Test de seguridad - metodología abierta
Páginas: 14 (3492 palabras)
Publicado: 31 de enero de 2011
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....?
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....?
(Por: Alejandro Corletti Estrada) Universidad Politécnica de Madrid acorletti@hotmail.com
Madrid, noviembre de 2005.
ABSTRACT
La problemática actual de seguridad en la masa de las empresas tiene un trasfondo oculto que debe serencarado por sus responsables, si se tuviera que resumir en pocas líneas se podría presentar como sigue: Creciente nivel de vulnerabilidades y mayor grado de exposición de recursos. Imposibilidad de contar con personal especializado y actualizado. Dificultad para cuantificar su nivel de riesgo.
Al solicitar apoyo de consultoría a empresas especializadas, es casi una norma general que le indiquen queel primer paso a seguir es la realización de una “auditoría de seguridad”........... A lo largo de este texto se tratará de establecer una relación entre: Lo que el cliente verdaderamente necesita. Cómo se puede clasificar lo que habitualmente se engloba bajo “Auditorías de seguridad”. Si es posible respetar algún método que permita repetir esta tarea y obtener índices de evolución.
Lapropuesta final, es el ejemplo que propone esta metodología abierta denominada OSSTMM (Open-Source Security Methodology Manual), la cual no se desea remarcar como mejor o peor que cualquier otra, sino simplemente como una guía gratuita a tomar como referencia ante la necesidad que suele tener todo responsable de sistemas al pedir este tipo de asesoramientos y/o contratarlos. Palabras clave: Auditoría yevaluación de seguridad, penetration test, OSSTMM.
Alejandro Corletti Estrada
Pág 1
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....?
DESARROLLO
I. Lo que el cliente verdaderamente necesita.
La hipótesis que se presenta trata de reflejar una problemática de seguridad que se encuentra en exponencial crecimiento y con una vorágine tal que no permite a losresponsables de sistemas de las “pymes”, mantener personal al tanto de lo que sucede día a día. Es más, este hecho se podría considerar casi como asumido por esta línea de empresas, es decir, los gerentes de sistemas ya son plenamente conscientes que un alto nivel de capacitación en seguridad es una cuestión cara y cuya relación coste/beneficio, tiene un cierto límite marcado por el conocimientobásico de seguridad de sus administradores y un claro umbral, superado el cual (por situaciones puntuales o por periodicidad), se debe solicitar el apoyo externo. Este apoyo externo, cada vez más frecuente (por la simple relación coste/beneficio planteada), se podría englobar en dos grandes causas: Problemas puntuales de seguridad: Cuando ocurren hechos que superan el conocimiento básico de susadministradores. Periódicos: Cuando se ha llegado a una situación que hace necesaria una cierta evaluación de alguna plataforma, un nuevo servicio o una “Cuantificación del nivel de riesgo”
Al solicitar este apoyo de consultoría a empresas especializadas, es casi una norma general que le indiquen que el primer paso a seguir es la realización de una auditoría de seguridad. Este consejo puedeconsiderarse válido, pues es muy difícil poder evaluar o tomar cualquier acción con escaso conocimiento de la infraestructura que se posee, pero aquí es donde hay que detenerse seriamente para plantear lo que el cliente verdaderamente necesita y cómo llevarlo a cabo. El cliente necesita: Soluciones. Garantías. Índices (o parámetros). ...............y en ese orden.........
¡¡¡ Y NADA MÁS !!!, puespartimos de la hipótesis que no es un especialista en seguridad, y para eso confía en la empresa consultora. Soluciones: El cliente es consciente que tiene un problema, es muy frecuente que no tenga claro de qué se trata o de dónde proviene, pero está seguro que lo tiene. Independientemente de todo el trabajo de análisis, detección y evaluación que se realice, el resultado final del mismo debe...
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....?
(Por: Alejandro Corletti Estrada) Universidad Politécnica de Madrid acorletti@hotmail.com
Madrid, noviembre de 2005.
ABSTRACT
La problemática actual de seguridad en la masa de las empresas tiene un trasfondo oculto que debe serencarado por sus responsables, si se tuviera que resumir en pocas líneas se podría presentar como sigue: Creciente nivel de vulnerabilidades y mayor grado de exposición de recursos. Imposibilidad de contar con personal especializado y actualizado. Dificultad para cuantificar su nivel de riesgo.
Al solicitar apoyo de consultoría a empresas especializadas, es casi una norma general que le indiquen queel primer paso a seguir es la realización de una “auditoría de seguridad”........... A lo largo de este texto se tratará de establecer una relación entre: Lo que el cliente verdaderamente necesita. Cómo se puede clasificar lo que habitualmente se engloba bajo “Auditorías de seguridad”. Si es posible respetar algún método que permita repetir esta tarea y obtener índices de evolución.
Lapropuesta final, es el ejemplo que propone esta metodología abierta denominada OSSTMM (Open-Source Security Methodology Manual), la cual no se desea remarcar como mejor o peor que cualquier otra, sino simplemente como una guía gratuita a tomar como referencia ante la necesidad que suele tener todo responsable de sistemas al pedir este tipo de asesoramientos y/o contratarlos. Palabras clave: Auditoría yevaluación de seguridad, penetration test, OSSTMM.
Alejandro Corletti Estrada
Pág 1
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....?
DESARROLLO
I. Lo que el cliente verdaderamente necesita.
La hipótesis que se presenta trata de reflejar una problemática de seguridad que se encuentra en exponencial crecimiento y con una vorágine tal que no permite a losresponsables de sistemas de las “pymes”, mantener personal al tanto de lo que sucede día a día. Es más, este hecho se podría considerar casi como asumido por esta línea de empresas, es decir, los gerentes de sistemas ya son plenamente conscientes que un alto nivel de capacitación en seguridad es una cuestión cara y cuya relación coste/beneficio, tiene un cierto límite marcado por el conocimientobásico de seguridad de sus administradores y un claro umbral, superado el cual (por situaciones puntuales o por periodicidad), se debe solicitar el apoyo externo. Este apoyo externo, cada vez más frecuente (por la simple relación coste/beneficio planteada), se podría englobar en dos grandes causas: Problemas puntuales de seguridad: Cuando ocurren hechos que superan el conocimiento básico de susadministradores. Periódicos: Cuando se ha llegado a una situación que hace necesaria una cierta evaluación de alguna plataforma, un nuevo servicio o una “Cuantificación del nivel de riesgo”
Al solicitar este apoyo de consultoría a empresas especializadas, es casi una norma general que le indiquen que el primer paso a seguir es la realización de una auditoría de seguridad. Este consejo puedeconsiderarse válido, pues es muy difícil poder evaluar o tomar cualquier acción con escaso conocimiento de la infraestructura que se posee, pero aquí es donde hay que detenerse seriamente para plantear lo que el cliente verdaderamente necesita y cómo llevarlo a cabo. El cliente necesita: Soluciones. Garantías. Índices (o parámetros). ...............y en ese orden.........
¡¡¡ Y NADA MÁS !!!, puespartimos de la hipótesis que no es un especialista en seguridad, y para eso confía en la empresa consultora. Soluciones: El cliente es consciente que tiene un problema, es muy frecuente que no tenga claro de qué se trata o de dónde proviene, pero está seguro que lo tiene. Independientemente de todo el trabajo de análisis, detección y evaluación que se realice, el resultado final del mismo debe...
Leer documento completo
Regístrate para leer el documento completo.