La OSSTMM (Open Source Security Testing Methodology Manual) es una metodología abierta desarrollada por ISECOM para la verificación de seguridad de sistemas. Describe fases como mapas de seguridad para auditar infraestructuras. La versión 3.0 introduce valores de evaluación de riesgo cuantificables y se adapta a la ISO 27001, mientras que la versión 2.2 está disponible en español.
Una metodología de Desarrollo es como una receta de cocina, hay se visualizan los requerimientos, las herramientas y técnicas a utilizar para crear el platillo (software). De su buen eso depende el éxito del proyecto.
Una metodología de Desarrollo es como una receta de cocina, hay se visualizan los requerimientos, las herramientas y técnicas a utilizar para crear el platillo (software). De su buen eso depende el éxito del proyecto.
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodFalgun Rathod
The OSSTMM is about operational security. It is about knowing and measuring how well security works. This methodology will tell you if what you have does what you want it to do and not just what you were told it does.
El ciclo de vida de un sistema de información es un enfoque por fases del análisis y diseño que sostiene que los sistemas son desarrollados de mejor manera mediante el uso de un ciclo especifico de actividades del analista y del usuario.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
3. Índice
Existe una metodología de código a
bierto para la verificación de la seg
uridad de los sistemas. Esta
metodología es de ISECOM (Institu
te for security and Open methodol
ogies)
La metodología se conoce
por las siglas OSSTMM (Open Sourc
e Security Testing Methodology Man
ual) y es pronunciado como
“awstem”.
Introducción a ISECOM
Resumen y propósito deResumen y propósito de
OSSTM
Fases del documento
Comparación de la versión
3 con respecto a v 2.2
4.
5. ISECOM
ISECOM es una organización
internacional sin ánimo de lucro, que
trabaja desde hace mas de diez años,
en el desarrollo de metodologías de
libre utilización para la verificación de
la seguridad, la programación segura,
la verificación de software y la
concientización en seguridad.
Dentro de ISECOM, no solo se han
gestado proyectos de la talla de la
OSSTMM (Open Source Security
Testing Methodology Manual), sino
que por el contrario, otras
metodologías tales como:
BPP (Bad People Project)
HHS (Hacker High School:
InformationAwareness forTeens)
6. CertificacionesdeISECOM
Existen 5 certificaciones que da
ISECOM:
Es una titulación orientada a
certificar el conocimiento a nivel
técnico para auditores de
seguridad.
Orientada a liderar proyectos y
equipos de seguridad de la
información.
Orientada a certificar a expertos
en seguridadWireless
Orientada a certificar expertos en
seguridad bajo la metodología
OSSTMM
7. PropósitodeOSSTMM
OSSTM es el estándar mas completo
existente en la actualidad con una
metodología para la verificación de
los sistemas y las redes que
disponen de una conexión a internet,
revisa la seguridad de los sistemas
desde internet.
Esta idea fue creada por Pete Herzog
(Manager Director de ISECOM),
contando a su vez, con el esfuerzo
de sus mas de 150 colaboradores
directos.
Incluye un marco de trabajo que
describe las fases que habría que
realizar para la ejecución de la
auditoría.
Usa los rav (Valores de evaluación de
riesgo).
8. PropósitodeOSSTMM
Es abierto , si se encuentra un fallo
se puede comunicar a ISECOM, se
hace una evaluación para mejorar la
versión . Por eso es una metodología
abierta.
La nueva versión se adapta a la ISO
27001 y así lograr la estandarización,
y lograr que se convierta en una ISO
de ethical hacking.
9.
10. PropósitodeOSSTMM
ISECOM exige una serie de
requisitos para considerar a
OSSTMM como un test de
seguridad:
• Que sea cuantificable.
• Consistente y que se pueda
reiterar.
• Basado en el merito del analista,
y no en marcas comerciales.
• Exhaustivo.
• Concordante con las leyes
individuales y locales y el
derecho humano a la privacidad.
11. FasesdelDocumento
OSSTMM, divide en varias fases su
método para analizar infraestructura
a la hora de realizar auditoria.
Estas fases son conocidas como
mapas de seguridad.
12.
13. FasesdelDocumento
SecciónA –Seguridad de la
información
Sección B – Seguridad de los
Procesos
SecciónC – Seguridad en las
tecnologías de Internet
Sección D – Seguridad en las
Comunicaciones
Sección E – Seguridad Inalámbrica
Sección F – Seguridad Física
14. Comparacióndelaversión3conrespecto
av2.2(ventajas)
V2
• Se encuentra disponible en
Español.
• Pueden Aplicarse sin problemas
alguno en una Auditoria.
V 3.0
• “Valores de Evaluación de
Riesgo”
• Asentadas sobre unas formulas
matemáticas que dotan a este
documento de una base científica
rigurosa.
• Los RAV son cíclicos.
15. Comparacióndelaversión3conrespecto
av2.2(Desventajas)
V2
• Las métricas no son compatibles
con esta nueva revisión OSSTMM
y deben ser re calculadas.
• Cuenta con ciertas terminologías
obsoletas en la versión 3.0..
V 3.0
• Solo existe el manual en ingles
• Cambios en la estructura de la
plantilla, Aunque la metodología
a seguir en el pentest es similar a
la versión anterior.
• PenTest: Serie de técnicas
utilizadas para evaluar la
seguridad de redes, sistemas de
comunicación y aplicaciones
involucradas en los mismos.
16. PlantillasDeOSSTMM
• Como la nueva versión es muy
reciente y la adaptación a la
misma ha de hacerse
paulatinamente.
• Como es un manual de
metodología abierta alguna
modificación en las mismas no
significa un incumplimiento en
calidad de normativa.
• Las plantillas han de ser firmadas
por él o los testadores, incluyendo
los módulos que han sido
testeados, lo que no han podido
ser analizados y los test no
aplicables con su justificación.
17. PlantillasDeOSSTMM
• A la hora de firmar el documento
ha de incluirse la siguiente
clausula y su correspondiente
sello.
• Como es un manual de
metodología abierta alguna
modificación en las mismas no
significa un incumplimiento en
calidad de normativa.
• Las plantillas han de ser firmadas
por él o los testadores, incluyendo
los módulos que han sido
testeados, lo que no han podido
ser analizados y los test no
aplicables con su justificación.
18. PlantillasDeOSSTMM
Hoy en día OSSTMM es uno de los
estándares profesionales más
completos en materia de seguridad
informática junto con la metodología
ISSAF.
Los métodos y la descripción de las
herramientas las ofrece ISSAF,
mientras que OSSTMM tiene las
plantillas para guiarnos.
Las plantillas son un breve ejemplo de
los requisitos de los informes,
indicando la información que se debe
mostrar en un informe como condición
necesaria para calificar y ser
certificado en conformidad con el
OSSTMM. Sobre éstas plantillas se
aplican restricciones de ámbito y
alcance pertinentes. Ejemplos:
19. ConclusionesOSSTMM
Hoy en día OSSTMM es acerca de la
seguridad operacional, es decir que
trata de conocer y medir qué tan
bien funciona la seguridad.
Al usar OSSTMM se obtiene una
profunda comprensión de la
interconexión de las personas, los
procesos, los sistemas y el software.
El OSSTMM está continuamente en
desarrollo a medida que
aprendemos más y más sobre lo que
significa ser salvo y seguro.
Esta metodología nos dirá, lo que se
tiene que hacer, lo que se quiere que
hagamos y no solo lo que se nos dijo
que hagamos.
20. Referencias
• ISECOM - Open Source SecurityTesting
Methodology Manual (OSSTMM). Disponible
en:
http://www.isecom.org/research/osstmm.htm
l
• Metodologías de seguridad: normas y
estándares y su aplicación al análisis forense -
Metodologías de seguridad_2.pdf. Disponible
en :
http://www.mfbarcell.es/conferencias/Metod
olog%C3%ADas%20de%20seguridad_2.pdf
[Accedido
• OSSTMM, Manual de la Metodología Abierta
deTesteo de Seguridad. Disponible en :
http://www.dragonjar.org/osstmm-manual-
de-la-metodologia-abierta-de-testeo-de-
seguridad.xhtml
• OSSTMM.2.1.es - Manual de la Metodología
Abierta deTesteo de Seguridad -
OSSTMM.es.2.1.pdf. Disponible en :
http://isecom.securenetltd.com/OSSTMM.es.
2.1.pdf