Enlaces a recursos gratuitos de evaluación de riesgos

Enlaces a recursos gratuitos de evaluación de riesgos

𝟭. 𝗜𝗦𝗢 𝟮𝟳𝟬𝟬𝟱

(https://lnkd.in/gMKsx-uj)

La norma ISO sobre evaluación de riesgos de seguridad. El apéndice incluye una lista de cosas que debe preguntar a la dirección, así como una lista de amenazas, vulnerabilidades y vectores de ataque.

𝟮. 𝗡𝗜𝗦𝗧 𝟴𝟬𝟬-𝟯𝟬

(https://lnkd.in/gWTm3mxG)

La norma federal para la evaluación de riesgos a la que casi todo el mundo hace referencia. Se trata de un pensamiento fundamental que todo el mundo debería comprender.

𝟯. 𝗖𝗜𝗦 𝗥𝗔𝗠 – 𝗥𝗶𝘀𝗸 𝗔𝘀𝘀𝗲𝘀𝘀𝗺𝗲𝗻𝘁 𝗠𝗲𝘁𝗵𝗼𝗱

(https://lnkd.in/grxJE3vw)

Me encanta el CIS. Todo lo que hacen me parece práctico y práctico. También incluyen plantillas que puedes coger y utilizar de inmediato.

𝟰. 𝗙𝗮𝗶𝗿 𝗜𝗻𝘀𝘁𝗶𝘁𝘂𝘁𝗲

(https://lnkd.in/g8AwNaCK)

He oído hablar muy bien de FAIR a otros responsables de seguridad en los que confío. Es muy recomendable, sobre todo si buscas orientación sobre cómo cuantificar el riesgo.

𝟱. 𝗛𝗜𝗣𝗔𝗔 𝗥𝗶𝘀𝗸 𝗔𝗻𝗮𝗹𝘆𝘀𝗶𝘀

(https://lnkd.in/gxfN7-rc)

Si se le exige el cumplimiento de la HIPAA, esta es una lectura obligatoria. También es ideal para herramientas y plantillas.

𝟲. 𝗜𝗦𝗔𝗖𝗔 𝗚𝘂𝗶𝗱𝗮𝗻𝗰𝗲 𝗼𝗻 𝗥𝗶𝘀𝗸 𝗔𝘀𝘀𝗲𝘀𝘀𝗺𝗲𝗻𝘁𝘀

(https://lnkd.in/g5kMF2mE)

ISACA ofrece toneladas de guías sobre evaluaciones de riesgo escritas por profesionales de toda la industria.

𝟳. 𝗣𝗖𝗜 𝗗𝗦𝗦 𝗚𝘂𝗶𝗱𝗮𝗻𝗰𝗲 𝗼𝗻 𝗥𝗶𝘀𝗸 𝗔𝘀𝘀𝗲𝘀𝘀𝗺𝗲𝗻𝘁

(https://lnkd.in/gYnqBERW)

La PCI es una norma de cumplimiento tan importante que he tenido que incluir su perspectiva en la lista. Esperamos que la versión 4.0, recientemente lanzada, agite mucho las cosas.

𝟴. 𝗛𝗲𝗮𝗹𝘁𝗵 𝗜𝗧 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗥𝗶𝘀𝗸 𝗔𝘀𝘀𝗲𝘀𝘀𝗺𝗲𝗻𝘁 𝗧𝗼𝗼𝗹

(https://lnkd.in/g5eSnvuH) F

Herramientas y plantillas gratuitas directamente del Gobierno.

9. 𝗖𝗹𝗼𝘂𝗱 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗔𝗹𝗹𝗶𝗮𝗻𝗰𝗲 𝗢𝗰𝘁𝗮𝗴𝗼𝗻 𝗠𝗼𝗱𝗲𝗹

(https://lnkd.in/gRSxDKHp)

Si estás en la nube, esto debería ser lectura obligatoria.

𝟭𝟬. 𝗔𝗪𝗦, 𝗚𝗖𝗣, 𝗔𝘇𝘂𝗿𝗲 𝗚𝘂𝗶𝗱𝗮𝗻𝗰𝗲 𝗼𝗻 𝗥𝗶𝘀𝗸 𝗔𝘀𝘀𝗲𝘀𝘀𝗺𝗲𝗻𝘁𝘀

AWS – https://lnkd.in/gf5RDv2i

GCP – https://lnkd.in/ggcVJz56

Azure – https://lnkd.in/gv73Uz9F

𝟭𝟭. 𝗣𝗵𝗮𝗹𝗮𝗻𝘅 𝗚𝗥𝗖 𝗥𝗶𝘀𝗸 𝗥𝗲𝗴𝗶𝘀𝘁𝗲𝗿

(https://lnkd.in/gfywxZab)

Puede inscribirse y utilizar este registro de riesgos de forma gratuita. Puntuación de riesgos, seguimiento de riesgos, excelentes cuadros de mando y mucho más.

Pentesting de caja negra, caja blanca y caja gris.

Básicamente existen tres tipos de auditorías a realizar para un pentesting cuando llega a una empresa para comprobar la seguridad de su infraestructura, de su sitio web, software o mapa de red, son conocidas por tres nombres comunes:

  • Auditoría de “Caja blanca”: son las auditorías que se realizan con acceso a la información interna de la empresa, por ejemplo: detalles de la red como: segmentos de red, mapa de red, firewall, impresora en red, sistemas operativos utilizados, tipo de autenticación, usuarios, tecnología del sitio web, etc. Se puede utilizar para simular un ataque a la infraestructura de una persona que pertenece a la organización, por ejemplo un trabajador cabreado.
    Es útil porque no se invierte tiempo en el “fingerprint” (descubrimiento) de la infraestructura, sistemas utilizados, etc.
  • Auditoría de “Caja negra”: es la auditoría que se realiza sin dar ningún tipo de información al auditor y es el quien debe descubrir el segmento de red, los sistemas utilizados, la tecnología del sitio web, etc.
    Es útil para simular un ataque de un intruso real y darnos una idea de las consecuencias que esto puede tener, puede llevar mas tiempo.
  • Auditoría de “Caja gris”: es la auditoría que mezcla características de las dos anteriores, posiblemnete sea la mejor porque simulemos un ataque y a la vez consigamos un mejor código de nuestras aplicaciones, se pude dar a conocer parte de la información al auditor y pedirle que a partir de ella intente “escalar” al resto del sistema además se puede intentar este test comenzando desde varios puntos, red interna, red externa, a través del wifi, a través del puesto de un empleado, a traves de la extranet, etc.