SlideShare una empresa de Scribd logo

Osstmm

Denys Flores
Denys Flores

osstm

Tecnología
1 de 20
- Gabriel Charco. - Mateo Méndez Quito, 16 de mayo de 2013
OSSTMM (Open Source SecurityTesting Methodology Manual).
Índice Existe una metodología de código a bierto para la verificación de la seg uridad de los sistemas. Esta metodología es de ISECOM (Institu te for security and Open methodol ogies) La metodología se conoce por las siglas OSSTMM (Open Sourc e Security Testing Methodology Man ual) y es pronunciado como “awstem”. Introducción a ISECOM Resumen y propósito deResumen y propósito de OSSTM Fases del documento Comparación de la versión 3 con respecto a v 2.2
ISECOM ISECOM es una organización internacional sin ánimo de lucro, que trabaja desde hace mas de diez años, en el desarrollo de metodologías de libre utilización para la verificación de la seguridad, la programación segura, la verificación de software y la concientización en seguridad. Dentro de ISECOM, no solo se han gestado proyectos de la talla de la OSSTMM (Open Source Security Testing Methodology Manual), sino que por el contrario, otras metodologías tales como: BPP (Bad People Project) HHS (Hacker High School: InformationAwareness forTeens)
CertificacionesdeISECOM Existen 5 certificaciones que da ISECOM: Es una titulación orientada a certificar el conocimiento a nivel técnico para auditores de seguridad. Orientada a liderar proyectos y equipos de seguridad de la información. Orientada a certificar a expertos en seguridadWireless Orientada a certificar expertos en seguridad bajo la metodología OSSTMM
PropósitodeOSSTMM OSSTM es el estándar mas completo existente en la actualidad con una metodología para la verificación de los sistemas y las redes que disponen de una conexión a internet, revisa la seguridad de los sistemas desde internet. Esta idea fue creada por Pete Herzog (Manager Director de ISECOM), contando a su vez, con el esfuerzo de sus mas de 150 colaboradores directos. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Usa los rav (Valores de evaluación de riesgo).
PropósitodeOSSTMM Es abierto , si se encuentra un fallo se puede comunicar a ISECOM, se hace una evaluación para mejorar la versión . Por eso es una metodología abierta. La nueva versión se adapta a la ISO 27001 y así lograr la estandarización, y lograr que se convierta en una ISO de ethical hacking.
PropósitodeOSSTMM ISECOM exige una serie de requisitos para considerar a OSSTMM como un test de seguridad: • Que sea cuantificable. • Consistente y que se pueda reiterar. • Basado en el merito del analista, y no en marcas comerciales. • Exhaustivo. • Concordante con las leyes individuales y locales y el derecho humano a la privacidad.
FasesdelDocumento OSSTMM, divide en varias fases su método para analizar infraestructura a la hora de realizar auditoria. Estas fases son conocidas como mapas de seguridad.
FasesdelDocumento SecciónA –Seguridad de la información Sección B – Seguridad de los Procesos SecciónC – Seguridad en las tecnologías de Internet Sección D – Seguridad en las Comunicaciones Sección E – Seguridad Inalámbrica Sección F – Seguridad Física
Comparacióndelaversión3conrespecto av2.2(ventajas) V2 • Se encuentra disponible en Español. • Pueden Aplicarse sin problemas alguno en una Auditoria. V 3.0 • “Valores de Evaluación de Riesgo” • Asentadas sobre unas formulas matemáticas que dotan a este documento de una base científica rigurosa. • Los RAV son cíclicos.
Comparacióndelaversión3conrespecto av2.2(Desventajas) V2 • Las métricas no son compatibles con esta nueva revisión OSSTMM y deben ser re calculadas. • Cuenta con ciertas terminologías obsoletas en la versión 3.0.. V 3.0 • Solo existe el manual en ingles • Cambios en la estructura de la plantilla, Aunque la metodología a seguir en el pentest es similar a la versión anterior. • PenTest: Serie de técnicas utilizadas para evaluar la seguridad de redes, sistemas de comunicación y aplicaciones involucradas en los mismos.
PlantillasDeOSSTMM • Como la nueva versión es muy reciente y la adaptación a la misma ha de hacerse paulatinamente. • Como es un manual de metodología abierta alguna modificación en las mismas no significa un incumplimiento en calidad de normativa. • Las plantillas han de ser firmadas por él o los testadores, incluyendo los módulos que han sido testeados, lo que no han podido ser analizados y los test no aplicables con su justificación.
PlantillasDeOSSTMM • A la hora de firmar el documento ha de incluirse la siguiente clausula y su correspondiente sello. • Como es un manual de metodología abierta alguna modificación en las mismas no significa un incumplimiento en calidad de normativa. • Las plantillas han de ser firmadas por él o los testadores, incluyendo los módulos que han sido testeados, lo que no han podido ser analizados y los test no aplicables con su justificación.
PlantillasDeOSSTMM Hoy en día OSSTMM es uno de los estándares profesionales más completos en materia de seguridad informática junto con la metodología ISSAF. Los métodos y la descripción de las herramientas las ofrece ISSAF, mientras que OSSTMM tiene las plantillas para guiarnos. Las plantillas son un breve ejemplo de los requisitos de los informes, indicando la información que se debe mostrar en un informe como condición necesaria para calificar y ser certificado en conformidad con el OSSTMM. Sobre éstas plantillas se aplican restricciones de ámbito y alcance pertinentes. Ejemplos:
ConclusionesOSSTMM Hoy en día OSSTMM es acerca de la seguridad operacional, es decir que trata de conocer y medir qué tan bien funciona la seguridad. Al usar OSSTMM se obtiene una profunda comprensión de la interconexión de las personas, los procesos, los sistemas y el software. El OSSTMM está continuamente en desarrollo a medida que aprendemos más y más sobre lo que significa ser salvo y seguro. Esta metodología nos dirá, lo que se tiene que hacer, lo que se quiere que hagamos y no solo lo que se nos dijo que hagamos.
Referencias • ISECOM - Open Source SecurityTesting Methodology Manual (OSSTMM). Disponible en: http://www.isecom.org/research/osstmm.htm l • Metodologías de seguridad: normas y estándares y su aplicación al análisis forense - Metodologías de seguridad_2.pdf. Disponible en : http://www.mfbarcell.es/conferencias/Metod olog%C3%ADas%20de%20seguridad_2.pdf [Accedido • OSSTMM, Manual de la Metodología Abierta deTesteo de Seguridad. Disponible en : http://www.dragonjar.org/osstmm-manual- de-la-metodologia-abierta-de-testeo-de- seguridad.xhtml • OSSTMM.2.1.es - Manual de la Metodología Abierta deTesteo de Seguridad - OSSTMM.es.2.1.pdf. Disponible en : http://isecom.securenetltd.com/OSSTMM.es. 2.1.pdf

Recomendados

ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASAnaly Diaz
 
Como determinar la Capacidad de los Procesos de COBIT 5
Como determinar la Capacidad de los Procesos de COBIT 5Como determinar la Capacidad de los Procesos de COBIT 5
Como determinar la Capacidad de los Procesos de COBIT 5Lorenzo Armenta Fonseca CAPM, MCP, MCTS
 
Oss tmm
Oss tmmOss tmm
Oss tmmYadi De La Cruz
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Facultad de Informática UCM
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 

Recomendados

ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASAnaly Diaz
 
Como determinar la Capacidad de los Procesos de COBIT 5
Como determinar la Capacidad de los Procesos de COBIT 5Como determinar la Capacidad de los Procesos de COBIT 5
Como determinar la Capacidad de los Procesos de COBIT 5Lorenzo Armenta Fonseca CAPM, MCP, MCTS
 
Oss tmm
Oss tmmOss tmm
Oss tmmYadi De La Cruz
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Facultad de Informática UCM
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Bases de datos orientados a objetos
Bases de datos orientados a objetosBases de datos orientados a objetos
Bases de datos orientados a objetosJuan Anaya
 
Metricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionMetricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionJose Diaz Silva
 
Tareas de ingenieria de requerimientos
Tareas de ingenieria de requerimientosTareas de ingenieria de requerimientos
Tareas de ingenieria de requerimientosnenyta08
 
202016900_22_Julian_Carvajal.pptx
202016900_22_Julian_Carvajal.pptx202016900_22_Julian_Carvajal.pptx
202016900_22_Julian_Carvajal.pptxJulian Carvajal
 
Presentacion De Unix
Presentacion De UnixPresentacion De Unix
Presentacion De Unixguest40bf5f
 
Caracteristicas Microsoft SQL Server
Caracteristicas Microsoft SQL ServerCaracteristicas Microsoft SQL Server
Caracteristicas Microsoft SQL ServerSergio Hernández Ortega
 
Proceso del software
Proceso del softwareProceso del software
Proceso del softwareTensor
 
Pruebas de documentacion
Pruebas de documentacionPruebas de documentacion
Pruebas de documentacionSantos Coca
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaLeidy Andrea Sanchez
 
Que es Ingenieria del Software?,
Que es Ingenieria del Software?,Que es Ingenieria del Software?,
Que es Ingenieria del Software?,Robert Rodriguez
 
Cuadros comparativos
Cuadros comparativosCuadros comparativos
Cuadros comparativosJesus Cornejo Saravia
 
iso 27005
iso 27005iso 27005
iso 27005Pamelita TA
 
Unidad 2 tarea 3 - 301302 58
Unidad 2 tarea 3 - 301302 58Unidad 2 tarea 3 - 301302 58
Unidad 2 tarea 3 - 301302 58ssuser8e97dc1
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
Pruebas del Software
Pruebas del SoftwarePruebas del Software
Pruebas del SoftwareJuan Pablo Bustos Thames
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Proceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiProceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiJose Alvarado Robles
 
Calidad en el desarrollo del software
Calidad en el desarrollo del softwareCalidad en el desarrollo del software
Calidad en el desarrollo del softwareJoan Sebastián Ramírez Pérez
 
Sistemas de almacenamiento RAID
Sistemas de almacenamiento RAIDSistemas de almacenamiento RAID
Sistemas de almacenamiento RAIDJonathan Fabrizzio Argüello Valle
 
Osstmm.3
Osstmm.3Osstmm.3
Osstmm.3Juan Correa
 
OSS TMM
OSS TMMOSS TMM
OSS TMMMaria Villalba
 

Más contenido relacionado

La actualidad más candente

gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Bases de datos orientados a objetos
Bases de datos orientados a objetosBases de datos orientados a objetos
Bases de datos orientados a objetosJuan Anaya
 
Metricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionMetricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionJose Diaz Silva
 
Tareas de ingenieria de requerimientos
Tareas de ingenieria de requerimientosTareas de ingenieria de requerimientos
Tareas de ingenieria de requerimientosnenyta08
 
202016900_22_Julian_Carvajal.pptx
202016900_22_Julian_Carvajal.pptx202016900_22_Julian_Carvajal.pptx
202016900_22_Julian_Carvajal.pptxJulian Carvajal
 
Presentacion De Unix
Presentacion De UnixPresentacion De Unix
Presentacion De Unixguest40bf5f
 
Proceso del software
Proceso del softwareProceso del software
Proceso del softwareTensor
 
Pruebas de documentacion
Pruebas de documentacionPruebas de documentacion
Pruebas de documentacionSantos Coca
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaLeidy Andrea Sanchez
 
Que es Ingenieria del Software?,
Que es Ingenieria del Software?,Que es Ingenieria del Software?,
Que es Ingenieria del Software?,Robert Rodriguez
 
Unidad 2 tarea 3 - 301302 58
Unidad 2 tarea 3 - 301302 58Unidad 2 tarea 3 - 301302 58
Unidad 2 tarea 3 - 301302 58ssuser8e97dc1
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Proceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiProceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiJose Alvarado Robles
 

La actualidad más candente (20)

gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
 
Bases de datos orientados a objetos
Bases de datos orientados a objetosBases de datos orientados a objetos
Bases de datos orientados a objetos
 
Metricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionMetricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccion
 
Tareas de ingenieria de requerimientos
Tareas de ingenieria de requerimientosTareas de ingenieria de requerimientos
Tareas de ingenieria de requerimientos
 
202016900_22_Julian_Carvajal.pptx
202016900_22_Julian_Carvajal.pptx202016900_22_Julian_Carvajal.pptx
202016900_22_Julian_Carvajal.pptx
 
Presentacion De Unix
Presentacion De UnixPresentacion De Unix
Presentacion De Unix
 
Caracteristicas Microsoft SQL Server
Caracteristicas Microsoft SQL ServerCaracteristicas Microsoft SQL Server
Caracteristicas Microsoft SQL Server
 
Proceso del software
Proceso del softwareProceso del software
Proceso del software
 
Pruebas de documentacion
Pruebas de documentacionPruebas de documentacion
Pruebas de documentacion
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisa
 
Que es Ingenieria del Software?,
Que es Ingenieria del Software?,Que es Ingenieria del Software?,
Que es Ingenieria del Software?,
 
Cuadros comparativos
Cuadros comparativosCuadros comparativos
Cuadros comparativos
 
iso 27005
iso 27005iso 27005
iso 27005
 
Unidad 2 tarea 3 - 301302 58
Unidad 2 tarea 3 - 301302 58Unidad 2 tarea 3 - 301302 58
Unidad 2 tarea 3 - 301302 58
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
 
Pruebas del Software
Pruebas del SoftwarePruebas del Software
Pruebas del Software
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
Proceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiProceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas ti
 
Calidad en el desarrollo del software
Calidad en el desarrollo del softwareCalidad en el desarrollo del software
Calidad en el desarrollo del software
 
Sistemas de almacenamiento RAID
Sistemas de almacenamiento RAIDSistemas de almacenamiento RAID
Sistemas de almacenamiento RAID
 

Destacado

Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodOpen Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodFalgun Rathod
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridadoscar lopez
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareMarcelo Fleury
 
Desmitificando el pentest share
Desmitificando el pentest shareDesmitificando el pentest share
Desmitificando el pentest shareny4nyi
 
Mejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiMejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiLoloUBD
 
Cmmi eufemia m.m
Cmmi eufemia m.mCmmi eufemia m.m
Cmmi eufemia m.mITSM
 
POC2 - Bernardo M. R.
POC2 - Bernardo M. R.POC2 - Bernardo M. R.
POC2 - Bernardo M. R.asoso2010
 
Fundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaFundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaJuan Carlos Broncanotorres
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadConferencias FIST
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Sebastián Bortnik
 

Destacado (20)

Osstmm.3
Osstmm.3Osstmm.3
Osstmm.3
 
OSS TMM
OSS TMMOSS TMM
OSS TMM
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
 
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodOpen Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridad
 
Isaf
IsafIsaf
Isaf
 
Ceh
CehCeh
Ceh
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
 
Ceh
CehCeh
Ceh
 
Hackthissite
HackthissiteHackthissite
Hackthissite
 
Desmitificando el pentest share
Desmitificando el pentest shareDesmitificando el pentest share
Desmitificando el pentest share
 
Osstmm.es.2.1
Osstmm.es.2.1Osstmm.es.2.1
Osstmm.es.2.1
 
Mejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiMejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmi
 
Cmmi eufemia m.m
Cmmi eufemia m.mCmmi eufemia m.m
Cmmi eufemia m.m
 
7iSF-5 cmm
7iSF-5 cmm7iSF-5 cmm
7iSF-5 cmm
 
POC2 - Bernardo M. R.
POC2 - Bernardo M. R.POC2 - Bernardo M. R.
POC2 - Bernardo M. R.
 
Orange book common criteria
Orange book common criteriaOrange book common criteria
Orange book common criteria
 
Fundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaFundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetrica
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de Seguridad
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)
 

Similar a Osstmm

Ciclo de vida del software
Ciclo de vida del software Ciclo de vida del software
Ciclo de vida del software Jenny OlivRodri
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwarelexiherrera
 
Proceso unificado de desarrollo de software
Proceso unificado de desarrollo de softwareProceso unificado de desarrollo de software
Proceso unificado de desarrollo de softwareturlahackers
 
Definición de ingeniería del software
Definición de ingeniería del softwareDefinición de ingeniería del software
Definición de ingeniería del softwarehdfkjshdkf
 
Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.Darthuz Kilates
 
Instituto tecnologio spencer w
Instituto tecnologio spencer wInstituto tecnologio spencer w
Instituto tecnologio spencer wAbner Garcia
 
Expoicioningenieria del software eddy
Expoicioningenieria del software eddyExpoicioningenieria del software eddy
Expoicioningenieria del software eddyeddyingenieria
 
Expoicioningenieria del software eddy
Expoicioningenieria del software eddyExpoicioningenieria del software eddy
Expoicioningenieria del software eddyexposiciongiovanny
 
Ciclo de vida_clasicos_y_paradigma_tradicional_de
Ciclo de vida_clasicos_y_paradigma_tradicional_deCiclo de vida_clasicos_y_paradigma_tradicional_de
Ciclo de vida_clasicos_y_paradigma_tradicional_deGABRIELCASTROMARIACA
 
Diapositivas de las Fases del ciclo de vida de un Sistema
Diapositivas de las Fases del ciclo de vida de un Sistema Diapositivas de las Fases del ciclo de vida de un Sistema
Diapositivas de las Fases del ciclo de vida de un SistemaJenny Ramos
 
Metodología de desarrollo de software
Metodología de desarrollo de softwareMetodología de desarrollo de software
Metodología de desarrollo de softwareAbner Garcia
 
Ciclo de vida de un sistema
Ciclo de vida de un sistemaCiclo de vida de un sistema
Ciclo de vida de un sistemaVictor Barraez
 
Sistemas de información
Sistemas de información Sistemas de información
Sistemas de información eduingonzalez2
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacioneduingonzalez2
 
Etapas de analisis de sistemas
Etapas de analisis de sistemasEtapas de analisis de sistemas
Etapas de analisis de sistemasKaarlOoss Gaarcia
 

Similar a Osstmm (20)

Ciclo de vida del software
Ciclo de vida del software Ciclo de vida del software
Ciclo de vida del software
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de software
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
 
Taba norma grama calidad software
Taba norma grama calidad softwareTaba norma grama calidad software
Taba norma grama calidad software
 
Proceso unificado de desarrollo de software
Proceso unificado de desarrollo de softwareProceso unificado de desarrollo de software
Proceso unificado de desarrollo de software
 
Ivan
IvanIvan
Ivan
 
Definición de ingeniería del software
Definición de ingeniería del softwareDefinición de ingeniería del software
Definición de ingeniería del software
 
Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.
 
Instituto tecnologio spencer w
Instituto tecnologio spencer wInstituto tecnologio spencer w
Instituto tecnologio spencer w
 
Expoicioningenieria del software eddy
Expoicioningenieria del software eddyExpoicioningenieria del software eddy
Expoicioningenieria del software eddy
 
Expoicioningenieria del software eddy
Expoicioningenieria del software eddyExpoicioningenieria del software eddy
Expoicioningenieria del software eddy
 
Ciclo de vida-IJRCF
Ciclo de vida-IJRCFCiclo de vida-IJRCF
Ciclo de vida-IJRCF
 
Ciclo de vida_clasicos_y_paradigma_tradicional_de
Ciclo de vida_clasicos_y_paradigma_tradicional_deCiclo de vida_clasicos_y_paradigma_tradicional_de
Ciclo de vida_clasicos_y_paradigma_tradicional_de
 
Diapositivas de las Fases del ciclo de vida de un Sistema
Diapositivas de las Fases del ciclo de vida de un Sistema Diapositivas de las Fases del ciclo de vida de un Sistema
Diapositivas de las Fases del ciclo de vida de un Sistema
 
Metodología de desarrollo de software
Metodología de desarrollo de softwareMetodología de desarrollo de software
Metodología de desarrollo de software
 
Ciclo de vida de un sistema
Ciclo de vida de un sistemaCiclo de vida de un sistema
Ciclo de vida de un sistema
 
Sistemas de información
Sistemas de información Sistemas de información
Sistemas de información
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacion
 
Epa aqui
Epa aquiEpa aqui
Epa aqui
 
Etapas de analisis de sistemas
Etapas de analisis de sistemasEtapas de analisis de sistemas
Etapas de analisis de sistemas
 

Último

La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 

Último (20)

La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 

Osstmm

  • 1. - Gabriel Charco. - Mateo Méndez Quito, 16 de mayo de 2013
  • 2. OSSTMM (Open Source SecurityTesting Methodology Manual).
  • 3. Índice Existe una metodología de código a bierto para la verificación de la seg uridad de los sistemas. Esta metodología es de ISECOM (Institu te for security and Open methodol ogies) La metodología se conoce por las siglas OSSTMM (Open Sourc e Security Testing Methodology Man ual) y es pronunciado como “awstem”. Introducción a ISECOM Resumen y propósito deResumen y propósito de OSSTM Fases del documento Comparación de la versión 3 con respecto a v 2.2
  • 4.
  • 5. ISECOM ISECOM es una organización internacional sin ánimo de lucro, que trabaja desde hace mas de diez años, en el desarrollo de metodologías de libre utilización para la verificación de la seguridad, la programación segura, la verificación de software y la concientización en seguridad. Dentro de ISECOM, no solo se han gestado proyectos de la talla de la OSSTMM (Open Source Security Testing Methodology Manual), sino que por el contrario, otras metodologías tales como: BPP (Bad People Project) HHS (Hacker High School: InformationAwareness forTeens)
  • 6. CertificacionesdeISECOM Existen 5 certificaciones que da ISECOM: Es una titulación orientada a certificar el conocimiento a nivel técnico para auditores de seguridad. Orientada a liderar proyectos y equipos de seguridad de la información. Orientada a certificar a expertos en seguridadWireless Orientada a certificar expertos en seguridad bajo la metodología OSSTMM
  • 7. PropósitodeOSSTMM OSSTM es el estándar mas completo existente en la actualidad con una metodología para la verificación de los sistemas y las redes que disponen de una conexión a internet, revisa la seguridad de los sistemas desde internet. Esta idea fue creada por Pete Herzog (Manager Director de ISECOM), contando a su vez, con el esfuerzo de sus mas de 150 colaboradores directos. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Usa los rav (Valores de evaluación de riesgo).
  • 8. PropósitodeOSSTMM Es abierto , si se encuentra un fallo se puede comunicar a ISECOM, se hace una evaluación para mejorar la versión . Por eso es una metodología abierta. La nueva versión se adapta a la ISO 27001 y así lograr la estandarización, y lograr que se convierta en una ISO de ethical hacking.
  • 9.
  • 10. PropósitodeOSSTMM ISECOM exige una serie de requisitos para considerar a OSSTMM como un test de seguridad: • Que sea cuantificable. • Consistente y que se pueda reiterar. • Basado en el merito del analista, y no en marcas comerciales. • Exhaustivo. • Concordante con las leyes individuales y locales y el derecho humano a la privacidad.
  • 11. FasesdelDocumento OSSTMM, divide en varias fases su método para analizar infraestructura a la hora de realizar auditoria. Estas fases son conocidas como mapas de seguridad.
  • 12.
  • 13. FasesdelDocumento SecciónA –Seguridad de la información Sección B – Seguridad de los Procesos SecciónC – Seguridad en las tecnologías de Internet Sección D – Seguridad en las Comunicaciones Sección E – Seguridad Inalámbrica Sección F – Seguridad Física
  • 14. Comparacióndelaversión3conrespecto av2.2(ventajas) V2 • Se encuentra disponible en Español. • Pueden Aplicarse sin problemas alguno en una Auditoria. V 3.0 • “Valores de Evaluación de Riesgo” • Asentadas sobre unas formulas matemáticas que dotan a este documento de una base científica rigurosa. • Los RAV son cíclicos.
  • 15. Comparacióndelaversión3conrespecto av2.2(Desventajas) V2 • Las métricas no son compatibles con esta nueva revisión OSSTMM y deben ser re calculadas. • Cuenta con ciertas terminologías obsoletas en la versión 3.0.. V 3.0 • Solo existe el manual en ingles • Cambios en la estructura de la plantilla, Aunque la metodología a seguir en el pentest es similar a la versión anterior. • PenTest: Serie de técnicas utilizadas para evaluar la seguridad de redes, sistemas de comunicación y aplicaciones involucradas en los mismos.
  • 16. PlantillasDeOSSTMM • Como la nueva versión es muy reciente y la adaptación a la misma ha de hacerse paulatinamente. • Como es un manual de metodología abierta alguna modificación en las mismas no significa un incumplimiento en calidad de normativa. • Las plantillas han de ser firmadas por él o los testadores, incluyendo los módulos que han sido testeados, lo que no han podido ser analizados y los test no aplicables con su justificación.
  • 17. PlantillasDeOSSTMM • A la hora de firmar el documento ha de incluirse la siguiente clausula y su correspondiente sello. • Como es un manual de metodología abierta alguna modificación en las mismas no significa un incumplimiento en calidad de normativa. • Las plantillas han de ser firmadas por él o los testadores, incluyendo los módulos que han sido testeados, lo que no han podido ser analizados y los test no aplicables con su justificación.
  • 18. PlantillasDeOSSTMM Hoy en día OSSTMM es uno de los estándares profesionales más completos en materia de seguridad informática junto con la metodología ISSAF. Los métodos y la descripción de las herramientas las ofrece ISSAF, mientras que OSSTMM tiene las plantillas para guiarnos. Las plantillas son un breve ejemplo de los requisitos de los informes, indicando la información que se debe mostrar en un informe como condición necesaria para calificar y ser certificado en conformidad con el OSSTMM. Sobre éstas plantillas se aplican restricciones de ámbito y alcance pertinentes. Ejemplos:
  • 19. ConclusionesOSSTMM Hoy en día OSSTMM es acerca de la seguridad operacional, es decir que trata de conocer y medir qué tan bien funciona la seguridad. Al usar OSSTMM se obtiene una profunda comprensión de la interconexión de las personas, los procesos, los sistemas y el software. El OSSTMM está continuamente en desarrollo a medida que aprendemos más y más sobre lo que significa ser salvo y seguro. Esta metodología nos dirá, lo que se tiene que hacer, lo que se quiere que hagamos y no solo lo que se nos dijo que hagamos.
  • 20. Referencias • ISECOM - Open Source SecurityTesting Methodology Manual (OSSTMM). Disponible en: http://www.isecom.org/research/osstmm.htm l • Metodologías de seguridad: normas y estándares y su aplicación al análisis forense - Metodologías de seguridad_2.pdf. Disponible en : http://www.mfbarcell.es/conferencias/Metod olog%C3%ADas%20de%20seguridad_2.pdf [Accedido • OSSTMM, Manual de la Metodología Abierta deTesteo de Seguridad. Disponible en : http://www.dragonjar.org/osstmm-manual- de-la-metodologia-abierta-de-testeo-de- seguridad.xhtml • OSSTMM.2.1.es - Manual de la Metodología Abierta deTesteo de Seguridad - OSSTMM.es.2.1.pdf. Disponible en : http://isecom.securenetltd.com/OSSTMM.es. 2.1.pdf