Metodologías

  • Norma ITIL
  • Metodología NIST-SP-800
  • Metodología OSSTMM (open source security testing methodologymanual)
  • OWASP (Open Web Application Security Project)
  • Metodologías OISSG
  • Metodologaía Cobit

Norma ITIL

ITIL (Information Technology Infrastructure Library) o Librería de Infraestructura de Tecnologías de Información.

El objetivo de usar ITIL

ITIL como metodología propone el establecimiento de estándares que nos ayuden en el control, operación y administración de los recursos (ya sean propios o de los clientes). Plantea hacer una revisión y reestructuración de los procesos existentes en caso de que estos lo necesiten (si el nivel de eficiencia es bajo o que haya una forma más eficiente de hacer las cosas), lo que nos lleva a una mejora continua.

Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la documentación pertinente, ya que esta puede ser de gran utilidad para otros miembros del área, además de que quedan asentados todos los movimientos realizados, permitiendo que toda la gente esté al tanto de los cambios y no se tome a nadie por sorpresa.

En la documentación se pone la fecha en la que se hace el cambio, una breve descripción de los cambios que se hicieron, quien fue la persona que hizo el cambio, así como quien es el que autorizo el cambio, para que así se lleve todo un seguimiento de lo que pasa en el entorno. Esto es más que nada como método con el que se puede establecer cierto control en el sistema de cambios, y así siempre va a haber un responsable y se van a decir los procedimientos y cambios efectuados.

Forma de uso de ITIL

ITIL postula que el servicio de soporte, la administración y la operación se realiza a través de cinco procesos:

  • Manejo de Incidentes
  • Manejo de problemas
  • Manejo de configuraciones
  • Manejo de cambios y
  • Manejo de entregas

Leer más: http://www.monografias.com/trabajos31/metodologia-itil/metodologia-itil.shtml#ixzz32WRkZtqL

Metodología NIST-SP-800

NIST es el Instituto Nacional de Normas y Tecnología con sus siglas en inglés, National Institute of Standards and Technology), es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida.

La FISMA (Federal Information Security Management Act) de Estados Unidos, otorgó al NIST, el desarrollo de un conjunto de documentos SP-800 con el objetivo de dar un marco de referencia completo a la gestión de la seguridad de la Información,  para que sea aplicado en forma obligatoria por las agencias norteamericanas debido a una ley.

NIST SP 800-53A, es un documento Guía para la Evaluación de la Seguridad de Controles de sistemas de Información Federal y de organizaciones y cumple con el NIST SP 800-53. El objetivo principal que persigue el documento es que  especifica la  evaluación inicial y los procedimientos de evaluación continua, que son principales para lograr coherencia de las evaluaciones.  En el documento  Guide for Assessing the Security Controls in Federal Information Systems and Organizations de esta metodología, presenta el desarrollo de planes de evaluación de seguridad y la realización de evaluaciones de control de seguridad que se puede tener a la mano a la hora de realizar las auditorias como mecanismo de evaluación.

A manera de evaluación técnica y/o práctica, NIST presenta un documento NIST-800-115, que remplaza la NIST-800-42  que proporciona directrices para las organizaciones en la planificación y realización de las pruebas de seguridad de la información y evaluaciones de la seguridad técnica, análisis de los resultados y el desarrollo de la mitigación estrategias. Proporciona recomendaciones prácticas para el diseño, implementación y mantenimiento técnico información relativa a las pruebas de seguridad y los procesos y procedimientos de evaluación, que puede ser utilizado para varios propósitos, tales como la búsqueda de vulnerabilidades en un sistema o red y verificar el cumplimiento de una política o de otro tipo. Esta guía presenta un resumen de los elementos clave de las pruebas de seguridad técnica y la evaluación con énfasis en técnicas específicas, sus beneficios y limitaciones y recomendaciones para su uso. Prueba o evaluación del programa, sino más bien un resumen de los elementos clave de las pruebas de seguridad técnica y la evaluación con énfasis en técnicas específicas, sus beneficios y limitaciones y recomendaciones para su uso. Esta norma se puede estudiar en la Technical Guide to Information Security Testing and Assessment.

Metodología OSSTMM (open source security testing methodologymanual)

Esta metodología fue elaborada para auditoría de los sistemas de información por  ISECOM (Instituto para la Seguridad y Metodologías Abiertas),  es una comunidad abierta y una organización sin fines de lucro registrada oficialmente en Cataluña, España. ISECOM cuenta con oficinas en Barcelona, España y en Nueva York, EE.UU.. Financiación para el ISECOM se proporciona a través de asociaciones, suscripciones, certificaciones, licencias, seminarios y dotaciones privadas de investigación.

Esta metodología es una metodología abierta de testeo  presenta la auditoría en la comprobación de la seguridad de los sistemas frente ataques realizados por una tercera parte externa a la organización. La Metodología Incluye pruebas de seguridad, análisis de seguridad, las métricas de seguridad operativa, el análisis confianza, métricas de confianza operativa, las tácticas esenciales para probar la seguridad de cualquier cosa, incluyendo la vanguardia de la tecnología. Para mayor profundización acerca de esta metodología puede ver en el sitio  Open Source Security Testing Methodology Manual (OSSTMM). y a través del  manual de descarga.

OWASP (Open Web Application Security Project)

La Fundación OWASP entró en funcionamiento el 01 de diciembre 2001 se estableció como una organización caritativa sin fines de lucro en los Estados Unidos el 21 de abril de 2004, para garantizar la disponibilidad continua y el apoyo a nuestro trabajo en OWASP . OWASP es una organización internacional y la Fundación OWASP OWASP apoya los esfuerzos de todo el mundo. OWASP es una comunidad abierta dedicada a habilitar a las organizaciones para concebir, desarrollar, adquirir, operar y mantener las aplicaciones que se puede confiar. Todas las herramientas de OWASP, documentos, foros y capítulos son gratuitas y abiertas a cualquier persona interesada en la mejora de la seguridad de aplicaciones. Abogamos por resolver la seguridad de las aplicaciones.

 

Todos los documentos, metodologías y herramientas que el OWASP facilita están orientados a la seguridad de aplicaciones web y no describe técnicas para comprobar la seguridad de otros aspectos en la gestión de la información, como procesos organizativos, continuidad de negocio, seguridad física, etc.

OWASP, fue la primera organización en proponer las metodologías para comprobar la seguridad de los sistemas de aplicaciones web con dedicación exclusiva a esta área. Sin embargo en la actualidad ISECOM, publicó también el manual de pruebas de seguridad Web.

Entre los proyectos más importantes para implementar una auditoría son:

OWASP – Guide to building Secure Web Applications and Web Services (Guía para la construcción de aplicaciones Web y Servicios Web Seguros).

OWASP – Testing Guide (Guía de pruebas)

OWASP – Top Ten (herramienta para la educación y concienciación, en materia de seguridad, en las aplicaciones web)

La guía de pruebas,  es el proyecto que permite dar las pautas para las pruebas de penetración de aplicaciones Web. [1]Clases de pruebas que se deben realizar a los sistemas de aplicaciones Web, incluyendo también la etapa de recopilación de información antes de la aplicación de las pruebas. Entre las clasificaciones se encuentran:

  • Pruebas de gestión de configuración
  • Pruebas de autenticación
  • Pruebas de gestión de sesiones
  • Pruebas de autorización
  • Prueba de lógica de negocios
  • Pruebas de validación de datos
  • Pruebas de denegación de servicios
  • Pruebas de servicios Web
  • Pruebas de AJAX

Metodologías OISSG

OISSG es una organización independiente y sin fines de lucro con la visión de difundir la conciencia de seguridad de información al acoger un ambiente donde los entusiastas de la seguridad de todo el mundo comparten y construyen conocimiento.

La OISSG, desarrolló la metodología “El Marco de Evaluación de Sistemas de Información de Seguridad (ISSAF)”  que trata de integrar las siguientes herramientas de gestión y las listas de control interno:

 

Evaluar la información las organizaciones políticas y procesos de seguridad para informar sobre el cumplimiento de las normas de la industria de TI, y las leyes aplicables y los requisitos reglamentarios

Identificar y evaluar las dependencias de negocio en los servicios de infraestructura prestados por TI

Llevar a cabo evaluaciones de vulnerabilidad y pruebas de penetración para poner de relieve las vulnerabilidades del sistema que podrían resultar en riesgos potenciales para los activos de información

Especificar modelos de evaluación por dominios de seguridad a:

Encontrar erróneas configuraciones y rectificarlos

La identificación de los riesgos relacionados con las tecnologías y abordarlas

La identificación de los riesgos dentro de las personas o procesos de negocio y hacer frente a los

Fortalecimiento de los procesos y tecnologías existentes

Proporcionar las mejores prácticas y procedimientos para apoyar las iniciativas de continuidad del negocio

Beneficios para el negocio de ISSAF

El ISSAF pretende informar ampliamente sobre la aplicación de los controles existentes para apoyar la IEC / ISO 27001:2005 (BS7799), Sarbanes Oxley SOX404, COBIT, COSO y SAS70, añadiendo así valor a los aspectos operativos de los programas de transformación empresarial relacionadas con TI.

Su valor principal se deriva del hecho de que proporciona un recurso probado para profesionales de la seguridad, liberando así para arriba de la inversión proporcional en los recursos comerciales o extensa investigación interna para hacer frente a sus necesidades de seguridad de la información.

Ha sido diseñado desde cero para convertirse en un amplio conjunto de conocimientos para las organizaciones que buscan la independencia y la neutralidad en sus esfuerzos de evaluación de seguridad.

Es el primer marco para proporcionar validación para abajo hacia arriba las estrategias de seguridad, tales como las pruebas de penetración, así como los enfoques de arriba hacia abajo, como la estandarización de una lista de comprobación para las políticas de información. Información tomada del sitio oficial del OISSG.

Metodologaía Cobit

COBIT (Control Objectives Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT fue creada por La Asociación de Auditoría y Control de Sistemas de Información (Information Systems Audit and Control Association- ISACA) para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. Se puede afirmar que:

COBIT es un framework de Gobierno de TI y un conjunto de herramientas de soporte  para el gobierno de T.I.   Que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.

COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones.

COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.

Teniendo en cuenta que ISACA. Es la organización líder en auditoría de  las tecnologías de la información por cuanto propone 14 normas que definen los requerimientos obligatorios para la realización de una auditoría y la elaboración de informes de auditoría. Las normas son aplicables a auditores certificados por la ISACA (CISA). El principal  objetivo de las normas es brindar las precisiones que el auditor debe seguir. En tal sentido, Las normas construidas por la ISACA para la labor del auditor de IT son:

S1- Estatuto de auditoría

S2: Independencia

S3: ética y normas profesionales

S4 : Competencia profesional

S5: Planeación

S6: Realización de labores de auditor

S7: Reporte

S8: Actividades de seguimiento

S9: Irregularidades y acciones ilegales

S10: Gobierno TI

S11: Uso del análisis de riesgos en la planificación de auditoría

S12: Materialidad, o importancia relativa, en las auditorías.

S13: Uso del trabajo de otros auditores

S14: Evidencias de auditorías

Para dar mayor claridad de las normas y el cumplimiento por parte de los auditores del estándar ISACA en relación a la auditoría, éste desarrolla una guía o directrices de auditorías, que además sirve para comprobar la implantación de los controles COBIT.

Más información de COBIT

Etiquetado con: ,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.