Pruebas Independientes

  • Posted on: 13 August 2014
  • By: ReYDeS

La página de Folletos IT proporcionada por FFIEC (Federal Financial Institutions Examination Council), contiene una categoría sobre Seguridad de la Información. En el capítulo orientado a la Vigilancia de la Seguridad, existe una subsección sobre vigilancia de condiciones, la cual expone información importante sobre las Pruebas Independientes.

Pruebas Independientes

Las pruebas independiente incluyen pruebas de penetración, auditorías, y evaluaciones. Las pruebas independientes proporcionan credibilidad a los resultados de las pruebas. Para ser considerado independiente, el personal de pruebas no debe ser responsable del diseño, instalación, mantenimiento, y operación de los sistemas a ser probados, o las políticas y procedimientos que guían esta operación. Los reportes generados desde las pruebas deben ser preparados por individuos quienes son también independientes del diseño, instalación, mantenimiento, y operación de los sistemas evaluados.

Las pruebas de penetración, auditorías, y evaluaciones pueden utilizar el mismo conjunto de herramientas en sus metodologías. La naturaleza de las pruebas, sin embargo, es decididamente diferente. Adicionalmente, las definiciones de pruebas de penetración y evaluaciones, en particular, no son aceptados universalmente y han cambiado con el tiempo.

Pruebas de Penetración: Una prueba de penetración sujeta a un sistema a ataques seleccionados del mundo real y es realizado por el personal de pruebas. El beneficio de una prueba de penetración es que define la extensión en el cual un sistema puede ser comprometido antes de que sea identificado el ataque, y evalúa la efectividad en los mecanismos de respuesta. Debido a que una prueba de penetración es rara vez un prueba completa de la seguridad de los sistemas, esta debe ser combinada con otros tipos de vigilancia para validar la efectividad del proceso de seguridad.

Auditorías: Auditar compara las prácticas actuales contra un conjunto de estándares. Los grupos de la industria o instituciones de gestión crean estos estándares. Una institución de gestión es responsable de demostrar que los estándares que adopta son apropiados para la institución.

Evaluaciones: Una evaluación es un estudio para localizar vulnerabilidades de seguridad e identificar acciones correctivas. Un evaluación difiere de un auditoría en que no tiene un conjunto de estándares contra las cuales probar. Esta difiere de una prueba de penetración por proporcionar acceso al sistema que está siendo probado. Las evaluaciones se enfocan en el proceso de seguridad o sistema de información. También se enfocan en los diferentes aspectos del sistema de información, como uno o más hosts o redes.

Fuentes:

http://ithandbook.ffiec.gov/it-booklets/information-security/security-mo...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete