Blog - Seguridad | Informática

Usar puntuación: / 10
MaloBueno 

Últimamente podemos apreciar que el misticismo y casi ocultismo que había antes sobre los conceptos de hacking se van desvaneciendo poco a poco (por lo menos los conceptos básicos e intermedios) ya sea por la cantidad de información que hay online o por los cursos de entrenamiento en tests de penetración y hacking ético.

Todo esto ha logrado también que ya varias industrias comiencen a darse cuenta de las ventajas que trae el hacer pruebas exhaustivas de hacking ético para complementar sus esfuerzos en seguridad de la información y lograr encontrar vulnerabilidades antes que los atacantes; agregando a esto el cumplimiento de estándares y requerimientos de la industria como PCI DSS o aquellos establecidos por la SBS u otros organismos reguladores.

Las empresas, entonces, con el principal interés de mantenerse seguras, mostrar una imagen de confianza a sus clientes e impulsadas por los requerimientos anuales de estándares como PCI DSS (Payment Card Industry Data Security Standards) empiezan a considerar hacer sus propias pruebas de seguridad informática (in-house).

Decidir entre hacer las pruebas de penetración por un equipo interno o tercerizarlo no es una decisión que puede ser tomada a la ligera ya que contiene varios factores a ser analizados.

Una auditoría de buen nivel puede costar desde USD 5,000 hasta los USD 50,000 o en algunos casos más, dependiendo del alcance, objetivos, profundidad, tiempo de auditoría y reputación de la empresa auditora. Un producto de análisis de vulnerabilidades puede costar desde unos cuantos cientos de dólares hasta llegar fácilmente a los USD 30,000 por una herramienta focalizada.

Lo sé, la diferencia salta a la vista. Mientras suena muy tentador salvar miles de dólares adquiriendo un producto de análisis de vulnerabilidades e internalizar el proceso, esto conlleva a otros costos que no estamos tomando en cuenta. Debemos sopesar los costos en recursos humanos, entrenamiento y software con los que tendríamos si tercerizáramos el proyecto de auditoría.

Haremos un análisis un poco más profundo acerca de estos factores de costo.

Recursos humanos

Empezaremos analizando este factor porque me parece el más importante si es que se quiere internalizar los procesos de auditoría. La pregunta será entonces: ¿Tenemos personal capacitado y que cuente con las habilidades requeridas para realizar este tipo de proyectos de auditoría?
Dependiendo de la respuesta podemos tener 2 escenarios:

1. No tenemos personal por lo que tenemos que contratar personal adicional, que esté además especializado en el tema y ofrecerle un sueldo competitivo en el mercado laboral. Si este es nuestro caso debemos fijarnos en el perfil profesional que pediremos. Hay que recordar que el hecho que una persona tenga algún certificado no significa necesariamente que esta persona es buena en lo que ofrece. Recuerden que las certificaciones, al igual que los títulos académicos, son relativas y representan tan solo una parte del desarrollo y desenvolvimiento del profesional.
2. Tenemos algunas personas que si tienen algunas de las habilidades necesarias. Ahora habría que pensar si sus tareas y responsabilidades actuales pueden coexistir con estas nuevas asignaciones que se le dará. Si tendrá el tiempo suficiente, si su rendimiento será aceptable y si estará de acuerdo con trabajar por la misma suma de dinero o quizás pida un aumento. Si lo recolocamos, tenemos que redistribuir o llenar la plaza que el empleado está dejando libre para que la productividad no descienda en el área donde se desempeñaba el empleado.

Próximamente Parte 2 y 3.