Presidente del CONSEJOSI
La gestión de riesgos de terceros es actualmente una preocupación de cualquier organización, especialmente en el mundo de la ciberseguridad. En un mundo cada vez más conectado, las organizaciones han visto cómo aumenta el riesgo de exposición a amenazas externas.
Una forma de mejorar la gestión de riesgos de terceros es mediante la prueba de penetración. En este artículo, explicaremos cómo utilizar los pentests para mejorar la gestión de riesgos de terceros.
¿Qué es la prueba de penetración?
El pentest es una simulación de un ataque que permite conocer las vulnerabilidades explotables de una red, aplicación, sitio web o cualquier otro activo informático dentro de un alcance determinado, sin causarle daño al cliente.
Si deseas conocer más, te recomendamos el siguiente artículo: ¿Qué es un Pentest o Prueba de Penetración y de qué sirve?
¿Por qué utilizar la prueba de penetración para mejorar la gestión de riesgos de terceros?
La prueba de penetración es una herramienta valiosa para mejorar la gestión de riesgos de terceros por varias razones.
1. Porque contribuye a identificar las vulnerabilidades y debilidades en los sistemas de terceros que interactúan con su organización.
2. La prueba de penetración puede ayudar a evaluar la efectividad de las medidas de seguridad implementadas por terceros.
3. Lo anterior puede ayudar a evaluar si un tercero está cumpliendo con los requerimientos de seguridad y a partir de eso tomar decisiones informadas sobre si trabajar o no con el proveedor.
¿Qué marcos, estándares, reglas y regulaciones requieren una prueba de penetración?
Hay varios marcos, estándares, reglas y regulaciones que requieren una prueba de penetración. Algunos de los más importantes son:
PCI DSS. Estándar de seguridad de datos de la industria de tarjetas de pago
El PCI DSS es un estándar de seguridad para cualquier entidad que procesa, transmite o almacena datos de tarjetas de pago. El PCI DSS requiere que las entidades realicen pruebas de penetración al menos una vez al año o después de cualquier cambio importante en la infraestructura de la red.
Norma ISO 27001
La norma ISO 27001 es un estándar de seguridad de la información que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). La norma ISO 27001 requiere que las organizaciones realicen evaluaciones regulares de riesgos y pruebas de penetración para evaluar la efectividad del SGSI.
Norma ISO 9001
La norma ISO 9001 es un estándar de gestión de calidad que establece los requisitos para un sistema de gestión de calidad (SGC). Aún cuando el ISO 9001 no especifica explícitamente las pruebas de penetración, estas pueden ser un instrumento eficaz para el cumplimiento de este requerimiento.
Regulación general de protección de datos (RGPD)
La RGPD, o European Union General Data Protection Regulation (GDPR) en Inglés, es una regulación de la Unión Europea que establece los requisitos para la protección de datos personales. La RGPD requiere que las organizaciones tomen medidas técnicas y organizativas para garantizar la seguridad de los datos personales. La prueba de penetración es una de estas medidas.
Marco de ciberseguridad de NIST
Es un marco de ciberseguridad que establece los requisitos para la gestión de riesgos de seguridad de la información. El marco NIST requiere que las organizaciones realicen evaluaciones regulares de riesgos y pruebas de penetración para evaluar la efectividad del marco. Inclusive, ha publicado una guía técnica al respecto: El documento SP 800-115 “Technical Guide to Information Security Testing and Assessment”.
Estos son solo algunos de los más importantes, pero si deseas una lista más completa, te recomendamos el siguiente artículo: Estándares que Requieren las Pruebas de Penetración.
Conclusión
En conclusión, el pentest es una herramienta valiosa para mejorar la gestión de riesgos de terceros. Cuando realizan pruebas de penetración en sus sistemas, sobre todo en aquellos que interactúan con su organización, se puede obtener una valoración más acertada del riesgo que representa para su organización.
