OSSTMM
¿Qué es OSSTMM?
OSSTMMMetodologia abierta y revisada por pares de pruebas de seguridad mantenida por ISECOM que define mediciones cientificas y repetibles de seguridad operativa en cinco canales.
El Open Source Security Testing Methodology Manual (OSSTMM) es mantenido por el Institute for Security and Open Methodologies (ISECOM) y lo emplean auditores y pentesters para realizar evaluaciones repetibles y basadas en evidencias. Define cinco canales de prueba —Humano, Fisico, Inalambrico, Telecomunicaciones y Redes de Datos— y produce un resultado cuantitativo llamado Risk Assessment Value (RAV), basado en controles operativos, limitaciones y confianza. OSSTMM pone enfasis en reglas de compromiso, medicion cientifica y etica, mas que en listas de herramientas. Es muy citada en auditorias publicas y reguladas y complementa marcos tecnicos como PTES y NIST SP 800-115.
● Ejemplos
- 01
Un auditor usa OSSTMM para puntuar la superficie de ataque fisica y humana de una sucursal bancaria.
- 02
Un pentester combina la puntuacion RAV de OSSTMM con procedimientos tecnicos de PTES.
● Preguntas frecuentes
¿Qué es OSSTMM?
Metodologia abierta y revisada por pares de pruebas de seguridad mantenida por ISECOM que define mediciones cientificas y repetibles de seguridad operativa en cinco canales. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa OSSTMM?
Metodologia abierta y revisada por pares de pruebas de seguridad mantenida por ISECOM que define mediciones cientificas y repetibles de seguridad operativa en cinco canales.
¿Cómo defenderse de OSSTMM?
Las defensas contra OSSTMM combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OSSTMM?
Nombres alternativos comunes: Manual de Metodologia de Pruebas de Seguridad de Codigo Abierto.