José guillermo daquilema 1 d
•Download as PPTX, PDF•
0 likes•226 views
Trabajo para dirigir una clase. Tarea asignada por el Tecnólogo Diego Moreira
Recommended
More Related Content
What's hot
What's hot (20)
Similar to José guillermo daquilema 1 d
Similar to José guillermo daquilema 1 d (20)
Recently uploaded
Recently uploaded (20)
José guillermo daquilema 1 d
- 1. Criterios para Evaluar páginas web Por: José Guillermo Daquilema Álvarez
- 2. Antecedentes Cuando los criminales cibernéticos con experiencia y conocimiento atacan una página web, lo más probable es que los usuarios no lleguen a averiguar este ataque que vulnera sus equipos e información.
- 3. Antecedentes Sin embargo, la mayoría de los hackers suelen usar exploits prefabricados para que cualquier persona los utilice para robar dinero o comprometer la seguridad de un sistema en sí.
- 4. Factores ha tomar en cuenta Existen muchos criminales interesados en atacar las PCs, pero la mayoría no disponen del talento o de grandes cantidades de dinero para utilizar recursos especiales.
- 5. Factores ha tomar en cuenta Y justamente éstos son los delincuentes cibernéticos de los que se debe prestar atención, pues suelen cometer errores con denominador común que pueden llevar a los usuarios a descubrirlos.
- 6. Ahora que sabemos esto……. Jaime Guañuna, Jefe de Servicio de la firma GMS, comparte algunas recomendaciones que los usuarios deben tomar en cuenta para detectar cuando una página web ha sido hackeada y qué señales de alerta son muy útiles
- 7. Señales de alerta Las advertencias de los navegadores son el primer signo de que algo anda mal con la página web
- 8. Señales de alerta ● Si al entrar en una página se produce una descarga en el equipo; es probable que sea un síntoma de que dicha página está infectada.
- 9. Señales de alerta ● Resultados extraños: Al intentar acceder o buscar una web aparecen resultados extraños como publicidad u ofertas de trabajo, que nos dirigen a dicha página, existe la posibilidad que el
- 10. Señales de alerta ● Redireccionamientos: se puede saber que una web está infectada si al acceder a ella a través de un navegador redirige automáticamente a un sitio web extraño. Esto es un indicio de que existe un archivo “hackeado”.
- 12. ¿Por qué estas páginas web son “hackeadas”? ● Motivos económicos: La información robada puede utilizarse para obtener beneficios materiales a través de estafas o robos de identidad.
- 13. ¿Por qué estas páginas web son “hackeadas”? ● Sitios web de alto perfil: Estas páginas web pueden ser objetivo de los piratas informáticos para mostrar sus habilidades de hackeo o para afectar la imagen pública de la víctima.
- 14. Consejos para proteger la información ● Elegir contraseñas complicadas: para seleccionar una buena contraseña se debe combinar mayúsculas, símbolos y números. También puede funcionar el uso de frases.
- 15. Consejos para proteger la información ● Resguardar la información: Los usuarios deben proteger archivos electrónicos utilizando sistemas de respaldo en unidades de cd, discos externos o en la nube.
- 16. ¿Qué hacer si una página web ha sido hackeada? ● Contactarse con el proveedor de alojamiento web.
- 17. ¿Qué hacer si una página web ha sido hackeada? ● Poner al sitio temporalmente fuera de servicio, utilizando el Código de Estado 503.
- 18. ¿Qué hacer si una página web ha sido hackeada? ● Realizar una evaluación de los daños realizados, tomando en cuenta que información fue comprometida o pudo verse afectada, por acceso o pérdida.
- 19. ¿Qué hacer si una página web ha sido hackeada? ● Reparación de los problemas ocasionados por el hacker: esto podría implicar formateo del servidor afectado y levantamiento de un backup reciente.
- 20. ¿Qué hacer si una página web ha sido hackeada? ● Cambio de contraseñas.
- 21. ¿Qué hacer si una página web ha sido hackeada? ● Poner nuevamente al sitio en línea.
Editor's Notes
- CC, es una norma de certificación reconocida internacionalmente para certificar los procesos de implementación, especificación, desarrollo y evaluación en productos de seguridad informática. Los fabricantes y vendedores de productos de seguridad IT como Controladores de seguridad, tarjetas inteligentes(Smart Cards), etc, afirman reunir ciertas características de seguridad, sin embargo la seguridad y la confianza van de la mano, por lo tanto deben medirse de manera rigurosa y estandarizada para garantizar la funcionalidad ofrecida.
- Perfiles de Protección (PP) Son Documentos creados por un usuario o comunidad de usuarios que identifican los requisitos y especificaciones de seguridad que debe cumplir una familia de productos IT o sistemas de información, así Los clientes que buscan cierto producto pueden centrarse en los certificados PP que cumplan sus necesidades. Un PP especifica los criterios generales de evaluación de seguridad para que los clientes puedan justificar con motivos tangibles la reclamación a los vendedores el producto. Los desarrolladores pueden optar por diseñar productos que cumplan con uno o más PP que han sido parte de los procesos de evaluación.
- Objetivo de Seguridad (ST - Security Target) Documento proporcionado por el desarrollador del producto, que especifica los criterios de seguridad que se pueden evaluar en el TOE y utiliza uno o más PPs como puntos de referencia. Esto permite a los proveedores adaptar con precisión su producto para que coincida con los campos de aplicación. Por ejemplo un firewall de red no tiene que cumplir los mismos requisitos funcionales que un sistema de gestión de bases de datos (DBMS). El ST se suele publicar para que los clientes potenciales pueden determinar las características específicas de seguridad que han sido certificadas por los entes de evaluación.
- Requisitos funcionales de seguridad (SFR) CC posee un catálogo estándar de funciones que definen las características individuales de seguridad que posee un producto. Por ejemplo: El control de acceso y autenticación de un usuario que posee un determinado rol, tecnologías adicionales como encripción, protocolos de comunicaciones, auditoría, etc.
- Requisitos de Aseguramiento de seguridad (SAR) Los requisitos para un objetivo particular o tipos de productos están documentados en el ST y el PP, respectivamente, Sin embargo SAR describe las medidas para asegurar la calidad y el cumplimiento de las funciones de seguridad adoptadas durante el desarrollo, las pruebas y evaluación del producto. Una evaluación puede requerir que todo el código fuente se mantenga en un sistema de gestión de cambios, que se realice una prueba funcional completa, el uso de métodos formales o semiformales para analizar el código fuente y garantizar la calidad de las herramientas de desarrollo (compilador, lenguaje de programación, plataformas, infraestructura, etc...) http://www.doctortecno.com/noticia/como-detectar-que-pagina-web-ha-sido-hackeada http://segweb.blogspot.com/2012/04/cc.html
- Objetivo de Seguridad (ST - Security Target) Documento proporcionado por el desarrollador del producto, que especifica los criterios de seguridad que se pueden evaluar en el TOE y utiliza uno o más PPs como puntos de referencia. Esto permite a los proveedores adaptar con precisión su producto para que coincida con los campos de aplicación. Por ejemplo un firewall de red no tiene que cumplir los mismos requisitos funcionales que un sistema de gestión de bases de datos (DBMS). El ST se suele publicar para que los clientes potenciales pueden determinar las características específicas de seguridad que han sido certificadas por los entes de evaluación.
- CC posee un catálogo estándar de funciones que definen las características individuales de seguridad que posee un producto. Por ejemplo: El control de acceso y autenticación de un usuario que posee un determinado rol, tecnologías adicionales como encripción, protocolos de comunicaciones, auditoría, etc. La lista de SFR puede variar de una evaluación a la siguiente, incluso si dos objetivos son el mismo tipo de producto. A pesar de que el Common Criteria no requiere que algún SFR sea incluidos en el ST, identifica las dependencias de la correcta operación de una función, como Limitar el acceso de usuarios de acuerdo a roles, sea dependiente de otra función como la capacidad de identificar roles individualmente.
- Evaluación El proceso de evaluación trata de establecer el nivel de confianza que puede ser asignado a las características de seguridaddel producto mediante de procesos de garantía de calidad. Las instituciones evaluadoras hacen tres posibles tipos de Pruebas y evaluación para comprobar que los productos de seguridad informática y sistemas de Información realmente reúnen las características que afirman. Criterios para probar y evaluar los perfiles de protección (PP). Requisitos de seguridad basados en los criterios para probar y evaluar los objetivos de seguridad(ST) por medio de los objetos de seguridad (TOE) Pruebas y evaluación de un TOE basados en los criterios ya evaluados de los ST o PP Evaluación El proceso de evaluación trata de establecer el nivel de confianza que puede ser asignado a las características de seguridaddel producto mediante de procesos de garantía de calidad. Las instituciones evaluadoras hacen tres posibles tipos de Pruebas y evaluación para comprobar que los productos de seguridad informática y sistemas de Información realmente reúnen las características que afirman. Criterios para probar y evaluar los perfiles de protección (PP). Requisitos de seguridad basados en los criterios para probar y evaluar los objetivos de seguridad(ST) por medio de los objetos de seguridad (TOE) Pruebas y evaluación de un TOE basados en los criterios ya evaluados de los ST o PP
- Acuerdo de Reconocimiento según los Criterios comunes (CCRA) Acuerdo CC firmado en el 2000 por los países como Australia, Alemania, Finlandia, Francia, Grecia, Reino Unido Italia Canadá Países Bajos Nueva Zelanda Noruega Gran Bretaña, Italia, Canadá, Nueva Zelanda, Países Bajos, Noruega, España, Estados Unidos. Más tarde en el 2002 se unieron países como: Dinamarca, India, Israel, Japón, Corea del Sur, Malasia, Austria, Pakistán, Singapur, Suecia, República Checa, Turquía y Hungría. Los certificados de seguridad TI deben tener reconocimiento global y se basan en CC incluyendo el nivel de aseguramiento EAL4.
- SOGIS-MRA Acuerdo de Reconocimiento Mutuo de Evaluación en Certificación de la seguridad en tecnologías de la Información. (SOGIS Mutual Recognition Agreement of Information Technology Security Evaluation Certificates) Es el grupo oficial Senior para certificar en temas de Seguridad de la Información con reconocimiento europeo de los certificados ITSEC/CC, Reconoce los certificados bajo las condiciones EAL7. Firmado en 1998 por países como Alemania, Finlandia, Francia, Grecia, Gran Bretaña, Italia, Países Bajos, Noruega, Portugal, Suecia, Suiza y España, por ejemplo, Alemania: recibió el reconocimiento de su certificación por Francia y Gran Bretaña.
- La solución ideal pasa por interconectar toda su infraestructura de seguridad en una defensa personalizada y adaptable, ajustada a su entorno particular y a sus atacantes específicos. Esto le permitiría no solo detectar y analizar estos ataques, sino también combatir a los atacantes. Nuestra solución Custom Defense es una plataforma de protección frente a amenazas especializada que supervisa la red para detectar malware de día cero, comunicaciones maliciosas y comportamientos de ataque que resultan invisibles para las defensas de seguridad estándar. Ejecuta código sospechoso en un entorno seguro y controlado que se puede optimizar para el rendimiento y configurar para eludir las técnicas de los hackers que buscan soluciones para el aislamie La solución ideal pasa por interconectar toda su infraestructura de seguridad en una defensa personalizada y adaptable, ajustada a su entorno particular y a sus atacantes específicos. Esto le permitiría no solo detectar y analizar estos ataques, sino también combatir a los atacantes. Nuestra solución Custom Defense es una plataforma de protección frente a amenazas especializada que supervisa la red para detectar malware de día cero, comunicaciones maliciosas y comportamientos de ataque que resultan invisibles para las defensas de seguridad estándar. Ejecuta código sospechoso en un entorno seguro y controlado que se puede optimizar para el rendimiento y configurar para eludir las técnicas de los hackers que buscan soluciones para el aislamie
- Ejecuta código sospechoso en un entorno seguro y controlado que se puede optimizar para el rendimiento y configurar para eludir las técnicas de los hackers que buscan soluciones para el aislamiento de procesos. Le ayuda a definir el riesgo, el origen y las características del ataque. Además, proporciona información práctica de forma exclusiva que permite contener y solucionar el ataque y, posteriormente, adaptar y reforzar su protección frente a otros ciberataques.
- Los usuarios deben ser conscientes de los datos que se comparte como por ejemplo: fechas de nacimiento, nombres de los hijos, teléfonos, dirección de domicilio, entre otros. Estos datos no deberían ser del dominio público. Usar con moderación los puntos de acceso Wi-Fi. En una conexión pública, la PC puede estar expuesta a mostrar información confidencial.
- Niveles de Integridad o Nivel de Aseguramiento de evaluación ( EAL- Evaluation Assurance Level) PP también especifica el EAL en el rango de 1 al 7, lo que indica la profundidad y el rigor de la evaluación de la seguridad, por lo general en forma de documentación de apoyo y pruebas, que un producto cumple con los requisitos de seguridadespecificados en el PP. EAL1: Pruebas funcionales, sin la cooperación de los desarrolladores, el TOC trabaja de acuerdo con la documentación EAL2: Pruebas estructurales, los sistemas existentes, donde no hay documentación completa disponible para el Desarrollo EAL3: Metódicamente probado y comprobado, seguridad media EAL4: Metódicamente desarrollado, probados y revisados, Seguridad media y alta, es el nivel mínimo mas aceptado. EAL5: Semi-formalmente diseñado y probado, lenguaje con sintaxis restringido, Seguridad alta. EAL6: Diseño semi-formal, verificado y probado, Se usa en tecnologías de alta seguridad en un entorno de desarrollo con controles estrictos
- Esquema del Sistema de certificación: Son documentados públicamente accesibles, los cuales resumen todos los principios, normas y procedimientos que se llevan a cabo para evaluar y emitir certificados. Principio de separación de poderes : Cliente: (patrocinador): responsable de la TOE Auditor: (Entidad de valoración) responsable de las pruebas, Requisitos EN 45001 Certificación: (Entidad certificadora): Hace seguimiento de la evaluación y las pruebas de las certificados, Requisito EN 45011 Acreditación: vigila el cumplimiento de las normas, acreditando la certificación y la auditoría. Esquema del Sistema de certificación: Son documentados públicamente accesibles, los cuales resumen todos los principios, normas y procedimientos que se llevan a cabo para evaluar y emitir certificados. Principio de separación de poderes : Cliente: (patrocinador): responsable de la TOE Auditor: (Entidad de valoración) responsable de las pruebas, Requisitos EN 45001 Certificación: (Entidad certificadora): Hace seguimiento de la evaluación y las pruebas de las certificados, Requisito EN 45011 Acreditación: vigila el cumplimiento de las normas, acreditando la certificación y la auditoría.
- oluciones sectoriales en el ambito de la Ciberseguridad Ante la necesidad de especialización en cada uno de los sectores, en Indra hemos desarrollado soluciones sectoriales en el ámbito de la Ciberseguridad: Ciberseguridad para el ciudadano: Protección integral del ciudadano que opera a través de internet en colaboración con Administraciones Públicas y empresas: Identidad digital del ciudadano (DNI-e, pasaporte), acceso rápido de fronteras, firma electrónica, centros de alerta temprana (CERTs) e información al ciudadano oluciones sectoriales en el ambito de la Ciberseguridad Ante la necesidad de especialización en cada uno de los sectores, en Indra hemos desarrollado soluciones sectoriales en el ámbito de la Ciberseguridad: Ciberseguridad para el ciudadano: Protección integral del ciudadano que opera a través de internet en colaboración con Administraciones Públicas y empresas: Identidad digital del ciudadano (DNI-e, pasaporte), acceso rápido de fronteras, firma electrónica, centros de alerta temprana (CERTs) e información al ciudadano oluciones sectoriales en el ambito de la Ciberseguridad Ante la necesidad de especialización en cada uno de los sectores, en Indra hemos desarrollado soluciones sectoriales en el ámbito de la Ciberseguridad: Ciberseguridad para el ciudadano: Protección integral del ciudadano que opera a través de internet en colaboración con Administraciones Públicas y empresas: Identidad digital del ciudadano (DNI-e, pasaporte), acceso rápido de fronteras, firma electrónica, centros de alerta temprana (CERTs) e información al ciudadano oluciones sectoriales en el ambito de la Ciberseguridad Ante la necesidad de especialización en cada uno de los sectores, en Indra hemos desarrollado soluciones sectoriales en el ámbito de la Ciberseguridad: Ciberseguridad para el ciudadano: Protección integral del ciudadano que opera a través de internet en colaboración con Administraciones Públicas y empresas: Identidad digital del ciudadano (DNI-e, pasaporte), acceso rápido de fronteras, firma electrónica, centros de alerta temprana (CERTs) e información al ciudadano
- Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación… Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación… Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación… Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación… Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación… Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación… Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación… Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación… Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación… Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación… Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación… Ciberseguridad para las organizaciones: Solución completa para organizaciones públicas y privadas: desarrollo e implantación de planes directores de seguridad, operación de Oficinas de Seguridad, Seguridad Gestionada (SOC), implantación de infraestructuras y soluciones de ciberseguridad, consultoría y auditoría, formación…