Noticias

Aug 27, 2023

Por qué las pequeñas empresas necesitan pruebas de penetración

Don Lupejkis es arquitecto de soluciones del equipo de seguridad InfoSec de CDW. Su pasión es ayudar a las organizaciones en su viaje hacia un entorno más seguro. Christine Prisco es directora de programas de

Don Lupejkis es arquitecto de soluciones del equipo de seguridad InfoSec de CDW. Su pasión es ayudar a las organizaciones en su viaje hacia un entorno más seguro.

Christine Prisco es directora de programas de la práctica de gestión de productos y socios de CDW. Trabaja con soluciones de ciberseguridad para mejorar productos, servicios e iniciativas para satisfacer mejor las necesidades de nuestros clientes.

Las pruebas de penetración son un punto de partida vital para la estrategia de ciberseguridad de cada organización. Las pruebas de penetración ayudan a las empresas a identificar las vulnerabilidades de la red y brindar orientación sobre cómo solucionarlas.

Un desafío es garantizar que las pruebas cubran suficiente terreno para identificar áreas clave comprometidas. Otra es obtener un informe del socio de pruebas que sea completo y fácil de entender.

Cuando una empresa reconoce la necesidad de realizar una prueba de penetración pero no obtiene los resultados que necesita, no recibe ningún beneficio por realizar la prueba. Es un poco como pasar por un examen médico invasivo sólo para recibir un diagnóstico en un idioma extranjero.

Para evitar ese destino, esto es lo que debe saber sobre cómo aprovechar al máximo una prueba de penetración y cómo encontrar el socio de prueba de penetración adecuado.

Haga clic en el bannerpara descubrir la lista de BizTech de personas influyentes en TI para pequeñas empresas.

Una prueba de penetración es una evaluación de la seguridad de una red. Cuando la realiza un tercero, una prueba de penetración involucra a un hacker ético certificado que intenta violar las redes comerciales interiores o exteriores (según el tipo de prueba realizada) para identificar posibles puntos de compromiso.

Los evaluadores de penetración están capacitados para pensar como piratas informáticos y utilizan los mismos métodos que sus homólogos maliciosos. El concepto es similar a proteger su casa: para proteger su casa contra robos, es posible que necesite el consejo de alguien con experiencia en irrumpir en casas.

Esto se debe a que existe una diferencia entre intentar prevenir un ataque y buscar puntos débiles. Lo que puede parecer seguro puede en realidad ser vulnerable; descubrirlo está en el enfoque.

Cuando se trata de pruebas de penetración, son comunes dos conceptos erróneos.

La primera es que las pruebas de penetración arrojan en gran medida los mismos resultados, independientemente de quién las ejecute. Pero la experiencia de los evaluadores marca una gran diferencia en cómo abordan los ataques a la red y qué encuentran.

En segundo lugar, los buenos probadores de penetración son suficientes por sí solos. La realidad es que ni siquiera las pruebas de primer nivel mejorarán las defensas si no se combinan con informes completos. Es vital que los evaluadores detallen todo lo que hacen porque las empresas necesitan saber qué se probó, cómo se probó y dónde falló.

DESHACER:Descubra cómo los líderes de TI están reinventando sus infraestructuras de ciberseguridad.

Don Lupejkis Arquitecto de soluciones, CDW

Existen varios tipos comunes de pruebas de penetración, cada una con su propio propósito:

DESCUBRIR:Lo que las pequeñas empresas necesitan saber sobre el seguro cibernético.

Para muchas empresas, apuntar a una prueba de penetración completa una vez al año es un objetivo razonable basado en recursos presupuestarios y limitaciones de tiempo. Si es posible, puede ser recomendable cada seis meses o incluso trimestralmente.

Sin embargo, en muchos casos ni siquiera se realizan pruebas de penetración anuales. Los presupuestos son un problema, como informa TechRepublic, y 1 de cada 3 empresas cita el dinero como motivo para no realizar las pruebas con más frecuencia. Algunas organizaciones pueden pensar, si no está roto, no lo arregles. Pero si bien las redes débiles pueden no parecer rotas en la superficie, muchas mostrarán grietas incluso bajo la más mínima presión.

Por último, todavía existe una preocupación generalizada por la incertidumbre en materia de seguridad; Muchas empresas no quieren que parezca que no saben lo que están haciendo. El problema aquí es que evitar las pruebas de penetración porque podrían revelar problemas desconocidos no resuelve el problema, simplemente mantiene a las empresas en la oscuridad.

Christine Prisco Gerente de Programa, CDW

EXPLORAR:Descubra cómo los líderes de TI deberían elaborar estrategias durante un período de incertidumbre económica.

Elegir el socio de pruebas de penetración adecuado es fundamental para obtener resultados procesables. Pero ¿cómo saben las empresas quién es bueno y quién no?

Comience con la experiencia. Los proveedores con más experiencia y conocimientos en la industria suelen ser más minuciosos y confiables. A continuación, evalúe la transparencia del evaluador. Las empresas deben solicitar un informe de muestra para ver cómo se entregan los resultados de las pruebas. Si un evaluador de penetración no le proporciona esto, aléjese.

Finalmente, asegúrese de buscar un proveedor que priorice la privacidad. Esto significa que los resultados de sus pruebas de penetración deben entregarse únicamente a las personas que usted designe y no deben compartirse entre los equipos internos del proveedor ni con su fuerza laboral en general.

En pocas palabras, las pruebas de penetración deberían ser una prioridad para las empresas que desean comprender dónde son vulnerables a los ataques y saber qué deben hacer al respecto. Al asociarse con un proveedor experimentado, las empresas pueden obtener datos procesables cuyo costo vale la pena.

Este artículo es parte de la serie de blogs AgilITy de BizTech. Únase a la discusión en Twitter.