La metodología OSSTMM (Open Source Security Testing Methodology Manual, Manual de código abierto para la realización de pruebas de seguridad). Trata sobre la seguridad operacional. Se fundamenta en saber y medir que tan bien funciona la seguridad de una empresa. Las auditorías de seguridad que utilizan una metodología OSSTMM obtienen una compresión profunda de la interconexión de las cosas.
Todas las personas, los procesos, los sistemas y el software tienen algún tipo de relación y esta interconexión requiere interacciones. Algunas de estas interacciones son pasivas y otras no; otras son simbióticas, mientras que otras son parasitarias. Algunas interacciones están controladas por un lado de la relación, mientras que otras están controladas por ambos. Lo que queremos es que nuestros sistemas se equilibren perfectamente con las interacciones que queremos o necesitamos.
Entonces, cuando realizamos una auditoría informática probamos las operaciones, obtenemos una visión general de todas nuestras relaciones. Yendo y viniendo, además podemos ver la interconexión de las operaciones con gran detalle y podemos trazar un mapa de lo que nos hace nuestro negocio y nuestras operaciones lo que son y pueden ser.
Desde una perspectiva técnica, esta metodología está dividida en 4 grupos clave:
- El alcance. Se define un proceso que recolecta de información en todos los bienes en el ambiente objetivo.
- El canal. Nos determinar el tipo de comunicación e interacción que habrá con los bienes los cuales pueden ser físicos, espectros y comunicativos. Todos estos canales representan un único set de los componentes de seguridad y deben ser testados y verificados durante el periodo de evaluación.
- El índice. Clasifica bienes objetivo que se corresponde con sus particulares identificaciones como la dirección MAC o la dirección IP.
- El vector. Se concluye en qué dirección puede el perito informático evaluar y analizar cada bien funcional.
