martes, 9 de marzo de 2010

OSSTMM: Manual de la Metodología Abierta de Testeo de Seguridad

La guía OSSTMM, Manual de la Metodología Abierta de Testeo de Seguridad [x], es una metodología que describe las pruebas y métricas realizadas durante los procesos de Auditoría de Seguridad. Desarrollada por más de 150 profesionales del sector de la seguridad, supone un referente para cualquier administrador de una organización y para cualquier auditor dedicado a la materia de seguridad.

image

La guía OSSTMM se encuentra en constante evolución, encontrándose actualmente por la versión 3, que se puede adquirir desde la página oficial: http://www.isecom.org/osstmm/

Los casos de prueba explicados en la OSSTMM son los siguientes:

1. Seguridad de la Información

2. Seguridad de los Procesos

3. Seguridad en las tecnologías de Internet

4. Seguridad en las Comunicaciones

5. Seguridad Inalámbrica

6. Seguridad Física

La guía OSSTMM se diferencia frente a la norma ISO/IEC 27001 de la serie ISO/IEC 27000 (ya comentada en el post: http://elblogdecalles.blogspot.com/2010/02/serie-isoiec-27000-isoiec-27001-parte.html)  en que ésta primera se centra en los detalles técnicos de los elementos que deben ser probados, incidiendo en que hacer antes, durante y después de una prueba de seguridad con sus posteriores medidas de resultados, mientras que la ISO/IEC 27001 no utiliza metodologías concretas, es decir, no incide en explicar que herramienta se debe utilizar para analizar una determinada vulnerabilidad en el sistema, sino que se abstrae de esa tarea dejándosela al auditor y se centra en explicar cómo debe estar diseñado un SGSI, como debe implantarse y como debe evaluarse.

Tanto la norma ISO/IEC 27001 como la guía OSSTMM no son sustituibles una a la otra, y es recomendable la fusión de ambas durante la implantación, evaluación y mantenimiento de un SGSI.

En el próximo post trataremos la Guía OWASP para completar así con los post sobre la serie ISO/IEC 27000 y OSSTMM, con las normas y guías de buenas prácticas mas importantes en las auditorías de seguridad informática.

No hay comentarios: