Leccin 29 ISSAF

http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/lecc...

Leccin 29 ISSAF
Leccin 29: ISSAF

ISSAF Information System Security Assessment Framework, El

Marco de Evaluacin de Seguridad de Sistemas de Informacin es
una metodologa estructurada de anlisis de seguridad en varios
dominios y detalles especficos de test o pruebas para cada uno de
estos. Su objetivo es proporcionar procedimientos muy detallados
para el testing de sistemas de informacin que reflejan situaciones
reales.
ISSAF es utilizado en su mayora para cumplir con los requisitos de
evaluacin de las organizaciones y puede utilizarse adems como
referencia para nuevas implementaciones relacionadas con la
seguridad de la informacin.
Est organizado segn unos criterios de evaluacin bien definidos,
cada uno de estos ha sido revisado por expertos en la materia entre
estos expertos podemos encontrarnos a Balwant Rathore, Mark
Brunner, Piero Brunati, Arturo Busleiman (Buanzo), Hernn Marcelo
Racciatti, Andrs Riancho, entre otros.
Los criterios de evaluacin incluyen los siguientes:

Una descripcin de los criterios de evaluacin

Finalidades y objetivos

Los prerrequisitos para la realizacin de las evaluaciones

Los procesos para las evaluaciones

Presentacin de resultados

Contramedidas recomendadas

Referencias a documentos externos

ISSAF propone cinco fases para la realizacin de un completo Test

de Penetracin:
Fase I Planeacin
Fase II Evaluacin
Fase III Tratamiento

1 of 5

28/06/16 11:58 a.m.

Leccin 29 ISSAF

http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/lecc...

Fase IV Acreditacin
Fase V Mantenimiento

Cada una de estas fases involucra muchos procesos, entre muchos

de ellos los siguientes: Recoleccin de Informacin, Identificacin de
Recursos, Riesgos Inherentes, Regulaciones Legales, Polticas de
Seguridad, Evaluaciones, Mapeo de Red, Identificacin de
Vulnerabilidades, Penetracin, Obteniendo Acceso, Escalada de
Privilegios, Mantenimiento del Acceso, Cubrimiento de Huellas y
Reportes.
Metodologa de test de intrusin ISSAF
La metodologa de test de penetracin ISSAF est diseada para
evaluar las redes de trabajo, sistemas y control de aplicaciones .Esta
enfocada en tres fases y nueve pasos de evaluacin.
El enfoque incluye tres fases siguientes:

Planificacin y Preparacin

Evaluacin

Reportes, Limpieza y Destruccin de Objetos

Planificacin y Preparacin
En esta fase comprende los pasos iniciales para el intercambio de
informacin, planificar y prepararse para la prueba. Antes de llevar a
cabo la prueba formal de acuerdo ser firmado por las ambas
partes. Que constituye la base de esta tarea y la mutua proteccin
jurdica. Asimismo especificar la participacin del equipo, las fechas
exactas, los tiempos de la prueba, la escalada de privilegios y otros
arreglos.
Las Siguientes actividades son previstas en la siguiente fase
Identificacin de las personas de contactos de ambas partes
Apertura de Reunin para identificar el alcance, el enfoque y la
metodologa, de acuerdo a los casos de pruebas, la escalada de
privilegios y los Path.
Evaluacin
Esta es la fase en donde lleva acabo el test de penetracin. En la
fase de evaluacin en un enfoque por capas deber ir seguida,
como se muestra en la siguiente figura.
Recoleccin de Informacin

2 of 5

28/06/16 11:58 a.m.

Leccin 29 ISSAF

http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/lecc...

Mapeo de la red de trabajo

Identificacin de vulnerabilidades
Penetracin
Obtener Acceso y escalada de privilegios
Enumeracin
Comprometer usuarios remotos y sitios
Mantener Acceso

Fuente: http://2.bp.blogspot.com/_NcZQ3njhqn8/SeSxbyfodYI/AAAAAAAAADc
/nOW3hjQNfTE/s1600-h/453px-Image001.png

3 of 5

28/06/16 11:58 a.m.

Leccin 29 ISSAF

http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/lecc...

Reportes, Limpieza y Destruccin de Objetos

En esta fase se presenta reportes
En el curso de pruebas de penetracin en caso de una cuestin
crtica es identificado, debe ser informado de inmediato para
garantizar que la organizacin es consciente de ello. En este punto
crtico de su expedicin deben ser discutidos y buscar
contramedidas para Resolver los problemas crticos identificados en
la prueba.
Despus de la terminacin de todos los casos de prueba definidos
en el mbito de trabajo, un informe escrito que describe los
resultados detallados de las pruebas y los exmenes deberan
preparar con recomendaciones para la mejora. El informe debe
seguir una estructura bien documentada. Cosas que deberan
incluirse en el informe se las presenta en la siguiente lista:
1. Resumen de Gestin
2. Alcance del proyecto
3. Herramientas utilizadas (Incluyendo Exploits)
4. Fechas y horas reales en las que se llev a cabo las pruebas en el sistema

Todos y cada uno de salida de las pruebas realizadas (con exclusin

de informes de anlisis de vulnerabilidad que pueden ser incluidos
como documentos adjuntos).
Toda la informacin que se crea y / o son almacenados en los
sistemas de prueba deben ser removido de estos sistemas. Si estos
es por alguna razn no fueran posibles remover desde un sistema
remoto, todos estos archivos (con su ubicacin) deben mencionarse
en el informe tcnico para que el cliente y el personal tcnico fuera
capaz de eliminar estos despus de que el informe haya sido
recibido.

Como se puede observar el marco de trabajo de ISSAF es amplio en

cuanto a la realizacin de pruebas de penetracin y evaluacin de la
seguridad en los sistemas informticos, se debe tener en cuenta la
parte de las pruebas a las redes, sistemas operativos, aplicaciones y
bases de datos, enfocndolos en el desarrollo de aplicaciones
mviles seguras.

Para Profundizar:
El estudiante de posgrado debe visitar los siguientes enlaces

4 of 5

28/06/16 11:58 a.m.

Leccin 29 ISSAF

http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/lecc...

para profundizar y realizar su investigacin del tema y

profundizacin:
http://www.oissg.org/issaf
http://www.oissg.org/files/issaf0.2.1.pdf
http://www.sec-track.com/tag/test-de-penetracion/page/5

Anterior | Siguiente

5 of 5

28/06/16 11:58 a.m.