domingo, 26 de diciembre de 2010



El “Manual de la Metodología Abierta de Testeo de Seguridad” se ha convertido en un estándar de facto. Sin duda supuso el primer acercamiento a una estructura global de concepto de seguridad. Si bien las pruebas incluidas y los test que se ejecutan no son especialmente innovadores, se ha convertido en una autentica referencia para los organismos que quieren desarrollar un Testing de calidad , ordenado y eficiente.


Características
  • Para estructurar su contenido, la metodología se subdivide en los aspectos más importantes de los sistemas de información:
  • Seguridad de la Información
  • Seguridad de los Procesos
  • Seguridad en las Tecnologías de Internet
  • Seguridad en las Comunicaciones
  • Seguridad Inalámbrica
  • Seguridad Física
De manera sencilla se identifican una serie de actividades de testeo específicas por área, sobre las que se comprueban las especificaciones de seguridad, integradas con las verificaciones realizadas en las revisiones rutinarias.

Con esta metodología, se realiza un esfuerzo para convertir en predecible QUE se debe de probar, COMO se puede hacer yCUANDO es necesario ejecutarlo. De esta manera se aumenta la calidad del desarrollo, ya que la seguir esta metodología, se tiene la certeza de que se cumplen unos objetivos prefijados.

Un aspecto importante de esta metodología, es que no solo se centra en los aspectos eminentemente técnicos de seguridad tradicionales, sino que abarca aspectos sobre los responsables del testeo. Trata de estandarizar las credenciales del desarrollador a cargo del test, el formato de los resultados, crear un código ético, un plan temporal de ejecución, etc… Un aspecto muy importante de la metodología, es la incorporación del concepto de Valores de Evaluación de Riesgo, que permiten diferenciar y clasificar las diferentes problemáticas.

OSSTMM plantea categorizaciones estándar, que permiten identificar claramente el alcance de cada una de las actividades, evitando inconvenientes en tal sentido:
Búsqueda de Vulnerabilidades: Orientado principalmente a realizar comprobaciones automáticas de un sistema o sistemas dentro de una red.
Escaneo de la Seguridad: Orientado a las búsquedas principales de vulnerabilidades en el sistema que incluyen verificaciones manuales de falsos positivos, identificación de los puntos débiles en el sistemas y análisis individualizado.
Test de Intrusión: Se plantean test de pruebas que se centran en romper la seguridad de un sistema determinado.
Evaluación de Riesgo: se refiere a los análisis de seguridad a través de entrevistas e investigación de nivel medio que incluye la justificación negocios, las justificaciones legales y las justificaciones específicas de la industria.
Auditoria de Seguridad: Se refiere a la continua inspección que sufre el sistema por parte de los administradores que controlan que se cumplan las políticas de seguridad definidas.
Hacking Ético: Orientado a tratar de obtener, a partir de los test de intrusión, objetivos complejos dentro de la red de sistemas.

Referencias Bibliográficas


0 comentarios:

Publicar un comentario