29

OSSTMM 3M. Sc. Aldo Valdez AlvaradoUniversidad Mayor de San Andrés

Carrera de InformáticaAnálisis y Diseño de Sistemas de

Informaciónaldo_valdez@hotmail.com

arvaldez@umsa.bo

RESUMENEste artículo presenta una introducción al Manual de laMetodología Abierta de Testeo de Seguridad en suVersión 3, estándar de facto en la realización deauditorías de seguridad.

Palabras ClaveOSSTMM, ISECOM, Seguridad, Test, Intrusión.

1. INTRODUCCIÓNEl OSSTMM por sus siglas en inglés “Open SourceSecurity Testing Methodology Manual” o “Manual de laMetodología Abierta de Testeo de Seguridad” tal comofue nombrada oficialmente suversión en español, es unode los estándares profesionales mas completos ycomúnmente utilizados a la hora de revisar la Seguridadde los Sistemas desde Internet.Creado en 2001 por Pete Herzog, Director Ejecutivo deISECOM (Instituto para la Seguridad y MetodologíasAbiertas), y fruto del esfuerzo ininterrumpido de más deciento cincuenta colaboradores directos, quienes junta ala comunidad de profesionales en seguridad en suconjunto, con tribuyeron con conocimiento, experienciay horas de revisión de este proyecto.Este manual también contempla el cumplimiento denormas y mejores prácticas como las establecidas en elNIST, ISO 27001 – 27002 e ITIL entre otras, lo que lahace uno de los manuales mas completos en cuanto a laaplicación de pruebas a la seguridad de la información enlas instituciones.A continuación, se presenta la versión 3 de este manual,que presenta muchas mejoras algunas a partir de laversión 2.2, particularmente relacionadas al manejo deriesgos y otras relacionadas con el uso de algunos test demanera mejorada y ampliada.

2. OSSTMM 3

2.1 PropósitoSu principal propósito es proveer de una metodologíacientífica para examinar la organización, realizandopruebas sobre la seguridad de adentro hacia afuera.Un segundo propósito es proveer guías para el auditor desistemas, destinadas a la certificación de la organizaciónen cuanto a los requisitos del ISECOM.El Documento provee una serie de descripcionesespecíficas para el desarrollo de un test de seguridadoperacional sobre todos los canales incluyendo aspectosfísicos, humanos, telecomunicaciones, medios

inalámbricos, redes de datos y cualquier otra descripciónderivada de una métrica real.

2.2 Tipos de testLas pruebas de seguridad pueden abarcar todas lasformas y tipos, que van desde la intrusión, hasta laauditoria guiada. El OSSTMM contempla seis tipos detest.

Blindaje o Hacking Ético. Doble blindaje, auditoría de Caja Negra o

Pruebas de Penetración. De Caja Gris. De Doble Caja Gris. Test Tándem o Secuencial. Inverso

2.3 Ámbito o competenciaEl ámbito debe abarcar toda la seguridad operativa, ycomprometerse en las diferentes áreas o canales como lodescribe el manual, y se observa en la siguiente tabla:

Canal Sección Descripción

SeguridadFísica

Humano Todos aquelloscomprometidos con laorganización

Físico Objetostangibles de laorganización

Seguridad delas

comunicaciones

Redes de datos Sistemaselectrónicos yredes de datos.

Telecomunicaciones

Comunicaciones digitales yanalógicas.

Seguridad delEspectro

electromagnético

Comunicacionesinalámbricas

SeñalesElectromagnéticas empleadas.

Tabla 1. Ámbito del Manual

2.4 MódulosEl flujo de este manual OSSTMM comienza condeterminar la situación objetivo, esta situación estadeterminada por la cultura, reglas, normas, regulaciones,legislación y políticas definidas en esta. La metodologíapropone un modelo jerárquico de Canales, Módulos y

30

Tareas, donde los vectores son simplemente las líneas deanálisis que apuntan a cada uno de los canales.Los módulos son áreas específicas de cada canal,pudiendo encontrar actividades que se encuentran en lafrontera entre dos canales.

2.5 Esquema GeneralEl esquema general del proceso de las pruebas deseguridad presenta las siguientes fases:

Fase de Reglamentación. Se establece ladirección de las pruebas, el auditor comprendelos requisitos, el alcance y las limitaciones dela auditoría. En esta fase se considera: lapostura de la revisión, la logística, y ladetección activa de verificación.

Fase de Definición. Se define el ámbito de laaplicación. La base de las pruebas de seguridadrequiere el conocer el alcance y el ámbito enrelación de los objetivos y activos. En esta fasese considera la visibilidad de la auditoria, laverificación de accesos, de confianza, decontroles.

Fase de Información. El auditor vadescubriendo información, donde la intenciónes descubrir la mala gestión de la información.En esta fase se considera la verificación deprocesos, de configuración, la validación depropiedad, una revisión de segregación y deexposición, una exploración de la InteligenciaCompetitiva.

Fase Interactiva de Pruebas de Controles. Estasse centran en la penetración y perturbación. Espor lo regular la fase final de las pruebas de

seguridad, y esta no puede realizarse mientraslas otras no se hayan realizado. En esta fase seconsidera la verificación de la cuarentena, laauditoria de privilegios, la validación desobrevivencia, revisión de alertas y registros

3. CONCLUSIONESComo se observa el Manual para la Metodología Abiertade Testeo de Seguridad, tiene una estructura esquemáticamuy completa para el análisis de seguridad, en lasorganizaciones, tanto por expertos en seguridad de TI,como también de auditores de seguridad..

4. BIBLIOGRAFÍA[16] DragoJAR. OSSTMM. Manual de la Metodología

Abierta de Testeo de Seguridad [en línea].[Disponible en:]http://www.dragonjar.org/osstmm-manual-de-la-metodologia-abierta-de-testeo-de-seguridad.xhtml.[Fecha de búsqueda:] Mayo de 2013.

[17] Garcia, L. Metodología OSSTMM [en línea].[Disponible en:]http://www.securitybydefault.com/2010/03/metodologia-osstmm.html. [Fecha de búsqueda:] Mayo de2013.

[18] Gregg, M.Certified Ethical Hacker. 2006. QuePublishing. USA.

[19] Herzog, P. OSTMM 3 The Open Source SecurityTesting Methodology Manual. 2010. ISECOM.

Racciati, H. OSSTMM 3. Una Introducción [en línea].[Disponible en:] http://hernanracciatti.blogspot.com.[Fecha de búsqueda:] Mayo de 2013