Es la proteccin de todos los activos y verificacin de vulnerabilidades
Lo que se quiere proteger
Mecanismos de proteccin Controles Conocer limitaciones
Validar el tipo de activos y el modo de como sern protegidos, tomando en cuenta tipo de servicio que se tiene Identificacin de activos, procesos de proteccin o servicios
Interaccin de los activos Que es lo que se quiere proteger Son cosas en las que no se puede influir para la proteccin de los activos como son : Definir todo lo que esta fuera de nuestro alcance para proteccin de los activos
Reglamentos Personal Servicios de luz, agua etc..
Compartir los activos del interior al exterior Interaccin del interior con el exterior
Interaccin de un punto a a un punto b Pruebas de interaccin Realizar pruebas necesarias para clasificar las necesidades de proteccin Identificar las necesidades de cada equipo
pruebas de cada canal de comunicacin
Definir los tipos de seguridad que se necesitan, con pruebas individuales Aprender de cada tipo de prueba realizada
Doble ciego Ciego Caja gris Gris doble Tndem Inversin Asegurar que todas las pruebas realizadas sean fiables Las pruebas de seguridad de acuerdo a las normas de intervensin
Malos entendidos expectativas falsas
Alcance Telecomunicaciones Redes de datos de seguridad de los canales de la clase COSMEC Canales de seguridad fsica PHYSSEC Humana PHYSSEC Espectro Canal seguridad inalmbrica de la clase SPECSEC seguridad del funcionamiento de cualquier interaccin de los activos El ambito de aplicacin se compone de 3 clases de los cuales hay 5 canales Las clases se utilizan para definir un rea o estudio, son medios para interactuar con los activos Activo: un activo puede ser todo lo que tiene valor para el propietario, pueden ser fsicos o lgicos.
Clasificacin de los canales en la Auditora Seguridad fsica Humano y fsico Elemento humano y pruebas de seguridad fsica Seguridad spectrum Wirelees Comunicaciones electrnicas y seales Comunicaciones seguridad Telecomunicaciones y redes de datos Redes de telecomunicacin y sistemas electrnicos y redes
Double Blind Ciego Caja Gris Tipos de pruebas Tandem Doble caja gris Inversin Reglas de compromiso: se definen las directrices operacionales Comercializacin Venta de pruebas Realizacin de ensayos Manipulacin de los resultados 1.- Ventas y Marketing Vender o proporcionar pruebas de seguridad No proporcionar servicios gratuitos Garanta de la seguridad y comercializacin de las pruebas Permisos de clientes actuales o pasados, para proporcionar servicio Honestidad de clientes potenciales en cuanto seguridad 2.-Evaluacin / Estimacin de la entrega Slo realizar pruebas con autorizacin Tener la seguridad adecuada para poner en marcha el proyecto 3.-Contratos y negociaciones Acuerdo de confidencialidad del analista Limitar responsabilidades Los contratos deben explicar limitaciones y peligros de las pruebas de seguridad Pruebas remotas por medio de ip Declaracin de no tener responsabilidad por daos por pruebas Contratos con nmeros de emergencia y nombres de contrato El contrato debe incluir permisos claros y especficos Los contratos deben contener informe y conflictos de inters en las pruebas de seguridad 4.-Definicin de alcance Definir las vulnerabilidades Definir los lmites de seguridad 5.-Plan de pruebas Debe tener planes, procesos, tcnicas y procedimientos slo en el alcance del analista 6.-Test de procesos El analista debe respetar la seguridad, salud, bienestar y privacidad El analista debe oprrar dentro de los protocolos o estndares establecidos Notificacin de los tipos de pruebas Validar los accesos de cada usuario Pruebas sin privilegios de acceso Conocimiento de herramientas Las pruebas dan a conocer las negaciones o tipos de accesos Verificar vulnerabilidades que se tiene, aun contando con sistemas de seguridad 7.-Presentacin de informes Privacidad de la informacin obtenida Resultados estadsticos Informe objetivo Notificaciones en caso de fallo de algn sistema En el informe se deben incluir las recomendaciones Indicadores cuantitativos Notificaciones confidenciales Los informes no tienen que tener un beneficio comercial 1.-Induccin: (Z) estableciendo principales verdades sobre el objetivo de las leyes y los hechos ambientales. 2. Indagatoria: (C) la investigacin de las emanaciones de destino. 3. Interaccin: (A / B) como pruebas de eco, las interacciones estndar y no estndar con el objetivo de desencadenar respuestas. 4. Intervencin: (X / Y / Z) cambiar las interacciones de los recursos con el objetivo o entre los objetivos. Procesos de pruebas de seguridad: OpSec: Deben ser eventos discretos, que toma como referencia una secuencia cronolgica de las pruebas, esto tiene como objetivo la interaccin de los procesos, con diversas variables y su cambio de estas mismas, es una aspecto defensivo es una prueba para verificar la seguridad de las operaciones. Proceso de 4 puntos:
El trifecta: diseado como diagrama de flujo, El analista crea un camino nico a travs de la metodologa basada en el objetivo, el tipo de prueba, el tiempo asignado para la auditora y los recursos aplicados a la prueba
Trifecta Cmo funcionan las operaciones en curso? Cmo funcionan de manera diferente de cmo la administracin cree que funcionan? 3. Qu es lo que necesitan para trabajar? Responde 3 preguntas