SlideShare une entreprise Scribd logo

Ontología de Seguridad para Auditorías

Télécharger en tant que PPTX, PDF
G
guesta3f6ce

En esta presentación se muestra una Ontología orientada a la seguridad informática, diseñada para ayudar en las labores de securización de los sistemas tras un proceso de audtoría de aplicaciones web y de caja negra

Formation
1  sur  41
ONTOLOGÍA DE SEGURIDAD APLICACIÓN A LOS PROCESOS DE AUDITORÍA DE CAJA NEGRA Y AUDITORÍA DE APLICACIONES WEB Juan Antonio Calles García
Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
El Estado de la informática en la actualidad Estudio DigiWorld Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC. Subida frente a 2008 de casi un 6%
¿Estos beneficios están seguros? NO. Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben.
Cualquiera puede recibir un ataque…
¿Cómo proteger los beneficios? Realizando auditorías de seguridad e implantando sistemas seguros. Para ello nacieron en la década de los 90 empresas especializadas en el sector de la seguridad. Estas empresas generaron solo en España 640.000.000€ en 2008
¿Cómo pueden poner en peligro la seguridad de las organizaciones? Malware: utilizando software malicioso para conseguir en el peor de los casos el control de las máquinas. Exploits: aprovecharse de vulnerabilidades en el software de la organización (normalmente bases de datos y sistemas operativos no actualizados) para modificar o robar datos. Ataques web: inyectando código en las zonas mal protegidas de un sitio web. Curiosidad: investigando las zonas no protegidas de una organización de forma manual o con automatizaciones de software.
Protección
Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
Auditoría de Seguridad Auditorías de seguridad Auditoría de Aplicaciones Web Auditoría interna Caja Negra Caja Blanca Caja Gris
Auditoría de aplicaciones web Ataques web: Pruebas para comprobar la seguridad de las aplicaciones web de una empresa. Se revisan exploits y vulnerabilidades web: sqlinjection ldapinjection xpathinjection cssp (connectionstringparameterpollution) local fileinclusion remotefileinclusion ejecución de comandos con manipulación de tokens tipo && ; y `` pathdisclosure path transversal XSS (Cross-site scripting)
Auditoría Interna menos Información inicial mas Información inicial
¿Cuánto cuesta una auditoría de seguridad?¿Se puede suprimir para que nuestra empresa sea segura? Dependiendo del tamaño de la organización y de los tipos de auditoría seleccionadas. De media unos 120.000€ No. La auditoría es necesaria para verificar la seguridad de una organización.
Securización de las vulnerabilidades encontradas en la auditoría Tras realizar la auditoría de seguridad, es necesario securizar el sistema, protegiendo las vulnerabilidades encontradas, trabajo que NO va incluido dentro de la auditoría y que se abonaría aparte. Éste coste podría ser ahorrado por la organización si su propio personal se encargase de la securización del sistema. Securización de las vulnerabilidades encontradas en la auditoría
Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
¿Si no contamos con personal especializado como securizamos el sistema? Mediante un software que ayude a los usuarios a solucionar las vulnerabilidades del sistema. En este proyecto se ha definido una Ontología de seguridad y se ha desarrollado una aplicación para ayudar a los usuarios a proteger un sistema tras una fase de auditoría. Ahorrando así dinero a la empresa.
Modificación del proceso de Securización
¿Cómo funciona la Ontología de seguridad? Al estilo “google”, indicándole a la aplicación las vulnerabilidades que se nos han indicado en el informe de la auditoría, nos detalla la solución que debemos aplicar. Conseguimos: Sistema Seguro
Contenido de la Ontología de Seguridad La Ontología ha sido diseñada para resolver las vulnerabilidades encontradas en la fase de Auditoría web y en la fase de Caja Negra dentro de la Auditoría Interna, omitiendo las fases de Caja Blanca y Caja Gris por su gran extensión. Contiene mas de 50 soluciones a vulnerabilidades.
Diagrama de clases
Conocimiento de la Ontología 1 La Ontología es capaz de dar solución a las siguientes vulnerabilidades web sqlinjection (PHP+MySQL). sqlinjection (JAVA). sqlinjection (C#, SQL Server). ldapinjection. xpathinjection. cssp (connectionstringparameterpollution). local file inclusión. remotefileinclusion (PHP). pathdisclosure. pathtraversal.
Conocimiento de la Ontología 2 La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Footprinting Fuzzing http Fuzzingdns Whois Transferencia de zona Mostrar banner por defecto del servidor Error 404 no controlado Metadatos en documentos web
Conocimiento de la Ontología 3 La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Fingerprinting Puertos abiertos extraños. Puertos abiertos innecesarios Y a los siguientes Exploits: Buffer Overflow. Racecondition. FormatstringBugs. XSS sqlinjection (PHP+MySQL) sqlinjection (JAVA) sqlinjection (C#, SQL Server) CRLF (Inyección de caracteres).
Conocimiento de la Ontología 4 La Ontología es capaz de dar solución a los siguientes tipos de Malware Adware Backdoor Badware alcalino Bomba fork Botnet Crackers Cryptovirus Dialers Hoaxes, Jokes o Bulos Keylogger Virtual crab o Ladilla virtual Leapfrog ,[object Object]
Pharming
Phising
Pornware
Riskware
Rootkit
Spam
Spyware
Troyano
Worms,[object Object]
2 ¿Cómo responde a nuestras preguntas la Ontología? Pregunta: ¿Qué protección a Footprinting protege a la fuga de datos por metadatos alojados en los documentos web? Protección Footprinting + Protege frente a: + contains + Metadatos en documentos web Respuesta: Siempre hay que eliminar los metadatos de los documentos antes de subirlos a un servidor, o sino instalar una herramienta como Meta Shield Protector (www.metashieldprotector.com) que elimina los metadatos de los documentos en tiempo real antes de que sean descargados por un usuario. Pregunta: ¿Qué solución a error web soluciona el “remotefileinclusion”? Solución a error web + soluciona el + contains + remotefile inclusión (PHP) Respuesta: Comprobar que el fichero solicitado en la URL tiene la extensión .PHP y que se encuentra dentro del directorio donde se encuentra alojado el sitio web y sino rechazar la petición web
Implementación La implementación del software ha sido realizada con la aplicación Protégé.
Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
DEMO

Recommandé

Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]RootedCON
 
Panda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malwarePanda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malwarePanda Security
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOCristian Garcia G.
 
De Hacker a C-Level
De Hacker a C-LevelDe Hacker a C-Level
De Hacker a C-LevelAlejandro Hernández
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén VergaraINACAP
 
Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360Panda Security
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo GodoyINACAP
 

Recommandé

Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]RootedCON
 
Panda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malwarePanda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malwarePanda Security
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOCristian Garcia G.
 
De Hacker a C-Level
De Hacker a C-LevelDe Hacker a C-Level
De Hacker a C-LevelAlejandro Hernández
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén VergaraINACAP
 
Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360Panda Security
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo GodoyINACAP
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en Españabramstoker
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Catalogo Fortinet
Catalogo FortinetCatalogo Fortinet
Catalogo FortinetSebastian Alvarez Obando
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor NykielIván Portillo
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...TECHNOLOGYINT
 
Respuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadRespuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadGonzalo Espinosa
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebInternet Security Auditors
 
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasIntroduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasFernando Tricas García
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.pptfabibmx7
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
 
Ciberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers MéxicoCiberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers MéxicoJuan Carlos Carrillo
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redesLes Esco
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónedithua
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones webJuan Carlos Pérez Pardo
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONcarolinanocua
 
Auditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NAAuditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NA1426NA
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De RedesCristian Paul
 

Contenu connexe

Tendances

COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en Españabramstoker
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor NykielIván Portillo
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...TECHNOLOGYINT
 
Respuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadRespuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadGonzalo Espinosa
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebInternet Security Auditors
 
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasIntroduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasFernando Tricas García
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.pptfabibmx7
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
 
Ciberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers MéxicoCiberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers MéxicoJuan Carlos Carrillo
 

Tendances (15)

COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
 
Oportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en EspañaOportunidades Profesionales de la Ciberseguridad en España
Oportunidades Profesionales de la Ciberseguridad en España
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo Rivero
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgos
 
Catalogo Fortinet
Catalogo FortinetCatalogo Fortinet
Catalogo Fortinet
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
 
Respuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadRespuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridad
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
 
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
 
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasIntroduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
 
Ciberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers MéxicoCiberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers México
 

En vedette

Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redesLes Esco
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónedithua
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONcarolinanocua
 
Auditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NAAuditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NA1426NA
 
Auditoria De ComunicacióN
Auditoria De ComunicacióNAuditoria De ComunicacióN
Auditoria De ComunicacióNguest8261772b
 
Presentacion auditoria de sistemas
Presentacion auditoria de sistemasPresentacion auditoria de sistemas
Presentacion auditoria de sistemasHugo Martinez
 
Auditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivosAuditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivosHernán Sánchez
 
El área informática en las organizaciones
El área informática en las organizacionesEl área informática en las organizaciones
El área informática en las organizacionesNanda Chica
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informaticajanethvalverdereyes
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionJavier Moreno
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 

En vedette (17)

Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones web
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
 
Auditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NAAuditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NA
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
 
Auditoria De ComunicacióN
Auditoria De ComunicacióNAuditoria De ComunicacióN
Auditoria De ComunicacióN
 
Presentacion auditoria de sistemas
Presentacion auditoria de sistemasPresentacion auditoria de sistemas
Presentacion auditoria de sistemas
 
Auditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivosAuditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivos
 
El área informática en las organizaciones
El área informática en las organizacionesEl área informática en las organizaciones
El área informática en las organizaciones
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de Informacion
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 

Similaire à Ontología de Seguridad para Auditorías

Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadChema Alonso
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
Trabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasTrabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasyisdan
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCCristian Garcia G.
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCCristian Garcia G.
 

Similaire à Ontología de Seguridad para Auditorías (20)

Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y Seguridad
 
Auditoria bigdatamachinelearning
Auditoria bigdatamachinelearningAuditoria bigdatamachinelearning
Auditoria bigdatamachinelearning
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
Trabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasTrabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemas
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
 
Proyecto2
Proyecto2Proyecto2
Proyecto2
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgos
 
Seguridad clase-2
Seguridad clase-2Seguridad clase-2
Seguridad clase-2
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
 

Dernier

SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024gharce
 
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfFisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfcoloncopias5
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdfOswaldoGonzalezCruz
 
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...YobanaZevallosSantil1
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOweislaco
 
Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Rosabel UA
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialpatriciaines1993
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfvictorbeltuce
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfAlfredoRamirez953210
 
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxSecuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxNataliaGonzalez619348
 
Manejo del Dengue, generalidades, actualización marzo 2024 minsa
Manejo del Dengue, generalidades, actualización marzo 2024 minsaManejo del Dengue, generalidades, actualización marzo 2024 minsa
Manejo del Dengue, generalidades, actualización marzo 2024 minsaLuis Minaya
 
cuadernillo de lectoescritura para niños de básica
cuadernillo de lectoescritura para niños de básicacuadernillo de lectoescritura para niños de básica
cuadernillo de lectoescritura para niños de básicaGianninaValeskaContr
 
05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdf05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdfRAMON EUSTAQUIO CARO BAYONA
 

Dernier (20)

TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE .TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE .
 
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
 
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfFisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
 
Aedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptxAedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptx
 
VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _
 
Earth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversaryEarth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversary
 
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
 
Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
 
DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundial
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
 
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxSecuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
 
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdfTema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
 
Manejo del Dengue, generalidades, actualización marzo 2024 minsa
Manejo del Dengue, generalidades, actualización marzo 2024 minsaManejo del Dengue, generalidades, actualización marzo 2024 minsa
Manejo del Dengue, generalidades, actualización marzo 2024 minsa
 
cuadernillo de lectoescritura para niños de básica
cuadernillo de lectoescritura para niños de básicacuadernillo de lectoescritura para niños de básica
cuadernillo de lectoescritura para niños de básica
 
05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdf05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdf
 

Ontología de Seguridad para Auditorías

  • 1. ONTOLOGÍA DE SEGURIDAD APLICACIÓN A LOS PROCESOS DE AUDITORÍA DE CAJA NEGRA Y AUDITORÍA DE APLICACIONES WEB Juan Antonio Calles García
  • 2. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 3. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 4. El Estado de la informática en la actualidad Estudio DigiWorld Analiza los beneficios producidos en el mercado económico de las Tecnologías de la Información y las Telecomunicaciones en Europa En el año 2009: Beneficios de mas de 900.000 Millones de euros en el mercado económico basado en las TIC. Subida frente a 2008 de casi un 6%
  • 5. ¿Estos beneficios están seguros? NO. Los beneficios producidos por las empresas del sector de las TIC están constantemente en peligro, debido a los numerosos ataques de “hackers” que reciben.
  • 7. ¿Cómo proteger los beneficios? Realizando auditorías de seguridad e implantando sistemas seguros. Para ello nacieron en la década de los 90 empresas especializadas en el sector de la seguridad. Estas empresas generaron solo en España 640.000.000€ en 2008
  • 8. ¿Cómo pueden poner en peligro la seguridad de las organizaciones? Malware: utilizando software malicioso para conseguir en el peor de los casos el control de las máquinas. Exploits: aprovecharse de vulnerabilidades en el software de la organización (normalmente bases de datos y sistemas operativos no actualizados) para modificar o robar datos. Ataques web: inyectando código en las zonas mal protegidas de un sitio web. Curiosidad: investigando las zonas no protegidas de una organización de forma manual o con automatizaciones de software.
  • 10. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 11. Auditoría de Seguridad Auditorías de seguridad Auditoría de Aplicaciones Web Auditoría interna Caja Negra Caja Blanca Caja Gris
  • 12. Auditoría de aplicaciones web Ataques web: Pruebas para comprobar la seguridad de las aplicaciones web de una empresa. Se revisan exploits y vulnerabilidades web: sqlinjection ldapinjection xpathinjection cssp (connectionstringparameterpollution) local fileinclusion remotefileinclusion ejecución de comandos con manipulación de tokens tipo && ; y `` pathdisclosure path transversal XSS (Cross-site scripting)
  • 13. Auditoría Interna menos Información inicial mas Información inicial
  • 14. ¿Cuánto cuesta una auditoría de seguridad?¿Se puede suprimir para que nuestra empresa sea segura? Dependiendo del tamaño de la organización y de los tipos de auditoría seleccionadas. De media unos 120.000€ No. La auditoría es necesaria para verificar la seguridad de una organización.
  • 15. Securización de las vulnerabilidades encontradas en la auditoría Tras realizar la auditoría de seguridad, es necesario securizar el sistema, protegiendo las vulnerabilidades encontradas, trabajo que NO va incluido dentro de la auditoría y que se abonaría aparte. Éste coste podría ser ahorrado por la organización si su propio personal se encargase de la securización del sistema. Securización de las vulnerabilidades encontradas en la auditoría
  • 16. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 17. ¿Si no contamos con personal especializado como securizamos el sistema? Mediante un software que ayude a los usuarios a solucionar las vulnerabilidades del sistema. En este proyecto se ha definido una Ontología de seguridad y se ha desarrollado una aplicación para ayudar a los usuarios a proteger un sistema tras una fase de auditoría. Ahorrando así dinero a la empresa.
  • 18. Modificación del proceso de Securización
  • 19. ¿Cómo funciona la Ontología de seguridad? Al estilo “google”, indicándole a la aplicación las vulnerabilidades que se nos han indicado en el informe de la auditoría, nos detalla la solución que debemos aplicar. Conseguimos: Sistema Seguro
  • 20. Contenido de la Ontología de Seguridad La Ontología ha sido diseñada para resolver las vulnerabilidades encontradas en la fase de Auditoría web y en la fase de Caja Negra dentro de la Auditoría Interna, omitiendo las fases de Caja Blanca y Caja Gris por su gran extensión. Contiene mas de 50 soluciones a vulnerabilidades.
  • 22. Conocimiento de la Ontología 1 La Ontología es capaz de dar solución a las siguientes vulnerabilidades web sqlinjection (PHP+MySQL). sqlinjection (JAVA). sqlinjection (C#, SQL Server). ldapinjection. xpathinjection. cssp (connectionstringparameterpollution). local file inclusión. remotefileinclusion (PHP). pathdisclosure. pathtraversal.
  • 23. Conocimiento de la Ontología 2 La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Footprinting Fuzzing http Fuzzingdns Whois Transferencia de zona Mostrar banner por defecto del servidor Error 404 no controlado Metadatos en documentos web
  • 24. Conocimiento de la Ontología 3 La Ontología es capaz de dar solución a las siguientes vulnerabilidades producidas por descuidos de Fingerprinting Puertos abiertos extraños. Puertos abiertos innecesarios Y a los siguientes Exploits: Buffer Overflow. Racecondition. FormatstringBugs. XSS sqlinjection (PHP+MySQL) sqlinjection (JAVA) sqlinjection (C#, SQL Server) CRLF (Inyección de caracteres).
  • 25.
  • 31. Spam
  • 34.
  • 35. 2 ¿Cómo responde a nuestras preguntas la Ontología? Pregunta: ¿Qué protección a Footprinting protege a la fuga de datos por metadatos alojados en los documentos web? Protección Footprinting + Protege frente a: + contains + Metadatos en documentos web Respuesta: Siempre hay que eliminar los metadatos de los documentos antes de subirlos a un servidor, o sino instalar una herramienta como Meta Shield Protector (www.metashieldprotector.com) que elimina los metadatos de los documentos en tiempo real antes de que sean descargados por un usuario. Pregunta: ¿Qué solución a error web soluciona el “remotefileinclusion”? Solución a error web + soluciona el + contains + remotefile inclusión (PHP) Respuesta: Comprobar que el fichero solicitado en la URL tiene la extensión .PHP y que se encuentra dentro del directorio donde se encuentra alojado el sitio web y sino rechazar la petición web
  • 36. Implementación La implementación del software ha sido realizada con la aplicación Protégé.
  • 37. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 38. DEMO
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 45. Conclusiones y Trabajos Futuros La Ontología de Seguridad ahorraría bastante dinero a las empresas, que podrían prescindir de los servicios de personal externo para implantar un sistema seguro tras una fase de auditoría Como trabajo futuro se propone aumentar la base de datos del conocimiento de la Ontología a las fases de Caja Gris y Caja Blanca de la fase de Auditoría Interna.
  • 46. Índice El estado de la informática en la actualidad Auditorías de Seguridad Ontología de Seguridad Demo Conclusiones y Trabajos Futuros Bibliografía
  • 47. Bibliografía Informe DigiWorld 2009, http://www.enter.ie.edu/enter/cms/es/informe/7049/1, Junio 2009. Enter, http://www.enter.ie.edu/, 2009. Idate, http://www.idate.fr/, 2009. Francisco Ros. El sector de la seguridad informática en España generó 640 millones de euros el año pasado,http://www.dicyt.com/noticias/el-sector-de-la-seguridad-informatica-en-espana-genero-640-millones-de-euros-el-ano-pasado, Octubre 2008. ISO/IEC 27001:2005, http://www.iso27001security.com/, 2009 OSSTMM, http://www.isecom.org/osstmm/, Noviembre 2009. OWASP, http://www.owasp.org/, Diciembre 2009. Sqlinyection: http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL, Diciembre 2009. Blind sqlinyection: http://es.wikipedia.org/wiki/Blind_SQL_injection, Diciembre 2009. XSS, Cross-Site Scripting: http://es.wikipedia.org/wiki/Cross-site_scripting, Noviembre 2009. Buffer Overflow: http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer, Octubre 2009. Chema Alonso, Rodolfo Bordón, Marta Beltrán y Antonio Guzmán. LDAP InjectionTechniques, ICCS 2008, Guangzho (China), Noviembre 2008 Antonio Guzmán, Marta Beltrán, Chema Alonso y Rodolfo Bordón. LDAP Injection and Blind LDAP Injection, Collecter 2008, Madrid (España), Junio 2008 Chema Alonso, Rodolfo Bordón, Daniel Katchakil, Antonio Guzmán y Marta Beltrán. Blind SQL Injection Time-basedUsing Heavy Queries: A practicalApproachfor MS SQL Server, MS Access, Oracle and MySQLDatabases, IASK 2007, Oporto (Portugal), Diciembre 2007 SethFogie, Jeremiah Grossman, Robert Hansen, AntonRager, Petko D. Petkov. XSS Attacks: Cross Site Scripting Exploits and Defense (Paperback) Juan Garrido Caballero, Análisis forense digital en entornos Windows. 2008 Protege: http://protege.stanford.edu/, 2009.