S3I - Tema 1

Tema 1 - Controles de seguridad

Objetivo

Desarrollar la seguridad de la información de una empresa

  1. Seguridad técnica: pagos seguros
  2. Seguridad organizativa: controles
  3. Plan de seguridad: mejora de los controles
  4. Certificación de la seguridad: cumplimiento

Método:

Entrega


Referencias


0. Escenario

Se trata de una empresa que vende productos realizando los pagos por Internet, tanto cuando cobra de los clientes como cuando paga a los proveedores.

Para llevar los pagos usaremos Bitcoin.

1. Seguridad técnica

En la parte de ingresos y pagos usaremos la plataforma bitcoin.

  1. Crear una cuenta de la empresa para gestionar bitcoins
  2. Pagos directos (entre direcciones bitcoin)
  3. Opción: firmas 2 de 3 creando un tercero que resuelve disputas (ej. OCU)

El grupo mandará una transacción de 0.01 BTC a la dirección del profesor

  key: n1Q711Na2CodhzthSuuojN62cszSTxkDEG
       0276f54a9914e3a26e3431f4fb38766b3076b18cad3d39046b5ee71185da0375be

Si implementa el pago de 2 de 3, usará la dirección siguiente como juez

  key: mpgprRYUE4bzdqDgbDoUy9eWHqiFsw8T6S
       03258f48893c359d0f573e8ece07dee26e4afdccbf42eee61c67f802d58ed2e597

2. Controles de seguridad

Se determina el cumplimiento de los controles de la norma ISO/IEC 27002:2013

3. Plan de mejora de la seguridad

Presentar un informe de riesgos.

  1. Usaremos μPILAR para elegir algunos riesgos residuales relevantes que deseamos mejorar.
  2. En μPILAR mejoramos algunos controles para la fase objetivo.
  3. Se presentan las mejoras en un mapa de riesgos

4. Cumplimiento: Certificación de la seguridad

Un documento (corto) con las siguientes secciones:

  1. descripción de la misión del sistema de información (1 párrafo)
  1. describa los roles relacionados con seguridad de la información; por ejemplo, roles como los siguientes:
  1. una lista de documentos que describan las actividades a realizar muy abierto. Se sugieren algunas funciones típicas:
  1. Declaración de aplicabilidad (SoA)

Resumen de la entrega (checklist)