Test de seguridad Informática
Páginas: 9 (2060 palabras)
Publicado: 8 de mayo de 2013
¿Por qué realizar un test de seguridad?
Hay varias razones para realizar un “penetration test” (también conocido como hacking ético). Una de las razones principales es encontrar vulnerabilidades de seguridad y corregirlas antes que sean encontradas por un atacante. Algunas veces el departamento de Tecnología de Información está al tanto de las vulnerabilidades reportadas en Internet peronecesitan un experto externo que reporte oficialmente cuales los afectan para que el nivel gerencial apruebe los recursos necesarios para corregirlas. Tener un segundo par de ojos verificando los sistemas computarizados críticos es una buena práctica de seguridad. Testear los sistemas nuevos antes que sean puestos online es también una buena idea. Otra razón para realizar un penetration test esbrindarle al departamento de TI de la empresa una oportunidad para responder a un ataque. El “Payment Card Industry (PCI) Data Security Standard” y otras recomendaciones y regulaciones recientes de seguridad requieren que se realice un test de seguridad externo.
Encontrar los problemas ahora antes que lo haga alguien mas
En cualquier momento dado los atacantes emplean una cantidad de herramientasautomáticas y ataques a través de la red para encontrar formas de penetrar la seguridad de los sistemas. Solo unos pocos de esos atacantes tiene acceso a ataques “0-day” (recientemente descubiertos, para los que no existen parches de seguridad), la mayoría utilizará ataques bien conocidos (que por lo tanto podrían prevenirse). El “penetration test” provee a la gerencia de TI el estado de sus redesdesde un punto de vista malicioso. El objetivo es que el consultor encuentre vías de acceso a la red para que las mismas sean solucionadas antes que alguien con intenciones menos honorables descubra los mismos problemas.
En cierta forma, se puede pensar en el “penetration test” como en el examen médico anual. Aún cuando Ud. considere que está saludable, el médico realizará una serie de tests(algunos viejos y otros nuevos) para detectar los peligros que aún no han desarrollado síntomas.
Informar problemas a la gerencia
Si un Oficial de Seguridad ya le ha indicado a la gerencia la falta de seguridad en el entorno, los resultados de un “penetration test” ayudarán a justificar los recursos necesarios para corregir los problemas.
En ocasiones el equipo interno de redes está al tanto de lasdebilidades en la seguridad de sus sistemas pero encuentran problemas en obtener el soporte gerencial necesario para realizar los cambios correctivos. Realizando los testeos correspondientes por un grupo consultor externo con la debida reputación y experiencia en seguridad, la gerencia tenderá a brindar mayor consideración a las necesidades. Aún más, el consultor externo no tiene un interésparticular en los resultados, mientras que dentro de una organización de cualquier tamaño pueden existir diferencias políticas y limitación de recursos. Los administradores y técnicos de sistemas siempre solicitan que se incremente su presupuesto para nuevas tecnologías, al utilizar los servicios de un tercero independiente para verificar las necesidades la gerencia tendrá una justificación adicionalpara aprobar o denegar la inversión de dinero en tecnología de seguridad. En forma similar, los administradores de sistemas que conocen los intrincados detalles del entorno suelen estar al tanto de las formas en las cuales un atacante podría comprometer la seguridad del mismo, por esto no es inusual que la gerencia asuma que sin ese conocimiento un atacante no podrá ganar acceso no autorizado.Utilizando los servicios de un tercero que opera sin conocimiento de la red y sistemas internos los consultores podrá identificar las mismas vulnerabilidades y convencer a la gerencia sobre los puntos que necesitan resolverse. El equipo de “penetration test” también podrá demostrar que los vectores de ataque existen mientras que el personal interno de redes solo “sabía” que el problema estaba allí,...
Hay varias razones para realizar un “penetration test” (también conocido como hacking ético). Una de las razones principales es encontrar vulnerabilidades de seguridad y corregirlas antes que sean encontradas por un atacante. Algunas veces el departamento de Tecnología de Información está al tanto de las vulnerabilidades reportadas en Internet peronecesitan un experto externo que reporte oficialmente cuales los afectan para que el nivel gerencial apruebe los recursos necesarios para corregirlas. Tener un segundo par de ojos verificando los sistemas computarizados críticos es una buena práctica de seguridad. Testear los sistemas nuevos antes que sean puestos online es también una buena idea. Otra razón para realizar un penetration test esbrindarle al departamento de TI de la empresa una oportunidad para responder a un ataque. El “Payment Card Industry (PCI) Data Security Standard” y otras recomendaciones y regulaciones recientes de seguridad requieren que se realice un test de seguridad externo.
Encontrar los problemas ahora antes que lo haga alguien mas
En cualquier momento dado los atacantes emplean una cantidad de herramientasautomáticas y ataques a través de la red para encontrar formas de penetrar la seguridad de los sistemas. Solo unos pocos de esos atacantes tiene acceso a ataques “0-day” (recientemente descubiertos, para los que no existen parches de seguridad), la mayoría utilizará ataques bien conocidos (que por lo tanto podrían prevenirse). El “penetration test” provee a la gerencia de TI el estado de sus redesdesde un punto de vista malicioso. El objetivo es que el consultor encuentre vías de acceso a la red para que las mismas sean solucionadas antes que alguien con intenciones menos honorables descubra los mismos problemas.
En cierta forma, se puede pensar en el “penetration test” como en el examen médico anual. Aún cuando Ud. considere que está saludable, el médico realizará una serie de tests(algunos viejos y otros nuevos) para detectar los peligros que aún no han desarrollado síntomas.
Informar problemas a la gerencia
Si un Oficial de Seguridad ya le ha indicado a la gerencia la falta de seguridad en el entorno, los resultados de un “penetration test” ayudarán a justificar los recursos necesarios para corregir los problemas.
En ocasiones el equipo interno de redes está al tanto de lasdebilidades en la seguridad de sus sistemas pero encuentran problemas en obtener el soporte gerencial necesario para realizar los cambios correctivos. Realizando los testeos correspondientes por un grupo consultor externo con la debida reputación y experiencia en seguridad, la gerencia tenderá a brindar mayor consideración a las necesidades. Aún más, el consultor externo no tiene un interésparticular en los resultados, mientras que dentro de una organización de cualquier tamaño pueden existir diferencias políticas y limitación de recursos. Los administradores y técnicos de sistemas siempre solicitan que se incremente su presupuesto para nuevas tecnologías, al utilizar los servicios de un tercero independiente para verificar las necesidades la gerencia tendrá una justificación adicionalpara aprobar o denegar la inversión de dinero en tecnología de seguridad. En forma similar, los administradores de sistemas que conocen los intrincados detalles del entorno suelen estar al tanto de las formas en las cuales un atacante podría comprometer la seguridad del mismo, por esto no es inusual que la gerencia asuma que sin ese conocimiento un atacante no podrá ganar acceso no autorizado.Utilizando los servicios de un tercero que opera sin conocimiento de la red y sistemas internos los consultores podrá identificar las mismas vulnerabilidades y convencer a la gerencia sobre los puntos que necesitan resolverse. El equipo de “penetration test” también podrá demostrar que los vectores de ataque existen mientras que el personal interno de redes solo “sabía” que el problema estaba allí,...
Leer documento completo
Regístrate para leer el documento completo.