Investigar sobre metodologa OSSTMM (Metodologa para desarrollar auditoria de la seguridad de la informacin.

. Se especializa en infraestructura de redes) Prepara diapositivas Caso de estudio donde ha sido implementado Si utiliza una herramienta Ejemplo o ejercicio Coger una herramienta para utilizar esta metodologa Concentrarse en la seccin de la seguridad de informacion Asociar o relacionar con la autoria continua Por que me sirve esta metodologia en la auditoria interna En que tipos de auditoria se utiliza Donde se esta utilizando Conseguir los formatos Conseguir un formato lleno

Manual de la Metodologa Abierta de Testeo de Seguridad Es un conjunto de reglas y lineamientos para CUANDO, QUE y CUALES eventos son testeados. Esta metodologa cubre nicamente el testeo de seguridad externo, es decir, testear la seguridad desde un entorno no privilegiado hacia un entorno privilegiado, para evadir los componentes de seguridad, procesos y alarmas y ganar acceso privilegiado. Est tambin dentro del alcance de este documento proveer un mtodo estandarizado para realizar un exhaustivo test de seguridad de cada seccin con presencia de seguridad (por ejemplo, seguridad fsica, seguridad inalmbrica, seguridad de comunicaciones, seguridad de la informacin, seguridad de las tecnologas de Internet, y seguridad de procesos) de una organizacin. Dentro de este mtodo abierto y evaluado por expertos, para realizar exhaustivos testeos de seguridad, alcanzamos un estndar internacional en testeos de seguridad, que representa una lnea de referencia para todas las metodologas de testeo de seguridad tanto conocidas como inexploradas. La limitacin al alcance del testeo de seguridad externo est dada por las diferencias considerables entre testeo externo a interno y testeo interno a interno. Estas diferencias radican fundamentalmente en los privilegios de acceso, los objetivos, y los resultados asociados con el testeo interno a interno. El tipo de testeo que busca descubrir las vulnerabilidades inexploradas no est dentro del alcance de este documento ni dentro del alcance de un test de seguridad OSSTMM. El test de seguridad descrito a continuacin es un test prctico y eficiente de vulnerabilidades conocidas, filtraciones de informacin, infracciones de la ley, estndares de la industria y prcticas recomendadas. ISECOM exige que un test de seguridad solamente sea considerado un test OSSTMM si es: Cuantificable. Consistente y que se pueda repetir. Vlido mas all del perodo de tiempo actual. Basado en el mrito del testeador y analista, y no en marcas comerciales. Exhaustivo. Concordante con leyes individuales y locales y el derecho humano a la privacidad.

ISECOM no asevera que el uso del OSSTMM constituya una proteccin legal en todos los tribunales de justicia, sin embargo, cumple el papel del ms alto nivel de profesionalismo en cuanto a testeos de seguridad cuando los resultados obtenidos son aplicados al perfeccionamiento de la seguridad dentro de un espacio de tiempo razonable.

O p en S our ce S e curi ty T esti ng M etod ol og a M an ual (O S S TM M )

El hecho no viene de los saltos grandes de descubri miento, sino ms bien de los pasos pequeos y cuidadosos de la verificacin. Esa es la premisa del Manual de Seguridad de Fuente Abierta Metodologa de prueba tambin conocida como la OSSTMM (pronunciado como "awstem") Se trata de un manual de peer -reviewed de pruebas de seguridad y anlisis que se traducen en hechos comprobados. Estos hechos proporcionan informacin procesable que considerablemente puede mejorar su seguridad operativa. Al utilizar el OSSTMM que ya no tienen que depender de las mejores prcticas generales, la evidencia anecdtica, o supersticiones, ya que se ha verificado la informacin especfica a sus necesidades sobre la cual basar sus decisiones de seguridad. Una manera de asegurar un anlisis de seguridad tiene valor es conocer que se ha hecho a fondo, eficiente y precisa. Para ello es necesario utilizar una metodologa formal. El OSSTMM tiene que ser. El OSSTMM es acerca de la seguridad operacional. Se trata de conocer y medir qu tan bien funciona la seguridad. Esta metodologa le dir si lo que usted tiene hace lo que quiere que haga y no slo lo que le dijeron que s. Lo que se obtiene a partir de la utilizacin de OSSTMM es una profunda comprensin de la interrelacin de las cosas. Las personas, procesos, sistemas y software tienen algn tipo de relacin. Esta interconexin requiere la interaccin. Algunas interacciones son pasivos y otro s no. Algunas interacciones son si mbiticas, mientras que otros son parsitos. Algunas interacciones son controlados por un lado de la relacin, mientras que otros son controlados por ambos. Podemos tratar de controlar lo que no se puede confiar, pero aun as algunos controles son deficientes o superfluo, que es perjudicial para al menos un lado de la relacin, si no ambos. Lo que queremos es que nuestros controles de equilibrar a la perfeccin con las interacciones que queremos o necesitamos. As que cuando ponemos a prueba las operaciones que la i magen al completo de todas nuestras relaciones, yendo y viniendo. Llegamos a ver la interconexin de las operaciones en los detalles y llegamos a delinear lo que nos hace, nuestro negocio y nuestras operaciones lo que son y pueden ser. Por qu las operaciones de prueba? Desafortunadamente, no todo funciona como est configurado. No todo el mundo se comporta de acuerdo con el

entrenamiento. Adems, cada vez ms cosas se construyen a partir de construcciones prefabr icadas de materiales, o el cdigo fuente de las bibliotecas predefinidas, o como en el caso de la formacin de personas, de las experiencias pre-existentes. Los nuevos constructores slo son conscientes de lo que juntos, y no como las partes prefabricadas de trabajar en un nuevo entorno con nuevas variables y de nuevas maneras. Por lo tanto la verdad de la configuracin y la formacin en las operaciones resultantes. Nada nos puede decir ms acerca de cmo podemos cumplir con los objetivos o seguir una visi n estratgica de cmo hacemos lo que estamos haciendo ahora. Y ese conocimiento nos permi te controlar lo que las interacciones que queremos. Es por eso que necesitamos para poner a prueba las operaciones. El OSSTMM est continuamente en el desarrollo a med ida que aprendemos ms y ms sobre lo que significa estar a salvo y seguro.Proporcionado aqu es la lti ma versin pblica. Para recibir el estado de desarrollo OSSTMM, notas, y las betas, se convierten en parte del equipo. Suscrbase ahora para unirse a l a de oro o de plata por equipos ISECOM o pngase en contacto con nosotros cmo se puede ayudar al desarrollo de OSSTMM y ganar un lugar en el equipo de desarrollo principal.

Existe una metodologa de cdigo abierto para la verificacin de la seguridad de los sistemas. Esta metodologa es de ISECOM 6 (Istitute for Security and Open methologies). La metodologa se conoce por las siglas OSSTMM -(Open Source Security Testing Methology Manual). Isecom es una organizacin internacional, sin animo de lucro, que tiene como objetivo desarrollar Isecom conocimientos y herramientas relacionadas con la seguridad, ofrecindolas bajo licencia de cdigo abierto que permite su libre utilizacin. OSSTMM es el estndar ms completo existente en la actualidad con una metodologa para la verificacin de la seguridad de los sistemas y las redes que disponen de una conexin a Internet. Esta metodologa, se encuentra en constante evolucin y es fruto de la colaboracin de mas de 150 colaboradores de todo el mundo. Gracias a este numero de colaboradores, el documentos incorpora los mas recientes cambios y nuevos desarrollos relacionados con la seguridad informtica. La OSSTMM es una metodologa para la realizacin de las verificaciones de seguridad en Internet. Se trata del principal proyecto existente en la actualidad para definir una metodologa formal que permita verificar la seguridad informtica de los equipos, desarrollado de una forma independiente y totalmente abierto. Otros proyectos en los que se est trabajando son la metodologa para la programacin segura y la "Hacker High School. El disponer de una metodologa de trabajo estandarizada significa que permita garantizar el niv el de pruebas que se realizan en el momento de verificar la seguridad. No pretende especificar u na lista de pruebas concretas a realizar, sino los elementos que deben verificarse, tanto desde el exterior como el interior. Un aspecto importante a sealar es que la OSSTMM ha sido diseada para cubrir los aspectos

tcnicos establecidos por diversas legislaciones. As, en el caso concreto de Espaa, la OSSTM M incluye los requerimientos establecidos tanto por la ley de proteccin de datos y la LSSICE. Es un proyecto interesante pero que no es adecuado para la elaboracin de los planes de seguridad que por normativa legal hay que realizar. Son mas recomendable la norma ISO 17799 ayudada de la metodologa Magerit. La metodolog a OSSTMM esta orientada a evaluar la seguridad de un sistema. Esta orientada a realizar una aud itora de seguridad de los sistemas La metodologa OSSTMM esta orientada a evaluar la seguridad de un sistema y a realizar una auditora de seguridad de los sistemas. Resaltar que es un software libre. Esta ltima es la caracterstica ms destacable. Permite certificar sistemas y certifica a profesionales para que puedan emitir certificaciones. Estas certificaciones tiene reconocimiento internacional, pero ajenos a los organismos oficiales de certificacin. Esto implica que son ms econmicos y ms independientes de intereses comerciales. Contribuciones a esta metodologa o desarrollos de metodologas similares pero en otras reas de la seguridad de sistemas es una lnea de futuro. La Metodologa CSRC-NIST es principalmente para evaluar la seguridad de redes No existe una metodologa ni estndar para la realizacin del anlisis forense. Es necesario el desarrollo de un cuerpo metodolgico normalizado (una metodologa) de Anlisis Forense del t ipo de la metodologa OSSTMM Es necesario desarrollar aplicaciones informticas soporte, de software libre, (herramientas) que faciliten la implantacin de Sistemas de Gestin de Seguridad de la Informacin s egn Norma Internacional ISO17799 y el cumplimiento del reglamento de seguridad.

Un punto muy importante recogido en esta metodologa es la elaboracin de informes. Para los que nos dedicamos a esto de la seguridad, en ocasiones nos enfrentamos a informes de otros auditores (y supongo que ellos podrn decir lo mismo de nosotros) en los que cada cual ha recogido una mtrica y/o valoracin distinta de los mismos. Esto es: Hablamos en un lenguaje distinto. Con el uso de OSSTMM, podemos tener una idea muy aproximada, si no total, de lo que nuestros compaeros han intentado transmitir en el informe, lo cual facilitar nuestro trabajo desde un punto de vista evolutivo. OSSTMM adems es una metodologa certificable. Podemos certificarnos en ella como analistas, testers o expertos, adems de otros certificados emitidos por la propia ISECOM.

http://www.securitybydefault.com/2010/03/metodologia-osstmm.html

http://www.jesusdml.es/2011/06/16/metodologia-de-auditoria-de-seguridad-osstmm/