UNIVERSIDAD TECNOLGICA DE PANAM

FACULTAD DE INGENIERA DE SISTEMAS COMPUTACIONALES

DEPARTAMENTO DE COMPUTACIN Y SIMULACIN DE SISTEMAS
GUA DE LABORATORIO N. 1

Facilitador(a): __________________________________ Asignatura: _____________________________

Estudiante: _________________________________ Fecha: __________________ Grupo: ___________

A. TTULO DE LA EXPERIENCIA: Metodologa de Seguridad de la Informacin

B. TEMAS:
Metodologa Abierta de Comprobacin de la Seguridad (OSSTMM).

C. OBJETIVO(S):
Implementacin de pruebas penetracin de sistemas utilizando el mtodo OSSTMM (Manual de Metodologa para
Pruebas de Seguridad de Cdigo Abierto) a una organizacin o caso ficticio.

D. RECURSOS:
Dispositivo porttil o de escritorio con procesador de palabras.
Plataforma Moodle.
Internet:
http://www.isecom.org/home.html
http://www.isecom.org/mirror/OSSTMM.3.pdf
http://anonym-url.com/index.html
http://www.pen-tests.com/tag/penetration-testing

E. RBRICAS:
El mtodo de evaluacin utilizado sern los siguientes:
Asistencia
Trabajo
Discusin del resultado del laboratorio
Entrega de reporte del laboratorio

F. ENUNCIADO DE LA EXPERIENCIA O PROCEDIMIENTO:

OSSTMM

Metodologa Abierta de Comprobacin de la Seguridad creada por la organizacin ISECOM, el Instituto para la
Seguridad y las Metodologas Abiertas, es uno de los estndares profesionales ms completos y comnmente
utilizados en Auditoras de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco
de trabajo que describe las fases que habra de realizar para la ejecucin de la auditora.

OSSTMM se centra en los detalles tcnicos en exactamente qu artculos deben someterse a prueba, qu hacer
antes, durante y despus de una prueba de seguridad, y cmo medir los resultados.
 UNIVERSIDAD TECNOLGICA DE PANAM
FACULTAD DE INGENIERA DE SISTEMAS COMPUTACIONALES
DEPARTAMENTO DE COMPUTACIN Y SIMULACIN DE SISTEMAS
GUA DE LABORATORIO N. 1

El Manual de la Metodologa Abierta de Testeo de Seguridad (OSSTMM, Open Source Security Testing Methodology Manual) es
una metodologa que rene las diversas pruebas y mtricas de seguridad, utilizadas por los profesionales durante las Auditoras
de Seguridad, o sea, de forma estandarizada y ordenada, las diversas verificaciones y pruebas que debe realizar un
profesional de la seguridad informtica durante el desarrollo de las auditorias y verificaciones de la seguridad.

OSSTMM es la norma internacional para comprobar y medir la seguridad operacional IT. Adems, OSSTMM se utiliza junto a
normas internacionales como BS7799, SOX y BSI.

Se quiere que los estudiantes se familiarizarn con el modo de contenido y funcionamiento de la metodologa OSSTMM, para
entender cmo utilizarlo en los proyectos. Adems, sern capaces de realizar las auditoras OSSTMM y estarn calificados para
manejar proyectos OSSTMM mayores. Adems, los estudiantes aprendern sobre el uso de la metodologa OSSTMM durante
la fase de diseo de proyectos para as ser capaces de incorporar medidas de seguridad en proyectos desde el comienzo. El
curso OPSE entrega a los estudiantes una visin general de importantes normas de seguridad (ISO 17799-2000, BS7799, BSI,
SOX) y aprendern sobre las tendencias actuales y desafos en el campo de la seguridad IT.

Herramientas de prueba para determinacin de vulnerabilidades o amenazas:

Pruebas de penetracin para software

Pruebas de exploit

Pruebas de vulnerabilidades para acceso al sistema

G. RESULTADOS:

Realice una revisin del manual de la metodologa OSSTMM.

http://es.scribd.com/doc/142004063/Auditorias-de-Seguridad-Informatica-y-La-OSSTMM#scribd

Realice un test para seguridad de la informacin, de forma tal, de recabar informacin sensible de la organizacin, basado en
los siguientes procesos:
Seccin A -Seguridad de la Informacin (recopilacin de informacin de la victima)
1. Revisin de la Inteligencia Competitiva
2. Revisin de Privacidad
3. Recoleccin de Documentos
Seccin B Seguridad de los Procesos (parte de ingeniera social)
1. Testeo de Solicitud
2. Testeo de Sugerencia Dirigida
3. Testeo de las Personas Confiables

Basado en lo anterior, se le pide:

Llevar a cabo un anlisis de riesgo e implementacin de pruebas de seguridad.
Qu herramientas utilizo para la realizacin de las pruebas de seguridad para los procesos de la seccin A y B.
De ejemplo de los resultados obtenidos en dichas herramientas y explique en detalle.

H. CONSIDERACIONES FINALES:
 UNIVERSIDAD TECNOLGICA DE PANAM
FACULTAD DE INGENIERA DE SISTEMAS COMPUTACIONALES
DEPARTAMENTO DE COMPUTACIN Y SIMULACIN DE SISTEMAS
GUA DE LABORATORIO N. 1
Qu inconvenientes se dio al momento que aplico la metodologa de seguridad? Cul fue su experiencia?