Auditoría de seguridad informática siguiendo la metodología OSSTMMv3: caso de estudio
Resumen
RESUMEN
Este artículo explica la metodología utilizada en una auditoría de seguridad informática, tomando como referencia las recomendaciones de la metodología OSSTMM versión 3 que engloba 5 canales fundamentales. Para la comprensión de su aplicabilidad en un entorno práctico, se tomó como caso de estudio al Gobierno Autónomo Descentralizado del Cantón Mira. La metodología permite medir la seguridad actual de cinco canales diferentes, los mismos que son: humano, físico, comunicaciones inalámbricas, telecomunicaciones y de redes de datos. Del mismo modo, se consideran tres medidas importantes para el cálculo de cada canal: la porosidad (OpSec), los controles y las limitaciones. Los resultados finales, una vez realizado el análisis pertinente, permiten determinar los valores numéricos de cada uno de estos ítems, siendo necesario acogerse a las recomendaciones de los tipos de pruebas que la metodología recomienda para su cálculo. Una vez aplicada la metodología, esto ayuda a comprender, en cada ámbito de aplicación, las deficiencias o excesos de los controles operacionales de seguridad que se manejan en una empresa u organización. Esto constituye un punto importante para controlar las vulnerabilidades que se detecten internamente y poder solucionarlas en su debido momento.
Palabras clave: OSTMM, porosidad, controles, limitaciones, canales, auditoria, seguridad.
ABSTRACT
This article explains the methodology followed in computing auditing in terms of security where OSSTMM version 3 was taken as reference methodology and implemented in GAD-Mira. The current methodology allows to measure the security aspects of five different channels such as human, physical, wireless communications, telecommunications, and networking. At the same time, it includes porosity (OpSec), controls, and limitations as three important measures in each channel which allow to calculate and get the numerical values that explain the importance and influence of each item in the computing audit. Additionally, results obtained after the application of the described methodology allowed to understand deficiencies or excesses in terms of security controls that exist in a company or organization in each channel, being an important point to analyze the internal vulnerabilities that need to be solved.
Keywords: OSSTMM, porosity, controls, limitations, channels, audit, security.Descargas
Métricas
Citas
Bravo, D. (2015). Ecuador se muestra vulnerable a ciberataques. El Comercio. Disponible en: http://www.elcomercio.com/actualidad/ecuador-muestra-vulnerable-ciberataques.html
Chicano Tejada, E. (2014). Auditoría de seguridad informática. Andalucía: IC Editorial.
Chiluiza, E. (2015). Los delitos informáticos en el COIP: Efectos de los delitos informáticos en la administración de justica del Ecuador. La Verdad. Disponible en http://www.revista-laverdad.com/2015/01/10/los-delitos-informaticos-en-el-coip/
Costas Santos, J. (2010). Seguridad Informática. Madrid: Ra-Ma Editorial.
Cuenca Espinosa, A. (2012). El delito informático en el Ecuador: Una nueva tendencia criminal del siglo XXI, su evolución, punibilidad y proceso penal. 24 pp. Disponible en http://www.egov.ufsc.br/portal/sites/default/files/el_delito_informatico_en_el_ecuador_una_tendencia_criminal_del_siglo_xxi-alexander_cuenca.pdf
Herzog, P. (2010). OSSTMM 3. Manual de la Metodología Abierta de Testeo de Seguridad. New York: ISECOM.
Toth, G. A. (2014). Implementación de la guía NIST SP800-30 mediante la utilización de OSSTMM. Neuquén, Argentina.
Descargas
Publicado
Cómo citar
Número
Sección
Licencia
Copyright © Autors. Creative Commons Attribution 4.0 License para cualquier artículo enviado a partir del 6 de junio de 2017. Para los manuscritos presentados anteriormente, se utilizó la licencia CC BY 3.0.
Usted es libre de:
Compartir — compartir y redistribuir el material publicado en cualquier medio o formato. |
Adaptar — combinar, transformar y construir sobre el material para cualquier propósito, incluso comercialmente. |
Bajo las siguientes condiciones:
Atribución — Debe otorgar el crédito correspondiente, proporcionar un enlace a la licencia e indicar si se realizaron cambios. Puede hacerlo de cualquier manera razonable, pero de ninguna manera que sugiera que el licenciador lo respalda a usted o a su uso. |
Sin restricciones adicionales: no puede aplicar términos legales o medidas tecnológicas que restrinjan legalmente a otros a hacer cualquier cosa que permita la licencia. |
Mayor información sobre este acuerdo de autoría y licencia, transferencia de derechos o solicitudes de reproducción, pueden ser consultados en este enlace.