• Author / Uploaded
• Johnny Estrada Parra

Citation preview

Estándares de Auditoría Informática y de Seguridad Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001. Los estándares mas usados por empresas de seguridad con los que podemos trabajar y asegurarnos de un correcto uso son: OWASP,CWE,CVE,OSSTMM,OWISAM.

OWISAM (Open WIreless Security Assessment Methodology) La presencia cada vez mayor de redes de comunicaciones inalámbricas, así como el uso de equipos portátiles y dispositivos móviles, conectados a redes domésticas y corporativas, expone el perímetro de las organizaciones a un gran número de ataques contra su infraestructura. En la actualidad, tanto las empresas como los analistas de seguridad informática, no disponen de un mecanismo estandarizado con el que analizar y clasificar el riesgo de las redes Wi-Fi. Existen otras metodologías de seguridad, como OWASP y OSSTMM , que referencian aspectos de seguridad relativos a las redes inalámbricas, sin analizar en profundidad los riesgos existentes. El enfoque de OWISAM es diseñar de una metodología ágil y usable que ayude a realizar con éxito un análisis de seguridad sobre estos entornos. OWISAM, acrónimo de Open WIreless Security Assessment Methodology (Metodología de evaluación de seguridad wireless abierta), surge con el objetivo de cubrir una necesidad existente, poner en común con la comunidad los controles de seguridad que se deben verificar sobre redes de comunicaciones inalámbricas y definir una metodología abierta y colaborativa que ayude a administradores de redes, administradores de sistemas y a analistas de seguridad informática a identificar riesgos, a minimizar el impacto de los ataques informáticos y a garantizar la protección de las infraestructuras Wireless basadas en el estándar 802.11. La licencia de la metodología OWISAM es Creative Commons Attribution ShareAlike 3.0 license (CC-BY-SA), permitiendo su uso, modificación y reproducción por cualquier individuo.

Esta licencia ayuda a que toda la comunidad colabore en el desarrollo de esta metodología, uniendo conocimientos y asegurando que todos los puntos de vista han sido contemplados. Algunos recursos de interés integrados en OWISAM: 

Controles OWISAM: Lista de controles de seguridad definidos por OWISAM.



OWISAM Top 10: Análisis de los principales riesgos de seguridad existentes en redes inalámbricas.



Metodologia: Información sobre la metodología OWISAM.



Mailing: Listas de correo electrónico

OWAPS (Open Web Application Security Project) OWASP (acrónimo de Open Web Application Security Project, en inglés ‘Proyecto abierto de seguridad de aplicaciones web’) es un proyecto de código abiertodedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera. OWASP es un nuevo tipo de entidad en el mercado de seguridad informática. Estar libre de presiones corporativas facilita que OWASP proporcione información imparcial, práctica y redituable sobre seguridad de aplicaciones informática. OWASP no está afiliado a ninguna compañía tecnológica, si bien apoya el uso informado de tecnologías de seguridad. OWASP recomienda enfocar la seguridad de aplicaciones informáticas considerando todas sus dimensiones: personas, procesos y tecnologías. Los documentos con más éxito de OWASP incluyen la Guía OWASP y el ampliamente adoptado documento de autoevaluación OWASP Top 10. Las herramientas OWASP más usadas incluyen el entorno de formación WebGoat, la herramienta de pruebas de penetración WebScarab y las utilidades de seguridad para entornos.NET OWASP DotNet. OWASP cuenta con unos 50 capítulos locales por todo el mundo y miles de participantes en las listas de correo del proyecto. OWASP ha organizado la serie de conferencias AppSec para mejorar la construcción de la comunidad de seguridad de aplicaciones web.

OSSTMM (Open Source Security Testing Methodology Manual) El “Manual de la Metodología Abierta de Testeo de Seguridad” se ha convertido en un estándar de facto. Sin duda supuso el primer acercamiento a una estructura global de concepto de seguridad. Si bien las pruebas incluidas y los test que se ejecutan no son especialmente innovadores, se ha convertido en una autentica referencia para los organismos que quieren desarrollar un Testing de calidad , ordenado y eficiente.

Características Para estructurar su contenido, la metodología se subdivide en los aspectos más importantes de los sistemas de información: 

Seguridad de la Información



Seguridad de los Procesos



Seguridad en las Tecnologías de Internet



Seguridad en las Comunicaciones



Seguridad Inalámbrica



Seguridad Física