Definición y propósito

El NIST 800-115 proporciona a las organizaciones una visión general comprensiva y orientación sobre cómo realizar pruebas y evaluaciones de seguridad. El documento está destinado a dar a las organizaciones un enfoque estructurado para identificar vulnerabilidades y debilidades en sus sistemas de información, validar la efectividad de las medidas de seguridad y asegurar el cumplimiento de las políticas y regulaciones de seguridad.

Organismo rector

El Instituto Nacional de Estándares y Tecnología (NIST) es el organismo rector responsable de la serie 800 de publicaciones, incluida la NIST 800-115.

Última actualización

La actualización más reciente fue lanzada en abril de 2021.

Aplicable a

El NIST 800-115 se aplica en términos generales a cualquier organización o entidad que desee realizar pruebas y evaluaciones de seguridad de sus sistemas de información. Esto incluye agencias gubernamentales, empresas del sector privado y organizaciones sin fines de lucro. Las pautas son particularmente relevantes para las entidades que están bajo regulaciones federales de EE. UU., pero las prácticas son ampliamente reconocidas y pueden aplicarse en varios contextos fuera del gobierno federal de EE. UU.

Controles y requisitos

El NIST 800-115 es una guía, por lo que no presenta un conjunto estricto de controles o requisitos de la misma manera que un estándar de cumplimiento. En cambio, ofrece metodologías, técnicas y procedimientos. Las áreas clave de enfoque incluyen:

• Planificación de la Evaluación de Seguridad
• Ejecución de la Evaluación de Seguridad
• Actividades Post-Pruebas
• Escaneo de Vulnerabilidades
• Técnicas de Pruebas de Seguridad (incluyendo revisiones y análisis, evaluaciones y valoraciones)
• Pruebas de Penetración

Cada sección proporciona pasos detallados, recomendaciones y consideraciones para llevar a cabo de manera efectiva el respectivo tipo de evaluación de seguridad.

Por favor, consulte la publicación oficial NIST SP 800-115 para más detalles.

Tipo, frecuencia y duración de la auditoría

Dado que el NIST 800-115 es una guía para realizar evaluaciones de seguridad y no un estándar de cumplimiento, no dicta tipos específicos de auditorías, frecuencias o duraciones.

En su lugar, las organizaciones utilizarían esta guía para informar y estructurar sus propias actividades de evaluación y prueba. La frecuencia y duración de estas actividades dependerían de las políticas internas de la organización, la naturaleza del sistema de información y cualquier requisito reglamentario aplicable.