Entrada extra

Incluyo en el blog la actividad realizada sobre la captura de imágenes de un video por ser atractiva de realizar a la vez que sencilla. Lo que pedía el ejercicio era capturar las imágenes de una evidencia para poder presentarlo en el juicio como prueba, con la herramienta Forevid, el resultado es el siguiente:

*Hacer click sobre las imágenes para ampliarlas.

OSI

Para esta actividad vamos a utilizar la Oficina de Seguridad del Internauta (OSI), del INCIBE, para comprobar si nuestra conexión está incluida en alguna botnet.

Para ello, entramos en la página y le damos a la opción "Chequea tu conexión" aceptando los acuerdos.

El resultado en mi caso es el siguiente:

En definitiva, en este momento mi ordenador no pertenece a ninguna red botnet.

*Hacer click sobre las imágenes para aumentar su tamaño.

Procedencia de Malware

Para esta actividad vamos a utilizar la herramienta Virus Total que nos permite si un archivo del que sospechamos su procedencia, puede estar infectado con un malware.

Para ello subimos el fichero del que sospechamos y se comprobará su seguridad.

He escogido para la actividad uno de los temas impartidos en esta asignatura, lo subimos y tras unos segundos, nos proporcionará información que requerimos.

En este caso, nos informa de que el documento elegido no contiene ningún tipo de malware.

Boletín de Seguridad de Microsoft II

Esta entrada tiene como objetivo únicamente mostrar el Boletín de Seguridad de Microsoft utilizado para actividades anteriores, que nos permite conocer más acerca de las vulnerabilidades producidas.

Su visualización es la siguiente:

*Hacer click sobre la imagen para ampliarla.

Software antivirus

Con esta actividad comprobaremos si nuestro equipo está protegido mediante algún software antivirus. Para ello, consultaremos el centro de actividades de nuestro ordenador, que nos dará la información que necesitamos para saber si nuestro equipo está protegido.

Como podemos comprobar en la siguiente imagen, mi equipo se encuentra protegido por el antivirus requerido:

*Hacer click sobre la imagen para ampliar su contenido.

Ciberamenazas en España

Para esta actividad utilizaremos la página web de CCN (Centro Criptológico Nacional) donde se encuentran las vulnerabilidades y amenazas que han tenido lugar.

El nivel de alerta de las ciberamenazas se clasifica de la siguiente manera:

*Hacer click sobre las imágenes para ampliar.

El nivel de alerta actual en España es bajo según INCIBE:

Por otro lado, las vulnerabilidades que pueden afectar al aula de informática de la URJC, dado que la mayoría de ordenadores son de Microsoft, hacemos una búsqueda de las vulnerabilidades que afectan a este sistema y obtenemos algunas algunas como son CCN-CERT-1710-21767 o CCN-CERT-1709-21363 entre muchas otras.

Vulnerabilidad CVE-2010-1823

Recurriremos al buscador Security Focus para profundizar en la vulnerabilidad elegida como se puede observar en la imagen siguiente:

En ella encontramos información sobre la clase, el ID de Bugtrag, que es remoto, su fecha de publicación, la fecha de actualización, ofreciéndonos además, diferentes pestañas:

La última vulnerabilidad publicada es la siguiente:

Boletín de Seguridad de Microsoft

Este boletín, nos da información acerca de algunas de las vulnerabilidades que se producen; he elegido la vulnerabilidad msvr11-001 publicada el 19 de abril de 2011.

Esta contiene la vulnerabilidad de por vida de los objetos de uso después de la liberación en Chrome, que podría permitir la ejecución remota de código en espacio aislado.

Microsoft notificó el descubrimiento y la solución de una vulnerabilidad que afectaba a las versiones del navegador Google Chrome antes de la 6.0.472.59. La vulnerabilidad consistía en la ejecución remota de código en un espacio aislado en la forma en que Google Chrome intentaba hacer referencia a la memoria que se había liberado. Un atacante podría aprovechar esa vulnerabilidad para que el navegador no responda o salga de forma inesperada, lo que permite que un atacante ejecute un código arbitrario dentro de Google Chrome Sandbox, que se lee y escribe aislado del sistema de archivos local que limita a un atacante.

Microsoft Vulnerability Research informó sobre este problema y lo coordinó con el Proyecto Chromium y el Equipo de Seguirdad de Google para garantizar su solución.

La vulnerabilidad se asignó a la entrada CVE-2010-1823, en la lista de vulnerabilidades y exposiciones comunes.


¿Para qué sirve el CVE?

El CVE (Common Vulnerabilities and Exposures) es una lista de vulnerabilidades de seguridad de la información que se conocen públicamente. Se trata del estándar más usado. Permite identificar cada vulnerabilidad, asignando a cada una un código de identificación único, formado por las siglas "CVE" seguidas por el año en el que la vulnerabilidad es registrada o expuesta y un número arbitrario de cuatro dígitos.

*Desde enero de 2014, es posible que el identificador contenga más de cuatro dígitos para asignar la vulnerabilidad si fuera necesario.

Cruces amenazas-activos

Respecto a la actividad realizada sobre el análisis de riesgo aceptable, publicada anteriormente, la tabla proporcionada por INCIBE contenía 31 amenazas, y mi trabajo consta de seis activos a los que podría afectar dichas amenazas.

En total, son 186 valores que añadí en la tabla, con una dedicación de unos 30 minutos aproximadamente, pero no consiste en un trabajo excesivamente laborioso puesto que la tabla ha sido facilitada anteriormente y eso hace que el trabajo sea mucho más rápido.

Amenazas

Reutilizando la tabla proporcionada por INCIBE, vamos a identificar si las amenazas propuestas afectan a la integridad, disponibilidad o confidencialidad.

Las "X" indican los apartados a los que afecta, de forma que los cuadros en blanco, es donde la confidencialidad, disponibilidad o integridad no se ven afectadas por la amenaza determinada.

Así obtenemos: 

*Hacer click sobre las imágenes para ampliar su contenido.

Análisis de riesgo aceptable

En la siguiente tabla aparecen las amenazas enumeradas por INCIBE a los que les voy a dar un valor de 2 a 6 siendo:

• 2: Nivel bajo.
• 3: Nivel medio-bajo.
• 4: Nivel medio.
• 5: Nivel medio-alto.
• 6: Nivel alto.

*Hacer click en las imágenes para ampliar las tablas.

En cuanto al apartado "activos" del mismo Excel de INCIBE, vamos a completar la tabla propuesta dando la información de si los activos propuestos se encuentran en nuestro caso de estudio:

Matriz de riesgo INCIBE

Vamos a realizar una matriz de riesgo teniendo en cuenta los datos proporcionados por INCIBE en la siguiente tabla:

*Hacer click para aumentar el contenido de la imagen.

Aplicando estos valores en la matriz de riesgo realizada con la plataforma ITM obtenemos los siguientes resultados, donde se observan los valores mínimos y máximos en este caso:

INCIBE

En esta actividad, disponemos de una hoja de Excel diseñada para facilitar el análisis de riesgos.

• Hoja 1. Ejemplo de análisis: contiene un ejemplo de análisis de riesgos. Es posible utilizarla como referencia para realizar la actividad.

• Hoja 2. Tablas AR: incluye unas tablas orientativas para realizar las valoraciones de la probabilidad y el impacto según una escala de tres valores (bajo, medio y alto).

• Hoja 3. Catálogo amenazas: refleja las principales amenazas a considerar en el ámbito de un análisis de riesgos.

1. Fuego
2. Daños por agua.
3. Daños naturales.
4. Fuga de información.
5. Introducción de falsa información.
6. Alteración de la información.
7. Corrupción de la información.
8. Destrucción de la información.
9. Interceptación de información (escuchas)
10. Corte del suministro eléctrico .
11. Condiciones inadecuadas de temperatura o humedad.
12. Fallo de servicios de comunicaciones.
13. Interrupción de otros servicios y suministros esenciales.
14. Desastres industriales
15. Degradación de los soportes de almacenamiento de información.
16. Difusión de software dañino.
17. Errores de mantenimiento/ actualización de programas (software).
18. Errores de mantenimiento/ actualización de equipos (hardware),
19. Caída del sistema por sobrecarga.
20. Pérdida de equipos.
21. Indisponibilidad del personal.
22. Abuso de privilegios de acceso.
23. Acceso no autorizado.
24. Errores de los usuarios.
25. Errores del administrador.
26. Errores de configuración.
27. Denegación del servicio.
28. Robo.
29. Extorsión.
30. Ingeniería social.

• Hoja 4. Activos: contiene un listado con los activos definidos para cada uno de los modelos de empresa propuestos.

• Hoja 5. Cruces Activo-Amenaza: se utilizará para especificar las amenazas que afectan a los activos del modelo elegido.

• Hoja 6. Análisis de riesgos: se utilizará para realizar el análisis de riesgos. Se debe indicar la probabilidad y el impacto de cada amenaza sobre cada uno de los activos.

Matriz de Riesgos de Mi Casa

Con la herramienta ITM he elaborado una matriz de riesgos que pueden producirse en mi casa sobre mis distintos dispositivos, el resultado es el siguiente:

En este caso, he utilizado diez riesgos que se pueden producir en mi casa, ya vistos en actividades anteriores de este blog, dando como resultado el anterior diagrama de burbujas, que representa en color verde un nivel bajo de riesgo, en color amarillo, un nivel medio y en color rojo, un nivel alto.

La razón por la que aparecen únicamente seis burbujas es porque algunos de los riesgos coinciden en número y se representa coloreando de manera más intensa la burbuja correspondiente.

Los datos introducidos son los siguientes:

Matriz de riesgos

En esta actividad realizamos una matriz de riesgos a través de la plataforma ITM que nos permitirá realizar la matriz de forma gratuita.

La matriz muestra la probabilidad que tienen las amenazas y el impacto que producirían si se materializaran, mostrando en color verde el nivel bajo, en amarillo el nivel medio y en rojo, el nivel alto de riesgo.

*Hacer click sobre la imagen para ampliarla.

Aspectos Organizativos de la Seguridad de la Información

Elijo el dominio de los Aspectos Organizativos de la Seguridad de la Información, situados en el punto 6 de la norma ISO IEC 27002:2013.

6.1 Organización interna.

-6.1.1. Asignación de responsabilidades para la seguridad de la información: se debe definir y asignar de forma clara todas las responsabilidades para la seguridad de la información.

-6.1.2. Segregación de tareas: se deben separar las tareas y las áreas de responsabilidad ante posibles conflictos de intereses con el fin de reducir las oportunidades de modificaciones no autorizadas o no intencionadas, o el mal uso de los activos de la organización.

-6.1.3. Contacto con las autoridades: se debería mantener los contactos apropiados con las autoridades pertinentes.

-6.1.4. Contacto con grupos de interés especial: se debería mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales.

-6.1.5. Seguridad de la información en la gestión de proyectos: se debe contemplar la seguridad de la información en la gestión de proyectos e independientemente del tipo de proyecto a desarrollar por la organización.

6.2 Dispositivos para movilidad y teletrabajo.

-6.2.1. Política de uso de dispositivos para movilidad: se debe establecer una política formal y adoptar las medidas de seguridad adecuadas para la protección contra los riesgos derivados del uso de los recursos de informática móvil y las telecomunicaciones.

-6.2.2. Teletrabajo: se debe desarrollar e implantar una política y medidas de seguridad de apoyo para proteger a la información accedida, procesada o almacenada en ubicaciones destinadas al teletrabajo.

Web de referencia.

Dominio de seguridad ligada a los Recursos Humanos

Para esta actividad, realizamos una tabla similar a la de actividades anteriores.

Hacer click en la imagen para ampliar su contenido

Número de medidas de cada dominio ISO IEC 27002:2013

Hacer click en la imagen para ampliar el contenido.

Riesgo de dominios

Vamos a realizar una estimación de los riesgos que cubrirían a los dominios de ISO IEC 27002:2013.


Para ampliar la imagen, hacer click sobre ella.

Norma ISO IEC 27002

La norma ISO IEC 27002 está estructurada en catorce apartados que describen las áreas de seguridad a tener en cuenta para garantizar la seguridad de la información. Se recomiendan 114 controles, aunque no es necesario cumplirlos todos, pero si tenerlos en cuenta y considerar su posible aplicación.

El resumen de los catorce apartados es el siguiente:

1. Políticas de Seguridad de la información: refleja la importancia de disponer de una adecuada política de seguridad, que se encuentre aprobada por la dirección, que sea comunicada a todo el personal, que sea revisada periódicamente y actualizada con los cambios que se vayan produciendo, tanto en el interior como en el exterior.

2. Organización de la Seguridad de la información: busca estructurar un marco de seguridad eficiente mediante los roles, tareas, seguridad y dispositivos móviles.

3. Seguridad relativa a los Recursos Humanos: la mayoría de incidentes en la seguridad tienen origen en un error humano. Por ello es necesario formar al personal correctamente y concienciarles de la importancia de la información.

4. Gestión de activos: considera la información como activo y se centra en cómo se deben establecer las medidas adecuadas para protegerla de los incidentes, rupturas de la seguridad y alteraciones no deseadas.

5. Control de acceso: habrá personal en la organización que necesite mayor acceso a información que otros, por ello se debe controlar de manera adecuada la información a la que puede disponer cada miembro del personal.

6. Criptografía: se debe considerar el uso de la criptografía para proteger y garantizar la autenticidad, confidencialidad e integridad de la información.

7. Seguridad física y Seguridad del entorno: además de proteger los dispositivos ante virus, hackers, etc, se debe evitar dejarlos a disposición de terceras personas externas a la organización.

8. Seguridad de las Operaciones: se centra en la protección técnica del software malicioso, copias de seguridad, gestión de vulnerabilidad, etc.

9. Seguridad de las Comunicaciones: se trata de garantizar la seguridad y la protección de los medios de transmisión de la información.

10. Adquisiciones, desarrollo y mantenimiento de los sistemas de información: la seguridad abarca toda la organización y debe encontrarse presente como elemento transversal clave dentro del sistema de gestión.

11. Relaciones de proveedores: se debe establecer medidas de seguridad ante las relaciones con terceras partes como pudieran ser los proveedores.

12. Gestión de incidentes de la Seguridad de la Información: se considera necesario estar preparados para responder rápidamente y de forma eficaz a los incidentes que puedan ocurrir y así prevenirlos en el futuro.

13. Aspectos de Seguridad de la Información para la Gestión de la continuidad del negocio: perder información relevante para la organización y no poder recuperarla puede afectar considerablemente a la continuidad de éste. 

14. Cumplimiento: en convivencia con la seguridad de la información se encuentra la legislación, normas y políticas aplicables en este campo y por ello, se debe tener presente que tienen una gran importancia en cualquier sistema de gestión y se debe garantizar su cumplimiento y su actualización constante.

Diferencia entre ISO IEC 27002:2005 e ISO IEC 27002:2013.

La diferencia más significativa entre ambos es su estructura, ISO IEC 27002:2005 contaba con once secciones principales, mientras que ISO IEC 27002:2013 cuenta con catorce. Las nuevas secciones analizan la criptografía, seguridad de las comunicaciones y las relaciones de los proveedores.

A pesar de que el nuevo estándar tiene más contenido, es más corto y centrado que el anterior. El antiguo estándar contaba con 106 páginas mientras que el nuevo cuenta con 78.

ISO IEC 27002:2013 contiene, además, varias subsecciones que tratan sobre a seguridad de gestión de proyectos (6.1.5), gestión de activos (8.2.3), instalación de software (12.6.2), el desarrollo seguro (14.2.1), los principios de ingeniería de sistemas seguros (14.2.5), entornos de desarrollo seguro (14.2.6), pruebas de seguridad del sistema (14.2.8), seguridad del proveedor (15.1.1, 15.1.2 y 15.1.3), evaluación de los eventos de seguridad (16.1.4), planificación, implementación y verificación de la continuidad de la seguirdad de la información (17.1.1, 17.1.2 y 17.1.3), y el uso de las instalaciones redundantes de procesamiento de la información (17.2.1).

Se debe considerar que la mayoría de las secciones se han reescrito, e incluso, algunas se han dividido o trasladado a otras secciones.

También ha habido cambios en la terminología, por ejemplo, los "privilegios" ahora se denominan "derechos de acceso privilegiado", "contraseñas" se ha sustituido por "información de autenticación", el "código malicioso" ahora es "malware", entre otros.

Medidas de control de ISO 27002

Vamos a analizar el control 16. Control de accidentes en la seguridad de la información por ser el de mayor utilidad en el caso de un domicilio.

Nos centramos en el 16.1:  Gestión de incidentes de seguridad de la información y mejoras en el que encontramos los siguientes puntos:

• 16.1.1. Responsabilidades y procedimientos: se debe establecer las responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de la información.

• 16.1.2. Notificación de los eventos de seguridad de la información: se deben comunicar los eventos en la seguridad de la comunicación lo más rápido posible mediante los canales de gestión apropiados.

• 16.1.3. Notificación de puntos débiles de la seguridad: todo aquel que sea usuario de los sistemas y servicios de información deben anotar y comunicar cualquier debilidad observada y sospechada en la seguridad de ellos.

• 16.1.4. Valoración de eventos de seguridad de la información y toma de decisiones: debe existir un mecanismo por el cual cuantificar los tipos y costes de los incidentes en la seguridad de la información.

• 16.1.5. Respuesta a los incidentes de seguridad: examinar los procedimientos frente a los incidentes de la seguridad de la información, es decir, saber que es lo que haremos en el caso de un incidente de seguridad.

• 16.1.6. Aprendizaje de los incidentes de seguridad de la información: aprender de los incidentes pasados permitirá no volver a sufrir los mismos daños de la misma forma.

• 16.1.7. Recopilación de evidencias: después de un incidente en la seguridad de información, si implica acción legal (civil o criminal), la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la jurisdicción relevante.

Web

Planificación

Antes de realizar la actividad propuesta, he investigado acerca de algunos software de escritorio y online como posibles opciones para realizar la planificación de una organización:

• Insightly.
• Clubhouse.
• Teamwork Projects.
• JIRA.
• Monday.com.
• Zoho Sprints.
• Targetprocess.
• Paymo.
• Financial Force Project Management.
• Resource Guru. 

De estas herramientas para la gestión de proyectos de organizaciones, los únicos que nos dan la opción de realizar diagramas de Gantt son Tamwork Projects, JIRA, monday.com, Targetprocess, Paymo y Financial Force Project Management.

Página web sobre la gestión de organizaciones.

Para la planificación del sistema de gestión, en este caso, de mi casa utilizaremos la herramienta online canva.

Hacer click sobre la imagen para ampliar.

Posibles amenazas de activos.

Sobre cada uno de los activos de la entrada anterior, vamos a analizar y evaluar las posibles amenazas que pueden sufrir y  a qué grado.

• Obsolescencia programada: los equipos y aparatos tienen ya planificada y prevista cual será el fin de su vida útil. Se trata de una medida que utilizan los vendedores para asegurarse de que las personas seguirán comprando sus productos. Por ejemplo, si fabrican ordenadores que nunca dan errores ni fallos, no sería necesario el uso del servicio técnico, ni tener que renovar el equipo por el fallo derivado del tiempo.

• Golpes: la mayoría de las ocasiones, el motivo por el que un dispositivo o equipo se estropea es por golpes o caídas que lo dañan de manera grave.

• Robo: en este caso, es posible que se produzca tanto dentro de tu casa como en la calle, siendo estos últimos robos sencillos de realizar debido a que aprovechan despistes o aglomeraciones de gente y la rapidez para realizarlo sin dar señales, siendo difícil identificar, posteriormente, el culpable del acto.

• Alta/ Baja tensión: cabe la posibilidad de que exista una bajada o un aumento de la tensión, y esto provoque que el dispositivo o el equipo no soporte la energía administrada y deje repentinamente de funcionar.

• Hackeo: es posible que alguna persona sea víctima de el hackeo de alguien que quiera conseguir documentos, información, archivos o cuentas bancarias para su propio beneficio, sin la autorización de su dueño. 

• Líquidos: una amenaza frecuente es la caída de agua o bebidas en los dispositivos o equipos pudiendo provocar un daño leve o grave, en función de la cantidad y del lugar en el que se produzca.

• Virus: nuestros equipos y dispositivos pueden ser dañados por cualquier tipo de virus cuyo origen sea internet, un correo electrónico...etc.

• El dispositivo se queda anticuado: es necesario actualizar los dispositivos para que sigan siendo funcionales, además de que en ocasiones, se ponen a la venta versiones mejoradas que hacen que nuestro equipo se quede obsoleto para las funciones que queremos realizar.

• Incendio: es posible que se produzca un incendio en un momento determinado que pueda hacer que perdamos todos los dispositivos y equipos de nuestro hogar

En la siguiente tabla se graduará en nivel bajo, medio y alto el daño estimado que provocaría la pérdida del activo en cuestión, es decir, si ocurriera los riesgos anteriores.

*En la clasificación no se tendrán en cuenta los activos humanos.

Hacer click para ampliar imagen.

Activos.

En relación a la entrada anterior, encontramos los siguientes activos que proteger en mi casa:

*Hacer click sobre la imágen para ampliar.

Política de seguridad.

Al igual que las empresas, los hogares deben seguir una política de seguridad para mantener a salvo su información y así poder actuar con total eficiencia.

Una política de seguridad es el conjunto de reglas, normas y protocolos de actuación que se encargan de velar por la seguridad de la informática de, en este caso, una casa.

En la actualidad existen muchas formas de atacar a nuestros dispositivos para conseguir información valiosa que pueda permitir que nos realicen estafas o conseguir algún tipo de beneficio. Debido al avance tecnológico en el que nos encontramos, es necesario controlar mucho más todos los aspectos relacionados con la tecnología para evitar problemas que pueden ser graves.

Primero debemos definir cuáles son los aspectos más importantes que deben estar bajo control y establecer cuáles son los mecanismos de seguirdad que vamos a implantar. Éstos se deben plantear en tres ámbitos diferentes de actuación:

• Prevención: debemos utilizar buenos mecanismos de seguridad para evitar tener que solcuionar problemas.

• Detección: en caso de que se produzca alguna amenaza, debemos saber cómo detectarla y realizar diagnósticos adecuados sobre los errores.

• Actuación: debemos establecer protocolos de actuación que nos ayuden a solucionar cualquier amenaza (en el caso de que se produzca algun fallo en nuestro sistema informático) de la forma más rápida y efectiva posible.

Como ejemplo, voy a realizar la política de seguridad de mi casa.

La alta dirección la realizará mi padre y en caso de que no se cumpla con el protocolo de seguridad, habrá que establecer unas medidas para corregir esos errores y no dejar desprotegida nuestra información.

Nos basamos en:

-Utilizar contraseñas diferentes en todos nuestros dispositivos y no dejar ni a la vista ni en un lugar accesible éstas contraseñas.

-Cambiar la contraseña del WIFI de una manera regular para evitar que accedan a nuestra información.

-Instalaremos antivirus en todos los dispositivos y los mantendremos actualizados.

Como conclusión, afirmo que es imprescindible tener un buen sistema de seguridad para evitar cualquier tipo de robo, extracción o falsificación de nuestra información, así como la urilización de ésta como extorsión. Nuestra información es lo más importante que tenemos, en concreto, en los dispositivos de nuestros hogares tendemos a tener toda nuestra información, toda nuestra vida, y creo que nadie debería poder arrebatárnosla o utilizarla contra nosotros, para hacernos daño.

Fuente de información 1.

Fuente de información 2.

Código binario.

La utilidad de la codificación consiste en crear un único lenguaje que pueda ser utilizado por todo el mundo, es un lenguaje universal.

De esta forma, todo lo que nosotros introduzcamos en el ordenador, será convertido a un código de números formados por ceros y unos, convirtiéndolo en aquello que observamos en nuestra pantalla de, por ejemplo, nuestro ordenador.

Para convertir un número en código binario hay que dividir entre 2. De esta manera siempre se obtendrán dos posibles restos:

• 0.
• 1.

La codificación se utilizará de derecha  a izquierda.

A continuación se muestra un ejemplo de la codificación binaria:

Modelo de seguridad CIA.

El modelo C.I.A se utiliza para caracterizar la seguridad de la información desde los inicios dela computación.

La palabra C.I.A representa las iniciales de las palabras confidencialidad, integridad y disponibilidad (availability) en inglés. En España,por tanto, podría representarse con las iniciales CID. Se relacionan entre sí en forma de triángulo.

Los vértices del triángulo son las dimensiones básicas de la seguridad, y las aristas representan aspectos derivados o servicios básicos de la seguridad que implican dos posibles nodos.

Debemos tener claro que un sistema es mucho más vulnerable de lo que pensamos, por eso, debemos tener en cuenta las causas de los riesgos y la posibilidad de que ocurran fallos. Una vez que interiorizamos esto, podremos tomar las medidas necesarias para conseguir un sistema menos vulnerable.

Confidencialidad: se conoce como una forma de prevenir la divulgación de la información a personas o sistemas que no se encuentran autorizados.

Integridad: se trata de cómo se mantienen intactos los datos libre de modificaciones o alteraciones por terceros, en caso de que se produzca una violación en la base de datos, sea por accidente o de forma intencionada, se pierde la integrdad. Por ello, la información debe protegerse para que solo la modifique una persona. Y una forma de proteger los datos es cifrando la información meidante un método de autenticidad como una contraseña o huella digital.

Disponibilidad: se trata de que la información se encuentre disponible cuando el usuario o sistema necesite realizar una consulta..

Fuente de información.

*En este video se incluyen conceptos que vamos a estudiar en temas posteriores.

¿Qué es la informática aplicada a la criminología?

La asignatura de informática en este grado se imparte en las aulas de informática del Aulario I en el campus de Alcorcón de la Universidad Rey Juan Carlos.

En ella, vamos a aprender los conceptos básicos de la informática, cómo proteger nuestro equipo de los ataques informáticos y así proteger además nuestra información y nuestros datos. Para ello, aprenderemos a distinguir las amenazas existentes.

Además, estudiaremos materia directamente relacionada con la criminología como son la delincuencia informática y la informática forense.

Mi expectativa acerca de la asignatura es aprender y descubrir la parte de la criminología más tecnológica, saber utilizarla y en un futuro, poder aplicarla.