Pasar al contenido principal

Open Source Security Testing Methodology Manual (OSSTMM)

¿A quién va dirigido?

La metodología OSSTMM es aplicable por cualquier organización, pequeña o grande, pública o privada, que desee llevar a cabo una auditoría de sus sistemas de información.

OSSTMM

Ilustración 1: https://www.isecom.org/research.html

¿Qué es?

OSSTMM es el acrónimo de Open Source Security Testing Methodology Manual, una completa metodología desarrollada por ISECOM para llevar a cabo pruebas, análisis y medición de la seguridad operativa real. En definitiva, una metodología para realizar auditorías técnicas de seguridad.

Como metodología, está diseñada para ser consistente y repetible. Como proyecto de código abierto, permite que cualquier profesional en auditoría de seguridad contribuya con propuestas para realizar testeos de seguridad más precisos, concretos y eficientes. Además, esto permite la libre difusión de la documentación sin problemas de propiedad intelectual.

La metodología cuenta con capítulos específicos en los que se analizan los aspectos más importantes a testar en una auditoría:

  • Seguridad de las personas
  • Seguridad Física
  • Seguridad Inalámbrica
  • Seguridad en las Comunicaciones
  • Seguridad de los Redes de datos

En estos capítulos, la metodología identifica una serie de actividades de testeo específicas por cada una de estas áreas, sobre las que se comprueban las especificaciones de seguridad, integradas con las verificaciones realizadas en las revisiones rutinarias.

Adicionalmente, la metodología cuenta con una serie de capítulos iniciales específicos sobre aspectos relacionados con la gestión de las auditorías:

  • Conceptos básicos (lo que debes saber / lo que debes hacer)
  • Metodología de análisis de seguridad
  • Métricas de seguridad operacional
  • Confiabilidad
  • Flujo de trabajo

Estos capítulos plantean una medición precisa de la seguridad a nivel operacional, lo cual evita suposiciones y evidencias anecdóticas. Debido a ello, asociado a la metodología OSSTMM se han desarrollado dos elementos complementarios, como son:

  • Calculadora RAV: Se propone una hoja de cálculo para simplificar la realización de ravs, que es la métrica de seguridad estándar para medir la Superficie de Ataque definida por OSSTMM.
  • Hoja STAR: El Security Test Audit Report (STAR) o Informe de Auditoría de Pruebas de Seguridad (STAR) es un resumen estandarizado de los resultados de las pruebas de seguridad o de penetración realizadas mediante la metodología OSSTMM, que proporciona cálculos precisos de la Superficie de Ataque, detalles de lo que se probó y cómo, y la articulación de las actividades de resolución de los fallos identificados en las pruebas.

Objetivos

El objetivo principal de la metodología OSSTMM, tal y como establece la propia ISECOM, es el de construir las mejores defensas de seguridad posibles. No obstante, se pueden identificar diversos objetivos específicos, como son los siguientes:

  • Desarrollar un planteamiento sistemático para llevar a cabo las auditorías de seguridad de los sistemas de información de una manera más consistente y repetible.
  • Disponer de un mecanismo que permita graduar y valorar objetivamente los resultados de las auditorías realizadas.
  • Poder llevar a cabo una presentación de los resultados de las auditorías de manera estructurada y comparable.

Beneficios

La realización de auditorías mediante la metodología OSSTMM va a permitir que cualquier organización pueda disfrutar de los beneficios que ofrece:

  • Tener una imagen clara de cuál es el nivel real de seguridad que tienen los sistemas de información y cuánto daño podría llegar a hacer un ciberataque contra la organización
  • Disponer de una valoración objetiva acerca de la superficie de ataque que presenta la organización, en base a la cual poder priorizar de manera sistemática las acciones de mitigación necesarias.

Factores a tener en cuenta para la utilización de la metodología OSSTMM

  • La cantidad de sistemas de información objeto de la auditoría
  • Las características de los sistemas de información objeto de la auditoría
  • La planificación de la auditoría
  • Otros aspectos organizativos

Fases de la realización de una auditoría según la metodología OSSTMM

Fase 1. Lanzar el proyecto

El lanzamiento de la auditoría es probablemente la fase más crítica del proyecto, ya que requiere no sólo la aprobación de los recursos necesarios para ello sino también la conciencia de todos los implicados de que la auditoría puede tener efectos adversos no previstos sobre los sistemas de información. A pesar de que los ejecutores traten de minimizarlos al máximo, pueden existir, aspecto que debe ser expresamente conocido y aceptado por la organización.

Fase 2. Fase inductiva

La propia metodología establece como primera fase de la ejecución de la auditoría la fase inductiva o de inducción. En esta fase el analista debe llevar a cabo la comprensión de los requisitos de la auditoría, el alcance y las limitaciones, para de esta forma determinar el tipo de pruebas a realizar.

Fase 3. Fase interactiva

En esta fase se determina la planificación de la auditoría, una vez conocido su alcance y determinados los tipos de pruebas a realizar sobre cada uno de los elementos que van a ser auditados.

Fase 4. Fase de investigación

En esta fase se analizan los aspectos organizativos y de gestión de la organización, y se desarrolla el análisis técnico inicial, correspondiente a la investigación indirecta, de fuentes abiertas, sobre los elementos objeto de la auditoría.

Fase 5. Fase de intervención

En esta fase se lleva a cabo el núcleo de la auditoría, las pruebas técnicas sobre los elementos del alcance. Estas pruebas podrán suponer que dichos elementos sean modificados, sobrecargados o bloqueados para causar una penetración o interrupción. Esta suele ser la fase final de una prueba de seguridad, y la que puede provocar disfunciones no previstas en los sistemas de información auditados.

Fase 6. Reporting

Como fase final de la auditoría se llevará a cabo la elaboración del informe correspondiente, evaluando los resultados objetivos y consignando la valoración correspondiente en función de los hallazgos identificados durante la auditoría.

Fase 7. Resolución de deficiencias

La organización deberá llevar a cabo la resolución de las deficiencias identificadas en la auditoría, utilizando los resultados y su valoración como parámetro principal para la priorización de las acciones correctivas.

¿Dónde recibir asesoramiento o contratar servicios de auditoría mediante OSSTMM?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

OSSTMM en ISECOM: https://www.isecom.org/research.html

Compartir

Compartir en Linkedin