Servicio de pentesting
El servicio de pentesting o test de intrusión consiste en una prueba de seguridad que simula un ciberataque real en un entorno controlado. El objetivo es identificar las debilidades que podrían ser aprovechadas por un atacante.
Antes de contratar un pentesting, hay que acordar la finalidad del servicio, el objetivo del análisis y qué tipo de prueba se va a realizar. Además se debe incluir una autorización por parte de la empresa para permitir la intrusión en las medidas de seguridad.
También se realizará un acuerdo de confidencialidad ya que el pentester podrá llegar a información de la empresa que debe permanecer bajo secreto. Si esta información es personal se debe redactar un acuerdo específico con el pentester.
Por lo tanto, para contratar un servicio de pentesting, se debe redactar un contrato en el que se incluye:
- Las autorizaciones necesarias.
- La información que se aporta.
- La técnica de intrusión que se usará.
- Contrato de confidencialidad.
Contratar un pentesting en la empresa
En Dolbuck te ayudamos a detectar las vulnerabilidades que pueda tener tu sistema, las explotamos, las documentamos y te ayudamos a resolverlas.
El pentesting te permite conocer qué opciones reales hay de que ataquen a tus sistemas antes que esto realmente ocurra. Este conocimiento nos permite adelantarnos y poner soluciones corrigiendo las causas de los ataques.
Siempre trabajamos estrechamente con el cliente informándole en todo momento de nuestras acciones y de nuestros descubrimientos, acorde a las normativas vigentes.
Si deseas un servicio de pentesting profesional contacta con nosotros a través de [email protected] o a través del formulario de esta página.
¿Cuál es el precio de un pentesting?
El precio de un pentesting puede variar en función de diversos factores como el objetivo, el volumen de activos que se evalúen, la complejidad de ejecución, el enfoque utilizado (caja blanca o caja negra), entre otros. Es posible que el coste oscile, dependiendo de las necesidades específicas del cliente y de los objetivos que se persigan. Además, el tipo de servicio requerido también puede tener un impacto en el precio final.
Lo mejor es que el cliente se ponga en contacto con nosotros para asesorarle acerca del enfoque más adecuado para alcanzar los objetivos y llevar a cabo el trabajo de manera efectiva.
Nuestro servicio de pentesting
A continuación detallamos la forma en la que llevamos a cabo el servicio de análisis pentesting.
- 1ª Preparación e investigación
Determinamos el alcance y las metas de la prueba, los sistemas que se testearán y las pruebas a usar. Se obtendrá toda la información posible (nombres de dominio y de red, el software…) para ver cómo trabaja la empresa y sus posibles vulnerabilidades.
- 2ª Analizamos las vulnerabilidades
Aquí trataremos de comprender como responde el sistema que se está atacando. Se consulta con el cliente la profundidad de las pruebas a realizar y definimos el alcance del test.
- 3ª Clasificación de amenazas
Se trata de elaborar una lista de amenazas y riesgos de ciberseguridad. Se realiza una representación de la información que afecta a la seguridad de una empresa.
- 4ª Explotación
Si el test de intrusión ha tenido éxito, se recopila la información privada y los archivos del sistema. Con esto se demuestra que si un ciberdelincuente atacara podría acceder y robar la información.
- 5ª Elaboración de informes
Se recopilan todos los fallos y las mejoras que se pueden implementar. Habrá un informe técnico para los administradores de sistemas y otro a nivel ejecutivo para que las personas que no estén especializadas en informática lo comprendan sin problema.
Beneficios de contratar pentesting
- Ahorro de costes.
- Corrige errores.
- Implementa mejoras.
- Identifica vulnerabilidades.
- Protege la información.
- Cuida la reputación.
Tipos de pentesting
-
Prueba de penetración de caja negra
Donde los pentester o analistas de seguridad no tienen conocimiento del funcionamiento interno del sistema, y trabaja con la información que puede conseguir por sus propios medios, igual que lo podría hacer un delincuente informático.
-
Prueba de penetración de caja blanca
En este tipo de pruebas los pentester o analistas de seguridad tienen total conocimiento del funcionamiento interno del sistema, y trabaja con información que puede tener acceso uno o varios empleados dentro de la organización.
-
Prueba de penetración de caja gris
Donde los pentester o analistas de seguridad pueden tener conocimiento sobre algunos aspectos del funcionamiento del sistema y de otros no.