Presidente del CONSEJOSI
El pentest, o prueba de penetración, es una técnica comúnmente utilizada en el mundo de la ciberseguridad para evaluar la seguridad de un sistema informático.
A través de esta técnica, se busca identificar vulnerabilidades en el sistema que podrían ser explotadas por hackers en incluso empleados malintencionados. En este artículo, exploramos cómo el pentest puede ser utilizado para mejorar la estrategia de ciberseguridad de una organización.
Una de las principales ventajas del pentest es que identifica las vulnerabilidades explotables en los sistemas. Esto permite a la organización remediar las vulnerabilidades y así asegurar los sistemas antes de que un atacante tenga la oportunidad de explotarlas. Tomando en consideración que un hallazgo en una prueba de penetración es en sí la materialización de un riesgo, el resultado de este ejercicio es un insumo importante para la creación o actualización de una estrategia de ciberseguridad.
Otra forma en que el pentest puede mejorar la estrategia de ciberseguridad de una organización es mediante la identificación de áreas que necesitan mejoras. A menudo, los pentesters descubren que ciertas áreas del sistema son más vulnerables que otras. Esto puede deberse a la falta de actualizaciones de software, configuraciones inadecuadas, o a la falta de capacitación en seguridad para los usuarios. Al identificar las causas raíz de los hallazgos, la organización puede enfocarse en los procesos, prácticas e iniciativas que robustecen su estrategia de ciberseguridad.
El pentest también puede ayudar a las organizaciones a mejorar su capacidad de respuesta ante incidentes de seguridad. Si consideramos que el pentest es la simulación de un ataque, es posible evaluar también cómo el sistema de seguridad responde. ¿Qué podemos deducir si el personal de ciberseguridad no detecta una intrusión? Hay varias causas probables:
1. No se cuenta con herramientas que ofrezcan visibilidad de los eventos o comportamientos anómalos en la red.
2. Falta preparación de los especialistas que monitorean las herramientas implementadas.
3. La combinación de solución tecnológica de monitoreo y habilidades de los especialistas es inferior al nivel de sofisticación actual de los ataques.
Que una prueba de penetración exhiba el desempeño deficiente en la detección de intrusiones es una fuerte señal de que debe fortalecerse la estrategia de ciberseguridad en este aspecto. Ante el hostil panorama de amenazas actual, es preciso mejorar la capacidad de respuesta a incidentes de las organizaciones y reducir el tiempo de inactividad en caso de un ataque.
Además, el pentest puede ser una herramienta efectiva para evaluar la efectividad de las políticas de seguridad de una organización. Las políticas de seguridad pueden incluir políticas de contraseñas, políticas de acceso, políticas de actualización de software, entre otras. Al realizar una prueba de penetración, se puede evidenciar el incumplimiento y la organización puede tomar medidas para mejorar.
El pentest es también útil cuando los proveedores y otros terceros lo ejecutan y comparten los resultados con las partes interesadas. Esto permite gestionar con mayor objetividad el riesgo de terceros. Para lograr este objetivo de manera productiva es preciso que los terceros con los que se va a compartir información la presenten conforme el Estándar para Reportar Pruebas de Penetración. Además, consulta el siguiente artículo si deseas conocer mejor las razones para integrar los resultados del pentest en la gestión de riesgos de terceros: Mejora con el Pentest la Gestión de Riesgos de Terceros. Esto es un elemento primordial de una estrategia de ciberseguridad actual.
Finalmente, algunos puntos importantes a considerar:
1. Para obtener los mejores resultados, se recomienda realizar el pentest con regularidad, generalmente cada año, para probar si la organización está preparada para enfrentar las últimas amenazas.
2. El pentest debe ser llevado a cabo por especialistas en ciberseguridad experimentados, calificados y preferentemente, certificados. Existen dos riesgos si se contratan inexpertos: Primero, es posible que no se identifiquen todas las vulnerabilidades explotables de alto y medio impacto por no haber desarrollado aún las habilidades avanzadas que se requieren. Segundo, es posible que durante su trabajo realicen alguna acción que afecte la operación de los sistemas, causando problemas y potencialmente daños a los usuarios y la organización.
En conclusión
El pentest es una técnica efectiva para mejorar la estrategia de ciberseguridad de una organización. Permite identificar vulnerabilidades, áreas de mejora, evaluar la efectividad de las políticas de seguridad, mejorar la capacidad de respuesta ante incidentes y gestionar mejor el riesgo de terceros. Al utilizar el pentest de manera adecuada, las organizaciones pueden mejorar significativamente su postura de seguridad y proteger sus activos críticos de la información contra las amenazas de ciberseguridad en constante evolución.