Ciberseguridad- Crimi CEU

  Política de seguridad en el hogar Considero que estos podrían ser algunos tips para mantener nuestro hogar seguro ante cualquier amenaza cibernética:  Tener un antivirus y cortafuegos en cada dispositivo del hogar. Ambos deben de ser actualizados cuando el programa lo requiera. Realizar copias de seguridad semanales Guardar la documentación periódicamente y analizar qué información puede contener datos personales para dotarles de una protección mayor Determinar las funciones y responsabilidades de cada uno de los miembros de la vivienda asociado a la prevención y gestión de los riesgos Identificar los posibles riesgos ante los que nos enfrentamos en las actividades que vamos a realizar en el hogar Establecer objetivos y metas de mejora y elaborar planes para su cumplimiento Comprobar periódicamente, alternando el miembro de la casa que lo  va a hacer, la efectividad de dicha Política Informar y comunicar la Política de Seguridad a todos los miembros de la vivienda Actua...

  Plan director de seguridad: Hoja de análisis Siguiendo el ejemplo de análisis que encontramos en la herramienta INCIBE, la matriz de riesgo resultante es  la siguiente: La página web  https://www.itmplatform.com/es/recursos/matriz-de-evaluacion-de-riesgos  de la que ya he hablando en post anteriores, nos permite hacer matrices de riesgo a partir de los datos recogidos en la hoja de calculo de INCIBE. 

  Plan director de seguridad: Hoja para el análisis de riesgo https://www.incibe.es/extfrontinteco/img/File/empresas/dosieres/plan_director_de_seguridad/plan_director_de_seguridad__hoja_para_el_analisis_de_riesgos.xls Esta hoja de cálculo nos ofrece distintas estructuras de hojas con fines diversos: Ejemplo de análisis : Determinar el riesgo aceptable por la organización, e indicarlo en la  pestaña "Tablas AR" Identificar los activos críticos de la organización. Identificar las amenazas que aplican a cada uno de los activos críticos, según la pestaña "Catálogo Amenazas". Establecer la probabilidad y el impacto de que dicha amenaza se materialice, según los valores de la pestaña "Tablas AR". Establecer medidas para aquellos riesgos que superen el riesgo aceptable indicado Tabla AR Catalogo de amenazas :  Este listado recoge las principales amenazas a considerar en el ámbito de un análisis de riesgos. Activos Cruce activos-amenazas Análisis  de riesg...

  Matriz de riesgo  https://www.itmplatform.com/es/recursos/matriz-de-evaluacion-de-riesgos Una matriz de riesgos, conocida también como “Matriz de Probabilidad de Impacto”, es una herramienta, útil para toda empresa, que le permite identificar los riesgos a los que está expuesta. De esa forma, las compañías pueden determinar los niveles aceptables de exposición a aquellos, así como establecer el control apropiado frente a los mismos y monitorear la efectividad del método de control elegido.  Con el link anexionado arriba podemos hacer de forma online, una matriz de riesgo donde poder indicar los riesgos a los que la empresa se encuentra sometida.  Los riesgos se representarán en colores distintos dependiendo del nivel de peligro: alto (rojo), medio (naranja) y bajo (verde). 

CNN (Centro Criptológico Nacional) El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como  CERT Gubernamental Nacional  español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del CNI, el RD 421/2004 de regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes....

Vulnerabilidades de Microsoft  El Boletín de Seguridad de Microsoft informa de los últimos puntos débiles de los sistemas de esta compañía.  En los resúmenes mensuales de seguridad suele verse información relacionada con vulnerabilidades   https://technet.microsoft.com/es-es/security/bulletins.aspx Cada una de las  vulnerabilidades se enumeran en orden de ID de boletín y luego CVE ID.  El Código Seguro de Verificación (CSV) es un término informático que designa al código único que identifica a un documento electrónico en diferentes ámbitos en los que se predica su autenticidad, y, en particular en la Administración Pública y Administración de Justicia españolas. A veces se utiliza indistintamente el término Código de Verificación Electrónica (CVE). Este código CVE está compuesto por identificadores y metadatos predecibles (organismo, tipo de documento, fecha de emisión, etc.) mientras que la composición del Código Seguro de Verificación requi...

  AMENAZAS Y VULNERABILIDADES El Instituto Nacional de Ciberseguridad (INCIBE) trabaja para afianzar la confianza digital, elevar la ciberseguridad y la resiliencia y contribuir al mercado digital de manera que se impulse el uso seguro del ciberespacio en España. Por ello, el INCIBE publica una hoja para el análisis de riesgos a los que pueda estar sometido cualquier espacio informático. Dentro de esta hoja de calcula también incluye un catálogo de amenazas donde se plasman las distintas amenazas que pueden poner en jaque la seguridad de los activos. A continuación, procedo a clasificar las distintos bloques de amenazas según la dimensión de seguridad a la que afecten (confidencialidad, integridad y disponibilidad):

Control de los malware El término “malware” engloba a todo software que de forma malintencionada pretende acceder, modificar o eliminar la información, acceder a información confidencial, acceder a los sistemas informáticos, lograr el control remoto de los mismos e incluso su inutilización. Es importante que archivos, de los que sospechamos puedan estar infectados por algún malware los pasemos por un servicio online (virus total) que permite verificar si un fichero es reconocido como un posible malware. ¡¡¡¡Hagamos una prueba!!!! Paso 1: https://www.virustotal.com/gui/ Paso 2: Subir el archivo que queramos analizar y ver que resultados obtenemos.

DOMINIO "RELACIONES CON PROVEEDORES" El objetivo del dominio de “relaciones con proveedores” es implementar y mantener el nivel apropiado de seguridad de la información y la entrega de los servicios contratados en línea con los acuerdos de entrega de servicios de terceros. La organización debe chequear la implementación de los acuerdos, monitorear su cumplimiento con los estándares y manejar los cambios para asegurar que los servicios sean entregados para satisfacer todos los requerimientos acordados con terceras personas 15.1 Seguridad de la información en las relaciones con suministradores El objetivo es asegurar la protección de los activos de la organización que sean accesibles a los proveedores en la prestación de los servicios contratados. ¿Riesgos asociados? - Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...) - Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionad...

  ISO /IEC 27002 En 1995, las organizaciones internacionales ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) crearon un grupo de normas que consolidan las directrices relacionadas con el alcance de la Seguridad de la Información La  ISO/IEC 27002  es una norma internacional que establece el código de mejores prácticas para apoyar la implantación del Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones. El principal objetivo de la  ISO 27002  es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Esto también incluye la selección, implementación y administración de controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa. Las ventajas proporcionadas por la certificación ISO 27002 son  las siguientes: Mejor concienciación sobre la seguridad...