Seguridad informática

¡Bienvenidos a un nuevo blog!

En el día de hoy hablaremos sobre la gestión de la seguridad informática. Hay tres dimensiones para medir la seguridad:

1. Confidencialidad.
2. Integridad: que sea veraz.
3. Disponibilidad: Es decir que no se pierda.

Para poner medidas de seguridad, primero deberemos hacer un estudio sobre la situación, en el ámbito de la seguridad, en la que se encuentra nuestro equipo, es decir, un estudio de riesgo. 
La seguridad de la información tiene como objetivo proteger el funcionamiento de un determinado negocio. Cualquier tipo e negocio parte de una misión que justifica su existencia. En cuanto a la seguridad sobre la información, esta actúa sobre las tres dimensiones de la seguridad, citadas previamente. Estas tres dimensiones conforman el modelo CIA.

Debemos tener en cuenta también los peligros, es decir, todo programa, virus o usuarios que puedan atentar o lograr dañar nuestra información o nuestros sistemas. Si tenemos un buen sistema de gestion de la seguridad de la información vamos a poder tener control sobre dicha seguridad. Aunque dicha gestión, que implica tener una buena seguridad, suponga un coste de dinero, por la regla de, a mayor gasto en seguridad, menos impacto del riesgo. más que un coste va a ser una inversión. A la hora de mirar por el dinero, antes de hacer un gran desembolso monetario en sistemas y medidas de seguridad, deberemos valorar si el gasto que nos supone adquirir y mantener dichos sistemas es menor que el valor de aquello que vamos a proteger. 

Ahora vamos a hablar del proceso de gestión. 

La gestión de la seguridad es un proceso continuo que sigue el esquema de mejora PDCA, al cual también podemos denominar como "Círculo de Deming". Esto significa que se debe planificar, a través de la recopilación de toda la información necesaria, las actividades que hay que realizar y los objetivos que se esperan alcanzar. Hay diversas técnicas que pueden ayudar en esta labor, como lo son: los diagramas de tiempo (Gantt), las reuniones, las lluvias de ideas o los métodos de prueba de errores, entre otras.

El estadio de implementación (DO) realmente inicia los cambios que se han planificado previamente. Para ello, como en otras actividades relacionadas con la tecnología de la información  , conviene tener un entorno de prueba donde hacer un piloto de cambios en producción para poder estimar el grado de satisfacción que puede implicar después. Una vez realizada la implementación se debe evaluar de manera adecuada seguidamente.

Fases de un SGSI.

Para gestionar de forma sistemática la seguridad de la información, se debe seguir una serie de pasos que se inician con el compromiso de una alta dirección para establecer un sistema de gestión de seguridad. Una vez definido este compromiso en forma de política de seguridad, se debe eliminar el alcance. A veces, el sistema de gestión puede implicar a toda la organización, pero otras, solo a determinados departamentos (Recursos humanos, departamento de tecnología, etc.) o individuos.

La tarea técnica central de un sistema de gestión es el análisis de riesgos, donde se van a estudiar los activos, las vulnerabilidades, las amenazas y las medidas posibles a tomar como salvaguarda. A continuación, en la gestión del riesgo es donde se tiene en cuenta otros componentes, que influyen desde el punto de vista de la organización y definirán los resultados del análisis y las conclusiones para afrontar los problemas de seguridad encontrados. No obstante, los controles de seguridad que se puedan implantar dependen del presupuesto, asumiendo el riesgo remanente.

Esto determina una fase de aplicabilidad que debe declarar la organización de manera expresa. De esta forma se conocen los riesgos y se pueden poner límites a los imprevistos.
Práctica 1

En la clase de hoy, hemo realizado una práctica, buscar una IP. Pra buscar por ejemplo la Ip de idealista, debemos meterno en la página CMD y poner el comando >ping. A continuación deberemos poner www.idealista.com y obtendremos la Ip, que es 151.101.242.133.

También hemos aprendido a buscar nuestra propia IP, en la misma página (CMD) poniendo el comando >ipconfig. Mi IP, por ejmplo ha sido 193.147.55.108. La diferencia entre la Ip con la de mis compañeros es de solo un número,  no es por casualidad, sino que todas y cada una han sido programadas, y además por orden. Es decir, la Ip de un asiento era 1 y la de al lado 2 y asi sucesivamente. 

Si pusieramos en la página CMD el comando >ping y un conjunto sde letras aleatorias no sale el mensaje "la solicitud de ping no pudo encontrar el host".

Para poder ver los saltos que pegamos para acceder a una página, deberemos poner de nuevo en la página CMD el comando >tracert(espacio en clanco)www.idealista.com. Tardará unos 23 ms, aunque el tiempo puede variar, en calcular las trazas hasta dar con la de la página. En el caso de la de idealista, la encunetra en la 9 traza.

Práctica 2

Hemos estado analizando varios mensajes, tanto de mail como de WhatsApp, falsos y hemos aprendido a saber identificarlos de otros verdaderos basándonos en aspectos como el tipo de letra, los logos o la URL. Si pobnemos sus url en la CMD junto con el comando ping, la mayoría de veces no vamos a encontrar nada porque las han dado de baja. 




Comentarios

Publicar un comentario

Entradas populares de este blog

Práctica 3 Tema 5

Imagen
Actividad  3 Sobre cada activo identificado, vamos a valorar las posibles amenazas que podrían darse de forma intuitiva. Utilizaremos una hoja de cálculo donde las columnas representarán los activos y las filas las amenazas. Cada celda indicará el daño que estimáis que puede ocasionar la perdida o deterioro de ese activo si ocurriera dicha amenaza, es decir, el riesgo. 
Leer más