¡POR FIN OS ESCRIBO MIS LECTORES! CUANTO TIEMPO HA PASADO.
El día anterior no me pasé por aquí, debido a que se suspendió la clase, pero hoy vengo con las pilas cargadas, comencemos.
Hemos empezado el día hablando sobre los próximos exámenes parciales que vamos a realizar en los próximos días y tras esto, las prácticas del tema 7.
Hemos proseguido elaborando una matriz de riesgos, que consta de varias partes:
1. Inventario de activos: donde podemos encontrar (ordenadores, trabajadores, negocios de ventas online, inmobiliario, etc). Debemos de valorar lo que es significativo realmente para nuestro negocio y le adjudicaremos un código a cada uno.
2. Debemos de tener un modelo correcto de amenazas . Que pueden ser amenazas naturales (lluvia, inundación, problemas meteorológicos, etc) y otro tipo de amenazas completamente diferentes. Se suelen catalogar entre 15 o 20 amenazas. Y este análisis consiste en valorar para cada activo el riesgo que hay con la amenaza elegida en nuestra tabla. Existe a nivel cualitativo (mucho, poco, medio) o a nivel cuantitativo (del 1 al 5, del 0 al 10, etc).
El valor del riesgo depende de la matriz del riesgo. Para saber realmente, cómo afecta el riesgo a cada uno de los activos, usamos la matriz de riesgo, que hace la función de una calculadora y tiene una función del impacto o daño que tiene el activo, multiplicado por la probabilidad de que suceda realmente esa amenaza.
Hay matrices de muchos tipos, podemos usar valores tanto cualitativos, como cuantitativos, y a la hora de hacer cálculos, en el caso de las matrices cuantitativas sólo hay que multiplicar, la probabilidad del riesgo, con el impacto en un determinado activo.
Cuando evaluamos la empresa con todos los activos y amenazas, me pregunto por el riesgo y el impacto de que se pueda dañar o no un activo más o menos valioso de la empresa.
RIESGO = IMPACTO Y PROBABILIDAD.
Y aquí, entra la figura de el auditor de seguridad, que su figura en la empresa es de verdadera importancia, se dedica a evaluar los riesgos y es una figura cíclica, puesto que se va actualizando cuando pasa el tiempo y se sufren determinadas experiencias.
TEMA 8: VULNERABILIDADES Y AMENAZAS.
Tras haber realizado los ejercicios prácticos del tema 7, varios de nosotros nos hemos quedado en clase y el profesor ha comenzado con el siguiente tema.
Este tema está basado en la idea de qué es una amenaza: que se define como el elemento capaz de atacar a un sistema de información abusando de sus debilidades, por tanto son un peligro, y cada año, encontramos más amenazas.
Entre la clasificación de las amenazas encontramos:
1. Humanas: los propios empleados de la empresa, que son llamados insiders, aquellos que atacan la organización desde dentro de la empresa.
2. Naturales: efectos meteorológicos, como la lluvia, el fuego, etc.
3. Pasivas: aquellas en las que el atacante no tiene que abordar a otro, no tiene que hacer un ataque específico, como es el caso del sniffing.
4. Activas: son aquellas que alteran la información, estado o funcionamiento, como es el caso de spoofing, que es lo más básico para hackear, engañando a tu router para saber qué es lo que está haciendo otra persona. Es muy conocido como Man In The Middle, aquella situación en la que una persona se interpone en una conversación haciéndose pasar por otra para conseguir información concreta sobre ti.
Luego tenemos lo que conocemos como modelo de la amenaza de la información, donde encontramos varios sub- tipos
1. Interrupción: por motivos intencionales o no intencionales.
2. Intercepción: cuando hay una escucha pasiva, como es caso del sniffing. Como en el caso donde el juez pide que se escuchen unas determinadas conversaciones para resolver el caso, a esto se le llama interceptación de las conversaciones.
3. Modificación: momento en el que hay alguien en medio de la conversación y ésta se modifica, como es el caso del spoofing.
4. Fabricación: cuando ni el receptor ni el interlocutor no están hablando, pero aún se da uso de información falsa. Se suele usar para hackear la Wifi.
¡Y hasta aquí puedo contaros hoy lectores! ¡Muchísimas gracias un día más, por estar aquí y por querer formaros tanto como yo! ¡Estemos todo unidos para hacer de nosotros unos buenos criminólogos! ¡HASTA LA SEMANA QUE VIENE!
¡Y hasta aquí puedo contaros hoy lectores! ¡Muchísimas gracias un día más, por estar aquí y por querer formaros tanto como yo! ¡Estemos todo unidos para hacer de nosotros unos buenos criminólogos! ¡HASTA LA SEMANA QUE VIENE!
No hay comentarios:
Publicar un comentario