Dirección: Calle Nobel Nº3,3-5
Mairena del Aljarafe 41927, Sevilla
Teléfono: 900 52 52 45
Móvil: 607 739 265
Email: [email protected]
Copyright © Dolbuck| Todos los derechos reservados.
Política de privacidad de datos de carácter personal.
Cookie | Duración | Descripción |
---|---|---|
cookielawinfo-checbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
INICIO > BLOG
Cómo llevar a cabo el pentesting en tu empresa
El pentesting o test de penetración es un ataque simulado a un sistema informático con el objetivo de detectar y prevenir debilidades y vulnerabilidades. Los profesionales encargados de llevar a cabo esta labor se llaman pentester.
Este perfil también conocido como auditor de ciberseguridad o analista de seguridad cibernética vela por la seguridad de la organización, ya que es imprescindible para cualquier pequeña, mediana o gran empresa evitar o al menos contener los ciberataques.
Gracias a este tipo de pruebas, las empresas pueden poner remedio a sus debilidades antes de que lo hagan los ciberdelincuentes.
Según el tipo de información de la que disponga el pentester antes de elaborar el test podemos encontrar tres tipos de pentesting:
Es el pentest más completo, ya que el pentester conoce todos los datos del sistema. Suele formar parte del equipo técnico de la empresa. Con los datos obtenidos de este análisis se obtienen datos suficientemente certeros a la hora de descubrir los fallos y las medidas que se deben tomar.
En este caso el pentester no posee información sobre la entidad y actúa de forma muy similar a un ciberdelincuente para tratar de reconocer fallos en la estructura de red. Este tipo de test es el más real y verídico.
En este caso el pentester no se posee información específica para realizar el test de penetración, por eso, requiere de tiempo y recursos para identificar la información necesaria acerca de las posibles vulnerabilidades existentes. Es el tipo de pentest más recomendado por los especialistas.
En esta primera etapa se determina el alcance y los objetivos de la prueba, los sistemas que se atacarán y los métodos de prueba que se utilizarán. También se obtendrá toda la información posible, como los nombres del dominio y de red, el software, correos electrónicos, etc. para comprender mejor cómo funciona la empresa y sus potenciales debilidades.
El segundo paso es entender cómo responderá el sistema al que se está intentando penetrar. Se define el ámbito y el alcance del test de intrusión y se consulta con el cliente la profundidad de las pruebas que se van a realizar y la permisividad de los ataques.
Una vez obtenida toda la información, se elabora una representación estructurada de toda la información que afecta a la seguridad de una aplicación. Es el proceso de capturar, organizar y analizar todos los datos desde una vista a través de expertos en seguridad. Esta fase permite tomar decisiones sobre los riesgos y producir un modelo de amenazas típico o una lista priorizada de mejoras de seguridad informática.
Si la intrusión se ha llevado con éxito, en esta fase se recopilará la información privada y los archivos alojados en un servidor o sistema. La finalidad es demostrar al cliente que si un ciberdelincuente atacara el sistema podría acceder a él y robar la información.
Se reportan todos los fallos y mejoras en seguridad detectadas. Se realizan dos tipos de informes, por un lado, uno técnico para los administradores del sistema, que se escribe con las terminologías apropiadas junto a las soluciones detalladas. Por otro lado, un reporte ejecutivo dirigido a la mesa directiva para que las personas que no se dedican al mundo de la informática lo entiendan.
Antes de contratar un servicio de pentesting además de acordar la finalidad del servicio, el objeto del análisis y qué tipo de prueba queremos realizar, tenemos que tener en cuenta algunas cuestiones legales.
Acceder a los equipos y a su información es una acción ilegal, salvo que se realice con la debida autorización. Por este motivo, el contrato de pentesting, incluirá una autorización por parte del titular de los equipos y sistemas, que autorizará la vulneración de las medidas de seguridad de la organización en ciertos equipos perfectamente identificados, seleccionados para la ocasión.
Durante el tiempo estimado para realizar el ataque, la empresa verá alterada su actividad. Al igual que en el anterior caso, el auditor o la empresa que realice las pruebas de penetración, deberá contar con la pertinente autorización en los mismos términos. También será importante incluir cláusulas que marquen cuáles serán los canales de comunicación en caso de que el ataque tenga éxito.
Toda la información a la que el pentester pudiera tener acceso, deberá permanecer bajo secreto mediante un contrato de confidencialidad, y en el caso de información personal se ha de redactar con el auditor un acuerdo específico como encargado para este tratamiento.
Por lo tanto, para contratar un servicio de pentesting, se debe redactar un contrato específico para este servicio que contendrá:
Beneficios de hacer un pentest en tu empresas
El pentesting presenta numerosos beneficios para las empresas que lo contratan:
Si quieres saber cuáles son las debilidades o vulnerabilidades de tus sistemas, protege tu empresa con un pentesting, para saber más acerca de este servicio y como podemos ayudarte en Dolbuck, visita nuestra página, llama al 900 52 52 45 o a través de [email protected].
Artículos recientes
Categorias
Temáticas