Las pruebas de penetración o PenTest son críticos para la operación y mantenimiento de los programas de seguridad de la información en una organización. Éstos nos ayudan a identificar brechas de seguridad, evaluar las amenazas de un sistema, evaluar recursos, entre otros propósitos. Para obtener resultados correctos es necesario considerar factores como el cumplimiento a las normas, presión del mercado, liderazgo, etc. En muchas ocasiones las empresas creen que tras lograr una certificación o reconocimiento de una norma, ya han llegado a la etapa final o terminó todo su trabajo, cuando en realidad recién está empezando.

Valor del PenTest

Muchas veces desconocemos qué es lo que está corriendo por nuestras venas informáticas como son las redes, esto debería preocuparnos ya que te sorprenderías saber las cosas que están corriendo en su red contra las cosas que tú crees que están corriendo en la red. Por ejemplo, en tecnologías Microsoft una de las herramientas que nos pueden ayudar en el rastreo de evidencias dentro de una red, es Active Directory, que en conjunto como Windows PowerShell se podría aplicar técnicas de Analítica, con ello podemos rastrear cantidad enorme de registros y entender patrones humanos contra las restricciones organizacionales existentes en la red.

Validez del PenTest

Pero, como auditores ¿Cómo demuestro que las pruebas de penetración realizadas y sus resultados, son válidos?, para ello dependerá mucho de los detalles de la metodología utilizada, generalmente se un PenTest se tiene que ver como una investigación el cual tendrá resultados a través del estudio de unas muestras, éstas muestras deben ser las evidencias del auditor, auditor o equipo de auditoría que además debe ser de entera confianza para evitar conflicto de intereses.

Evitar conflicto de intereses

Esto mucho tiene que ver con la contratación de un auditor o empresa auditora independiente. ¿Por qué?, imagínate que un profesor les da a los alumnos la chance de colocarse ellos mismos todas sus notas de exámenes, en su mayoría se colocarán notas altas. Esto quedará a conciencia del auditado, si necesita él mismo contar con un área de auditoría interna y tomar esos resultados como válidos sin compararlos con los resultados de una auditoría con otra perspectiva, quedará en la conciencia de la organización.

Consejo audit

Si está buscando la certificación de una Norma, evite que Ud. mismo realice una auditoría previa a la certificación en su organización, contrate un consultor especializado para que tenga una semejanza a la auditoría de certificación final. No olvide definir bien el alcance de sus pruebas de penetración, ya que de eso dependerá de la muestra a tomar y analizar.