COSAS QUE UNA AUDITORIA DE PENETRACION NO LE DIRA

Publicado por Editor el Miércoles, Marzo 4, 2009 · Dejar un comentario 

En algún momento en su organización ha habido alguna auditoría de penetración (de no ser así, por favor llámenos :-) ). Este testeo puede haber sido realizado por algún equipo de la organización o por una empresa especializada.

La verdad del caso es que no a todos se les paga por romper cosas, sino para proteger y asegurar la información y servicios que brinda la empresa. Tomando eso en cuenta, hay algunas cosas que deberá Ud. saber acerca de las auditorias de penetración.

Primeramente, la mayoría de administradores de sistemas, usualmente no son buenos auditores de penetración. La razón principal por la que esto suele cumplirse es porque ellos ya han asegurado las vulnerabilidades o fallas que conocen, si fuera el caso contrario, entonces no serían tan buenos administradores. Otro punto a tomar en cuenta es que para ser un buen auditor de penetración hay que tener la habilidad de pensar como el criminal (en este caso un hacker malicioso), después de todo, el objetivo principal de este tipo de auditoría es demostrar que podría llegar a hacer un hacker malicioso con nuestra red.

La mayoría de nosotros ha sido criado bajo una estructura de valores y buena moral, se nos ha enseñado desde niños a obedecer las leyes y respetar al prójimo. Por esto ultimo es que muchas mentes no son buenas en crear escenarios o en innovar técnicas para escenarios maliciosos.

Ahora, hay gente que si es buena en esto. Algunos de ellos son criminales y obviamente debemos alejarnos de ellos. Sin embargo, hay personas que cuentan con estas habilidades y que las utilizan para el bien (sin perder sus valores). En el mundo informático, en el de la seguridad para ser más precisos, a estas personas se les llama white-hats (de sombrero blanco), siendo esta una analogía que viene desde los tiempos en los que se hablaba de magia negra y magia blanca (esta ultima tomada como buena o con fines benéficos).

Cabe resaltar que el white-hat hacker tiene una compañía que lo respalda y provee servicios de consultoría a organizaciones, siendo su fin primordial el de protegerlas y asegurarlas. Usualmente esta persona ha pasado por pruebas psicológicas que comprueban que tiene el perfil adecuado para integrarse a la empresa.

Segundo, hay que tener en cuenta que una auditoria de penetración mal hecha puede repercutir en la estabilidad de su red corporativa. Por ejemplo, algunas de las herramientas usadas por atacantes están diseñadas para probar las vulnerabilidades que hay a lo largo de la red. Una de estas vulnerabilidades podría ser un DoS o ataque de denegación de servicios. Es muy difícil saber si el sistema es vulnerable sin hacer la prueba, y si esta es realizada de forma incorrecta (teniendo en cuenta que algunas herramientas simplemente disparan el ataque) puede fácilmente poner fuera de servicio la red de trabajo de la organización.

Incluso en la ausencia de este tipo de vulnerabilidades, hay muchas otras cosas que podrían salir mal si no se tiene el cuidado apropiado y la experiencia que tienen las empresas especializadas. Un equipo especializado y con experiencia sabe donde marcar los limites y cuanto puede exigir a la red sin causar daños.

Tercero, las auditorias de penetración requieren de herramientas especializadas y muchas veces modificadas. Estas modificaciones no están disponibles abiertamente. Aunque algunos administradores de sistemas podrían ser capaces de escribir o modificar estas herramientas, el tiempo que utilizaron en modificarlas podría bien haber sido usado de mejor manera protegiendo la red.

Cuarto, el escribir las conclusiones para el reporte final de la auditoría de penetración es un trabajo detallado que conlleva una responsabilidad muy grande ya que incluye una serie de recomendaciones y valorizaciones por parte del equipo explicando que tan criticas son las vulnerabilidades y como deben de ser resueltas. El reporte esta hecho no solo en base a números sino también en experiencia que obtuvo el consultor a través de los proyectos y a través de su investigación.

Todo esto se resume a un solo tema: aunque es muy importante saber como operan los atacantes, ser capaz de realizar estos ataques no es un requerimiento necesario en un administrador de red u oficial de seguridad.

Es una cosa apreciar arte y otra totalmente distinta, ser capaz de crearla. La auditoria de penetración es un arte. Mi consejo es dejarlo a la gente que tiene las habilidades, la mentalidad y el tiempo para investigar madrugadas enteras para poder hacerlo bien.

Usualmente esta tarea se le da a los consultores porque tienen las habilidades, las herramientas, la forma de pensar y no están tentados en obtener recursos de su red. Su trabajo es ayudar a la organización a tener una estructura de red más segura para que no sufran las consecuencias de los ataques de personas con objetivos malintencionados.

Aquí en ENHACKE nos preocupamos por su información, por sus clientes, por su imagen. Permitanos demostrarle lo bien que manejamos el tema y que somos expertos en lo que hacemos.

Archivado en Seguridad · Etiquetado con , , , , , , , , , ,

¿Qué opinas?

Dinos que estas pensando...
si quieres dejar un comentario, puedes hacerlo aquí gravatar!