Identifica la vulnerabilidad de la empresa y mantén segura su información

Por: LI. Aldo Alfredo Escalante Reyes

Mantener segura la información debe ser prioridad de las empresas, ya que estar conscientes de un posible ataque y sus consecuencias, ayudará a reconocer la vulnerabilidad de la infraestructura, reconocer las debilidades y aplicar métodos que hagan eficiente el resguardo de información al interior de la misma.

¿Alguna vez has escuchado el término “prueba de penetración”? En inglés se conoce como pen-testing o penetration test.

Una prueba de penetración o pen-testing, simula un ataque a la red de la infraestructura o las aplicaciones de una empresa u organización, con el objetivo de determinar lo que los atacantes (en caso de existir) pueden obtener si acceden al sistema interno y qué problemas pueden causar.

Durante los ensayos controlados de una prueba de penetración, un consultor capacitado revisa la seguridad de la infraestructura de red y las aplicaciones, utilizando las mismas herramientas y técnicas que un atacante podría utilizar. Estas pruebas también pueden llevarse a cabo en secreto, sin el conocimiento de las personas que administran y operan sus sistemas. De esta manera, se emula a un intruso del mundo real y se detecta dónde existen fugas de información y dónde los procedimientos fallan; asimismo, qué cantidad de información podría obtener un atacante y cómo se pueden asegurar correctamente los sistemas de la organización.

En muchos de los “ambientes informáticos”, los principales puntos vulnerables son los usuarios, sin embargo, todo sistema, por su naturaleza, tiene vulnerabilidades propias de la tecnología que maneja, del ambiente en que fue desarrollado o de la infraestructura que lo mantiene activo.

Es importante señalar que una prueba de penetración también se puede utilizar para probar el cumplimiento de la política de seguridad de una organización, la conciencia de seguridad de sus empleados y la capacidad de la organización para identificar y responder a los incidentes de seguridad. A final de cuentas, el objetivo es saber si mis medidas de seguridad son realmente eficientes.

En el aspecto personal, ¿me sirve este tipo de pruebas? Al aplicarla, de inicio estamos siendo autocríticos, y esto nos ayuda a aprender cómo mejorar la operación, el ambiente de control y la conciencia de seguridad, siempre que se cuente con la ayuda de un profesional.

Por eso se recomienda que estas pruebas sean realizadas por una entidad externa, y que sean realizadas al interior de una empresa mediante diversas estrategias:

  • Orientadas a un objetivo: cuando el área usuaria indica al área de sistemas para qué se requiere la aplicación del pen-testing; por ejemplo, para saber si un atacante intenta modificar los estados financieros o para detectar el robo de los estados financieros de la empresa.
  • Orientadas al acceso externo, para descubrir si existe la posibilidad real de acceder a los recursos u objetivos de la empresa desde el exterior de la organización y con diversos medios informáticos.
  • Pruebas internas orientadas a examinar el comportamiento interno de los empleados y el uso que hacen de los sistemas: en este caso, se presenta un equipo con la configuración otorgada para todos los equipos de la red y se busca intentar vulnerar simulando ser un empleado interno.

Fácilmente se piensa “a nosotros nunca nos han hackeado”, sin embargo, tenemos que ser realistas y considerar que en la mayoría de los ataques se busca no dejar rastro de la intrusión; una prueba de vulnerabilidad nos indicará entonces si de alguna forma pueden materializar un ataque y buscar los medios para evitarlo.

Muchas veces, por cuestiones de presupuesto estas acciones son consideradas un gasto infructuoso al interior de la empresa, pero en realidad son una inversión para identificar y evitar problemas de seguridad de la información.

Las principales razones por las que se sugiere realizar una prueba de penetración mínimo una vez al año son las siguientes:

  • Son un método efectivo para determinar el nivel de seguridad informática al interior de un área funcional de una empresa.
  • Se pueden evitar pérdidas financieras por robo de datos o fraudes (hackers, empleados molestos o extorsionadores).
  • Se puede evitar la pérdida de confianza de los clientes.
  • Se obtiene, mediante un punto de vista independiente y analítico, ya sea de un tercero ajeno a la empresa o de una entidad al interior de la misma que tenga la capacidad de tener independencia al interior de operación.

Como puedes observar, las pruebas de penetración son valiosas por varias razones:

  • Determinan la posibilidad de éxito de un ataque.
  • Identifican las vulnerabilidades de alto riesgo que resultan de una combinación de vulnerabilidades de menor riesgo explotadas en una secuencia particular.
  • Identifican las vulnerabilidades que pueden ser difíciles o imposibles de detectar con red automatizada o un software de análisis de vulnerabilidades-
  • Nos permiten comprobar la capacidad de los defensores de la red para detectar con éxito y responder a los ataques la prueba de penetración, de ahí que sea una herramienta de diagnóstico eficaz que revela de qué forma un intruso puede ingresar sin autorización a los sistemas y oficinas de la empresa; por tal razón, realizarla una vez al año, no hace daño.

¿En tu empresa tienen la madurez necesaria para ser autocríticos y permitir que se realice una prueba de penetración? Muy interesante, ¿verdad?

Síguenos en Facebook

Contenido relacionado: 

Contenido recomendado: