Notas del auditor ciego
Me gustaría empezar una serie de entradas sobre auditoria, será una especie de guía rápida o notas útiles para todo aquel que quiera trabajar en este campo. Las recomendaciones se basan en mi opinión y experiencia, por lo que es bastante probable que no todo el mundo esté de acuerdo con ellas así que se aceptan críticas, debates y arreglos.
De hecho existen metodologías muy bien definidas por grupos de expertos, pero quizá empezar por ellas fuera del ámbito profesional pueda suponer una entrada de información demasiado grande y nos haga desistir del tema. De todas maneras recomiendo fervientemente leerse alguna, por ejemplo OSSTM.
Notas del auditor ciego
Para que tenga éxito, un proyecto de auditoria interna a ciegas no puede pasar directamente a la acción sin antes haberse estructurado y presentado al cliente para su aprobación. Es por ello que nuestros primeros pasos deben seguir una guía como esta para elaborar unas pautas a seguir que por un lado nos ofrezcan en todo momento la guía necesaria para seguir y por otro lado ofrezcan al cliente unos conocimientos sobre el trabajo que vamos a realizar y los objetivos que esperamos cumplir.
Preauditoria - Conceptos
Alcance de la auditoria y Objetivos
No todas las auditorias tienen el mismo alcance, por lo tanto debemos acordar con nuestro cliente los objetivos que queremos alcanzar para no llevarnos a malentendidos. Si bien es verdad que en algunos casos se pueden sobrepasar los objetivos dentro del tiempo establecido no deberían nunca ofrecerse unos resultados por debajo de lo acordado.
El objetivo claro e inamovible de una auditoria de seguridad es entregar una información al cliente sobre el estado de la seguridad de su infraestructura. El alcance de esta información podría limitarse a, por ejemplo, la infraestructura de comunicaciones sin llegar a nivel de aplicación centrando nuestros esfuerzos en todo lo que esté por debajo de la capa 5 del modelo OSI . Es habitual, si el cliente no quiere invertir demasiado tiempo (y por lo tanto dinero) en la auditoria, el diferenciar las auditorias de seguridad en cuanto a infraestructura y auditorias en cuanto a aplicaciones, especialmente aplicaciones web.
También dentro de un mismo tipo de auditoria se puede diferenciar entre un simple informe de potenciales vulnerabilidades (por ejemplo mediante escáneres de vulnerabilidades e interpretación de resultados) y el ir más allá con la comprobación e intento de explotación de las misma, practicando en este segundo caso un test de penetración (pentest).
Seguir leyendo
De hecho existen metodologías muy bien definidas por grupos de expertos, pero quizá empezar por ellas fuera del ámbito profesional pueda suponer una entrada de información demasiado grande y nos haga desistir del tema. De todas maneras recomiendo fervientemente leerse alguna, por ejemplo OSSTM.
Notas del auditor ciego
Para que tenga éxito, un proyecto de auditoria interna a ciegas no puede pasar directamente a la acción sin antes haberse estructurado y presentado al cliente para su aprobación. Es por ello que nuestros primeros pasos deben seguir una guía como esta para elaborar unas pautas a seguir que por un lado nos ofrezcan en todo momento la guía necesaria para seguir y por otro lado ofrezcan al cliente unos conocimientos sobre el trabajo que vamos a realizar y los objetivos que esperamos cumplir.
Preauditoria - Conceptos
Alcance de la auditoria y Objetivos
No todas las auditorias tienen el mismo alcance, por lo tanto debemos acordar con nuestro cliente los objetivos que queremos alcanzar para no llevarnos a malentendidos. Si bien es verdad que en algunos casos se pueden sobrepasar los objetivos dentro del tiempo establecido no deberían nunca ofrecerse unos resultados por debajo de lo acordado.
El objetivo claro e inamovible de una auditoria de seguridad es entregar una información al cliente sobre el estado de la seguridad de su infraestructura. El alcance de esta información podría limitarse a, por ejemplo, la infraestructura de comunicaciones sin llegar a nivel de aplicación centrando nuestros esfuerzos en todo lo que esté por debajo de la capa 5 del modelo OSI . Es habitual, si el cliente no quiere invertir demasiado tiempo (y por lo tanto dinero) en la auditoria, el diferenciar las auditorias de seguridad en cuanto a infraestructura y auditorias en cuanto a aplicaciones, especialmente aplicaciones web.
También dentro de un mismo tipo de auditoria se puede diferenciar entre un simple informe de potenciales vulnerabilidades (por ejemplo mediante escáneres de vulnerabilidades e interpretación de resultados) y el ir más allá con la comprobación e intento de explotación de las misma, practicando en este segundo caso un test de penetración (pentest).
Seguir leyendo
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!