URJC: Navegando la relación entre Informática y Criminología

 

  En esta actividad obtenemos información sobre si nuestra IP pública se encuentra o no relacionada con botnets establecidas por la base de datos de la OSI. De esta manera comprobamos que nuestra conexión no está siendo amenazada, pero debemos tener cuidado y no confiarnos debido a que los peligros en la red siempre están presentes.

 En esta actividad encontramos información en el Boletín de Seguridad de Microsoft en la que nos podemos poner al día de los problemas y defectos en el software.  Ya hemos comprobado la importancia de la prevención de amenazas a través de nuestra actualización continua sobre la seguridad de la información. Todo este contenido se encuentra ordenado cronológicamente, lo que nos permite una búsqueda más sencilla de la información.

 En esta actividad, y gracias a la herramienta de VirusTotal, podremos comprobar la seguridad de un fichero, en nuestro caso lo comprobaremos con la hoja de cálculo usada para el desarrollo de las actividades del tema 8 (plan .  Como podemos comprobar se trata de un archivo libre de malware ya que ninguno de los 63 mecanismos de detección que contiene ha detectado ningún peligro. Esto nos da a entender que nuestro sistema no debe sentirse amenazado por este archivo.

 En esta actividad tendremos que informarnos sobre el CCN o Centro Criptólogo Nacional (creado en 2004), definido por el mismo centro como organismo responsable de coordinar la acción de los diferentes organismos de la Administración  que utilicen medios o procedimientos de cifra, garantizar la seguridad de las Tecnologías de la Información en ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo. Actualmente España se encuentra en un nivel de alerta de ciberamenazas crítico debido a que cada vez existen más amenazas y cada vez estas son mas sofisticadas, a su vez, esto produce el avance en la tecnología para la prevención de amenazas y por tanto protección de los sistemas y control de las vulnerabilidades.  Los equipos informáticos de la universidad se podrían ver amenazados por aquellas vulnerabilidades pertenecientes a Microsoft  Entre las  73 vulnerabilidades  ...

 En esta actividad debemos informarnos sobre una de las vulnerabilidades de Microsoft para su posterior explicación: Yo he seleccionado la vulnerabilidad   de ejecución remota de código en Windows OLE  (3146706).  Un ciberdelincuente podría ejecutar código remoto en la máquina de la víctima. El código CVE relacionado es:  CVE-2016-0153 CVE " Common Vulnerabilities and Exposures"  significa "Vulnerabilidades y Exposiciones Comunes", traducido al español. Es como un diccionario público que en vez de recoger palabras, recoge las vulnerabilidades más conocidas. Cada CVE tiene un identificados único utilizándose como estándar para referirse a una vulnerabilidad concreta. Su objetivo y función es la facilitación de la búsqueda de vulnerabilidades y seguimiento de las mismas.

 En este post del blog vamos a identificar en la hoja facilitada por INCIBE las diferentes amenazas clasificándolas según la dimensión de seguridad a la que atacan (confidencialidad, integridad y disponibilidad).  Cada grupo de amenazas (extracto ligeramente modificado del catálogo de amenazas de MAGERIT) tiene en común lo siguiente:  AZUL: Se caracteriza por tratarse de amenazas de origen natural que se pueden producir tanto de forma accidental como intencional, incluso interviniendo los humanos.  VERDE: Se caracteriza por la descripción de desastres industriales que también se pueden dar de manera accidental o intencional.  GRIS: Todas las amenazas correspondientes a este ámbito tienen en común el ataque a la información, de forma intencional como en el caso de fuga de información, o accidental como puede ser la destrucción de información por un incendio, por ejemplo. NARANJA: Se refiere a errores provocados por la actividad humana, no intencionados.  ROS...

Teniendo en cuenta los valores de la herramienta INCIBE de la actividad anterior, dibuja la matriz de riesgo.   El valor mínimo de riesgo será 1 y el máximo 9, debido a que tanto la probabilidad como el impacto solo es valorada del 1 al 3, incluidos. A la hora de establecer los valores y umbrales de riesgo encontramos como aquellos que son menores a 4 no son apenas peligrosos para la empresa (la mitad aproximadamente), mientras que los que lo superan, suponen un riesgo cada vez mayor a medida que se acerca al 9 (máximo). 

 La hoja que nos proporciona INCIBE referida al análisis de riesgos teniendo en cuenta el plan director de seguridad consta de las siguientes páginas: Instrucciones: Se facilitan la descripción y funcionamiento de la aplicación, ordenado por Hojas y Pasos, respectivamente.  Ejemplo de análisis: En esta hoja se trata un ejemplo de análisis de riesgos que podremos utilizar como modelo para realizar nuestra actividad. Tablas AR: Son tablas que realizan valoraciones de la probabilidad y el impacto según una escala de tres valores (bajo, medio y alto) con su respectiva descripción. Catálogo amenazas: Destaca las principales amenazas a considerar en un análisis de riesgos. Activos: Se refiere al listado de activos definidos para cada organización. Cruces Activo- Amenaza: Especifica la relación y el como afectan las amenazas expuestas a los activos elegidos. Análisis de riesgos: Se analizan los riesgos teniendo en cuenta la probabilidad de ocurrencia de la amenaza así como su impacto...

V amos a añadir 10 riesgos en nuestra matriz online. Para ello usaremos el botón “Añadir riesgo. Siguiendo el caso de nuestra organización de temas anteriores (RenovaHogar), elegimos un nivel de riesgo y una probabilidad para cada uno de los diez ítems. ¿Cómo queda el diagrama de burbujas de la derecha? Como podemos observar hemos añadido diferentes valores y umbrales a las amenazas valorándolas según su impacto y probabilidad de que ocurran para evaluar su riesgo, entre las que encontramos: Pérdida de personal, difusión de malware, adquisición de la empresa, incendio, fallo de los equipos, robo, suplantación de identidad, inundación, avería y modificación de datos.  La gráfica obtenida nos hace ver que amenazas nos supondrán un mayor riesgo en la organización, valoradas por colores (como comenté en el post anterior) y destacando como en nuestro caso el mayor riesgo lo tendrá el Fallo de los equipos (64) , mientras que el menor corresponde a la Adquisición de la empresa (8).

 En esta actividad deberemos elaborar una matriz de riesgos cuya funcionalidad será la de evaluar la probabilidad e impacto de un riesgo durante la elaboración de un proyecto mediante su análisis. El riesgo se calcula a partir de la siguiente fórmula: R= P X I, donde R significa Riesgo, P la probabilidad de que ocurra la amenaza e I el impacto de la misma.  Una vez comprendemos el significado de dicho término, a través de ITM Platform elaboraremos nuestra matriz de tipo cuantitativa (ya que también existen las matrices de riesgo cualitativas). En este primer paso de creación de nuestra matriz, personalizamos los valores y umbrales, que en este caso se han establecido los simbolizados en la imagen. Como podemos observar en la siguiente imagen, los umbrales son diferenciados a partir de los siguientes colores: - Alto (rojo) - Medio (naranja) - Bajo (verde) Y en función del tipo de amenaza que seleccionemos obtendremos la matriz con el correspondiente valor de riesgo que le corre...

  He decidido seleccionar el dominio 15 "Relaciones con los suministradores" con sus respectivos objetivos de control y controles:  15.1 Seguridad de la información en las relaciones con suministradores. 15.1.1 Política de seguridad de la información para suministradores.  15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores.  15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones. 15.2 Gestión de la prestación del servicio por suministradores. 15.2.1 Supervisión y revisión de los servicios prestados por terceros. 15.2.2 Gestión de cambios en los servicios prestados por terceros. Este dominio tarta de resaltar la importancia de la seguridad existente en las relaciones que pueden existir entre la empresa y cualquier tercero como proveedores, comerciales, ... Debemos garantizar que estos proveedores cumplen con los estándares necesarios para garantizar la seguridad y debemos, por lo tanto, identificar los requisitos ...

 

 

  ¿Cuales son y cuántas medidas de seguridad define la norma? La norma ISO/IEC 27002:2013 es un estándar para la seguridad publicado por la Organización internacional de Normalización y la Comisión Electrotécnica que se encarga de proporcionar la orientación que deben seguir los controles de seguridad de la información para ser implementados. Independientemente del tamaño de las empresas, tipo o sector, esta norma es aplicable a todo tipo de organizaciones. Esta norma esta formada por 14 dominios, 35 objetivos de control y 114 controles, aunque fue actualizada y adaptada en febrero de 2022. Los 14 dominios que trata son los siguientes: Políticas de seguridad: Se destaca la importancia de la creación de políticas de seguridad adecuadas, revisadas y actualizadas. Organización de la Seguridad de la Información: Se trata de establecer una organización de tareas, roles y accesos para seguir con una seguridad eficiente. Seguridad de los Recursos Humanos: Est...

Siguiendo la norma ISO 27002:2022 y la seguridad ligada a los recursos humanos, especialmente durante el empleo, el control 6.3 trata la sensibilización, educación y formación en materia de seguridad de la información, la cual es especialmente importante en nuestra política de seguridad. Mediante la norma ISO 27002 podremos proporcionar una orientación y establecer unas pautas para llevar a cabo diferentes acciones dentro de un sistema de gestión de la seguridad. Tiene como objetivo que el personal que forma la empresa y aquellas áreas interesadas en la misma conozcan y cumplan sus responsabilidades de seguridad de la información. Hay factores imprescindibles como son la confidencialidad, disponibilidad e integridad que forman la base de la confianza de clientes internos y externos a la empresa, así como de la comunidad y la sociedad integrada en la misma.  Podemos aplicarlo mediante la proporción de información a los trabajadores para que sepan identificar los riesgos a los que se...

En el diagrama de Gantt debo identificar las tareas que quiero hacer (eje Y) a lo largo del tiempo (eje X) buscando la forma de rentabilizar u optimizar los recursos temporales y humanos. En este caso nos será útil para planificar los proyectos desde ahora a las próximas 4 semanas, dividiendo dichas tareas semana por semana:  

Los pequeños negocios como es "RenovaHogar" tienden a ser aquellos con más probabilidad de ser atacados por ciberdelincuentes. Todas las amenazas de nuestros activos tratarán de aprovecharse de las vulnerabilidades de nuestra empresa para así sacar cierto beneficio, ya sea económico o de información.  Al haber presentado anteriormente nuestros activos, ahora presentaremos las amenazas que podrían aparecer en los mismos así como su riesgo frente a ellas, partiendo de tres niveles (riesgo bajo, medio y alto).

 A partir del siguiente documento ofimático analizaremos los activos correspondientes a la empresa propuesta en el anterior post: "RenovaHogar"

Una política de seguridad consiste en la declaración general que representa la posición de una administración X con respecto a la protección de los activos de la información. En este caso se plantea la elaboración de una política de seguridad para la administración de una pequeña empresa de reformas que consta de 7 empleados, dos de los cuales son administrativos en un despacho y cada uno dispone de un ordenador de sobremesa conectado a internet desde el que gestionan los presupuestos, facturas, pedidos y demás. Existe un Administrador General de la empresa y el resto son operarios de obra.  El nombre de la empresa será "RenovaHogar" y su política de seguridad será la siguiente: 1. Objetivo, alcance y vigencia El objetivo de la política de seguridad de "RenovaHogar" consistirá en la garantía de la seguridad de la información por medio de diferentes procedimientos incluyendo los datos confidenciales y privados al que tienen acceso los dos administrativos que gestiona...