Instrumento para la auditoría técnica de seguridad informática en pequeños proveedores de Internet
DOI:
https://doi.org/10.33936/isrtic.v5i2.3952Palabras clave:
Evaluación de seguridad, auditoría informática, OSSTMMResumen
Una auditoría de seguridad informática permite evaluar el nivel de seguridad de la infraestructura tecnológica de una organización. Su realización es muy importante, en especial en empresas que brindan servicios tecnológicos a muchos clientes. En este trabajo se presenta una herramienta que pretende facilitar la realización de este tipo de auditoría en pequeños Proveedores de Servicio de Internet, en los cuales no siempre es aplicable todo estándar o metodología de auditoría, debido a que su infraestructura está orientada a brindar servicios más que a ejecutar procesos. La herramienta está basada en la metodología OSSTMM, y tiene dos componentes: una ficha para recolección de datos, y una hoja electrónica para determinar los valores que requiere la metodología para evaluar la seguridad. Para elaborar la misma se tomó en cuenta las características propias de este tipo de negocios. La aplicación de esta herramienta permite reducir el tiempo de realización de una auditoría en este tipo de proveedores de servicio, al tiempo que sirve de guía para el levantamiento de información.
Descargas
Citas
[2] Cyber Observer. 29 Must-know Cybersecurity Statistics for 2020. 2020.
[3] Régner Sabillón y Jeimy J Cano. «Auditorıéas en Ciberseguridad: Un modelo de aplicación general
para empresas y naciones». En: Revista Ibérica de Sistemas e Tecnologias de Informação 32 (2019),
págs. 33-48. doi: https://doi.org/10.17013/risti.32.33-48.
[4] Matthew Metheny. «Chapter 10 - Security testing: Vulnerability assessments and penetration tes-
ting». En: Federal Cloud Computing (Second Edition). Ed. por Matthew Metheny. Second Edition.
Syngress, 2017, págs. 379-400. isbn: 978-0-12-809710-6. doi: https://doi.org/10.1016/B978-
0-12-809710-6.00010-X.
[5] Diego Arcentales-Fernández y Xiomara Caycedo-Casas. «Auditoría informática: un enfoque efec-
tivo». En: Dominio de las Ciencias 3.3 mon (2017), págs. 157-173. issn: 2477-8818. doi: https:
//doi.org/10.23857/dom.cien.pocaip.2017.3.mono1.ago.157-173.
[6] Arcotel. Norma Técnica para coordinar la Gestión de Incidentes y Vulnerabilidades que afecten a
la seguridad de las redes y servicios de telecomunicaciones. 2019.
[7] P Herzog. «OSSTMM 3 - The open source security testing methodology manual». En: Institute
for Security and Open Methodologies: ISECOM (2010).
[8] Héctor Darío Jaimes Parada, Olga Lucía Roa Bohórquez y Jaime Fernando Pérez González. «Sche-
me for the integration of the evaluation of computer security for the recognition phase. Case study:
Company in the Colombian accounting sector». En: 2017 Congreso Internacional de Innovacion y
Tendencias en Ingenieria (CONIITI). 2017, págs. 1-6. doi: 10.1109/CONIITI.2017.8273359.
[9] Diego Sebastián Gordón Revelo. «análisis de estrategias de gestión de seguridad informática con
base en la metodología open source security testing methodology manual (osstmm) para la intranet
de una institución de educación superior». Tesis de mtría. Universidad Especialidades Espíritu
Santo UEES, 2017.
[10] Cristian Bracho, Fabián Cuzme-Rodríguez, Carlos Yépez, Luis Suárez Zambrano, Diego Peluf-
fo y Cesar Moreira Zambrano. «Auditoría de seguridad informática siguiendo la metodología
OSSTMMv3 : caso de estudio». En: nov. de 2017, págs. 307-319. isbn: 1390-6143.
[11] Fabián Andrés Medina Becerra, Jesús Alberto Tirano Vargas y Diego Alexander Vargas Barrera.
«Metodologıéa para la Ejecución de Evaluación de Ciber-Vulnerabilidades en los Sistemas ICS-
SCADA de los Agentes del Sistema Interconectado Nacional». En: Infometric@-Serie Ingenierıéa,
Básicas y Agrıécolas 2.1 (2019), págs. 61-67.
[12] Andrea Tortorelli, Andrea Fiaschetti, Alessandro Giuseppi, Vincenzo Suraci, Roberto Germanà
y Francesco Delli Priscoli. «A security metric for assessing the security level of critical infrastruc-
tures». En: International Journal of Critical Computer-Based Systems 10.1 (2020), págs. 74-94.
doi: https://doi.org/10.1504/IJCCBS.2020.108685.
[13] Andrea Fiaschetti, A Morgagni, Martina Panfili, A Lanna y S Mignanti. «Attack-surface metrics,
osstmm and common criteria based approach to “composable security” in complex systems». En:
WSEAS Transactions on Systems 14 (2015), págs. 187-202.
[14] Alessandro Giuseppi, Andrea Tortorelli, Roberto Germaná, Francesco Liberati y Andrea Fiaschetti.
«Securing Cyber-Physical Systems: An Optimization Framework based on OSSTMM and Genetic
Algorithms». En: 2019 27th Mediterranean Conference on Control and Automation (MED). 2019,
págs. 50-56. doi: 10.1109/MED.2019.8798506.
[15] Karen A Scarfone, Murugiah P Souppaya, Amanda Cody y Angela D Orebaugh. Sp 800-115.
technical guide to information security testing and assessment. 2008.
Publicado
Cómo citar
Número
Sección
Licencia
Derechos de autor 2021 Marlon Navia, Walter Zambrano-Romero
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.
Los artículos enviados a esta revista para su publicación serán liberados para su acceso abierto bajo una licencia Creative Commons con Reconocimiento No Comercial Sin Obra Derivada (http://creativecommons.org/licenses/by-nc-nd/4.0)
Los autores mantienen los derechos de autor, y, por lo tanto, son libres de compartir, copiar, distribuir, ejecutar y comunicar públicamente la obra bajo las condiciones siguientes: Reconocer los créditos de la obra especificada por el autor e indicar si se realizaron cambios (puede hacerlo de cualquier forma razonable, pero no de una manera que sugiera que el autor respalda el uso que hace de su obra. No utilizar la obra para fines comerciales. En caso de remezcla, transformación o desarrollo, no puede distribuirse el material modificado.
