1. Como conseguir el éxito en este tipo de auditoria.
1.1. Para realizar este tipo de prueba el auditor debe de ser muy profesional y tener conocimientos avanzados sobre riesgos para poder evaluar la criticidad de las vulnerabilidades que se han estado encontrando.
1.2. Si la auditoria se hace de manera Manual el auditor debe: - Entrevistar al personal de la organización.
1.3. Si se hace de manera automática: - Realizar reportes de auditoria con herramientas de software
2. ¿Qué es auditoría de vulnerabilidad? Este tipo de auditoria nos ayuda a identificar brechas de seguridad que se puedan encontrar en los sistemas informáticos y en la infraestructura.
3. Es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información, pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma, por lo que es necesario encontrarlas y lo antes posible. Estos agujeros pueden tener distintos orígenes, por ejemplo: fallos de diseño, errores de configuración o carencias de procedimientos.
4. COMO SE IMPLEMENTA ESTA AUDITORIA
4.1. La auditoria de la vulnerabilidad se realiza para recabar toda la información relevante y conocer las vulnerabilidades del sistema y proteger el negocio.
4.1.1. Beneficios - Mejora los controles internos de seguridad de la empresa. - Detecta debilidades en los sistemas de seguridad como errores, omisiones o fallos. - Identifica posibles actuaciones fraudulentas (acceso a datos no autorizados o robos a nivel interno). - Permite mantener sistemas y herramientas actualizadas.
4.1.2. Se hace uso de metodologías abiertas de revisión de seguridad reconocida en todo el mundo, como OSSTMM, NIST SP 80-115, OWASP y OWISAM.
4.1.2.1. Qué fases contiene una auditoría de informática - Objetivos y planificación En primer lugar, hay que fijar cuáles son los objetivos que se persiguen con una Auditoría de seguridad. - Recopilación de información En esta fase se recopiló toda la información posible para poder evaluar el funcionamiento de los sistemas informáticos, tecnologías, políticas y protocolos objetivos de la auditoría. - Análisis de los datos Con toda la información y documentación recabada, así como el resultado de los distintos test y pruebas realizadas se realizará un análisis con el objetivo de encontrar fallos, vulnerabilidades y debilidades en los sistemas. -Realizar un informe de la auditoría La auditoría se cierra realizando un informe detallado de los resultados obtenidos durante la fase de análisis.
5. Ventajas / Desventajas
5.1. Ventajas
5.1.1. El análisis permite a los desarrolladores detectar los problemas durante la Ejecución del código. Pueden ser fallas de autenticación y configuración de red o problemas que Surgen después del inicio de sesión. Hay menor número de falsos positivos. Admite lenguajes y marcos de programación personalizada y disponibles en el mercado. Presenta una alternativa menos costosa y compleja a SAST.
5.2. Desventajas
5.2.1. Las herramientas DAST no proporcionan información sobre las causas subyacentes de las vulnerabilidades. Tienen dificultades para mantener los estándares de codificación. El análisis no es adecuado para etapas iniciales del desarrollo. Sólo se puede realizar en una aplicación en ejecución. No simularán a la perfección ataques potenciales. El 53% de los problemas detectados no existen.