Auditorias
Hola. Podrías explicarme la diferencia entre la auditorias de seguridad, tipo common criteria y las que hacen los hackers éticos. Por que estoy buscando información sobre eso y no parece que lo diferencien pero yo creo que es distinto.
Gracias
Gracias
Respuesta de daemonx
1
Tienes mucha razón en que no esta bien documentado y que se da a entender que es lo mismo y no lo es. Tienes toda la razón.
Existe una titulación en auditoria de sistemas, un titulo expedido en ee. Uu. Y que se puede obtener en vue.com (la universidad virtual) y donde si que se explican unos pequeños rasgos de diferencias.
En Common Criteria (criterios minimos de auditoria) se, podriamos decir sin ir al pie de la letra, un pequeño checklist (y digo no seguir al pie de la letra lo que digo porque no es exactamente asi como digo, es una explicacion,,) donde el auditor evalua no solo la integridad de los sistemas, audita la seguridad individual de las maquinas, la seguridad de passwords, protoclos, tipos de redes (fddi, ethernet, token-ring, atm, etc...), sino que tambien se evalua si hay una persona que responde por los problemas corporativos de lopd, si hay un grupo encargado de la implementacion y actualizacion de sistemas de defensa, si hay un ids funcionando y en que estado lo esta haciendo, si existe una persona que dirige el grupo de seguridad y que puede tomar una decision critica por si mismo con el respaldo de la compañia, etc...
Puedes ver esto muy al detalle en la guía de de auditoria de "ISF - Security Audit of Networks".
Por otra parte un hacking ético no se centra tanto en estos aspectos y si, una vez reunidos todos los documentos de la arquitectura a auditar, se plantean cuales pueden ser los puntos debilis y se intenta hacer un hacking atacando por ellos.
Ya a modo personal yo entiendo un common criteria como la parte teórica y de recolección de la auditoria y el hacking ético, que puede llevar el 60% del tiempo de auditoria, como la parte semi-practica de la misma.
Existe una titulación en auditoria de sistemas, un titulo expedido en ee. Uu. Y que se puede obtener en vue.com (la universidad virtual) y donde si que se explican unos pequeños rasgos de diferencias.
En Common Criteria (criterios minimos de auditoria) se, podriamos decir sin ir al pie de la letra, un pequeño checklist (y digo no seguir al pie de la letra lo que digo porque no es exactamente asi como digo, es una explicacion,,) donde el auditor evalua no solo la integridad de los sistemas, audita la seguridad individual de las maquinas, la seguridad de passwords, protoclos, tipos de redes (fddi, ethernet, token-ring, atm, etc...), sino que tambien se evalua si hay una persona que responde por los problemas corporativos de lopd, si hay un grupo encargado de la implementacion y actualizacion de sistemas de defensa, si hay un ids funcionando y en que estado lo esta haciendo, si existe una persona que dirige el grupo de seguridad y que puede tomar una decision critica por si mismo con el respaldo de la compañia, etc...
Puedes ver esto muy al detalle en la guía de de auditoria de "ISF - Security Audit of Networks".
Por otra parte un hacking ético no se centra tanto en estos aspectos y si, una vez reunidos todos los documentos de la arquitectura a auditar, se plantean cuales pueden ser los puntos debilis y se intenta hacer un hacking atacando por ellos.
Ya a modo personal yo entiendo un common criteria como la parte teórica y de recolección de la auditoria y el hacking ético, que puede llevar el 60% del tiempo de auditoria, como la parte semi-practica de la misma.
