Definicin de una prueba de seguridad

Es la proteccin de todos los activos y verificacin de vulnerabilidades

Lo que se quiere proteger

Mecanismos de proteccin
Controles
Conocer limitaciones





Validar el tipo de activos y el modo de como sern protegidos, tomando en cuenta tipo de servicio que se tiene
Identificacin de activos, procesos de
proteccin o servicios

Interaccin de los activos
Que es lo que se quiere proteger
Son cosas en las que no se puede influir para la proteccin de los activos como son :
Definir todo lo que esta fuera de nuestro
alcance para proteccin de los activos

Reglamentos
Personal
Servicios de luz, agua etc..








Compartir los activos del interior al exterior
Interaccin del interior con el exterior

Interaccin de un punto a a un punto b
Pruebas de interaccin
Realizar pruebas necesarias para clasificar las necesidades de proteccin
Identificar las necesidades de cada
equipo

pruebas de cada canal de comunicacin

















Definir los tipos de seguridad que se necesitan, con pruebas individuales
Aprender de cada tipo de prueba realizada

Doble ciego
Ciego
Caja gris
Gris doble
Tndem
Inversin
Asegurar que todas las pruebas realizadas sean fiables
Las pruebas de seguridad de
acuerdo a las normas de
intervensin

Malos entendidos
expectativas falsas

Alcance
Telecomunicaciones
Redes de datos de seguridad
de los canales de la clase
COSMEC
Canales de seguridad fsica
PHYSSEC
Humana PHYSSEC
Espectro Canal seguridad
inalmbrica de la clase
SPECSEC
seguridad del
funcionamiento de cualquier
interaccin de los activos
El ambito de aplicacin se
compone de 3 clases de los
cuales hay 5 canales
Las clases se utilizan para definir un rea o estudio, son medios para interactuar con los activos
Activo: un activo puede ser todo lo que tiene valor para el propietario, pueden ser fsicos o lgicos.

Clasificacin de los canales en la Auditora
Seguridad fsica Humano y fsico Elemento humano y pruebas de seguridad
fsica
Seguridad spectrum Wirelees Comunicaciones electrnicas y seales
Comunicaciones seguridad Telecomunicaciones y redes de datos Redes de telecomunicacin y sistemas
electrnicos y redes











Double
Blind
Ciego
Caja
Gris
Tipos de
pruebas
Tandem
Doble
caja
gris
Inversin
Reglas de compromiso: se definen las directrices operacionales
Comercializacin
Venta de pruebas
Realizacin de ensayos
Manipulacin de los resultados
1.- Ventas y Marketing
Vender o proporcionar pruebas de seguridad
No proporcionar servicios gratuitos
Garanta de la seguridad y comercializacin de las pruebas
Permisos de clientes actuales o pasados, para proporcionar servicio
Honestidad de clientes potenciales en cuanto seguridad
2.-Evaluacin / Estimacin de la entrega
Slo realizar pruebas con autorizacin
Tener la seguridad adecuada para poner en marcha el proyecto
3.-Contratos y negociaciones
Acuerdo de confidencialidad del analista
Limitar responsabilidades
Los contratos deben explicar limitaciones y peligros de las pruebas de seguridad
Pruebas remotas por medio de ip
Declaracin de no tener responsabilidad por daos por pruebas
Contratos con nmeros de emergencia y nombres de contrato
El contrato debe incluir permisos claros y especficos
Los contratos deben contener informe y conflictos de inters en las pruebas de seguridad
4.-Definicin de alcance
Definir las vulnerabilidades
Definir los lmites de seguridad
5.-Plan de pruebas
Debe tener planes, procesos, tcnicas y procedimientos slo en el alcance del analista
6.-Test de procesos
El analista debe respetar la seguridad, salud, bienestar y privacidad
El analista debe oprrar dentro de los protocolos o estndares establecidos
Notificacin de los tipos de pruebas
Validar los accesos de cada usuario
Pruebas sin privilegios de acceso
Conocimiento de herramientas
Las pruebas dan a conocer las negaciones o tipos de accesos
Verificar vulnerabilidades que se tiene, aun contando con sistemas de seguridad
7.-Presentacin de informes
Privacidad de la informacin obtenida
Resultados estadsticos
Informe objetivo
Notificaciones en caso de fallo de algn sistema
En el informe se deben incluir las recomendaciones
Indicadores cuantitativos
Notificaciones confidenciales
Los informes no tienen que tener un beneficio comercial
1.-Induccin: (Z)
estableciendo
principales verdades
sobre el objetivo de
las leyes y los hechos
ambientales.
2. Indagatoria: (C) la
investigacin de las
emanaciones de
destino.
3. Interaccin: (A / B)
como pruebas de eco,
las interacciones
estndar y no
estndar con el
objetivo de
desencadenar
respuestas.
4. Intervencin: (X / Y
/ Z) cambiar las
interacciones de los
recursos con el
objetivo o entre los
objetivos.
Procesos de pruebas de seguridad:
OpSec: Deben ser eventos discretos, que toma como referencia una secuencia cronolgica de las pruebas, esto tiene como objetivo la
interaccin de los procesos, con diversas variables y su cambio de estas mismas, es una aspecto defensivo es una prueba para verificar la
seguridad de las operaciones.
Proceso de 4 puntos:













El trifecta: diseado como diagrama de flujo, El analista crea un camino nico a travs de la metodologa basada en el objetivo, el tipo de
prueba, el tiempo asignado para la auditora y los recursos aplicados a la prueba





Trifecta
Cmo funcionan las operaciones en
curso?
Cmo funcionan de manera
diferente de cmo la administracin
cree que funcionan?
3. Qu es lo que necesitan para
trabajar?
Responde 3 preguntas