OSSTMM, un manuale di sicurezza open source

di Alessandro Vinciarelli

scritto il

Open Source Security Testing Methodology Manual, meglio noto come OSSTMM è una manuale che descrive una metodologia riconosciuta a livello internazionale per la pianificazione e successiva esecuzione dei test di sicurezza. La metodologia è stata sviluppata dall’ISECOM, Institute for Security and Open Methodologies.

Si tratta di un progetto open source al quale contribuiscono circa 150 entità che continuano a rilasciare versioni sempre più aggiornate di OSSTMM. In particolare lo scorso primo Aprile 2008 è stata rilasciata la versione OSSTMM 3 Release Candidate 14, che quando verrà consolidata sostituirà l’attuale versione 2.

OSSTMM 2 è infatti da tempo disponibile al libero accesso, e consiste in un manuale che definisce le regole e le linee guida da seguire nell’attuazione dei test di sicurezza.

Il manuale si riferisce a sei macroaree operative, che rappresentano in modo completo l’universo ICT di ogni azienda o amministrazione pubblica.

Le aree sono:

  • Information security;
  • Process security;
  • Internet Technology security;
  • Communication security;
  • Wireless security;
  • Physical security.

Lo sviluppo del manuale ha cercato di seguire tutte le diverse normative di sicurezza presenti nei paesi avanzati, rispettando per quanto più possibile i termini relativi alla privacy e alle informazioni personali.

Per quanto riguarda le certificazioni professionali ISECOM ha previsto per questo ambito quattro certificazioni, delle quali gli interessati possono trovare informazioni direttamente sul sito, in particolare: