5 recomendaciones para elegir un equipo de pentesting

Las pruebas de penetración (pentesting) combinan el uso de herramientas automáticas y procedimientos manuales por parte de hackers éticos para identificar vulnerabilidades en los sistemas, verificar capacidad de respuesta a los ataques, y brindar mayor seguridad a las empresas.

Se prevé que el gasto mundial en tecnología y servicios de seguridad de la información y gestión de riesgos crezca un 12,4% hasta alcanzar los 150.400 millones de dólares este año, de acuerdo con la Encuesta 2021 de Gartner a CIOs.

Las organizaciones están viviendo un acelerado proceso de transformación digital, y los ciberdelincuentes están utilizando cada vez ataques más sofisticados para acceder a redes empresariales. Es por esto que para Fluid Attacks, compañía de seguridad de sistemas informáticos, una manera de garantizar la evaluación eficaz de la seguridad en una organización es implementar las mismas herramientas y procedimientos empleados por los atacantes en el mundo real, a través de la realización de pruebas de penetración o pentesting.

Para Felipe Gómez, LATAM Manager de Fluid Attacks, “Hoy en día, hackers malintencionados han revitalizado y optimizado diferentes tipos de técnicas para el robo de información sensible. Ante esto, es fundamental que toda organización sepa elegir su proveedor de pentesting, un tipo de evaluación de seguridad en la que se simulan ataques reales para detectar los puntos vulnerables que los ciberdelincuentes podrían aprovechar en un determinado entorno”.

A continuación, se ofrecen cinco puntos claves que se deben tener en consideración al momento de elegir un equipo de pentesting adecuado.

• Poseer un equipo capacitado: Es importante contar con un grupo de trabajo (no con un solo individuo encargado de las pruebas) que posea miembros con certificaciones profesionales reconocidas por la industria, tales como CEH, CRTE, OSCE, OSCP, OSWE y OSWP. Estas certificaciones pueden generar cierta confianza respecto a las capacidades de los pentesters, sin embargo, es prudente también solicitar acceso a los repositorios y publicaciones del equipo para poder ser testigos de sus contribuciones a la comunidad de ciberseguridad. Los analistas que evalúen los sistemas de una organización deben ser curiosos y creativos (ver lo que los cibercriminales pueden ver), contar con la capacidad de hallar vulnerabilidades desconocidas o de día cero (i.e., no incluidas dentro de las herramientas), y además tener un interés permanente en aprender sobre nuevas técnicas y ambientes en los cuales simular ataques.

• Mantener procesos estandarizados y personalizados: El equipo de pentesting debe seguir y permitir el cumplimiento de estándares de seguridad como PCI DSS, HIPAA, GDPR y NIST, además de aquellos que se ajusten a las necesidades de sus clientes. Es vital asegurarse de que el proveedor cuente con experiencia en evaluación de esa tecnología con la que la empresa cliente trabaja (e.g., redes, aplicaciones web y móviles, APIs) y dentro de diversidad de industrias, incluyendo, por supuesto, a la que el cliente pertenece.

• Garantizar la seguridad de la información: Para cada proyecto, debe establecerse un acuerdo documentado de confidencialidad y seguridad de los datos. El proveedor de la solución debe revelar en detalle quiénes serán los encargados del manejo de la información, cuál será su metodología, y qué registros se mantendrán en las pruebas. Adicionalmente, el equipo debe reportar los resultados solo a las personas con acceso autorizado por el cliente.

• Saber manejar y presentar los datos derivados del análisis: El equipo de pentesting, con sus herramientas, debe organizar informes detallados y priorizar los hallazgos según los riesgos que representen, permitiendo así ahorrar dolores de cabeza administrativos a sus clientes. Los reportes deben ser comprensibles y servir de soporte para los equipos de desarrollo encargados de las estrategias y procesos de remediación. En este punto es fundamental solicitar, revisar y comparar los informes de prueba de diferentes proveedores.

• Tener una mentalidad colectiva: Los miembros de estos grupos de evaluación deben ser formados para que más allá de compartir un contenido internamente, amplíen el conocimiento y lo transmitan a otros fuera de los límites empresariales, contribuyendo así a una comunidad comprometida con la ciberseguridad.

Entre los objetivos de las pruebas de penetración está verificar bajo situaciones controladas cuál es el comportamiento específico de los mecanismos de defensa de una empresa, en los que se busca detectar vulnerabilidades. Además, se pretende identificar las faltas de controles de seguridad y posibles brechas de información crítica existentes. Por otra parte, se obtienen mayores beneficios si estas pruebas se realizan con una metodología continua, donde se prueban los sistemas desde que empieza su construcción y a medida que evolucionan.

Según informó recientemente Gartner en su Encuesta 2021 a CIOs (Chief Information Officers; su significado en inglés), la ciberseguridad fue la principal prioridad de gasto para los casi 2.000 CIOs encuestados, entre los cuales un 61% está aumentando la inversión en seguridad de la información para este año. La consultora señaló a su vez que el gasto mundial en tecnología y servicios de ciberseguridad y gestión de riesgos crecerá un 12,4% hasta alcanzar los 150.400 millones de dólares.

“Seleccionar un proveedor de pruebas de penetración competente no es tarea fácil, y más cuando las opciones abundan dentro del mercado. Sin embargo, esto es ideal para llevar a cabo evaluaciones y poder detectar vulnerabilidades en los sistemas, para que sean remediadas y se conserve la buena salud de las organizaciones. En Fluid Attacks, empleamos herramientas automatizadas, pero superamos sus debilidades mediante el esfuerzo manual de nuestros hackers éticos, quienes, en grupos cuantiosos, nos permiten garantizar hallazgos rápidos y precisos”, concluye el ejecutivo de Fluid Attacks.