Informe NIST SP 800-115

FACULTAD DE INGENIERÍA
NIST 800-115 Information Security Testing and Assesment
Nombre del alumno : Francisco Ignacio Cruz Cerda
Nombre del profesor : Jamil Navarro Afanador
Carrera : Ingeniería Civil en Computación e Informática
Santiago de Chile
Abril 2020
Resumen Ejecutivo
El presente informe se centrara en dar a conocer La Guía Técnica para Evaluaciones y

Pruebas de Seguridad de la Información NIST SP 800-115 la cual describe las pautas sobre
cómo debe realizarse una Evaluación de Seguridad de la Información(ESI). Para un mayor
entendimiento del tema se explicara que es una ESI.
La evaluación de seguridad de la información es el proceso de determinar qué tan

eficazmente una entidad (servidores, redes de datos, procedimientos y personas) es
evaluada frente a objetivos específicos de seguridad.
Para la realización de la ESI, pueden usarse tres métodos de evaluación:
 Pruebas: Es el proceso de poner bajo pruebas uno o más objetos de evaluación bajo
condiciones específicas para comparar el comportamiento real y el esperado.
 Exanimación: Es el proceso de comprobar, inspeccionar, revisar, observar, estudiar
o analizar uno o más objetos de evaluación para facilitar su comprensión, aclaración
u obtener evidencias.
 Entrevista: Es el proceso para la conducción de discusiones e intercambios con
grupos de personas con el objetivo de facilitar la comprensión, aclaración o
identificar la localización de evidencias asociadas a los objetos de evaluación.
La NIST SP 800-115 propone un proceso de ESI compuesto por al menos tres fases:
 Planificación: En la planificación se debe recopilar información sobre los activos que

serán evaluados, las amenazas de interés contra estos activos y los controles de
seguridad que pueden ser utilizados para mitigar esas amenazas. La planificación es
considerada una fase crítica para el éxito de la ESI.
 Ejecución: Consiste en identificar las vulnerabilidades y comprobarlas según la
planificación establecida. Deben aplicarse métodos y técnicas de evaluación
apropiados según el objetivo de la ESI.
 Post-Ejecución: Esta fase se centra en el análisis de las vulnerabilidades
encontradas para determinar la raíz de las causas de su presencia, establecer
recomendaciones para su mitigación y desarrollar el reporte final.
Relevancia para aseguramiento de la calidad
Una metodología de evaluación de seguridad repetible y documentada es beneficiosa

porque puede:
 Proporcionar consistencia y estructura a las pruebas de seguridad, lo que puede

minimizar los riesgos de las pruebas.
 Acelerar la transición del nuevo personal de evaluación
 Aborda las limitaciones de recursos asociadas con las evaluaciones de seguridad.
La NIST SP 800-115 describe una guía general para la realización de un proceso de

Evaluación de Seguridad de la Información de una entidad y está orientada a la
comprobación de aspectos técnicos en sistemas informáticos o redes de datos. Dentro de
los elementos más destacables de la guía se encuentran:
 El énfasis en la realización de todo el proceso enmarcado dentro de un proyecto

estándar, aplicando las metodologías de gestión en correspondencia con ello.
 La necesidad de establecer claramente los alcances, objetivos, limitantes, roles y
otros componentes que permitan definir claramente, para todas las partes
involucradas, los resultados, posibles afectaciones y mecanismos de mitigación, de
manera tal que el proceso de ESI no impacte en el funcionamiento de la entidad,
más allá de los límites permisibles.
 Propone la realización de un documento base titulada Reglas de Interacción (Rules
of Engagement), conteniendo todos los elementos descritos anteriormente, el cual
debe ser firmados por todas las partes.
La guía NIST SP 800-115 es útil para proporcionar estructura a las pruebas de seguridad de
la información, pero no pretende ser un sustituto de los procedimientos y procesos de
seguridad adecuados. En cambio, NIST SP 800-115 debería ser útil para probar que los
controles de seguridad de su organización son tan seguros como espera que sean.
Preguntas y respuestas de autoevaluación
1. ¿Qué es una ESI?
La evaluación de seguridad de la información es el proceso de determinar qué tan

eficazmente una entidad (servidores, redes de datos, procedimientos y personas)
es evaluada frente a objetivos específicos de seguridad.
2. ¿Cuáles son los 3 métodos que pueden usar para la evaluación de una ESI?
Los 3 métodos son: Pruebas, exanimación y entrevista
3. ¿Cuáles son las tres fases que propone la NIST SP 800-115 para un proceso de
ESI?
Las 3 fases son: Planificación, ejecución y post-ejecución
4. ¿Por qué una metodología de evaluación de seguridad repetible y documentada es

beneficiosa?
Porque proporcionar consistencia y estructura a las pruebas de seguridad, lo que

puede minimizar los riesgos de las pruebas, también acelera la transición del nuevo
personal de evaluación y aborda las limitaciones de recursos asociadas con las
evaluaciones de seguridad.
5. ¿La NIST SP 800-115 es la guía o metodología definitiva para la realización de una
ESI?
No, ya que esta señala en todos los casos sus limitantes y deficiencias y también
hace referencia a otros documentos y metodologías que pueden ayudar a
solventarla.
Referencias
 NIST 800-115 Information Security Testing and Assesment

o https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-
115.pdf
 Metodología de Pruebas de Intrusión en la NIST SP 800-115
o https://henryraul.wordpress.com/2017/05/10/metodologia-de-pruebas-de-
intrusion-en-la-nist-sp-800-115/

Informe NIST SP 800-115

Cargado por

Copyright:

Formatos disponibles

Informe NIST SP 800-115

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe NIST SP 800-115

Cargado por

Copyright:

Formatos disponibles

FACULTAD DE INGENIERÍA

NIST 800-115 Information Security Testing and Assesment

Nombre del alumno : Francisco Ignacio Cruz Cerda

Nombre del profesor : Jamil Navarro Afanador

Carrera : Ingeniería Civil en Computación e Informática

El presente informe se centrara en dar a conocer La Guía Técnica para Evaluaciones y

La evaluación de seguridad de la información es el proceso de determinar qué tan

Para la realización de la ESI, pueden usarse tres métodos de evaluación:

 Planificación: En la planificación se debe recopilar información sobre los activos que

Una metodología de evaluación de seguridad repetible y documentada es beneficiosa

 Proporcionar consistencia y estructura a las pruebas de seguridad, lo que puede

La NIST SP 800-115 describe una guía general para la realización de un proceso de

 El énfasis en la realización de todo el proceso enmarcado dentro de un proyecto

1. ¿Qué es una ESI?

La evaluación de seguridad de la información es el proceso de determinar qué tan

Los 3 métodos son: Pruebas, exanimación y entrevista

Las 3 fases son: Planificación, ejecución y post-ejecución

4. ¿Por qué una metodología de evaluación de seguridad repetible y documentada es

Porque proporcionar consistencia y estructura a las pruebas de seguridad, lo que

 NIST 800-115 Information Security Testing and Assesment

También podría gustarte