Se encuentra en:
Verificación y Validación de la Seguridad
RECU-0397 (Recurso Servicio)
Tabla de contenidos
- Área: Verificación y Ajustes en Entorno
- Carácter del recurso: Recomendado
Descripción funcional
El servicio de Verificación y Validación de la Seguridad pone de manifiesto cuales son los activos de información del sistema así como las amenazas más graves que se plantean. A partir de aquí se calcula el nivel de riesgo y se establece un plan de salvaguardas con el nivel de riesgo residual asociado.
La comprobación de vulnerabilidades se realiza apoyándose en varias herramientas que permiten automatizar el proceso de validación, a fin de permitir la ejecución de auditorías de seguridad sin penalizar los tiempos de resolución.
Dependiendo del tipo de vulnerabilidades que se pretenda rastrear, el servicio plantea dos tipos de actuación:
- Análisis de vulnerabilidades de la aplicación: se encarga de probar las vulnerabilidades más comunes, apoyandose en la utilización de herramientas que faciliten la automatización. En este caso el servicio esta pensado para ofrecer resultados de manera ágil.
- Hacking Ético: se trata de un servicio que amplia el alcance del análisis de vulnerabilidades planteado en el tipo de actuación anterior, incluyendo un mayor espectro de vulnerabilidades a verificar. Los tiempos de respuesta también serán mayores por lo que está pensado para que se realice cuando se tengan sospechas de riesgos para la seguridad o en aplicaciones muy críticas. La aplicación del servicio requiere de personal técnico experto en seguridad.
Condiciones del servicio
- La aplicación a probar debe encontrarse desplegada, configurada y plenamente funcional en un entorno exclusivo, de forma que los resultados observados no se vean afectados por actuaciones que puedan realizarse sobre la aplicación de forma simultánea.
Actores implicados
Entradas/Salidas
Entradas
- Software desplegado en un entorno exclusivo
Salidas
- Documento Informe de Verificación y Validación de la Seguridad
- Registro de los defectos detectados durante el proceso, a través de la herramienta de Gestión de Defectos
Dimensionamiento
Para la valoración de este servicio se tiene en cuenta las siguientes actividades:
- Hacking Ético
- Análisis de Alta Disponibilidad
- Elaboración del Informe de Resultados
| Actividad | Dimensionamiento |
|---|---|
| Hacking Ético | Para el dimensionamiento del servicio de Verificación y Validación de la Seguridad se utilizan dos criterios de dimensionamiento: el fijo y el explícito. Se establece una valoración fija del tiempo que se tarda en el análisis de vulnerabilidades de la aplicación. Se establece una valoración explícita del tiempo necesario para realizar el Hacking Ético, debido a su complejidad. Esto significa que no es posible valorar esta actividad de forma automática o inmediata, debiéndose proceder a analizar detalladamente la tarea antes de poder emitir una valoración definitiva. |
| Análisis de Alta Disponibilidad | La valoración de esta parte del servicio se realizará en función de un parámetro que permitirá realizar una estimación de los esfuerzos requeridos para su ejecución y que hace referencia al siguiente aspecto:
|
| Elaboración del Informe de Resultados | La valoración de este servicio es fija. |
Contenidos relacionados
Pautas
| Código | Título | Tipo | Carácter | |
|---|---|---|---|---|
| PAUT-0109 | Verificar la seguridad de las aplicaciones | Pauta | Directriz | Recomendada |
