menu close NoticiasContáctenos search close
Global Site close
  • Americas
  • Asia Pacific
  • Europe
  • Middle East and Africa
ArgentinaArubaBahamasBarbadosBoliviaBrazilCanadaCayman IslandsChileColombiaCosta RicaCuracaoDominican RepublicEcuadorEl SalvadorGuatemalaHondurasMexicoPanamaParaguayPeruPuerto RicoSaint MartinSurinameUnited StatesUruguayVenezuela
AfghanistanAustraliaCambodiaChinaFrench PolynesiaHawaiiHong KongIndiaIndonesiaJapanMacauMalaysiaMaldivesMongoliaMyanmarNepalNew ZealandPakistanPhilippinesSingaporeSouth KoreaSri LankaTaiwanThailandVietnam
AlbaniaAndorraArmeniaAustriaAzerbaijanBelgiumBulgariaCroatiaCyprusCzech RepublicDenmarkEstoniaFinlandFranceGeorgiaGermanyGreeceHungaryIrelandItalyKazakhstanLatviaLiechtensteinLithuaniaLuxembourgMaltaMoldovaNetherlandsNorwayPolandPortugalRomaniaSerbiaSlovakiaSloveniaSpainSwedenSwitzerlandTajikistanTurkeyUkraineUnited KingdomUzbekistan
AlgeriaAngolaBahrainCameroonCentral African RepublicCôte d’IvoireEgyptGhanaIraqJordanKenyaKuwaitLebanonLiberiaMaliMauritiusMoroccoMozambiqueNigeriaOmanQatarSaudi ArabiaSenegalSeychellesSierra LeoneSouth AfricaTanzaniaTogoTunisiaUgandaUnited Arab EmiratesYemenZimbabwe
Spanish
Spanish
Servicios
close Servicios
RPA
Servicios
Conózcanos
close Conózcanos
Conózcanos
Carrera
NoticiasContáctenos
search close
Manos 6

Auditoría de Seguridad basada en CVSS

Una organización, que invierte en realizar una auditoría de seguridad IT, se puede encontrar que si esta auditoría es realizada por dos analistas de seguridad diferentes puede obtener un número de debilidades, evidencias y valoración de riesgo diferente. Hay varios aspectos clave para obtener una valoración homogénea y que deben ser tenidos en cuenta en un test de intrusión.

Análisis de riesgos de seguridad

El análisis de riesgos de seguridad suele ser un aspecto altamente subjetivo, que puede dar lugar a valoraciones que divergen más allá de lo razonable. Esta diferencia en la clasificación de la criticidad y riesgo de los activos afecta negativamente a varios aspectos organizativos y a la gestión del proyecto:

  • Defensa de resultados de un test de intrusión en una reunión ejecutiva.
  • Defensa de resultados con el departamento técnico.
  • Priorización de un plan de acción técnico.
  • Justificación de inversión en auditorías de seguridad periódicas.
  • Inversión en tecnología y elementos de seguridad perimetral.
Otras métricas

Si se busca un mayor nivel de detalle, se pueden incluir métricas ambientales que analizan la fiabilidad de la vulnerabilidad detectada, la complejidad de que sea explotada por un tercero y la complejidad de su solución.

Las métricas temporales evalúan de qué forma afecta esta vulnerabilidad a los sistemas en base a la existencia de herramientas funcionales para explotar esta vulnerabilidad y de la disponibilidad de parches de seguridad.

El uso de CVSSv2 le permitirá saber de forma objetiva el nivel de riesgo de su organización y justificar, en base a los resultados, la necesidad de una mayor inversión en seguridad.

Metodología CVSS

Para mejorar estos aspectos, el equipo de seguridad se apoya en la metodología CVSS, una metodología de clasificación de riesgos de seguridad IT que deja poco lugar para la interpretación en la clasificación de niveles de riesgo y que puede ser utilizada para representar gráficamente el impacto.

CVSS hace uso de varios aspectos para medir el impacto de una vulnerabilidad. La principal son las Métricas base asociadas a aspectos de la vulnerabilidad, midiendo:

  • La complejidad acceso al sistema auditado
  • La necesidad de autenticación para explotar un fallo de seguridad
  • El impacto en la confidencialidad de la información
  • El impacto sobre la integridad
  • El impacto en disponibilidad de un sistema