Práctica 3 (Tema 7)

Este documento, que previamente has de descargar, sirve de utilidad para facilitar el análisis de riesgos solicitado. Es un documento bastante sencillo en el que se puede ver la descripción de su aplicación:

1.  En esta hoja, llamada "Ejemplo de análisis" contiene un ejemplo para poder ser utilizado de muestra.

2. En siguiente hoja "Tablas AR" Incluye tablas de impacto y probabilidad para realizar distintas valoraciones.

3. La hoja "Catálogo de amenazas" como bien se entiende por este título, refleja las principales amenazas. 

4. En la hoja "Activos" contiene un listado con los activos definidos para cada uno de los modelos de empresa propuestos.

5. La hoja "Cruces Activo - Amenaza" Se utiliza para especificar las amenazas que afectan a los activos del modelo que se elija.

6. Por último la hoja "Análisis de riesgos". Se indica la probabilidad y el impacto de cada amenaza sobre cada uno de los distintos activos.

Práctica 2 (Tema 7)

Como se puede observar, más de un riesgo coincide en la gráfica, de modo que se resalta de color más oscuro. De tal manera que, quedaría así:

Práctica 1 (Tema 7)

En la siguiente imagen podemos ver la probabilidad de ciertas amenazas y el impacto que tendrían si llegan a materializarse. Podemos ver los distintos niveles que hay, desde el verde, es el nivel mínimo que podemos tener, hasta el rojo, que es el nivel más alto de riesgo, pasando por el amarillo que es un nivel intermedio.

Práctica 5 (Tema 6)

He elegido el dominio 16 de la norma ISO 27002: Gestión de incidentes en la seguridad de la información. Dentro de este dominio se encuentran los siguientes controles:

16.1.1 Responsabilidades y procedimientos. Se tendría que establecer las responsabilidades y procedimientos de gestión para poder garantizar una respuesta eficaz, fácil, rápida y ordenada a los posibles incidentes de seguridad que puedan aparecer.

16.1.2 Notificación  de los eventos de seguridad de la información. Los eventos se deberían informar utilizando vías de administración adecuadas.

16.1.3 Notificación de puntos débiles de la seguridad. Se tendría que anotar e informar sobre todas las debilidades en la seguridad de la información, en los sistemas o servicios tanto a los empleados como a contratistas que utilizan estos sistemas y servicios.

16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones. Se deben evaluar los eventos de seguridad y decidir su clasificación como incidentes.

16.1.5 Respuesta a los incidentes de seguridad. Responder ante los incidentes de seguridad de la información en atención a los procedimientos documentados.

16.1.6 Aprendizaje de los incidentes de seguridad de la información. Utilizar el conocimiento obtenido del análisis y la resolución de incidentes de seguridad de la información para reducir la probabilidad y el impacto de incidentes en el futuro.

16.1.7 Recopilación de evidencias. La organización tendría que definir y aplicar los procedimientos necesarios para la identificación, recopilación, adquisición y preservación de la información que puede servir de evidencia.

Para concluir, este dominio trata de proteger los sistemas de seguridad de la información, así, como prevenir incidentes y elaborar una respuesta rápida y eficaz.

Práctica 4 (tema 6)

Práctica 3 (tema 6)

Numero de medidas de cada dominio ISO 27002 de 2013

Práctica 2 (Tema 6)

Práctica 1 (Tema 6)

Para comenzar, definiremos la ISO 27002 de 2005:

Contaba con 11 dominios, 39 objetivos de control y 133 controles.

 En comparación con la ISO 27002 de 2013:

Cuenta con 14 dominios. 35 objetivos de control y 114 controles.

Las principal diferencia que encontramos es la estructura.
Estos nuevos dominios analizan la criptografía, la seguridad de las comunicaciones y las relaciones con los proveedores (10, 13 y 15).
También, se puede observar que los controles disminuyen y los objetivos de control.
Algunos dominios, se han dividido y trasladado a otros, así como se ha eliminado el dominio 4.

Práctica 5 (Tema 5)

16.1.1 Responsabilidades y procedimientos.

Si cambian la clave del router el proveedor de Internet, la compañía tendría que llamar al titular de la línea para comunicárselo o bien para que nos de la contraseña, como para decirnos cómo obtenerla.

También se podría aplicar y de bastante interés, el punto 16.1.3

Este punto es importante porque es la notificación de puntos débiles de la seguridad. Cuando se sabes cuáles son los puntos débiles de un sistema de seguridad ya sea físico o digital, se pueden tomar medidas para que erradicar esos puntos débiles.