SESIÓN 9

SESIÓN 9

Actividad 1: Servicio de detección de malware "VirusTotal"

En esta actividad utilizaremos el servicio online “Virustotal”. Esta herramienta nos permite verificar si un fichero sospechoso por su procedencia contiene o no un posible malware. De esta forma, esta plataforma permite analizar de forma online y gratuita tanto archivos como páginas web de las que sospechamos.

Una vez hemos accedido a la página de Virustotal nos encontramos con un visor que nos permite seleccionar un archivo que tengamos en nuestro PC o bien insertar la dirección URL de una web.

A continuación vamos a insertar la hoja de cálculo para el análisis de riesgos creada por el INCIBE. Al hacerlo, se lleva a cabo un análisis de este archivo y el resultado que nos muestra es el siguiente:

Como se muestra, este archivo se encuentra libre de contener algún tipo de malware.

Actividad 2: Comprobación de la seguridad de nuestro PC

Como puede verse, el sistema se encuentra protegido mediante un softare antivirus actualizado. 

Actividad 4: Servicio Antibotnet de la OSI

En esta actividad se va a comprobar si nuestro PC se encuentra en una botnet (red de ordenadores zombis). Para ello, vamos a utilizar la herramienta proporcionada por la Oficina de Seguridad del Internauta (OSI). Los pasos a seguir se muestran en las siguientes capturas:

Una vez entramos en el Servicio AntiBotnet de la OSI seleccionamos la opción “Chequea tu conexión”. Tras esto, debemos aceptar las condiciones de uso y privacidad.

La siguiente captura es el resultado que el Servicio AntiBotnet te ofrece. En este caso, podemos observar que mi PC se encuentra libre de incidentes de botnets.

SESIÓN 8

SESIÓN 8

Actividad 1: Hoja de "Catálogo de amenazas" de la hoja de cálculo de INCIBE

- Grupo 1 (color azul): son amenazas de origen natural. Afectan a la Disponibilidad.

- Grupo 2 (color gris): todas afectan a algún aspecto de la información de la organización. Afectan a la Confidencialidad.

- Grupo 3 (color verde): se trata de fallos en las infraestructuras críticas. Afectan a la Disponibilidad y a la Integridad.

- Grupo 4 (color rosa): fallos en el sistema, tanto accidentales como intencionados. Afectan a Disponibilidad, Integridad y Confidencialidad.

- Grupo 5 (color naranja): se trata de amenazas de tipo humano de carácter accidental. Afectan a la Disponibilidad, Integridad y Confidencialidad.

- Grupo 6 (color morado): se trata de amenazas de tipo humano de carácter intencional. Afectan a Disponibilidad y Confidencialidad.

Actividad 2: Hoja de "Cruces amenazas-activos"  de la hoja de cálculo de INCIBE

En la hoja de cruces amenazas-activos facilitada por INCIBE encontramos 31 amenazas a evaluar en función de 14 tipos de activos a los que pueden afectar o no. Por tanto, se deberán hacer tantas evaluaciones de amenazas como se crea pertinente, en este caso, de las 31 amenazas.

A continuación, nos imaginaremos un escenario de trabajo en el que se está llevando a cabo un análisis de riesgos de este tipo. Para estimar el tiempo que se tardará en realizar este cruce entre activos y amenazas se debe tener en cuenta que este es precisamente uno de los pasos más determinantes en el análisis de riesgos, puesto que es en este momento cuándo se evalúa cuánto y de qué manera una amenaza está afectando o va a afectar a un activo. Por tanto, el cruce amenazas-activos es un paso crítico que se debe elaborar de forma minuciosa. En conclusión, podemos estimar el tiempo necesario para llevar a cabo el cruce amenazas-activos en al menos, una o dos horas. 

Actividad 3: Vulnerabilidad del Boletín de Seguridad de Microsoft y código CVE

Explorando los resúmenes mensuales del Boletín de Seguridad de Microsoft he encontrado dentro de enero de 2017 la vulnerabilidad MS17-001. Esta vulnerabilidad permitía una elevación de privilegios en una web diseñada con Microsoft Edge. De esta forma, un atacante que explotara con éxito esta vulnerabilidad podría obtener permisos elevados en el directorio del espacio de nombres de un sistema vulnerable y obtener privilegios elevados. En otras palabras, el atacante podía acceder a un dominio y obtener información de este.El CVE de esta vulnerabilidad es: CVE-2017-0002.

El CVE (Código de Verificación Electrónica), también conocido como CSV (Código Seguro de Verificación). Consiste en un código de seguridad que se asocia inequívocamente a cada documento electrónico para identificar la validez y autenticidad de este. Concretamente, el código CVE se usa para documentos públicos, como boletines oficiales. De esta forma, dentro del Boletín de Seguridad de Microsoft tendrá asociado a cada una de sus vulnerabilidades publicadas un CVE que la identifica. 

Actividad 4: Vulnerabilidad en Security Focus

Al introducir el CVE de la vulnerabilidad escogida en la actividad anterior (CVE-2017-0002) en el buscador Security Focus, obtenemos la siguiente información:

Vemos que este buscador nos ofrece información muy útil como el tipo de vulnerabilidad de la que se trata (error de diseño) y si es local o remota (en este caso remota y no local) También nos informa sobre la fecha de publicación de la vulnerabilidad (10 de enero de 2017 a las 12AM) y la fecha de actualización de la misma (12 de enero de 2017 a las 12.14AM). Incluso, nos proporciona todos las versiones de Microsoft Edge 0 a las que afectaba esta vulnerabilidad.

Además, el buscador nos ofrece más pestañas con información adicional sobre la explicación de la vulnerabilidad, si ha habido explotaciones de dicha vulnerabilidad, la solución que se aportó ante esta y, por último, referencias sobre la misma.   

La última vulnerabilidad publicada es la siguiente: 

Esta vulnerabilidad fue publicada en mayo del 2009. Podemos ver que esta vulnerabilidad afectaba a usuarios de la plataforma RedHat OpenShift, que se trata de un producto de computación en la nube creado como servicio de Red Hat. 

Actividad 5: Ciberamenazas y vulnerabilidades en el CCN

El Centro Criptológico Nacional (CCN) utiliza los siguientes criterios para definir el nivel de alerta en ciberamenazas: 

Según el CCN, España se encuentra hoy en día en un nivel de alerta "Alto" por ciberamanzas. 

Dentro de las vulnerabilidades publicadas por el CCN se pueden diferenciar aquellas que podrían afectar claramente al aula de informática de la universidad, que son las relativas al sistema operativo Windows, que es el utilizado en los ordenadores del aula. 
Las vulnerabilidades de Windows publicadas por el CCN y que, por tanto, podrían afectar a un ordenador del aula de informática son las siguientes: 

SESIÓN 7

SESIÓN 7

Actividad 1: Creación matriz de riesgos mediante "itmplatform"

En esta actividad estamos creando una matriz cuantitativa de riesgos. Una matriz cuantitativa de riesgos es una herramienta muy útil para calcular el valor numérico o categórico que representa un riesgo. En este caso, al ser cuantitativa y no cualitativa, la magnitud del daño nos indicará exactamente el nivel de impacto.

Para crear una matriz de este tipo a través de la plataforma ITM Platform en primer lugar debemos añadir un nombre a la nueva matriz que vamos a crear. A continuación, se deben personalizar los valores y los umbrales de esta matriz como se muestra en la siguiente captura:

Tanto el eje de probabilidad como el eje de impacto quedarán definidos entre los valores 1 (bajo) y 4 (alto). Por otro lado, el umbral de nivel de riesgo bajo (que comienza a partir del valor 1) será identificado con el color verde, el umbral medio (cuyo valor mínimo es el 8) en color amarillo, y por último, el umbral de riesgo alto (que empieza desde el valor 12) irá en color rojo. El resultado que obtenemos es el siguiente: 

Actividad 2: Diagrama de burbujas de 10 riesgos

En primer lugar, añadimos 10 riesgos a nuestra matriz:

Tras haber añadido 10 riesgos a nuestra matriz de riesgos se muestra el siguiente diagrama de burbujas: 

De esta forma, podemos ver gráficamente la presencia de 10 riesgos en nuestra organización (nuestro hogar) y podremos ver para cada uno de ellos su nivel de riesgo y su probabilidad. Esta gráfica sería útil para advertirnos de la presencia de tres grandes riesgos importantes que amenazan nuestra casa, ya que vemos que hay tres riesgos con un nivel de riesgo alto (las tres burbujas rojas). Además, estos tres tienen también una probabilidad de impacto alta, lo cual los convierte en tres puntos de especial importancia en la protección de nuestro hogar frente a riesgos y amenazas.

Actividad 3: Descripción de la hoja de cálculo para el análisis de riesgos de INCIBE

Esta aplicación del INCIBE consiste en una herramienta diseñada para el análisis de riesgos. A través de esta herramienta se pueden analizar los activos a tener en cuenta en la organización y las amenazas que afectan a esos activos, con sus respectivas probabilidades e impacto sobre cada activo. Podemos encontrar las siguientes hojas: 

• Hoja “Ejemplo de análisis”: ejemplo de un análisis de riesgos a seguir de forma que se presentan las instrucciones y pasos a seguir para realizar un análisis de riesgos al completo.
• Hoja “tablas AR”: se incluye una tabla para estimar la probabilidad y otra para estimar el impacto, ambas con valoraciones de impacto según una escala de tres valores. Además, hay una tabla de criterios para la aceptación del riesgo según un rango previamente establecido.
• Hoja “Catálogo amenazas”: este apartado recoge un listado con las principales amenazas a considerar en un análisis de riesgos. Esta lista es un estracto del católog de amenazas de MAGERIT ligeramente modificado.
• Hoja “Activos” (Paso 1): contiene una enumeración de de los activos planteados para cada uno de los tipos de empresa propuestos en las instrucciones de la hoja “Ejemplo de análisis”: Modelo A, Modelo B y Modelo C. Así, encontrmos A1 (ordenadores), A2 (móviles), etc.
• Hoja “Cruces Activo-Amenaza” (Paso 2): recoge en las filas las amenazas que afectan y en las columnas cada uno de los activos específicos elegidos, de forma que se marcará con un “SÍ” cuando la amenaza afete a ese activo.
• Hoja “Análisis de Riesgos” (Pasos 2 y 3): aquí es dónde se realiza en análisis de riesgos propiamente. Se indicará cada uno de los activos cruzado con cada una de las amenazas que le afecta. Así, cada cruce de este tipo tendrá un valor de probabilidad, otro de impacto y otro de riesgo. 

SESIÓN 6

SESIÓN 6

Actividad 1: Norma ISO/IEC 27002 (ISO/IEC 27002:2005 e ISO/IEC 27002:2013)

La norma ISO/IEC 27002 consiste en una guía de buenas prácticas para el desarrollo de un SGSI. Es un estándar que contiene los objetivos de control y los controles recomendables para la protección de la seguridad de la información. Fue publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión más actual de esta norma es de 2013, cuyo antecedente es la ISO/IEC 27002:2005, que pasó a ser denominada como tal en el 2007. A continuación, desarrollaré más detalladamente cada una de estas y sus diferencias.

Norma ISO/IEC 27002:2005

Cuenta con 11 dominios, 39 objetivos de control y 133 controles recomendables. 

Norma ISO/IEC 27002:2013

Cuenta con 14 dominios. Los tres nuevos añadidos respecto a su anterior versión son las secciones 10 (cifrado), 13 (seguridad en las telecomunicaciones) y 15 (relaciones con los suministradores). Tiene 35 objetivos de control y 114 controles.

Actividad 2: Hoja de calculo de riesgos de cada dominio de la ISO/IEC 27002:2013

Actividad 3: Peso de cada dominio en la ISO/IEC 27002:2013

Actividad 4: Hoja de cálculo del dominio "Seguridad ligada a los Recursos Humanos"

Actividad 5: Elección de un dominio e investigación del mismo

Dominio: 15. Relaciones con suministradores

Este dominio de la norma hace referencia a la gestión de la seguridad que la empresa debe implementar en lo que se refiere a aquellos acuerdos que la empresa mantiene con terceros.

Dentro de este dominio podemos encontrar dos objetivos de control: seguridad de la información en las relaciones con suministradores y gestión de la prestación del servicio por suministradores.

15.1 Seguridad de la información en las relaciones con suministradores

Este objetivo de control consiste en asegurar que todos aquellos activos de la empresa que están accesibles para los suministradores estén protegidos. Dentro de este objetivo de control encontramos los siguientes controles:

• 15.1.1 Política de seguridad de la información para suministradores: con el fin de reducir el riesgo que existe por el acceso de los proveedores a los activos de la empresa es necesario que esta disponga de una política de seguridad concreta para este fin.
• 15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores: cada acuerdo que se establece con cada uno de los proveedores de la empresa debería incluir los requisitos de seguridad de la información pertinentes.
• 15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones: cada acuerdo establecido con cada proveedor de la empresa debería incluir los requisitos de seguridad de la información necesarios para abordar el riesgo derivado del uso de las TTICs en esa cadena de suministro.

15.2 Gestión de la prestación del servicio por suministradores

Este objetivo de control consiste en establecer acuerdos con el nivel de seguridad oportuno y mantener la actividad de los proveedores alineada con ese acuerdo.

• 15.2.1 Supervisión y revisión de los servicios prestados por terceros: la empresa deberá controlar regularmente la actividad de los proveedores mediante auditorías.
• 15.2.2 Gestión de cambios en los servicios prestados por terceros: cuando la empresa cambie de proveedor se deberán mantener las políticas de SI y los controles. Además, se debe prestar especial importancia a la criticidad de la información comercial.

SESIÓN 5

SESIÓN 5

Actividad 1: Diseño de política de seguridad sobre gestión de seguridad de la información. 

En la práctica de esta sesión 5 diseñaré mi propia política de seguridad. Esta política de seguridad consistirá en un SGSI, es decir, un sistema de gestión de la seguridad de la información que tendrá como alcance toda mi casa.

Personalmente, considero necesario y fundamental una acción de este tipo. Nuestro domicilio es al fin y al cabo el lugar en el que pasamos más tiempo, lo cual lo convierte en un espacio que requiere de nuestra atención en lo que a seguridad se refiere. Además, es el sitio en el que se encuentran todos nuestros objetos y pertenencias más personales, así como como la mayor parte de nuestra información privada y confidencia. En otras palabras, nuestro domicilio, al igual que cualquier empresa, tiene una serie de activos que son de vital importancia para nosotros y que por tanto debemos proteger. Nuestro domicilio cuenta con numerosas vulnerabilidades y se encuentra muy expuesto a muchas amenazas y es por ello que es muy conveniente y positivo desarrollar un sistema de gestión de la seguridad de la información de nuestro hogar que contenga controles que puedan solucionar esos riesgos que se ciernen sobre nuestro lugar de residencia.

En primer lugar, ha de establecerse quién ejercerá la alta dirección de este sistema de seguridad. En mi caso, la alta dirección estará formada por todas las personas que viven en mi casa. De esta forma, los cuatro miembros de mi familia que actualmente residimos en nuestro domicilio seremos los responsables de la dirección de esta política de seguridad.

En segundo lugar, se decretará que aquellos residentes del domicilio que no cumplan con lo acordado y establecido en la política de seguridad diseñada serán sancionados con su retiro de la alta dirección del sistema de seguridad. De forma que, aquellos miembros que incumplan la política no podrán, a partir de entonces, tomar ningún tipo de decisiones respecto a ella.

Actividad 2: Identificación de los activos presentes en el domicilio

Actividad 3: Identificación de amenazas sobre los activos y análisis de los riesgos

En las columnas encontramos representados los activos críticos de nuestro domicilio previamente mencionados en la actividad 2. En cada una de las filas se representan diferentes amenazas que pueden dañar a nuestros activos. Así, en cada una de las celdas se indica una estimación del riesgo que supone dicha amenaza para cada activo. 

Actividad 4: Planificación del SGSI mediante un diagrama de tiempo de Gantt

Actividad 5: Selección y aplicación de una medida de control de la ISO27002

Dentro del catálogo de medidas de control de la norma ISO 27002 de 2013 podemos encontrar diferentes controles que podrían ser aplicados a nuestro SGSI. Un ejemplo concreto de medida de control a aplicar para nuestro hogar es el siguiente: dentro del dominio de seguridad física y ambiental, y concretamente dentro del objetivo de control de “Seguridad de los equipos” encontramos varios puntos que nos pueden ser de especial interés. Por ejemplo, el punto 11.2.1 (Emplazamiento y protección de equipos), el 11.2.3 (Seguridad del cableado) y el 11.2.4 (Mantenimiento de los equipos). Estos tres puntos consisten en medidas de control que podrían ser aplicadas a nuestros activos del tipo “Dispositivos electrónicos”. Conseguir una buena protección de nuestros equipos electrónicos y de su cableado, así como ocuparnos de su mantenimiento, observando de forma periódica que todos los mecanismos electrónicos presentes en nuestra casa funcionan correctamente y no han sufrido ningún daño son medidas de control que podrían resultar muy eficaces a la hora de prevenir y evitar una materialización de la posible amenaza de incendio de los dispositivos electrónicos, la cual había sido valorada en la fase de “Análisis de riesgos” con un nivel de riesgo alto.