jueves, 6 de mayo de 2010
Bitácora de PSI.: Who is who & Metallica is metallica
La segunda parte la dedicamos a introducir distintos organismos y su aportación al mundo de la seguridad y, en especial, a su estandarización.
Iniciamos esta andadura con el NIST (National Institute of Standars & Technology) y se presentan algunos de sus principales Federal Information Processing Standards (FIPS), o la National Vulnerability Database (NVD), como herramientas de gran relevancia en PSI.
El Institute for Security and Open Methodology (ISECOM) también pone a nuestra disposición un buen conjunto de metodologías y desarrollos en "compromise detection", "secure programming", "security politics", "security testing", etc.
En un tercer bloque analizamos algunos de los estándares en seguridad de la ISO. Partimos de la ISO27001, que se centra en la gestión de la seguridad de la información, e ISO27002, sobre buenas prácticas en seguridad en la forma de objetivos de control y controles recomendados. Obviamente ambos estándares son complementarios. Finalizamos la aventura de la ISO con las ISO27003, 05 y 11.
Otras grandes aportaciones como el Standard of Good Practice for Información Security del Information Security Forum (ISF). En casa también tenemos la Metodología de Análisis y Gestión de Riesgos de SS.II (Magerit para los amigos), desarrollado por el Consejo Superior de Administración Electrónica. Y no debemos olvidarnos de su amiga Pilar.
Para finalizar, se hace referencia al CCN-CERT, CNI, esCERT, IRISCert e Inteco, como algunos de los organismos directamente vinculados con el mundo de la seguridad en tecnologías y la respuesta ante incidentes.
Las metodologías pueden llegar a resultar aburridas, pero nos proporcionan un camino para no olvidarnos de nada, especialmente de lo más importante. Ser autodidacta está muy bien, pero ser un autodidacta con metodología es mucho mejor.
"Cuando has experimentado con un buen montón de ataques, métodos y herramientas en seguridad, las metodológicas te proporcionarán la energía y el orden necesario para conseguir un cierto nivel de equilibrio-abstracción de nivel superior en la profesión. Como es lógico, todo requiere su tiempo"