Auditoría de seguridad informática siguiendo la metodología OSSTMMv3: caso de estudio

Authors

  • Cristian Bracho-Ortega Universidad Técnica del Norte
  • Fabián Cuzme-Rodríguez Universidad Técnica del Norte
  • Carlos Pupiales-Yépez Universidad Técnica del Norte
  • Luis Suárez-Zambrano Universidad Técnica del Norte
  • Diego Peluffo-Ordóñez Universidad Técnica del Norte
  • César Moreira-Zambrano Escuela Superior Politécnica Agropecuaria de Manabí

Abstract

RESUMEN

Este artículo explica la metodología utilizada en una auditoría de seguridad informática, tomando como referencia las recomendaciones de la metodología OSSTMM versión 3 que engloba 5 canales fundamentales. Para la comprensión de su aplicabilidad en un entorno práctico, se tomó como caso de estudio al Gobierno Autónomo Descentralizado del Cantón Mira. La metodología permite medir la seguridad actual de cinco canales diferentes, los mismos que son: humano, físico, comunicaciones inalámbricas, telecomunicaciones y de redes de datos. Del mismo modo, se consideran tres medidas importantes para el cálculo de cada canal: la porosidad (OpSec), los controles y las limitaciones. Los resultados finales, una vez realizado el análisis pertinente, permiten determinar los valores numéricos de cada uno de estos ítems, siendo necesario acogerse a las recomendaciones de los tipos de pruebas que la metodología recomienda para su cálculo. Una vez aplicada la metodología, esto ayuda a comprender, en cada ámbito de aplicación, las deficiencias o excesos de los controles operacionales de seguridad que se manejan en una empresa u organización. Esto constituye un punto importante para controlar las vulnerabilidades que se detecten internamente y poder solucionarlas en su debido momento.

Palabras clave: OSTMM, porosidad, controles, limitaciones, canales, auditoria, seguridad.

 

 ABSTRACT

This article explains the methodology followed in computing auditing in terms of security where OSSTMM version 3 was taken as reference methodology and implemented in GAD-Mira. The current methodology allows to measure the security aspects of five different channels such as human, physical, wireless communications, telecommunications, and networking. At the same time, it includes porosity (OpSec), controls, and limitations as three important measures in each channel which allow to calculate and get the numerical values that explain the importance and influence of each item in the computing audit. Additionally, results obtained after the application of the described methodology allowed to understand deficiencies or excesses in terms of security controls that exist in a company or organization in each channel, being an important point to analyze the internal vulnerabilities that need to be solved.

Keywords: OSSTMM, porosity, controls, limitations, channels, audit, security.

Downloads

Download data is not yet available.

Metrics

Metrics Loading ...

References

Acurio del Pino, S. (2012). Los delitos informáticos en el Ecuador (parte II). Disponible en http://www.inforc.ec/los-delitos-informaticos-en-el-ecuador-parte-ii/

Bravo, D. (2015). Ecuador se muestra vulnerable a ciberataques. El Comercio. Disponible en: http://www.elcomercio.com/actualidad/ecuador-muestra-vulnerable-ciberataques.html

Chicano Tejada, E. (2014). Auditoría de seguridad informática. Andalucía: IC Editorial.

Chiluiza, E. (2015). Los delitos informáticos en el COIP: Efectos de los delitos informáticos en la administración de justica del Ecuador. La Verdad. Disponible en http://www.revista-laverdad.com/2015/01/10/los-delitos-informaticos-en-el-coip/

Costas Santos, J. (2010). Seguridad Informática. Madrid: Ra-Ma Editorial.

Cuenca Espinosa, A. (2012). El delito informático en el Ecuador: Una nueva tendencia criminal del siglo XXI, su evolución, punibilidad y proceso penal. 24 pp. Disponible en http://www.egov.ufsc.br/portal/sites/default/files/el_delito_informatico_en_el_ecuador_una_tendencia_criminal_del_siglo_xxi-alexander_cuenca.pdf

Herzog, P. (2010). OSSTMM 3. Manual de la Metodología Abierta de Testeo de Seguridad. New York: ISECOM.

Toth, G. A. (2014). Implementación de la guía NIST SP800-30 mediante la utilización de OSSTMM. Neuquén, Argentina.

Downloads

Published

2017-11-29

How to Cite

Bracho-Ortega, C., Cuzme-Rodríguez, F., Pupiales-Yépez, C., Suárez-Zambrano, L., Peluffo-Ordóñez, D., & Moreira-Zambrano, C. (2017). Auditoría de seguridad informática siguiendo la metodología OSSTMMv3: caso de estudio. Maskana, 8, 307–319. Retrieved from https://publicaciones.ucuenca.edu.ec/ojs/index.php/maskana/article/view/1471

Issue

Vol. 8 (2017): Proceedings of the 5th. Ecuadorian Congress of Information and Communication Technologies - TIC.EC 2017

Section

Actas

License

Copyright © Autors. Creative Commons Attribution 4.0 License. for any article submitted from 6 June 2017 onwards. For manuscripts submitted before, the CC BY 3.0 License was used.

You are free to:

Share — copy and redistribute the material in any medium or format
Adapt — remix, transform, and build upon the material for any purpose, even commercially.

Under the following conditions:

Attribution — You must give appropriate credit, provide a link to the licence, and indicate if changes were made. You may do so in any reasonable manner, but not in any way that suggests the licenser endorses you or your use.
  No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the licence permits.
  
Detailed information about copyright and license agreement, copyright transfers and reproduction requests, can be found here.