PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS
La seguridad de la información se ha convertido en la mayoría de las organizaciones un aspecto importante e indispensable para sus operaciones. Es por esto, que hoy en día existen diversas metodologías que guían a los auditores a realizar pruebas y aplicar métricas; con el fin de analizar controle...
Guardado en:
| Autor Principal: | |
|---|---|
| Otros Autores: | |
| Formato: | Tesis de Maestría |
| Publicado: |
2018
|
| Materias: | |
| Acceso en línea: | http://repositorio.uees.edu.ec/123456789/2525 |
| Etiquetas: |
Agregar Etiqueta
Sin Etiquetas, Sea el primero en etiquetar este registro!
|
| id |
oai:localhost:123456789-2525 |
|---|---|
| recordtype |
dspace |
| spelling |
oai:localhost:123456789-25252018-10-19T08:00:42Z PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS Alvarez Intriago, Vilma Karina Cevallos Gamboa, Antonio Seguridad de la Información vulnerabilidad pruebas de penetración metodologías de auditoría riesgos. La seguridad de la información se ha convertido en la mayoría de las organizaciones un aspecto importante e indispensable para sus operaciones. Es por esto, que hoy en día existen diversas metodologías que guían a los auditores a realizar pruebas y aplicar métricas; con el fin de analizar controles y procedimientos que verifiquen mencionada seguridad. La presente investigación realiza un estudio descriptivo, con enfoque cualitativo, de las metodologías OSSTMM, OWASP, PTES, ISSAF y CVSS a fin de realizar una nueva propuesta que recopile las mejores prácticas tanto con enfoque técnico como de riesgos. Para esto se realizó una exploración de todas las características de las metodologías antes mencionadas utilizando revisión bibliográfica, entrevistas y juicios de expertos; encontrando procedimientos y estándares que guíen en la realización efectiva de pruebas de penetración. Como resultado se obtiene una propuesta de metodología orientada a riesgos, que contiene cuatro etapas: la primera, referente al acuerdo, alcance, recopilación de información; la segunda a la ejecución, la tercera que trata de la evaluación de riesgos y la última que contempla la generación de informes. La misma, se considera un aporte para los auditores tecnológicos ya que además de informar sobre aspectos técnicos, también lo hace, sobre enfoques de riesgos priorizándolos a través niveles de incidencia o de gravedad sobre los objetivos de la empresa. The security of information has become in most organizations an important and indispensable aspect for their operations. That is why today there are several methodologies that guide auditors to perform tests and apply metrics; in order to analyze controls and procedures that verify said security. The present investigation carries out a descriptive study, with a qualitative approach, of the OSSTMM, OWASP, PTES, ISSAF and CVSS methodologies in order to make a new proposal that compiles the best practices with both a technical and risk approach. For this, an exploration of all the characteristics of the aforementioned methodologies was carried out using bibliographic review, interviews and expert judgments; finding procedures and standards that guide the effective performance of penetration tests. As a result, a risk-oriented methodology proposal is obtained, which contains four stages: the first, regarding the agreement, scope, information gathering; the second to the execution, the third that deals with the risk assessment and the last one that contemplates the generation of reports. The same, is considered a contribution for the technological auditors since in addition to informing on technical aspects, it also does it, on approaches of risks prioritizing them through levels of incidence or of gravity on the objectives of the company. 2018-10-18T19:33:49Z 2018-10-18T19:33:49Z 2018-04 masterThesis http://repositorio.uees.edu.ec/123456789/2525 spa openAccess http://creativecommons.org/licenses/by/4.0/ |
| institution |
UEES |
| collection |
Repositorio UEES |
| universidades |
UEES |
| language |
|
| format |
Tesis de Maestría |
| topic |
Seguridad de la Información vulnerabilidad pruebas de penetración metodologías de auditoría riesgos. |
| spellingShingle |
Seguridad de la Información vulnerabilidad pruebas de penetración metodologías de auditoría riesgos. Alvarez Intriago, Vilma Karina PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS |
| description |
La seguridad de la información se ha convertido en la mayoría de las organizaciones un aspecto importante
e indispensable para sus operaciones. Es por esto, que hoy en día existen diversas metodologías que guían
a los auditores a realizar pruebas y aplicar métricas; con el fin de analizar controles y procedimientos que
verifiquen mencionada seguridad. La presente investigación realiza un estudio descriptivo, con enfoque
cualitativo, de las metodologías OSSTMM, OWASP, PTES, ISSAF y CVSS a fin de realizar una nueva
propuesta que recopile las mejores prácticas tanto con enfoque técnico como de riesgos. Para esto se
realizó una exploración de todas las características de las metodologías antes mencionadas utilizando
revisión bibliográfica, entrevistas y juicios de expertos; encontrando procedimientos y estándares que guíen
en la realización efectiva de pruebas de penetración. Como resultado se obtiene una propuesta de
metodología orientada a riesgos, que contiene cuatro etapas: la primera, referente al acuerdo, alcance,
recopilación de información; la segunda a la ejecución, la tercera que trata de la evaluación de riesgos y la
última que contempla la generación de informes. La misma, se considera un aporte para los auditores
tecnológicos ya que además de informar sobre aspectos técnicos, también lo hace, sobre enfoques de
riesgos priorizándolos a través niveles de incidencia o de gravedad sobre los objetivos de la empresa. |
| author2 |
Cevallos Gamboa, Antonio |
| author_facet |
Cevallos Gamboa, Antonio Alvarez Intriago, Vilma Karina |
| author |
Alvarez Intriago, Vilma Karina |
| author_sort |
Alvarez Intriago, Vilma Karina |
| title |
PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS |
| title_short |
PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS |
| title_full |
PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS |
| title_fullStr |
PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS |
| title_full_unstemmed |
PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS |
| title_sort |
propuesta de una metodología de pruebas de penetración orientada a riesgos |
| publishDate |
2018 |
| url |
http://repositorio.uees.edu.ec/123456789/2525 |
| _version_ |
1635559202833301504 |
| score |
11,871979 |