Sesión 6

Actividad 4.

Hay mayor riesgo en las relaciones con suministradores ya que hay mayor amenaza y menos seguridad.

	PONDERACIÓN DE SEGURIDAD	NIVEL DE AMENAZA	PROBABILIDAD	RIESGO DE COBERTURA
1. Investigación de antecedentes	4	8	0,1	0,8
2. Términos y condiciones de contratación	4	5	0,25	1,25
3.Responsabilidades de gestión	3	5	0,02	0,1
4. Concienciación, educación y capacitación en seguridad informática	7	7	0,003	0,021
5. Proceso disciplinario	8	5	0,08	0,4
6. Cese o cambio de puesto de trabajo	5	8	0,6	4,8
7.Relaciones con suministradores	3	8	0,22	1,76
8.Seguridad de RRHH	7	6	0,08	0,48
9.Gestión de activos	7	8	0,5	4

Actividad 5.

Seguridad física de ISO/IEC 27002:2013

Ocurre que la primera barrera que una persona se encuentra para acceder a los sistemas de información de una organización es el acceso físico. Si el acceso a una instalación está correctamente protegido también lo estará el acceso a los sistemas de información, por eso es necesario considerar cómo gestionar las áreas seguras. ISO 27001 mantiene la seguridad de la información de una organización protegida de accesos inadecuados y otras amenazas a las que se pueda enfrentar.Las áreas seguras deben ser los lugares donde se encuentre localizada la información crítica para la organización, éstas estarán protegidas por un perímetro de seguridad y por los controles de acceso pertinentes.

Estos controles de acceso apoyan la labor de ISO-27001 y serán proporcionales con el nivel crítico de la información que protegen o con los riesgos identificados para los activos.

para evitar accesos no autorizados o daños a la información que una organización maneja es necesario:

• -Asegurar que el acceso a las áreas seguras solo está disponible a personas autorizadas.
• -Definir un perímetro de seguridad, instalar controles de acceso a una instalación e implantar medidas contra inundaciones e incendios.
• -Controlar y registrar cada una de las visitas.
• -En oficinas y despachos, la información crítica estará alejada de zonas de acceso público, fotocopiadoras y faxs estarán apartadas del área de seguridad y se instalarán alarmas para detectar intrusos.
• -El trabajo en las áreas seguras y sus actividades solo las conocerán el personal necesario, y éstas deberán estar cerradas y vigiladas.
• -El material que entre a la organización se deber inspeccionar y registrar antes de introducirlo en la organización.
• Los recursos de la información más críticos deben estar localizados en zonas que no sean de paso general y sin ningún tipo de indicación externa sobre la información que contiene o que se maneja.
  Otros elementos que hace que un área sea segura para salvaguardar la información, son los controles contra inundaciones, fuego, malestar social… Para prevenir la pérdida de información si alguna de estas desgracias ocurriese, se debería contar con copias de seguridad que estén localizadas en una zona distinta a la que están las copias originales.
  Cualquier área de carga y descarga de tipo de punto de acceso público debería estar asilado y distante del lugar donde se encuentran y se manejan recursos con información crítica, así como cualquier material que entre a la organización deberá ser registrado y revisado para protegerla de cualquier amenaza.

Sesión 7.Definición y metodologías de los sistemas de gestión de seguridad de la información

 Sesión 7. PRÁCTICAS SOBRE DEFINICIONES Y METODOLOGÍAS DE ANÁLISIS DE RIESGOS.

Actividad 1.

Estamos haciendo una matriz de un análisis de riesgo donde lo hemos categorizado en colores,el más bajo es verde,amarillo medio y rojo es un riesgo alto. En cuanto al umbral de nivel, el nivel más alto es el 12, el medio tiene valor de 8 y el nivel bajo de 1.

Actividad 2.

En esta actividad lo que se va a hacer es añadir 10 riesgos en esta matriz,donde se añadirá los diez riesgos que pueden haber en la empresa que estamos trabajando(Mi Casa)
Aquí se puede ver unos ejemplos de riesgos que vamos a añadir.
 
 



Vemos el resultado de los 10 riesgos en esta matriz de análisis de riesgos.
Se puede observar que existen dos riesgos con un nivel muy elevado:dejarse la llave de gas abierta y  dejar la plancha encendida.

Actividad 3.Leemos las instrucciones y exploramos por la estructura de hojas, observando para que sirve cada hoja. Describir su utilidad, de nuevo, mediante un post en el blog.

 Existen 6 hojas la hoja de ejemplo de análisis, tablas AR, Catálogo amenazas, cruces activo-amenaza, análisis de riesgos,activos.
Hoja 1. <<Ejemplo de análisis>>: analiza los riesgos que se pueden usar como referencia para realizar la actividad.
Hoja 2. <<Tablas AR>> se encuentra una tabla que orienta a la hora de realizar las valoraciones de probabilidad y de impacto en una escala que posee tres valores.
Hoja 3.<<Catálogo amenazas>> muestra las principales amenazas a considerar en el ámbito de un análisis de riesgos.
Hoja 4.<<Activos>> se compone de una lista de activos definidos para cada uno de los modelos de empresa propuestos en las instrucciones de la actividad final.
Hoja 5<<Cuces Activo-Amenaza>> se utilizará para espeficicar las amenazas que afectan a los activos.
Hoja 6<<Análisis de Riesgos>> se usa para realizar el análisis de riesgos. Tiene que ser indicado la probabilidad y el impacto de cada amenaza sobre cada activo.

Actividad 4.Dibuja la matriz de riesgo. 

A la hora de calcular el riesgo, si hemos optado por hacer el análisis cuantitativo, calcularemos multiplicando los factores probabilidad e impacto:

RIESGO = PROBABILIDAD x IMPACTO

AMENAZA	PROBABILIDAD	IMPACTO	RIESGO
Fuga de información	2	3	6
Degradación de los soportes de almacenamiento de la información	1	3	3
Caída del sistema por sobrecarga	1	2	2
Denegación de servicio	2	1	2
Denegación de servicio	3	2	6
Corte del suministro eléctrico	1	2	2

Actividad 5.Sobre la hoja INCIBE vamos a identificar cual podría ser nuestro riesgo aceptable,es decir, complementariamente cual podría ser nuestro riesgo residual. Elegir un valor entre 2 y 6, según queramos ser más o menos exigentes (o tengamos más o menos presupuesto para invertir en seguridad). Además, vamos a rellenar la hoja dedicada a “activos” (en rojo) con los activos de nuestra organización en nuestro caso de estudio. Compartir cómo te ha resultado esta actividad en tu Blog.

Sesión 6.Medidas de seguridad de la información.

Actividad 1.

ISO/IEC 27002:2005

Posee 11 dominios,39 objetivos de control y 133 controles.

Dominios: Política de seguridad;aspectos organizativos de la seguridad de la información;gestión de activos;seguridad ligada a los recursos humanos;seguridad física y del entorno;gestión de comunicaciones y operaciones,control de acceso;adquisición,desarrollo y mantenimiento de sistemas de información;gestión de incidentes en la seguridad de la información;gestión de la continuidad del negocio;cumplimiento.

ISO/IEC 27002:2013

Posee 14 dominios,35 objetivos de control y 114 controles.

Dominios: Política de seguridad; aspectos organizativos de la seguridad de la información;seguridad ligada a los recursos humanos;gestión de activos;control de accesos;cifrado;seguridad física y ambiental;seguridad en la operativa;seguridad en las telecomunicaciones;adquisición,desarrollo y mantenimiento de los sistemas de información;relaciones con suministradores;gestión de incidentes en la seguridad de la información;aspectos de seguridad de la información en la gestión de la continuidad del negocio;cumplimiento.

Actividad 2

	Ponderación de seguridad	Nivel de amenaza estimada	Probabilidad	Riesgo Cobertura
1.Política de seguridad	10	8	0,05	0,4
2.Aspectos Organizativos	4	7	0,02	0,14
3.Seguridad de RRHH	7	6	0,08	0,48
4.Gestión de activos	7	8	0,5	4
5.Control de accesos	3	5	0,3	1,5
6.Cifrado	9	8	0,25	2
7.Seguridad fisica	7	9	0,01	0,09
8.Seguridad en la operativa	10	2	0,2	0,4
9.Seguridad en las telecomunicaciones	8	5	0,4	2
10.Adquisición,desarrollo y mantenimiento de los sistemas de información	4	7	0,12	0,84
11.Relaciones con suministradores	3	8	0,22	1,76
12.Gestión de incidentes en la seguridad de la información	6	6	0,34	2,04
13.Aspectos de seguridad de la información en la g de contabilidad del negocio	5	5	0,01	0,05
14.Cumplimiento	2	2	0,03	0,06

Actividad 3