Normas y modelos

SEGURIDAD DE LA INFORMACIÓN

Serie de normas ISO 27000

La serie de normas ISO/IEC 27000 es una lista de estándares dedicados expresamente a seguridad publicados por ISO y por IEC, La Comisión Electrotécnica Internacional.

La serie 27000 contiene los códigos de mejores prácticas recomendadas para la Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información o SGSI.

PUEDES VER TODA LA SERIE ISO/IEC 27000 EN DETALLE AQUÍ.


Metodología OWASP

El proyecto OWASP, Proyecto de Seguridad de Aplicaciones Web Abiertas, es un proyecto libre dedicado a determinar los factores que hacen que un software sea inseguro.

La comunidad OWASP es una organización sin ánimo de lucro dedicada a la seguridad informática. Entre sus principales labores destaca la redacción de artículos, metodologías, herramientas, documentación y tecnologías que liberan a la comunidad.

Su proyecto más importante es la Guía OWASP, un gran documento que proporciona una guía detallada sobre la seguridad en las aplicaciones web.

También han desarrollado la OWASP Top 10, una lista con las diez vulnerabilidades más críticas que se dan en las aplicaciones web. Además redactaron ISO 17799, un documento de apoyo para las Auditorías de Implantación de la ISO/IEC 27002 también conocida como ISO/IEC 17799.

La guía OWASP y el documento OWASP Top 10 pueden ser de especial utilidad en los procesos de Auditoría de Caja Negra y Test de Intrusión.



Top 25 errores de programación más peligrosos

Lista de los 25 errores de programación mas comunes que son causa de los ataques web mas importantes producidos en la actualidad. Fue desarrollada en 2009 y revisada y actualizada en 2010 por SANS y MITRE. Algunos de los errores mas importantes que encabezan esta lista son las inyecciones SQL, Cross-Site Scripting, Cross-Site Request Forgery, etc.



Metodología OSSTMM

La guía OSSTMM, Manual de la Metodología Abierta de Testeo de Seguridad, es una metodología que describe las pruebas y métricas realizadas durante los procesos de Auditoría de Seguridad. Desarrollada por más de 150 profesionales del sector de la seguridad, supone un referente para cualquier administrador de una organización y para cualquier auditor dedicado a la materia de seguridad.

La guía OSSTMM se encuentra en constante evolución, encontrándose actualmente por la versión 3, que se puede adquirir desde la página oficial: http://www.isecom.org/osstmm/

Los casos de prueba explicados en la OSSTMM son los siguientes:
  • Seguridad de la Información
  • Seguridad de los Procesos
  • Seguridad en las tecnologías de Internet
  • Seguridad en las Comunicaciones
  • Seguridad Inalámbrica
  • Seguridad Física

La guía OSSTMM se diferencia frente a la serie ISO/IEC 27001 en que ésta primera se centra en los detalles técnicos de los elementos que deben ser probados, incidiendo en que hacer antes, durante y después de una prueba de seguridad con sus posteriores medidas de resultados, mientras que la ISO/IEC 27001 no utiliza metodologías concretas, es decir, no incide en explicar que herramienta se debe utilizar para analizar una determinada vulnerabilidad en el sistema, sino que se abstrae de esa tarea dejándosela al auditor y se centra en explicar cómo debe estar diseñado un SGSI, como debe implantarse y como debe evaluarse.

Tanto la norma ISO/IEC 27001 como la guía OSSTMM no son sustituibles una a la otra, y es recomendable la fusión de ambas durante la implantación, evaluación y mantenimiento de un SGSI.