La Seguridad de la Información es hoy en día uno de los mayores dolores de cabeza de los responsables de TI de las empresas. Estas preocupaciones muchas veces no se traducen en inversiones dada la situación económica actual, ya que con presupuestos más reducidos, se debe aportar mayor productividad de los departamentos de TI con menos recursos.
Desde Prakmatic, insistimos en que la seguridad de la información no radica sólo en mayores inversiones de hardware o software. La mayoría de veces los mayores problemas de seguridad de las empresas de hoy en día se encuentran en malas configuraciones, servicios de prueba pobremente securizados o malos procedimientos de gestión de la seguridad. Estos problemas son mucho más sencillos de solucionar, más baratos y sobretodo, más efectivos. De nada sirve tener el mejor firewall del mercado, si la contraseña del correo del director comercial es 12345.
La mejor forma de enfocar los esfuerzos de la organización hacia una mejor seguridad, corregir los agujeros de seguridad y conocer el nivel de madurez es realizar una prueba real de seguridad tal como la realizaría un atacante, un hacking ético.
¿Qué?
Una auditoría técnica de seguridad perimetral, un proyecto de hacking ético, un test de penetración, un pentest, pentesting, penetration test, auditoría de aplicaciones web, auditoría de caja blanca, de caja negra o de caja gris, etc. Los nombres y los objetivos pueden ser muchos, la mayoría son sinónimos, pero la finalidad es la misma, obtener una “foto” del estado actual de la seguridad, y un plan para mejorarla. Los aspectos más importantes en este tipo de proyectos son:
• Saber qué se desea auditar.
• Realizar una correcta planificación.
• Rigor y creatividad en las pruebas técnicas, siempre de forma controlada.
• No comprometer los sistemas del cliente.
• Documentación detallada y útil.
• Presentación de los resultados adecuada a las expectativas.
¿Por qué?
Porque ignorar los problemas de seguridad, no significa que no estén ahí. Por eso es importante conocer la seguridad de los sistemas y las acciones a realizar para mejorarla. ¿Qué podría realizar a la organización un atacante externo, o la competencia? ¿A qué información podría llegar un empleado descontento o demasiado curioso? Con un hacking ético se da solución a estas cuestiones y se crea un plan para ponerle solución.
¿Quién?
El proyecto lo debe liderar un consultor de seguridad de TI con conocimientos técnicos y experiencia contrastada en este tipo de proyectos junto a un equipo técnico especializado en seguridad en caso que sea necesario. Para la realización del proyecto será necesaria en momentos puntuales la ayuda y supervisión del jefe de proyecto del cliente.
¿Cómo?
Durante el proyecto, se realizará una planificación acorde a las metodologías que mejor se adapten al ámbito y tipología del proyecto. Para cada una de las fases se utilizarán distintas herramientas existentes en el mercado, así como pruebas manuales e información de fuentes públicas. Se documentarán todas las acciones realizadas y se presentará al cliente junto a un plan de mejoras. El tiempo necesario para realizar un proyecto de este tipo dependerá siempre del ámbito que se desee auditar, el número de direcciones IP, de webs publicadas. Cuanto mayor volumen de tecnología y mayor la variedad de estas, mayor también será el esfuerzo para auditarlo.
¿Cuándo?
Ahora es el momento. Se recomienda realizarlo cuando sea posible, ya que las vulnerabilidades y agujeros de seguridad están y estarán expuestos aunque no los queramos ver. Un buen momento para realizar este tipo de proyectos es a principios de año, o antes de la presentación de presupuestos. Una vez realizado y aplicadas las mejoras, es recomendable hacerlo periódicamente, cada año por ejemplo, según el volumen de cambios tecnológicos de la organización.
Oriol Martínez, Consultor de Seguridad de TI de Prakmatic S.L.