¿Qué es la Auditoría Pentesting en la empresa?
Pentesting es también conocido como test de intrusión. Es un test de seguridad que realiza un perito informático o auditor de seguridad y consiste en atacar diversos entornos informáticos de la empresa, con la intención de descubrir fallos, vulnerabilidades u otros problemas de seguridad, para así poder prevenir ataques externos hacia esos equipos o sistemas.
Estos test están diseñados para clasificar y determinar la repercusión de los posibles fallos de seguridad. Además de ofrecer datos de las posibilidades de éxito de un ataque al sistema.
Existen 3 tipos de Pentesting :
- Prueba de Penetración de Caja Negra:
Los analistas de seguridad no tienen conocimiento del funcionamiento interno del sistema. Trabaja con la información que puede conseguir por sus propios medios, igual que lo podría hacer un ciberdelincuente.
- Prueba de Penetración de Caja Blanca:
En este tipo de pruebas los pentesters o peritos informáticos tienen total conocimiento del funcionamiento interno del sistema. Trabaja con información que puede tener acceso uno o varios empleados dentro de la organización. Es el pentesting más completo ya que parte de un análisis integral que evalúa toda la estructura de red.
- Prueba de Penetración de Caja Gris:
Los analistas de seguridad o peritos informáticos pueden tener conocimiento sobre algunos aspectos aunque no de todos, y se necesita más tiempo para identificar vulnerabilidades.
Fases del pentesting
Una vez determinado el tipo de prueba toca elegir el método. La elección se basa en las necesidades o requerimientos de la empresa.
Algunos de estos métodos son:
- ISSAF (Information Systems Security Assessment Framework): organiza la información alrededor de los criterios de evaluación, escritos y revisados por expertos.
- PCI DSS (Payment Card Industry Data Security Standard): este método fue desarrollado por las compañías de tarjetas de débito y de crédito más importantes y sirve como guía para las organizaciones que procesan, almacenan y transmiten datos de los titulares de las tarjetas.
- PTES (Penetration Testing Execution Standard): es puesto en práctica por muchos profesionales altamente reconocidos del sector, además de ser un modelo a seguir en libros de aprendizaje asociados al pentesting.
- OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad) Es uno de los primeros acercamientos a una estructura global de concepto de seguridad. Este modelo es referente en instituciones que precisan de un pentesting de calidad, ordenado y eficiente.
Contacte con NOÁTICA – Programadores y Servicios Informáticos
Somos expertos en mantenimiento informático, outsourcing informático, la virtualización de servidores, seguridad informática, programación y desarrollo de software a medida para empresas. Nuestros programadores informáticos trabajan con una larga lista de lenguajes de programación y entornos de desarrollo.
Para cualquier consulta, no dude en ponerse contacto a través del formulario de contacto de nuestra página Web, estaremos encantados de atenderle.