3. Índice
Existe una metodología de código a
bierto para la verificación de la seg
uridad de los sistemas. Esta
metodología es de ISECOM (Institu
te for security and Open methodol
ogies)
La metodología se conoce
por las siglas OSSTMM (Open Sourc
e Security Testing Methodology Man
ual) y es pronunciado como
“awstem”.
Introducción a ISECOM
Resumen y propósito deResumen y propósito de
OSSTM
Fases del documento
Comparación de la versión
3 con respecto a v 2.2
4.
5. ISECOM
ISECOM es una organización
internacional sin ánimo de lucro, que
trabaja desde hace mas de diez años,
en el desarrollo de metodologías de
libre utilización para la verificación de
la seguridad, la programación segura,
la verificación de software y la
concientización en seguridad.
Dentro de ISECOM, no solo se han
gestado proyectos de la talla de la
OSSTMM (Open Source Security
Testing Methodology Manual), sino
que por el contrario, otras
metodologías tales como:
BPP (Bad People Project)
HHS (Hacker High School:
InformationAwareness forTeens)
6. CertificacionesdeISECOM
Existen 5 certificaciones que da
ISECOM:
Es una titulación orientada a
certificar el conocimiento a nivel
técnico para auditores de
seguridad.
Orientada a liderar proyectos y
equipos de seguridad de la
información.
Orientada a certificar a expertos
en seguridadWireless
Orientada a certificar expertos en
seguridad bajo la metodología
OSSTMM
7. PropósitodeOSSTMM
OSSTM es el estándar mas completo
existente en la actualidad con una
metodología para la verificación de
los sistemas y las redes que
disponen de una conexión a internet,
revisa la seguridad de los sistemas
desde internet.
Esta idea fue creada por Pete Herzog
(Manager Director de ISECOM),
contando a su vez, con el esfuerzo
de sus mas de 150 colaboradores
directos.
Incluye un marco de trabajo que
describe las fases que habría que
realizar para la ejecución de la
auditoría.
Usa los rav (Valores de evaluación de
riesgo).
8. PropósitodeOSSTMM
Es abierto , si se encuentra un fallo
se puede comunicar a ISECOM, se
hace una evaluación para mejorar la
versión . Por eso es una metodología
abierta.
La nueva versión se adapta a la ISO
27001 y así lograr la estandarización,
y lograr que se convierta en una ISO
de ethical hacking.
9.
10. PropósitodeOSSTMM
ISECOM exige una serie de
requisitos para considerar a
OSSTMM como un test de
seguridad:
• Que sea cuantificable.
• Consistente y que se pueda
reiterar.
• Basado en el merito del analista,
y no en marcas comerciales.
• Exhaustivo.
• Concordante con las leyes
individuales y locales y el
derecho humano a la privacidad.
11. FasesdelDocumento
OSSTMM, divide en varias fases su
método para analizar infraestructura
a la hora de realizar auditoria.
Estas fases son conocidas como
mapas de seguridad.
12.
13. FasesdelDocumento
SecciónA –Seguridad de la
información
Sección B – Seguridad de los
Procesos
SecciónC – Seguridad en las
tecnologías de Internet
Sección D – Seguridad en las
Comunicaciones
Sección E – Seguridad Inalámbrica
Sección F – Seguridad Física
14. Comparacióndelaversión3conrespecto
av2.2(ventajas)
V2
• Se encuentra disponible en
Español.
• Pueden Aplicarse sin problemas
alguno en una Auditoria.
V 3.0
• “Valores de Evaluación de
Riesgo”
• Asentadas sobre unas formulas
matemáticas que dotan a este
documento de una base científica
rigurosa.
• Los RAV son cíclicos.
15. Comparacióndelaversión3conrespecto
av2.2(Desventajas)
V2
• Las métricas no son compatibles
con esta nueva revisión OSSTMM
y deben ser re calculadas.
• Cuenta con ciertas terminologías
obsoletas en la versión 3.0..
V 3.0
• Solo existe el manual en ingles
• Cambios en la estructura de la
plantilla, Aunque la metodología
a seguir en el pentest es similar a
la versión anterior.
• PenTest: Serie de técnicas
utilizadas para evaluar la
seguridad de redes, sistemas de
comunicación y aplicaciones
involucradas en los mismos.
16. PlantillasDeOSSTMM
• Como la nueva versión es muy
reciente y la adaptación a la
misma ha de hacerse
paulatinamente.
• Como es un manual de
metodología abierta alguna
modificación en las mismas no
significa un incumplimiento en
calidad de normativa.
• Las plantillas han de ser firmadas
por él o los testadores, incluyendo
los módulos que han sido
testeados, lo que no han podido
ser analizados y los test no
aplicables con su justificación.
17. PlantillasDeOSSTMM
• A la hora de firmar el documento
ha de incluirse la siguiente
clausula y su correspondiente
sello.
• Como es un manual de
metodología abierta alguna
modificación en las mismas no
significa un incumplimiento en
calidad de normativa.
• Las plantillas han de ser firmadas
por él o los testadores, incluyendo
los módulos que han sido
testeados, lo que no han podido
ser analizados y los test no
aplicables con su justificación.
18. PlantillasDeOSSTMM
Hoy en día OSSTMM es uno de los
estándares profesionales más
completos en materia de seguridad
informática junto con la metodología
ISSAF.
Los métodos y la descripción de las
herramientas las ofrece ISSAF,
mientras que OSSTMM tiene las
plantillas para guiarnos.
Las plantillas son un breve ejemplo de
los requisitos de los informes,
indicando la información que se debe
mostrar en un informe como condición
necesaria para calificar y ser
certificado en conformidad con el
OSSTMM. Sobre éstas plantillas se
aplican restricciones de ámbito y
alcance pertinentes. Ejemplos:
19. ConclusionesOSSTMM
Hoy en día OSSTMM es acerca de la
seguridad operacional, es decir que
trata de conocer y medir qué tan
bien funciona la seguridad.
Al usar OSSTMM se obtiene una
profunda comprensión de la
interconexión de las personas, los
procesos, los sistemas y el software.
El OSSTMM está continuamente en
desarrollo a medida que
aprendemos más y más sobre lo que
significa ser salvo y seguro.
Esta metodología nos dirá, lo que se
tiene que hacer, lo que se quiere que
hagamos y no solo lo que se nos dijo
que hagamos.
20. Referencias
• ISECOM - Open Source SecurityTesting
Methodology Manual (OSSTMM). Disponible
en:
http://www.isecom.org/research/osstmm.htm
l
• Metodologías de seguridad: normas y
estándares y su aplicación al análisis forense -
Metodologías de seguridad_2.pdf. Disponible
en :
http://www.mfbarcell.es/conferencias/Metod
olog%C3%ADas%20de%20seguridad_2.pdf
[Accedido
• OSSTMM, Manual de la Metodología Abierta
deTesteo de Seguridad. Disponible en :
http://www.dragonjar.org/osstmm-manual-
de-la-metodologia-abierta-de-testeo-de-
seguridad.xhtml
• OSSTMM.2.1.es - Manual de la Metodología
Abierta deTesteo de Seguridad -
OSSTMM.es.2.1.pdf. Disponible en :
http://isecom.securenetltd.com/OSSTMM.es.
2.1.pdf