OSSTMM

Hoy he visto una noticia sobre OSSTMM y me he dicho a mi mismo, esto no lo puedo pasar por alto!. He de reconocer que esto de los test de intrusión es mi lectura preferida en mis ratos libres y que ya conocía OSSTMM y también ISSAF del que os hablaré en otra ocasión puesto que tienden a utilizarse juntos para los test de intrusión según comentaban en las listas de Pen-testing de security-focus.

El Open Source Security Testing Metodology Manual (OSSTMM) es una iniciativa del Institute for Security and Open Methodologies (ISECOM) para crear un metodología estándar que permita evaluar de qué nivel de seguridad dispone la organización evaluada. Para ello dispone de cinco secciones a lo largo de las cuales se evalúa:

• Controles aplicados sobre los datos y la información
• Niveles de concienciación de seguridad del personal
• Niveles de control sobre la ingeniería del software y el fraude
• Seguridad en Sistemas y Redes de Comunicaciones
• Dispositivos inalámbricos
• Dispositivos móviles
• Seguridad de los controles de acceso físico
• Procesos de seguridad
• Ubicaciones físicas
• Perímetros

OSSTMM se centra en los detalles técnicos de qué es lo que se debe comprobar exactamente, qué se debe hacer antes, durante y después de un test de seguridad y cómo medir los resultados. La metodología es actualizada continuamente con nuevos test para las mejores prácticas, leyes y regulaciones.

ISECOM ha establecido toda una línea de certificaciones que acreditan a su poseedor los conocimientos en la aplicación de OSSTMM a un área específica o desde una perspectiva concreat pudiendo encontrar hasta 4 certificaciones:

• Analista de Seguridad
• Experto en Seguridad
• Tester de Seguridad
• Experto en Seguridad inalámbrica

Y por último y no por ello menos importante, en este mundo de la seguridad hay más de uno que dice ser algo que no es, de manera que aquí puedes verificar si quien te ha dado la tarjeta diciendo tener alguno de éstos certificados realmente lo tiene o te está metiendo un bulo.

Un saludo a tod@s