Enlaces a recursos gratuitos de evaluación de riesgos

Enlaces a recursos gratuitos de evaluación de riesgos

?. ??? ?????

(https://lnkd.in/gMKsx-uj)

La norma ISO sobre evaluación de riesgos de seguridad. El apéndice incluye una lista de cosas que debe preguntar a la dirección, así como una lista de amenazas, vulnerabilidades y vectores de ataque.

?. ???? ???-??

(https://lnkd.in/gWTm3mxG)

La norma federal para la evaluación de riesgos a la que casi todo el mundo hace referencia. Se trata de un pensamiento fundamental que todo el mundo debería comprender.

?. ??? ??? – ???? ?????????? ??????

(https://lnkd.in/grxJE3vw)

Me encanta el CIS. Todo lo que hacen me parece práctico y práctico. También incluyen plantillas que puedes coger y utilizar de inmediato.

?. ???? ?????????

(https://lnkd.in/g8AwNaCK)

He oído hablar muy bien de FAIR a otros responsables de seguridad en los que confío. Es muy recomendable, sobre todo si buscas orientación sobre cómo cuantificar el riesgo.

?. ????? ???? ????????

(https://lnkd.in/gxfN7-rc)

Si se le exige el cumplimiento de la HIPAA, esta es una lectura obligatoria. También es ideal para herramientas y plantillas.

?. ????? ???????? ?? ???? ???????????

(https://lnkd.in/g5kMF2mE)

ISACA ofrece toneladas de guías sobre evaluaciones de riesgo escritas por profesionales de toda la industria.

?. ??? ??? ???????? ?? ???? ??????????

(https://lnkd.in/gYnqBERW)

La PCI es una norma de cumplimiento tan importante que he tenido que incluir su perspectiva en la lista. Esperamos que la versión 4.0, recientemente lanzada, agite mucho las cosas.

?. ?????? ?? ???????? ???? ?????????? ????

(https://lnkd.in/g5eSnvuH) F

Herramientas y plantillas gratuitas directamente del Gobierno.

9. ????? ???????? ???????? ??????? ?????

(https://lnkd.in/gRSxDKHp)

Si estás en la nube, esto debería ser lectura obligatoria.

??. ???, ???, ????? ???????? ?? ???? ???????????

AWS – https://lnkd.in/gf5RDv2i

GCP – https://lnkd.in/ggcVJz56

Azure – https://lnkd.in/gv73Uz9F

??. ??????? ??? ???? ????????

(https://lnkd.in/gfywxZab)

Puede inscribirse y utilizar este registro de riesgos de forma gratuita. Puntuación de riesgos, seguimiento de riesgos, excelentes cuadros de mando y mucho más.

Pentesting de caja negra, caja blanca y caja gris.

Básicamente existen tres tipos de auditorías a realizar para un pentesting cuando llega a una empresa para comprobar la seguridad de su infraestructura, de su sitio web, software o mapa de red, son conocidas por tres nombres comunes:

  • Auditoría de “Caja blanca”: son las auditorías que se realizan con acceso a la información interna de la empresa, por ejemplo: detalles de la red como: segmentos de red, mapa de red, firewall, impresora en red, sistemas operativos utilizados, tipo de autenticación, usuarios, tecnología del sitio web, etc. Se puede utilizar para simular un ataque a la infraestructura de una persona que pertenece a la organización, por ejemplo un trabajador cabreado.
    Es útil porque no se invierte tiempo en el “fingerprint” (descubrimiento) de la infraestructura, sistemas utilizados, etc.
  • Auditoría de “Caja negra”: es la auditoría que se realiza sin dar ningún tipo de información al auditor y es el quien debe descubrir el segmento de red, los sistemas utilizados, la tecnología del sitio web, etc.
    Es útil para simular un ataque de un intruso real y darnos una idea de las consecuencias que esto puede tener, puede llevar mas tiempo.
  • Auditoría de “Caja gris”: es la auditoría que mezcla características de las dos anteriores, posiblemnete sea la mejor porque simulemos un ataque y a la vez consigamos un mejor código de nuestras aplicaciones, se pude dar a conocer parte de la información al auditor y pedirle que a partir de ella intente “escalar” al resto del sistema además se puede intentar este test comenzando desde varios puntos, red interna, red externa, a través del wifi, a través del puesto de un empleado, a traves de la extranet, etc.