OSSTMM: Um standard ISO para o hacking?

Bem, para começar, OSSTMM significa, para quem não conhece, Open Source Security Testing Methodology Manual, ou seja, uma metodologia para realizar testes de segurança. A organização internacional para a standardização, aka ISO, parece estar interessada na integração desta metodologia no seu rol de boas práticas. A discussão, aparentemente, já passou o adro (ver o post do Pete Herzog).

É uma ideia interessante, sobretudo pela baseline que pode estabelecer. Não limita em nada a criatividade e a exploração dos skills individuais e das metodologias de cada empresa mas, considerando que não há, actualmente, uma fascia bem definida para esta actividade, esta standardização pode servir para definir um patamar mínimo para os testes.

(Na prática, mesmo não sendo um standard de jure, acaba por ser (quase) um standard de facto. Ou seja, por outras palavras, há tanta gente a usar isto que, no fundo, não vai fazer muita diferença. Digo eu)

A vossa opinião? Be my guests.