OSSTMM (Open Source Security Testing Methodology Manual) proporciona una metodología para una exhaustiva prueba de seguridad, en este documento se referencia como una auditoría OSSTMM. Una auditoría OSSTMM es una medición precisa de la seguridad a nivel operacional, lo cual evita suposiciones y evidencia anecdótica. Como una metodología, esta diseñada para ser consistentes y repetible. Como un proyecto de fuente abierta, permite a cualquier profesional en pruebas de seguridad contribuir con ideas para realizar pruebas de seguridad más precisas, concretas y eficientes. Además esto permite la libre difusión de información y propiedad intelectual.

Desde su inicio a finales del año 2000, OSSTMM creció rápidamente para abarcar todos los canales de seguridad con la experiencia aplicada de miles de colaboradores. Para el año 2005 OSSTMM no fue considerado sólo como un marco de trabajo de buenas prácticas. Se había convertido en una metodología para asegurar la realización correcta de la seguridad a nivel operacional. Como las auditorías de seguridad se convirtieron en la corriente principal, se convirtió en crítica la necesidad de una metodología sólida. En el año 2006, OSSTMM cambió de definir pruebas basadas en soluciones como pruebas a cortafuegos y pruebas a encaminadores, hacia un estándar para aquellos quienes necesitan una prueba de seguridad confiable en lugar de sólo una reporte de cumplimiento para una legislación o regulación específica.

Como los entornos son significativamente más complejos comparados con años anteriores, debido a hechos como operaciones remotas, virtualización, computación en la nube y otros nuevos tipos de infraestructuras, no podemos pensar en pruebas sencillas solo para equipos de escritorio, servidores, o equipos de encaminamiento. Por lo tanto, con la versión 3, OSSTMM abarca prueba desde todos los canales, humano, físico, inalámbrico, telecomunicación, y redes de datos. Esto también lo hace perfectamente confortable para pruebas de computación en la nube, infraestructuras virtuales, middleware de mensajería, infraestructuras de comunicación móvil, ubicaciones de alta seguridad, recursos humanos, computación confiable, y cualquier proceso lógico el cual cubra todos los diversos canales y requiera un diferente tipo de prueba de seguridad. Un conjunto de métricas de superficie de ataque, denominado ravs, proporciona un herramienta poderosa y altamente flexible la cual proporciona una representación gráfica del estado, y muestra cambios en el estado a través del tiempo. Esto se integra bien con un “tablero” de gestión y es beneficiosa para pruebas internas y externas, permitiendo la comparación/combinación de las dos. La gestión del riesgo cuantitativo puede ser hecho desde el reporte con los hallazgos de la auditoría OSSTMM, proporcionando un resultado mejorado debido a resultados más precisos libres de error, sin embargo se podría encontrar la gestión de confianza propuesta aquí superior a la gestión del riesgo. OSSTMM incluye información para planificar el proyecto, cuantificar resultados, y las reglas del contrato para realizar auditorías de seguridad. La metodología puede ser fácilmente integrada con leyes y política existentes para asegurar una auditoría exhaustiva a través de todos los canales.

Regulaciones específicas legales y de la industria comúnmente también requieren una auditoría de seguridad como un componente para convertirse al cumplimiento. Un auditoría OSSTMM es bien confortable para la mayoría de todos estos casos. Pruebas OSSTMM específicas pueden por lo tanto ser conectados con requerimientos particulares de seguridad estándar, haciendo a OSSTMM por si mismo una manera de obtener cumplimiento para estos requerimientos. Esto se aplica hacia regulaciones y políticas desde seguridad física como la reglamentación de la Comisión Federal de Reserva de Energía de los Estados Unidos hacia los esfuerzos de seguridad pura de datos tales como el último PCI-DSS, e incluyendo requerimientos de canales cruzados como los encontrados en muchas recomendaciones NIST y especificaciones para la gestión en seguridad de la información como ISO/IEC 27001:2005, ISO/IEC/27002:2005, y ISO/IEC 27005:2008.

Se recomienda leer exhaustivamente OSSTMM una vez completamente antes de ponerlo en práctica. Ayuda para ser una herramienta sencilla en la implementación y documentación de una prueba de seguridad. Más asistencia para aquellos necesitando ayuda para comprender e implementar esta metodología está disponible en el sitio web de ISECOM.

Fuentes:

http://www.isecom.org/research/osstmm.html
http://www.isecom.org