Trabajo de Fin de Máster – Ciberseguridad

Buenas a tod@s, hoy os traigo un post muy interesante, donde voy a mostrar el Trabajo de Fin de Máster que he presentado. El trabajo está relacionado con los siguientes ámbitos Dirección de Ciberseguridad, Hacking Ético y Seguridad Ofensiva.

Introducción

Durante los últimos años, he enfocado mi carrera profesional a la ciberseguridad, esto ha hecho que en muchas ocasiones tenga que parar unos segundos a pensar que dirección debía tomar para formarme, como resultado de estos momentos, en su momento decidí recurrir a las formaciones y certificaciones, ya que la autoformación se estaba quedando pequeña, ya que necesitaba contenido de calidad y una ruta a seguir.

Revisando el mercado laboral, me fijé que no estaría nada mal tener un máster y ciertas certificaciones que todos conocemos (eJPT, CEH, OSCP y un largo etcétera), tras tener este objetivo claro, me decidí a revisar los máster que habían disponibles. Es decir, al final del camino, un máster lo que te permite es obtener conocimientos específicos respecto a un área o varias.

En mi caso, el área que más me gusta es la seguridad ofensiva (pentesting, red team, etc) y la parte de gestión (gestión de riesgos, certificaciones, etc), una vez claro las cosas que más me gustaba y me gustan hacer, busqué máster relacionados con estas áreas y localice el máster de ciberseguridad que proporciona la Escuela Internacional de Posgrados titulado «Máster en Dirección de Ciberseguridad, Hacking Ético y Seguridad Ofensiva».

La duración del máster es al rededor de 1 año, para algunos más, como fue mi caso. Ofreciendo mi opinion personal respecto a los conocimientos que he adquirido a lo largo del máster, tengo que decir que han sido muchísimos, sobre todo por la parte de gestión. Tengo que decir que mucho del contenido técnico que enseñaban múltiples docentes de este máster ya lo conocía, ya que gracias a este blog y a mi propia curiosidad llegue a investigar. Sin irme mucho por las ramas, tengo que decir que este máster es muy completo a lo que se refiere a gestión y seguridad ofensiva.

Trabajo de fin de máster – Contexto

Dado que después de casi 1 año realizando el máster y llevando varios proyectos de la mano, pensar en un trabajo de fin de máster personal es algo más que complicado, dicho esto, los docentes del máster nos proporcionaron ciertos proyectos a elegir para poder realizarlos como trabajo de fin de máster, esto es algo importante, ya que la gran mayoría trabajábamos a la par que seguíamos el máster y de esta manera pues teníamos una «facilidad» respecto al trabajo.

En mi caso seleccione un proyecto llamado «Colegio Público Coleriesgosa», el cual este colegio había sufrido un ciberataque el cual afecto a la disponibilidad e integridad de los sistemas. Al ser un organismo público deberían haber tenido un sistema de gestión de seguridad de la información, esto es obligado por el Esquema Nacional de Seguridad.

Al tener es te caso, el colegio decide implementar los requisitos del Esquema Nacional de Seguridad a través de MAGERIT. Al tener que cumplir con MAGERIT, tenía que cumplir con los siguientes requisitos:

  • Realizar un análisis de riesgos con la metodología MAGERIT.
    • Inventariado de todos los activos (servicios e información).
    • Caracterización de los activos.
    • Valorar los activos en todas sus dimensiones.
  • Desarrollar un plan de tratamiento de riesgos completo.
  • Desarrollar una declaración de aplicabilidad.
    • Controles que se van a implementar.
    • Declaración de aplicabilidad capaz de medir el nivel de madurez y la implementación.
  • Desarrollar un plan de continuidad de negocio.
    • Procedimiento de recuperación de desastres.

A parte de tener que realizar estos requisitos, se nos pedía también realizar una simulación de auditoría de seguridad completa en un laboratorio creado por nosotros. Este laboratorio tenía que tener los siguientes requisitos:

  • Window Server 2008 x1.
  • Windows Server 2012 x1.
  • Windows Server 2016 x1.
  • Windows 10 x1.
  • Ubuntu Server x1.

Tengo que decir que ha sido un trabajo muy elaborado, donde he tenido que entregar muchas horas tanto a la realización de la parte de gestión como la ofensiva. La parte más técnica, que claramente fue montar y realizar la auditoria de seguridad, fue tediosa, pero gracias a los conocimientos que tengo de los sistemas operativos y haber realizado múltiples máquinas en Hack The Box, conseguí montar un laboratorio curioso para poder jugar.

Ya tenéis el contexto suficiente para entender el proyecto, si más, os dejo el trabajo, espero que os resulte curioso y satisfactorio como lo ha sido para mí.

Trabajo

Trabajo:

Presentación:

Final

Espero que los que hayáis podido visualizar el proyecto os haya gustado.

Un saludo, David.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.