Práctica de Criminología - Ciberseguridad CEU

He elegido el dominio de  adquisición, desarrollo y mantenimiento de sistemas  porque está directamente relacionado con el software que se utiliza en cualquier organización o incluso en contextos personales. Este dominio incluye controles que garantizan que los sistemas que se desarrollan o compran  sean seguros desde su diseño , evitando vulnerabilidades o puertas traseras.  Ejemplos de medidas: Revisión de código : Validar que no haya errores o fragmentos peligrosos que puedan ser aprovechados por atacantes. Pruebas de seguridad : Realizar simulaciones o auditorías antes de poner un sistema en funcionamiento. Gestión de cambios : Tener un control documentado de cada modificación del sistema, quién la hace y por qué. Seguridad en entornos de prueba : Asegurar que los datos reales no se usen en pruebas de desarrollo. Aplicación práctica: Estas medidas son muy útiles incluso en proyectos personales, como páginas web, aplicaciones o software académico. Asegurarse de qu...

 El dominio de  seguridad relacionada con los recursos humanos  abarca medidas que deben tomarse antes, durante y después del empleo de una persona, con el fin de garantizar la seguridad de la información. He hecho una simulación de cómo se podrían evaluar los riesgos cubiertos en este dominio: Evaluación intuitiva: Selección segura del personal Amenaza: 7/10 Probabilidad de acierto del control: 0.70 Riesgo cubierto: 4.90 Concienciación y formación Amenaza: 8/10 Probabilidad: 0.80 Riesgo cubierto: 6.40 Obligaciones contractuales Amenaza: 6/10 Probabilidad: 0.60 Riesgo cubierto: 3.60 Proceso de baja o cambio de puesto Amenaza: 5/10 Probabilidad: 0.70 Riesgo cubierto: 3.50 Este dominio, aunque a menudo se considera secundario, es esencial para prevenir errores humanos y accesos indebidos por parte de empleados o antiguos trabajadores. La  formación y concienciación  son clave para reducir riesgos de forma eficaz.

 He investigado la cantidad de controles que contiene cada uno de los 14 dominios definidos por la norma ISO/IEC 27002:2013. A continuación, presento un resumen descriptivo (sin gráfico, para facilitar la redacción): Política de seguridad de la información : 2 controles Organización de la seguridad : 7 controles Seguridad de los recursos humanos : 6 controles Gestión de activos : 10 controles Control de accesos : 14 controles Criptografía : 2 controles Seguridad física y del entorno : 15 controles Seguridad de las operaciones : 14 controles Seguridad en las comunicaciones : 7 controles Adquisición, desarrollo y mantenimiento de sistemas : 13 controles Relaciones con proveedores : 5 controles Gestión de incidentes de seguridad de la información : 7 controles Aspectos de la continuidad del negocio : 4 controles Cumplimiento : 8 controles Los dominios con más controles son los relacionados con  la seguridad física, operaciones y acceso , lo cual tiene sentido porque abarcan mucho...

 Para esta actividad he imaginado un análisis básico sobre cómo los distintos  dominios de seguridad de la norma ISO/IEC 27002:2013  cubren amenazas y riesgos en una organización. En lugar de hacer una hoja de cálculo, describo a continuación cómo sería la evaluación para cinco dominios seleccionados, asignando valores simulados a los factores requeridos:  ponderación, nivel de amenaza, probabilidad de éxito del control y riesgo cubierto .  Ejemplo de dominios analizados: Gestión de activos Ponderación: alta, por ser clave en la protección de datos. Amenaza estimada: 7/10. Probabilidad de control efectivo: 0.70. Riesgo cubierto (estimación): 4.90. Control de accesos Ponderación: muy alta. Amenaza: 9/10. Probabilidad de éxito: 0.80. Riesgo cubierto: 7.20. Seguridad física Amenaza: 5/10. Probabilidad de protección: 0.60. Riesgo cubierto: 3.00. Seguridad de recursos humanos Amenaza: 6/10. Probabilidad: 0.75. Riesgo cubierto: 4.50. Criptografía Amenaza: 4/10. Probab...

 La norma  ISO/IEC 27002  proporciona una guía de buenas prácticas en materia de  seguridad de la información . Su objetivo es ayudar a las organizaciones a establecer controles adecuados para proteger sus datos. Esta norma ha sido actualizada varias veces. En esta actividad analizamos las diferencias entre las versiones  2005 y 2013 .  Número de controles: Versión 2005: Contenía  133 controles  agrupados en  39 objetivos de control . Versión 2013: Se reorganizó el contenido, reduciendo la cantidad a  114 controles , distribuidos en  14 dominios  y  35 objetivos de control .  Principales diferencias: Reorganización de contenidos: En la versión de 2013 se reestructuraron los controles para mejorar la claridad y evitar redundancias. Incorporación de nuevos temas: Se añadieron controles enfocados en temas actuales como: Uso de dispositivos móviles Acceso remoto Computación en la nube Mayor enfoque en la gestión del riesg...

 He elegido el control  9.2.1 de la ISO/IEC 27002 , que establece la necesidad de tener control sobre los usuarios que acceden a los sistemas de información. Aunque esta medida suele aplicarse en empresas, también puede adaptarse al entorno doméstico.  Aplicación en casa: Crear diferentes cuentas de usuario en el ordenador compartido (por ejemplo, una para mí y otra para invitados). Proteger cada cuenta con contraseña distinta. Activar control parental si hay menores en casa. Revisar periódicamente los dispositivos conectados a la red Wi-Fi. No compartir cuentas de correo o redes sociales. Este control permite tener trazabilidad y limitar el acceso a la información según el rol del usuario. Aplicado al hogar, ayuda a prevenir errores, accesos no deseados y fomenta un uso responsable de la tecnología.

  Esta planificación visual me ha ayudado a organizar mejor las tareas de seguridad que aplico en mi casa. Utilizar una herramienta como Canva permite visualizar de forma sencilla cada fase, definir plazos realistas y cumplir con los objetivos marcados.

 Después de identificar los activos presentes en mi casa en la actividad anterior, he llevado a cabo una  valoración intuitiva de las amenazas  que podrían afectar a cada uno de ellos. El objetivo de esta actividad es tomar conciencia de los riesgos reales a los que está expuesta la información en mi entorno personal, aunque no se trate de una empresa ni de una organización formal. Principales amenazas consideradas Para cada activo he pensado en posibles amenazas que podrían dañarlo o comprometerlo. Estas amenazas pueden ser tanto de origen  externo  (como un ciberataque o el robo físico de un dispositivo), como de origen  interno o accidental (como un fallo técnico o la pérdida involuntaria de archivos). A continuación, describo las amenazas más relevantes: Robo o pérdida física : Cualquier dispositivo puede extraviarse, ser robado o quedar expuesto si no se guarda correctamente. Esto afecta especialmente al móvil, al ordenador portátil, al disco duro exte...

Tras definir que el alcance de mi política de seguridad es  toda la vivienda , he realizado un inventario de los principales  activos relacionados con la información  que utilizo en mi día a día. Estos activos pueden ser tanto  digitales como físicos  y son esenciales para mis tareas académicas, personales y de gestión cotidiana. Descripción de los activos Ordenador portátil : Es el dispositivo que uso para estudiar, realizar trabajos, acceder a plataformas universitarias, conectarme a clases virtuales y gestionar mis documentos personales. En él se almacenan datos sensibles como trabajos académicos, contraseñas y documentos PDF escaneados. Teléfono móvil : Además de ser un medio de comunicación, en mi móvil tengo acceso a redes sociales, banca online, correo electrónico y aplicaciones con datos privados. Es un dispositivo que manejo diariamente y que contiene información personal muy valiosa. Router Wi-Fi : Este dispositivo permite la conexión a Internet en tod...

Esta política se aplica a toda la vivienda, incluyendo los dispositivos electrónicos (ordenador, móvil, router, TV), documentos físicos (contratos, documentos oficiales) y servicios en línea (correo, redes sociales, banca digital). Objetivo: Establecer normas básicas para proteger la información sensible en casa, evitar pérdidas, accesos no autorizados y fomentar buenas prácticas digitales. Alta dirección: La responsable de esta política seré yo misma, como usuaria principal de los dispositivos y encargada de supervisar su cumplimiento. Normas: Uso de contraseñas seguras y distintas para cada cuenta. No compartir contraseñas con otras personas. Actualizar el sistema operativo y antivirus con frecuencia. Revisar los dispositivos conectados a la red Wi-Fi. Hacer copias de seguridad mensualmente. No descargar archivos de fuentes desconocidas. Consecuencias del incumplimiento: Pérdida de archivos importantes (trabajos, fotos, documentos). Posible robo de identidad o fraudes. Infección por ...

 Vamos a convertir varios números a binario. Se hace dividiendo entre 2 sucesivamente y anotando los restos. a) El número 8 8 ÷ 2 = 4 → resto 0 4 ÷ 2 = 2 → resto 0 2 ÷ 2 = 1 → resto 0 1 ÷ 2 = 0 → resto 1 Binario: 1000 b) El número 20 20 ÷ 2 = 10 → 0 10 ÷ 2 = 5 → 0 5 ÷ 2 = 2 → 1 2 ÷ 2 = 1 → 0 1 ÷ 2 = 0 → 1 Binario: 10100 c) Tu día de nacimiento  27 27 ÷ 2 = 13 → 1 13 ÷ 2 = 6 → 1 6 ÷ 2 = 3 → 0 3 ÷ 2 = 1 → 1 1 ÷ 2 = 0 → 1 Binario: 11011 d) El número 126 126 ÷ 2 = 63 → 0 63 ÷ 2 = 31 → 1 31 ÷ 2 = 15 → 1 15 ÷ 2 = 7 → 1 7 ÷ 2 = 3 → 1 3 ÷ 2 = 1 → 1 1 ÷ 2 = 0 → 1 Binario: 1111110 Método : dividir el número entre 2 sucesivamente, anotando el  resto  en cada división. Luego se lee  el resultado desde el último resto al primero  (de abajo a arriba). División Cociente Resto 78220828 ÷ 2 39110414 0 39110414 ÷ 2 19555207 0 19555207 ÷ 2 9777603 1 9777603 ÷ 2 4888801 1 4888801 ÷ 2 2444400 1 2444400 ÷ 2 1222200 0 1222200 ÷ 2 611100 0 611100 ÷ 2 305550 0 305550 ÷ 2 152775 0 1...

El  modelo CIA  es uno de los pilares fundamentales en el campo de la  ciberseguridad  y la  gestión de la información . Este modelo conceptual define los tres objetivos esenciales que deben cumplirse para garantizar que la información esté adecuadamente protegida en cualquier sistema: ya sea una empresa, una institución pública, una red doméstica o incluso el uso personal de dispositivos conectados. Las siglas  CIA  no tienen nada que ver con la famosa agencia estadounidense, sino que representan los tres principios clave que todo sistema seguro debe garantizar: La  confidencialidad  se refiere a la protección de la información frente a accesos no autorizados. En otras palabras, implica que  solo las personas autorizadas  pueden ver o usar ciertos datos. Esto incluye, por ejemplo: Que un expediente médico solo lo puedan consultar los profesionales de la salud pertinentes. Que un correo personal no pueda ser leído por otras personas...

Esta asignatura se imparte en el  Grado en Criminología del CEU , y forma parte del conjunto de materias que nos preparan para afrontar los nuevos desafíos que presenta el mundo digital dentro del ámbito de la seguridad y la investigación. En concreto, la asignatura de  Ciberseguridad  se centra en el estudio de los  principios básicos de la seguridad informática , su  aplicación práctica en distintos entornos , y la  protección de la información  frente a amenazas tanto internas como externas. Vivimos en una sociedad cada vez más digitalizada, donde la información circula constantemente por redes, plataformas y dispositivos. Esto supone enormes ventajas, pero también plantea riesgos importantes: robo de datos, suplantación de identidad, espionaje informático, acceso no autorizado a sistemas, etc. Desde esta asignatura, aprendemos a  entender esos riesgos y a desarrollar medidas para prevenirlos . Mis expectativas con esta materia son claras: quie...