Auditoria Pentesting en la empresa-Noatica Programadores Informaticos

¿Qué es la Auditoría Pentesting en la empresa?

 

Pentesting es también conocido como test de intrusión. Es un test de seguridad que realiza un perito informático o auditor de seguridad y consiste en atacar diversos entornos informáticos de la empresa, con la intención de descubrir fallos, vulnerabilidades u otros problemas de seguridad, para así poder prevenir ataques externos hacia esos equipos o sistemas.

Estos test están diseñados para clasificar y determinar la repercusión de los posibles fallos de seguridad. Además de ofrecer datos de las posibilidades de éxito de un ataque al sistema.

Existen 3 tipos de Pentesting :

  • Prueba de Penetración de Caja Negra:

Los analistas de seguridad no tienen conocimiento del funcionamiento interno del sistema. Trabaja con la información que puede conseguir por sus propios medios, igual que lo podría hacer un ciberdelincuente.

  • Prueba de Penetración de Caja Blanca:

En este tipo de pruebas los pentesters o peritos informáticos tienen total conocimiento del funcionamiento interno del sistema. Trabaja con información que puede tener acceso uno o varios empleados dentro de la organización. Es el pentesting más completo ya que parte de un análisis integral que evalúa toda la estructura de red.

  • Prueba de Penetración de Caja Gris:

Los analistas de seguridad o peritos informáticos pueden tener conocimiento sobre algunos aspectos aunque no de todos, y se necesita más tiempo para identificar vulnerabilidades.

Fases del pentesting

Una vez determinado el tipo de prueba toca elegir el método. La elección se basa en las necesidades o requerimientos de la empresa.

Algunos de estos métodos son:

  • ISSAF (Information Systems Security Assessment Framework): organiza la información alrededor de los criterios de evaluación, escritos y revisados por expertos.
  • PCI DSS (Payment Card Industry Data Security Standard): este método fue desarrollado por las compañías de tarjetas de débito y de crédito más importantes y sirve como guía para las organizaciones que procesan, almacenan y transmiten datos de los titulares de las tarjetas.
  • PTES (Penetration Testing Execution Standard): es puesto en práctica por muchos profesionales altamente reconocidos del sector, además de ser un modelo a seguir en libros de aprendizaje asociados al pentesting.
  • OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad) Es uno de los primeros acercamientos a una estructura global de concepto de seguridad. Este modelo es referente en instituciones que precisan de un pentesting de calidad, ordenado y eficiente.

Contacte con NOÁTICA – Programadores y Servicios Informáticos

Somos expertos en mantenimiento informático, outsourcing informático, la virtualización de servidores, seguridad informática, programación y desarrollo de software a medida para empresas. Nuestros programadores informáticos trabajan con una larga lista de lenguajes de programación y entornos de desarrollo.

Para cualquier consulta, no dude en ponerse contacto a través del formulario de contacto de nuestra página Webestaremos encantados de atenderle.