Este documento presenta una serie de diapositivas sobre seguridad en aplicaciones web y bases de datos. Trata conceptos como entornos web, protocolos HTTP, seguridad de la información, seguridad informática, protección de datos personales e introduce los estándares ISO 27000 para la gestión de seguridad de la información. El documento fue creado por Luis Fernando Muñoz Pantoja de la Universidad de Cundinamarca en 2021 y contiene 29 diapositivas sobre estos temas.
This presentation was given at BSides Las Vegas 2015.
The modern times that we live in, the gentle shift that we are making towards the Internet of Things (IoT) is slowly but surely getting a grip on our day to day lives. The same goes for securing our Industrial Control Systems (ICS). We see that the demand for ICS security is raising and governmental regulations are being established and implement. However, this also means that the need for ICS security professionals is raising as well. More and more security professionals/firms are starting to perform security assessments such as penetration testing on an ICS level. Two years ago I got the question if I was up for the challenge, converting myself from a ‘normal’ security professional to a ICS specific security professional.
The purpose of this talk would be to provide a starting point for security professionals that want to make the shift towards ICS Security, just like I did two years ago. While the term starting point might be a bit misleading, the goal would be to provide an ICS 001 talk instead in contrast to an ICS 101 talk.
Seguridad 005 clientes, navegadores y sandboxLuis Fernando
El documento presenta información sobre seguridad en navegadores. Explica la evolución y tipos de navegadores, así como características de seguridad como protección de memoria, aleatorización de espacios de direcciones, control de integridad y aislamiento de privilegios. También incluye una tabla comparativa de navegadores Firefox, Vivaldi y Opera con datos como propietario, sistemas operativos compatibles y licenciamiento.
The document provides an overview of the Sophos XG Firewall. It discusses how the IT landscape is changing with increasing attacks and the blurring of network perimeters. It then introduces the Sophos XG Firewall as having the following key attributes:
- Simple and easy to use interface
- Lightning fast performance with FastPath packet optimization
- Unparalleled protection with features like Security Heartbeat that links endpoints and firewalls
- On-box reporting and visibility tools
- Backed by Sophos as a trusted industry leader in cybersecurity
Este documento describe la seguridad informática y las amenazas a la misma. La seguridad informática se enfoca en proteger la infraestructura computacional, la información contenida o que circula por ella, así como los activos valiosos de una organización. Las amenazas a la seguridad informática pueden provenir de usuarios, programas maliciosos, errores de programación, intrusos, siniestros o fallos electrónicos o lógicos.
Seguridad 004 arquitecturas y tecnologías de web appsLuis Fernando
Este documento presenta información sobre seguridad de aplicaciones web y bases de datos. Explica los tipos de desarrollo de aplicaciones web como estáticas, dinámicas y de comercio electrónico. También describe las estructuras en capas de las aplicaciones web, incluyendo el navegador, servidor y capa de persistencia. Finalmente, identifica las principales amenazas a la seguridad como suplantación, manipulación, revelación de información y denegación de servicio.
Un firewall es un sistema o grupo de sistemas que impone una política de seguridad entre una red privada y Internet restringiendo el acceso. Se usa un firewall para proteger una red privada de intrusos y prevenir el acceso no autorizado a recursos o la salida de información privada. Un firewall funciona denegando todo tráfico entrante y saliente excepto los servicios permitidos. Existen firewalls a nivel de software y hardware, y diferentes tipos de filtrado.
This document discusses vulnerability assessment and penetration testing. It defines them as two types of vulnerability testing that search for known vulnerabilities and attempt to exploit vulnerabilities, respectively. Vulnerability assessment uses automated tools to detect known issues, while penetration testing employs hacking techniques to demonstrate how deeply vulnerabilities could be exploited like an actual attacker. Both are important security practices for identifying weaknesses and reducing risks, but require different skills and have different strengths, weaknesses, frequencies, and report outputs. Reasons for vulnerabilities include insecure coding, limited testing, and misconfigurations. The document outlines common vulnerability and attack types as well as how vulnerability assessment and penetration testing are typically conducted.
Daniel Kefer from 1&1 Internet AG presented on 1&1's secure software development lifecycle (SDLC). He began by introducing himself and 1&1. He then discussed the motivation for a secure SDLC, noting the higher costs of fixing bugs later in development. Kefer outlined the common approaches to application security as intuitive, reactive, or proactive. 1&1 aims to take the proactive approach through their SDLC methodology. He described their methodology, including classifying systems based on risk level and assigning different security requirements at each level across both the development lifecycle and technical categories. Kefer finished by discussing 1&1's plans to expand usage and continuous improvement of their SDLC methodology.
This presentation was given at BSides Las Vegas 2015.
The modern times that we live in, the gentle shift that we are making towards the Internet of Things (IoT) is slowly but surely getting a grip on our day to day lives. The same goes for securing our Industrial Control Systems (ICS). We see that the demand for ICS security is raising and governmental regulations are being established and implement. However, this also means that the need for ICS security professionals is raising as well. More and more security professionals/firms are starting to perform security assessments such as penetration testing on an ICS level. Two years ago I got the question if I was up for the challenge, converting myself from a ‘normal’ security professional to a ICS specific security professional.
The purpose of this talk would be to provide a starting point for security professionals that want to make the shift towards ICS Security, just like I did two years ago. While the term starting point might be a bit misleading, the goal would be to provide an ICS 001 talk instead in contrast to an ICS 101 talk.
Seguridad 005 clientes, navegadores y sandboxLuis Fernando
El documento presenta información sobre seguridad en navegadores. Explica la evolución y tipos de navegadores, así como características de seguridad como protección de memoria, aleatorización de espacios de direcciones, control de integridad y aislamiento de privilegios. También incluye una tabla comparativa de navegadores Firefox, Vivaldi y Opera con datos como propietario, sistemas operativos compatibles y licenciamiento.
The document provides an overview of the Sophos XG Firewall. It discusses how the IT landscape is changing with increasing attacks and the blurring of network perimeters. It then introduces the Sophos XG Firewall as having the following key attributes:
- Simple and easy to use interface
- Lightning fast performance with FastPath packet optimization
- Unparalleled protection with features like Security Heartbeat that links endpoints and firewalls
- On-box reporting and visibility tools
- Backed by Sophos as a trusted industry leader in cybersecurity
Este documento describe la seguridad informática y las amenazas a la misma. La seguridad informática se enfoca en proteger la infraestructura computacional, la información contenida o que circula por ella, así como los activos valiosos de una organización. Las amenazas a la seguridad informática pueden provenir de usuarios, programas maliciosos, errores de programación, intrusos, siniestros o fallos electrónicos o lógicos.
Seguridad 004 arquitecturas y tecnologías de web appsLuis Fernando
Este documento presenta información sobre seguridad de aplicaciones web y bases de datos. Explica los tipos de desarrollo de aplicaciones web como estáticas, dinámicas y de comercio electrónico. También describe las estructuras en capas de las aplicaciones web, incluyendo el navegador, servidor y capa de persistencia. Finalmente, identifica las principales amenazas a la seguridad como suplantación, manipulación, revelación de información y denegación de servicio.
Un firewall es un sistema o grupo de sistemas que impone una política de seguridad entre una red privada y Internet restringiendo el acceso. Se usa un firewall para proteger una red privada de intrusos y prevenir el acceso no autorizado a recursos o la salida de información privada. Un firewall funciona denegando todo tráfico entrante y saliente excepto los servicios permitidos. Existen firewalls a nivel de software y hardware, y diferentes tipos de filtrado.
This document discusses vulnerability assessment and penetration testing. It defines them as two types of vulnerability testing that search for known vulnerabilities and attempt to exploit vulnerabilities, respectively. Vulnerability assessment uses automated tools to detect known issues, while penetration testing employs hacking techniques to demonstrate how deeply vulnerabilities could be exploited like an actual attacker. Both are important security practices for identifying weaknesses and reducing risks, but require different skills and have different strengths, weaknesses, frequencies, and report outputs. Reasons for vulnerabilities include insecure coding, limited testing, and misconfigurations. The document outlines common vulnerability and attack types as well as how vulnerability assessment and penetration testing are typically conducted.
Daniel Kefer from 1&1 Internet AG presented on 1&1's secure software development lifecycle (SDLC). He began by introducing himself and 1&1. He then discussed the motivation for a secure SDLC, noting the higher costs of fixing bugs later in development. Kefer outlined the common approaches to application security as intuitive, reactive, or proactive. 1&1 aims to take the proactive approach through their SDLC methodology. He described their methodology, including classifying systems based on risk level and assigning different security requirements at each level across both the development lifecycle and technical categories. Kefer finished by discussing 1&1's plans to expand usage and continuous improvement of their SDLC methodology.
La ciberseguridad es la práctica de proteger sistemas, redes y programas de ataques digitales que apuntan a acceder, modificar o destruir información confidencial, extorsionar usuarios o interrumpir negocios. Existen varias amenazas como phishing, ransomware, malware e ingeniería social. La ciberseguridad es importante porque los ataques pueden resultar en robo de identidad, extorsión o pérdida de datos importantes, y es esencial proteger infraestructuras críticas como hospitales y servicios
Learn from our Security Expert on how to use the Splunk App for Enterprise Security (ES) in a live, hands-on session. We'll take a tour through Splunk's award-winning security offering to understand some of the unique capabilities in the product. Then, we'll use ES to work an incident and disrupt an adversary's Kill Chain by finding the Actions on Intent, Exploitation Methods, and Reconnaissance Tactics used against a simulated organization. Data investigated will include threat list intelligence feeds, endpoint activity logs, e-mail logs, and web access logs. This session is a must for all security experts! Please bring your laptop as this is a hands-on session.
John Shaw, VP of Product management at Sophos, introduced us to the world of Project Galileo. What is Sophos doing to bring Network Security and Endpoint security together? How do we make these two pillars of IT security work together?
Este documento trata sobre la seguridad en dispositivos móviles. Explica la evolución de las generaciones de telefonía móvil desde 1G hasta 5G y describe características de seguridad de sistemas operativos como iOS y Android. También analiza amenazas comunes como phishing, rooting y tipos de espionaje como espionaje gubernamental, industrial y personal.
Kali Linux es una distribución de Linux basada en Debian diseñada principalmente para la seguridad informática y la auditoría. Fue desarrollada a partir de BackTrack y contiene más de 300 herramientas de pruebas de penetración. Se puede instalar en arquitecturas i386, AMD64 y ARM e incluye versiones en máquinas virtuales.
Chris Sistrunk discussed implementing network security monitoring (NSM) on industrial control systems (ICS). NSM involves collecting network data through tools like Security Onion, analyzing the data to detect anomalies, and investigating anomalies to identify potential threats. While ICS networks pose different challenges than typical IT networks, the same NSM methodology of collection, detection, and analysis can be applied. Free and open source tools like Security Onion allow implementing NSM on ICS to hunt for threats without disrupting operations. The most important part of NSM is having knowledgeable people to interpret data and identify what is normal versus potentially malicious activity on the network.
Este documento presenta una introducción a MAGERIT, la metodología española para el análisis y gestión de riesgos de sistemas de información. Explica los objetivos de MAGERIT, directos e indirectos. Luego, introduce los conceptos clave del análisis de riesgos como activos, amenazas, salvaguardas, impacto y riesgo. Finalmente, resume los pasos del método MAGERIT para realizar un análisis de riesgos.
MAGERIT es una metodología para analizar y gestionar los riesgos de los sistemas de información. Sus objetivos son concientizar a los responsables de los sistemas sobre los riesgos existentes y la necesidad de controlarlos, ayudar a describir medidas para mantener los riesgos bajo control, y ofrecer un método sistemático para analizar dichos riesgos. La metodología incluye realizar un análisis de riesgos que identifica y valora los activos, amenazas, vulnerabilidades, impactos y riesgos del
Una red privada virtual (VPN) permite que una red privada se extienda a través de una red pública como Internet mediante el uso de túneles de encriptación. Una VPN combina redes virtuales y privadas para que los usuarios puedan acceder de forma remota y segura a los recursos de una red a través de una conexión a Internet. Existen dos tipos principales de arquitectura VPN: acceso remoto y sitio a sitio.
La seguridad en redes implica técnicas para proteger equipos e información de daños, incluyendo métodos para autenticar usuarios autorizados y asegurar la disponibilidad, integridad y confidencialidad de datos frente a amenazas. Existen diversos ataques como interrupción, interceptación, modificación o generación de información que buscan vulnerar estos aspectos, por lo que se requieren soluciones como cortafuegos, cifrado
Este documento describe los diferentes aspectos de la seguridad física y lógica en un centro de datos. Explica los mecanismos de seguridad básicos como sistemas biométricos, cámaras y sistemas de detección de incendios. También cubre temas como la importancia de la ubicación, los criterios de acceso al centro de datos, y los métodos para aumentar la confiabilidad combinando diferentes niveles de seguridad. Finalmente, analiza conceptos como la seguridad lógica, los controles de acceso
El documento presenta los conceptos clave para el desarrollo de una política de seguridad efectiva. Explica que una política de seguridad debe identificar los riesgos, establecer objetivos y responsabilidades, e implementar salvaguardas de seguridad. Además, debe ser específica a la organización, de fácil comprensión y cubrir todos los aspectos relevantes para gestionar la seguridad de la información.
This document summarizes various cyber threats related to mobile phone data hacking. It discusses threat types like Bluetooth attacks, Wi-Fi packet sniffing, and NFC attacks that can access personal data. It also covers physical attacks like SIM cloning and vulnerabilities in apps that are granted excessive permissions. The document emphasizes that Android phones may be at higher risk than Apple due to less stringent controls on apps in the Google Play Store. It concludes by taking questions about these mobile cybersecurity threats.
Un firewall es un sistema que controla el tráfico entre dos redes, como entre Internet y una red interna, permitiendo o bloqueando el tráfico de acuerdo a una política de seguridad. Un firewall protege contra accesos no autorizados desde Internet y permite el control de tráfico entrante y saliente en un único punto. Sin embargo, un firewall no protege contra amenazas internas ni contra información que salga de otras formas como en disquetes.
Este documento describe las listas de control de acceso (ACL), incluyendo su definición, funcionamiento, tipos y pautas para su creación. Las ACL permiten filtrar el tráfico de red según la información en el encabezado del paquete, como direcciones IP y puertos. Pueden aplicarse en routers para controlar el tráfico de entrada o salida en una interfaz. Existen ACL estándar y extendidas, y se deben colocar estratégicamente según su tipo y objetivo.
This document provides an overview of Android security. It discusses Android's architecture including activities, services, content providers and broadcast receivers. It then covers Android security features like application sandboxing, application signing, and Android's permission model. It provides examples of how these components and security features work together in a sample Android application for tracking friends' locations. It also discusses how applications can programmatically enforce permissions and how application components interact through intents.
This document summarizes different types of network scans that can be performed using Nmap, including TCP connect scans, SYN scans, FIN scans, Xmas scans, Null scans, and least traffic scans. It also discusses why vulnerability scanning is important and compares the features of the free Nessus Home Feed versus the paid Professional Feed for vulnerability scanning. The Professional Feed provides more frequent plugin updates, policy compliance checks, unlimited PCI audits, operating system audits, and technical support compared to the free Home Feed.
Despite the amazing technologies available today in cybersecurity, organizations still struggle with the most fundamental challenge that has been around for decades: understanding all the devices, users, and cloud services they’re responsible for, and whether those assets are secure.
These slides—based on the webinar hosted by leading IT research firm EMA and Axonius—explain why solving asset management for cybersecurity is becoming increasingly important, and why something so fundamental has quickly risen to the top of CISOs priority lists.
Este documento presenta el Manual de Políticas de Seguridad de la Información del Ministerio de Educación Nacional de Colombia. Establece 22 políticas para garantizar la disponibilidad, integridad y confidencialidad de la información del Ministerio, incluyendo políticas sobre seguridad de la información, roles y responsabilidades, dispositivos móviles, uso de correo electrónico e internet, clasificación y almacenamiento de información, y gestión de incidentes de seguridad. Además, define el objetivo y alcance de la aplicación de estas políticas a todos
Este documento presenta el Manual de Políticas de Seguridad de la Información del Ministerio de Educación Nacional de Colombia. Establece 22 políticas para garantizar la disponibilidad, integridad y confidencialidad de la información del Ministerio, incluyendo políticas sobre seguridad de la información, roles y responsabilidades, dispositivos móviles, uso de correo electrónico e internet, clasificación y almacenamiento de información, y gestión de incidentes de seguridad. Además, define el objetivo y alcance de la aplicación de estas políticas a todos
La ciberseguridad es la práctica de proteger sistemas, redes y programas de ataques digitales que apuntan a acceder, modificar o destruir información confidencial, extorsionar usuarios o interrumpir negocios. Existen varias amenazas como phishing, ransomware, malware e ingeniería social. La ciberseguridad es importante porque los ataques pueden resultar en robo de identidad, extorsión o pérdida de datos importantes, y es esencial proteger infraestructuras críticas como hospitales y servicios
Learn from our Security Expert on how to use the Splunk App for Enterprise Security (ES) in a live, hands-on session. We'll take a tour through Splunk's award-winning security offering to understand some of the unique capabilities in the product. Then, we'll use ES to work an incident and disrupt an adversary's Kill Chain by finding the Actions on Intent, Exploitation Methods, and Reconnaissance Tactics used against a simulated organization. Data investigated will include threat list intelligence feeds, endpoint activity logs, e-mail logs, and web access logs. This session is a must for all security experts! Please bring your laptop as this is a hands-on session.
John Shaw, VP of Product management at Sophos, introduced us to the world of Project Galileo. What is Sophos doing to bring Network Security and Endpoint security together? How do we make these two pillars of IT security work together?
Este documento trata sobre la seguridad en dispositivos móviles. Explica la evolución de las generaciones de telefonía móvil desde 1G hasta 5G y describe características de seguridad de sistemas operativos como iOS y Android. También analiza amenazas comunes como phishing, rooting y tipos de espionaje como espionaje gubernamental, industrial y personal.
Kali Linux es una distribución de Linux basada en Debian diseñada principalmente para la seguridad informática y la auditoría. Fue desarrollada a partir de BackTrack y contiene más de 300 herramientas de pruebas de penetración. Se puede instalar en arquitecturas i386, AMD64 y ARM e incluye versiones en máquinas virtuales.
Chris Sistrunk discussed implementing network security monitoring (NSM) on industrial control systems (ICS). NSM involves collecting network data through tools like Security Onion, analyzing the data to detect anomalies, and investigating anomalies to identify potential threats. While ICS networks pose different challenges than typical IT networks, the same NSM methodology of collection, detection, and analysis can be applied. Free and open source tools like Security Onion allow implementing NSM on ICS to hunt for threats without disrupting operations. The most important part of NSM is having knowledgeable people to interpret data and identify what is normal versus potentially malicious activity on the network.
Este documento presenta una introducción a MAGERIT, la metodología española para el análisis y gestión de riesgos de sistemas de información. Explica los objetivos de MAGERIT, directos e indirectos. Luego, introduce los conceptos clave del análisis de riesgos como activos, amenazas, salvaguardas, impacto y riesgo. Finalmente, resume los pasos del método MAGERIT para realizar un análisis de riesgos.
MAGERIT es una metodología para analizar y gestionar los riesgos de los sistemas de información. Sus objetivos son concientizar a los responsables de los sistemas sobre los riesgos existentes y la necesidad de controlarlos, ayudar a describir medidas para mantener los riesgos bajo control, y ofrecer un método sistemático para analizar dichos riesgos. La metodología incluye realizar un análisis de riesgos que identifica y valora los activos, amenazas, vulnerabilidades, impactos y riesgos del
Una red privada virtual (VPN) permite que una red privada se extienda a través de una red pública como Internet mediante el uso de túneles de encriptación. Una VPN combina redes virtuales y privadas para que los usuarios puedan acceder de forma remota y segura a los recursos de una red a través de una conexión a Internet. Existen dos tipos principales de arquitectura VPN: acceso remoto y sitio a sitio.
La seguridad en redes implica técnicas para proteger equipos e información de daños, incluyendo métodos para autenticar usuarios autorizados y asegurar la disponibilidad, integridad y confidencialidad de datos frente a amenazas. Existen diversos ataques como interrupción, interceptación, modificación o generación de información que buscan vulnerar estos aspectos, por lo que se requieren soluciones como cortafuegos, cifrado
Este documento describe los diferentes aspectos de la seguridad física y lógica en un centro de datos. Explica los mecanismos de seguridad básicos como sistemas biométricos, cámaras y sistemas de detección de incendios. También cubre temas como la importancia de la ubicación, los criterios de acceso al centro de datos, y los métodos para aumentar la confiabilidad combinando diferentes niveles de seguridad. Finalmente, analiza conceptos como la seguridad lógica, los controles de acceso
El documento presenta los conceptos clave para el desarrollo de una política de seguridad efectiva. Explica que una política de seguridad debe identificar los riesgos, establecer objetivos y responsabilidades, e implementar salvaguardas de seguridad. Además, debe ser específica a la organización, de fácil comprensión y cubrir todos los aspectos relevantes para gestionar la seguridad de la información.
This document summarizes various cyber threats related to mobile phone data hacking. It discusses threat types like Bluetooth attacks, Wi-Fi packet sniffing, and NFC attacks that can access personal data. It also covers physical attacks like SIM cloning and vulnerabilities in apps that are granted excessive permissions. The document emphasizes that Android phones may be at higher risk than Apple due to less stringent controls on apps in the Google Play Store. It concludes by taking questions about these mobile cybersecurity threats.
Un firewall es un sistema que controla el tráfico entre dos redes, como entre Internet y una red interna, permitiendo o bloqueando el tráfico de acuerdo a una política de seguridad. Un firewall protege contra accesos no autorizados desde Internet y permite el control de tráfico entrante y saliente en un único punto. Sin embargo, un firewall no protege contra amenazas internas ni contra información que salga de otras formas como en disquetes.
Este documento describe las listas de control de acceso (ACL), incluyendo su definición, funcionamiento, tipos y pautas para su creación. Las ACL permiten filtrar el tráfico de red según la información en el encabezado del paquete, como direcciones IP y puertos. Pueden aplicarse en routers para controlar el tráfico de entrada o salida en una interfaz. Existen ACL estándar y extendidas, y se deben colocar estratégicamente según su tipo y objetivo.
This document provides an overview of Android security. It discusses Android's architecture including activities, services, content providers and broadcast receivers. It then covers Android security features like application sandboxing, application signing, and Android's permission model. It provides examples of how these components and security features work together in a sample Android application for tracking friends' locations. It also discusses how applications can programmatically enforce permissions and how application components interact through intents.
This document summarizes different types of network scans that can be performed using Nmap, including TCP connect scans, SYN scans, FIN scans, Xmas scans, Null scans, and least traffic scans. It also discusses why vulnerability scanning is important and compares the features of the free Nessus Home Feed versus the paid Professional Feed for vulnerability scanning. The Professional Feed provides more frequent plugin updates, policy compliance checks, unlimited PCI audits, operating system audits, and technical support compared to the free Home Feed.
Despite the amazing technologies available today in cybersecurity, organizations still struggle with the most fundamental challenge that has been around for decades: understanding all the devices, users, and cloud services they’re responsible for, and whether those assets are secure.
These slides—based on the webinar hosted by leading IT research firm EMA and Axonius—explain why solving asset management for cybersecurity is becoming increasingly important, and why something so fundamental has quickly risen to the top of CISOs priority lists.
Este documento presenta el Manual de Políticas de Seguridad de la Información del Ministerio de Educación Nacional de Colombia. Establece 22 políticas para garantizar la disponibilidad, integridad y confidencialidad de la información del Ministerio, incluyendo políticas sobre seguridad de la información, roles y responsabilidades, dispositivos móviles, uso de correo electrónico e internet, clasificación y almacenamiento de información, y gestión de incidentes de seguridad. Además, define el objetivo y alcance de la aplicación de estas políticas a todos
Este documento presenta el Manual de Políticas de Seguridad de la Información del Ministerio de Educación Nacional de Colombia. Establece 22 políticas para garantizar la disponibilidad, integridad y confidencialidad de la información del Ministerio, incluyendo políticas sobre seguridad de la información, roles y responsabilidades, dispositivos móviles, uso de correo electrónico e internet, clasificación y almacenamiento de información, y gestión de incidentes de seguridad. Además, define el objetivo y alcance de la aplicación de estas políticas a todos
Este documento presenta el Manual de Políticas de Seguridad de la Información del Ministerio de Educación Nacional de Colombia. Establece 22 políticas para garantizar la disponibilidad, integridad y confidencialidad de la información del Ministerio, incluyendo políticas sobre seguridad de la información, roles y responsabilidades, dispositivos móviles, uso de correo electrónico e internet, clasificación y almacenamiento de información, y gestión de incidentes de seguridad. Además, define el objetivo y alcance de la aplicación de estas políticas a todos
Este documento presenta el Documento Nacional de Identidad Electrónico (DNI-e) desarrollado por el Registro Nacional de Identificación y Estado Civil (RENIEC) de Perú. El DNI-e es una tarjeta inteligente con chip que incorpora aplicaciones de identidad, firma digital, autenticación biométrica y almacenamiento de datos. El DNI-e ofrece funcionalidades como autenticación y firma digital para permitir a los ciudadanos realizar trámites de forma virtual. El proceso de emisión del DNI-e sigue un
Estado e implantación del Esquema Nacional de SeguridadMiguel A. Amutio
El documento resume la actualización y estado de implantación del Esquema Nacional de Seguridad en España. Se explican las leyes y normativas que rigen la ciberseguridad en las administraciones públicas y empresas privadas. También se analiza el informe de 2016 sobre el estado de la seguridad, señalando áreas a mejorar como la gestión de cambios y la formación del personal. Finalmente, se exponen los retos futuros como impulsar la certificación de conformidad y ampliar el alcance del Esquema Nacional de Seguridad.
La información es un recurso importante para las organizaciones que debe ser protegido a través de medidas de seguridad basadas en hardware, software y recursos humanos, así como políticas de seguridad conocidas por todo el personal. Estas políticas deben establecer reglas claras sobre el acceso y uso de la información, incluyendo responsabilidades y sanciones. La seguridad de la información requiere la implementación coordinada de controles técnicos, administrativos y de capacitación para proteger la confidencialidad, integridad y disponibilidad de los datos frente a amenazas
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...xavazquez
Este documento presenta un curso sobre sistemas de gestión de la seguridad de la información según la norma UNE-ISO/IEC 27000. Explica conceptos básicos de seguridad de la información, la importancia de la seguridad para el negocio, el marco legal y normativo, los estándares de gestión de la seguridad como la norma ISO 27001, e implementación de un sistema de gestión de seguridad de la información.
El documento describe un problema de seguridad en la red de un punto vive digital en el municipio de Peñol, Nariño. Actualmente no hay políticas adecuadas de seguridad en la red que prevengan el acceso no autorizado o el mal uso. Se propone implementar nuevas tecnologías como HTTPS y firewalls para mejorar la seguridad de la red y el aplicativo web Fragata, permitiendo almacenar información sobre los usuarios de forma segura y generar informes para la alcaldía municipal.
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
Las 5 principales ciberamenazas en el sector financiero generan perdidas millonarias y el Perú no es ajeno. Para prevenir se debe realizar inteligencia sobre las ciberamenazas y fortalecer los controles existentes e implementar nuevos.
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Pilar Santamaria
Este documento presenta planes de auditoría para entornos de Cloud Computing y Bring Your Own Device (BYOD). Se estudian los principales riesgos de ambos entornos e identifican los controles clave de seguridad basados en marcos como COBIT, ITIL, ISO 27002 e iniciativas como los 20 Controles Críticos de SANS. Se desarrollan planes de auditoría detallados para Cloud Computing y BYOD que facilitan el proceso de auditoría. Finalmente, se analizan los planes de auditoría propuestos comparándolos con los marcos y estándares mencion
Este documento presenta la información básica de un programa de formación titulado "Técnico en Control de la Seguridad Digital". Describe el perfil de egreso del programa, incluyendo las ocupaciones a las que puede acceder el egresado, las competencias que desarrollará y los conocimientos y habilidades requeridas. También justifica la necesidad del programa debido al creciente riesgo de ciberataques y la falta de talento humano capacitado en ciberseguridad en Colombia.
Este documento resume las principales novedades en la actualización del Esquema Nacional de Seguridad en España. Se explica que se está revisando el Esquema a la luz de la experiencia adquirida y los cambios tecnológicos y regulatorios. Algunas de las actualizaciones incluyen enfatizar la gestión continua de la seguridad, introducir medidas compensatorias y mejorar los mecanismos para conocer el estado de la seguridad. También se introducen instrucciones técnicas de seguridad y se refuerza la capacidad de respuesta
La matriz describe la relación entre la ciberseguridad según la norma ISO 27032 y la protección de la información en línea en la empresa UNICON en Lima-2014. Se plantean tres objetivos específicos: 1) determinar cómo la seguridad en línea se relaciona con la protección de la información en línea, 2) analizar si la detección de ataques garantiza dicha protección, y 3) documentar cómo el monitoreo de ataques afecta la protección de la información en línea. La matriz establece variables, dimensiones e indicadores para
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
Este documento presenta el Esquema Nacional de Seguridad (ENS) en España. Explica que el ENS es un instrumento legal que establece los principios básicos y requisitos mínimos de seguridad para proteger la información en las administraciones públicas. También describe los pasos que deben seguir las agencias para adecuarse al ENS, como elaborar una política de seguridad, categorizar sistemas, analizar riesgos y auditar la seguridad. Además, explica la relación entre el ENS y los estándares ISO/IEC 27001
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...solecito222
Este documento presenta los controles y políticas de seguridad que se implementarán en cada fase del ciclo de vida de desarrollo de sistemas según la norma ISO 27002. En cada una de las siete fases (ingeniería de sistemas, análisis, diseño, implementación, pruebas, documentación y mantenimiento) se definen los controles específicos que deben aplicarse. El objetivo es establecer los aspectos que involucran la seguridad informática y disminuir el riesgo a los activos de información de la empresa.
Similar a Seguridad 002 seguridad en aplicaciones web y bases de datos (20)
En la ciudad de Pasto, estamos revolucionando el acceso a microcréditos y la formalización de microempresarios informales con nuestra aplicación CrediAvanza. Nuestro objetivo es empoderar a los emprendedores locales proporcionándoles una plataforma integral que facilite el acceso a servicios financieros y asesoría profesional.
José Luis Jiménez Rodríguez
Junio 2024.
“La pedagogía es la metodología de la educación. Constituye una problemática de medios y fines, y en esa problemática estudia las situaciones educativas, las selecciona y luego organiza y asegura su explotación situacional”. Louis Not. 1993.
Business Plan -rAIces - Agro Business Techjohnyamg20
Innovación y transparencia se unen en un nuevo modelo de negocio para transformar la economia popular agraria en una agroindustria. Facilitamos el acceso a recursos crediticios, mejoramos la calidad de los productos y cultivamos un futuro agrícola eficiente y sostenible con tecnología inteligente.
Seguridad 002 seguridad en aplicaciones web y bases de datos
1. LPIII – SEGURIDAD APP
Y BD
Seguridad en aplicaciones web y bases de datos - Estadísticas
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 1
3. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos -
Estadísticas
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 3
4. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos -
Estadísticas
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 4
5. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos -
Estadísticas
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 5
6. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos -
Estadísticas
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 6
7. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos -
Estadísticas
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 7
8. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos -
Estadísticas
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 8
9. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos -
Estadísticas
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 9
10. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos -
Estadísticas
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 10
11. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos -
Estadísticas
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 11
12. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos -
Estadísticas
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 12
13. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos –
Estado del Arte
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 13
• Entorno web
• Entorno web es aquel en el que un cliente utiliza un protocolo de
transporte para llegar a interactuar con un servidor web.
• Tecnologías
• Cliente web: aquel que inicia la comunicación con el servidor con
el fin de realizar algún tipo de transacción de información
• Conexión:
• HTTP
• TCP
• IP
• Otros
14. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos –
Estado del Arte
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 14
• Servidor Web
• servidor web será aquel que recoja y procese la petición del
cliente, bien devolviendo información, bien llevando a cabo algún
proceso. Existe infinidad de software distinto para procesar las
distintas peticiones.
15. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos –
Estado del Arte
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 15
• Protocolo de una petición
• Dentro del protocolo HTTP existen distintas peticiones posibles a
un servicio. Las más comunes son las peticiones GET y POST
que, si bien son similares, difieren en la forma en que se envía
información desde el cliente al servidor web.
16. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos –
Estado del Arte
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 16
• Protocolo de una petición
1. Inicio de la petición: El usuario introduce una URL en la interfaz del
navegador y ejecuta la petición.
2. Resolución de direcciones IP: Habitualmente la URL introducida es una
dirección alfanumérica que debe ser convertida a una dirección IP. Para
ello se dispone del protocolo DNS, mediante sus servidores y sistemas de
caché se realiza esa traducción para que el protocolo HTTP sea capaz de
realizar la petición correctamente.
3. Establecimiento de conexión con dirección IP: Apoyándose en el
protocolo TCP se realiza la apertura de un socket a la dirección IP
correspondiente.
4. Envío de la petición: En este momento se realiza la petición en sí, sea de
tipo GET o POST con todos los datos asociados a la misma que son
incluidos en la petición
5. Envío de la respuesta: Una vez procesada la petición por parte del
servidor web se realiza la respuesta con el contenido devuelto como parte
del contenido HTTP.
6. Mostrado de la información: El navegador web muestra en su interfaz la
información suministrada en la respuesta.
17. Seguridad App y BD
Seguridad en aplicaciones web y bases de datos –
Estado del Arte
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 17
• Protocolo de una petición
18. Seguridad App y BD
Seguridad de la Información, Informática y Protección de Datos
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 18
1. Seguridad de la Información
El propósito es construir un sistema que tenga en cuenta
todos los posibles riesgos en la administración de la
información, estén o no relacionados con la seguridad
informática.
En concreto, el principio de la seguridad informática es
prevenir el acceso, modificación, uso o destrucción no
autorizados de la información, independientemente del
soporte en el que se encuentre ésta.
19. Seguridad de la Información
Seguridad de la Información, Informática y Protección de Datos
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 19
Principios Básicos
Confidencialidad: Debe prevenirse el revelado de información
a personas o sistemas no autorizados.
Integridad: La información debe mantenerse libre de
cualquier modificación o alteración de su contenido que no sea
autorizada.
Disponibilidad: Así mismo, la información deberá estar
accesible y disponible para las personas o sistemas
autorizados cuando así lo requieran.
Autenticidad/Autenticación: Es necesario poder garantizarse
que el emisor de la información es quien dice ser.
No repudio: En determinados entornos, no debe caber
posibilidad por parte del emisor de rechazar la autoría de la
información.
20. Seguridad App y BD
Seguridad de la Información, Informática y Protección de Datos
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 20
1. Seguridad Informática
Esta disciplina es la encargada de implementar las
medidas técnicas de protección de la información. Es decir,
el despliegue de las tecnologías necesarias (desde el
control de acceso, antivirus, cortafuegos, alertas, etcétera)
que, articuladas junto con prácticas de dirección de las
tecnologías de información, establecen las formas de
actuación y defensa frente a situaciones de fallos y
brechas de seguridad.
21. Seguridad App y BD
Seguridad de la Información, Informática y Protección de Datos
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 21
22. Seguridad App y BD
Seguridad de la Información, Informática y Protección de Datos
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 22
1. Seguridad Informática debe proteger
Datos
Usuarios
Infraestructura
23. Seguridad App y BD
Seguridad de la Información, Informática y Protección de Datos
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 23
Protección de Datos
En líneas generales, cualquier persona física o jurídica que recabe información en un fichero
queda obligada a:
• Comunicar la existencia del registro a la Agencia Nacional de Protección de Datos,a través
de la inscripción del registro en el Registro General de Protección de datos, gestionado por la
propia agencia.
• Adoptar todas las medidas recogidas en la propia ley y en el reglamento que la regula.
• Obtener el consentimiento informado acerca de la recogida y tratamiento de los datos del
fichero.
• Informar a las personas que aparecen en el fichero de los derechos que se les otorga, siendo
estos de Acceso, Rectificación, Cancelación y Oposición (ARCO).
• Respetar la privacidad de los datos así como el derecho a la intimidad de la personas. En
general, mantener el secreto.
Dentro de los distintos datos que pueden ser almacenados en un registro, se distinguen hasta
tres niveles distintos de datos que se traducen en distintas medidas de seguridad que deberán
ser adoptadas por los titulares del registro.
24. Seguridad App y BD
Seguridad de la Información, Informática y Protección de Datos
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 24
Protección de Datos: Niveles
25. Seguridad App y BD
ISO 27000
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 25
La serie ISO 27000 recoge una serie de estándares de seguridad de la
información elaborados de forma conjunta entre la organización de
estandarización internacional (ISO) y la comisión internacional de
electrotecnia (IEC).
Estos estándares, aportan una serie de buenas prácticas en el manejo
de seguridad de la información y control de riesgos en el contexto de
un sistema de la información. Se trata de una definición de estándares
amplia, que explica de forma profusa todo lo relativo a la seguridad no
solo desde un punto de vista técnico. Aplicable para empresas y
organismos de cualquier tamaño, donde cada una deberá evaluar los
riesgos y medidas de seguridad a aplicar siempre desde un prisma de
mejora continua, no entendiendo la seguridad de la información como
un hecho o etapa puntuales.
La serie posee numerosos estándares y otros más se encuentran en
desarrollo.
26. Seguridad App y BD
ISO 27000
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 26
ISO/IEC 27001:2005
Este estándar, recoge de manera concreta la implementación de un SGSI,
abarcando desde los requisitos previos hasta la documentación que debe
generarse. Publicado en España como UNE-ISO/IEC 27001:2007.
Principios fundamentales para un SGSI son:
• Concientizar la necesidad de la seguridad.
• Asignar responsables de esa seguridad dentro de la organización.
• Comprometer a la dirección de la organización con la seguridad.
• Determinar los controles apropiados para alcanzar niveles de riesgo
aceptables.
• Incorporar la seguridad como un elemento esencial en los sistemas.
• Prevención activa de los incidentes de seguridad.
• Evaluar la seguridad de la información de forma continua.
27. Seguridad App y BD
ISO 27000
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 27
Metodología
Para llevar a cabo la implantación de un SGSI, el estándar
recomienda la utilización del método PDCA, acrónimo del
inglés Plan-Do-Check-Act.
28. Seguridad App y BD
ISO 27000
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 28
Metodología
29. Seguridad App y BD
ISO 27000
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 29
Metodología - Etapa Planificación
Definir la política de seguridad, que tenga en cuenta los distintos objetivos y requisitos de
seguridad. Que establezca también los criterios con los que se evaluará el riesgo y que esté
aprobada por la dirección.
Definir la metodología de evaluación de los riesgos de tal forma que los resultados sean
comparables.
Identificar los riesgos. Establecer los activos de la organización, las amenazas referentes a
éstos. Se evaluarán las vulnerabilidades que sean aprovechables por dichas amenazas y se
identificará el impacto que tendrían.
Evaluar los riesgos. Se evalúa el impacto de un fallo de seguridad así como la probabilidad
de que exista ese fallo estimando el nivel de riesgo y determinando por último si ese riesgo
es aceptable o debe ser paliado.
Identificar opciones para el tratamiento de los riesgos. Aplicando controles, aceptando el
riesgo, imposibilitándolo, transfiriéndolo, etcétera.
Elegir los objetivos de control y los controles. Para ello, el anexo A del estándar recoge un
completo listado de ellos, dejando la posibilidad de incluir otros adicionales en caso de
necesidades específicas. En este listado se basa el estándar ISO/IEC 27002 para
proporcionar la guía de implantación de un SGSI.
Recibir la aprobación del SGSI por parte de la dirección de la organización.
Definir los criterios de implantación definiendo los distintos controles de implantación.
30. Seguridad App y BD
ISO 27000
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 30
Metodología - Etapa Hacer
Llevar a cabo el plan del SGSI así como su utilización.
o Definir e implantar el tratamiento de riesgos para la
gestión de los mismos.
o Definir un sistema de medidas para estimar la eficacia de
los controles implementados.
o Formar y concienciar al personal de la organización.
o Gestionar las operaciones y recursos asignados al SGSI.
o Implantar controles para la detección y respuesta
temprana de los incidentes de seguridad.
31. Seguridad App y BD
ISO 27000
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 31
Metodología - Etapa Revisar
Ejecutar procedimientos de monitorización que permitan detectar los
distintos errores, identificar agujeros de seguridad, uso indebido de
sistemas y la correcta respuesta a los incidentes de seguridad.
Revisar la efectividad del SGSI, teniendo como criterio el
cumplimiento de sus objetivos, las auditorías de seguridad,
incidentes, resultados de las distintas mediciones.
Realizar auditorías internas periódicas.
Revisar las evaluaciones de riesgos teniendo en cuenta los distintos
cambios que hayan podido producirse.
Registrar acciones y eventos que puedan haber impactado sobre la
efectividad o el rendimiento del SGSI.
32. Seguridad App y BD
ISO 27000
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 32
Metodología - Etapa Actuar
Implantar en el SGSI las mejoras identificadas.
Realizar las acciones preventivas y correctivas adecuadas en función
de la experiencia recopilada.
Comunicar las acciones y mejoras.
Asegurarse que las mejoras introducidas alcanzan los objetivos
previstos.
33. Seguridad App y BD
Tipologías de Ataques web
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 33
1. Tipos de Vulnerabilidad mas frecuentes
• Vulnerabilidad de inyección. Sea SQL, LDAP u otros.
• Ruptura del sistema de autenticación o del control de sesiones.
• Cross-site scripting.
• Referencias inseguras a elementos.
• Configuración insegura. Aplicable a servidor web, base de datos…
• Mostrado de información sensible.
• Escaso control de acceso a las funcionalidades.
• Cross-site request forgery.
• Utilización de software con vulnerabilidades conocidas.
• Redirecciones erróneas o no controladas.
34. Seguridad App y BD
Tipologías de Ataques web
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 34
Top 10 vulnerabilidades: OWASP
A1 – Inyecciones (Starbucks 2019)
Esta vulnerabilidad consiste en la inyección de código (SQL, NOSQL, LDAP, etc.) por la falta de validación de entradas.
A2 – Pérdidas de Autenticación (Twitter 2020)
Esta vulnerabilidad consiste en que la parte responsable de la autenticación falla o se usa incorrectamente.
A3 – Exposición de datos sensibles (Walmart 2021)
Esta vulnerabilidad consiste en almacenar y procesar datos sensibles de forma incorrecta.
A4 – Uso de entidades externas en XML (IBM 2020)
La vulnerabilidad consiste en el uso de entidades externas en archivos XML. Dichas entidades externas permiten la ejecución de código desde
estas entidades.
A5 – Fallos en el control de acceso (Facebook 2018)
La vulnerabilidad consiste en que un usuario ilegítimo pueda acceder a áreas o recursos restringidos, incluso pudiendo cambiar los permisos de
acceso.
A6 – Malas configuraciones (Rockstar Games 2018)
Esta vulnerabilidad consiste en una falta de configuración o uso de configuración básica que no es capaz de evitar problemas.
A7 – Cross-Site Scripting (XSS) (GitLab 2019)
Esta vulnerabilidad permite inyectar código javascript como datos de entrada.
A8 – Deserialización insegura (U.S. Dept Of Defense 2018)
Esta vulnerabilidad consiste en la deserialización insegura por falta de validación que generalmente, permite la ejecución de código remoto.
A9 – Uso de componentes vulnerables (NPM 2019)
Esta vulnerabilidad consiste en el uso de componentes o dependencias con vulnerabilidades conocidas.
A10 – Logs y supervisión insuficiente (Marriott 2018)
Esta vulnerabilidad consiste en la falta de información necesaria en los logs o falta de supervisión mediante herramientas que monitoricen logs y
eventos de seguridad.
35. Seguridad App y BD
Taller Proyectos Software de OWASP
Luis Fernando Muñoz Pantoja - Universidad de Cundinamarca – 2021 - Diapositiva: 35
✔ WebScarab --> ZAP (The Zed Attack Proxy)
✔ Dirbuster
✔ DotNet
✔ ESAPI
✔ WebGoat
✔ Mantra Framework
✔ OWASP Live CD
✔ OWASP AntiSamy Java Project
✔ OWASP WAF