PROPUESTA DE UNA METODOLOGÍA DE PRUEBAS DE PENETRACIÓN ORIENTADA A RIESGOS
Loading...
Date
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
The security of information has become in most organizations an important and indispensable aspect for their
operations. That is why today there are several methodologies that guide auditors to perform tests and apply
metrics; in order to analyze controls and procedures that verify said security. The present investigation
carries out a descriptive study, with a qualitative approach, of the OSSTMM, OWASP, PTES, ISSAF and
CVSS methodologies in order to make a new proposal that compiles the best practices with both a technical
and risk approach. For this, an exploration of all the characteristics of the aforementioned methodologies was
carried out using bibliographic review, interviews and expert judgments; finding procedures and standards
that guide the effective performance of penetration tests. As a result, a risk-oriented methodology proposal is
obtained, which contains four stages: the first, regarding the agreement, scope, information gathering; the
second to the execution, the third that deals with the risk assessment and the last one that contemplates the
generation of reports. The same, is considered a contribution for the technological auditors since in addition
to informing on technical aspects, it also does it, on approaches of risks prioritizing them through levels of
incidence or of gravity on the objectives of the company.
Description
La seguridad de la información se ha convertido en la mayoría de las organizaciones un aspecto importante
e indispensable para sus operaciones. Es por esto, que hoy en día existen diversas metodologías que guían
a los auditores a realizar pruebas y aplicar métricas; con el fin de analizar controles y procedimientos que
verifiquen mencionada seguridad. La presente investigación realiza un estudio descriptivo, con enfoque
cualitativo, de las metodologías OSSTMM, OWASP, PTES, ISSAF y CVSS a fin de realizar una nueva
propuesta que recopile las mejores prácticas tanto con enfoque técnico como de riesgos. Para esto se
realizó una exploración de todas las características de las metodologías antes mencionadas utilizando
revisión bibliográfica, entrevistas y juicios de expertos; encontrando procedimientos y estándares que guíen
en la realización efectiva de pruebas de penetración. Como resultado se obtiene una propuesta de
metodología orientada a riesgos, que contiene cuatro etapas: la primera, referente al acuerdo, alcance,
recopilación de información; la segunda a la ejecución, la tercera que trata de la evaluación de riesgos y la
última que contempla la generación de informes. La misma, se considera un aporte para los auditores
tecnológicos ya que además de informar sobre aspectos técnicos, también lo hace, sobre enfoques de
riesgos priorizándolos a través niveles de incidencia o de gravedad sobre los objetivos de la empresa.