Cuando una organización invierte en realizar una auditoría de seguridad IT, se puede encontrar que si esta auditoría es realizada por dos analistas de seguridad diferentes puede obtener un número de debilidades, evidencias y valoración de riesgo diferente. Hay varios aspectos clave para obtener una valoración homogénea y que deben ser tenidos en cuenta en un test de intrusión.

Análisis de riesgos de seguridad

El análisis de riesgos de seguridad suele ser un aspecto altamente subjetivo, que puede dar lugar a valoraciones que divergen más allá de lo razonable. Esta diferencia en la clasificación de la criticidad y riesgo de los activos afecta negativamente a varios aspectos organizativos y a la gestión del proyecto:

  • Defensa de resultados de un test de intrusión en una reunión ejecutiva.
  • Defensa de resultados con el departamento técnico.
  • Priorización de un plan de acción técnico.
  • Justificación de inversión en auditorías de seguridad periódicas.
  • Inversión en tecnología y elementos de seguridad perimetral.

Metodología CVSS

Para mejorar estos aspectos, el equipo de seguridad de ZuluAlfa se apoya en la metodología CVSS, una metodología de clasificación de riesgos de seguridad IT que deja poco lugar para la interpretación en la clasificación de niveles de riesgo y que puede ser utilizada para representar gráficamente el impacto.

CVSS hace uso de varios aspectos para medir el impacto de una vulnerabilidad. La principal son las Métricas base asociadas a aspectos de la vulnerabilidad, midiendo:

  • La complejidad acceso al sistema auditado
  • La necesidad de Autenticación para explotar un fallo de seguridad
  • El impacto en la confidencialidad de la información
  • El Impacto sobre la integridad
  • El Impacto en disponibilidad de un sistema.

Contacte con ZuluAlfa para realizar una auditoría de seguridad web apoyada en la metodología OWASP y proteja sus aplicaciones de negocio.