El Pentest contra los cibertaques y a favor de las PYMEs.
Descargar el artículo
El Pentest contra los cibertaques y a favor de las PYMEs.
Por LuisGyG
Al momento aquí ya hemos hablado de las ventajas de la nube, las diferentes soluciones que pueden beneficiar a tu empresa y, claro, los retos que toma su implementación. También hemos hablado de los diferentes riesgos que existen y de cómo los maloras aprovechan nuestra buena voluntad para robar nuestros activos digitales. Ahora, no es que quiera asustarte, pero me gustaría que estuvieras consciente de algo.
México es uno de los 10 países con mayor número de ataques informáticos, luego que en abril de 2015 se ubicara entre las 18 geografías con mayor actividad maliciosa, digitalmente hablando. Este dato lo compartió Roberto Martínez, investigador de Kaspersky Lab México para diario El Economista. Ahora, hace unos días la firma PwC reveló que sólo 3 de cada 10 empresas cuentan con un plan integral para responder a algún tipo de ciber ataque. Lo más sorprendente es que 14% de las empresas no tienen intenciones de implementarlo, pese a que el 45% no crea que las autoridades cuenten con las habilidad para combatir las acciones cibercriminales.
Por lo general, cuando existen una vulnerabilidad en nuestro sistema éstas resultan de algún tipo de falla en el software, configuraciones mal hechas o incluso porque se realiza una operación deficiente de los procesos digitales. Aunado a esto, no podemos descartar que, obviamente, podría haber un desinterés sustancial en proteger los bienes digitales.
Una manera de descubrir y poner sobre la mesa este y muchos más riesgos es una Prueba de Penetración o Pentest; en pocas palabras, una evaluación activa de las medidas de seguridad de la información que existen en tu empresa. Así, a través de diversos tipos de pruebas es posible detectar los talones de Aquiles que podrían ser utilizados para violar la confidencialidad de tu información, la integridad de tus datos digitales y la disponibilidad de los mismos.
Realizar un Pentest no es algo complejo, sin embargo, requiere cierta preparación para llevarlo a cabo. Lo anterior, porque al final se trata de un hackeo, uno ético, pero al final un hackeo que pondrá en evidencia la ropa sucia, digitalmente hablando, de nuestra empresa. Lo más interesante del Pentest es que no sólo se trata de encontrar vulnerabilidades sino también de identificar cuáles son los posibles daños que podrá ocasionar un atacante.
Con lo anterior es mucho más sencillo realizar un plan de acción para que, si llega a pasar, puedas disminuir las afectaciones. Recuerda: la tecnología no es perfecta, es perfectible y siempre habrá un desocupado que irá más adelante que nosotros. Citando a Sebastian Bortnik, un ejecutivo de seguridad de la firma ESET:
“Para realizar una prueba de penetración de forma profesional, es necesario sumar a los conocimientos de hacking ético, otros aspectos fundamentales como: programación, metodologías, documentación, entre otros. No obstante, esos aprendizajes suelen venir una vez que se conocen y se saben utilizar muchas herramientas que son parte del proceso de penetration testing.”
Finalmente, algo que el mismo Bortnik recomienda es que más allá de las herramientas utilizadas para realizar el Pentest, también es vital utilizar nuestro sentido común. ¿Por qué? Bueno, porque se ha demostrado que los atacantes no sólo se dedican a implementar códigos de software: lo que hacen es pensar como engañarnos de manera efectiva. Así, tenemos que pensar como ese atacante: “si yo fuera un hacker cómo haría para robar la información de mi empresa”. Mientras más dudas tengas, mejor, ya que eso te ayudará a tratar de cubrir todos los blancos.