Matriz de riesgos

 

Origen de las amenazas

Básicamente una amenaza surge de la existencia de vulnerabilidades dentro de un organización. Estas situaciones suelen darse debido a cambios mal implementados, falta de capacitación, de estructuración organizacional, sistemas y equipos obsoletos. 

Una amenaza puede ser intencional o no, lo que quiere decir que en ambos casos el ataque puede ser inesperado; sin embargo, cuando es intencional es muy difícil predecir el momento del suceso, por lo cual es importante estar siempre preparados y actualizados; cuando no es intencional, como por ejemplo una pérdida de información por fallos eléctricos, siempre se puede estar preparado, pues son cosas que suelen suceder sin ningún tipo de novedad respecto a cuestionas históricas.

 

Análisis de riesgos

ANALIZAR LA IMPORTANCIA DEL ANÁLISIS  DE RIESGOS

 

Este proceso consiste en identificar los riegos de seguridad de nuestra empresa, determinar su magnitud e identificar las áreas que requieren implantar más seguridad. El análisis de riegos tiene que cubrir las necesidades de seguridad de la organización teniendo siempre en cuenta los recursos económicos y humanos con los que esta cuenta. La inversión en seguridad tiene que ser proporcional al riego. El análisis de riegos aporta objetividad a los criterios en los que se apoya la seguridad ya que se centra en proteger los activos más críticos permitiendo a la organización gestionar los riesgos por sí misma. Además, apoya la toma de decisiones basándose en los riesgos propios. Para evitar la subjetividad durante la realización del análisis es bueno contar con la colaboración de diversas áreas de la organización y no únicamente con el área propietaria del activo, ya que se evitará en gran medida la subjetividad que pueda tener el responsable de dicho activo. Los análisis de riegos deben utilizar unos criterios definidos claramente que se puedan reproducir en ocasiones sucesivas. De esta manera se puede ir comparando el nivel de riesgo en una organización a medida que se va manejando el sistema de gestión de seguridad de la información. Existen multitud de metodologías que nos pueden facilitar la realización de un análisis de riesgos, estas metodologías nos indican los pasos a seguir para su correcta ejecución, ya que, como se ha visto, suelen ser muy complejos y tienen multitud de variables. Utilizar una herramienta para llevar a cabo el análisis de riesgos facilita su elaboración y permiten realizar las labores de manera más sistemática, esto facilita que la información resultante sea reutilizable y comparable con resultados de sucesivos análisis.

 

Norma Nch-ISO 27001

 SISTEMAS DE GESTIÓN LA SEGURIDAD DE LA INFORMACIÓN

La NCH ISO 27001 es una norma chilena que ha sido elaborada y difundida por el Instituto Nacional de Normalización (INN, la cual permite garantizar la confidencialidad e integración de la información que manipulan las organizaciones.

La norma NCH ISO27001 para los Sistemas de Gestión de Seguridad de la Información o SGSI hace posible que las organizaciones lleven a cabo una evaluación del riesgo y adopte los controles imprescindibles para lograr mitigarlos e incluso eliminarlos.

Con la implementación de la NCH-ISO27001, las organizaciones consiguen mejorar la imagen dentro de un mercado cada vez más competitivo.

Para llevar a cabo una adecuada Gestión de la Seguridad de la Información en las empresas, se necesita del uso de buenas prácticas o controles que están establecidos por la norma NCH-ISO 27002.

 

Vulnerabilidades del software

Una vulnerabilidad del software es un fallo de seguridad en una aplicación a través de la cual, un atacante puede llegar a comprometer la seguridad de todo el sistema sobre el que se ejecuta esa aplicación.
En el siguiente artículo el Observatorio INTECO explica qué son las vulnerabilidades del software, por qué ocurren, de qué factores dependen y cómo gestionarlas.
Desde el punto de vista del usuario, cuando se descubre una vulnerabilidad del software, lo más importante es saber cómo protegerse. En este sentido, son fundamentales las actualizaciones y parches de seguridad publicadas generalmente por los creadores de los programas informáticos. Finalmente, el documento aborda la gestión de vulnerabilidades por parte de INTECO y su servicio gratuito, a disposición de los usuarios, de un repositorio con información sobre cada una de las vulnerabilidades informáticas públicamente conocidas.

 

Árboles de ataque

 Las fases de análisis de riesgo son: 

– Establecimiento del contexto.

– Evaluación del riesgo.

– Tratamiento del riesgo.

– Aceptación del riesgo.

– Comunicación del riesgo.

– Monitorización y revisión del riesgo.

Activo

– Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización.

Escenario de riesgos

Descripción del efecto de un conjunto determinado de amenazas sobre un determinado conjunto de activos, recursos y salvaguardas, teniendo en cuenta determinadas hipótesis definidas.

Modelado de amenazas

 Es una técnica de ingeniería cuyo objetivo es ayudar a identificar y planificar de forma correcta la mejor manera de disminuir los riesgos a los que esta expuesta una organización.

 Es un proceso que nos va a facilitar la comprensión de las diferentes amenazas a las que esta expuesta una organización o una instalación, y cuya finalidad es ayudar a determinar las medidas de protección adecuadas.

 Se trata de identificar las amenazas y definir un plan de acción adecuado que nos permita mitigar el riesgo a unos niveles aceptables, de una forma efectiva y en base a unos costes razonables.

 Contribuye a identificar y cumplir con los objetivos de seguridad específicos de cada entorno y facilita la priorización de tareas de protección en base al nivel de riesgo resultante.

Un modelado de amenazas debe de tener:

– Identificar amenazas potenciales así como las condiciones necesarias para que un ataque se logre llevar a cabo con éxito.

– Facilitar la identificación de las condiciones o aquellas vulnerabilidades que, una vez eliminadas o contrarrestadas, afectan a la probabilidad de materialización de múltiples amenazas.

– Proporcionar información relevante sobre cuales serían las salvaguardas más eficaces para contrarrestar un posible ataque y/o mitigar los efectos de la presencia de una vulnerabilidad en nuestra organización.

– Proveer información sobre cómo las medidas actuales previenen la materialización de las amenazas.

– Transmitir a la dirección la importancia de los riesgos a los que está expuesta en términos de impacto de negocio.

– Proporcionar una estrategia sólida para evitar posibles brechas de seguridad.

– Facilitar la comunicación y promover una mejor concienciación sobre la importancia de la seguridad.

Una de las técnicas mas importantes para el modelado de amenazas son los arboles de ataque, y estas son mas o menos las pautas a seguir:

 Para construir un árbol de ataque el objetivo del atacante se usa como raíz del árbol, y a partir de éste, de forma iterativa e incremental se van detallando como ramas del árbol las diferentes formas de alcanzar dicho objetivo, convirtiéndose las ramas en objetivos intermedios que a su vez pueden refinarse.

 Al estudiar y analizar el conjunto de todos los posibles ataques a los que está expuesto un objetivo, se acaba modelando un bosque de árboles de ataque. El conjunto de ataques a estudiar esta formado tanto por ataques de carácter físico como cibernético, y como se ha indicado anteriormente, se debe tener en cuenta la posibilidad de un ataque combinado.

 Un árbol de ataque estudia y analiza cómo se puede atacar un objetivo y por tanto permite identificar qué salvaguardas se necesita desplegar para impedirlo. También permiten estudiar las actividades que tendría que desarrollar el atacante y por tanto lo que necesita saber y lo que necesita tener para realizar el ataque; de esta forma es posible determinar la probabilidad de que el ataque se produzca, si se conoce quién pudiera estar interesado en atacar el objetivo y se analiza su capacidad para disponer de la información, habilidades y recursos necesarios para llevar a cabo dicho ataque.

 Para poder elaborar un árbol de ataque hay que analizar el escenario al que nos enfrentamos y estudiar el problema desde el punto de vista en que haría el potencial atacante.

 

Metodología OCTAVE

En la plataforma hicimos el análisis de una universidad por medio de la metodología Octave. Vimos como esta metodología es de gran importancia para la toma de decisiones y mitigación del riesgo, pues a traves de ella podemos obtener beneficios como: dirigir y gestionar adecuadamente sus evaluaciones de riesgos, tomar decisiones basándose en los mismos, proteger los activos de información y, por último, comunicar de forma efectiva la información clave de seguridad.

Dependiendo del tamaño de la empresa se usa una de las metodologías Octave, por ejemplo si es una empresa muy grande se usa Octave, si es pequeña se usa Octave-s y para enfocarse en los activos de información se usa Octave Allegro. 

Las fase de Octave son: 

Caracterizacion del sistema.

Identificación de amenazas.

Identificación de vulnerabilidades.

Análisis de controles.

Determinación de la probabilidad.

Análisis de impacto.

Determinación del riesgo.

Recomendaciones de control.

Documentación de resultados.

Establecimiento de parámetros.

 

Necesidades de Seguridad.

 

 

Metodologías para análisis de riesgos

En vista de que todo hoy en día se mueve por medio de los sistemas de información, hay unas metodologías que ayudan al análisis de riesgos en las organizaciones y esto hace mas fácil la tarea de toma de decisiones en la custodia de la información que al final de cuentas es el activo mas importante de las empresas. 

Las metodologías usadas para el análisis de información son:

OCTAVE, MEHARI, MAGERIT, CRAMM, EBIOS y NIST SP 800-30.

 

Norma NTC-ISO 27005

Es una norma colombiana que se deriva de la norma chilena ISO 27001 y su fin es estandarizar la manera en que se deben de realizar las organizaciones en la gestión del riesgo en la seguridad de la información. 

Es una norma que suministra directrices para la gestión del riesgo en la seguridad de la información.

Hace énfasis en el impacto, riesgo en la seguridad de la información, evitación del riesgo, comunicación del riesgo, estimación del riesgo, identificación del riesgo, reducción del riesgo, retención del riesgo, transferencia del riesgo.

 

Seguridad Informática

¿Que es la seguridad informática?

es un conjunto de herramientas, procedimientos y estrategias que tienen como objetivo garantizar la integridad, disponibilidad y confidencialidad de la información de una entidad en un sistema.

La seguridad informática se caracteriza por la protección de datos y de comunicaciones en una red asegurando, en la medida de lo posible, los tres principios básicos:

• La integridad de los datos: la modificación de cualquier tipo de información debe ser conocido y autorizado por el autor o entidad.
• La disponibilidad del sistema: la operación continua para mantener la productividad y la credibilidad de la empresa.
• La confidencialidad: la divulgación de datos debe ser autorizada y los datos protegidos contra ataques que violen este principio.

La seguridad informática es una disciplina o rama de la Tecnología de la información, que estudia e implementa las amenazas y vulnerabilidades de los sistemas informáticos especialmente en la red como, por ejemplo, virus, gusanos, caballos de troya, ciber-ataques, ataques de invasión, robo de identidad, robo de datos, adivinación de contraseñas, intercepción de comunicaciones electrónicas, entre otros.

 

Amenazas y riesgos

La información es el oro de la actualidad y como tal debe ser tratado, es por ello que a todos nos embarga ese deseo de tener acceso a la información de manera inmediata y constante; esto se ha podido gracias al Internet y a los sistemas de información con acceso desde cualquier parte del mundo en cualquier momento del día, esto es una maravilla, pero como todo lo que vale es muy apetecido hay que tener mucho cuidado con su manejo, pues hay quienes están al acecho de apoderarse de la información y darle un uso poco ético. 

Vamos a enunciar algunos riegos y amenazas que rondan el mundo de los sistemas de información:

Spam.
Hoax.
Malware (virus, gusanos, troyanos, rootkits, spyware, keyloggers, stealers, adware, crimeware, pharming).
Ingenieria social.
Pishing.
Vishing.
Smishing.

Presentación Electiva I: Internet de las Cosas (IoT)

 

Mi nombre es Nelly Soralla Martinez Atehortúa, en la actualidad estoy estudiando desarrollo de software  ya que es algo que me genera mucha satisfacción puesto que la tecnología cada día está tomando más y más fuerza.

Espero con este curso aprender mucho acerca de esta maravillosa herramienta que es el internet, el cual ha revolucionado muchos ámbitos y especialmente el de las comunicaciones de una manera radical hasta el punto de llegar a convertirse en un medio global de comunicación hoy día cotidiano en nuestras vidas. Lo utilizamos para casi todo, desde compartir un momento con un amigo enviando un foto a través de mensajería instantánea hasta pedir una pizza, comprar un televisor, hacer negocios, realizar teletrabajo, infinidad de cosas las que podemos lograr con esta maravillosa herramienta.

 

 

https://i.pinimg.com/564x/e2/9a/b8/e29ab8a748c48dff7dbe57addbf69185.jpg

 

RECONOCIENDO LO APRENDIDO SOBRE IoT -MI PORTAFOLIO UNIDAD 1

 

RECONOCIENDO LO APRENDIDO SOBRE IoT -MI PORTAFOLIO UNIDAD 1

La sociedad actual es cada vez más competitiva y en todos los sectores productivos y de atención al usuario la respuesta inmediata es cada vez más apremiante. La tecnología y la conectividad se han convertido en la herramienta para buscar soluciones inmediatas y cualificadas.

IoT favorece los sectores actuales brindando datos inmediatos que, cruzados con algoritmos brindan respuestas o análisis que ayudan a la toma de decisiones. Igualmente ayuda al envío de información en tiempo real sobre el estado de un objeto o persona, sus indicadores y sus ubicaciones. En cuanto a rendimiento productivo, ayuda mucho no sólo en la ejecución programada de procesos, sino en la generación de datos exactos en tiempo real

Comparto mi infografía en la cual relaciono las actuales aplicaciones de IoT.

“Presentación: Programación de dispositivos móviles”

Hola mi nombre es Soralla Martínez, soy estudiante del último semestre de  la tecnología de desarrollo de software, en la actualidad me desempeño como comerciante emprendiendo en mi propio negocio con el cual ya llevo 10 años.

A raíz de estar laborando en el área de restaurantes hizo que me impulsara a estudiar esta carrera ya que me interesa aprender sobre Programación de dispositivos móviles, porque me agradaría mucho trabajar en un ámbito empresarial que se encargue de solucionar problemas comunes en la vida de las personas; brindar más opciones en las herramientas digitales móviles, crear aplicaciones creativas que estimulen al crecimiento del comercio, la creatividad y la enseñanza; por ejemplo el proyecto de una App que me pueda brindar una mejor cobertura con el servicio a domicilio de mi restaurante.