Cinco datos a tener en cuenta cuando vas a contratar pruebas de seguridad.

En este post aprenderás cinco datos que debes tener en cuenta cuando vas a contratar pruebas de seguridad informática.  

Dato #1: ¿Qué hacer?

Lo primero que debes definir es que clase de pruebas deseas contratar, para ello debes tener claro, para qué sirve cada una de ellas. Empecemos por la más básica:

• Pruebas de análisis de vulnerabilidades: consiste en verificar si existen vulnerabilidades conocidas en los equipos que se van a realizar las pruebas. Son automatizadas y se requiere de un software comercial como Nessus Professional para realizar el trabajo. Costo bajo.
• Hacking o pentest: Pruebas manuales realizadas por un consultor especializado en la plataforma que se va a probar. Debes verificar la experiencia de los consultores debido a que de ello depende la calidad de las pruebas. Costo alto.

Con esto, lo recomendado es que realices pruebas de vulnerabilidades a todos los equipos y pruebas de hacking o pentest a los equipos críticos. 

Dato #2: ¿A qué se le debe hacer?

Una vez definida que clase de pruebas quieres realizar debes definir a que le quieres hacer pruebas, debes tener contemplado: servidores, estaciones de trabajo, equipos de red, aplicaciones, bases de datos y servicios en la nube. 

Debes tener presente que un atacante podrá atacar a cualquier equipo conectado a la red y una vez comprometido este equipo desde allí podrá lanzar ataques a equipos internos con mayor facilidad.

Dato #3: ¿Desde dónde?

Ten en cuenta que más del 50% de los ataques son internos, por lo que debes verificar la seguridad tanto en equipos expuestos hacia Internet como a equipos que ofrezcan servicios internos, adicionalmente, si tienes servicios en la nube, también deberás verificar la seguridad, ya que estos servicios se comportan como un centro de datos alterno.  

Dato #4: ¿Cómo?

Existen dos tipos de análisis de vulnerabilidades, el primero de ellos es "pruebas con credenciales", te dice que vulnerabilidades tienes y como debes solucionarlas, el segundo es "pruebas sin credenciales" te da el punto de vista de las vulnerabilidades que puede ver un atacante que aún no las ha obtenido.  Te recomiendo realizar siempre análisis de vulnerabilidades con credenciales, esto te permitirá saber realmente el estado en que te encuentras. 

Dato #5: ¿Cuándo?

Esto corresponde a la frecuencia de las pruebas, te recomiendo en este caso el realizar análisis de vulnerabilidades de forma frecuente, mínimo una vez al mes y pruebas de hacking o pentest tres veces al año, obviamente si tienes una plataforma crítica, las pruebas se deberán hacer con más frecuencia. 

Datos adicionales: 

• Solicita la hoja de vida de los consultores y verifica sus antecedentes. 
• Define claramente el no permitir escanear/atacar equipos fuera de alcance. 
• Tanto la empresa contratada como los consultores asignados, deberán contar con experiencia certificada, hardware y software licenciados. 
• Incluye dentro de los entregables informes ejecutivo, informe técnico, plan de remediación y los reportes del software utilizado. 

Los lineamientos contenidos en este post son en general lo que debes tener en cuanta para contratar las pruebas de seguridad informática, ten en cuenta que debes hacer los ajustes necesarios de acuerdo con el sector de tu organización. 

El siguiente paso es que definas un "plan de pruebas de seguridad" donde realices este trabajo de forma periódica de tal forma que puedas llevar un histórico del comportamiento de la ciberseguridad en tu organización. 

Ponte en contacto conmigo si deseas mayor información acerca de este tema.