Como determinar el alcance de unas pruebas de seguridad por primera vez.

El principal asunto cuando se desea verificar el estado de la seguridad de la organización por primera vez, es determinar el alcance del proyecto, es decir, elegir a que se le va a hacer pruebas y como se van a hacer.

Lo recomendado inicialmente es contratar una empresa especializada que ayude con esta labor. Antes de empezar algún proyecto, debe tener en cuenta que se deben firmar como mínimo estos tres documentos:

Acuerdo de confidencialidad: Protege la organización de la empresa contratada.

Autorización de trabajo: Se autoriza a la empresa para que ejecute las pruebas con un alcance y tiempo determinado.

Reglas de juego: Definir que esta autorizada y que no esta autorizada a realizar la empresa contratada, quien da las autorizaciones y permisos requeridos.

Antes de contratar una empresa, verifique que cuenta con lo siguiente: experiencia, software licenciado, personal capacitado, estar legalmente constituida y que pueda entregar pólizas de garantía.

A continuación se listarán las pruebas básicas para empezar:

  • Revisión de la arquitectura de la red de la organización: con esto verificará que el diseño de la red es el adecuado para proteger la información digital.

  • Análisis de vulnerabilidades a todos los equipos de la organización: Se necesita identificar vulnerabilidades en todos los equipos. Credenciales.

  • Pentest interno tipo caja negra (sin dar información): Es la forma más recomendada para verificar el punto de vista de un atacante.

  • Pentest caja gris para verificar la seguridad del core del negocio: Se requiere para revisar el estado de los equipos relacionados con la información crítica.

  • Pruebas de ingeniería social aleatorio: En este punto se evaluará si los empleados saben identificar un ataque.

  • Pruebas de verificación de controles: Aquí se evaluará si los equipos y software adquiridos está operando adecuadamente y haciendo el trabajo para el cual se compraron.

Las pruebas de análisis de vulnerabilidades se deben realizar con credenciales, las demás, depende del alcance que les quiera dar. La pruebas también pueden ser de tipo internas (cuando se realizan desde dentro de la organización, esto mide un atacante interno) o pueden ser externas (ver la posición de un atacante externo).

Por lo general, los resultados de las pruebas se entregan en tres documentos:

  • Informe ejecutivo: documento para personal no técnico que requiere entender cuál fue el resultado de las pruebas. Debe contener conclusiones y recomendaciones.

  • Informe técnico: documento para personal técnico que se va a encargar del cierre de las vulnerabilidades halladas. Esto no es el reporte de las herramienta, esto corresponde a la verificación de los resultados por parte de un especialista en seguridad.

  • Plan de remediación: documento técnico con priorización de cierre de vulnerabilidades.

  • Reporte de salida de las herramientas utilizadas: son los datos en crudo entregados por las herramientas utilizadas.

Recuerde que esta clase de pruebas se deben de realizar periódicamente para lo cual lo recomendado es realizar un contrato anual con ejecución mensual de análisis de vulnerabilidades, las demás pruebas, para ejecución de una o dos veces por año, claro esta que esto depende de cada organización. 







No hay comentarios:

Publicar un comentario