2. Existe una conexión entre hacking ético y el nuevo
Reglamento Europeo de Protección de Datos, al establecer
el apartado 2 del artículo 32 lo siguiente:
“Al evaluar la adecuación del nivel de seguridad SE
TENDRÁN PARTICULARMENTE EN CUENTA LOS RIESGOS
que presente el tratamiento de datos, en
particular como consecuencia de la destrucción, pérdida o
alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos.”
¿Y qué es el hacking ético sino las medidas de seguridad
ofensiva que analizan los riesgos para evitar el acceso ilícito
a los datos o la comunicación o acceso no autorizados a los
mismos?
A medida que los piratas informáticos se vuelven más
hábiles y sofisticados, los responsables de negocio tienen
que garantizar que sus sistemas de ciberseguridad protejan
a su organización contra las amenazas.
Una de las herramientas más importantes que las
empresas pueden usar para defenderse es la de las
pruebas de penetración o pentesting. En estas pruebas, el
experto en ciberseguridad utiliza las mismas técnicas que
un hacker criminal para obtener acceso a los sistemas de
TI. Este profesional usa todos los métodos que puede usar
un delincuente, como descifrar contraseñas, identificar
virus o incluso realizar ingeniería social, para intentar
entrar en los sistemas.
A partir de la información que proporciona este experto, la
organización debería actualizar su sistema de
ciberseguridad para estar protegido contra este tipo de
ataques de piratas informáticos reales.
SEIS RAZONES PARA INVERTIR EN PENTESTING
3. RAZÓN 1: EL PENTESTING EXPONE LAS DEBILIDADES ANTES DE QUE LOS
VERDADEROS HACKERS LO HAGAN
Sin duda, el aspecto más valioso de las pruebas de penetración es que exponen la
seguridad cibernética a las mismas tensiones a las que estaría expuesta frente a un
verdadero intento de piratería. Es decir, expone las debilidades del sistema de
ciberseguridad. Pero además, disponer de un pentester permite que el sistema de
ciberseguridad mejore y que los errores puedan corregirse antes de que un pirata
informático malintencionado intente penetrar en el sistema.
Un pentester que irrumpe en el sistema no robará los datos o el dinero al que tiene
acceso, a diferencia de lo que ocurriría cuando un ataque real de piratería
informática. Proporcionará todos los detalles sobre cómo podrían ocurrir esos
ataques y qué se puede hacer para detenerlos. No hay duda de que las
organizaciones pueden aprender de sus errores, pero en este caso es mucho más
valioso aprender de un ataque simulado en lugar de uno real.
1
PENTESTING
4. RAZÓN 2: EL PENTESTING IDENTIFICA EN QUÉ ÁREAS INVERTIR
Las estadísticas son preocupantes e indican que más del 50% de las pequeñas
empresas sufren un ataque cibernético, y que hasta el 60% de las que son atacadas
cierran en los seis meses siguientes. Ya no es suficiente que las organizaciones
hagan lo mínimo posible y esperen simplemente a no ser atacadas por hackers. Ya
no es posible solo instalar un software antivirus y un firewall, y asumir que el
negocio estará seguro con ello.
Deben por tanto invertir en ciberseguridad y en la optimización de las defensas del
sistema. ¿Pero dónde invertir? Es en este punto cuando las pruebas de penetración
pueden ser muy útiles. Al revelar que las defensas del sistema de ciberseguridad
son débiles, el pentesting permite identificar la inversión que debe realizar la
organización para asegurarse la protección pertinente.
Puede ocurrir que el sistema sea más que adecuado para defenderse de las
amenazas, pero que durante las pruebas de penetración se descubra que los
empleados pueden “defraudar” al abrir correos electrónicos de phishing o utilizar
contraseñas demasiado simples. Invertir en capacitación para educarlos sobre los
peligros existentes es vital en esos casos y muy oportuno también en el resto.
2
PENTESTING
5. RAZÓN 3: EL PENTESTING PROPORCIONA UNA PERSPECTIVA EXTERNA
SOBRE EL NIVEL DE SEGURIDAD
A menudo las organizaciones realizan los servicios de ciberseguridad sobre sus
sistemas informáticos con recursos internos y nunca obtienen una segunda
opinión. Muchos responsables de negocio confían en que sus profesionales de TI
implantan un sistema de ciberseguridad sólido y libre de debilidades en la
medida de lo posible. Pero al no obtener una visión externa, pueden quedar
diversos puntos ciegos.
Las personas de la organización a cargo de las defensas de los sistemas de TI
pueden cometer errores, por lo que es importante realizar pruebas de
penetración y así obtener una perspectiva externa sobre el sistema de
ciberseguridad.
3
PENTESTING
6. RAZÓN 4: EL PENTESTING AHORRA COSTES
“Gastar” inicialmente dinero en servicios de pentesting permite realmente ahorrar
una cantidad significativa de dinero a posteriori. Las pruebas de penetración
destacan las áreas de mayor debilidad e informan sobre dónde asignar de forma
efectiva el presupuesto de seguridad cibernética. Sin dichas pruebas para guiarse,
las organizaciones pueden tener mayores costes al tener que invertir en una amplia
gama de aspectos. Pero, además, vale la pena señalar que las pruebas de
penetración pueden ahorrar también dinero a largo plazo. Además de la amenaza
de multas de los órganos de gobierno si no se protegen los datos de los clientes
(GPRD), también la organización puede sufrir una pérdida de confianza por parte
de sus clientes después de producirse una infracción. Realizar pruebas de
pentesting para solucionar posibles problemas cibernéticos evita además la
preocupación por costes futuros de otra índole.
4
PENTESTING
7. RAZÓN 5: EL PENTESTING SIMULA UN ESCENARIO DE ATAQUE REAL
En principio, si la organización ha invertido en una fuerte ciberdefensa, estará
teóricamente protegida ante los piratas informáticos. Pero eso puede llevar a
la complacencia y al exceso de confianza: si nunca simula un ciberataque,
¿cómo sabrá cómo se pondrá en práctica su sistema de ciberseguridad? La
verdad es que es extremadamente raro que los sistemas sean infalibles frente
a piratas informáticos sofisticados y constantemente en busca de nuevas
formas de derribar las defensas.
Si la organización asume que su ciberseguridad resistirá cualquier amenaza,
puede pasar por alto defectos y problemas graves. Las pruebas de
penetración simulan exactamente lo que sucedería en un ataque real y
experto. Simplemente no hay sustituto para este tipo de pruebas y siempre es
mejor tener profesionales de seguridad cibernética que venzan las defensas,
que un pirata informático malintencionado.
5
PENTESTING
8. RAZÓN 6: EL PENTESTING AYUDA A CUMPLIR CON EL NUEVO
REGLAMENTO GDPR
Es importante tener en cuenta que el Reglamento General de Protección de
Datos (GDPR) ha entrado en vigor el 25 mayo de 2018 . Esta es una regulación
que afecta a cualquier organización que realiza negocios dentro de la UE o con
sus ciudadanos, por lo que es vital cumplir con la normativa. Uno de los
principales aspectos del GDPR es que las organizaciones que son pirateadas y
pierden datos personales como resultado de una ciberseguridad deficiente
pueden enfrentarse a sanciones y multas mucho más importantes que antes de
la aplicación de este nuevo reglamento.
Realizar pruebas de penetración para exponer las debilidades del sistema de
ciberseguridad y en última instancia poder solucionarlas, ayuda a garantizar la
adecuación al GDPR y a otras normas de protección de datos o privacidad.
6
PENTESTING
9. ¿Necesita ayuda?
Nuestra
propuesta
de valor
Auditoría técnica e
infraestructura
Compliance y gestión de
riesgos
Seguridad de
aplicaciones
Consultoría y
outsourcing
Análisis
forense
Pentesting
Hacking
ético
CISO y
outsourcing
Plan
director
de seguridad
GDPR y
normativa
Continuidad
de negocio
Análisis de
riesgos
Gestión de
identidades y
accesos
Aplicaciones
móviles
Centro Experto en
Ciberseguridad
Políticas de
seguridad
Aplicaciones
web
10. Agustí Serrano, responsable de Operaciones de la División
de Ciberseguridad en atSistemas, hace especial referencia a que el RGPD
desplaza a las organizaciones la responsabilidad de identificar las
medidas de seguridad que aplicarán en el tratamiento de datos que
llevan a cabo. Los artículos 25 y 32 del RGPD recogen que las medidas de
seguridad tendrán que ser adecuadas al riesgo que exista sobre los distintos
ficheros, por lo que se hará necesario que las organizaciones lleven a cabo
un análisis de riesgo.
También recuerda que el RGPD establece un régimen sancionador mucho
más elevado que la anterior LOPD, alcanzando sanciones del 4% de la
facturación y con un límite de 20M€.
CONTÁCTANOS EN
MARKETING@ATSISTEMAS.COM
Madrid
Oficinas Centrales:
C/Valle de Alcudia 3, Ed. 2
28232 - Las Rozas - Madrid
Selección y Recursos Humanos:
C/Acanto 22, Plta. 3
28045 - Madrid
C/Retama 7, Plta. 1
28045 - Madrid
Barcelona
Plaça de Catalunya 21, Plta. 2
08002 - Barcelona
Cádiz
Edificio Jerez Parque Empresarial, C/ del Desarrollo 2, Plta. 1
11047 - Jerez de la Frontera - Cádiz
Zaragoza
Centro Tecnológico TIC XXI, C/Bari 57, Plataforma Logística (PLA-ZA)
50197 - Zaragoza
A Coruña
Edificio Mans Polígono de Pocomaco, Parcela D22
15190 - A Coruña
Palma de Mallorca
Regus Palma Polígono de Son Castello, C/ Gremi de Sabaters 21, Plta. 2
07009 - Palma de Mallorca
Huelva
Parque Científico Tecnológico de Huelva, Edificio PCTH2000
21 110 - Aljaraque - Huelva