METODOLOGIA OSSTMM PARA TESTE DE SEGURANÇA EM TI
Edilberto Silva1, Idalêncio Machado2, Marconi Oliveira2, Roberto Amorim2
1
2

Docente da disciplina Projeto de Gestão da Segurança da Informação

Pós-graduandos do Curso MBA em Gestão de Segurança da Informação da UniDF/ICAT

E-mails: edilms@yahoo.com; idalencio@superig.com.br; marconi_souza@yahoo.com.br; amorim.roberto1@gmail.com
Resumo – Este artigo apresenta uma breve contextualização da metodologia open source de Teste de Segurança OSSTMM em sua versão mais estável 2.2. O Open Source Security Testing Methodology Manual é um documento elaborado pelo ISECOM1 que apresenta uma metodologia científica para o planejamento, execução e verificação (relatórios) de testes de segurança em ambientes de TI. Pode ser usado como referência independentemente do tipo e da forma do teste escolhido pela organização-alvo. A última fase do PDCA (Agir) não é contemplada na metodologia, pois se refere à avaliação dos resultados encontrados e reportados nos relatórios de teste, tarefa eminentemente de responsabilidade da organização, que deve lançar mão de suas soluções de Gestão de Segurança da Informação para adoção das melhorias propostas. Palavras-chave – Teste de Segurança; OSSTMM; PGSI; PenTest; Hacking Ético.

1

Institute for Security and Open Technologies – organização de pesquisa de segurança científica, colaborativa, aberta e sem fins lucrativos registrada na
Catalunha, Espanha, e em NY, EUA.

1
Introdução
O termo “Teste de Segurança” quando aplicado no escopo da Segurança de TI pode assumir vários significados isoladamente ou então “embarcar” alguns deles em uma espécie de pacote. Sua definição semântica – quais tipos e formas de testes a serem usados – depende dos objetivos e requisitos escolhidos pela organização.
Entretanto, é pacífica a importância desse processo dentro da Gestão da Segurança da Informação, na medida em que proporciona um mapeamento da postura de segurança quanto às vulnerabilidades, ameaças e riscos, e