SlideShare una empresa de Scribd logo

Osstmm

Denys Flores
Denys Flores

La OSSTMM (Open Source Security Testing Methodology Manual) es una metodología abierta desarrollada por ISECOM para la verificación de seguridad de sistemas. Describe fases como mapas de seguridad para auditar infraestructuras. La versión 3.0 introduce valores de evaluación de riesgo cuantificables y se adapta a la ISO 27001, mientras que la versión 2.2 está disponible en español.

1 de 20
- Gabriel Charco. - Mateo Méndez Quito, 16 de mayo de 2013
OSSTMM (Open Source SecurityTesting Methodology Manual).
Índice Existe una metodología de código a bierto para la verificación de la seg uridad de los sistemas. Esta metodología es de ISECOM (Institu te for security and Open methodol ogies) La metodología se conoce por las siglas OSSTMM (Open Sourc e Security Testing Methodology Man ual) y es pronunciado como “awstem”. Introducción a ISECOM Resumen y propósito deResumen y propósito de OSSTM Fases del documento Comparación de la versión 3 con respecto a v 2.2
ISECOM ISECOM es una organización internacional sin ánimo de lucro, que trabaja desde hace mas de diez años, en el desarrollo de metodologías de libre utilización para la verificación de la seguridad, la programación segura, la verificación de software y la concientización en seguridad. Dentro de ISECOM, no solo se han gestado proyectos de la talla de la OSSTMM (Open Source Security Testing Methodology Manual), sino que por el contrario, otras metodologías tales como: BPP (Bad People Project) HHS (Hacker High School: InformationAwareness forTeens)
CertificacionesdeISECOM Existen 5 certificaciones que da ISECOM: Es una titulación orientada a certificar el conocimiento a nivel técnico para auditores de seguridad. Orientada a liderar proyectos y equipos de seguridad de la información. Orientada a certificar a expertos en seguridadWireless Orientada a certificar expertos en seguridad bajo la metodología OSSTMM
PropósitodeOSSTMM OSSTM es el estándar mas completo existente en la actualidad con una metodología para la verificación de los sistemas y las redes que disponen de una conexión a internet, revisa la seguridad de los sistemas desde internet. Esta idea fue creada por Pete Herzog (Manager Director de ISECOM), contando a su vez, con el esfuerzo de sus mas de 150 colaboradores directos. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Usa los rav (Valores de evaluación de riesgo).
PropósitodeOSSTMM Es abierto , si se encuentra un fallo se puede comunicar a ISECOM, se hace una evaluación para mejorar la versión . Por eso es una metodología abierta. La nueva versión se adapta a la ISO 27001 y así lograr la estandarización, y lograr que se convierta en una ISO de ethical hacking.
PropósitodeOSSTMM ISECOM exige una serie de requisitos para considerar a OSSTMM como un test de seguridad: • Que sea cuantificable. • Consistente y que se pueda reiterar. • Basado en el merito del analista, y no en marcas comerciales. • Exhaustivo. • Concordante con las leyes individuales y locales y el derecho humano a la privacidad.
FasesdelDocumento OSSTMM, divide en varias fases su método para analizar infraestructura a la hora de realizar auditoria. Estas fases son conocidas como mapas de seguridad.
FasesdelDocumento SecciónA –Seguridad de la información Sección B – Seguridad de los Procesos SecciónC – Seguridad en las tecnologías de Internet Sección D – Seguridad en las Comunicaciones Sección E – Seguridad Inalámbrica Sección F – Seguridad Física
Comparacióndelaversión3conrespecto av2.2(ventajas) V2 • Se encuentra disponible en Español. • Pueden Aplicarse sin problemas alguno en una Auditoria. V 3.0 • “Valores de Evaluación de Riesgo” • Asentadas sobre unas formulas matemáticas que dotan a este documento de una base científica rigurosa. • Los RAV son cíclicos.
Comparacióndelaversión3conrespecto av2.2(Desventajas) V2 • Las métricas no son compatibles con esta nueva revisión OSSTMM y deben ser re calculadas. • Cuenta con ciertas terminologías obsoletas en la versión 3.0.. V 3.0 • Solo existe el manual en ingles • Cambios en la estructura de la plantilla, Aunque la metodología a seguir en el pentest es similar a la versión anterior. • PenTest: Serie de técnicas utilizadas para evaluar la seguridad de redes, sistemas de comunicación y aplicaciones involucradas en los mismos.
PlantillasDeOSSTMM • Como la nueva versión es muy reciente y la adaptación a la misma ha de hacerse paulatinamente. • Como es un manual de metodología abierta alguna modificación en las mismas no significa un incumplimiento en calidad de normativa. • Las plantillas han de ser firmadas por él o los testadores, incluyendo los módulos que han sido testeados, lo que no han podido ser analizados y los test no aplicables con su justificación.
PlantillasDeOSSTMM • A la hora de firmar el documento ha de incluirse la siguiente clausula y su correspondiente sello. • Como es un manual de metodología abierta alguna modificación en las mismas no significa un incumplimiento en calidad de normativa. • Las plantillas han de ser firmadas por él o los testadores, incluyendo los módulos que han sido testeados, lo que no han podido ser analizados y los test no aplicables con su justificación.
PlantillasDeOSSTMM Hoy en día OSSTMM es uno de los estándares profesionales más completos en materia de seguridad informática junto con la metodología ISSAF. Los métodos y la descripción de las herramientas las ofrece ISSAF, mientras que OSSTMM tiene las plantillas para guiarnos. Las plantillas son un breve ejemplo de los requisitos de los informes, indicando la información que se debe mostrar en un informe como condición necesaria para calificar y ser certificado en conformidad con el OSSTMM. Sobre éstas plantillas se aplican restricciones de ámbito y alcance pertinentes. Ejemplos:
ConclusionesOSSTMM Hoy en día OSSTMM es acerca de la seguridad operacional, es decir que trata de conocer y medir qué tan bien funciona la seguridad. Al usar OSSTMM se obtiene una profunda comprensión de la interconexión de las personas, los procesos, los sistemas y el software. El OSSTMM está continuamente en desarrollo a medida que aprendemos más y más sobre lo que significa ser salvo y seguro. Esta metodología nos dirá, lo que se tiene que hacer, lo que se quiere que hagamos y no solo lo que se nos dijo que hagamos.
Referencias • ISECOM - Open Source SecurityTesting Methodology Manual (OSSTMM). Disponible en: http://www.isecom.org/research/osstmm.htm l • Metodologías de seguridad: normas y estándares y su aplicación al análisis forense - Metodologías de seguridad_2.pdf. Disponible en : http://www.mfbarcell.es/conferencias/Metod olog%C3%ADas%20de%20seguridad_2.pdf [Accedido • OSSTMM, Manual de la Metodología Abierta deTesteo de Seguridad. Disponible en : http://www.dragonjar.org/osstmm-manual- de-la-metodologia-abierta-de-testeo-de- seguridad.xhtml • OSSTMM.2.1.es - Manual de la Metodología Abierta deTesteo de Seguridad - OSSTMM.es.2.1.pdf. Disponible en : http://isecom.securenetltd.com/OSSTMM.es. 2.1.pdf

Recomendados

Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
Neyber Porras
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDAD
andreamo_21
 
Sistema control de inventario
Sistema control de inventarioSistema control de inventario
Sistema control de inventariofelixzenon
 
Cubos ppt
Cubos pptCubos ppt
Cubos ppt
mapg2003
 
Diseño de interfaces
Diseño de interfacesDiseño de interfaces
Diseño de interfaces
Juan Pablo Bustos Thames
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completaMaxwell Kenshin
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 

Recomendados

Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
Neyber Porras
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDAD
andreamo_21
 
Sistema control de inventario
Sistema control de inventarioSistema control de inventario
Sistema control de inventariofelixzenon
 
Cubos ppt
Cubos pptCubos ppt
Cubos ppt
mapg2003
 
Diseño de interfaces
Diseño de interfacesDiseño de interfaces
Diseño de interfaces
Juan Pablo Bustos Thames
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completaMaxwell Kenshin
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 
Presentacion kali linux
Presentacion kali linuxPresentacion kali linux
Presentacion kali linux
Kevin Medina
 
ORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOS
ORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOSORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOS
ORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOS
Jxzmin Elizxbeth
 
MODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWAREMODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWARE
Edwingelviz
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
Carlos Guerrero
 
Cloud Computing - Universidad San Martin
Cloud Computing - Universidad San MartinCloud Computing - Universidad San Martin
Cloud Computing - Universidad San Martin
Luis Fernando Ortiz Vera
 
Seguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosSeguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgos
Alvaro Silva Gutierrez
 
Modelo componentes
Modelo componentesModelo componentes
Modelo componentesmartin
 
Ejemplo de Base de Datos Relacional
Ejemplo de Base de Datos RelacionalEjemplo de Base de Datos Relacional
Ejemplo de Base de Datos Relacional
Gema López
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
Conrad Iriarte
 
Virtualizacion (Modelos, Hipervisor, Rendimiento)
Virtualizacion (Modelos, Hipervisor, Rendimiento)Virtualizacion (Modelos, Hipervisor, Rendimiento)
Virtualizacion (Modelos, Hipervisor, Rendimiento)
Edwin Belduma
 
Creación de tablas y relaciones en MySQL y wamp server
Creación de tablas y relaciones en MySQL y wamp serverCreación de tablas y relaciones en MySQL y wamp server
Creación de tablas y relaciones en MySQL y wamp server
Jair Ospino Ardila
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridad
Daniela Florez
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Ciro Bonilla
 
Monitoreo de Desempeño de los equipos
Monitoreo de Desempeño de los equipos Monitoreo de Desempeño de los equipos
Monitoreo de Desempeño de los equipos
aneyka
 
Metodologías de desarrollo de software
Metodologías de desarrollo de softwareMetodologías de desarrollo de software
Metodologías de desarrollo de software
Wilfredo Mogollón
 
Carta de informe final
Carta de informe finalCarta de informe final
Carta de informe final
Carlox RLópez
 
ConexióN A Base De Datos En Netbeans
ConexióN A Base De Datos En NetbeansConexióN A Base De Datos En Netbeans
ConexióN A Base De Datos En Netbeansguest044583b
 
Aplicaciones java
Aplicaciones javaAplicaciones java
Aplicaciones javaDavid Valdiviezo
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativos
Adriana Rodriguez
 
Osstmm.3
Osstmm.3Osstmm.3
Osstmm.3Juan Correa
 
OSS TMM
OSS TMMOSS TMM
OSS TMMMaria Villalba
 

Más contenido relacionado

La actualidad más candente

Presentacion kali linux
Presentacion kali linuxPresentacion kali linux
Presentacion kali linux
Kevin Medina
 
ORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOS
ORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOSORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOS
ORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOS
Jxzmin Elizxbeth
 
MODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWAREMODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWARE
Edwingelviz
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
Carlos Guerrero
 
Cloud Computing - Universidad San Martin
Cloud Computing - Universidad San MartinCloud Computing - Universidad San Martin
Cloud Computing - Universidad San Martin
Luis Fernando Ortiz Vera
 
Seguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosSeguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgos
Alvaro Silva Gutierrez
 
Modelo componentes
Modelo componentesModelo componentes
Modelo componentesmartin
 
Ejemplo de Base de Datos Relacional
Ejemplo de Base de Datos RelacionalEjemplo de Base de Datos Relacional
Ejemplo de Base de Datos Relacional
Gema López
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
Conrad Iriarte
 
Virtualizacion (Modelos, Hipervisor, Rendimiento)
Virtualizacion (Modelos, Hipervisor, Rendimiento)Virtualizacion (Modelos, Hipervisor, Rendimiento)
Virtualizacion (Modelos, Hipervisor, Rendimiento)
Edwin Belduma
 
Creación de tablas y relaciones en MySQL y wamp server
Creación de tablas y relaciones en MySQL y wamp serverCreación de tablas y relaciones en MySQL y wamp server
Creación de tablas y relaciones en MySQL y wamp server
Jair Ospino Ardila
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridad
Daniela Florez
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Ciro Bonilla
 
Monitoreo de Desempeño de los equipos
Monitoreo de Desempeño de los equipos Monitoreo de Desempeño de los equipos
Monitoreo de Desempeño de los equipos
aneyka
 
Metodologías de desarrollo de software
Metodologías de desarrollo de softwareMetodologías de desarrollo de software
Metodologías de desarrollo de software
Wilfredo Mogollón
 
Carta de informe final
Carta de informe finalCarta de informe final
Carta de informe final
Carlox RLópez
 
ConexióN A Base De Datos En Netbeans
ConexióN A Base De Datos En NetbeansConexióN A Base De Datos En Netbeans
ConexióN A Base De Datos En Netbeansguest044583b
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativos
Adriana Rodriguez
 

La actualidad más candente (20)

Presentacion kali linux
Presentacion kali linuxPresentacion kali linux
Presentacion kali linux
 
ORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOS
ORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOSORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOS
ORIGEN DE LAS BASES DE DATOS ORIENTADA A OBJETOS
 
MODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWAREMODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWARE
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
 
Cloud Computing - Universidad San Martin
Cloud Computing - Universidad San MartinCloud Computing - Universidad San Martin
Cloud Computing - Universidad San Martin
 
Seguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgosSeguridad informática y análisis de riesgos
Seguridad informática y análisis de riesgos
 
Modelo componentes
Modelo componentesModelo componentes
Modelo componentes
 
Ejemplo de Base de Datos Relacional
Ejemplo de Base de Datos RelacionalEjemplo de Base de Datos Relacional
Ejemplo de Base de Datos Relacional
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
 
Virtualizacion (Modelos, Hipervisor, Rendimiento)
Virtualizacion (Modelos, Hipervisor, Rendimiento)Virtualizacion (Modelos, Hipervisor, Rendimiento)
Virtualizacion (Modelos, Hipervisor, Rendimiento)
 
Creación de tablas y relaciones en MySQL y wamp server
Creación de tablas y relaciones en MySQL y wamp serverCreación de tablas y relaciones en MySQL y wamp server
Creación de tablas y relaciones en MySQL y wamp server
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridad
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
 
Monitoreo de Desempeño de los equipos
Monitoreo de Desempeño de los equipos Monitoreo de Desempeño de los equipos
Monitoreo de Desempeño de los equipos
 
Metodologías de desarrollo de software
Metodologías de desarrollo de softwareMetodologías de desarrollo de software
Metodologías de desarrollo de software
 
Carta de informe final
Carta de informe finalCarta de informe final
Carta de informe final
 
ConexióN A Base De Datos En Netbeans
ConexióN A Base De Datos En NetbeansConexióN A Base De Datos En Netbeans
ConexióN A Base De Datos En Netbeans
 
Aplicaciones java
Aplicaciones javaAplicaciones java
Aplicaciones java
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativos
 

Destacado

Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodOpen Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Falgun Rathod
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridadoscar lopez
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
Marcelo Fleury
 
Hackthissite
HackthissiteHackthissite
Hackthissite
Stefan Rivera
 
Desmitificando el pentest share
Desmitificando el pentest shareDesmitificando el pentest share
Desmitificando el pentest share
ny4nyi
 
Osstmm.es.2.1
Osstmm.es.2.1Osstmm.es.2.1
Osstmm.es.2.1
Jorge Luis Madrigal
 
Mejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiMejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiLoloUBD
 
Cmmi eufemia m.m
Cmmi eufemia m.mCmmi eufemia m.m
Cmmi eufemia m.m
ITSM
 
7iSF-5 cmm
7iSF-5 cmm7iSF-5 cmm
7iSF-5 cmm
programadorjavablog
 
POC2 - Bernardo M. R.
POC2 - Bernardo M. R.POC2 - Bernardo M. R.
POC2 - Bernardo M. R.asoso2010
 
Fundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaFundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetrica
Juan Carlos Broncanotorres
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadConferencias FIST
 

Destacado (20)

Osstmm.3
Osstmm.3Osstmm.3
Osstmm.3
 
OSS TMM
OSS TMMOSS TMM
OSS TMM
 
Oss tmm
Oss tmmOss tmm
Oss tmm
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
 
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodOpen Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridad
 
Isaf
IsafIsaf
Isaf
 
Ceh
CehCeh
Ceh
 
Segurança no Desenvolvimento de Software
Segurança no Desenvolvimento de SoftwareSegurança no Desenvolvimento de Software
Segurança no Desenvolvimento de Software
 
Ceh
CehCeh
Ceh
 
Hackthissite
HackthissiteHackthissite
Hackthissite
 
Desmitificando el pentest share
Desmitificando el pentest shareDesmitificando el pentest share
Desmitificando el pentest share
 
Osstmm.es.2.1
Osstmm.es.2.1Osstmm.es.2.1
Osstmm.es.2.1
 
Mejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiMejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmi
 
Cmmi eufemia m.m
Cmmi eufemia m.mCmmi eufemia m.m
Cmmi eufemia m.m
 
7iSF-5 cmm
7iSF-5 cmm7iSF-5 cmm
7iSF-5 cmm
 
POC2 - Bernardo M. R.
POC2 - Bernardo M. R.POC2 - Bernardo M. R.
POC2 - Bernardo M. R.
 
Orange book common criteria
Orange book common criteriaOrange book common criteria
Orange book common criteria
 
Fundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaFundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetrica
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de Seguridad
 

Similar a Osstmm

Ciclo de vida del software
Ciclo de vida del software Ciclo de vida del software
Ciclo de vida del software
Jenny OlivRodri
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de software
lexiherrera
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
Cristiam Gomez Quijano
 
Taba norma grama calidad software
Taba norma grama calidad softwareTaba norma grama calidad software
Taba norma grama calidad software
Michael Daniel Murillo
 
Proceso unificado de desarrollo de software
Proceso unificado de desarrollo de softwareProceso unificado de desarrollo de software
Proceso unificado de desarrollo de software
turlahackers
 
Definición de ingeniería del software
Definición de ingeniería del softwareDefinición de ingeniería del software
Definición de ingeniería del software
hdfkjshdkf
 
Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.
Darthuz Kilates
 
Instituto tecnologio spencer w
Instituto tecnologio spencer wInstituto tecnologio spencer w
Instituto tecnologio spencer w
Abner Garcia
 
Expoicioningenieria del software eddy
Expoicioningenieria del software eddyExpoicioningenieria del software eddy
Expoicioningenieria del software eddyeddyingenieria
 
Expoicioningenieria del software eddy
Expoicioningenieria del software eddyExpoicioningenieria del software eddy
Expoicioningenieria del software eddyexposiciongiovanny
 
Ciclo de vida-IJRCF
Ciclo de vida-IJRCFCiclo de vida-IJRCF
Ciclo de vida-IJRCF
Cristian Agüero
 
Ciclo de vida_clasicos_y_paradigma_tradicional_de
Ciclo de vida_clasicos_y_paradigma_tradicional_deCiclo de vida_clasicos_y_paradigma_tradicional_de
Ciclo de vida_clasicos_y_paradigma_tradicional_de
GABRIELCASTROMARIACA
 
Diapositivas de las Fases del ciclo de vida de un Sistema
Diapositivas de las Fases del ciclo de vida de un Sistema Diapositivas de las Fases del ciclo de vida de un Sistema
Diapositivas de las Fases del ciclo de vida de un Sistema
Jenny Ramos
 
Metodología de desarrollo de software
Metodología de desarrollo de softwareMetodología de desarrollo de software
Metodología de desarrollo de software
Abner Garcia
 
Ciclo de vida de un sistema
Ciclo de vida de un sistemaCiclo de vida de un sistema
Ciclo de vida de un sistemaVictor Barraez
 
Sistemas de información
Sistemas de información Sistemas de información
Sistemas de información
eduingonzalez2
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacion
eduingonzalez2
 
Epa aqui
Epa aquiEpa aqui
Epa aqui
Darwis Gonzalez
 
Etapas de analisis de sistemas
Etapas de analisis de sistemasEtapas de analisis de sistemas
Etapas de analisis de sistemas
KaarlOoss Gaarcia
 

Similar a Osstmm (20)

Ciclo de vida del software
Ciclo de vida del software Ciclo de vida del software
Ciclo de vida del software
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de software
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
 
Taba norma grama calidad software
Taba norma grama calidad softwareTaba norma grama calidad software
Taba norma grama calidad software
 
Proceso unificado de desarrollo de software
Proceso unificado de desarrollo de softwareProceso unificado de desarrollo de software
Proceso unificado de desarrollo de software
 
Ivan
IvanIvan
Ivan
 
Definición de ingeniería del software
Definición de ingeniería del softwareDefinición de ingeniería del software
Definición de ingeniería del software
 
Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.
 
Instituto tecnologio spencer w
Instituto tecnologio spencer wInstituto tecnologio spencer w
Instituto tecnologio spencer w
 
Expoicioningenieria del software eddy
Expoicioningenieria del software eddyExpoicioningenieria del software eddy
Expoicioningenieria del software eddy
 
Expoicioningenieria del software eddy
Expoicioningenieria del software eddyExpoicioningenieria del software eddy
Expoicioningenieria del software eddy
 
Ciclo de vida-IJRCF
Ciclo de vida-IJRCFCiclo de vida-IJRCF
Ciclo de vida-IJRCF
 
Ciclo de vida_clasicos_y_paradigma_tradicional_de
Ciclo de vida_clasicos_y_paradigma_tradicional_deCiclo de vida_clasicos_y_paradigma_tradicional_de
Ciclo de vida_clasicos_y_paradigma_tradicional_de
 
Diapositivas de las Fases del ciclo de vida de un Sistema
Diapositivas de las Fases del ciclo de vida de un Sistema Diapositivas de las Fases del ciclo de vida de un Sistema
Diapositivas de las Fases del ciclo de vida de un Sistema
 
Metodología de desarrollo de software
Metodología de desarrollo de softwareMetodología de desarrollo de software
Metodología de desarrollo de software
 
Ciclo de vida de un sistema
Ciclo de vida de un sistemaCiclo de vida de un sistema
Ciclo de vida de un sistema
 
Sistemas de información
Sistemas de información Sistemas de información
Sistemas de información
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacion
 
Epa aqui
Epa aquiEpa aqui
Epa aqui
 
Etapas de analisis de sistemas
Etapas de analisis de sistemasEtapas de analisis de sistemas
Etapas de analisis de sistemas
 

Último

Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
DiegoCampos433849
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
rafaelsalazar0615
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
Leidyfuentes19
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
zoecaicedosalazar
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
cristianrb0324
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
cj3806354
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
AlejandraCasallas7
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
AlejandraCasallas7
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
ManuelCampos464987
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
JuanPrez962115
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
IsabellaRubio6
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
44652726
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
DanielErazoMedina
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 

Último (20)

Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 

Osstmm

  • 1. - Gabriel Charco. - Mateo Méndez Quito, 16 de mayo de 2013
  • 2. OSSTMM (Open Source SecurityTesting Methodology Manual).
  • 3. Índice Existe una metodología de código a bierto para la verificación de la seg uridad de los sistemas. Esta metodología es de ISECOM (Institu te for security and Open methodol ogies) La metodología se conoce por las siglas OSSTMM (Open Sourc e Security Testing Methodology Man ual) y es pronunciado como “awstem”. Introducción a ISECOM Resumen y propósito deResumen y propósito de OSSTM Fases del documento Comparación de la versión 3 con respecto a v 2.2
  • 4.
  • 5. ISECOM ISECOM es una organización internacional sin ánimo de lucro, que trabaja desde hace mas de diez años, en el desarrollo de metodologías de libre utilización para la verificación de la seguridad, la programación segura, la verificación de software y la concientización en seguridad. Dentro de ISECOM, no solo se han gestado proyectos de la talla de la OSSTMM (Open Source Security Testing Methodology Manual), sino que por el contrario, otras metodologías tales como: BPP (Bad People Project) HHS (Hacker High School: InformationAwareness forTeens)
  • 6. CertificacionesdeISECOM Existen 5 certificaciones que da ISECOM: Es una titulación orientada a certificar el conocimiento a nivel técnico para auditores de seguridad. Orientada a liderar proyectos y equipos de seguridad de la información. Orientada a certificar a expertos en seguridadWireless Orientada a certificar expertos en seguridad bajo la metodología OSSTMM
  • 7. PropósitodeOSSTMM OSSTM es el estándar mas completo existente en la actualidad con una metodología para la verificación de los sistemas y las redes que disponen de una conexión a internet, revisa la seguridad de los sistemas desde internet. Esta idea fue creada por Pete Herzog (Manager Director de ISECOM), contando a su vez, con el esfuerzo de sus mas de 150 colaboradores directos. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Usa los rav (Valores de evaluación de riesgo).
  • 8. PropósitodeOSSTMM Es abierto , si se encuentra un fallo se puede comunicar a ISECOM, se hace una evaluación para mejorar la versión . Por eso es una metodología abierta. La nueva versión se adapta a la ISO 27001 y así lograr la estandarización, y lograr que se convierta en una ISO de ethical hacking.
  • 9.
  • 10. PropósitodeOSSTMM ISECOM exige una serie de requisitos para considerar a OSSTMM como un test de seguridad: • Que sea cuantificable. • Consistente y que se pueda reiterar. • Basado en el merito del analista, y no en marcas comerciales. • Exhaustivo. • Concordante con las leyes individuales y locales y el derecho humano a la privacidad.
  • 11. FasesdelDocumento OSSTMM, divide en varias fases su método para analizar infraestructura a la hora de realizar auditoria. Estas fases son conocidas como mapas de seguridad.
  • 12.
  • 13. FasesdelDocumento SecciónA –Seguridad de la información Sección B – Seguridad de los Procesos SecciónC – Seguridad en las tecnologías de Internet Sección D – Seguridad en las Comunicaciones Sección E – Seguridad Inalámbrica Sección F – Seguridad Física
  • 14. Comparacióndelaversión3conrespecto av2.2(ventajas) V2 • Se encuentra disponible en Español. • Pueden Aplicarse sin problemas alguno en una Auditoria. V 3.0 • “Valores de Evaluación de Riesgo” • Asentadas sobre unas formulas matemáticas que dotan a este documento de una base científica rigurosa. • Los RAV son cíclicos.
  • 15. Comparacióndelaversión3conrespecto av2.2(Desventajas) V2 • Las métricas no son compatibles con esta nueva revisión OSSTMM y deben ser re calculadas. • Cuenta con ciertas terminologías obsoletas en la versión 3.0.. V 3.0 • Solo existe el manual en ingles • Cambios en la estructura de la plantilla, Aunque la metodología a seguir en el pentest es similar a la versión anterior. • PenTest: Serie de técnicas utilizadas para evaluar la seguridad de redes, sistemas de comunicación y aplicaciones involucradas en los mismos.
  • 16. PlantillasDeOSSTMM • Como la nueva versión es muy reciente y la adaptación a la misma ha de hacerse paulatinamente. • Como es un manual de metodología abierta alguna modificación en las mismas no significa un incumplimiento en calidad de normativa. • Las plantillas han de ser firmadas por él o los testadores, incluyendo los módulos que han sido testeados, lo que no han podido ser analizados y los test no aplicables con su justificación.
  • 17. PlantillasDeOSSTMM • A la hora de firmar el documento ha de incluirse la siguiente clausula y su correspondiente sello. • Como es un manual de metodología abierta alguna modificación en las mismas no significa un incumplimiento en calidad de normativa. • Las plantillas han de ser firmadas por él o los testadores, incluyendo los módulos que han sido testeados, lo que no han podido ser analizados y los test no aplicables con su justificación.
  • 18. PlantillasDeOSSTMM Hoy en día OSSTMM es uno de los estándares profesionales más completos en materia de seguridad informática junto con la metodología ISSAF. Los métodos y la descripción de las herramientas las ofrece ISSAF, mientras que OSSTMM tiene las plantillas para guiarnos. Las plantillas son un breve ejemplo de los requisitos de los informes, indicando la información que se debe mostrar en un informe como condición necesaria para calificar y ser certificado en conformidad con el OSSTMM. Sobre éstas plantillas se aplican restricciones de ámbito y alcance pertinentes. Ejemplos:
  • 19. ConclusionesOSSTMM Hoy en día OSSTMM es acerca de la seguridad operacional, es decir que trata de conocer y medir qué tan bien funciona la seguridad. Al usar OSSTMM se obtiene una profunda comprensión de la interconexión de las personas, los procesos, los sistemas y el software. El OSSTMM está continuamente en desarrollo a medida que aprendemos más y más sobre lo que significa ser salvo y seguro. Esta metodología nos dirá, lo que se tiene que hacer, lo que se quiere que hagamos y no solo lo que se nos dijo que hagamos.
  • 20. Referencias • ISECOM - Open Source SecurityTesting Methodology Manual (OSSTMM). Disponible en: http://www.isecom.org/research/osstmm.htm l • Metodologías de seguridad: normas y estándares y su aplicación al análisis forense - Metodologías de seguridad_2.pdf. Disponible en : http://www.mfbarcell.es/conferencias/Metod olog%C3%ADas%20de%20seguridad_2.pdf [Accedido • OSSTMM, Manual de la Metodología Abierta deTesteo de Seguridad. Disponible en : http://www.dragonjar.org/osstmm-manual- de-la-metodologia-abierta-de-testeo-de- seguridad.xhtml • OSSTMM.2.1.es - Manual de la Metodología Abierta deTesteo de Seguridad - OSSTMM.es.2.1.pdf. Disponible en : http://isecom.securenetltd.com/OSSTMM.es. 2.1.pdf