OSSTMM

Seguridad que se puede medir

by Dreamlab Technologies AG All rights reserved

-1-

OSSTMM
Seguridad que se puede medir
Para aquellos responsables de la seguridad IT y CIOs, las auditor as se han vuelto hoy en d a algo normal para comprobar la e!ectividad de las medidas de seguridad implementadas, al igual que el mane"o de la seguridad IT basado en normas que satis!acen los requerimientos comerciales y reguladores# $a terminolog a delimitada de modo insu!iciente en el e%tenso campo de la comprobaci&n de la seguridad Inevitablemente plantea interrogantes a aquellos responsables de evaluar la comparabilidad de las o!ertas, la transparencia de los servicios y la amplitud y pro!undidad de aquellos servicios# Por consiguiente, los conceptos abstractos tales como las pruebas de penetraci&n, pruebas'an(lisis de seguridad, auditor as de riesgos, veri!icaci&n de buen estado y pirater a in!orm(tica )tica han sido me*cladas y a"ustadas en una amplia variedad de combinaciones a los temas relacionados con sistemas, redes, aplicaciones, etc# O00T11 da gran importancia a las pruebas de modo riguroso, constante, transparente y, sobre todo, reproducible# Por lo tanto, cuando se utili*a de manera constante, la metodolog a entrega grandes bene!icios de inversi&n# Teniendo en cuenta la con!usi&n que rodea los t)rminos mencionados previamente, O00T11 delimita las pruebas de manera signi!icativa 27ea el siguiente diagrama3#

Normas de comprobacin
+sta situaci&n ha resultado en la necesidad de una norma abierta, que ha e%istido desde el a,o -../ en !orma de O00T11 2Del ingl)s, Open Source Testing Methodology, 1anual de 1etodolog a Abierta de Pruebas de 0eguridad3, publicado por el Instituto para la 0eguridad y 1etodolog as Abiertas 2I0+CO13# $a versi&n 4#. de la metodolog a de comprobaci&n est( actualmente disponible# O00T11 es una metodolog a abierta para pruebas de seguridad y m)trica, que ha sido estudiada por muchos e%pertos sin ser e%clusiva de alg5n !abricante o tecnolog a en particular# +s el 5nico manual de metodolog a para comprobar la seguridad# Toda la metodolog a se en!oca espec !icamente en los detalles t)cnicos a comprobar, qu) vigilar durante el proceso de comprobaci&n desde la preparaci&n hasta la evaluaci&n post comprobaci&n y, sobre todo, en c&mo deben ser medidos y evaluados los resultados# $as pruebas para me"ores pr(cticas y normas tales como 60I, I0O, etc#, regulaciones y legislaciones se actuali*an regularmente
by Dreamlab Technologies AG All rights reserved

Antecedentes
O00T11 convierte la seguridad IT en un habilitador comercial# Todos los procesos e indicadores clave de rendimiento utili*ados por O00T11 est(n dise,ados para integrarse en cualquier I010 2Del Ingl)s Information Security Management System, 0istema de Administraci&n de 0eguridad de la In!ormaci&n3 y permite a su empresa implementar una gesti&n de riesgos m(s con!iable y un an(lisis de compatibilidad me"or y m(s rentable# 8na gesti&n de riesgos m(s rigurosa conlleva a un me"or an(lisis orientado al costo bene!icio para las inversiones en in!raestructura de seguridad# Con el 7alor de +valuaci&n de 9iesgos, O00T11 de!ine un :PI que puede ser incorporado !(cilmente en su estrategia de gesti&n#

by Dreamlab Technologies AG All rights reserved

-2-

Con OSSTMM, la seguridad se puede medir

8n en!oque clave del manual de comprobaci&n O00T11 consiste en medir la seguridad IT usando el ;7alor de +valuaci&n de 9iesgos< 29A73# +l 9A7 utili*a varios !actores de a"uste para obtener un resultado en !orma de porcenta"e# +stos !actores de a"uste se relacionan con el (mbito y son= 0eguridad operacional 2Dise,o de seguridad3, limitaciones 2$imitaciones de seguridad ' vulnerabilidades3 y controles de p)rdida 21edidas de seguridad3# 8nido a aquello va el hecho de que la compatibilidad O00T11 de las pruebas de seguridad basadas en detalles t)cnicos no constituye una auditor a de riesgo basada en papel que estime la posibilidad de ocurrencia de riesgos# +l 9A7 se basa en mediciones t)cnicamente !actuales veri!icables y concluyentes, y da alcance para que el mane"o de riesgos tenga una base !actual# Por lo tanto, O00T11 se di!erencia claramente de las auditor as de riesgo alternativas convencionales, y se posiciona como una comprobaci&n de seguridad operacional# Al mismo tiempo, asegura que las pruebas de seguridad se puedan llevar a cabo de modo comparable#

$o que hac a !alta hace mucho tiempo en la comprobaci&n de seguridad era un manual de control con de!iniciones claras estableciendo c&mo se deber an llevar a cabo las pruebas en particular# Adem(s, O00T11 requiere de aspectos de seguridad claves de la empresa para ser incorporado, con re!erencia al modelo comercial subyacente# +s s&lo de esta manera que se pueden hacer declaraciones con respecto a la seguridad corporativa global#

Realizacin de las pruebas OSSTMM

O00T11 no recomienda ciertas herramientas de comprobaci&n, y garanti*a que no especi!icar( ninguna herramienta comercial# Al revelar y veri!icar vulnerabilidades, es la libertad y creatividad del probador lo que m(s importa# Por lo tanto, se opone al uso de s&lo esc(neres de vulnerabilidad para hacer declaraciones ;Iniciales< r(pidas# 0eg5n O00T11, )stas no tienen sentido sin la veri!icaci&n manual, la cual se asocia a la e%periencia de un alto n5mero de positivos !alsos# +speci!ica que el probador debe veri!icar manualmente todas las vulnerabilidades identi!icadas# Debido al alto nivel de especiali*aci&n t)cnica y e%periencia que se e%ige a los probadores que reali*an las pruebas O00T11, e%iste certi!icaci&n relevante con acreditaci&n acad)mica para Probadores de 0eguridad Pro!esionales de O00T11 2OP0T3 y Analistas 2OP0A3# +n con"unto con los OP0Ts y OP0As, se hacen declaraciones s&lidas con respecto a las (reas problem(ticas y vulnerabilidades de seguridad, las cuales O00T11 clasi!ica como= 7ulnerabilidades Debilidades Inquietudes +%posiciones Anomal as

Calidad de las pruebas

Para asegurar que la calidad de suma importancia se mantenga as , O00T11 impone a los probadores un con"unto de reglas restrictivas conocidas como ;9eglas de procedimiento<# +l prop&sito de estas reglas es optimi*ar la )tica y calidad durante todo el proceso de comprobaci&n, desde las negociaciones contractuales, reglas de conducta e implementaci&n hasta la generaci&n de in!ormes#

Informes
0eg5n I0+CO1, la comprobaci&n con!orme a O00T11 debe cumplir los siguientes requisitos# Debe ser= Cuanti!icable Constante y 9eproducible 6asada en un amplio periodo de tiempo 6asada en la contribuci&n del probador y no de los productos y marcas# 9igurosa Compatible con las leyes individuales y locales y con la legislaci&n de la protecci&n de datos

eneracin de
$os aspectos de seguridad corporativa que incluye O00T11 son= 0eguridad de la in!ormaci&n 0eguridad de los procesos 0eguridad de tecnolog as de Internet 0eguridad de tecnolog as inal(mbricas 0eguridad > sica

by Dreamlab Technologies AG All rights reserved

-3-

8n en!oque principal de la generaci&n de in!ormes, "unto a los talleres suplementarios, es la trans!erencia de la especiali*aci&n, del probador al cliente#

Conclusin
+l uso de los 7alores de +valuaci&n de 9iesgos de I0+CO1 hace posible resolver el problema de los ciclos de pruebas, simple y !(cilmente usando intervalos de prueba prede!inidos# Al usar el ;Documento de Traba"o y An(lisis y Pruebas de 0eguridad para +mpresas< de I0+CO1 combinado con las !ormas y controles O00T11, se puede reali*ar la comprobaci&n de la misma manera cada ve*, sin importar quien la realice# $as !ormas y controles O00T11 tambi)n act5an como estructura b(sica para generar in!ormes y para ayudar enormemente a las empresas a alcan*ar consistencia in!ormativa interanualmente

0an Antonio --., O!# ?.@ A 0antiago Centro Contact#chileBdreamlab#net A CCC#dreamlab#net

by Dreamlab Technologies AG All rights reserved

-4-