Documentos de Académico
Documentos de Profesional
Documentos de Cultura
-1-
OSSTMM
Seguridad que se puede medir
Para aquellos responsables de la seguridad IT y CIOs, las auditor as se han vuelto hoy en d a algo normal para comprobar la e!ectividad de las medidas de seguridad implementadas, al igual que el mane"o de la seguridad IT basado en normas que satis!acen los requerimientos comerciales y reguladores# $a terminolog a delimitada de modo insu!iciente en el e%tenso campo de la comprobaci&n de la seguridad Inevitablemente plantea interrogantes a aquellos responsables de evaluar la comparabilidad de las o!ertas, la transparencia de los servicios y la amplitud y pro!undidad de aquellos servicios# Por consiguiente, los conceptos abstractos tales como las pruebas de penetraci&n, pruebas'an(lisis de seguridad, auditor as de riesgos, veri!icaci&n de buen estado y pirater a in!orm(tica )tica han sido me*cladas y a"ustadas en una amplia variedad de combinaciones a los temas relacionados con sistemas, redes, aplicaciones, etc# O00T11 da gran importancia a las pruebas de modo riguroso, constante, transparente y, sobre todo, reproducible# Por lo tanto, cuando se utili*a de manera constante, la metodolog a entrega grandes bene!icios de inversi&n# Teniendo en cuenta la con!usi&n que rodea los t)rminos mencionados previamente, O00T11 delimita las pruebas de manera signi!icativa 27ea el siguiente diagrama3#
Normas de comprobacin
+sta situaci&n ha resultado en la necesidad de una norma abierta, que ha e%istido desde el a,o -../ en !orma de O00T11 2Del ingl)s, Open Source Testing Methodology, 1anual de 1etodolog a Abierta de Pruebas de 0eguridad3, publicado por el Instituto para la 0eguridad y 1etodolog as Abiertas 2I0+CO13# $a versi&n 4#. de la metodolog a de comprobaci&n est( actualmente disponible# O00T11 es una metodolog a abierta para pruebas de seguridad y m)trica, que ha sido estudiada por muchos e%pertos sin ser e%clusiva de alg5n !abricante o tecnolog a en particular# +s el 5nico manual de metodolog a para comprobar la seguridad# Toda la metodolog a se en!oca espec !icamente en los detalles t)cnicos a comprobar, qu) vigilar durante el proceso de comprobaci&n desde la preparaci&n hasta la evaluaci&n post comprobaci&n y, sobre todo, en c&mo deben ser medidos y evaluados los resultados# $as pruebas para me"ores pr(cticas y normas tales como 60I, I0O, etc#, regulaciones y legislaciones se actuali*an regularmente
by Dreamlab Technologies AG All rights reserved
Antecedentes
O00T11 convierte la seguridad IT en un habilitador comercial# Todos los procesos e indicadores clave de rendimiento utili*ados por O00T11 est(n dise,ados para integrarse en cualquier I010 2Del Ingl)s Information Security Management System, 0istema de Administraci&n de 0eguridad de la In!ormaci&n3 y permite a su empresa implementar una gesti&n de riesgos m(s con!iable y un an(lisis de compatibilidad me"or y m(s rentable# 8na gesti&n de riesgos m(s rigurosa conlleva a un me"or an(lisis orientado al costo bene!icio para las inversiones en in!raestructura de seguridad# Con el 7alor de +valuaci&n de 9iesgos, O00T11 de!ine un :PI que puede ser incorporado !(cilmente en su estrategia de gesti&n#
-2-
$o que hac a !alta hace mucho tiempo en la comprobaci&n de seguridad era un manual de control con de!iniciones claras estableciendo c&mo se deber an llevar a cabo las pruebas en particular# Adem(s, O00T11 requiere de aspectos de seguridad claves de la empresa para ser incorporado, con re!erencia al modelo comercial subyacente# +s s&lo de esta manera que se pueden hacer declaraciones con respecto a la seguridad corporativa global#
Informes
0eg5n I0+CO1, la comprobaci&n con!orme a O00T11 debe cumplir los siguientes requisitos# Debe ser= Cuanti!icable Constante y 9eproducible 6asada en un amplio periodo de tiempo 6asada en la contribuci&n del probador y no de los productos y marcas# 9igurosa Compatible con las leyes individuales y locales y con la legislaci&n de la protecci&n de datos
eneracin de
$os aspectos de seguridad corporativa que incluye O00T11 son= 0eguridad de la in!ormaci&n 0eguridad de los procesos 0eguridad de tecnolog as de Internet 0eguridad de tecnolog as inal(mbricas 0eguridad > sica
-3-
8n en!oque principal de la generaci&n de in!ormes, "unto a los talleres suplementarios, es la trans!erencia de la especiali*aci&n, del probador al cliente#
Conclusin
+l uso de los 7alores de +valuaci&n de 9iesgos de I0+CO1 hace posible resolver el problema de los ciclos de pruebas, simple y !(cilmente usando intervalos de prueba prede!inidos# Al usar el ;Documento de Traba"o y An(lisis y Pruebas de 0eguridad para +mpresas< de I0+CO1 combinado con las !ormas y controles O00T11, se puede reali*ar la comprobaci&n de la misma manera cada ve*, sin importar quien la realice# $as !ormas y controles O00T11 tambi)n act5an como estructura b(sica para generar in!ormes y para ayudar enormemente a las empresas a alcan*ar consistencia in!ormativa interanualmente
-4-