3CM7 Son aquellas pruebas que comprueban que los mecanismos de proteccin integrados en el sistema, realmente lo protejan de irrupciones inapropiadas.
Se incluyen adems en estas pruebas, las pruebas de control de acceso, las cuales se encargan de verificar que solo puedan utilizar el sistema aquellos usuarios con acceso al mismo puedan utilizarlo.
Acceso a Datos y/o Funciones de negocios (Aplicacin): Restriccin a funciones especficas, de acuerdo a los datos disponibles al tipo de usuario.
Ingresos y Accesos Remotos al Sistema (Sistema): Solo los usuarios con privilegios pueden acceder al sistema a travs de las entradas apropiadas
ste tipo de pruebas debe de asegurarnos que los usuarios solo accedan a los datos y funciones especficos a los cuales el usuario tiene autorizado acceder. Evaluar el funcionamiento correcto de los controles de seguridad del sistema para asegurar la integridad y confidencialidad de los datos
Probar la vulnerabilidad del sistema frente a accesos o manipulaciones no autorizadas
Una manera de encontrar los casos de prueba es estudiar problemas conocidos de seguridad en sistemas similares y tratar de mostrar la existencia de problemas parecidos en el sistema que se examina Controles de acceso fsico
Acceso a estructuras de datos especficas a travs de los programas de aplicacin.
Seguridad en sitios remotos
Existencia de datos confidenciales en reportes y pantallas Controles manuales, incluyendo aquellos para autorizacin y aprobacin, formularios, documentacin numerada, transmisin de datos, balances y conversin de datos.
Controles automticos, incluyendo aquellos para edicin de datos, chequeo de mquinas, errores del operador, acceso a datos elementales y archivos, acceso a funciones, auditora, entre otros
Funciones / Seguridad de Datos: Identificar cada tipo de usuario y las funciones y datos a los que se debe autorizar.
Crear pruebas para cada tipo de usuario y verificar cada permiso, creando transacciones especficas para cada tipo de usuario.
Modificar tipos de usuarios y volver a ejecutar las pruebas. En cada caso, verificar si los datos o funciones adicionales quedan correctamente permitidos o denegados.
Para cada tipo de usuario conocido, las funciones y datos apropiados y todas las transacciones funcionan como se esperaba.
El acceso al sistema debe ser revisado y discutido con los administradores de la red y/o del sistema. Esta prueba puede no ser requerida como tal, sino como una funcin de los administradores de red o del sistema. HP WebInspect es una herramienta de pruebas de penetracin y seguridad de las aplicaciones web automatizada y configurable que imita tcnicas y ataques de piratera del mundo real, permitindole analizar detalladamente sus aplicaciones web y servicios complejos en busca de vulnerabilidades de seguridad. Ayuda a comprobar que su software es de confianza, a reducir costes, a aumentar la productividad y a implementar las mejores prcticas de codificacin segura. El analizador de cdigo esttico analiza el cdigo fuente, identifica las causas originarias de las vulnerabilidades de la seguridad del software y correlaciona y prioriza los resultados. La versin Ultimate incluye: Testeo de aplicaciones de escritorio y web automatizado Testeo manual Plugin de Visual Studio Testeo exploratorio Costo: $2999.00 Se trata de un programa analizador de protocolos de red o sniffer, que permite capturar y navegar de forma interactiva por los contenidos de los paquetes capturados en la red. El objetivo del proyecto fue crear un analizador de calidad comercial para Unix. Wireshark funciona muy bien en Linux y Windows (con una interfaz grfica de usuario), es fcil de utilizar y puede reconstruir flujos TCP / IP y VoIP.
Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la informacin capturada, a travs de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesin de TCP. Kali Linux es una distribucin basada en Debian GNU/Linux diseada principalmente para la auditora y seguridad informtica en general. Kali ha sido desarrollado a partir de la reescritura de BackTrack, que se podra denominar como la antecesora de Kali Linux.
Kali Linux trae preinstalados numerosos programas incluyendo Nmap, Wireshark, John the Ripper (un crackeador de passwords) y la suite Aircrack-ng (Software para pruebas de seguridad en redes inalmbricas). Kali puede ser usada desde un Live CD, live-usb y tambin puede ser instalada como sistema operativo principal. Nmap (Network Mapper) es una herramienta gratuita para la exploracin de la red diseada para analizar rpidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP para determinar qu hosts estn disponibles en la red, qu servicios (nombre de la aplicacin y la versin) ofrecen estos equipos, qu sistemas operativos (y versiones del sistema operativo) se estn ejecutando, qu tipo de filtros de paquetes o cortafuegos estn en uso, y docenas de otras caractersticas. Nmap se ejecuta en la mayora de los ordenadores y la consola y versiones grficas estn disponibles. Nmap es libre y de cdigo abierto. Anubis es una aplicacin desarrollada por el equipo Flu Project, diseada para anexionar gran parte de las herramientas necesarias para los procesos de las Auditoras de Seguridad y Test de Intrusin dedicados a la bsqueda de informacin, denominados Footprinting y Fingerprinting, en una nica herramienta.
Con sta herramienta se puede descubrir nueva informacin que de manera manual no se podra descubrir, gracias a las automatizaciones que lleva Anubis incorporadas Competival
Realiza pruebas de Seguridad y de Desempeo
Se enfoca en la mejora de competitividad de las pequeas y medianas empresas latinoamericanas dentro del rubro de las TI Globe Testing
Empresa enfocado a la realizacin de auditoras a las diversas plataformas para la deteccin de vulnerabilidades.
Adems realiza pruebas de funcionalidad y desempeo.