Cómo implantar una estrategia de hacking ético
El hacking ético se ha convertido en un servicio fundamental para detectar dónde está el peligro para una empresa. Así lo considera Vector que además destaca el hacking ético permite adelantarse a los cibercriminales solucionando vulnerabilidades que pueden provocar un ciberataque.
“El hacking ético analiza los sistemas y programas informáticos corporativos, asumiendo el rol de un ciberdelincuente y simulando ataques a la empresa con el objetivo de evaluar el estado real de si seguridad TI”. Así lo hace saber Vector que no obstante recuerda que para llevar a cabo el hacking ético es imprescindible “contar con la autorización expresa de la empresa” a través de un contrato. “El resultado final indica los puntos débiles de la empresa y que pasos se deben realizar para eliminar dichas debilidades o mitigarlas caso de no ser posible su eliminación”, destaca la firma.
Si se profundiza un poco más en las ventajas del hacking ético, entre éstas destaca el hecho de que permite adelantarse a los cibercriminales solucionando vulnerabilidades que pueden provocar un ciberataque, conciencia a los empleados de la importancia de la seguridad.
Una estrategia de hacking ético se compone de varias fases. La primera es el acuerdo de auditoria y consiste en elaborar un documento que refleje el alcance de la auditoría, qué pruebas se van a realizar, qué obligaciones tiene el auditor, el nivel de permisividad de la empresa frente a las pruebas de ataques que se realicen.
Una vez realizada la auditoria se pasa a la siguiente fase que no es otra la que recopilación de información. “En esta fase el auditor tratará de recabar toda la información posible sobre su objetivo. Para ello emplea las más diversas herramientas, desde simples búsquedas en Google, Bing, etc. hasta el empleo de herramientas como NMap y similares en búsqueda de puntos de entrada a la aplicación y empresa”.
Con la información proporcionada, se define la importancia de los activos de la empresa y se crean árboles de ataque con posibles amenazas que puedan afectar a los activos objetivo de la auditoría. Se analizan las vulnerabilidades, se confirma que éstas son un riesgo real y se valora el impacto antes de elaborar un informe detallado con todas las con todas las vulnerabilidades detectadas, como explotarlas y como corregirlas o mitigarlas.
Por último, se elabora un Plan de Mitigación de Vulnerabilidades en el siguiente ciclo de desarrollo y un seguimiento de las vulnerabilidades detectadas para confirmar la eliminación de las mismas.
