Existe una gran variedad de pruebas de seguridad informática empezando con la más básica que es el análisis de vulnerabilidades hasta llegar a la auditoría de cumplimiento la cual es el aseguramiento máximo de una plataforma de ciberseguridad.
Estos son las principales tipos de pruebas de ciberseguridad:
- Análisis de vulnerabilidades: Es una tarea automatizada por medio de la cual se verifica si las vulnerabilidades reportadas a nivel mundial se encuentran presentes en los equipos que se están analizando.
- Pentest o hacking ético: procedimiento formal que tiene como objetivo descubrir vulnerabilidades de seguridad, riesgos de fallas y un entorno poco confiable. Puede verse como un intento exitoso pero no dañino de penetrar en un sistema de información específico.
- Caja negra: Sin información solo el objetivo de las pruebas.
- Caja gris: Información parcial como los equipos a los cuales se les va a hacer pruebas.
- Caja blanca: Información completa para poder determinar las vulnerabilidades con conocimiento del objetivo.
- Hardening o aseguramiento de equipos: Aseguramiento de equipos de acuerdo con las mejores prácticas de la industria, alguna normatividad o línea base de la organización.
- Auditoria de seguridad informática: Comparar algo que existe contra algo que debería existir ya sea una normatividad, mejores prácticas o línea base previamente establecida.
- Análisis de vulnerabilidades en código fuente: Búsqueda de vulnerabilidades en código fuente desarrollado. Esta clase de pruebas es propia de las organizaciones que desarrolla software para uso interno o de terceros.
- Pruebas de ingeniería social: Esta clase de pruebas se pueden definir como “el arte de hackear al ser humano”, es decir, hallar vulnerabilidad en las personas. Esto se puede corregir mediante las capacitaciones empresariales.
- Red Team: Equipo dedicado a la ejecución permanente de ataques de pentest controlados. Es utilizado en grandes organizaciones que cuentas con los recursos necesarios para esta clase de pruebas.
- Pruebas de estrés: Pruebas orientadas a determinar cuál es el punto máximo de stress que puede resistir un aplicativo o un servicio. Pueden ser con equipos reales (más costoso) o con equipos simulados.
- Pruebas de efectividad de controles: Estas pruebas corresponden a la evaluación de los controles existentes.
- Pruebas de recuperación de desastres: Si la organización cuenta con un pla de recuperación de desastres, este se debe probar para verificar que realmente funciona. Lo recomendado es que se haga dos veces al año.
- Pruebas de atención (detección) de incidentes: Estas pruebas permiten determinar si los usuarios finales están en la capacidad de detectar y reportar un incidente de ciberseguridad.
- Prueba de concepto (PoC): Corresponde a una prueba mínima o parcial de un servicio o producto que se desea adquirir o poner en producción.
La aplicación de cada una de estos tipos de pruebas depende de cada organización. Recuerde que la superficie de ataque se expande con cada componente tecnológico presente en cada proceso.
La frecuencia con la que aplique las pruebas incidirá directamente en el tiempo medio de detección de vulnerabilidades, el cual corresponde al tiempo que se demora su organización en detectar una vulnerabilidad. A mayor tiempo, mayor riesgo.
No hay comentarios:
Publicar un comentario