Los procedimientos de evaluación de vulnerabilidades y pruebas de penetración (VAPT) son reconocidos en la industria de la ciberseguridad por su función holística. El entorno de hacking ético diseñado durante un procedimiento de pentesting revela mucha información sobre la respuesta del sistema a un ataque. Revela la cantidad máxima de vulnerabilidades y detalles de respuesta a incidentes sobre las redes, sistemas y aplicaciones.
Por lo general, un proceso de evaluación o auditoría de seguridad avanza hacia un procedimiento de pentesting como el final natural para resolver las lagunas de seguridad descubiertas. Sin embargo, varios requisitos de cumplimiento y mandatos gubernamentales dictan un procedimiento de prueba de penetración obligatorio para garantizar la seguridad de los datos de los clientes. Las organizaciones de cada industria tienen reglas de cumplimiento específicas para la seguridad de la información que se han hecho obligatorias.
5 requisitos y mandatos de cumplimiento que incluyen pentesting
A continuación se muestran algunos estándares, reglas y regulaciones de pentesting de uso común en industrias específicas y para ciertos propósitos de ciberseguridad:
- PCI-DSS
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) está diseñado para proteger los detalles de pago de los clientes, específicamente los datos de los titulares de tarjetas. Las empresas que aceptan pagos con tarjeta en línea deben someterse a revisiones de seguridad anuales de PCI para mantener los estándares de cumplimiento.
PCI-DSS 3.2 (Requisito 11) exige pruebas de penetración periódicas y formularios de pruebas internas y externas, ya sea anualmente o después de cambios significativos en la infraestructura. Las pruebas de penetración bajo este estándar de cumplimiento prueban el entorno de datos del titular de la tarjeta (CDE) y la infraestructura desde dentro y fuera de la organización.
Un proveedor de servicios de penetración ideal para PCI-DSS debería realizar pruebas para detectar configuraciones erróneas no seguras, cifrado inadecuado, vulnerabilidades de codificación y permisos de acceso incorrectos.
- RGPD
El Reglamento General de Protección de Datos (GDPR) opera para organizaciones dentro del mercado europeo y brinda cobertura para todas las cuestiones de protección de datos. Su principal demanda son las organizaciones que almacenan los datos personales de los clientes para una mejor seguridad de la información y el mantenimiento de los estándares de gobernanza. Por lo tanto, las organizaciones deben prestar especial atención al almacenamiento, procesamiento y manejo de dichos datos para realizar pruebas.
El artículo 32 del RGPD define un procedimiento de pentesting como un procedimiento regular de prueba y evaluación de la eficiencia de la preparación técnica y la respuesta organizacional para la seguridad de los datos. Recomienda la realización periódica de procedimientos de pentesting y detección de vulnerabilidades para identificar y probar los riesgos descubiertos.
Las pruebas de penetración ideales según el RGPD se realizan anualmente en componentes internos y externos, incluidos correos electrónicos, plataformas CRM, procesos de protección de datos personales, etc.
- ISO 27001
ISO 27001, un estándar de seguridad de datos popular, forma parte del conjunto de estándares ISO/IEC . Su característica única incluye un marco integral de controles bajo los Sistemas de Gestión de Seguridad de la Información (SGSI) . Este conjunto de estándares de seguridad garantizará que todas las vulnerabilidades de seguridad se detecten y resuelvan y que las barreras de seguridad se actualicen para hacer frente a nuevas amenazas.
ISO 27001 requiere la modificación de las estrategias de seguridad de acuerdo con sus propios riesgos de seguridad sin pasos obligatorios. En cambio, proporciona una lista detallada de sugerencias que cubren las mejores prácticas de seguridad en un tono general. El objetivo A.12.6.1 define la necesidad de detectar vulnerabilidades de seguridad de forma rápida y eficiente, entendiendo la exposición del sistema y las medidas de resolución.
Al implementar un proyecto SGSI, es extremadamente útil seguir estos pasos y someterse a pruebas de penetración. La empresa de pruebas de penetración que elija debería poder modificar sus evaluaciones de riesgos, su tratamiento y proporcionar medidas de refuerzo de seguridad.
- CSP rápido
El Programa de seguridad del cliente (CSP) de SWIFT es parte del sistema de comunicaciones interbancarias de SWIFT y mejora su seguridad para las instituciones financieras. Existe una lista de controles necesarios y consultivos para la seguridad del entorno de la organización, rastreando las vulnerabilidades, limitando la exposición y tratándolas. El Principio 2 menciona lo mismo con respecto a la gestión de la vulnerabilidad y el control de la exposición.
Si bien esto comenzó como un proceso de autoevaluación, las pruebas de penetración ahora se han vuelto obligatorias con un diseño de prueba, implementación de seguridad y efectividad de prueba adecuados. A partir de, SWIFT evaluará los criterios de prueba de las organizaciones, solicitará pruebas adicionales de cumplimiento y utilizará estos datos para servicios de terceros.
- DSP del Servicio Nacional de Salud
El conjunto de herramientas de protección y seguridad de datos (DSP) está diseñado para los sistemas de atención médica del Reino Unido según el estándar de protección de los Estándares de seguridad de datos del National Data Guardian (NDG) . Esta norma es aplicable para la protección de la información de salud y seguridad social.
El Estándar 9 menciona una estrategia de prueba para proteger los sistemas de las ciberamenazas con pruebas de penetración anuales, evaluando la infraestructura de red y los servicios web.
NDG recomienda realizar pruebas de penetración adecuadas sin efectos adversos en los activos que se prueban. El proveedor de servicios de penetración externo debe analizar los riesgos generales para proporcionar una calificación de criticidad para una mayor resolución.
Estos son sólo algunos de los múltiples estándares que existen en diversas industrias para garantizar la seguridad de los datos. A veces, determinadas organizaciones exigen estándares de cumplimiento más allá de los exigidos por la industria, según el propósito comercial. Elegir un proveedor de servicios de pruebas de penetración con las habilidades y la experiencia adecuadas para comprender sus requisitos es clave para la seguridad de su empresa.
Si todavía tiene dudas sobre las pruebas de penetración, su importancia para su organización y el tipo exacto de prueba que necesita, intente comunicarse con una empresa experta en pruebas de penetración o un proveedor de soluciones.