viernes, 26 de abril de 2019

Boletín de Seguridad de Microsoft

Este boletín, nos da información acerca de algunas de las vulnerabilidades que se producen; he elegido la vulnerabilidad msvr11-001 publicada el 19 de abril de 2011.

Esta contiene la vulnerabilidad de por vida de los objetos de uso después de la liberación en Chrome, que podría permitir la ejecución remota de código en espacio aislado.

Microsoft notificó el descubrimiento y la solución de una vulnerabilidad que afectaba a las versiones del navegador Google Chrome antes de la 6.0.472.59. La vulnerabilidad consistía en la ejecución remota de código en un espacio aislado en la forma en que Google Chrome intentaba hacer referencia a la memoria que se había liberado. Un atacante podría aprovechar esa vulnerabilidad para que el navegador no responda o salga de forma inesperada, lo que permite que un atacante ejecute un código arbitrario dentro de Google Chrome Sandbox, que se lee y escribe aislado del sistema de archivos local que limita a un atacante.

Microsoft Vulnerability Research informó sobre este problema y lo coordinó con el Proyecto Chromium y el Equipo de Seguirdad de Google para garantizar su solución.

La vulnerabilidad se asignó a la entrada CVE-2010-1823, en la lista de vulnerabilidades y exposiciones comunes.


¿Para qué sirve el CVE?

El CVE (Common Vulnerabilities and Exposures) es una lista de vulnerabilidades de seguridad de la información que se conocen públicamente. Se trata del estándar más usado. Permite identificar cada vulnerabilidad, asignando a cada una un código de identificación único, formado por las siglas "CVE" seguidas por el año en el que la vulnerabilidad es registrada o expuesta y un número arbitrario de cuatro dígitos.

*Desde enero de 2014, es posible que el identificador contenga más de cuatro dígitos para asignar la vulnerabilidad si fuera necesario.

Publicado por en No hay comentarios:

jueves, 25 de abril de 2019

Cruces amenazas-activos

Respecto a la actividad realizada sobre el análisis de riesgo aceptable, publicada anteriormente, la tabla proporcionada por INCIBE contenía 31 amenazas, y mi trabajo consta de seis activos a los que podría afectar dichas amenazas.

En total, son 186 valores que añadí en la tabla, con una dedicación de unos 30 minutos aproximadamente, pero no consiste en un trabajo excesivamente laborioso puesto que la tabla ha sido facilitada anteriormente y eso hace que el trabajo sea mucho más rápido.
Publicado por en No hay comentarios:

Amenazas

Reutilizando la tabla proporcionada por INCIBE, vamos a identificar si las amenazas propuestas afectan a la integridad, disponibilidad o confidencialidad.

Las "X" indican los apartados a los que afecta, de forma que los cuadros en blanco, es donde la confidencialidad, disponibilidad o integridad no se ven afectadas por la amenaza determinada.

Así obtenemos: 


*Hacer click sobre las imágenes para ampliar su contenido.


Publicado por en No hay comentarios:

Análisis de riesgo aceptable

En la siguiente tabla aparecen las amenazas enumeradas por INCIBE a los que les voy a dar un valor de 2 a 6 siendo:


  • 2: Nivel bajo.
  • 3: Nivel medio-bajo.
  • 4: Nivel medio.
  • 5: Nivel medio-alto.
  • 6: Nivel alto.
*Hacer click en las imágenes para ampliar las tablas.



En cuanto al apartado "activos" del mismo Excel de INCIBE, vamos a completar la tabla propuesta dando la información de si los activos propuestos se encuentran en nuestro caso de estudio:



Publicado por en No hay comentarios:

miércoles, 17 de abril de 2019

Matriz de riesgo INCIBE

Vamos a realizar una matriz de riesgo teniendo en cuenta los datos proporcionados por INCIBE en la siguiente tabla:


*Hacer click para aumentar el contenido de la imagen.

Aplicando estos valores en la matriz de riesgo realizada con la plataforma ITM obtenemos los siguientes resultados, donde se observan los valores mínimos y máximos en este caso:






Publicado por en No hay comentarios:

INCIBE

En esta actividad, disponemos de una hoja de Excel diseñada para facilitar el análisis de riesgos.


  • Hoja 1. Ejemplo de análisis: contiene un ejemplo de análisis de riesgos. Es posible utilizarla como referencia para realizar la actividad.
  • Hoja 2. Tablas AR: incluye unas tablas orientativas para realizar las valoraciones de la probabilidad y el impacto según una escala de tres valores (bajo, medio y alto).
  • Hoja 3. Catálogo amenazas: refleja las principales amenazas a considerar en el ámbito de un análisis de riesgos.
  1. Fuego
  2. Daños por agua.
  3. Daños naturales.
  4. Fuga de información.
  5. Introducción de falsa información.
  6. Alteración de la información.
  7. Corrupción de la información.
  8. Destrucción de la información.
  9. Interceptación de información (escuchas)
  10. Corte del suministro eléctrico .
  11. Condiciones inadecuadas de temperatura o humedad.
  12. Fallo de servicios de comunicaciones.
  13. Interrupción de otros servicios y suministros esenciales.
  14. Desastres industriales
  15. Degradación de los soportes de almacenamiento de información.
  16. Difusión de software dañino.
  17. Errores de mantenimiento/ actualización de programas (software).
  18. Errores de mantenimiento/ actualización de equipos (hardware),
  19. Caída del sistema por sobrecarga.
  20. Pérdida de equipos.
  21. Indisponibilidad del personal.
  22. Abuso de privilegios de acceso.
  23. Acceso no autorizado.
  24. Errores de los usuarios.
  25. Errores del administrador.
  26. Errores de configuración.
  27. Denegación del servicio.
  28. Robo.
  29. Extorsión.
  30. Ingeniería social.

  • Hoja 4. Activos: contiene un listado con los activos definidos para cada uno de los modelos de empresa propuestos.
  • Hoja 5. Cruces Activo-Amenaza: se utilizará para especificar las amenazas que afectan a los activos del modelo elegido.
  • Hoja 6. Análisis de riesgos: se utilizará para realizar el análisis de riesgos. Se debe indicar la probabilidad y el impacto de cada amenaza sobre cada uno de los activos.
Publicado por en No hay comentarios:

jueves, 11 de abril de 2019

Matriz de Riesgos de Mi Casa

Con la herramienta ITM he elaborado una matriz de riesgos que pueden producirse en mi casa sobre mis distintos dispositivos, el resultado es el siguiente:


En este caso, he utilizado diez riesgos que se pueden producir en mi casa, ya vistos en actividades anteriores de este blog, dando como resultado el anterior diagrama de burbujas, que representa en color verde un nivel bajo de riesgo, en color amarillo, un nivel medio y en color rojo, un nivel alto.

La razón por la que aparecen únicamente seis burbujas es porque algunos de los riesgos coinciden en número y se representa coloreando de manera más intensa la burbuja correspondiente.

Los datos introducidos son los siguientes:








Publicado por en No hay comentarios:

Matriz de riesgos

En esta actividad realizamos una matriz de riesgos a través de la plataforma ITM que nos permitirá realizar la matriz de forma gratuita.

La matriz muestra la probabilidad que tienen las amenazas y el impacto que producirían si se materializaran, mostrando en color verde el nivel bajo, en amarillo el nivel medio y en rojo, el nivel alto de riesgo.

*Hacer click sobre la imagen para ampliarla.


Publicado por en No hay comentarios:

miércoles, 3 de abril de 2019

Aspectos Organizativos de la Seguridad de la Información

Elijo el dominio de los Aspectos Organizativos de la Seguridad de la Información, situados en el punto 6 de la norma ISO IEC 27002:2013.

6.1 Organización interna.


-6.1.1. Asignación de responsabilidades para la seguridad de la información: se debe definir y asignar de forma clara todas las responsabilidades para la seguridad de la información.


-6.1.2. Segregación de tareas: se deben separar las tareas y las áreas de responsabilidad ante posibles conflictos de intereses con el fin de reducir las oportunidades de modificaciones no autorizadas o no intencionadas, o el mal uso de los activos de la organización.

-6.1.3. Contacto con las autoridades: se debería mantener los contactos apropiados con las autoridades pertinentes.

-6.1.4. Contacto con grupos de interés especial: se debería mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales.

-6.1.5. Seguridad de la información en la gestión de proyectos: se debe contemplar la seguridad de la información en la gestión de proyectos e independientemente del tipo de proyecto a desarrollar por la organización.


6.2 Dispositivos para movilidad y teletrabajo.


-6.2.1. Política de uso de dispositivos para movilidad: se debe establecer una política formal y adoptar las medidas de seguridad adecuadas para la protección contra los riesgos derivados del uso de los recursos de informática móvil y las telecomunicaciones.


-6.2.2. Teletrabajo: se debe desarrollar e implantar una política y medidas de seguridad de apoyo para proteger a la información accedida, procesada o almacenada en ubicaciones destinadas al teletrabajo.

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)