Actividades tema 8

ACTIVIDAD 1 

En el primer cuadro, nos encontramos con fuego, daños por agua y desastres naturales; que corresponden con daos físicos por lo que ataca a la integridad y la disponibilidad de la información. 

En el segundo de los cuadros tenemos fuga de información, introducción de falsa información, alteración, corrupción, destrucción e interceptación de la información. Hablamos entonces de confidencialidad e integridad. 

En el cuadro verde nos encontramos con corte de suministro eléctrico, condiciones inadecuadas de temperatura o humedad, fallo de servicios de comunicaciones, interrupción de otros servicios y suministros esenciales, y desastres industriales. En este caso entiendo que ataca a la disponibilidad de la información. 

En el cuadro rosa tenemos degradación de los soportes de almacenamiento de la información, difusión de software dañino, errores de mantenimiento, caída del sistema por sobrecarga, pérdida de equipos, indisponibilidad del personal, abuso de privilegios de acceso y acceso no autorizado; que atacan a la confidencialidad y disponibilidad. 

En el cuadro naranja tenemos errores de los usuarios, del administrador y de configuración que atacan a la disponibilidad y probablemente a la integridad de la información. 

Y por último en el morado, nos encontramos con denegación de servicio, robo, indisponibilidad del personal, extorsión e ingeniería social, que atacan a la confidencialidad y disponibilidad de la información. 

ACTIVIDAD 2 

En nuestro caso, podríamos analizar unas 5 amenazas, que serían inundación, fuego, robo, malware y pico de tensión; teniendo en cuenta los activos nombrados en clase: ordenador, móvil, router, etc…

Hacer un análisis de este tipo es algo complicado y necesita tiempo, pero aproximadamente en 45 minutos o una hora estaría listo. 

ACTIVIDAD 3

Existe una vulnerabilidad de ejecución de código remoto del motor de base de datos de Microsoft; un atacante pordría aprovechar para tomar en control en un sistema afectado, de tal manera que podría instalar programa o manipular datos, así como crear cuentas nuevas con todos los derechos de usuario. La actualización de seguridad resuelve la vulnerabilidad al modificar la forma en que el motor de base de datos de Microsoft Jet controla los objetos de la memoria.

CVE-2018-8423

El CVE es el código de Verificación Electrónica, consiste en un conjunto de caracteres que identifican de forma única cualquiera de las disposiciones, actos y anuncios publicados en el Boletín Oficial del Estado.

ACTIVIDAD 4

Es una página donde se publican las distintas vulnerabilidades que existen. Tiene un cómodo buscador, que además te permite encontrar a través del CVE la vulnerabilidad. 

La última vulnerabilidad es systemd CVE-2019-6454 Local Denial of Service Vulnerability.  La vulnerabilidad consiste en la falta de manejo de condiciones excepcionales y afecta a los usuarios de Linux. 

ACTIVIDAD 5 

En la página no se muestra en qué nivel está España. 

Respecto a las vulnerabilidades que podrían afectar al aula de la Universidad, seleccionando en el buscador Mozilla, Adobe y Wordpress, salen múltiples amenazas como estas. 

Análisis de riesgos

Dibujo de la matriz de riesgo

He diseñado mi matriz de tal manera que los valores 1-2 se consideran de nivel bajo; los comprendidos del 3 al 9 de nivel medio y los superiores a 9 nivel alto. 

INCIBE (Instituto Nacional de Ciberseguridad)

INCIBE nos presenta una evaluación de riesgos que podemos hacer con formato xls. Cuenta con varias páginas y vamos a explicar lo que se encuentra en cada una de ellas: 

La primera de ellas es la de Instrucciones, donde se nos explica la descripción de esta aplicación y el funcionamiento de la misma. En la segunda hoja nos muestra un ejemplo de análisis en el que nos podemos basar para hacer el nuestro. La siguiente hoja nos presentan unas tablas, las que se utilizan para realizar las valoraciones de la probabilidad y el impacto a través de una escala de 3 valores. La cuarta hoja llamada “catálogo de amenazas” nos muestra las amenazas que deberíamos considerar en nuestro análisis. La siguiente, llamada “activos” contiene una lista de activos que deberíamos tener en cuenta. La penúltima de ellas, “Cruces activo-amenazas” que utilizaremos para analizar las amenazas de los activos elegidos; y por último la hoja de “Análisis de riesgos” que como indica su nombre utilizaremos para realizar el análisis. 

Matriz de riesgos para el hogar

En esta actividad hemos tenido en cuenta 10 riesgos aplicados al hogar para hacer la matriz de evaluación de riesgos. Así ha quedado: 

Matriz de evaluación de riesgos

Es una herramienta que nos sirve para identificar los riesgos que pueden correr los activos o actividades de una empresa; por lo que es importante para medir estos riesgos y poder mantener más segura nuestra organización. 

Esta herramienta es muy sencilla de utilizar, ya que solo tenemos que crear los riesgos que necesitamos evaluar y después asignarles un valor de impacto (es decir, medir el efecto de dicho riesgo en el caso de llegar a producirse) y otro valor de probabilidad (medir la posibilidad de que dicho riesgo se produzca) 

Como ya hemos dicho, la matriz de evaluación de riesgos es una herramienta clave cuando hablamos de seguridad de la empresa porque nos sirve para evaluar cualitativa y cuantitativamente los riesgos de nuestra actividad. De esta manera, la herramienta nos permite un monitoreo continuo de los posibles riesgos, una identificación de actividades que requieren más atención porque presentan más riesgo, una evaluación metódica de estos, una intervención inmediata, etc.

El cifrado o criptografía (norma ISO 27002: 2013)

Estos controles tienen el objetivo de proteger la confidencialidad e integridad mediante la ayuda de técnicas criptográficas. Las organizaciones deberían utilizar estos controles para la protección de claves de acceso a sistemas, datos y servicios o para transmitir información clasificada. 

Además, sería necesario el desarrollo adicional de otros procedimientos y funciones respecto a la administración de claves, la recuperación de la información cifrada en caso de pérdida y en cuanto al reemplazo de las claves del cifrado. 

El cifrado debería ser revisadas periódicamente para actualizarse en caso de necesidad. 

Actividades de control del riesgo: 

10.1.1 Política de uso de los controles criptográficos: Se debería desarrollar e implementar una política que regule el uso de controles criptográficos para la protección de la información.

10.1.2 Gestión de claves: Se debería desarrollar e implementar una política sobre el uso, la protección y el ciclo de vida de las claves criptográficas a través de todo su ciclo de vida.

Hoja de cálculo tomando el dominio de seguridad de RRHH

Gráfica de los dominios de la Diferencias entre ISO/IEC 27002:2005 e ISO/IEC 27002:2013

Hoja de cálculo basada en la norma ISO/IEC 27002:2013 :

Diferencias entre ISO/IEC 27002:2005 e ISO/IEC 27002:2013

La norma ISO 27002 es un estándar para la seguridad de la información que ha sido publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión más reciente de este estándar es de 2013. 

Esta norma proporciona a todos los interesados diferentes prácticas en la gestión de la seguridad de la información. Está enfocada principalmente a empresas y se encuentra organizada en 14 dominios, 35 objetivos de control y 114 controles. Estos son los dominios: 

1. Políticas de Seguridad de la Información 
2. Organización de la Seguridad de la Información 
3. Seguridad relativa a los Recursos Humanos 
4. Gestión de Activos 
5. Control de acceso 
6. Criptografía 
7. Seguridad física y del entorno 
8. Seguridad de las operaciones 
9. Seguridad de las comunicaciones 
10. Adquisiciones, desarrollo y mantenimiento de los Sistemas de Información 
11. Relación de proveedores 
12. Gestión de Incidentes de Seguridad de la Información 
13. Aspectos de Seguridad de la Información para la gestión de la Continuidad de Negocio 
14. Cumplimiento 

Diferencias entre ISO/IEC 27002:2005 e ISO/IEC 27002:2013 : 

La mayor diferencia se da en la estructura; la versión de 2005 tenía 11 dominios y la actual tiene 14.

A pesar de que el nuevo estándar tiene tres secciones más, es más corto y centrado que el de 2005; este último tenía 106 páginas mientras que el nuevo cuenta con 78 páginas. 

ISO IEC 27002 2013 también tiene varias subsecciones nuevas, como por ejemplo gestión de activos; instalación de software; evaluación de los eventos de seguridad; planificación, implementación y verificación de la continuidad de la seguridad de la información, etc… 

Para terminar, la mayoría de las secciones se han reescrito y trasladado a otras secciones; de igual manera que han cambiado algunos términos que ambos estándares contenían. 

Medidas de control de la ISO 27002

He seleccionado la gestión de incidentes de seguridad de la información y mejoras, ya que considero que se puede aplicar tanto a una empresa u organización como al hogar. 

Recoge diferentes actividades como establecer las responsabilidades y procedimientos de gestión para garantizar una respuesta rápida y eficaz; la notificación de los eventos de seguridad de la información; notificación de puntos débiles de la seguridad; valoración de eventos de seguridad de la información y toma de decisiones; respuesta a los incidentes de seguridad; aprendizaje de estos incidentes, y recopilación de evidencias. 

Además se le pueden asociar métricas tales como el número y gravedad de incidentes, evaluaciones de los costes de analizar, detener y reparar los incidentes y cualquier pérdida producida, porcentaje de incidentes de seguridad que han causado costes por encima de los establecidos por la alta dirección, etc. 

Amenazas

Activos

Ordenador portátil: es un ordenador que tiene un tamaño reducido y que puede transportarse con facilidad, cuenta con la posibilidad de funcionar sin necesidad de estar conectado a la corriente eléctrica gracias a que cuenta con una batería recargable. Almacenan información valiosa tal como documentos o fotos personales. 

Teléfono móvil: es aquel que no cuenta con cables y que se puede trasladar sin que se registren inconvenientes en la comunicación. En el, almacenamos fotos y videos personales, así como mensajes, etc. 

Videoconsola: es el dispositivo que ejecuta juegos electrónicos contenidos en discos compactos, cartuchos, tarjetas de memoria o cualquier otro formato. En ella guardamos nuestra información asociada a la cuenta del jugador, así como los datos bancarios al realizar compras de juegos. 

Router: se trata de un tipo de hardware que permite conectar ordenadores que funcionan en el marco de una red. 

Mi política de seguridad

1. INTRODUCCIÓN 

El objetivo de esta política de seguridad de la información es proteger la información sensible, es decir, aquella información que en caso de pérdida, alteración o destrucción pueden producirnos daños importantes. 

Hay que tener en cuenta que hoy en día nuestras casas están repletas de dispositivos electrónicos donde guardamos información; en ocasiones esta información es muy valiosa para nosotros y nuestra misión fundamental es protegerla. 

La pérdida o alteración de esta información en ocasiones se produce accidentalmente, pero en otros casos también se produce malintencionadamente. En cualquiera de los casos, suele acarrear un daño económico y personal. 

Para intentar evitar esto, es importante hacer una correcta gestión de la seguridad de nuestra información, y para ello debemos apoyarnos en las normativas y buenas prácticas existentes, así como en las soluciones tecnológicas existentes que nos ayudan a proteger nuestra información sensible. 

2. ALCANCE 

La política de seguridad se aplicará en toda la casa, a pesar de que la mayoría de dispositivos electrónicos se encuentran situados en el salón; y estos son: 2 ordenadores portátiles, una videoconsola, un router y dos teléfonos móviles.  

Yo personalmente ejerceré de alta dirección, responsabilizándome generalmente de toda la casa y por tanto de la seguridad de los dispositivos que se encuentran dentro de esta. 

3. GESTIÓN DE RIESGOS

Como ya he dicho antes, lo que tratamos de evitar es la pérdida o alteración de información sensible. Muchos dispositivos del hogar ofrecen información sobre nuestros patrones de comportamiento, ya que estos integran la geolocalización. Si un ciberdelincuente accede a estos datos, podrá saber cuándo la casa está vacía y podría perpetrar un robo mas fácilmente. 

Otro de los riesgos es el secuestro de esta información sensible, ya sean fotos personales o documentos importantes; pidiendo a cambio una obtención de dinero a través del chantaje. 

Uno de los principales problemas que es que algunos de los dispositivos que tenemos en casa no han sido diseñados pensando en la ciberseguridad; por ello es importante que los familiares que conviven en el hogar conozcan los riesgos y sepan como actuar de forma adecuada para proteger sus dispositivos y la información personal que estos contienen. 

• Para proteger nuestros teléfonos móviles podemos realizar varias acciones: la primera de ellas es descargar aplicaciones en las tiendas oficiales del sistema operativo de nuestro móvil, ligado a esta acción de seguridad, también debemos tener en cuenta los requerimientos de acceso a cada app, ya que muchas aplicaciones venden nuestros datos a terceras personas. También debemos instalar una aplicación de seguridad, tales como antivirus o cortafuegos. Otra de las acciones que debemos llevar a cabo es bloquear nuestro teléfono de alguna manera; ya sea con nuestra huella, contraseña o reconocimiento facial. Por último, tener cuidado cuando estemos en lugares públicos que tengan redes Wi-Fi, ya que es más fácil para los ciberdelincuentes acceder a nuestro teléfono. 

• Para la videoconsola (en este caso una PS4): Sony implementó la verificación en dos pasos que nos permite recibir en nuestro móvil una clave de acceso que evita que si alguien se hace con nuestra contraseña pueda lograr entrar en nuestra cuenta. Otra de las acciones es desactivar el inicio de sesión automático, además también podemos configurar una contraseña (que consiste en una combinación de botones) para proteger el acceso a la cuenta.

• Para proteger la información de nuestros ordenadores: lo primero y más básico es crear una contraseña segura, aun que esto servirá de poco para los profesionales. Lo segundo que debemos hacer es cifrar la información de nuestro disco duro, una medida que evita que alguien pueda acceder a nuestros datos conectando el disco duro en otro ordenador. Al igual que hemos dicho antes para los móviles, es necesario invertir en un buen antivirus y un cortafuegos y no instalar programas si se desconoce el fabricante. 

• Para proteger nuestra red wifi es necesario cambiar los valores de fábrica de este, ademas de cambiar cada cierto tiempo la clave de seguridad, eligiendo un cifrado fuerte de seguridad para la red, así como identificar los dispositivos conectados a nuestra red. 

Código Binario

Podríamos decir que el código binario es el lenguaje que utilizan los ordenadores; es un sistema de representación de instrucciones de un ordenador, que hace uso del sistema binario. Este sistema se utiliza en matemáticas y en la informática, y está formado únicamente por unos y ceros.

Cualquier palabra, texto o instrucción se puede representar con conjuntos de 0 y 1; es decir, si alguien escribe una secuencia de estos números se activará una orden que el ordenador entenderá.

Ahora bien, ¿cómo se calcula? Se puede calcular mediante divisiones sucesivas. Se divide el número entre 2, el resultado se vuelve a dividir entre dos y así sucesivamente hasta que el dividendo sea menor que el divisor. Es decir, cuando el número a dividir sea 1. Después se ordenan los restos empezando desde el último al primero.


Ejercicio 5

nº 8: 1000

nº 20: 10100

nº 126: 1111110

día de mi nacimiento (08): 101001000

nº DNI: 10100100011001001000100010010100

• 
  

Modelo de seguridad CIA

El término CIA (Confidencialidad, Integridad, Disponibilidad) es importante cuando hablamos de seguridad de la información en las redes, ya que presenta los principios básicos de esta. 

Confidencialidad: es una forma de prevenir que la información sea divulgada a personas o sistemas no autorizados 

Integridad: los datos se mantienen intactos, sin que sufran modificaciones o alteraciones por terceros. 

Disponibilidad: es un pilar fundamental, la información siempre tiene que estar disponible cuando el usuario quiera realizar una consulta. 

Sin estos tres elementos no hay nada seguro; si alguno de estos 3 falla estamos ante un peligro en la seguridad de nuestra información. Hay que recordar también que ningún sistema de seguridad es totalmente seguro, aunque haya algunos menos vulnerables. 

Opinión personal sobre la asignatura

Informática aplicada a la Criminología es una asignatura que se imparte en la URJC en el segundo cuatrimestre del primer año del grado de Criminología.


Las primeras clases se centran en conceptos básicos de la informática, necesarios para entender lo que viene después. A pesar de esto creo que es una asignatura dinámica, con entornos multidisciplinares y complejos en los que aprenderemos cómo funcionan los equipos en la red, así como actividades relacionadas con las TIC aplicadas al mundo de la criminología, los delitos informáticos, etc.