Para un mejor entendimiento de las pruebas de seguridad informática que se deben de realizar en la organización, en la industria se dividieron en tres tipos, las pruebas de seguridad que se sugieren se deben de ejecutar al Interior de la organización.
El nombre de cada tipo de pruebas depende de la cantidad de información que se entrega para ejecutar las pruebas. A continuación se describen los tres principales tipos:
Caja negra
El tipo de pruebas caja negra simula el ataque de un perpetrador con sus propios recursos. Cuando las pruebas de tipo caja negra se hacen desde Internet, solo se dispone de información pública. También existen las pruebas internas de tipo caja negra, esto se hace simulando un empleado recién contratado con solamente una conexión a la red interna.
Caja blanca
Para esta clase de pruebas, el consultor tendrá acceso a toda la información disponible. El objetivo es endurecer los controles ya existentes y revisar la posibilidad de probar posibles nuevos ataques. Para el ejemplo de un aplicativo, se evalúan las posibles vulnerabilidades existentes desde el código fuente, pasando por el aplicativo en producción hasta la infraestructura donde está alojado el aplicativo, también debes comprobar el esquema de backups para buscar posibles puntos de quiebre.
Caja gris
Este es el tipo de pruebas más utilizadas, donde la información que se entrega es parcial, tal información pueden ser: direcciones IP, dominios de Internet, nombres de equipos entre otra. Aquí se busca evaluar la seguridad de los equipos sin ofrecer mayor información.
Los tres tipos de pruebas tienen sus ventajas y desventajas, la elección de que clase de pruebas se deben realizar depende de cada organización y de la criticidad de los activos.
El contenido de cada tipo de pruebas depende de cada organización e igualmente de los activos que se quieren evaluar, son como un traje a la medida que se debe ajustar a las necesidades y objetivos de cada organización.
No hay comentarios:
Publicar un comentario