Evaluación de Seguridad

  • Categoría de la entrada:Ciberseguridad
  • Tiempo de lectura:5 minutos de lectura

Cuando se desarrolla un nuevo software o sistema debe someterse a una evaluación de seguridad para garantizar que cumple los estándares de ciberseguridad, se puede clasificar en 3 categorías:

  • Auditoría de seguridad (Security Audit).

  • Evaluación de vulnerabilidades (Vulnerability Assessments).

  • Pruebas de penetración (Penetration Testing).

  • Evaluación técnica manual de sistemas o aplicativos dirigido a personas y/o procesos
  • Auditoría de seguridad de TI en función a líneas base
  • Definir, identificar y clasificar problemas o errores de seguridad en un sistema de información
  • Se realiza mediante escáner de vulnerabilidades, configuraciones de dispositivos, sistema operativo, puertos abiertos y aplicaciones instaladas
  • Simulan acciones de un atacante real para medir impacto de vulnerabilidades
  • Formas de irrumpir en sistemas y obtener acceso no autorizado a recursos críticos

Tipos de Pruebas de Penetración

Las pruebas de penetración  simulan las acciones de un hacker real para medir el impacto de las vulnerabilidades y diseñar planes de mejora.

Realización de pruebas desde red externa remota, simulando un hacker real,  para que el tráfico de prueba pase a través del firewall del objetivo

  • IDS (Sistema de Detección de Intrusos)
  • IPS (Sistema de Prevención de Intrusos)

Pruebas de Penetración Externa

Pruebas de Penetración de Caja Negra

  • El probador no tiene conocimiento del objetivo
  • Simula ataques del mundo real y reduce falsos positivos
  • Requiere recopilar información sobre sistema/red destino
  • Requiere más tiempo, esfuerzo y costo

Pruebas de Penetración de Caja Gris

  • El evaluador tiene cierto conocimiento de la infraestructura destino, mecanismos de seguridad y canales de comunicación
  • Simula ataques del mundo real que puede realizar una persona interna o atacante con cierto conocimiento privilegiado limitado en el sistema destino

Pruebas de Penetración de Caja Blanca

  • El evaluador tiene conocimiento profundo de la infraestructura del sistema destino, mecanismos y canales de comunicación

Pruebas Anunciadas

  • EL equipo de de TI, red y gestión de organización tienen conocimiento del cronograma de pruebas

Pruebas No Anunciadas

  • EL equipo de de TI, red y gestión de organización no reciben información sobre del cronograma de pruebas, sólo la alta dirección y mide el nivel respuesta y acción del área de TI

Pruebas Automatizadas

  • Reutilización de herramientas para pruebas de penetración automatizadas
  • Ejecución de herramienta en infraestructura a intervalos regulares y emisión de informes

Pruebas Manuales

  • Experiencia y habilidades para vulnerar el sistema destino
  • Permite mayor control y reduce probabilidad de falsos positivos