lunes, 26 de julio de 2010

Diferencias entre la serie de normas ISO/IEC 27000 y las metodologías OWASP y OSSTMM

Buenas a todos, en los últimos meses he estado analizando numerosas normas internacionales, en éstos procesos he recopilado bastante información sobre estándares, metodologías y modelos aplicables al sector TIC, que poco a poco os iré comentando en el blog.

Cyber_Security[1]Entre las mas importantes se encuentran la norma ISO/IEC 20000, la norma ISO/IEC 15504, la norma ISO/IEC 12207 y la serie ISO/IEC 27000. De ésta última lancé una cadena de post hace algunos meses y aprovechando la inauguración de la nueva web, he recopilado toda la información sobre esta serie de normas ISO/IEC y os la he colgado en mi web para que la tengáis a mano siempre que la necesitéis. Podéis acceder desde aquí.

Además, en este otro link, también en mi web, encontraréis información sobre metodologías utilizadas en seguridad para la realización de los procesos de auditoría de seguridad, en concreto las metodologías OWASP y OSSTMM, junto con algún otro documento. Todas ellas podréis descargarlas desde mi web.

Me gustaría aprovechar el post también para contestar una duda, que planteó un usuario en el foro de iso15504.es en éste hilo, y que probablemente pueda ser extrapolable a otras dudas que puedan poseer otros usuarios.

En éste hilo, se preguntaba sobre las diferencias de la guía OWASP y la norma ISO/IEC 27001 y sobre cual era mejor de ambas. En este punto me gustaría aclarar un par de cuestiones, y es que hay que tener muy clara la diferencia entre Norma y Guía de Buenas Prácticas o Metodología.

owasp[1] La norma ISO/IEC 27001 forma parte de la serie 27000, con esta serie se pretende poseer un marco común con las definiciones sobre lo que se considera como sistema seguro y sobre lo que se debe hacer para llevar a cabo la securización del mismo. La diferencia entre la norma ISO/IEC 27001 y la OWASP es que la primera es una norma internacional, y la segunda es una guía de buenas prácticas.

No se puede decir que una sea mejor que otra ya que no son comparables, ambas son necesarias y recomendables para la securización de un sistema. Metiéndonos mas en profundidad en el tema, la norma ISO/IEC 27001 se centra en temas como que para que un servidor de una empresa sea seguro debe poseer una política de backup, deben realizarse auditorías de seguridad cada x tiempo para analizar vulnerabilidades o que el servidor debe estar protegido ante accesos físicos de una determinada manera, es decir, se mantiene a un alto nivel de abstracción, pero definiendo todos los aspectos que se deben tener en cuenta para mantener un sistema seguro.

La guía OWASP por el contrario baja a nivel técnico, es decir, nos dirá por ejemplo como deberemos realizar las auditorías de seguridad que en la norma ISO/IEC 27001 se nos indica que realicemos. Se puede resumir por tanto que la Norma ISO/IEC 27001 define el QUÉ y las guías de buenas prácticas definen el CÓMO. Ésta última frase les sonará familiar a los usuarios que estén metidos en el mundo de CMMI, ISO/IEC 15504 y las metodologías ágiles como SCRUM.

osstmm_blue_200[1] Si os interesa este tema, otra metodología importante en seguridad es OSSTMM, es equivalente a la OWASP, e igualmente genial, pero con una diferencia y es que pronto, si todo sigue su curso y por los rumores que corren, va a convertirse en Norma ISO oficial, lo que facilitará su integración con la actual serie 27000 como es intuible.

Su nombre será ISO Hacking Standard. Y de momento ya se han realizado varias reuniones para darle forma, la última reunión se realizó hace tres meses en Malaka (Malasia). Dentro de poco haré un post para hablar mas sobre esta nueva norma internacional.

Finalmente, y como muchos ya sabéis desde mi web también os podéis descargar gratuitamente una herramienta para auditoría de seguridad que puede serviros de apoyo a las distintas metodologías y normas de seguridad que se han comentado en éste post, se llama Anubis 1.0, y la podéis encontrar aquí.

saludos!