La primera parte de la clase, tras 2 horas de prácticas en laboratorio, la dedicamos a introducir distintos organismos y su aportación al mundo de la seguridad y, en especial, a su estandarización.Iniciamos esta andadura con el NIST (National Institute of Standars & Technology) y se presentan algunos de sus principales Federal Information Processing Standards (FIPS), o la National Vulnerability Database (NVD), como herramientas de gran relevancia en PSI.
El Institute for Security and Open Methodology (ISECOM) también pone a nuestra disposición un buen conjunto de metodologías y desarrollos en "compromise detection", "secure programming", "security politics", "security testing", etc.
En un tercer bloque analizamos algunos de los estándares en seguridad de la ISO. Partimos de la ISO17799 (estándar de seguridad en información) y vemos su evolución a la ISO27001, que se centra en la gestión de la seguridad de la información, e ISO27002, sobre buenas prácticas en seguridad en la forma de objetivos de control y controles recomendados. Obviamente ambos estándares son complementarios. Finalizamos la aventura de la ISO con las ISO27003, 05 y 11.
Finalizamos la primera parte de la clase con el Standard of Good Practice for Información Security del Information Security Forum (ISF).
"Cuando has experimentado con todo tipo de ataques, métodos y herramientas en seguridad, las metodológicas te proporcionarán la energía y el orden necesario para conseguir un cierto nivel de equilibrio-abstracción de nivel superior en la profesión. Como es lógico, todo requiere su tiempo"
