Presidente del CONSEJOSI
Hasta el 2022, no existía un Estándar para Reportar Pruebas de Penetración (ERPP).
Los reportes de pentest se han entregado de acuerdo a formatos diseñados por los prestadores del servicio. Eso ha causado algunos problemas en los clientes que contratan las pruebas de penetración, pero sobre todo, se ha dejado de disfrutar de algunos beneficios.
A continuación te muestro los diez más importantes.
Beneficios para el cliente que contrata una prueba de penetración:
1. Habilita la comparación de los reportes de diversos proveedores
La adopción de un estándar de pruebas de penetración es esencial para garantizar la seguridad de su información y la privacidad de clientes, proveedores y colaboradores. Por otra parte, al comparar informes de diversos prestadores del servicio, se obtiene una visión clara y objetiva sobre la seguridad de su empresa. Esto permite además identificar tendencias y patrones en la seguridad de su industria.
2. Facilita la interpretación de los resultados
La interpretación de los resultados se mejora cuando los reportes se apegan a un estándar. Con un formato uniforme, quienes reciben la información tanto para ejecutar el plan de acción como los tomadores de decisión que inciden en el programa de ciberseguridad, llegan a dominar la información. Además, los expertos pueden interpretar los resultados de manera consistente, lo que garantiza una evaluación precisa y confiable por todas las partes.
3. Comunica de manera clara y concisa los resultados a la Alta Dirección
Uno de los principales beneficiarios del Estándar para Reportar Pruebas de Penetración es sin duda la Alta Dirección. El estándar ofrece una vista que se diseñó específicamente para esta audiencia. Esto les permitirá tomar decisiones informadas sobre la seguridad de la información y la privacidad. Además, se facilita la toma de decisiones sobre la asignación de recursos y la priorización de las iniciativas de seguridad.
4. Empodera a quienes solicitan este servicio por primera vez
La implementación de un estándar para la realización de pruebas de penetración permite a aquellos que solicitan este servicio por primera vez tener un marco bajo el cual hacer la solicitud y comparar la entrega de los resultados, sin la necesidad de ser expertos en el tema. Además, esto les brinda una mayor confianza y seguridad en el proceso de contratación, permitiéndoles conocer de antemano qué esperar y qué aspectos deben revisar en los resultados obtenidos.
5. El estándar ofrece una vista para compartir con terceras partes
En la medida en que el panorama de amenazas se ha vuelto más hostil, crece la preocupación por asegurar la cadena de suministro. Motivados por lo anterior, cada vez es más frecuente que se solicite información sobre las pruebas de penetración a los socios de negocio. Para quienes deben entregar la información, el estándar les facilita entregar un sólo reporte a todos sus socios de negocio y entidades reguladoras, entre otros. Quienes reciben la información, podrán gestionarla mejor al obtenerla en un formato estándar, normalizada y lista para integrar en una base de datos.
6. Contribuye a la gestión del riesgo de proveedores
El uso de un estándar para las pruebas de penetración permite a las empresas obtener información estandarizada de todos sus proveedores, lo que a su vez les brinda una mayor visibilidad sobre los riesgos asociados con cada uno de ellos. Esto permite una gestión más efectiva y proactiva de dichos riesgos, lo que a su vez contribuye a la protección de los activos y la continuidad del negocio.
7. Guía para emitir el reporte
El Estándar para Reportar Pruebas de Penetración viene acompañado de una Guía para la Elaboración del Reporte Estándar de Pruebas de Penetración. Actualmente, en ausencia del estándar, no existe tal guía. Por lo tanto, la calidad y los conceptos incluidos en un reporte pueden variar significativamente entre dos prestadores del servicio. La guía incluye detalles específicos sobre los datos que deben incluirse en el reporte, los formatos que deben usarse y las especificaciones para la presentación de la información. De esta manera, los usuarios pueden estar seguros de que están recibiendo toda la información completa y bajo un estándar que asegure un nivel satisfactorio de calidad.
Beneficios para el prestador del servicio:
8. Optimización del tiempo de elaboración del reporte
Las empresas y consultores que realizan las pruebas de penetración también resultan beneficiados. De inicio, el estándar les ofrece la certeza de estar entregando un reporte de calidad a sus clientes. Además, se pueden reducir los esfuerzos manuales, lo que permite a los consultores enfocarse en los aspectos críticos de las pruebas de penetración y de la generación de informes.
9. Colaboración con otras empresas prestadoras de este servicio
El Estándar para Reportar Pruebas de Penetración permite una colaboración efectiva entre las diversas empresas prestadoras de este servicio. Al utilizar un formato estandarizado, se facilita la comparabilidad de los reportes y la capacidad de trabajar juntos en proyectos complejos. Esto se traduce en una ventaja para los clientes al poder aprovechar la experiencia y el conocimiento de una amplia gama de expertos en la industria.
10. Automatización de los reportes
Eventualmente, se desarrollarán herramientas automatizadas para la generación de las vistas que especifica el estándar. La existencia de un estándar hace viable que se ofrezcan tales soluciones al garantizar que los clientes del servicio aceptarán los formatos en los que se emiten los reportes. Evidentemente, esto representa un aumento en la productividad y velocidad, pero también en la calidad, al evitar errores u omisiones.
Finalmente, es importante señalar varios aspectos que no forman parte del alcance del estándar:
1. El ERPP solamente estandariza la entrega de las vistas de la información que se incluyen en un reporte de pruebas de penetración: El Resumen Técnico, el Plan de Acción, la Vista para la Alta Dirección y la Vista para Terceras Partes. No estandariza el proceso mediante el cual el consultor o prestador de servicios realiza este ejercicio.
2. Derivado de lo anterior, los prestadores del servicio se encuentran en la completa libertad de incorporar otras secciones al reporte, además de las vistas que exige el estándar. Algunos ejemplos de estas secciones opcionales pueden ser:
a. Resumen Ejecutivo
b. Crónica de los ataques exitosos
c. Pruebas realizadas
d. Hallazgos de bajo riesgo
e. Conclusiones y recomendaciones
Cinco siglos de experiencia es lo que nos separa a los profesionales de la seguridad de la información y ciberseguridad de los contadores. Con este estándar pretendemos que los reportes de las pruebas de penetración lleguen a tener el mismo nivel de estandarización que hoy observamos en los estados financieros más comunes: el balance general y el estado de resultados.
Sólo esperamos que no nos tome 500 años llegar ahí.
