domingo, 17 de febrero de 2019

TEMA 8

Actividad 1 "Catálogo de amenazas"


Si dividimos las amenazas en integridad, confidencialidad y disponibilidad, nos quedaría así:

- Disponibilidad: fuego, daños por agua, desastres naturales, corte del suministro eléctrico, condiciones inadecuadas de temperatura o humedad, desastres industriales, degradación de los soportes de almacenamiento de la información, errores de mantenimiento/actualización de programas, errores de mantenimiento/actualización de equipos, caída del sistema por sobrecarga, pérdida de equipos, indisponibilidad del personal, denegación de servicio, fallo de servicios de comunicaciones, interrupción de otros servicios y suministros esenciales
- Integridad: errores de configuración, alteración de la información, destrucción de información, errores de los usuarios, errores del administrador, difusión de software dañino.
- Confidencialidad: fuga de información, introducción de falsa información, abuso de privilegios de acceso, acceso no autorizado, robo, extorsión,corrupción de la información, interceptación de la información, ingeniería social.


Actividad 2 "Evaluaciones de amenazas"

En cuanto el número de amenazas que debemos de tener en cuenta en función de los activos de la práctica anterior, tener en cuenta aquellos como fuego, agua, errores de mantenimiento, caída del sistema, errores de usuarios y el robo.

Actividad 3 "Código CVE"

Las siglas CVE corresponden a "Common Vulnerabilities and Exposures" que es una lista que informa acerca de las vulnerabilidades sobre seguridad, donde a cada una de ellas se le identifica con un numero unico.

Un ejemplo sería Microsoft Security Bulletin Summary for March 2017, y un ejemplo de vulnerabiliad seria Security Update for Microsoft Windows (CVE-2017-0057), la cual es una vulnerabilidad grave que podría permitir la ejecución remota de un código si un atacante ejecuta una aplicación especialmente diseñada que se conecta a un servidor iSNS y luego emite solicitudes maliciosas al servidor.

Actividad 4 "Security focus"


Security focus proporciona infromacion sobre la vulnerabilidad como son: su publicación, actulización, codigo bultraq ID y el CVE, además muestra a quien afecta y a quien no afecta la vulnerabilidad

A día 24 de abril, la última amenaza registrada es:

Actividad 5 "Vulnerabilidades del CNN"

Este portal muestra las ciberamenazas más reciente. A España la sitúan en un nivel elevado de alerta.

Algunas amenazas que podrían afectar al aula de informática pueden ser las de: Microsoft, Mozilla, WordPress, Adobe...

TEMA 7

TEMA 7

Actividad 1 "Matriz de evalucación de riesgos"


Utilizando la matriz de un análisis de riesgo donde categorizamos por colores el riesgo, podemos visuamente saber cual es la zona mas peligrosa y vulnerable.

Actividad 2: "Matriz de riesgos en mi hogar"



Actividad 3 "Plantilla de INCIBE"

La plantilla facilitada por INCIBE se divide en 6 hojas diferentes las cuales muestran: ejemplos de analisis, tablas AR (para las valoraciones de la probailidad y el impactos), catalogo de amenazas, activos, cruces de activos y amenazas, y finalmete analisis de riesgos. veamos para que srive cada una:

- Ejemplos de analisis: muestra el ejemplo de un analisis de riesgos que se puede s¡usar de referencia para hacer otro.
- Tablas AR: recoge tablas orientativas para realizar las valoraciones de impacto según escalas de tres valores. En función del nivel de detalle que se desee conseguir, puede aumentarse el número de intervalos de la escala.
- Catalogo de amenazas: muestra las principales amenezas a considerar en el ambito da un analisis de riesgos.
- Muestra un listado de activos
- Cruces de activos y amaenazas: sirve para especificar las amenazas que afectan a los activos del modelo elegido.
- Analisis de riesgos:indica la probabilidad y el impacto de cada amenaza sobre cada uno de los activos.

Actividad 4 "Dibuja la matriz riesgo" y Actividad 5 "activos de la organización"


La matriz de riesgo quda un minimo de 0,6 y un máximo de 2,4. Podemos decir que los activos tienda online y página web, junto a los errores de usuarios y mantenimiento supondrían el mayor riesgo posible.

domingo, 10 de febrero de 2019

TEMA 6


Actividad 1 "Norma ISO/IEC 27002"




1. POLÍTICA DE SEGURIDAD.


1.1. Política de seguridad de la información.

1.1.1. Documento de política de seguridad de la información.
1.1.2. Revisión de la política de seguridad de la información.

2. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

2.1. Organización interna


2.1.1. Compromiso de la Dirección con la seguridad de la información.
2.1.2. Coordinación de la seguridad de la información.
2.1.3. Asignación de responsabilidades relativas a la seg. de la información.
2.1.4. 6.1.4 Proceso de autorización de recursos para el tratamiento de la
2.1.5. información.
2.1.6. 6.1.5 Acuerdos de confidencialidad.
2.1.7. 6.1.6 Contacto con las autoridades.
2.1.8. Contacto con grupos de especial interés.
2.1.9. Revisión independiente de la seguridad de la información.
2.2. Tratamiento

2.2.1. Identificación de los riesgos derivados del acceso de terceros.
2.2.2. Tratamiento de la seguridad en la relación con los clientes.
2.2.3. Tratamiento de la seguridad en contratos con terceros.

3. GESTIÓN DE ACTIVOS

3.1. Responsabilidad sobre los activos.

3.1.1. Inventario de activos.
3.1.2. Propiedad de los activos.
3.1.3. Uso aceptable de los activos.
3.2. Clasificación de la información.

3.2.1. Directrices de clasificación.
3.2.2. Etiquetado y manipulado de la información.

4. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

4.1. Antes del empleo.

4.1.1. Funciones y responsabilidades.
4.1.2. Investigación de antecedentes.
4.1.3. Términos y condiciones de contratación.
4.2. Durante el empleo.

4.2.1. Responsabilidades de la Dirección.
4.2.2. Concienciación, formación y capacitación en seg. de la informac.
4.2.3. Proceso disciplinario.
4.3. Cese del empleo o cambio de puesto de trabajo.

4.3.1. Responsabilidad del cese o cambio.
4.3.2. Devolución de activos.
4.3.3. Retirada de los derechos de acceso.

5. SEGURIDAD FÍSICA Y DEL ENTORNO.

5.1. Áreas seguras.

5.1.1. Perímetro de seguridad física.
5.1.2. Controles físicos de entrada.
5.1.3. Seguridad de oficinas, despachos e instalaciones.
5.1.4. Protección contra las amenazas externas y de origen ambiental.
5.1.5. Trabajo en áreas seguras.
5.1.6. Áreas de acceso público y de carga y descarga.
5.2. Seguridad de los equipos.

5.2.1. Emplazamiento y protección de equipos.
5.2.2. Instalaciones de suministro.
5.2.3. Seguridad del cableado.
5.2.4. Mantenimiento de los equipos.
5.2.5. Seguridad de los equipos fuera de las instalaciones.
5.2.6. Reutilización o retirada segura de equipos.
5.2.7. Retirada de materiales propiedad de la empresa.

6. GESTIÓN DE COMUNICACIONES Y OPERACIONES.

6.1. Responsabilidades y procedimientos de operación.

6.1.1. Documentación de los procedimientos de operación.
6.1.2. Gestión de cambios.
6.1.3. Segregación de tareas.
6.1.4. Separación de los recursos de desarrollo, prueba y operación.
6.2. Gestión de la provisión de servicios por terceros.

6.2.1. Provisión de servicios.
6.2.2. Supervisión y revisión de los servicios prestados por terceros.
6.2.3. Gestión del cambio en los servicios prestados por terceros.
6.3. Planificación y aceptación del sistema.

6.3.1. Gestión de capacidades.
6.3.2. Aceptación del sistema.
6.4. Protección contra el código malicioso y descargable.

6.4.1. Controles contra el código malicioso.
6.4.2. Controles contra el código descargado en el cliente.
6.5. Copias de seguridad.

6.5.1. Copias de seguridad de la información.
6.6. Gestión de la seguridad de las redes.

6.6.1. Controles de red.
6.6.2. Seguridad de los servicios de red.
6.7. Manipulación de los soportes.

6.7.1. Gestión de soportes extraíbles.
6.7.2. Retirada de soportes.
6.7.3. Procedimientos de manipulación de la información.
6.7.4. Seguridad de la documentación del sistema.
6.8. Intercambio de información.

6.8.1. Políticas y procedimientos de intercambio de información.
6.8.2. Acuerdos de intercambio.
6.8.3. Soportes físicos en tránsito.
6.8.4. Mensajería electrónica.
6.8.5. Sistemas de información empresariales.
6.9. Servicios de comercio electrónico.

6.9.1. Comercio electrónico.
6.9.2. Transacciones en línea.
6.9.3. Información públicamente disponible.
6.10. Supervisión.

6.10.1. Registros de auditoría.
6.10.2. Supervisión del uso del sistema.
6.10.3. Protección de la información de los registros.
6.10.4. Registros de administración y operación.
6.10.5. Registro de fallos.
6.10.6. Sincronización del reloj.

7. CONTROL DE ACCESO.

7.1. Requisitos de negocio para el control de acceso.

7.1.1. Política de control de acceso
7.2. Gestión de acceso de usuario.

7.2.1. Registro de usuario.
7.2.2. Gestión de privilegios.
7.2.3. Gestión de contraseñas de usuario.
7.2.4. Revisión de los derechos de acceso de usuario.
7.3. Responsabilidades de usuario.

7.3.1. Uso de contraseña.
7.3.2. Equipo de usuario desatendido.
7.3.3. Política de puesto de trabajo despejado y pantalla limpia.
7.3.4.
7.4. Control de acceso a la red.

7.4.1. Política de uso de los servicios en red.
7.4.2. Autenticación de usuario para conexiones externas.
7.4.3. Identificación de los equipos en las redes.
7.4.4. Protección de los puertos de diagnóstico y configuración remotos.
7.4.5. Segregación de las redes.
7.4.6. Control de la conexión a la red.
7.4.7. Control de encaminamiento (routing) de red.
7.4.8.
7.5. Control de acceso al sistema operativo

7.5.1. Procedimientos seguros de inicio de sesión.
7.5.2. Identificación y autenticación de usuario.
7.5.3. Sistema de gestión de contraseñas.
7.5.4. Uso de los recursos del sistema.
7.5.5. Desconexión automática de sesión.
7.5.6. Limitación del tiempo de conexión.
7.6. Control de acceso a las aplicaciones y a la información.

7.6.1. Restricción del acceso a la información.
7.6.2. Aislamiento de sistemas sensibles.
7.7. Ordenadores portátiles y teletrabajo.

7.7.1. Ordenadores portátiles y comunicaciones móviles.
7.7.2. Teletrabajo.

8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

8.1. Requisitos de seguridad de los sistemas de información.

8.1.1. Análisis y especificación de los requisitos de seguridad.
8.1.2.
8.2. Tratamiento correcto de las aplicaciones.

8.2.1. Validación de los datos de entrada.
8.2.2. Control del procesamiento interno.
8.2.3. Integridad de los mensajes.
8.2.4. Validación de los datos de salida.
8.3. Controles criptográficos.

8.3.1. Política de uso de los controles criptográficos.
8.3.2. Gestión de claves.
8.4. Seguridad de los archivos de sistema.

8.4.1. Control del software en explotación.
8.4.2. Protección de los datos de prueba del sistema.
8.4.3. Control de acceso al código fuente de los programas.
8.5. Seguridad en los procesos de desarrollo y soporte.

8.5.1. Procedimientos de control de cambios.
8.5.2. Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.
8.5.3. Restricciones a los cambios en los paquetes de software.
8.5.4. Fugas de información.
8.5.5. Externalización del desarrollo de software.
8.6. Gestión de la vulnerabilidad técnica.

8.6.1. Control de las vulnerabilidades técnicas.

9. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN

9.1. Notificación de eventos y puntos débiles de seguridad de la
9.2. información.

9.2.1. Notificación de los eventos de seguridad de la información.
9.2.2. Notificación de puntos débiles de seguridad.
9.3. Gestión de incidentes y mejoras de seguridad de la información.

9.3.1. Responsabilidades y procedimientos.
9.3.2. Aprendizaje de los incidentes de seguridad de la información.
9.3.3. Recopilación de evidencias.

10. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.

10.1. Aspectos de seguridad de la información en la gestión de la
10.2. continuidad del negocio.

10.2.1. Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio.
10.2.2. Continuidad del negocio y evaluación de riesgos.
10.2.3. Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la información.
10.2.4. Marco de referencia para la planificación de la cont. del negocio.
10.2.5. Pruebas, mantenimiento y reevaluación de planes de continuidad.
11. CUMPLIMIENTO.

11.1. Cumplimiento de los requisitos legales.

11.1.1. Identificación de la legislación aplicable.
11.1.2. Derechos de propiedad intelectual (DPI).
11.1.3. Protección de los documentos de la organización.
11.1.4. Protección de datos y privacidad de la información de carácter personal.
11.1.5. Prevención del uso indebido de recursos de tratamiento de la información.
11.1.6. Regulación de los controles criptográficos.
11.2. Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico.

11.2.1. Cumplimiento de las políticas y normas de seguridad.
11.2.2. Comprobación del cumplimiento técnico.
11.3. Consideraciones sobre las auditorías de los sistemas de información.

11.3.1. Controles de auditoría de los sistemas de información.
11.3.2. Protección de las herramientas de auditoría de los sist. de inform.


La mayor diferencia entre el viejo estándar y el nuevo es la estructur, El ISO/IEC 27002:2005 tenía 11 secciones principales mientras que ISO/IEC 27002:2013 ahora tiene 14. Estas nuevas secciones analizan la criptografía, la seguridad de las comunicaciones y las relaciones con los proveedores.
El antiguo estándar tenía 106 páginas de contenido, mientras que el nuevo solo tiene 78. El ISO IEC 27002 2013 también tiene varias subsecciones nuevas, la mayoría de las secciones se han reescrito y algunas secciones se han dividido o trasladado a otras secciones. Por ejemplo, la antigua sección 14 sobre continuidad comercial se ha reelaborado por completo. También ha habido algunos cambios en la terminología.


Actividad 2 " ISO 27002:2013"

https://docs.google.com/spreadsheets/d/1FXJZylYZFvKrLaOdKlsrZ0NoPA5AeNFwg6TBDSbLo-g/edit?usp=sharing

Actividad 3 " Diagrama por sectores"


Actividad 4: "Dominio de seguridad ligado a los recursos humanos"

https://docs.google.com/spreadsheets/d/11FxOZMhKMEbsUJLdmcG3AyOX4hn6nCga0PLtgSfy04E/edit?usp=sharing


Actividad 5 " Elige un dominio"

He elegido el dominio del cifrado. Este a su vez está formado por 2 medidas mas que son: las políticas de uso de los controles criptográficos y la gestión de claves.

En la gestión de claves, intenta crear y distribuir todas las claves que existen en una empresa. La gestion de claves ha de ser la encargada de que las claves sean seguras y de cambiarlas cada x tiempo con el fin de garantizar la seguridad de esa infromación.

En relación a las políticas de uso de los controles criptográficos intentan limitar y regular el uso de las contraseñas, dejando que solo accedan aquellos que esten autorizados por la empres. Lo que busca es la protección de la información confidencial de la empresa a traves de controlar quien accede a ella.

TEMA 5

Actividad 1 "Tu politica de seguridad en casa"

El area de mi casa que he elegido es mi habitación y los elementos que comprometen la seguridad de mi información son: el PC, el móvil,los documentos fisicos y la puerta de la habitación. Para evitar que mi información e intimidad se vean afectadas he tomado una serie de medidas como:

- Tanto el PC como el móvil tendrán que tener una contraseña de al menos 8 dígitos para acceder a él.
- Todos los documentos físicos se pasaran a formato digital y se almacenarán en un disco duro al cual se accederá con una contraseña.
- En cuanto a la puerta, se le pondrá una cerradura y su llave la poseeré yo colgada al cuello las 24 del día.

Como conclusión, salta a la vista la innecesidad de tener una politica de seguridad en casa puesto que la infromación no saldría de la misma. En caso de tener que hacer una politica de seguridad por la confidencialidad de la información que manejo sería fácil de llevar a la práctica. En ese caso la alta dirección la llevaría yo, y en caso de incumpliento la consecuencia sería que no te volviese a dirigir la palabra más.

Actividad 3: "Las amenazas sobre mis activos"

- https://docs.google.com/spreadsheets/d/1wlTL-2Hy1GdXRgAw092L77LSXXK1aGQy97O5Ig2bw4Y/edit?usp=sharing


Actividad 4: "Diagrama de tiempo"



Actividad 5: "Aplicación al caso de sistema de gestión"

http://www.iso27000.es/download/ControlesISO27002-2013.pdf

- 9.4.2 y 9.4.3, procedimientos seguros de inicio de sesión y gestión de contraseñas de usuario. A través de tener contrasseñas de mínimo de 8 dígitos que contengan mayúsculas y minúsculas para acceder al móvil y al PC.

- 11.1.2, controles físicos de entrada. A través de poner una cerradura en la puerta de la que solo poseo yo.

martes, 5 de febrero de 2019

TEMA 4

Actividad 3




Actividad 4 "Modelo de Seguridad CIA"

Todo sistema que quiera considerarse seguro debe cumplir con tres aspectos fundamentales: confidencialidad, integridad y disponibilidad. Estos aspectos se relacionan para mantener un sistema funcional y proteger la información.

Confidencialidad

Consiste en la garantía de que la información que se proporciona al sistema, no pueda ser accedida por personas no autorizadas ni será divulgada.

Integridad
Es el principio que se encarga de que la información en el sistema sea correcta y válida y que no pueda ser modificada por alguien no autorizado.

Disponibilidad
Consiste en que la información y los recursos relacionados estén disponible para los usuarios autorizados cuando lo requieran, incluso en momentos de emergencia o alto tráfico.

Fuente: https://camendoz.wordpress.com/2016/08/28/cia-modelo-de-seguridad/




Actividad 5 "Cómo se codifica un número en binario"

La estrategia artesanal consiste en ir dividiendo por 2. Cualquier división cuyo divisor sea 2, siempre tendrá dos posibles
restos: 0 ó 1 en el resto.






- Número 8: 00111000
- Número 20: 00110010 00110000
- Número 10: 00110001 00110000
- Número 126: 00110001 00110010 00110110
- Número 48200677: 00110100 00111000 00110010 00110000 00110000 00110110 00110111 00110111




jueves, 31 de enero de 2019

Bienvenidos a mi Blog!!!


Hola a todos, soy Daniel Arribas alumno del grado de criminología en la URJC.
En esta primera publicación quería informar sobre que se imparte en la asignatura de informática aplicada a la criminología. En esta asignatura espero aprender cantidad de cosas que sean útiles en el futuro a la hora de desarrollar nuestro trabajo.
Esta asignatura se da en diferentes campus de la Universidad Rey Juan Carlos; en Alcorcón, Aranjuez y Vicálvaro. En mi caso, soy del campus Alcorcón y tengo clase los días martes y jueves de 17:00 - 19:00 horas.
Además, aqui será donde publicaré aquellas prácticas que llevemos a cabo durante el curso en esta asignatura.