Verificación y validación de los sistemas

RECU-0398 (Recurso Servicio)

Tabla de contenidos

1. Descripción funcional
2. Condiciones del servicio
3. Actores implicados
4. Entradas/Salidas
1. 4.1. Entradas
2. 4.2. Salidas
5. Dimensionamiento

Área: Verificación y Ajustes en Entorno
Carácter del recurso: Recomendado

Descripción funcional

Para que una Infraestructura se pueda definir como segura debe tener cuatro características:

Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada.
Confidencialidad: La información sólo debe ser legible para los autorizados.
Disponibilidad: Debe estar disponible cuando se necesita.
Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

El objetivo del Servicio es minimizar el riesgo de materialización de las amenazas sobre los servidores donde se instalan las aplicaciones, para conseguir que la infraestructura sea cada vez más segura. Su labor es detectar las vulnerabilidades y proponer al menos una alternativa que subsane cada una de ellas.

Los resultados obtenidos por las herramientas son analizados de forma detallada a fin de clasificar las vulnerabilidades encontradas según su nivel de criticidad. Con esta información se elabora un Informe de Seguridad de los Sistemas en el que se detalla:

Dónde se presentan los impactos en cada servidor y cuáles son las vulnerabilidades que predominan.
Para cada vulnerabilidad encontrada, se adjunta una breve descripción y recomendaciones sobre cómo puede subsanarse.

Condiciones del servicio

Descripción pormenorizada del contenido del servidor para evitar falsos positivos.
Aplicación desplegada en un entorno exclusivo, de forma que los resultados observados no se vean afectados por actuaciones que puedan realizarse sobre la aplicación de forma simultánea.
Acceso a la aplicación para poder efectuar las pruebas requeridas.
Existencia de un Plan de Pruebas de Seguridad de los Sistemas, por lo que este servicio deberá ejecutarse siempre de forma posterior al de Generación y Evolución de Planes de Prueba.

Actores implicados

Entradas/Salidas

Entradas

Servidores que se van a analizar
Documento Plan de Pruebas de Seguridad de los sistemas

Salidas

Documento Informe de Seguridad en Infraestructuras

Dimensionamiento

Para la valoración de este servicio se tiene en cuenta la siguiente actividad:

Verificación de la Seguridad de los sistemas.
Elaboración del Informe de Resultados

Actividad	Dimensionamiento
Verificación de la Seguridad de los sistemas	Para el dimensionamiento del servicio de Verificación de Seguridad en Infraestructuras se establece una valoración explícita del tiempo necesario para completar la tarea, debido a su complejidad. Esto significa que no es posible valorar esta actividad de forma automática o inmediata, debiéndose proceder a analizar detalladamente la tarea antes de poder emitir una valoración definitiva.
Elaboración del Informe de Resultados	La valoración de este servicio es fija.