Anàlisi de Riscos i Planificació de la Securització
Proposta didàctica
En aquest bloc treballem el RA1: Dissenya plans de securització fent una anàlisi de riscos i incorporant bones pràctiques i estàndards reconeguts internacionalment.
Criteris d'avaluació
-
CA1.1 Identifica actius, amenaces i vulnerabilitats en un sistema d'informació.
-
CA1.2 Avalua les mesures de seguretat actuals implementades en el sistema.
-
CA1.3 Realitza una anàlisi de risc de la informació i dels sistemes de tractament de la informació.
-
CA1.4 Prioritza les mesures tècniques de seguretat a implantar (Economia Circular).
-
CA1.5 Dissenya un pla de mesures tècniques de seguretat seguint els principis de privacitat per disseny.
-
CA1.6 Aplica bones pràctiques i estàndards reconeguts internacionalment (CIS Benchmarks, NIST CSF, ISO 27001).
Continguts de referència
- Metodologia d'anàlisi de riscos
- 1.1 MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información)
- 1.2 ISO 31000: Gestió del risc
- 1.3 OCTAVE i FAIR: metodologies alternatives
- Identificació d'actius
- 2.1 Tipus d'actius: servidors, xarxes, dades, processos, persones
- 2.2 Valoració d'actius (confidencialitat, integritat, disponibilitat)
- Inventari d'amenaces i vulnerabilitats
- 3.1 Base de dades CVE i NVD
- 3.2 CVSS (Common Vulnerability Scoring System)
- 3.3 OWASP Top 10
- Matriu de riscos
- 4.1 Càlcul de risc: probabilitat × impacte
- 4.2 Riscos residuals i acceptació del risc
- Plans de securització
- 5.1 Selecció i priorització de controls
- 5.2 Economia Circular en ciberseguretat
- 5.3 Privacitat per disseny (Privacy by Design)
- Estàndards internacionals
- 6.1 CIS Controls v8 (18 controls)
- 6.2 NIST Cybersecurity Framework (CSF 2.0)
- 6.3 ISO/IEC 27001:2022
Questionari inicial
- Quina diferència hi ha entre risc, amenaça i vulnerabilitat?
- Quin és l'objectiu principal d'una anàlisi de riscos?
- Pots posar un exemple d'actiu crític en una empresa?
- Quins tres atributs s'utilitzen habitualment per valorar un actiu?
- Quin és el significat de la sigla MAGERIT?
- Quin organisme va publicar el NIST Cybersecurity Framework?
- Quina diferència hi ha entre un risc inherent i un risc residual?
- Quines cinc funcions defineix el NIST CSF?
- Que és el CVSS i per a qué serveix?
- Quin rang de puntuació utilitza el CVSS per classificar la gravetat?
- Quants controls principals inclou el CIS Controls v8?
- Quin és el principi de "Privacy by Design" i qui el va proposar?
- Quina diferència hi ha entre una mesura de seguretat preventiva i una detectiva?
- Quin és el propòsit d'un Pla de Continuïtat de Negoci (BCP)?
- Quina diferència hi ha entre anàlisi qualitativa i quantitativa del risc?
- Quin és el propòsit de la norma ISO/IEC 27001?
- Que és l'Economia Circular i com s'aplica en l'àmbit de la ciberseguretat?
- Qué és un actiu d'informació i com es diferencia d'un actiu físic?
- Quines tres opcions principals existeixen per tractar un risc identificat?
- Qué és un SGSI (Sistema de Gestió de la Seguretat de la Informació)?
Programació d'aula
| Sessió | Continguts | Activitats | CAs Treballats |
|---|---|---|---|
| 1-4 | Introducció, conceptes de risc i metodologies | Debat: casos reals de bretxes de seguretat | CA1.1, CA1.2 |
| 5-8 | MAGERIT: identificació i valoració d'actius | Inventari d'actius d'una empresa fictícia | CA1.1, CA1.2 |
| 9-12 | Amenaces, vulnerabilitats, CVE i CVSS | Cerca CVEs en NVD, anàlisi CVSS | CA1.1, CA1.3 |
| 13-16 | Matriu de riscos i càlcul de risc | Construcció matriu de riscos 5×5 | CA1.3 |
| 17-20 | Plans de securització i priorització | Disseny pla de mesures per empresa fictícia | CA1.4, CA1.5 |
| 21-22 | CIS Controls, NIST CSF, ISO 27001 - avaluació | Qüestionari i exercici integrador bloc 1 | CA1.6 |
Introducció a la Gestió del Risc
Conceptes fonamentals
La gestió del risc en ciberseguretat és el procés sistemàtic per identificar, avaluar i tractar els riscos que afecten els actius d'informació d'una organització. Sense una gestió adequada del risc, les decisions de seguretat es prenen de manera reactiva i intuïtiva, en comptes de basant-se en evidències.
El cicle de gestió del risc s'articula al voltant d'uns conceptes clau que convé dominar des del principi:
Actiu: Qualsevol element que té valor per a l'organització i que cal protegir. Pot ser tangible (un servidor, un ordinador portàtil) o intangible (una base de dades de clients, la reputació de l'empresa).
Amenaça: Causa potencial d'un incident no desitjat. Les amenaces poden ser naturals (incendis, inundacions), accidentals (errors humans) o deliberades (atacs informàtics, espionatge). Una amenaça per si sola no és perillosa si no existeix una vulnerabilitat que pugui explotar.
Vulnerabilitat: Debilitat o fallada en un actiu que pot ser explotada per una amenaça. Pot ser tècnica (un servei desactualitzat amb un CVE conegut), organitzativa (falta de procediments) o humana (empleats sense formació).
Risc: La probabilitat que una amenaça exploti una vulnerabilitat causant un impacte negatiu. S'expressa habitualment com:
Impacte: Les conseqüències d'un incident de seguretat sobre la confidencialitat, integritat i disponibilitat dels actius (la tríada CIA).
flowchart LR
A["🏢 Actiu\n(Servidor web)"] -->|exposat a| T["⚡ Amenaça\n(Atac DDoS)"]
T -->|explota| V["🔓 Vulnerabilitat\n(sense protecció DDoS)"]
V -->|causa| I["💥 Impacte\n(indisponibilitat del servei)"]
A & T & V & I --> R["📊 RISC\n(Probabilitat × Impacte)"]
style A fill:#4488cc,color:#fff
style T fill:#cc4444,color:#fff
style V fill:#cc8800,color:#fff
style I fill:#cc0000,color:#fff
style R fill:#880088,color:#fff
La tríada CIA
Tots els riscos d'informació s'analitzen en funció de tres dimensions:
- Confidencialitat: La informació és accessible només a qui té autorització.
- Integritat: La informació és precisa, completa i no ha estat modificada sense autorització.
- Disponibilitat: La informació i els sistemes són accessibles quan es necessiten.
Metodologies d'Anàlisi de Riscos
MAGERIT
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) és la metodologia de referència en l'àmbit de les administracions públiques espanyoles, publicada pel Consell Superior d'Administració Electrònica (CSAE). La versió 3 és l'actual.
MAGERIT s'estructura en tres llibres:
- Llibre I – El mètode: Defineix els passos del procés d'anàlisi i gestió de riscos.
- Llibre II – Catàleg d'elements: Proporciona catàlegs de tipus d'actius, dimensions de seguretat, amenaces i salvaguardes.
- Llibre III – Guia de tècniques: Proporciona tècniques per a l'estimació de l'impacte i la probabilitat.
Fases principals de MAGERIT:
- Planificació del projecte: Definició d'abast, objectives i equip.
- Anàlisi de riscos:
- Inventari d'actius i dependències
- Valoració d'actius en les dimensions CIA
- Identificació d'amenaces i estimació de la seva freqüència
- Estimació de l'impacte potencial
- Càlcul del risc
- Gestió del risc: Identificació de salvaguardes i avaluació del risc residual.
flowchart TD
A["📋 Planificació del projecte"] --> B["🏢 Inventari d'actius"]
B --> C["⚖️ Valoració d'actius\n(Confidencialitat, Integritat, Disponibilitat)"]
C --> D["⚡ Identificació d'amenaces\n(catàleg MAGERIT)"]
D --> E["🔓 Identificació de vulnerabilitats"]
E --> F["📊 Càlcul de riscos\n(Probabilitat × Impacte)"]
F --> G["🛡️ Selecció de salvaguardes"]
G --> H["📉 Riscos residuals"]
H --> I{Risc acceptable?}
I -->|No| G
I -->|Sí| J["📄 Pla de securització"]
style A fill:#2266aa,color:#fff
style F fill:#cc8800,color:#fff
style J fill:#228822,color:#fff
style I fill:#882288,color:#fff
ISO 31000 i ISO 27005
ISO 31000:2018 proporciona els principis i directrius generals per a la gestió del risc aplicables a qualsevol organització i sector. Estableix un marc de gestió del risc i un procés iteratiu de sis passos.
ISO/IEC 27005:2022 és l'estàndard específic per a la gestió del risc en la seguretat de la informació, alineat amb ISO 27001. Proporciona directrius per a l'anàlisi i tractament del risc.
OCTAVE i FAIR
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) és una metodologia desenvolupada per la Universitat Carnegie Mellon centrada en la perspectiva de l'organització (no únicament tècnica).
FAIR (Factor Analysis of Information Risk) és un marc per a l'anàlisi quantitativa del risc que permet expressar el risc en termes financers (cost probable per any, ALE - Annual Loss Expectancy), facilitant la presa de decisions basada en ROI de seguretat.
Miniactivitat
Cerca a la base de dades NVD (National Vulnerability Database) les 5 vulnerabilitats amb puntuació CVSS més alta (score 10.0) de l'últim mes. Per a cadascuna, identifica:
- El component afectat
- El tipus d'impacte (confidencialitat, integritat, disponibilitat)
- Si existeix un exploit públic (PoC)
- Si hi ha pegat disponible
Identificació i Valoració d'Actius
Tipus d'actius
El catàleg d'actius de MAGERIT classifica els actius en les categories següents:
| Codi | Tipus | Exemples |
|---|---|---|
| S | Serveis | Servei de correu electrònic, servei web, ERP |
| SW | Aplicacions | Sistema operatiu, SGBD, aplicació de nòmines |
| HW | Equipament | Servidors, switches, portàtils, telèfons |
| COM | Comunicacions | Xarxa LAN, connexió a Internet, VPN |
| SI | Suports | Discos durs, NAS, cintes de backup |
| AUX | Infraestructura | CPD, climatitzadors, SAI (UPS) |
| P | Persones | Administradors, usuaris, personal extern |
| L | Instal·lacions | Edificis, oficines, centres de dades |
| I | Informació | Dades de clients, propietat intel·lectual |
Valoració de la tríada CIA
Cada actiu s'ha de valorar en funció de les tres dimensions de seguretat:
| Escala | Valor | Descripció |
|---|---|---|
| Molt alt | 10 | Impacte catastròfic: fallida de l'organització |
| Alt | 7-9 | Impacte greu: pèrdues importants, dany reputacional |
| Mig | 4-6 | Impacte moderat: afecta operacions, recuperable |
| Baix | 1-3 | Impacte lleu: molèstia, fàcilment recuperable |
| Negligible | 0 | Sense impacte apreciable |
Exemple de valoració d'actius:
| Actiu | Confidencialitat | Integritat | Disponibilitat | Valoració global |
|---|---|---|---|---|
| Base de dades de clients | 10 | 9 | 7 | 10 |
| Servidor de correu | 7 | 8 | 9 | 9 |
| Servidor web públic | 3 | 7 | 9 | 9 |
| Portàtil d'un empleat | 6 | 5 | 4 | 6 |
| Connexió a Internet | 2 | 3 | 9 | 9 |
| Impressores de xarxa | 2 | 2 | 3 | 3 |
Dependències entre actius
Un actiu pot heretar el valor d'un altre del qual depèn. Per exemple, si la base de dades de clients té valor 10, el servidor que l'allotja té almenys el mateix valor. Documentar les dependències és essencial per no infravalorar actius d'infraestructura.
Inventari d'Amenaces i Vulnerabilitats
La base de dades CVE
CVE (Common Vulnerabilities and Exposures) és un sistema estandarditzat d'identificació de vulnerabilitats conegudes en productes de programari i maquinari. Cada vulnerabilitat rep un identificador únic amb el format:
NVD (National Vulnerability Database) és la base de dades del NIST que enriqueix els CVEs amb informació addicional: puntuació CVSS, tipus CWE, referències i informació sobre pegats.
CVSS: Puntuació de Gravetat
El CVSS (Common Vulnerability Scoring System) és un estàndard per avaluar la gravetat de les vulnerabilitats. La versió actual és CVSS v3.1.
El càlcul es basa en tres grups de mètriques:
Mètriques base (descriu les característiques intrínseques de la vulnerabilitat): - Vector d'atac (xarxa, adjacent, local, físic) - Complexitat de l'atac (baixa, alta) - Privilegis necessaris (cap, baix, alt) - Interacció de l'usuari (cap, requerida) - Abast (sense canvi, canviat) - Impacte en Confidencialitat/Integritat/Disponibilitat (cap, baix, alt)
Puntuació CVSS i classificació:
| Puntuació | Gravetat | Color |
|---|---|---|
| 0.0 | Cap | Blanc |
| 0.1 - 3.9 | Baixa | Verd |
| 4.0 - 6.9 | Mitjana | Groc |
| 7.0 - 8.9 | Alta | Taronja |
| 9.0 - 10.0 | Crítica | Vermell |
CVE-2021-44228 – Log4Shell (CVSS 10.0)
Log4Shell és una de les vulnerabilitats més crítiques de la dècada. Afecta la biblioteca Java Log4j2 i permet l'execució remota de codi (RCE) simplement enviant una cadena maliciosa en qualsevol camp que sigui registrat. Milers de serveis arreu del món es van veure afectats. La gravetat màxima (10.0) reflectia que era trivial d'explotar remotament sense autenticació i permetia control complet del sistema.
OWASP Top 10
L'OWASP Top 10 és la llista de les deu categories de risc de seguretat d'aplicacions web més crítiques, publicada per l'Open Web Application Security Project. La versió 2021 inclou:
| # | Categoria |
|---|---|
| A01 | Control d'accés trencat (Broken Access Control) |
| A02 | Fallades criptogràfiques |
| A03 | Injecció (SQL, comandaments OS, LDAP) |
| A04 | Disseny insegur |
| A05 | Configuració de seguretat incorrecta |
| A06 | Components vulnerables i obsolets |
| A07 | Fallades d'identificació i autenticació |
| A08 | Fallades en integritat de dades i programari |
| A09 | Fallades en registre i monitorització |
| A10 | Falsificació de peticions del servidor (SSRF) |
Miniactivitat
Escull una empresa del teu entorn proper (una empresa local, un ajuntament, o la pròpia escola). Fes un inventari inicial de 10 actius d'informació classificats per tipus. Per a cada actiu, valora les tres dimensions CIA en una escala de 0 a 10 i justifica la puntuació. Presenta els resultats en una taula.
Matriu de Riscos
Construcció de la matriu de riscos
La matriu de riscos (o mapa de calor de riscos) és una eina visual que permet representar i prioritzar els riscos identificats. Cada risc es posiciona en una matriu de dues dimensions:
- Eix vertical: Impacte (1-5 o 1-10)
- Eix horitzontal: Probabilitat (1-5 o 1-10)
Matriu de riscos 5×5 estàndard:
IMPACTE
5 | 5 | 10 | 15 | 20 | 25 |
4 | 4 | 8 | 12 | 16 | 20 |
3 | 3 | 6 | 9 | 12 | 15 |
2 | 2 | 4 | 6 | 8 | 10 |
1 | 1 | 2 | 3 | 4 | 5 |
| 1 | 2 | 3 | 4 | 5 | PROBABILITAT
Zones:
1-4: Risc BAIX (verd) - Acceptar o monitoritzar
5-9: Risc MODERAT (groc) - Reduir amb controls
10-14: Risc ALT (taronja) - Reducció urgent
15-25: Risc CRÍTIC (vermell) - Eliminació o mitigació immediata
Tractament del risc
Un cop identificats i valorats els riscos, cal decidir com tractar-los:
Evitar el risc: Eliminar l'activitat o l'actiu que genera el risc. Per exemple, desactivar un servei web que no s'utilitza però que presenta vulnerabilitats.
Reduir/Mitigar el risc: Implementar controls que redueixin la probabilitat o l'impacte. Per exemple, aplicar pegats de seguretat per reduir la probabilitat d'explotació d'un CVE.
Transferir el risc: Traslladar el risc a un tercer. Per exemple, contractar una assegurança de ciberseguretat o externalitzar un servei a un proveïdor que assumeix la responsabilitat.
Acceptar el risc: Reconèixer que el risc existeix però que el cost de mitigar-lo supera el benefici. Aquesta decisió ha de ser documentada i aprovada per la direcció.
Risc residual
Cap mesura de seguretat elimina completament un risc. El risc que queda després d'aplicar controls s'anomena risc residual. L'organització ha de definir quin nivell de risc residual és acceptable (apetit de risc).
Miniactivitat
Utilitza la matriu de riscos per avaluar cinc riscos potencials d'un sistema d'informació escolar (instituts, plataforma Moodle, xarxa WiFi, etc.). Per a cada risc:
- Descriu l'amenaça i la vulnerabilitat associada
- Estima la probabilitat (1-5) i l'impacte (1-5)
- Calcula el risc i situa'l a la matriu
- Proposa una mesura de tractament
Plans de Securització
Estructura d'un pla de mesures
Un pla de securització és el document que recull les mesures de seguretat que l'organització ha decidit implementar per tractar els riscos identificats. Inclou:
- Diagnòstic inicial: Estat actual de la seguretat
- Objectius de seguretat: Nivell de seguretat que es vol assolir
- Mesures identificades: Llista de controls a implementar
- Priorització: Ordenació per risc, cost i dificultat d'implementació
- Pla d'acció: Calendari, responsables i recursos necessaris
- Indicadors: Mètriques per mesurar l'efectivitat dels controls
- Seguiment i revisió: Procés de revisió periòdica
Economia Circular en ciberseguretat
L'Economia Circular en l'àmbit de la ciberseguretat implica considerar el cicle de vida complet dels dispositius i sistemes des d'una perspectiva de seguretat i sostenibilitat:
Disseny segur des del principi (Secure by Design): Incorporar la seguretat des de les primeres fases del disseny de sistemes i productes, evitant afegir-la com una capa posterior costosa.
Reutilització segura: Quan es reutilitzen dispositius o sistemes, garantir que han estat adequadament sanititzats (esborrat segur de dades, reinstal·lació del sistema operatiu, actualització de firmware).
Eliminació segura: Al final de la vida útil d'un dispositiu que ha emmagatzemat dades sensibles, aplicar procediments d'esborrat segur (DoD 5220.22-M, sobreescriptura múltiple) o destrucció física abans del reciclatge.
Actualitzacions i pegats: Mantenir els sistemes actualitzats és una mesura de seguretat fonamental i un acte de responsabilitat (un sistema vulnerable pot ser usat per atacar tercers).
Principi de Privacitat per Disseny (Privacy by Design)
Introduït per Ann Cavoukian als anys 90 i incorporat al RGPD europeu, estableix 7 principis:
- Proactiu, no reactiu; preventiu, no correctiu
- La privacitat com a configuració per defecte
- La privacitat integrada en el disseny
- Funcionalitat total (no suma zero)
- Seguretat de principi a fi
- Visibilitat i transparència
- Respecte per la privacitat de l'usuari
Estàndards Internacionals de Referència
CIS Controls v8
Els CIS Controls (Center for Internet Security) són un conjunt de 18 accions de seguretat prioritzades, organitzades en tres grups per nivell de maduresa organitzativa:
Grup 1 – Higiene bàsica de ciberseguretat (per a qualsevol organització):
| Control | Nom |
|---|---|
| CIS-1 | Inventari i control d'actius empresarials |
| CIS-2 | Inventari i control d'actius de programari |
| CIS-3 | Protecció de dades |
| CIS-4 | Configuració segura d'actius i programari |
| CIS-5 | Gestió de comptes |
| CIS-6 | Gestió del control d'accés |
Grup 2 – Fonaments (per a organitzacions amb recursos de TI):
| Control | Nom |
|---|---|
| CIS-7 | Gestió contínua de vulnerabilitats |
| CIS-8 | Gestió dels registres d'auditoria |
| CIS-9 | Protecció del correu electrònic i navegadors web |
| CIS-10 | Defenses contra malware |
| CIS-11 | Recuperació de dades |
| CIS-12 | Gestió d'infraestructura de xarxa |
| CIS-13 | Supervisió i defensa de la xarxa |
| CIS-14 | Conscienciació i formació en seguretat |
Grup 3 – Organitzacional (per a organitzacions madures):
| Control | Nom |
|---|---|
| CIS-15 | Gestió de proveïdors de serveis |
| CIS-16 | Seguretat del programari d'aplicació |
| CIS-17 | Gestió de respostes a incidents |
| CIS-18 | Tests de penetració |
NIST Cybersecurity Framework (CSF 2.0)
El NIST CSF és un marc voluntari publicat pel National Institute of Standards and Technology dels EUA. La versió 2.0 (2024) organitza la ciberseguretat en sis funcions:
graph LR
GV["GOVERN\n🏛️\nEstratègia, política\ni gestió del risc"]
ID["IDENTIFICAR\n🔍\nActius, riscos\ni vulnerabilitats"]
PR["PROTEGIR\n🛡️\nControls preventius\ni accés"]
DE["DETECTAR\n👁️\nMonitorització\ni detecció"]
RS["RESPONDRE\n🚒\nAnàlisi i\nmitigació"]
RC["RECUPERAR\n🔄\nRestauració\ni millora"]
GV --> ID
ID --> PR
PR --> DE
DE --> RS
RS --> RC
RC --> ID
style GV fill:#6644aa,color:#fff
style ID fill:#2266cc,color:#fff
style PR fill:#228844,color:#fff
style DE fill:#cc8800,color:#fff
style RS fill:#cc4400,color:#fff
style RC fill:#446688,color:#fff
ISO/IEC 27001:2022
ISO/IEC 27001 és l'estàndard internacional per als Sistemes de Gestió de la Seguretat de la Informació (SGSI). La versió 2022 inclou 93 controls organitzats en quatre categories:
- Controls organitzatius (37 controls): Polítiques, rols, gestió d'actius...
- Controls per a persones (8 controls): Formació, conscienciació, investigació de candidats...
- Controls físics (14 controls): Seguretat de les instal·lacions, maquinari...
- Controls tecnològics (34 controls): Criptografia, seguretat en xarxes, gestió de vulnerabilitats...
La certificació ISO 27001 és un dels senyals de confiança més reconeguts en l'àmbit empresarial i és cada cop més requerida en concursos públics i contractes amb grans empreses.
Miniactivitat
Compara el CIS Control 4 (Configuració segura d'actius) amb el control ISO 27001 A.8.9 (Gestió de la configuració). Identifica les similituds i diferències en abast, detall tècnic i orientació. Quins avantatges té usar tots dos de manera complementària?
Cas Pràctic: Anàlisi de Riscos d'una PIME
Context
Empresa "Tecnologies SA" – PIME de 25 empleats dedicada al disseny web i màrqueting digital. Tenen: - Servidor web allotjat en un VPS (Ubuntu 20.04 sense actualitzar des de fa 14 mesos) - Servidor intern de fitxers (Windows Server 2016) accessible per SMB - CRM basat en web (Odoo) amb accés d'empleats des de casa - WiFi d'oficina sense segmentació (empleats, visites i dispositius IoT a la mateixa xarxa) - Còpies de seguretat manuals setmanals a un disc dur extern a l'oficina
Exercici complet
Aplica la metodologia MAGERIT per a aquesta empresa:
- Identifica els actius principals (mínim 8) i valora la tríada CIA per a cada un.
- Identifica amenaces per a cada actiu (consulta el catàleg MAGERIT o MITRE ATT&CK).
- Busca CVEs rellevants per als sistemes identificats (Ubuntu 20.04, Windows Server 2016, Odoo).
- Construeix una matriu de riscos 5×5 amb els 5 riscos que consideres més significatius.
- Proposa un pla de mesures prioritzat per als tres riscos crítics, incloent-hi el cost estimat i el temps d'implementació.
Recursos i Eines
Eines d'anàlisi de riscos
- PILAR (Procedimiento Informático-Lógico para el Análisis de Riesgos): Eina oficial MAGERIT del Ministeri d'Hisenda d'Espanya
- OpenFAIR: Implementació de codi obert del marc FAIR
- RiskLens: Plataforma comercial per a anàlisi quantitativa del risc
Bases de dades de vulnerabilitats
- NVD (National Vulnerability Database): Base de dades oficial CVE amb puntuació CVSS
- CVE.org: Portal oficial CVE de MITRE
- Exploit Database: Base de dades d'exploits públics
- NIST NVD CVE Search: Cerca avançada de CVEs
Documents oficials
- MAGERIT v3: Descarrega gratuïta del Ministeri d'Hisenda
- NIST CSF 2.0: Marc oficial del NIST
- CIS Controls v8: Descàrrega gratuïta (registre necessari)
- OWASP Top 10:2021: Llista oficial OWASP