Por Qué, Cuando, y con Que Frecuencia se debe Realizar una Prueba de Penetración
La prueba de penetración (pen testing) es una simulación de posibles ataques cibernéticos realizados por probadores de penetración (pen testers) sin intención maliciosa. El principal objetivo del pen testing es examinar las defensas de seguridad de la infraestructura de TI, esta se realiza para encontrar actividad o contenido vulnerable explotable en una red y abordar el mismo con el equipo de ciberseguridad., para que este mitigue las vulnerabilidades antes que un intruso las explote, causando graves daños a la empresa. La prueba de penetración (pen testing) finaliza cuando el pen tester envía un informe detallado de todos los hallazgos, dicho informe incluirá en términos generales dos secciones: resumen ejecutivo del proceso de pen testing y una lista de las vulnerabilidades explicando la gravedad de su impacto, si no se mitiga a tiempo. Un mal pen test o un informe no profesional pueden causar graves daños al negocio, por lo tanto, la autenticidad y la eficacia junto con un enfoque holístico son la clave para un pen test exitoso.
¿Por qué hacer un Pen Test: Beneficios de un Pen Testing?
1. Detectar amenazas de seguridad
Un pen test determina el potencial de una organización para defender su infraestructura de TI, como aplicaciones, red, servidor, puntos finales, etc, esta prueba detecta las amenazas de seguridad al realizar intrusiones internas y externas para lograr un acceso privilegiado y no aprobado a los activos protegidos. Esta prueba revela las fallas en el proceso de seguridad existente para que puedan ser reparadas por técnicos y expertos antes que cualquier intruso ingrese en el sistema.
2. Protegerse de la pérdida financiera y reputacional.
Una infracción puede resultar en un compromiso de la base de datos, pérdida financiera o pérdida de reputación, incluso un solo incidente de datos de clientes comprometidos tiene un impacto negativo en la imagen de la empresa ante la industria. Una prueba de pen testing efectiva es compatible con una organización mediante la detección proactiva de las amenazas antes de que se produzca la intrusión. Estas pruebas también pueden ayudar a evitar violaciones de datos que pueden poner en juego la reputación y la confiabilidad de la empresa.
3. Guarda tiempo de inactividad de recuperación
La recuperación de una falla de seguridad incluye programas de retención, asesoría legal, esfuerzos de remediación de TI, ingresos reducidos y recuperación de la confianza del cliente, por lo que este proceso implica mucho esfuerzo, tiempo, recursos y finanzas. En una investigación realizada por una compañía de TI, Alvarez Technology Group, el 39% de las compañías informan que el tiempo de inactividad de la capacidad operativa es el principal efecto de un ataque cibernético, para el 37% de las empresas, el mayor problema fue el tiempo de inactividad en los informes de negocios.
4. Cumplir con la normativa o certificación de seguridad.
Los departamentos de TI deben cumplir con los procedimientos de auditoria o cumplimiento de las autoridades legales como la Ley de Portabilidad y Responsabilidad del Seguro de Salud, la Ley Gramm-Leach-Bliley y Sarbanes-Oxley. Además, la compañía también deberá cumplir con los requisitos de prueba de informes reconocidos en el Instituto Federal Nacional de Estándares y Tecnología, la Ley Federal de Gestión de Seguridad de la Información y los comandos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago. Los informes presentados por los pen testers ayudan a la organización a evitar las sanciones por incumplimiento y proporcionan el control seguro requerido a los auditores.
5. Incrementa la continuidad del negocio.
La continuidad del negocio es el objetivo principal de cualquier empresa para medir su éxito, por eso una ruptura en la continuidad del negocio se puede dar una violación de la seguridad y según la National Cybersecurity Alliance, el 60% de las organizaciones medianas y pequeñas que han sufrido un ataque cibernético han cerrado su negocio en un plazo de 6 meses. Los Pen testers son contratados para realizar diferentes tipos de ataques, como la denegación de servicio, lo que en última instancia puede resultar en el cierre del negocio, esto se hace para encontrar los huecos de seguridad y parchearlas para evitar cualquier daño real de un ataque malicioso.
¿Cuándo hacer un Pen Test?
Muchas empresas no están seguras del momento adecuado para realizar pen testing, por eso los mejores momentos para realizar un pen test son:
- Antes del despliegue del sistema o red o aplicación.
- Cuando el sistema ya no está en un estado de cambio constante.
- Antes que el sistema se involucre en el proceso de producción o se ponga en linea.
La mayoría de las compañías no entienden la importancia de hacer un pen testing previo al despliegue ya que simplemente se concentran en su retorno de la inversión. El equipo de TI a menudo está sobrecargado con plazos de proyectos poco prácticos que los obligan a realizar entregas sin las evaluaciones de seguridad adecuadas, debido a esto cuando el sistema o las aplicaciónes son nuevas, los huecos en la capa de seguridad se pueden descubrir al realizar pen testing, la ausencia de este tipo de pruebas, no permitirá detectar y abordar estos problemas de seguridad y, cuando se liberen, pueden ser una fuente potencial de intrusión para los hackers.
¿Con qué frecuencia debe hacer un Pen Test?
Las organizaciones no priorizan un Pen Test hasta que experimentan una violación o se dan cuenta de que un hacker informático ya ha invadido y plantado un virus en su aplicación o sistema, en este momento, las organizaciones hacen todos los intentos para rastrear la intrusión, el impacto de la brecha y aprender cómo ingresaron. Pero todo el proceso se habría evitado si la empresa hubiera realizado una Pen Test a tiempo.
Un Pen Test no es una actividad de una sola vez. Como las redes o los sistemas informáticos están expuestos a una gran cantidad de vulnerabilidades, hay un cambio constante en su rendimiento y la frecuencia con la que una empresa debe realizar un Pen Test depende de varios factores:
Tamaño de la empresa: no hay duda, las empresas que se ocupan de un negocio en línea pueden ser propensas a frecuentes ataques cibernéticos, por lo que cuanto mayor es la presencia en línea, son más jugosos para los vectores de amenaza.
Cumplimiento de las leyes reglamentarias: los reglamentos, las leyes y el cumplimiento definen principalmente la frecuencia de un Pen Test. Dependiendo del tipo de industria, uno debe cumplir con las reglas.
Infraestructura: las pruebas de los datos dependen de su ubicación en la empresa. Si los datos y las aplicaciones se guardan en el servidor en la nube, el proveedor de servicios en la nube no permitiría una prueba a través de una fuente externa, sino que optaría por contratar un Pen Tester internamente.
El proceso de Pen Testing no debe ignorarse, ya que tiene un mayor potencial para ofrecer un servicio de seguridad crítico a las empresas. Para algunas organizaciones, el Pen Test también puede ser obligatoria, pero una prueba no se ajusta a todas, es la vida de negocios de la empresa lo que determina por qué, cuándo y cómo realizar un Pen Test.
Para ser un Pen Testing y hacer observaciones en su carrera, uno debe tener una certificacion en Pen Testing. El programa master ECA Council Certified Security Analyst enseña todas las habilidades necesarias para una Pen Testing exitoso.
Fuente: EC-Council