La creciente digitalización de las operaciones comerciales crea numerosos puntos de entrada para que los atacantes cibernéticos comprometan sistemas críticos y expongan activos, datos e información de clientes. Las organizaciones también enfrentan una presión incesante por parte de los reguladores y las partes interesadas para cuantificar la efectividad de sus controles de seguridad en sus sistemas y plataformas y proporcionar una hoja de ruta clara de remediación.
Los ejercicios de ethical hacking son una forma efectiva de probar las capacidades de prevención y detección de amenazas cibernéticas, sobre la base de escenarios de ataques cibernéticos extraídos del mundo real.
Para obtener el máximo valor de estos ejercicios, estos deben abordarse como ejercicios programáticos y estratégicos, con la finalidad de brindar información basada en evidencia sobre debilidades antiguas, recurrentes, nuevas y/o emergentes en la infraestructura y aplicaciones de la organización.
El objetivo de desarrollar pruebas de ethical hacking es replicar las técnicas utilizadas por atacantes del mundo real, mediante la ejecución de ejercicios de ataque simulados que evalúan el conjunto de controles de defensa en profundidad implementados por la organización.
Tipos de pruebas de ethical hacking
- Penetration testing: Consiste en el desarrollo de pruebas orientadas a identificar las vulnerabilidades de seguridad que podrían explotar los actores de amenazas del mundo real. Esto comprende entre otras, las siguientes:
- Infraestructura externa: Simulación de tácticas utilizadas por los atacantes para escanear y explotar vulnerabilidades en sistemas ubicados en el perímetro de la organización, así como pruebas de la red interna para escenarios en los que los atacantes ya han vulnerado las defensas externas.
- Infraestructura interna: Cubre las tecnologías y sistemas operativos ubicados en una red interna, bajo el escenario de un atacante con acceso lógico a la misma (por ejemplo, empleados actuales o proveedores).
- Aplicaciones web: Combina pruebas, análisis automatizados y manual de vulnerabilidades en todas las etapas del ciclo de vida del software, cubriendo los riesgos más críticos de seguridad en aplicaciones web, tales como los definidos en el OWASP Top Ten.
- Dispositivos de red: Uso de herramientas automatizadas, verificación manual y entrevistas para evaluar la seguridad de cada dispositivo de red (errores de configuración, software desactualizado, parches de seguridad ausentes, desviaciones frente a buenas prácticas, etc.)
- Ingeniería social: Pruebas destinadas a evaluar el comportamiento de los usuarios de negocio, frente a amenazas cibernéticas, simulando el envío de correos maliciosos (phishing), mensajes SMS (smishing), llamadas (vishing), entre otras.
- Red teaming
- Ayuda a las organizaciones a comprender cómo pueden defenderse contra un ataque cibernético con un objetivo particular en mente, como por ejemplo obtener acceso a una aplicación crítica o robar credenciales privilegiadas, a través de múltiples tácticas y vectores de ataque.
- Un Red Team, está compuesto por expertos en pruebas de penetración e inteligencia de amenazas, que trabajan en colaboración para ofrecer un enfoque holístico a partir ataques que simulan un escenario real.
- Evaluaciones de seguridad en OT e IoT
- Identificar vulnerabilidades de seguridad críticas para el negocio en entornos de Tecnología Operativa (OT) e IoT, tales como sistemas de control industrial (ICS), dispositivos conectados a internet (IoT), vehículos tripulados y autónomos (CAV); a nivel de software, hardware físico y componentes relacionados.
Beneficios Clave
Los ejercicios del ethical hacking facilitan lo siguiente:
- Comprender y comunicar claramente las vulnerabilidades de seguridad de una organización a las partes interesadas clave.
- Informar con respecto a los esfuerzos desarrollados por la organización para cumplir con requisitos regulatorios y estándares normativos (LPDP, Res. SBS 504-2021, ISO 27001, NIST CSF, PCI DSS, entre otras).
- Evaluar las capacidades de la organización para detectar y responder a un ciberataque basado en escenarios del mundo real, en lugar de escenarios teóricos.
- Sustentar la necesidad de realizar inversiones en seguridad al Comité de Dirección, a fin de proteger las iniciativas de transformación digital de la organización.
More from my site
Una transición a la auditoría de la nueva norma de Seguros – El enfoque de aseguramiento proactivo
“Esta coyuntura debe servirnos para reenfocar nuestros esfuerzos y recursos hacia actividades que nos agregan mayor valor”
La cuarta revolución industrial: ¿qué impacto tiene en los negocios?
¿Por qué es importante la gestión de accesos y la segregación de funciones en los procesos de negocio?
¿Cuentan las empresas con políticas formalmente aprobadas para sus operaciones intragrupo?
Empresas familiares y la agenda de sus propietarios