Práctica 9

Práctica 9

Actividad 1: VirusTotal

En esta actividad se enseña a averiguar si un fichero o URL consta de virus. Se abre la dirección https://www.virustotal.com/es/ y dentro se selecciona un fichero del ordenador o se introduce una URL y seguidamente la página web analiza, en mi caso, un fichero y te da información sobre si ha detectado algún malware. Además, te da diferentes datos del fichero como, por ejemplo, su MD5, cuando ha sido creado, etc. Este servicio es gratuito y accesible a todos los usuarios.

Actividad 4: Conexión

Práctica 7

Prácticas 7

Actividad 1: ITM Platform
En esta actividad hay que usar la página web de ITM Platform para poder elaborar matrices de riesgos.
Para empezar se deben elegir los valores y umbrales que queramos utilizar.

Actividad 2: Matriz de riesgos
Una vez seleccionados anteriormente los valores y umbrales, lo siguiente es añadir los riesgos que quieras, en mi caso, son 10. Estos riesgos se calculan multiplicando la probabilidad por el impacto, al añadir un riesgo seleccionas el valor del impacto y el valor de la probabilidad, y la propia página calcula el riesgo añadiendo una burbuja con el color determinado según sea alto, medio o bajo.

Actividad 3: INCIBE (análisis de riesgos)
La guía consta de varias hojas con utilidades diferentes con un objetivo común: el análisis de riesgos.

Actividad 4: INCIBE (matriz de riesgos)
Tienen un mínimo de 2 y un máximo de 6.

Actividad 5: INCIBE (activos)
Mis activos añadidos serían: PC1, PC2, PC3, portátil 1 y 2, Smart TV, tablet y móviles.
En la plantilla no he podido añadir activos porque está protegida y se necesita contraseña.

Práctica 6

Práctica 6

Actividad 1: Diferencias entre ISO/IEC 27002:2005 e ISO/IEC 27002:2013
La principal diferencia es la estructura. 

El ISO/IEC 27002:2005 tenía 11 secciones principales mientras que ISO/IEC 27002:2013 tiene 14. Estas nuevas secciones analizan la criptografía, la seguridad de las comunicaciones y las relaciones con los proveedores. 

Aunque el del 2013 tenga tres secciones más, es más corto y más centrado que el del 2005. El antiguo tenía 106 páginas de contenido, mientras que el nuevo solo tiene 78.

El ISO/IEC 27002 2013 también tiene varias subsecciones nuevas.

Además, casi todas las secciones se han vuelto a escribir y algunas secciones se han dividido o trasladado a otras secciones. 

También ha habido algunos cambios en la terminología. "Privilegios" ha pasado a ser "derechos de acceso privilegiado", la palabra "contraseñas" ha sido en gran parte reemplazado por "información de autenticación", el verbo "chequear" ha sido reemplazado por verificar, "código malicioso" ahora es "malware", los "registros de auditoría" ahora son "registros de eventos", las "transacciones" en línea ahora se conocen como "transacciones de servicios de aplicaciones", entre otros muchos.

Actividad 2: Dominios de seguridad (riesgos)

Actividad 3: Dominios

Actividad 4: RRHH

Actividad 5: Estudiar un dominio
He escogido estudiar el dominio Cifrado. Este control consta de dos medidas para controlar el riesgo, las cuales son:
- Política de uso de los controles criptográficos: "Se debe desarrollar e implementar una política que regule el uso de controles criptográficos para la protección de la información." La finalidad de este punto es generar una política para una mayor protección de la información a través de la criptografía que se basa en crear un lenguaje inteligible a usuarios no autorizados. Para conseguir el objetivo, se ha de estudiar la empresa para que la nueva política se amolde a las condiciones, básicamente se deberá crear una política que proteja los contenidos importantes y que autorice el acceso a las personas responsables de la empresa.
- Gestión de claves: "Se debe desarrollar e implementar una política sobre el uso, la protección y el ciclo de vida de las claves criptográficas a través de todo su ciclo de vida." Además de la política creada anteriormente, se ha de estudiar también estos términos: uso, protección y ciclo de vida; es decir, quién tendrá acceso y cuánto durará esta política.