Cómo preparar un informe sobre la debilidad de seguridad en nuestro software [cerrado]

Navega tus respuestas
1

Soy parte de un equipo de desarrollo interno que proporciona el software que se utiliza en las fábricas de nuestra compañía en todo el mundo para la producción y la gestión de pedidos, y que también permite que los sitios compartan datos entre nosotros PÁLIDO.

Recientemente se me asignó la tarea de completar el siguiente objetivo en un plazo de 4 meses:

  

Produzca un informe que analice los riesgos de las debilidades de seguridad en nuestro paquete de software e infraestructura, con información actual y propuesta.   mitigaciones.

Esta será la primera vez que se realice este tipo de análisis en nuestro sistema y, al no tener ninguna experiencia de seguridad significativa, no estoy seguro de por dónde empezar.

Entonces, mi pregunta es: ¿cómo debería abordar mejor un análisis de los riesgos y vulnerabilidades de un sistema de software empresarial y la infraestructura que lo rodea?

O, para decirlo de otra manera, ¿cómo debo desglosar la tarea de analizar la seguridad de nuestro sistema y nuestra infraestructura?

Tenga en cuenta que hay otro equipo en otro sitio que es responsable de la seguridad de la red general .

¿Hay recursos recomendados (sitios web, libros, etc.) a los que debo referirme?

    
pregunta David Brower 21.03.2014 - 23:41
fuente

1 respuesta

1

Las evaluaciones de riesgos son realmente una tarea continua, ya que su informe producirá un resultado que se basa en las vulnerabilidades conocidas hasta hoy. Obviamente, se descubren nuevas vulnerabilidades todo el tiempo, por lo que la evaluación de riesgos se debe realizar periódicamente para proporcionar a su gerencia la información más actualizada.

Hay diferentes tipos de evaluaciones de riesgo que podrían aplicarse a esta situación.

Si usted es un analista y desea comprender si tiene vulnerabilidades y dónde las tiene, entonces se puede usar un escáner de vulnerabilidades automatizado para realizar una evaluación de la aplicación y la infraestructura en la que se está ejecutando. Eche un vistazo a Nessus o Qualys , sin embargo, hay muchas otras opciones.

Si usted es un ingeniero de software o similar y tiene una buena comprensión de los requisitos comerciales y el flujo de proceso de la aplicación en cuestión, entonces puede realizar un modelado de amenazas . Esto le permitirá analizar los flujos de datos y los modelos de datos para identificar áreas de riesgo. Esto puede ayudar a definir controles de seguridad que pueden implementarse en la aplicación de software en sí. También puede identificar áreas donde otros controles diversos, como firewalls , IDS / IPS o WAF , se puede implementar.

Si ya ha implementado su aplicación y necesita comprender si es vulnerable a un compromiso, dónde están esas vulnerabilidades y cuál es el impacto de las vulnerabilidades en los datos, entonces a prueba de penetración puede ser útil.

Para una organización más madura, la gestión de riesgos es un proceso continuo que conduce a una mejora continua. Busque en ISO 27001 y ISO 27005 para un enfoque estándar de la gestión de riesgos de seguridad de la información.

    
respondido por el NRCocker 23.03.2014 - 12:33
fuente

Lea otras preguntas en las etiquetas

GSM A5 / 1 encriptación: administración de claves ¿Cómo se usan exactamente las funciones físicamente no clonibles en la autenticación si no son clonado?