(Estoy teniendo problemas para subir archivos al blog, no puedo ni subir las capturas, ni los gif que ponía en las otras entradas)
Las amenazas se encuentran coladas según el tipo de activo al que afectan, por lo que es más fácil localizarlas y trabajar esa información así. El tiempo que se tarda en realizar los cruces amenaza activo debería ser de una hora y con respecto a los activos que he trabajado, tengo 11 agrupados en tres grupos, información, físico y servicios.
El código CVE (Código de Verificación Electrónica): es un conjunto de caracteres que identifican de forma única cualquier disposición en el BOE
En este caso hemos visto la importancia de los subdominios, como ocurrió con microsoft, si yo compro un subdominio parecido a los suyos y envio correos a sus clientes, seguramente pincharan en mi enlace sin pensarlo mucho y esa es una vulnerabilidad que puedo explotar.
En el cuarto ejercicio he visto cuales son las últimas vulnerabilidades descubiertas, que en mi caso no sé exactamente cual es porque es UNKOWN y Remote, así que supongo que pertenecerá a un organismo no muy conocido.
Y en último lugar, España está a un 12% de alerta por amenazas, aunque lugares como el aula de informática pueden sufrir muchas amenazas, como las que lista el programa.
jueves, 2 de mayo de 2019
tema 9
(Estoy teniendo dificultades para poder subir las capturas, así que voy a describir el proceso)
En primer lugar con virus total he comprobado si un fichero que me habían enviado por correo tenía algún posible malware, que no era el caso, esto es algo que no suelo hacer y me ha parecido interesante por el peligro que pueden entrañar esos ficheros, sin embargo me parece que es demasiado largo el proceso como para realizarlo siempre, aunque con los ficheros de publicidad es una opción importante.
He comprobado que el software de mi antivirus, que también es Mcfee estuviese actividado y en la página del Incibe me han indicado que por el momento no pertenezco a ninguna botness de su base de dato, aunque creo que si la van actualizando hay que irlo revisando.
En primer lugar con virus total he comprobado si un fichero que me habían enviado por correo tenía algún posible malware, que no era el caso, esto es algo que no suelo hacer y me ha parecido interesante por el peligro que pueden entrañar esos ficheros, sin embargo me parece que es demasiado largo el proceso como para realizarlo siempre, aunque con los ficheros de publicidad es una opción importante.
He comprobado que el software de mi antivirus, que también es Mcfee estuviese actividado y en la página del Incibe me han indicado que por el momento no pertenezco a ninguna botness de su base de dato, aunque creo que si la van actualizando hay que irlo revisando.
7.3 Incibe
Se creó esta plantilla por ayudar a las organizaciones en el análisis de riesgos.
1ªhoja: instrucciones para realizar
2ªhoja-. ejemplo de un análisis.
3ªhoja-Tablas AR para poder hacer una valoración de esa probabilidad y su impacto
4ªhoja- amenazas que se tienen que tener en cuenta.
5ªhoja- listado de activos que deben proteger las organizaciones.
6ªhoja- tabla de cruce entre activos y amenazas.
7ªhoja- aquí se realiza el análisis de riesgos, ya con todos sus activos que debe proteger y viendo el impacto que le generaría.
(CUANDO HE IDO A REALIZAR LA ACTIVIDAD 7.4 Y 7.5 LA PÁGINA DE INCIBE NO FUNCIONABA).
1ªhoja: instrucciones para realizar
2ªhoja-. ejemplo de un análisis.
3ªhoja-Tablas AR para poder hacer una valoración de esa probabilidad y su impacto
4ªhoja- amenazas que se tienen que tener en cuenta.
5ªhoja- listado de activos que deben proteger las organizaciones.
6ªhoja- tabla de cruce entre activos y amenazas.
7ªhoja- aquí se realiza el análisis de riesgos, ya con todos sus activos que debe proteger y viendo el impacto que le generaría.
(CUANDO HE IDO A REALIZAR LA ACTIVIDAD 7.4 Y 7.5 LA PÁGINA DE INCIBE NO FUNCIONABA).
Matriz de riesgo
Aquí se trabajará el 7.1 y el 7.2 con las matrices de riesgo
Hemos valorado el riesgo y al verlo de forma tan gráfica podemos valorar en que debemos invertir más, ya que se compara según el impacto y la probabilidad, no tiene sentido invertir nuestro dinero en algo que o no ocurrirá o no nos causará grandes pérdidas en caso de ocurrir.
Me ha parecido que es una herramienta muy útil para este caso, solo debes introducir los valores y puedes ver en que amenazas deben centrarte.
Yo no debería preocuparme porque un maremoto estropee mi USB y sí porque alguien acceda a mis contraseñas mediante un malware, por ejemplo.
Hemos valorado el riesgo y al verlo de forma tan gráfica podemos valorar en que debemos invertir más, ya que se compara según el impacto y la probabilidad, no tiene sentido invertir nuestro dinero en algo que o no ocurrirá o no nos causará grandes pérdidas en caso de ocurrir.
Me ha parecido que es una herramienta muy útil para este caso, solo debes introducir los valores y puedes ver en que amenazas deben centrarte.
Yo no debería preocuparme porque un maremoto estropee mi USB y sí porque alguien acceda a mis contraseñas mediante un malware, por ejemplo.
Diferencia entre dos normas ISO
Para la práctica 6.1 hablaremos de la ISO/IEC 27002 2005 y ISO/IEC 27002 2013 se diferencian en el número de secciones, 11 y 14, para hacer referencia a criptografía, seguridad de las comunicaciones y las
relaciones con los proveedores. Además de subsecciones acerca de la seguridad de la gestión de proyectos, gestión de activos, instalación de software, desarrollo seguro, principios de ingeniería de sistemas seguros, entornos de desarrollo seguros, pruebas de seguridad del sistema, seguridad del proveedor, la evaluación de los eventos de seguridad, planificación, implementación y verificación de la continuidad de la seguridad de la información
Y presentamos la tabla del 6.2
relaciones con los proveedores. Además de subsecciones acerca de la seguridad de la gestión de proyectos, gestión de activos, instalación de software, desarrollo seguro, principios de ingeniería de sistemas seguros, entornos de desarrollo seguros, pruebas de seguridad del sistema, seguridad del proveedor, la evaluación de los eventos de seguridad, planificación, implementación y verificación de la continuidad de la seguridad de la información
Y presentamos la tabla del 6.2
|
|
Ponderación
|
Amenaza
|
Probabilidad
|
Riesgo
|
|
Políticas de seguridad
|
80%
|
7
|
80%
|
5,6
|
|
Aspectos organizativos y gestión de archivos
|
60%
|
8
|
80%
|
5,6
|
|
Control de acceso y cifrados
|
90%
|
7
|
70%
|
5,6
|
|
Seguridad física y en la operativa
|
80%
|
7
|
40%
|
4,8
|
|
Adquisición de los sistemas
|
80%
|
7
|
40%
|
4,8
|
|
Gestión de los incidentes
|
75%
|
7
|
60%
|
3,6
|
|
Cumplimiento
|
75%
|
7
|
60%
|
3,6
|
Medida de control ISO
En esta entrada desarrollaremos una medida de control ISO, en mi caso hablare de los recursos humanos, ya que debemos asegurarnos de que los empleados sean aptos para el puesto y responsables, así mismo hay que dejarles clara la política de seguridad y como deben actuar. Además si abandonan el puesto de trabajo deben dejar las contraseñas y cualquier acceso.
Diagrama de Gantt
Para la práctica 5.4 hemos planificado la SGSI con un diagrama de Gantt que podréis ver en este enlace
Suscribirse a:
Entradas (Atom)