Testes de segurança: padrões e metodologias
As avaliações de segurança, ou testes de segurança, são um procedimento indispensável para áreas como Tecnologia da Informação (TI), Segurança da Informação (SI), Jurídica, Controles Internos e Auditoria. Os resultados de uma avaliação determinam a eficácia dos controles de segurança adotados.
Nos testes de segurança, a validação dos pontos de falha é rigorosa, baseada em metodologias e padrões internacionais. “As metodologias representam uma segurança tanto para quem executa o teste quanto para o cliente. O cliente tem a segurança de saber que o teste foi feito com base numa convenção internacional, assinada por profissionais de segurança, que garante que seja avaliada a maior quantidade possível de pontos de falha. Além disso, o cliente pode saber exatamente quais pontos de falha foram testados. Quanto aos profissionais que executam o teste, os padrões contribuem para que façamos uma análise muito mais rápida e assertiva.”, diz Ewerson Guimarães, o “Crash”, integrante da equipe de especialistas da IBLISS.
A seguir, os principais padrões e metodologias do mercado, adotados pela iBLISS durante a execução de nossas avaliações:
NIST SP 800-115
Publicado pelo National Institute of Standards and Technology dos EUA, este guia abarca aspectos técnicos da realização de testes e avaliações de Segurança da Informação. Apresenta recomendações práticas e procedimentos para execução de análise de vulnerabilidades em aplicações e redes, auditoria de conformidade, entre outros serviços. É utilizado como referência para ações preventivas de segurança, permitindo a identificação e a mitigação de vulnerabilidades.
Acesse o NIST SP 800-115
OWASP Testing Guide
Guia colaborativo mantido pela comunidade de profissionais de segurança The Open Web Application Security Project (OWASP). Descreve em detalhes boas práticas, técnicas e ferramentas necessárias para a execução de testes de segurança em aplicações web. Cobre todos os controles existentes no desenvolvimento de uma aplicação web segura.
Acesse o OWASP Testing Guide
OSSTMM 3
O Open Source Security Testing Methodology Manual (OSSTMM) é uma metodologia científica para avaliações de Segurança Operacional (Operational Security ou OpSec). Por meio de análises e correlações entre testes de segurança de diversos níveis, considera qualquer tipo de auditoria, incluindo testes de invasão, análise de vulnerabilidades estáticas e dinâmicas e hacking ético. O OSSTMM está em conformidade com os principais padrões de segurança, como NIST, PCI-DSS e ISO 2001, 2002 e 2005.
Acesse o OSSTMM 3
ISSAF
O Information Systems Security Assessment Framework (ISSAF) tem como propósito integrar ferramentas de gestão e controles de segurança, avaliar os processos e políticas de Segurança da Informação e buscar conformidade com padrões e normas regulatórias voltados para infraestrutura de TI. É aplicável a grandes setores, tais como serviços bancários, indústria e serviços.
Acesse o ISSAF
Para requisitar um orçamento ou uma avaliação de segurança, entre em contato conosco.