jueves, 1 de diciembre de 2005

Hay ataques y ataques....

Leo vía Infosecwriters que dentro de los conocidos como ataques de hacking ético hay diferentes tipologías y diferentes objetivos de medición. En la norma ISO 17799:2005 aparece en el control 6.1.8 "Revisiones independientes de la seguridad de la información". Es muy habitual que los administradores de sistemas y responsables de seguridad contraten a empresas de "hacking ético" para la realización de Test de Intrusión. Ya hace unos años, todas las empresas de seguridad informática trataron de establecer qué debía entenderse por un test de este tipo, dada la confusión de los clientes al no saber exactamente que debían esperar de un servicio así. En ese momento apareció el Instituto ISECOM con su metodología Open Source Security Testing Methodology (OSSTMM). En aquel momento se trató de aclarar que pasos debían realizarse en un supuesto test de intrusión. Dada la cantidad de empresas que daban este servicio, era importante identificar las actividades y fases a desplegar para realizar un ataque de este tipo y los resultados que debían entregarse al cliente.

El documento que hoy referencio va también en esa misma linea. Y es que hay ataques y ataques y por tanto, hay formas y formas de implantar el control 6.1.8 de la ISO 17799:2005.

Como siempre que se decide hacer algo, lo primero que se debe tener claro es cuál es su objetivo y que decisiones se van a tomar con los resultados obtenidos.

Este documento establece los tipos de ataques que existen y qué objetivos de medición tienen. No es lo mismo hacer un test de intrusión externo, donde queremos identificar las vulnerabilidades visibles de nuestros sistemas de información, que un test de vulnerabilidad de nuestros sistemas donde queremos detectar y corregir aquellos problemas de configuración y administración de sistemas que no hayamos detectado.
Aunque ambos tipos de servicios comparten fases, los resultados que se obtienen son diferentes.
Para más información leer el documento Infosecwriters: Types of Security Testing
 
;