Hola querida/o colega, que gusto tenerte por aquí porque si estás leyendo este artículo es porque te ha interesado el tema del security testing, así que te doy la bienvenida! En este artículo encontrarás una síntesis que he logrado con los conceptos más importantes e interesantes (por lo menos para mi) vinculados con la Unidad 1 del programa de estudios del ISTQB STE que estoy estudiando para rendir el correspondiente examen y lograr la certificación. Este ejercicio de estudiar, explorar o investigar (como quieras llamarlo), analizar, relacionar, e ir sacando conclusiones para luego publicar contenidos sintetizados, lo vengo haciendo desde hace un tiempo y me resulta muy bueno porque además de estudiar y reforzar mis conocimientos, los comparto a toda nuestra comunidad.
La unidad se compone de los siguientes conceptos:
- Niveles de seguridad de activos
- Activos y su nivel de protección correspondiente.
- Sensibilidad de la información y la prueba de seguridad.
- Auditoria de seguridad
- Auditorias de seguridad y pruebas de seguridad.
- El concepto de confianza cero
- ¿Qué es confianza cero?
- Confianza cero en la prueba de seguridad.
- Software de código abierto
- El concepto de OSS (SCA) y su impacto en la prueba de seguridad.
Activos y su nivel de protección correspondiente
Los activos representan cualquier cosa de valor para una organización: personas, software, hardware, datos, procesos, reputación, etc.
Se protegen en función de su valor e impacto frente a amenazas, utilizando la triada CID:
- Confidencialidad → proteger información frente a accesos no autorizados.
- Integridad → evitar cambios no autorizados en los datos.
- Disponibilidad → asegurar que la información esté accesible cuando se necesite.
Explicación SENCILLA del concepto Sensibilidad
Sensibilidad, en seguridad, se refiere a cuán delicada o importante es una información o recurso para una organización.
📌 Si algo es muy sensible, como los datos personales o financieros, necesita mucha protección.
📌 Si algo es poco sensible, como un horario público, no hace falta tanta protección.
La sensibilidad nos ayuda a priorizar qué proteger más, cómo y con qué intensidad probarlo.
Clasificación típica según sensibilidad:
🔵 Bajo: Enfocado en disponibilidad. Ej.: información pública.
🟡 Medio: Enfocado en integridad. Ej.: datos de fuentes confiables.
🔴 Alto: Enfocado en la confidencialidad. Ej.: datos personales o financieros.
Sensibilidad de la información y la prueba de seguridad
Cuanto mayor es la sensibilidad, más intensiva y proactiva debe ser la prueba de seguridad.
La protección preventiva es clave para evitar brechas.
Auditorías de seguridad y pruebas de seguridad
Una auditoría de seguridad evalúa si los sistemas y procesos cumplen políticas, normas y estándares establecidos.
Las pruebas de seguridad son una herramienta crítica dentro de la auditoría: proporcionan evidencia objetiva sobre la efectividad de controles de protección y exposición ante amenazas.
¿Qué es confianza cero?
Zero Trust asume que nadie es confiable por defecto, ni siquiera dentro de la red interna. Todos los accesos deben verificarse continuamente (identidad, ubicación, dispositivo).
Confianza cero en la prueba de seguridad
La prueba debe enfocarse en:
- Autenticación reforzada.
- Accesos mínimos necesarios.
- Monitoreo constante y segmentación de recursos.
- Validación de políticas de control de acceso.
El concepto de SCA y su impacto en la prueba de seguridad
El uso de software de código abierto implica riesgos de seguridad:
- Vulnerabilidades conocidas.
- Mantenimiento irregular.
- Inclusión de componentes sin análisis previo.
Las pruebas deben identificar estos riesgos, validarlos y utilizar herramientas de análisis de composición de software (SCA tools) para gestionarlos.
Dependencias entre conceptos
| Concepto | Unidad Relacionada | Descripción de la dependencia |
| Triada CID (Confidencialidad, Integridad, Disponibilidad) | Unidad 3 – Proceso de Prueba de Seguridad | Al diseñar pruebas, se priorizan los objetivos de seguridad según la sensibilidad del activo. |
| Sensibilidad y clasificación de activos | Unidad 5 – Contexto Organizacional | Las decisiones sobre qué probar y cómo varían según el valor del activo y la estructura de la organización. |
| Zero Trust | Unidad 2 – Técnicas de Prueba / Unidad 6 – Modelos de Desarrollo | Zero Trust requiere aplicar tipos de prueba específicos y adaptarse a entornos DevOps donde todo es dinámico. |
| Código abierto (OSS) | Unidad 9 – Herramientas de Prueba de Seguridad | Unidad 9 – Herramientas de Prueba de Seguridad |
| Auditorías | Unidad 4 – Estándares y Buenas Prácticas | Las auditorías se basan en estándares como ISO/IEC 27001 o NIST, cuya aplicación se detalla en esa unidad. |
¿Qué es un paradigma en seguridad?
Un paradigma es un enfoque, modelo mental o conjunto de principios que guían cómo se entiende y se gestiona un tema.
En seguridad, un paradigma define cómo se perciben las amenazas, cómo se protegen los activos y qué mecanismos se priorizan.
Es decir: los paradigmas en seguridad orientan las decisiones estratégicas y técnicas sobre cómo asegurar la información y los sistemas.
¿Qué significa “brecha” en este contexto?
Una brecha de seguridad (o security breach, en inglés) representa una violación de las políticas de seguridad, donde un atacante o un actor no autorizado logra acceder, alterar o inutilizar información o sistemas protegidos.
En este contexto específico del syllabus:
«Cuanto mayor es la sensibilidad, más intensiva y proactiva debe ser la prueba de seguridad. La protección preventiva es clave para evitar brechas.«
la palabra brechas se refiere a:
🔴 Incidentes reales o potenciales donde:
- Se pierde confidencialidad (por ejemplo, robo de datos personales).
- Se afecta la integridad (por ejemplo, manipulación de registros).
- Se compromete la disponibilidad (por ejemplo, caída de un servicio esencial).
🎯 ¿Cómo se relaciona esto con la sensibilidad de la información?
Cuanto más sensible es la información (por ejemplo: datos de salud, contraseñas, información financiera), mayores son las consecuencias que puede provocar una brecha.
Por eso, el syllabus enfatiza que para activos de alta sensibilidad se requieren pruebas más proactivas, tempranas y profundas (por ejemplo: pruebas de penetración, revisiones estáticas, fuzzing).
¿Cómo se previenen las brechas desde la prueba de seguridad?
- Diseño de pruebas basado en riesgos.
- Cobertura de controles críticos.
- Uso de técnicas combinadas (estáticas, dinámicas, caja gris, etc.).
- Automatización continua en entornos ágiles/DevOps.
- Validación del cumplimiento de políticas y estándares.
Fuente de consulta e inspiración: Programa de estudios del ISTQB STE
