Blog
Las organizaciones están viviendo un acelerado proceso de transformación digital, y los ciberdelincuentes están utilizando cada vez ataques más sofisticados para acceder a redes empresariales. Es por esto que una manera de garantizar la evaluación eficaz de la seguridad en una organización es implementar las mismas herramientas y procedimientos empleados por los atacantes en el mundo real, a través de la realización de pruebas de penetración o pentesting.
A continuación, se ofrecen cinco puntos claves que se deben tener en consideración al momento de elegir un equipo de pentesting adecuado.
- Poseer un equipo capacitado: Es importante contar con un grupo de trabajo (no con un solo individuo encargado de las pruebas) que posea miembros con certificaciones profesionales reconocidas por la industria, tales como CEH, CRTE, OSCE, OSCP, OSWE y OSWP. Estas certificaciones pueden generar cierta confianza respecto a las capacidades de los pentesters, sin embargo, es prudente también solicitar acceso a los repositorios y publicaciones del equipo para poder ser testigos de sus contribuciones a la comunidad de ciberseguridad. Los analistas que evalúen los sistemas de una organización deben ser curiosos y creativos (ver lo que los cibercriminales pueden ver), contar con la capacidad de hallar vulnerabilidades desconocidas o de día cero (no incluidas dentro de las herramientas), y además tener un interés permanente en aprender sobre nuevas técnicas y ambientes en los cuales simular ataques.
- Mantener procesos estandarizados y personalizados: El equipo de pentesting debe seguir y permitir el cumplimiento de estándares de seguridad como PCI DSS, HIPAA, GDPR y NIST, además de aquellos que se ajusten a las necesidades de sus clientes. Es vital asegurarse de que el proveedor cuente con experiencia en evaluación de esa tecnología con la que la empresa cliente trabaja (redes, aplicaciones web y móviles, APIs) y dentro de diversidad de industrias, incluyendo, por supuesto, a la que el cliente pertenece.
- Garantizar la seguridad de la información: Para cada proyecto, debe establecerse un acuerdo documentado de confidencialidad y seguridad de los datos. El proveedor de la solución debe revelar en detalle quiénes serán los encargados del manejo de la información, cuál será su metodología, y qué registros se mantendrán en las pruebas. Adicionalmente, el equipo debe reportar los resultados solo a las personas con acceso autorizado por el cliente.
- Saber manejar y presentar los datos derivados del análisis: El equipo de pentesting, con sus herramientas, debe organizar informes detallados y priorizar los hallazgos según los riesgos que representen, permitiendo así ahorrar dolores de cabeza administrativos a sus clientes. Los reportes deben ser comprensibles y servir de soporte para los equipos de desarrollo encargados de las estrategias y procesos de remediación. En este punto es fundamental solicitar, revisar y comparar los informes de prueba de diferentes proveedores.
- Tener una mentalidad colectiva: Los miembros de estos grupos de evaluación deben ser formados para que más allá de compartir un contenido internamente, amplíen el conocimiento y lo transmitan a otros fuera de los límites empresariales, contribuyendo así a una comunidad comprometida con la ciberseguridad.
Entre los objetivos de las pruebas de penetración está verificar bajo situaciones controladas cuál es el comportamiento específico de los mecanismos de defensa de una empresa, en los que se busca detectar vulnerabilidades. Además, se pretende identificar las faltas de controles de seguridad y posibles brechas de información crítica existentes. Por otra parte, se obtienen mayores beneficios si estas pruebas se realizan con una metodología continua, donde se prueban los sistemas desde que empieza su construcción y a medida que evolucionan.
“Seleccionar un proveedor de pruebas de penetración competente no es tarea fácil, y más cuando las opciones abundan dentro del mercado. Sin embargo, esto es ideal para llevar a cabo evaluaciones y poder detectar vulnerabilidades en los sistemas, para que sean remediadas y se conserve la buena salud de las organizaciones. En la empresa, empleamos herramientas automatizadas, pero superamos sus debilidades mediante el esfuerzo manual de nuestros hackers éticos, quienes, en grupos cuantiosos, nos permiten garantizar hallazgos rápidos y precisos”
Fuente: TyN MAGAZINE
Si requiere asesoría para el crecimiento de su empresa:
Esto te puede interesar
L | M | X | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 |