Vivimos en una era en la que las empresas, organizaciones e instituciones se construyen a partir de millones de datos que fluyen a través de nuestros sistemas de información. Necesitamos proteger nuestro activo más valioso y para ello, responsables de seguridad y administradores de sistemas de todo el mundo se enfrentan a la pregunta: ¿Estamos seguros? Con posterioridad la pregunta que surge es: ¿Cómo sé si estoy seguro?

Para responder a estas preguntas, normalmente se recurre a un equipo de profesionales en seguridad telemática para que realice un completo "análisis de seguridad". Mediante la ejecución de diversos tests y pruebas sobre el sistema objetivo, estos profesionales comprobarán si es vulnerable a algún tipo de intrusión. Un análisis de seguridad exhaustivo implica más que un simple análisis de vulnerabilidades; es más bien una forma efectiva de poner a prueba la política de seguridad de una empresa a todos los niveles y de probar la capacidad de respuesta de la organización ante un ataque real. Los resultados finales de este análisis proporcionarán a la empresa un punto de referencia sobre el que evaluar su estrategia de seguridad y, en muchos casos, justificará ante los altos cargos de la organización si la inversión en éste área es la adecuada.

No cabe duda de que un análisis de este tipo debe ser riguroso y profesional, proporcionando resultados fiables que permitan evaluar la eficiencia del servicio. Ante esta cuestión muchos se preguntarán ¿Qué herramientas o métricas disponemos para determinarlo?

Antes de la existencia del OSSTMM, no existía ningún documento que recogiera de forma abierta y pública un estándar para la evaluación formal de la seguridad de los sistemas de información. Aunque es cierto que pueden existir otras metodologías, ninguna empresa con fines comerciales las ha puesto a disposición del público o de sus clientes hasta el momento. Otras metodologías como la "Guía de Gestión de Planificación para Auditorías de Seguridad de Sistemas de Información" del GAO (Oficina General de Contabilidad de los Estados Unidos) o como la "Guía de Pruebas de Seguridad en Red" del Instituto Nacional de Estándares y Tecnología (NIST), ofrecen una visión muy genérica y no profundizan en los detalles de la auditoría.

Sin embargo, es en el año 2000 cuando Peter Herzog, experto en seguridad, comienza el proyecto de diseñar un estándar basado en los principios del software libre. Esta idea se convertiría en Diciembre de 2000 en el primer esbozo del OSSTMM (Open Source Security Testing Methodology Manual). Inspirándose en la filosofía "Open Source", el OSSTMM no sólo permite emplear herramientas de código libre, sino que también el propio proceso de análisis está completamente abierto y su revisión es pública. Esta metodología abierta proporciona un marco común, un estándar profesional para que tanto los administradores como los profesionales de la seguridad puedan seguir un conjunto de acciones que permitan realizar pruebas de intrusión y análisis de seguridad de la información. El hecho de que los profesionales de G2 Security realicen los análisis de seguridad utilizando esta metodología, permite, entre otras ventajas, que nuestros clientes valoren de forma cuantificable los resultados del test y la calidad del servicio prestado. De otra forma, ¿cómo podríamos medir la calidad de un servicio sobre el que no existe ninguna regla? Por esta razón, el objetivo final de esta metodología abierta es crear un método aceptado mundialmente para ejecutar un test de seguridad minucioso y cabal sin importar el tamaño de la organización, la tecnología o las defensas utilizadas.

Esta metodología (Fig. 1) pretende únicamente la evaluación de seguridad externa de una organización, es decir, un test de seguridad desde un entorno no privilegiado hacia un entorno privilegiado. En este entorno, el profesional de la seguridad simula la acción de un hacker o intruso, que intenta evadir los componentes de seguridad, procesos y alarmas que le llevarán a ganar acceso privilegiado. Adicionalmente, el OSSTMM recoge un método estandarizado para realizar un exhaustivo test de seguridad en los ámbitos de la seguridad física, seguridad inalámbrica, seguridad de comunicaciones, seguridad de la información, seguridad de las tecnologías de Internet y seguridad de los procesos.

En general, podemos decir que un test de seguridad cumple con el estándar OSSTMM si es:

En la actualidad, OSSTMM se encuentra ya en su versión 2.1 y se ajusta a un amplio número de documentos de estándares, códigos de buenas prácticas y legislación. Así, por ejemplo, en el caso de la legislación española, la metodología es aplicable para realizar auditorias remotas que certifiquen la correcta aplicación de la LOPD. También se ha tenido en cuenta en el diseño del OSSTMM el código de buenas prácticas internacional BS-7799 y su equivalente internacional ISO 17799-2000.

La metodología del OSSTMM se divide en 6 secciones, formadas por módulos y estos a su vez por tareas. Esta división modular permite cubrir aspectos de alto nivel (organizativos) como de bajo nivel (técnicos). Las secciones son:

Estas secciones representan los fragmentos del modelo de seguridad a analizar e interactúan entre sí en el mapa de la seguridad (Fig. 2). Los módulos son las variables a probar en cada sección, y por último las tareas son las pruebas de seguridad a realizar para examinar las variables. Sin embargo, el lector del OSSTMM encontrará que la metodología se centra más en detallar QUÉ elementos hay que analizar que en CÓMO realizar dichas pruebas. La calidad del análisis, por lo tanto, todavía dependerá de la habilidad y experiencia de la persona que lo efectúe. Algunos módulos también incluyen plantillas que se pueden utilizar para recolectar la información de forma ordenada y estructurada durante el análisis.

Un concepto novedoso que incluye el OSSTMM frente a otras metodologías es el uso de "Valores de Evaluación del Riesgo" o RAVs (Risk Assesment Values). Estos valores se definen en cada módulo y tienen como objetivo principal medir la degradación de la seguridad respecto al tiempo. Los RAVs se calculan matemáticamente por medio de tres factores:

Existen muchas razones para utilizar la metodología de OSSTMM. Podemos resumirlas en las siguientes:

Como conclusión, podemos decir que el OSSTMM se ha convertido en una herramienta indispensable para medir cómo evoluciona la seguridad de una organización a lo largo del tiempo, independientemente de su tamaño y los sistemas que esta utilice.