En las próximas semanas se celebrarán las primeras sesiones para poder
obtener el certificado profesional que garantiza tanto el conocimiento
teórico como la aplicación práctica de la metodología abierta para la
verificación de la seguridad (OSSTMM).
Isecom (antiguamente Ideahamster) es una organización internacional, sin
ánimo de lucro, que tiene como objetivo desarrollar conocimientos y
herramientas relacionadas con la seguridad, ofreciéndolas bajo una
licencia de código abierto que permite su libre utilización.
Uno de los primeros proyectos en los que trabaja Isecom es la OSSTMM,
una metodología para la realización de las verificaciones de seguridad
en Internet. Se trata del principal proyecto existente en la actualidad
para definir una metodología formal que permita verificar la seguridad
informática de los equipos, desarrollado de una forma independiente y
totalmente abierto. Otros proyectos en los que se está trabajado son la
metodología para la programación segura y la «Hacker High School», que
ya hemos comentado en anteriores ediciones de «una-al-día» de Hispasec.
El disponer de una metodología de trabajo estandarizada significa que
permita garantizar el nivel de pruebas que se realizan en el momento de
verificar la seguridad. No pretende especificar una lista de pruebas
concretas a realizar, sino los elementos que deben verificarse, tanto
desde el exterior como el interior.
Un aspecto importante a señalar es que la OSSTMM ha sido diseñada para
cubrir los aspectos técnicos establecidos por diversas legislaciones.
Así, en el caso concreto de España, la OSSTMM incluye los requerimientos
establecidos tanto por la ley de protección de datos (incluyendo la
clasificación de datos y componentes) y la LSSICE. Estos requerimientos
formarán parte integral de la versión 2.5 de la metodología, disponible
durante el próximo mes de febrero.
Como un paso más en el establecimiento de la OSSTMM, durante los
próximos meses se celebrarán las primeras sesiones que permitirán a los
profesionales de la seguridad informática obtener el certificado que
garantice el conocimiento de esta metodología.
Se trata de una sesiones en donde se desarrollarán los aspectos técnicos
que establece la OSSTMM para la realización de la verificación de la
seguridad así como la visión de negocio necesaria para poder justificar
y entender las necesidades de seguridad y su adecuación con la realidad
de negocio.
Así, algunos de los principales aspectos que se desarrollan durante
estas sesiones incluyen:
* ¿En qué consiste la profesión del verificador de seguridad?
* Comprender porqué la verificación de la seguridad no es únicamente
identificar las vulnerabilidades de seguridad.
* Comprender el alcance de la OSSTMM y su aplicación.
* Utilización de herramientas para la verificación de la seguridad.
* Funcionamiento de las redes y sus implicaciones en la seguridad.
* Realización de pruebas de verificación de la seguridad.
* Identificar cual es el alcance que debe tener la prueba de
verificación de la seguridad.
* Tareas a realizar para la verificación de la seguridad de las
comunicaciones, seguridad física, seguridad de conexiones inalámbricas.
Las primeras sesiones se realizarán en Barcelona, en dos tandas. La
primera se realizará durante el mes de febrero (del 13 al 15 y del 20 al
22; 44 horas de prácticas y teoría más 4 horas para la realización del
examen) mientras que la segunda se desarrollará durante el mes de marzo
(del 17 al 21; 36 horas más 4 horas para el examen). Los detalles
concretos sobre estas sesiones están disponibles en la web de Isecom.
xavi@hispasec.com
Deja un comentario