Matriz de riesgos

 

Análisis de riesgos

La información es el activo mas importante para una organización, por tal motivo debe de ser seguro. 

¿Como conseguir  la seguridad de los datos?

1. Restringir el acceso a los programas y archivos.
2. Asegurar roles de edición y escritura de datos. 
3. Asegurar que se utilicen los datos, archivos y programas correctos.
4. Asegurar que la información transmitida sea la misma que reciba el destinatario.
5. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión.
6. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.

Elementos de un análisis de riesgo

1. Construir  perfil de amenazas que esté basado en los activos de la organización.
2. Identificación de los activos de la organización.
3. Identificar las amenazas de cada uno de los activos listados.
4. Conocer las prácticas actuales de seguridad
5. Identificar las vulnerabilidades de la organización.
6. Identificar los requerimientos de seguridad de la organización.
7. Identificación de las vulnerabilidades dentro de la infraestructura tecnológica.
8. Detección de los componentes claves
9. Desarrollar planes y estrategias de seguridad que contengan los siguientes puntos:
10. Riesgo para los activos críticos
11. Medidas de riesgos
12. Estrategias de protección
13. Planes para reducir los riesgos.

Norma Nch-ISO 27001

 La NCH ISO 27001 es una norma chilena que ha sido elaborada y difundida por el Instituto Nacional de Normalización (INN, la cual permite garantizar la confidencialidad e integración de la información que manipulan las organizaciones.

Vulnerabilidades del software

 Vulnerabilidad del Software:

1. Una mala configuración del software por parte del administrador y/o usuario.
2. Una incorrecta programación durante el proceso de desarrollo o actualización del Software.
3. Desconocimiento de seguridad informática en la mayoría de programadores.

Cross Site Scripting (XSS).

XSS es un ataque de inyección de código malicioso para su posterior ejecución que puede realizarse a sitios web, aplicaciones locales e incluso al propio navegador.

Sucede cuando un usuario mal intencionado envía código malicioso a la aplicación web y se coloca en forma de un hipervínculo para conducir al usuario a otro sitio web, mensajería instantánea o un correo electrónico. Así mismo, puede provocar una negación de servicio (DDos).

Directo: Consiste en invadir código HTML mediante la inclusión de etiquetas <script> y <frame> en sitios que lo permiten.

Indirecto; Funciona modificando valores que la aplicación web pasa de una página a otra, sin emplear sesiones. Sucede cuando se envía un mensaje o ruta en una URL, una cookie o en la cabecera HTTP (pudiendo extenderse al DOM del navegador).

Desbordamiento del Buffer

Se lleva a cabo cuando un programa informático excede el uso de cantidad de memoria asignado por el sistema operativo, escribiendo en el bloque de memoria contiguo. 

Inyección SQL Es una petición de algún tipo de acción sobre una base de datos. 

Árboles de ataque

 Son una herramienta gráfica para analizar y presentar qué puede pasar y cómo lo prevenimos. Capturan de alguna forma el razonamiento del atacante y permiten anticiparse a lo que pudiera ocurrir. Aunque es difícil construir árboles exhaustivos en el primer intento, sí son un buen soporte para ir incorporando la experiencia acumulada y recopilar en cada momento el mejor conocimiento del que se dispone.
Los árboles de ataque constituyen una documentación extremadamente valiosa para un atacante, especialmente cuando incorporan el estado actual de salvaguardas, pues facilitan en extremo su trabajo.
Son un documento clasificado y deben tomarse todas las medidas de seguridad necesarias para garantizar su confidencialidad.

La construcción del árbol es difícil  y  además requiere de un gran conocimiento del objeto de protección, de sus vulnerabilidades, de las amenazas a las que esta expuesto, de las capacidades de los atacantes potenciales, así como de las características y efectividad de las medidas de seguridad o salvaguardas aplicables.

Marcar el objetivo final necesita gran conocimiento  para saber el valor de la  Organización y cual puede ser el objetivo del atacante respecto del mismo. 38 Construcción del árbol
El enriquecimiento del árbol de ataque en forma de ramas debería ser exhaustivo; pero está limitado por la imaginación del analista; si el atacante es “más listo” tiene una oportunidad para utilizar una vía imprevista.

Fases:

1. Determinación del objetivo estratégico .

1. Asignación de recursos .

1. Determinar los objetivos tácticos.

1. Elaboración de los planes tácticos.

1. Ejecución del ataque.

1. Análisis del resultado del ataque.

Metodología OCTAVE

 OCTAVE 

Se centra en el estudio de riesgos organizacionales, principalmente en los aspectos relacionados con el día a día de las empresas. La evaluación inicia a partir de la identificación de los activos relacionados con la información, definiendo este concepto con los elementos de TI que representan valor para la empresa (sistemas de información, software, archivos físicos o magnéticos, personas).

De esta forma,  estudia la infraestructura de información y, más importante aún, la manera como dicha infraestructura se usa. Se considera que, con el fin de que una organización pueda cumplir su misión, los empleados de todos los niveles necesitan entender qué activos relacionados con la información son importantes y

cómo deben protegerlos.

• El proceso de evaluación contemplado por OCTAVE se divide en tres fases:
• Construcción de perfiles de amenazas basadas en activos.
• Identificación de vulnerabilidades en la infraestructura.
• Desarrollo de estrategias y planes de seguridad.

Metodologías para análisis de riesgos

 Metodologías para análisis de riesgos

Las Metodologías para análisis de riesgos se ven reflejadas en la información tratada en cada organización, debemos rescatar que algunas nos  han permitido asegurar los sistemas de información de las organizaciones.

Identificar los riesgos: generalmente inicia con una sesión de lluvia de ideas, en las que participan personas de todas las áreas, que tienen un profundo conocimiento del funcionamiento del negocio. Se enumeran todos los agentes externos o internos que pueden, eventualmente, generar un riesgo por absurdo que parezca, o una nueva oportunidad.

Determinar la criticidad de cada riesgo: los riesgos se evalúan comparándolos con un conjunto de factores y clasificándolos en una escala de acuerdo con su capacidad para impactar a la organización. Entre los factores que utilizamos para determinar que tan crítico es un riesgo, tenemos la probabilidad de ocurrencia y la facilidad o no para detectarlos.

Clasificación de los riesgos: algunos riesgos resultan tolerables o aceptables para la organización, debido a su baja incidencia, su impacto leve o su escasa probabilidad de ocurrencia. Este tipo de riesgos, generalmente, no requieren emprender ninguna acción sobre ellos. Otros, por el contrario, deben ser eliminados o mitigados en su impacto. 

Determinar las acciones a seguir: finalmente, una vez la organización tiene una visión global de los riesgos a los que está expuesta, su capacidad de impacto y su probabilidad de ocurrencia, tiene todos los elementos necesarios para diseñar las acciones para el tratamiento de esos riesgos.

Norma NTC-ISO 27005

Norma ISO 27005

Contiene diferentes recomendaciones y directrices generales para la gestión de riesgo en Sistemas de Gestión de Seguridad de la Información. Puedes conocer más sobre la norma ISO 27005 en el siguiente post ISO/IEC 27005. Gestión de riesgos de la Seguridad la Información.

Es compatible con los conceptos generales especificados en la norma ISO 27001 y se encuentra diseñada como soporte para aplicar de forma satisfactoria un SGSI basado en el enfoque de gestión de riesgo.

La norma ISO 27005 reemplaza a la norma ISO 13335-2 “Gestión de Seguridad de la Información y la tecnología de las comunicaciones”. La norma fue publicada por primera vez en junio de 2008, aunque existe una versión mejorada del año 2011.

REDA unidad 1

 

Laboratorio 1 Subnetting

 ---> LINK ARCHIVO <---

Packet Tracer - Configuring Initi

LINKS

---> PROYECTO <---

---> IMÁGENES <---

Análisis vídeo amanecer de la RED

 

Reconociendo lo Aprendido UD1 - IoT

 El Internet de las cosas (IoT) 

Es el proceso que permite realizar la conexión de elementos físicos cotidianos al Internet: desde objetos domésticos comunes, como las bombillas de luz, hasta  dispositivos médicos; también ciudades inteligentes con todo tipo de tecnología que ayuda al desarrollo. 

Referencias: 

https://es.statista.com/temas/6976/el-internet-de-las-cosas-iot/

https://es.wikipedia.org/wiki/Internet_de_las_cosas