Probar vía pentest si los sistemas pueden ser penetrados por alguna vulnerabilidad.
Con tantas herramientas en Internet atacar a una organización puede ser algo simple para penetrar sus activos de información y ocasionar daños legales, económicos y de imagen.
¿Se ha preguntado si los sistemas de su organización han sido atacados? No sólo las organizaciones bancarias o financieras sufren ataques. Todas las organizaciones tienen el riesgo de ser atacadas, penetradas, a veces para robar información, otras para atacar a otras organizaciones.
Preguntarse si la organización ha sido atacada es bueno pero queda en sólo una pregunta, muchas veces sin respuesta o ésta imprecisa. Se asume que el firewall y otras soluciones de seguridad están funcionando para proteger a los sistemas. La mejor manera de responder a la pregunta es realizando una prueba de seguridad a los sistemas de la organización.
La prueba de seguridad consiste en probar que las medidas de seguridad son las adecuadas para proteger la confidencialidad, integridad y disponibilidad de la información. Y probar no sólo a nivel de hardware y software, configuraciones, gestión de usuarios y contraseñas, vulnerabilidades, entre otras, sino también al nivel del punto más débil de la organización: el factor humano.
De las pruebas a realizar, sin duda el pentest o prueba de penetración es de las más importantes, ya que, como su nombre lo indica, se trata de probar si la organización puede ser penetrada aprovechando alguna vulnerabilidad, sea técnica o humana. La prueba de penetración debe ser realizada periódicamente de tal modo que permita a la organización estar segura de que su red y aplicaciones son seguras.
Sin embargo, realizar una prueba de penetración es algo que los directivos de la organización usualmente no están convencidos en autorizar. Muchas veces los administradores de sistemas ni inician el esfuerzo para proponer la prueba de penetración ya que anteponen dicha percepción.
Una alternativa es sensibilizar a los directivos sobre los riesgos de seguridad existentes en la tecnología y el uso cotidiano de los servicios de Internet -no sólo navegar en la web, sino también el usar el correo electrónico, la comunicación entre los equipos, las conexiones remotas, las transferencias de archivos, entre muchas-, que implican vulnerabilidades -software no actualizado, contraseñas débiles, configuraciones inadecuadas, aplicaciones inseguras, sitios web codificados sin seguridad- susceptibles de ser explotados por atacantes que buscan penetrar a los sistemas para robar información, datos personales y financieros, o secuestrar los equipos para ataques dirigidos a otras organizaciones.
La prueba de penetración debe resultar en un informe sobre los intentos y acciones realizados para penetrar a los sistemas vía la explotación de las vulnerabilides que resulten de su análisis. Importante es considerar que no es necesario que existan miles de vulnerabilidades para penetrar, una sola vulnerabilidad puede ser más que suficiente para penetrar.
Realizar una prueba de penetración sin remediar las vulnerabilidades descubiertas es tirar el dinero. El resultado de la prueba de penetración debe resultar, a su vez, en la implementación de las remediaciones de las vulnerabilidades identificadas para asegurar que los huecos de seguridad sean cerrados o al menos mitigado el riesgo que representan. Al realizar el pentest en la periodicidad establecida sus resultados confirmarán la efectividad de las remediaciones implementadas y de mejorarlas de ser el caso.