Escrito por Gabriel Lazo Miércoles, 11 de Agosto de 2010 00:00
Blog - Seguridad | Informática
En esta tercera y última parte de ¿Hacking ético in-house? (ver parte 1 y parte 2), se concluirá con preguntas de autoevaluación sobre la base de los temas detallados en las partes anteriores.
Una vez que estos factores han sido correctamente analizados, usted deberá hacerse una serie de preguntas muy importantes, entre estas:
¿Podrá ser mi equipo de auditores lo suficientemente objetivo como para encontrar errores cometidos por sus compañeros de trabajo?
Muchas veces el equipo auditor interno no reporta ciertas fallas porque alguien cercano o colega de trabajo fue quien no aseguró el objeto analizado y ambos caen en el mito de que este será despedido o reprendido por haber incurrido en la falta.
¿Estará mi equipo de auditores preparado para pensar “fuera de la caja” y en forma abstracta para enfocarse en los vectores de ataque reales y que de verdad necesitan atención?
En ocasiones, cuando un equipo lleva trabajando un tiempo largo en un proyecto, cae en lo que es llamado “Visión limitada”, lo que significa que, debido a que el auditor estuvo en contacto con el proyecto ya tiene una opinión lateralizada acerca de cuáles podrían ser los puntos débiles de la aplicación a ser analizada. Esto bien podría ser muy peligroso porque puede ser totalmente lo contrario.
Recordemos que cuando un hacker malicioso hace sus ataques externos, no tiene conocimiento de la aplicación ni los detalles que giran alrededor del proyecto, este es el punto de vista que se le debe dar a la auditoria de seguridad informática externa.
Como experiencia profesional, no saben las veces que hemos visto este tipo de situaciones. Personal de desarrollo que ya hizo algún tipo de pruebas de seguridad al proyecto, pero como tiene un punto de vista lateralizado, dejan de lado aspectos importantes de seguridad, ciertamente más críticos y que consecuentemente terminan en un ataque de penetración exitoso y con algunos controles de seguridad vulnerados.
Por último, recuerde que aunque existan herramientas automatizadas, el arte del hacking aun sigue requiriendo un nivel técnico avanzado para conseguir realizar ataques manuales complejos. No exija de su personal que sean hackers éticos de gran nivel si es que su día a día no lo permite.
Si por el contrario tiene personas dentro de la empresa destinadas solamente a estas labores, recuerde que es recomendable capacitarlo semestralmente e invitarlo a asistir a conferencias y charlas de seguridad informática en forma frecuente para asegurar que tiene conocimientos actualizados acerca de los vectores de ataque. Incluso en este escenario es recomendable hacer una prueba de penetración tercerizada de vez en cuando para ver si el equipo interno está ejecutando bien los ataques.
| < Prev | Próximo > |
|---|
 |
 |
 |
 |
 |
 |
Revista Impresa #15
Kiosco Digital
 |
Ingreso de usuarios
Capacitación
- GL: Programa Integral de Capacitacion y Desarrollo - Red de Ejecutivos Innovadores
- CAECE: Certificación en Dirección de Seguridad de la Información
- GL: Programa Integral de Capacitacion & Desarrollo "Red de PyMES Emprendedoras"
- CAECE ICS: Diplomatura Universitaria Derecho a la Legítima Defensa
- Universidad Austral: PGRF - Métricas internacionales en software
- Universidad Austral: PGSI - Gestión de la Seguridad Informática
- Universidad Austral: MOIT - Posgrado en Planificación y Gestión de las Tecnologías de la Información
Registrados
Esta semana: 2 registrados
Este mes: 5 registrados
Visitas
 | Hoy | 1153 |
 | Ayer | 6506 |
 | Esta semana | 7659 |
 | Ultima semana | 37116 |
 | Este mes | 34466 |
 | Ultimo mes | 148794 |
 | Todos los días | 7679134 |
Hoy: Feb 07, 2012