Imagen de Portada

PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS

La seguridad de la información se ha convertido en la mayoría de las organizaciones un aspecto importante e indispensable para sus operaciones. Es por esto, que hoy en día existen diversas metodologías que guían a los auditores a realizar pruebas y aplicar métricas; con el fin de analizar controle...

Descripción completa

Guardado en:
Detalles Bibliográficos
Autor Principal: Alvarez Intriago, Vilma Karina
Otros Autores: Cevallos Gamboa, Antonio
Formato: Tesis de Maestría
Publicado: 2018
Materias:
Seguridad de la Información
vulnerabilidad
pruebas de penetración
metodologías de auditoría
riesgos.
Acceso en línea:http://repositorio.uees.edu.ec/123456789/2525
Etiquetas: Agregar Etiqueta
Sin Etiquetas, Sea el primero en etiquetar este registro!
Descripción
Sumario:La seguridad de la información se ha convertido en la mayoría de las organizaciones un aspecto importante e indispensable para sus operaciones. Es por esto, que hoy en día existen diversas metodologías que guían a los auditores a realizar pruebas y aplicar métricas; con el fin de analizar controles y procedimientos que verifiquen mencionada seguridad. La presente investigación realiza un estudio descriptivo, con enfoque cualitativo, de las metodologías OSSTMM, OWASP, PTES, ISSAF y CVSS a fin de realizar una nueva propuesta que recopile las mejores prácticas tanto con enfoque técnico como de riesgos. Para esto se realizó una exploración de todas las características de las metodologías antes mencionadas utilizando revisión bibliográfica, entrevistas y juicios de expertos; encontrando procedimientos y estándares que guíen en la realización efectiva de pruebas de penetración. Como resultado se obtiene una propuesta de metodología orientada a riesgos, que contiene cuatro etapas: la primera, referente al acuerdo, alcance, recopilación de información; la segunda a la ejecución, la tercera que trata de la evaluación de riesgos y la última que contempla la generación de informes. La misma, se considera un aporte para los auditores tecnológicos ya que además de informar sobre aspectos técnicos, también lo hace, sobre enfoques de riesgos priorizándolos a través niveles de incidencia o de gravedad sobre los objetivos de la empresa.

Ejemplares similares