PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS
La seguridad de la información se ha convertido en la mayoría de las organizaciones un aspecto importante e indispensable para sus operaciones. Es por esto, que hoy en día existen diversas metodologías que guían a los auditores a realizar pruebas y aplicar métricas; con el fin de analizar controle...
Guardado en:
Autor Principal: | |
---|---|
Otros Autores: | |
Formato: | Tesis de Maestría |
Publicado: |
2018
|
Materias: | |
Acceso en línea: | http://repositorio.uees.edu.ec/123456789/2525 |
Etiquetas: |
Agregar Etiqueta
Sin Etiquetas, Sea el primero en etiquetar este registro!
|
Sumario: | La seguridad de la información se ha convertido en la mayoría de las organizaciones un aspecto importante
e indispensable para sus operaciones. Es por esto, que hoy en día existen diversas metodologías que guían
a los auditores a realizar pruebas y aplicar métricas; con el fin de analizar controles y procedimientos que
verifiquen mencionada seguridad. La presente investigación realiza un estudio descriptivo, con enfoque
cualitativo, de las metodologías OSSTMM, OWASP, PTES, ISSAF y CVSS a fin de realizar una nueva
propuesta que recopile las mejores prácticas tanto con enfoque técnico como de riesgos. Para esto se
realizó una exploración de todas las características de las metodologías antes mencionadas utilizando
revisión bibliográfica, entrevistas y juicios de expertos; encontrando procedimientos y estándares que guíen
en la realización efectiva de pruebas de penetración. Como resultado se obtiene una propuesta de
metodología orientada a riesgos, que contiene cuatro etapas: la primera, referente al acuerdo, alcance,
recopilación de información; la segunda a la ejecución, la tercera que trata de la evaluación de riesgos y la
última que contempla la generación de informes. La misma, se considera un aporte para los auditores
tecnológicos ya que además de informar sobre aspectos técnicos, también lo hace, sobre enfoques de
riesgos priorizándolos a través niveles de incidencia o de gravedad sobre los objetivos de la empresa. |
---|