domingo, 10 de febrero de 2019

ISO/IEC 27002 (Sesión 6)


 ISO/IEC 27002. 

 Actividad 1.

En 1995, las organizaciones internacionales ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) dieron origen a un grupo de normas que consolidan las directrices relacionadas al alcance de la Seguridad de la Información, siendo representada por la serie 27000.

En este grupo se encuentra la ISO/IEC 27002 (anteriormente denominada estándar 17799:2005), norma internacional que establece el código de mejores prácticas para apoyar la implantación del Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones.

El principal objetivo de la ISO 27002 es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización.

Diferencias entre el antiguo estándar (ISO IEC 27002 2005) y el nuevo (ISO IEC 27002 2013):

         I.          La estructura:
ISO IEC 27002 2005 tenía 11 secciones principales mientras que ISO IEC 27002 2013 ahora tiene 14 (Las secciones discuten criptografía, seguridad de las comunicaciones y relaciones con proveedores).
A pesar de que el nuevo estándar tiene tres secciones más, es más corto y más centrado que el viejo, ya que el antiguo estandarte tenía 106 páginas de contenido, y el nuevo solo tiene 78.

       II.          ISO IEC 27002 2013 también tiene varias subsecciones nuevas (en ellas se discuten la seguridad de la gestión de proyectos, activo manejo, instalación de software, desarrollo seguro, principios de ingeniería de sistemas seguros, seguros entornos de desarrollo, pruebas de seguridad del sistema, seguridad del proveedor, la evaluación de Eventos de seguridad, planificación, implementación y verificación).

Además, la mayoría de las secciones se han reescrito, al menos en cuanto a extensión, y algunas secciones se han dividido o movido a otra secciones (Por ejemplo, la antigua sección 14 sobre continuidad de negocio ha sido completamente reelaborada).

      III.          También ha habido algunos cambios en la terminología:
“Privilegios” se ha convertido en derechos de acceso privilegiados, la palabra “contraseñas” ha sido reemplazada por el secreto de la frase, los terceros usuarios ahora se conocen como usuarios externos, el código malicioso ahora es malware, los registros de auditoría ahora son registros de eventos etc.
Actividad 2. Tabla de Dominios de seguridad ISO






















*La ponderación hará referencia a la probabilidad de que no exista un riesgo.

Actividad 3. Numero de medidas de cada dominio ISO
(expresado por cantidades)

























Actividad 4. Dominio de seguridad ligada a los recursos humanos





















Actividad 5. Dominio 10: Cifrado
(Explicación breve)

El décimo dominio de la norma ISO trata el cifrado con el objetivo de utilizar sistemas y técnicas criptográficas para proteger la información relacionada con el análisis de riesgo que se haya ya efectuado, con el fin de asegurar una adecuada protección de su integridad y confidencialidad.

Para ello, tiene en cuenta dos aspectos:

- La necesidad de una política de uso de los controles criptográficos, ya que se debe desarrollar e implementar una política que regule el uso de controles criptográficos para la protección de la información.
- Una gestión de claves, ya que se debe desarrollar e implementar una política sobre el uso, la protección y el ciclo de vida de las claves criptográficas a través de todo su ciclo de vida.












Publicado por en No hay comentarios:

miércoles, 6 de febrero de 2019

Gestión de la seguridad de la información en mi propio hogar (Sesión 5)

Gestión de la seguridad de la información en mi propio hogar

 Actividad 1.  Política de seguridad

La Familia Álvarez Jiménez establece la siguiente política de seguridad que involucra a todo su domicilio, incluyendo agentes internos y externos que se conecten.

El objetivo de esta política es establecer unas pautas de seguridad informática para tenerlo todo bajo control y evitar riesgos. Esta política será apoyada e impulsada por el comité de dirección, es importante para nosotros seguir los principios de confidencialidad y seguridad.

El documento ha sido optimizado para la organización del domicilio ya que consideramos que documentos extremadamente complejos y extensos son innecesarios para los usuarios.

1.-Realizar respaldo de la información cada semana.
2.-No descargar música, películas u otras archivos no legales.
3.-No abrir documentos adjuntos ni hacer clic en mensajes no solicitados
4.-No visitar paginas web de contenido ilícito.
5.-No proporcionar datos personales a desconocidos por e-mail o teléfono.
6.-No utilizar la misma contraseña en diferentes páginas web o compartirlas.

*La alta dirección será ejercida tanto por mi como por mis padres.

El incumplimiento de la política conllevará una sanción económica de 5 euros por falta (los cuales se destinarán a un futuro viaje familiar).

Impresión personal sobre mantener políticas de seguridad en el hogar:
Considero que es importante fijar unas serie de normas básicas para proteger nuestra intimidad y nuestros datos de ataques o robos en la web, pero sin fijar normas excesivamente estrictas.


Actividad 2 y 3. Activos de mi casa y posibles riesgos:








Actividad 4. Planificación para el sistema de gestión de la seguridad de mi casa:














































Publicado por en No hay comentarios:

Modelo de Seguridad CIA (Actividad 4, Sesión 4)

Modelo de Seguridad CIA

El Modelo de Seguridad CIA o "Triángulo CIA" hace referencia a los tres principios o piedras angulares de los objetivos de seguridad de la información.
Prácticamente todas las prácticas en el marco llamado "Seguridad de la Información" están diseñados para proporcionar estos objetivos.

La confidencialidad se consigue asegurando que los objetos de un sistema solo pueden ser accedidos por elementos autorizados a ello; la integridad significa que los objetos de un sistema solo pueden ser modificados por elementos autorizados y la disponibilidad indica que los elementos del sistema tienen que permanecer accesibles a los elementos autorizados.
Video explicativo:
Publicado por en No hay comentarios:

Informática Aplicada a la Criminología (Actividad 3, Sesión 4)

Informática Aplicada a la Criminología

La asignatura "Informática Aplicada a la Criminología" pertenece a la titulación de "Grado en Criminología" que estoy cursando en el Campus de Alcorcón de la URJC.

Esta asignatura está enmarcada dentro del Módulo de Conocimientos Básicos Comunes del plan de estudios universitarios en Criminología y organizativamente dentro del Área Informática del Departamento de Economía Financiera y Contabilidad e Idioma Moderno.
Como tal materia de formación básica, está diseñada para alumnos que cursan primer curso de carrera en el Grado de Criminología, con una dedicación de 6 ETCS.

El objetivo general de la asignatura es que el alumno adquiera los conceptos fundamentales necesarios para conocer y poner en práctica las tecnologías de la información y las comunicaciones para la gestión de la información en el contexto de las ciencias criminológicas, incluidos los ámbitos de la ciberseguridad y las ciencias forenses.

Personalmente, en esta asignatura,  tengo grandes expectativas tales como una buena formación y un gran aprendizaje.
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)