OSSTMM
¿Qué es OSSTMM?
OSSTMMMetodologia abierta y revisada por pares de pruebas de seguridad mantenida por ISECOM que define mediciones cientificas y repetibles de seguridad operativa en cinco canales.
El Open Source Security Testing Methodology Manual (OSSTMM) es mantenido por el Institute for Security and Open Methodologies (ISECOM) y lo emplean auditores y pentesters para realizar evaluaciones repetibles y basadas en evidencias. Define cinco canales de prueba —Humano, Fisico, Inalambrico, Telecomunicaciones y Redes de Datos— y produce un resultado cuantitativo llamado Risk Assessment Value (RAV), basado en controles operativos, limitaciones y confianza. OSSTMM pone enfasis en reglas de compromiso, medicion cientifica y etica, mas que en listas de herramientas. Es muy citada en auditorias publicas y reguladas y complementa marcos tecnicos como PTES y NIST SP 800-115.
● Ejemplos
- 01
Un auditor usa OSSTMM para puntuar la superficie de ataque fisica y humana de una sucursal bancaria.
- 02
Un pentester combina la puntuacion RAV de OSSTMM con procedimientos tecnicos de PTES.
● Preguntas frecuentes
¿Qué es OSSTMM?
Metodologia abierta y revisada por pares de pruebas de seguridad mantenida por ISECOM que define mediciones cientificas y repetibles de seguridad operativa en cinco canales. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa OSSTMM?
Metodologia abierta y revisada por pares de pruebas de seguridad mantenida por ISECOM que define mediciones cientificas y repetibles de seguridad operativa en cinco canales.
¿Cómo funciona OSSTMM?
El Open Source Security Testing Methodology Manual (OSSTMM) es mantenido por el Institute for Security and Open Methodologies (ISECOM) y lo emplean auditores y pentesters para realizar evaluaciones repetibles y basadas en evidencias. Define cinco canales de prueba —Humano, Fisico, Inalambrico, Telecomunicaciones y Redes de Datos— y produce un resultado cuantitativo llamado Risk Assessment Value (RAV), basado en controles operativos, limitaciones y confianza. OSSTMM pone enfasis en reglas de compromiso, medicion cientifica y etica, mas que en listas de herramientas. Es muy citada en auditorias publicas y reguladas y complementa marcos tecnicos como PTES y NIST SP 800-115.
¿Cómo defenderse de OSSTMM?
Las defensas contra OSSTMM combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OSSTMM?
Nombres alternativos comunes: Manual de Metodologia de Pruebas de Seguridad de Codigo Abierto.
● Términos relacionados
- compliance№ 876
PTES
Metodologia comunitaria de pruebas de penetracion que organiza el trabajo en siete fases, desde el preacuerdo hasta el informe y las recomendaciones de remediacion.
- compliance№ 768
OSCP
Certificacion practica de seguridad ofensiva de Offensive Security que se obtiene tras comprometer una red de laboratorio en un examen practico supervisado de 24 horas.
- compliance№ 152
CEH
Certificacion de hacking etico de EC-Council que ensena herramientas y tecnicas de los atacantes en reconocimiento, explotacion y pruebas web, inalambricas y en la nube.
- defense-ops№ 813
Pruebas de penetración
Ciberataque simulado y autorizado contra sistemas, aplicaciones o personas para identificar debilidades explotables antes de que lo hagan adversarios reales.
- compliance№ 735
NIST SP 800-30
Publicacion especial del NIST que ofrece directrices para realizar evaluaciones de riesgo de los sistemas de informacion y de las misiones que respaldan.