¿Qué es el pentesting?
¿Qué pasaría si nuestra empresa fuera víctima de una fuga de información o sufriera un ataque de denegación de servicio? Ante estas amenazas, tenemos que analizar los sistemas que soportan la gestión de la información en la empresa, para evaluar los riesgos asociados a su utilización.
El pentesting es una serie de ataques simulados dirigidos a un sistema informático con la finalidad de detectar debilidades o vulnerabilidades para que estas sean corregidas y así evitar que puedan ser explotadas. Este tipo de auditorías siempre empiezan con la recogida de información en fuentes con acceso abierto, sobre los empleados, la empresa, los equipos y sistemas. Posteriormente se realiza un análisis de vulnerabilidades que se intentarán explotar, atacando a los sistemas de la empresa hasta conseguir el objetivo. Se finaliza realizando un informe donde se indicarán los ataques que tendrían éxito, porqué y qué información o acceso tendrían. De esta forma, se puede determinar:
- Si su sistema informático es vulnerable.
- Evaluar si las defensas de la empresa son suficientes y eficaces.
- Valorar en costes la repercusión de los fallos de seguridad detectados.
Tipos de pruebas
Existen diferentes tipos de pruebas de pentesting dependiendo de la información inicial con la que cuente el auditor, estas son:
- Caja blanca: se dispone de toda la información de los sistemas, infraestructura y aplicaciones. Así se simulará que el ataque se realiza por alguien que conoce a la empresa y sus sistemas.
- Caja gris: se dispone de algo de información sobre la empresa y sus sistemas, pero no de toda.
- Caja negra: no se dispone de la información sobre los sistemas; en ese caso se simula el ataque que realizaría un ciberdelincuente.
A la hora de solicitar un pentesting a nuestros sistemas que pueda permitir el acceso a información considerada secreto profesional o datos personales, hay que tener en cuenta:
- En ningún caso se obtendrá provecho ni causará perjuicio con la información descubierta.
- Se destruirá la información que no sea necesaria para llevar acabo el pentesting y se guardará de manera segura la que sí lo sea.
- No se divulgará ningún tipo de información obtenida o a la que se ha tenido acceso.
Si tiene alguna duda o consulta no dude en contactar con nosotros