Laboratorio 03: Verinice

Universidad Nacional de Cajamarca

1. METODOLOGA QUE APLICA EN RIESGOS

verinice. el nico por BSI1 licencia de cdigo abierto, herramienta para la gestin de seguridad de la
informacin est disponible desde el ao 2007 y cuenta con ms de 10.000 usuarios en Alemania, Europa y
en todo el mundo. verinice ofrece una variedad de opciones: [1]
La informacin de seguridad BSI TI proteccin bsica e ISO 27001
Procedimiento de acuerdo con BSI 100-2 e ISO 27002
El anlisis de riesgos de acuerdo con BSI 100-3 e ISO 27005
GSTOOL2 importacin con garanta de xito
TI Grundschutzkatalog con BSI Licencia
Amplias funciones de exportacin e informes
Importacin propios catlogos y mdulos en formato XML
Agente de importacin para el inventario de activos y CMDB
Autoevaluacin segn VDA / ISA3
Interfaces para Greenbone GSM
Completamente relajado abierto el cdigo fuente en GitHub
El soporte tcnico por muchos verinice.PARTNER
Disponible para Windows, MacOS, Linux Ubuntu

1.1. Documentos y registros

Con verinice gestionar su documentacin SGSI:
Ponga reglamentos, polticas y registros de cualquier tipo en verinice estructurado
Mantener metadatos como autor, versin y lanzamiento.
Mantenga todos los auditable en varias versiones.
Los documentos pueden ser almacenados directamente en el verinice base de datos o fuentes externas
a travs de las direcciones URL (DMS, wiki, etc.) son referenciados. Por lo tanto lleva toda la pirmide de
documentos en un mismo lugar, sin importar la distribucin de los documentos en su organizacin ser
creados.
Todas estas caractersticas, la versin independiente de verinice. Con verinice.PRO obtener un
repositorio central, adems, tener acceso a los mltiples usuarios de diferentes ubicaciones.
1.2. Informacin del producto "verinice.EVAL v1.13.1"
Verinice.EVAL es la versin de evaluacin de verinice : libre, pero sin ninguna funcin informativa. Por lo
tanto, se puede probar todas las caractersticas de una herramientas de ISMS a excepcin de la

1
La British Standards Institution, cuyas siglas corresponden a BSI, es una multinacional cuyo fin se basa en la creacin de
normas para la estandarizacin de procesos. BSI es un organismo colaborador de ISO y proveedor de estas normas, son
destacables la ISO 9001, ISO 14001, ISO 13485 e ISO 27001. Entre sus actividades principales se incluyen la certificacin,
auditora y formacin en las normas.
2
El GSTOOL de la Oficina Federal para la seguridad en la tecnologa de la informacin (BSI) es una aplicacin de base de
datos para la creacin de polticas de seguridad de acuerdo con el procedimiento de proteccin de TI de lnea de base
3
VDA es una norma de sistemas de gestin de calidad alemana. Fue iniciado por la industria del automvil.
 exportacin de informes a PDF, Excel u otros formatos. La funcin de informes slo est disponible en la
versin completa de verinice [2].
Verinice es una herramienta ISMS: una herramienta para la gestin de seguridad de la informacin,
fabricado y ofrecido por SerNet.
1.3. Los estndares abiertos y software libre
Verinice apoya la BSI TI de Proteccin de Lnea de Base 27001 ISO y otras normas, catlogos y
directrices tcnicas, como la ISO 27002, ISO 27005, ISO 20718, ISO 27019, ISO 27004, BSI 100-1 a -4,
PCI DSS, COBIT, BDSG, DSGVO UE, SSAE 16, BCBS 239, ISAE 3402, MaRisk correo, PAER, VDA ISA,
IDW PS 330, IDW PH 9.330.1. Una lista de todas las funciones se puede encontrar en las pginas del
proyecto bajo https://verinice.com . Verinice es un software de cdigo abierto y el cdigo fuente completo
en GitHub liberado.
1.4. Anlisis de riesgos
Con verinice Puede descargar un anlisis de riesgo completo de sus activos de informacin realizar y
derivar nuevas medidas de los resultados.
Capturar las amenazas y vulnerabilidades de las fuentes existentes, tales como un escner de
vulnerabilidades o una prueba de penetracin.
Utilizar los resultados de su anlisis de riesgos y crear automticamente una evaluacin de riesgos
para todos los activos.
Ya sea que sus riesgos por la ISO 27005 , BSI estndar 100-3 voto o cualquier otro proceso: verinice
ayuda!
Crear sus propios escenarios de riesgo o utilizar el catlogo de la peligrosidad del BSI TI Proteccin de
lnea de base. Todos los peligros pueden incluso con un anlisis de 27005 de riesgos de conformidad con
la norma ISO se utilizan por lo que permite verinice evaluaciones de riesgo de arrastrar y soltar .
Verinice.PRO contiene adems un catlogo de escenarios de riesgo genricos. Se divide en las
amenazas y vulnerabilidades para permitir una evaluacin sencilla y realista de los riesgos. Sobre la
tienda verinice se puede correr el riesgo de catlogo para verinice versin independiente se relacionan.
2. EJEMPLO DE COMO SE USA LA HERRAMIENTA

2.1. Ingresamos a https://shop.verinice.com/account/payment, si ya tenemos una cuenta ingresamos, de lo

contrario, primeramente nos registramos.

2.2. Descargamos la aplicacin

 2.3. Ejecutamos verinice.exe

Amenazas y vulnerabilidades manual de importacin

2.4. Descargar el archivo desde el sitio web Threats_and_vulnerabilies.csv verinice.org. Este archivo se
encuentra en:
https://verinice.com/en/product/

Seleccionamos los catlogos y MS

Seleccionar la opcin de vulnerabilidades y amenazas y seleccione el botn Descargar

(IT Baseline Protection Catalogs, 13th update IT Baseline Protection Catalogs, 13th update)
(peligros elementales)
2.5. Seleccione ' F ile' seguido de 'CSV-Import' en el men principal.

2.6. seleccionamos la opcin 'Seleccionar archivo '

 2.7. Seleccione el elemento de amenaza en el cuadro de lista de la seleccin de archivos y configuraciones
ventana emergente.

3. CONCLUSION

4. BIBLIOGRAFA

https://shop.verinice.com
https://shop.verinice.com/software/11/verinice.eval-v1.13.1
https://de.wikipedia.org/wiki/GSTOOL