Estndares de Auditora Informtica y de Seguridad

Una auditora se realiza con base a un patrn o conjunto de directrices o buenas prcticas
sugeridas. Existen estndares orientados a servir como base para auditoras de informtica.
Uno de ellos es COBIT (Objetivos de Control de la Tecnologas de la Informacin), dentro
de los objetivos definidos como parmetro, se encuentra el "Garantizar la Seguridad de los
Sistemas". Adicional a este estndar podemos encontrar el estndar ISO 27002, el cual se
conforma como un cdigo internacional de buenas prcticas de seguridad de la
informacin, este puede constituirse como una directriz de auditora apoyndose de otros
estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas
de gestin de seguridad, como lo es el estndar ISO 27001.
Los estndares mas usados por empresas de seguridad con los que podemos trabajar y
asegurarnos de un correcto uso son: OWASP,CWE,CVE,OSSTMM,OWISAM.

OWISAM
(Open WIreless Security Assessment Methodology)
La presencia cada vez mayor de redes de comunicaciones inalmbricas, as como el uso de
equipos porttiles y dispositivos mviles, conectados a redes domsticas y corporativas,
expone el permetro de las organizaciones a un gran nmero de ataques contra su
infraestructura. En la actualidad, tanto las empresas como los analistas de seguridad
informtica, no disponen de un mecanismo estandarizado con el que analizar y clasificar el
riesgo de las redes Wi-Fi.
Existen otras metodologas de seguridad, como OWASP y OSSTMM , que referencian
aspectos de seguridad relativos a las redes inalmbricas, sin analizar en profundidad los
riesgos existentes. El enfoque de OWISAM es disear de una metodologa gil y usable
que ayude a realizar con xito un anlisis de seguridad sobre estos entornos.
OWISAM, acrnimo de Open WIreless Security Assessment Methodology (Metodologa
de evaluacin de seguridad wireless abierta), surge con el objetivo de cubrir una necesidad
existente, poner en comn con la comunidad los controles de seguridad que se deben
verificar sobre redes de comunicaciones inalmbricas y definir una metodologa abierta y
colaborativa que ayude a administradores de redes, administradores de sistemas y a
analistas de seguridad informtica a identificar riesgos, a minimizar el impacto de los
ataques informticos y a garantizar la proteccin de las infraestructuras Wireless basadas en
el estndar 802.11.
La licencia de la metodologa OWISAM es Creative Commons Attribution ShareAlike 3.0
license (CC-BY-SA), permitiendo su uso, modificacin y reproduccin por cualquier
individuo.

Esta licencia ayuda a que toda la comunidad colabore en el desarrollo de esta metodologa,
uniendo conocimientos y asegurando que todos los puntos de vista han sido contemplados.
Algunos recursos de inters integrados en OWISAM:

Controles OWISAM: Lista de controles de seguridad definidos por OWISAM.

OWISAM Top 10: Anlisis de los principales riesgos de seguridad existentes en

redes inalmbricas.

Metodologia: Informacin sobre la metodologa OWISAM.

Mailing: Listas de correo electrnico

OWAPS (Open Web Application Security Project)

OWASP (acrnimo de Open
Web
Application
Security
Project,
en ingls Proyecto abierto de seguridad de aplicaciones web) es un proyecto de cdigo
abiertodedicado a determinar y combatir las causas que hacen que el software sea inseguro.
La Fundacin OWASP es un organismo sin nimo de lucro que apoya y gestiona los
proyectos e infraestructura de OWASP. La comunidad OWASP est formada por empresas,
organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad
de seguridad informtica que trabaja para crear artculos, metodologas, documentacin,
herramientas y tecnologas que se liberan y pueden ser usadas gratuitamente por cualquiera.
OWASP es un nuevo tipo de entidad en el mercado de seguridad informtica. Estar libre de
presiones corporativas facilita que OWASP proporcione informacin imparcial, prctica y
redituable sobre seguridad de aplicaciones informtica. OWASP no est afiliado a ninguna
compaa tecnolgica, si bien apoya el uso informado de tecnologas de seguridad. OWASP
recomienda enfocar la seguridad de aplicaciones informticas considerando todas sus
dimensiones: personas, procesos y tecnologas.
Los documentos con ms xito de OWASP incluyen la Gua OWASP y el ampliamente
adoptado documento de autoevaluacin OWASP Top 10. Las herramientas OWASP ms
usadas incluyen el entorno de formacin WebGoat, la herramienta de pruebas de
penetracin WebScarab y las utilidades de seguridad para entornos.NET OWASP DotNet.
OWASP cuenta con unos 50 captulos locales por todo el mundo y miles de participantes en
las listas de correo del proyecto. OWASP ha organizado la serie de
conferencias AppSec para mejorar la construccin de la comunidad de seguridad de
aplicaciones web.

OSSTMM (Open Source Security Testing Methodology

Manual)
El Manual de la Metodologa Abierta de Testeo de Seguridad se ha convertido en un
estndar de facto. Sin duda supuso el primer acercamiento a una estructura global de
concepto de seguridad. Si bien las pruebas incluidas y los test que se ejecutan no son
especialmente innovadores, se ha convertido en una autentica referencia para los
organismos que quieren desarrollar un Testing de calidad , ordenado y eficiente.

Caractersticas
Para estructurar su contenido, la metodologa se subdivide en los aspectos ms importantes
de los sistemas de informacin:

Seguridad de la Informacin

Seguridad de los Procesos

Seguridad en las Tecnologas de Internet

Seguridad en las Comunicaciones

Seguridad Inalmbrica

Seguridad Fsica