129
ETHICAL HACKING 2.0
El test de intrusión como proyecto Antes de avanzar al próximo capítulo y habiéndonos familiarizado con parte de la metodología de un test de intrusión o Ethical Hacking, es interesante detenerse brevemente para analizar algunas consideraciones metodológicas en lo que a estos respecta.
Alcance del proyecto De igual manera que para cualquier otra actividad, para lograr el éxito del proyecto, es fundamental tener claramente definido cuál es el alcance del test de intrusión. Conocer quiénes son los interesados en el proyecto es un factor clave, ya que todos ellos habrán generado un conjunto de expectativas que no necesariamente serán acordes a lo que se obtendrá una vez ejecutado. Por ejemplo, suponer que el resultado de la evaluación determinará el nivel de seguridad de la organización es erróneo o, cuanto menos, parcial. Un test de intrusión o una evaluación de vulnerabilidades solamente muestra el estado de
EL RESULTADO DE LA EVALUACIÓN NO
seguridad en un momento determinado, como si
DETERMINA EL NIVEL
fuese una fotografía. Tampoco es conclusivo en
DE SEGURIDAD DE LA
todos los aspectos relacionados con la seguridad de la información, ya que es una evaluación de
ORGANIZACIÓN
carácter técnico. Si bien sobre la base de los hallazgos técnicos un profesional con experiencia puede inferir con alto nivel de certeza las debilidades en los procesos, estos resultados no son determinantes. Para confirmar debilidades en los procesos, se requiere otro tipo de evaluaciones, como los análisis de brecha con ISO 27001 (ISO 27001 GAP).
Desarrollo del proyecto Desde la óptica del análisis de procesos de un test de intrusión, en especial cuando este es realizado por un equipo de trabajo y no por un único consultor, es necesario contar con puntos de control que permitan medir el avance de las actividades inherentes a cada una de las etapas que lo integran. Cada una de estas actividades tendrá una entrada, por ejemplo, el rango de direcciones IP, obtenido de la etapa
www.redusers.com