• Rafael Garcia

#Ciberseguridad vs Pruebas de Penetración

Actualizado: jun 12



A menudo se encuentran vulnerabilidades durante una prueba de penetración, pero eso no es el equivalente a una evaluación de seguridad. Los dos no se debe confundir ya que son dos temas diferentes.


Por desgracia muchos piensan que son lo mismo y eso lleva a confiarse al tener conocimiento de únicamente de una parte que conforma el entorno de #ciberseguridad. Para fortalecer la postura de riesgo cibernético de una organización, es esencial no sólo probar las vulnerabilidades, sino también evaluar si las vulnerabilidades son realmente aprovechables y el riesgo que representan. Una prueba de penetración es una faceta de una evaluación de vulnerabilidad, que se utilizará para determinar si una vulnerabilidad puede ser explotada.


Aunque se puede contratar a un tercero para hacer una evaluación de la vulnerabilidad de los sistemas, redes, aplicaciones y bases de datos, el Instituto SANS , que se especializa en ofrecer entrenamiento, certificaciones e investigación en materia de #ciberseguridad, ofrece un documento técnico sobre cómo una organización puede hacerlo con su propio personal. Al igual que con cualquier práctica de seguridad, para que sea efectiva la evaluación, se tiene que tener una base sólida de políticas y procedimientos, incluyendo los cambio de configuración y las gestiones.


También se advierte que centrarse en las vulnerabilidades existentes es sólo el primer paso en un proceso útil de gestión de vulnerabilidades. Los equipos de seguridad de información tienen que determinar si cada vulnerabilidad es en realidad explotable. Saltarse este paso no es sólo una pérdida de dinero, pero lo más importante crea una ventana de tiempo de oportunidades para que los hackers exploten las vulnerabilidades de alto riesgo. En última instancia, el objetivo es acortar la ventana que los atacantes tienen para explotar una falla de software.


SANS también asesora en el proceso de evaluación de las vulnerabilidades, el cual tiene que ser llevado a cabo regularmente para minimizar realmente el riesgo general. En su cuenta de Twitter pueden enterarse del día a día de sus iniciativas y actividades.


Por último, recordemos que hay un tercer elemento en una estrategia de seguridad bien establecida: Una evaluación de riesgos cibernéticos toma en cuenta todos los factores que contribuyen, incluyendo la importancia de los activos, vulnerabilidades, amenazas externas, accesibilidad, posibilidad de explotación, y el impacto de negocios.

Contacto

© 2019 CyberLat, Todos los derechos reservados  v2.0