lupita Nena Farrukita
 
Ataques informaticos
Ataques informaticos Ataques informaticos
Ataques informaticos
FrancisBuisaCalle
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
Argimiro Dominguez
 
Wow
WowWow
La Seguridad Informática
La Seguridad InformáticaLa Seguridad Informática
La Seguridad Informática
Viviana Sabido May
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
Base10media
 
Unidad5 investigación seguridad
Unidad5 investigación seguridadUnidad5 investigación seguridad
Unidad5 investigación seguridad
Eduardo S. Garzón
 
Sgsi
SgsiSgsi
Sgsi
SgsiSgsi
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Flor Placencia
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Sara Sigüeñas Chacón
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Sara Sigüeñas Chacón
 

Similar a Metodologia para detectar vulnerabilidades de los activos (20)

HackWeb
HackWebHackWeb
HackWeb
 
Auditoria Manual
Auditoria ManualAuditoria Manual
Auditoria Manual
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes
 
Clase dieciocho 2011
Clase dieciocho  2011Clase dieciocho  2011
Clase dieciocho 2011
 
Seguridad de redes
Seguridad de redes Seguridad de redes
Seguridad de redes
 
Ataques informaticos
Ataques informaticos Ataques informaticos
Ataques informaticos
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 
Wow
WowWow
Wow
 
La Seguridad Informática
La Seguridad InformáticaLa Seguridad Informática
La Seguridad Informática
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Unidad5 investigación seguridad
Unidad5 investigación seguridadUnidad5 investigación seguridad
Unidad5 investigación seguridad
 
Sgsi
SgsiSgsi
Sgsi
 
Sgsi
SgsiSgsi
Sgsi
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 

Más de Alexander Velasque Rimac

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
Alexander Velasque Rimac
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
Alexander Velasque Rimac
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
Alexander Velasque Rimac
 
Controles
ControlesControles
Controles final
Controles finalControles final
Controles final
Alexander Velasque Rimac
 
Comision nro 6 as- fiis- controles
Comision nro 6  as- fiis- controlesComision nro 6  as- fiis- controles
Comision nro 6 as- fiis- controles
Alexander Velasque Rimac
 
Presentación101
Presentación101Presentación101
Presentación101
Alexander Velasque Rimac
 
Presentación101
Presentación101Presentación101
Presentación101
Alexander Velasque Rimac
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
Alexander Velasque Rimac
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
Alexander Velasque Rimac
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
Alexander Velasque Rimac
 
Is audit ..
Is audit ..Is audit ..
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
Alexander Velasque Rimac
 
Comision nro 6 as- fiis- iiasac
Comision nro 6   as- fiis- iiasacComision nro 6   as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
Alexander Velasque Rimac
 
Dti auditoria de sistemas
Dti   auditoria de sistemasDti   auditoria de sistemas
Dti auditoria de sistemas
Alexander Velasque Rimac
 
Coso final-cd
Coso final-cdCoso final-cd
Cobit
CobitCobit
Organigramas 1- exposicion
Organigramas  1- exposicionOrganigramas  1- exposicion
Organigramas 1- exposicion
Alexander Velasque Rimac
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
Alexander Velasque Rimac
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
Alexander Velasque Rimac
 

Más de Alexander Velasque Rimac (20)

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Controles
ControlesControles
Controles
 
Controles final
Controles finalControles final
Controles final
 
Comision nro 6 as- fiis- controles
Comision nro 6  as- fiis- controlesComision nro 6  as- fiis- controles
Comision nro 6 as- fiis- controles
 
Presentación101
Presentación101Presentación101
Presentación101
 
Presentación101
Presentación101Presentación101
Presentación101
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
 
Is audit ..
Is audit ..Is audit ..
Is audit ..
 
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
 
Comision nro 6 as- fiis- iiasac
Comision nro 6   as- fiis- iiasacComision nro 6   as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
 
Dti auditoria de sistemas
Dti   auditoria de sistemasDti   auditoria de sistemas
Dti auditoria de sistemas
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Cobit
CobitCobit
Cobit
 
Organigramas 1- exposicion
Organigramas  1- exposicionOrganigramas  1- exposicion
Organigramas 1- exposicion
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
 

Último

_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf
correodetareas
 
Solución de vulnerabilidades en dispositivos de Area Local
Solución de vulnerabilidades en dispositivos de Area LocalSolución de vulnerabilidades en dispositivos de Area Local
Solución de vulnerabilidades en dispositivos de Area Local
investigacionproec
 
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
bellomiguelangel68
 
Pedagogía : Gamificación en la educación
Pedagogía : Gamificación en la educaciónPedagogía : Gamificación en la educación
Pedagogía : Gamificación en la educación
César Luis Camba Martínez
 
Generaciones de Computadoras .
Generaciones de Computadoras                 .Generaciones de Computadoras                 .
Generaciones de Computadoras .
gregory760891
 
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
sunwndniel
 
Evolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TICEvolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TIC
Henry W. Zavala
 
MATERIAL BASE D A T O S .docx
MATERIAL BASE    D A T O S              .docxMATERIAL BASE    D A T O S              .docx
MATERIAL BASE D A T O S .docx
CarlosAndresLoaizaRe
 
CAPCUT PASO A PASO - herramientas tecnológicas de edición de videos
CAPCUT PASO A PASO - herramientas tecnológicas de edición de videosCAPCUT PASO A PASO - herramientas tecnológicas de edición de videos
CAPCUT PASO A PASO - herramientas tecnológicas de edición de videos
Iris505525
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
Katia Reyes
 
Catalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdfCatalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdf
walter729637
 
aplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geograficoaplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geografico
cyberquiximies
 
DN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en PerúDN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en Perú
estudios22
 
DESARROLLO_DE_APLICACIONES_MULTIMEDIA.pptx
DESARROLLO_DE_APLICACIONES_MULTIMEDIA.pptxDESARROLLO_DE_APLICACIONES_MULTIMEDIA.pptx
DESARROLLO_DE_APLICACIONES_MULTIMEDIA.pptx
fortinodominguez78
 
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
MenaOlortinYherlyEli
 
Presentación Redes Sociales Moderno Morado.pdf
Presentación Redes Sociales Moderno Morado.pdfPresentación Redes Sociales Moderno Morado.pdf
Presentación Redes Sociales Moderno Morado.pdf
anniehuanhuayo80
 
Conceptos basicas de programacion (1) (1).docx
Conceptos basicas de programacion (1) (1).docxConceptos basicas de programacion (1) (1).docx
Conceptos basicas de programacion (1) (1).docx
JuanVelandia33
 
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdfInforme de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
KEVINYOICIAQUINOSORI
 
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdfBIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
sunwndniel
 

Último (19)

_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf_Manejo de Riesgos en el Laboratorio.pdf
_Manejo de Riesgos en el Laboratorio.pdf
 
Solución de vulnerabilidades en dispositivos de Area Local
Solución de vulnerabilidades en dispositivos de Area LocalSolución de vulnerabilidades en dispositivos de Area Local
Solución de vulnerabilidades en dispositivos de Area Local
 
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
2 FIBRA OPTICA COMO MEDIO DE RED DE ACCESO.pptx
 
Pedagogía : Gamificación en la educación
Pedagogía : Gamificación en la educaciónPedagogía : Gamificación en la educación
Pedagogía : Gamificación en la educación
 
Generaciones de Computadoras .
Generaciones de Computadoras                 .Generaciones de Computadoras                 .
Generaciones de Computadoras .
 
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
Reconocimiento del Secuenciador de nanoporos (Nanopore sequencing) MinIon Mk1...
 
Evolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TICEvolución, características, aplicación, ventajas y desventajas de las TIC
Evolución, características, aplicación, ventajas y desventajas de las TIC
 
MATERIAL BASE D A T O S .docx
MATERIAL BASE    D A T O S              .docxMATERIAL BASE    D A T O S              .docx
MATERIAL BASE D A T O S .docx
 
CAPCUT PASO A PASO - herramientas tecnológicas de edición de videos
CAPCUT PASO A PASO - herramientas tecnológicas de edición de videosCAPCUT PASO A PASO - herramientas tecnológicas de edición de videos
CAPCUT PASO A PASO - herramientas tecnológicas de edición de videos
 
El uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptxEl uso de las TIC en la vida cotidiana.pptx
El uso de las TIC en la vida cotidiana.pptx
 
Catalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdfCatalogo-Voxtech- accesorios radios RF.pdf
Catalogo-Voxtech- accesorios radios RF.pdf
 
aplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geograficoaplicaciones de sistema de informacion geografico
aplicaciones de sistema de informacion geografico
 
DN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en PerúDN Consultores | Una mirada al mercado de fibra en Perú
DN Consultores | Una mirada al mercado de fibra en Perú
 
DESARROLLO_DE_APLICACIONES_MULTIMEDIA.pptx
DESARROLLO_DE_APLICACIONES_MULTIMEDIA.pptxDESARROLLO_DE_APLICACIONES_MULTIMEDIA.pptx
DESARROLLO_DE_APLICACIONES_MULTIMEDIA.pptx
 
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
TESisssssssss de yhnnjuuhjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj...
 
Presentación Redes Sociales Moderno Morado.pdf
Presentación Redes Sociales Moderno Morado.pdfPresentación Redes Sociales Moderno Morado.pdf
Presentación Redes Sociales Moderno Morado.pdf
 
Conceptos basicas de programacion (1) (1).docx
Conceptos basicas de programacion (1) (1).docxConceptos basicas de programacion (1) (1).docx
Conceptos basicas de programacion (1) (1).docx
 
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdfInforme de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
Informe de electroforesis del ADN MEDIANTE EL MinION Mk1C.pdf
 
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdfBIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
BIOSENSORES BASADOS EN NANOTECNOLOGÍA.pdf
 

Metodologia para detectar vulnerabilidades de los activos

  • 1. UNIVERSIDAD NACIONAL FEDERICO VILLARREAL - FIIS ING. MUJICA RUIZ ÓSCAR
  • 2. Las organizaciones modernas que operan o centran gran parte de su actividad en los recursos informáticos y necesitan dotar sus sistemas e infraestructuras informáticas de las políticas y medidas de protección más adecuadas que garanticen el continuo desarrollo y operatividad de sus actividades. Las estadísticas de seguridad muestran que las principales vulnerabilidades se encuentran dentro de las organizaciones, principalmente en las personas, esto no sólo porque no se aplican sofisticados sistemas de seguridad, sino porque no existen políticas de seguridad institucionales y por ende no existe una cultura de seguridad. Por otro lado, existe la gran creencia de que el problema de la seguridad de la información es un problema de las áreas de Tecnología.
  • 3. Son aquellos recursos (hardware/software), que tiene una empresa es un evento con el potencial de afectar negativamente la Confidencialidad, Integridad o disponibilidad de los Activos de Información
  • 4. La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte a un Activo de Información Hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones
  • 5. TÉCNICAS PARA DETECTAR LAS VULNERABILIDADES DE LOS ACTIVOS : Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
  • 6. Técnica de Seguridad Perimetral: Mediante la simulación de un ataque externo, con objetivos maliciosos, evaluamos la seguridad de la red externa de su negocio. Gracias a esa evaluación podemos descubrir las vulnerabilidades y fallos de seguridad que tiene su sistema, y obtener información privada de la misma, que permitirá elaborar planes de prevención de seguridad adaptados a las necesidades de la seguridad de su negocio. Técnica de Seguridad Wireless Simulando un ataque interno y externo a los sistemas de información que forman la infraestructura Wireless de su empresa se detectan las vulnerabilidades de su sistema y conocer el grado de seguridad que tienen sus redes wireles, los tipos de ataques que puede sufrir en qué condiciones los puede sufrir así como los orígenes y consecuencias de los mismos.
  • 7. Técnica del Autoservicio Bancario Evalúa y Analiza el nivel de seguridad de la Plataforma informática y la Red IP del Autoservicio Bancario, detecta las vulnerabilidades de su sistema e implanta una solución para eliminarlas y aumentar su nivel de seguridad. Se describirle todos los datos de acceso a los que podría acceder un intruso en su autoservicio bancario, los problemas del acceso, cantidad de accesos etc. Técnica de Seguridad Interna Análisis y Protección contra los riesgos procedentes de empleados (vulnerabilidad interna) capaces de violar la seguridad de los sistemas de información de la empresa. Se localizan todas las posibles vías de acceso que puede tener un agresor interno. Un análisis desde un sistema conectado a la red interna de su empresa. (simulando ser un atacante interno) Se utiliza a los Mejores profesionales especializados en el Hacking ético (penetración controlada en los sistemas informáticos de una empresa, de la misma forma que lo haría un hacker o pirata informático pero de forma ética, previa autorización por escrito.)
  • 8. Técnica del Análisis Forense La técnica del Análisis Forense te ayudará a: Descubrir las vulnerabilidades que han hecho posible el ataque. Descubrir el origen y el autor del ataque. Identificar y determinar las acciones realizadas y las herramientas y métodos utilizados en el ataque. Establecer las medidas adecuadas para que la situación no se repita. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperatividad del sistema, el análisis se denomina análisis POSTMORTEM.
  • 9. Análisis de Aplicativos y del Código Fuente Ayuda a las empresas a conocer el nivel de seguridad de las aplicaciones utilizadas en sus sistemas de información, estudia el nivel de seguridad del código de las aplicaciones de la empresa y del software de base en que se apoya. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado Análisis de Paginas Web Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
  • 10. Tecnologías de detección IDS (INTRUSION DETECTION SYSTEMS)
  • 11. Sistemas de Detección de Intrusos. Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una red, considerando intrusión a toda actividad no autorizada o no que no debería ocurrir en ese sistema. Es un complemento del cortafuegos. Deben estar continuamente en ejecución con un mínimo de supervisión. Se deben recuperar de las posibles caídas o problemas con la red. Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante. Debe utilizar los mínimos recursos posibles. Debe estar configurado acorde con la política de seguridad seguida por la organización. Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.
  • 12.  
  • 13.  
  • 14.  
  • 15. Esta fase es la que más tiempo insume dentro de la planificación. Lo que se busca en primera instancia es definir al objetivo y, a partir de ello, obtener la mayor cantidad de información sobre él. Para el caso de personas físicas , ejemplos de recopilación de información serían direcciones de e-mail, direcciones físicas, información personal, etcétera. En el ámbito corporativo, además se buscarán direcciones IP, resolución de nombres DNS, etcétera FASE DE RECONOCIMIENTO
  • 16. En esta fase utilizaremos la información previa con el objetivo de detectar vectores de ataque en la infraestructura de la organización. PHLAK COMO HERRAMIENTA DE SEGURIDAD phlak, un software de seguridad que trabaja en ambiente linux Metasploit Nessus Netcat Nmap Hydra REFERENCIAS www.phalak.org www.elhacker.net www.thc-hydra.com www.microsoft.com FASE DE ESCANEO
  • 17. Una vez detectadas las vulnerabilidades, el gran paso es el ingreso al sistema definido como objetivo Si esto se realiza en el marco de una simulación , no se suele tomar control sobre el sistema sino, simplemente, detectar las vulnerabilidades y proponer soluciones para resolver los problemas FASE DE ACCESO FASE DE MANTENIMIENTO DE ACCESO
  • 18.  
  • 19. HACKING ÉTICO - VULNERABILIDAD DETECTADA EN SITIO WEB DE PNP Esto va dirigido a las técnicas de seguridad interna, Se aplica el hacker ético para detectar las vulnerabilidades de una organización, El ejemplo da a conocer como se demostró que la mayoría de páginas gubernamentales del Perú están propensas a que cualquier intruso pueda obtener información solo ingresando a la página oficial y usando una herramienta gratuita. Los Metadatos son datos altamente estructurados que describen información, hay metadatos que se usan para catalogar la información, pero los que se usan para marcar el origen de la información son los que pueden ser peligrosos. El español José María Alonso, “Chema” demostró que usando la herramienta gratuita FOCA, los 517 documentos publicados en la página de la policía nacional http://www.pnp.gob.pe/ , contaban con metadatos que catalogan la informaci
  • 20. Al implementar un plan de seguridad, éste debe adaptarse a la empresa, no la empresa al plan de seguridad; por lo tanto, en el momento de la planeación, la entidad debe escoger los modelos de seguridad adecuados dependiendo de sus necesidades y requerimientos con el fin de minimizar los riesgos. El proceso de aseguramiento de los sistemas de información de la empresa debe ser iterativo y controlado en cada una de sus etapas. Es necesario involucrar todas las áreas de la empresa para que trabajen con el departamento de tecnología, conocer su infraestructura tecnológica lo posible se debe probar y comprobar periódicamente el nivel de seguridad de la empresa, tanto la protección de las maquinas de escritorio como las que administran y/o mantienen la información, con el fin de garantizar el aseguramiento físico de los recursos de la organización
  • 21. Es recomendable que una empresa este preparada para superar cualquier eventualidad que interrumpa las actividades habituales, mediante procedimientos tales como la sincronización y fijación del tiempo de equipos y el registro de actividades. Es recomendable una metodología para la aplicación de una infraestructura de seguridad a nivel lógico y físico, pues ésta sirve de guía para empresas que en la actualidad no poseen un área de tecnología de información o no cuenten con los recursos necesarios y adecuados para realizar este tipo de tareas. Se debe seguir con las políticas, estándares y procedimientos de Seguridad conforman el conjunto de lineamientos que una organización debe seguir para asegurar sus sistemas. La auditoria de sistemas debe considerarse como un método que ayuda a incrementar y mejorar los procesos de seguridad al interior de la organización.