Auditoría de seguridad informática siguiendo la metodología OSSTMMv3: caso de estudio

Autores/as

  • Cristian Bracho-Ortega Universidad Técnica del Norte
  • Fabián Cuzme-Rodríguez Universidad Técnica del Norte
  • Carlos Pupiales-Yépez Universidad Técnica del Norte
  • Luis Suárez-Zambrano Universidad Técnica del Norte
  • Diego Peluffo-Ordóñez Universidad Técnica del Norte
  • César Moreira-Zambrano Escuela Superior Politécnica Agropecuaria de Manabí

Resumen

RESUMEN

Este artículo explica la metodología utilizada en una auditoría de seguridad informática, tomando como referencia las recomendaciones de la metodología OSSTMM versión 3 que engloba 5 canales fundamentales. Para la comprensión de su aplicabilidad en un entorno práctico, se tomó como caso de estudio al Gobierno Autónomo Descentralizado del Cantón Mira. La metodología permite medir la seguridad actual de cinco canales diferentes, los mismos que son: humano, físico, comunicaciones inalámbricas, telecomunicaciones y de redes de datos. Del mismo modo, se consideran tres medidas importantes para el cálculo de cada canal: la porosidad (OpSec), los controles y las limitaciones. Los resultados finales, una vez realizado el análisis pertinente, permiten determinar los valores numéricos de cada uno de estos ítems, siendo necesario acogerse a las recomendaciones de los tipos de pruebas que la metodología recomienda para su cálculo. Una vez aplicada la metodología, esto ayuda a comprender, en cada ámbito de aplicación, las deficiencias o excesos de los controles operacionales de seguridad que se manejan en una empresa u organización. Esto constituye un punto importante para controlar las vulnerabilidades que se detecten internamente y poder solucionarlas en su debido momento.

Palabras clave: OSTMM, porosidad, controles, limitaciones, canales, auditoria, seguridad.

 

 ABSTRACT

This article explains the methodology followed in computing auditing in terms of security where OSSTMM version 3 was taken as reference methodology and implemented in GAD-Mira. The current methodology allows to measure the security aspects of five different channels such as human, physical, wireless communications, telecommunications, and networking. At the same time, it includes porosity (OpSec), controls, and limitations as three important measures in each channel which allow to calculate and get the numerical values that explain the importance and influence of each item in the computing audit. Additionally, results obtained after the application of the described methodology allowed to understand deficiencies or excesses in terms of security controls that exist in a company or organization in each channel, being an important point to analyze the internal vulnerabilities that need to be solved.

Keywords: OSSTMM, porosity, controls, limitations, channels, audit, security.

Descargas

Los datos de descargas todavía no están disponibles.

Citas

Acurio del Pino, S. (2012). Los delitos informáticos en el Ecuador (parte II). Disponible en http://www.inforc.ec/los-delitos-informaticos-en-el-ecuador-parte-ii/

Bravo, D. (2015). Ecuador se muestra vulnerable a ciberataques. El Comercio. Disponible en: http://www.elcomercio.com/actualidad/ecuador-muestra-vulnerable-ciberataques.html

Chicano Tejada, E. (2014). Auditoría de seguridad informática. Andalucía: IC Editorial.

Chiluiza, E. (2015). Los delitos informáticos en el COIP: Efectos de los delitos informáticos en la administración de justica del Ecuador. La Verdad. Disponible en http://www.revista-laverdad.com/2015/01/10/los-delitos-informaticos-en-el-coip/

Costas Santos, J. (2010). Seguridad Informática. Madrid: Ra-Ma Editorial.

Cuenca Espinosa, A. (2012). El delito informático en el Ecuador: Una nueva tendencia criminal del siglo XXI, su evolución, punibilidad y proceso penal. 24 pp. Disponible en http://www.egov.ufsc.br/portal/sites/default/files/el_delito_informatico_en_el_ecuador_una_tendencia_criminal_del_siglo_xxi-alexander_cuenca.pdf

Herzog, P. (2010). OSSTMM 3. Manual de la Metodología Abierta de Testeo de Seguridad. New York: ISECOM.

Toth, G. A. (2014). Implementación de la guía NIST SP800-30 mediante la utilización de OSSTMM. Neuquén, Argentina.

Descargas

Publicado

2017-11-29

Cómo citar

Bracho-Ortega, C., Cuzme-Rodríguez, F., Pupiales-Yépez, C., Suárez-Zambrano, L., Peluffo-Ordóñez, D., & Moreira-Zambrano, C. (2017). Auditoría de seguridad informática siguiendo la metodología OSSTMMv3: caso de estudio. Maskana, 8, 307–319. Recuperado a partir de https://publicaciones.ucuenca.edu.ec/ojs/index.php/maskana/article/view/1471