¿En qué momento debería considerar las pruebas de penetración para su negocio?

Cada 39 segundos, los hackers atacan para infiltrarse en sus redes y robar información privada. Por cada incidente, puede perder un promedio de casi 4 millones de dólares, junto con una imagen de marca dañada y la confianza del cliente. Especialmente si es una pequeña empresa, ese costo asombroso puede obstaculizar seriamente su rendimiento financiero e incluso cerrar sus operaciones.

Es por eso que para evitar que las filtraciones de datos destruyan su negocio, debe invertir en controles sólidos de ciberdefensa, como pruebas de penetración (o pruebas de penetración, para abreviar). Para hacer eso, necesita saber, entre otras cosas, el mejor momento y las mejores condiciones para llevarlo a cabo, y eso es exactamente lo que abordaremos en esta publicación.

Pero primero, para ayudarlo a comprender mejor esas cosas, veamos la razón por la que necesita pruebas de penetración para su empresa.

Por qué necesita la prueba de penetración

Por un lado, las pruebas de penetración exponen las vulnerabilidades críticas presentes en sus redes y sistemas de TI. Algunas de estas vulnerabilidades incluyen fallas en la autenticación y el cifrado, así como en las configuraciones del dispositivo, la red y el host, como el almacenamiento en la nube y tener contraseñas débiles.

Cuando tiene fallas en estos componentes, los piratas informáticos pueden lanzar ataques de intermediarios e interceptar su correspondencia en línea con clientes, empleados y otros. Las pruebas de penetración pueden incluso revelar fallas en las inyecciones de comandos como SQL, que usa para actualizar y recuperar información de las bases de datos, verificar si existe una columna en el servidor SQL y más.

Esto es crucial porque cuando los piratas informáticos inyectan comandos SQL maliciosos, pueden controlar la liberación de información confidencial de sus bases de datos back-end. Además de las vulnerabilidades de su sistema, las pruebas de penetración pueden revelar cómo los piratas informáticos pueden explotarlas (si las deja sin parchear) y qué tan fuerte puede resistir los ataques cibernéticos. Al servir como simulaciones de ataques, las pruebas de penetración pueden mostrarle esas cosas porque le brindan una ilustración realista de la condición de sus defensas de TI.

A partir de estos hallazgos, puede aprender cómo evitar ser pirateado y mejorar su postura de seguridad cibernética a partir de las acciones recomendadas que proporcionarán los evaluadores de penetración. Las pruebas de penetración le brindan la oportunidad de involucrar a sus ejecutivos, gerentes y personal, particularmente a su equipo de TI, para abordar aspectos esenciales de su ciberseguridad.

Por ejemplo, puede reforzar las políticas y programas de su empresa sobre autorización de acceso a datos, gestión de riesgos y otros. Incluso puede organizar capacitaciones al personal sobre seguridad de la información y reconocimiento de tácticas fraudulentas, entre otros.

La difusión de recursos útiles también puede aumentar la conciencia de su personal sobre la ciberseguridad y el papel de las pruebas de penetración. Cuando se trata de aprender sobre ciberseguridad, estos son algunos de los recursos más importantes que puede consultar:

• Pruebas de penetración: https://www.bulletproof.co.uk/penetration-testing
• Técnicas de detección y prevención de phishing: https://www.csoonline.com/article/2117843/what-is-phishing-how-this-cyber-attack-works-and-how-to-prevent-it.html
• Importancia de la formación en ciberseguridad: https://www.entrepreneur.com/article/340838

Las pruebas de penetración también pueden ayudarlo a cumplir con los estándares relevantes de la industria, como verá en la siguiente sección.

Cuándo realizar pruebas de penetración

Uno de los mejores momentos para realizar pruebas de penetración para su empresa es cuando recientemente implementó nuevos sistemas, infraestructuras de TI, aplicaciones y otros, o les agregó cambios significativos. Estos cambios incluyen, por ejemplo, la actualización de su firmware, actualizaciones y parches de software, y modificaciones en los protocolos de su firewall.

Idealmente, debe ejecutar pruebas de penetración justo antes de usar el sistema de manera operativa y aplicarle cambios frecuentes y drásticos. Si realiza pruebas de penetración demasiado pronto mientras lo modifica constantemente, puede pasar por alto cualquier falla de seguridad presente en sus sistemas.

Además, si lanza sistemas nuevos o recientemente renovados sin una evaluación de seguridad adecuada, puede exponerse a riesgos cibernéticos y posibles ataques de infiltración. También debe considerar las pruebas de penetración cuando maneja información confidencial de la empresa y del cliente y transacciones financieras en línea.

Por ejemplo, si posee una tienda de comercio electrónico, sus clientes pueden proporcionar sus nombres, direcciones postales, números de tarjetas de crédito y otros datos personales para pagar sus compras en línea. Administrar información confidencial como esta lo convierte en un objetivo tentador para los ciberdelincuentes, quienes intentarán piratear sus sistemas, robar sus activos e infligir daño. Sin pruebas de penetración, y mucho menos controles de seguridad sólidos, puede tener dificultades para proteger estos activos de datos de las amenazas cibernéticas.

Tampoco sabrá concretamente qué tan débiles o fuertes son sus defensas de TI, a qué es susceptible y cómo puede frustrar los ataques. Tratar con datos privados de clientes y empresas también significa que debe cumplir con los estándares relevantes de la industria, otra instancia para considerar las pruebas de penetración.

Por un lado, debe seguir el Reglamento General de Protección de Datos al procesar la información de las personas en Internet. Si su negocio trabaja con detalles médicos y de salud, debe cumplir con la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 (HIPAA).

Facilitar tarifas en línea a través de tarjetas de crédito y esquemas de tarjetas prominentes lo hace responsable de los Estándares de seguridad de datos de la industria de tarjetas de pago (PCI-DSS). Service Organisation Control (SOC) 2 es para cuando proporciona servicios de almacenamiento de datos de clientes en la nube.

Estos estándares de la industria requieren que garantice la solidez de sus tecnologías para garantizar la seguridad de los datos. Algunos de ellos incluso lo obligan explícitamente a realizar pruebas de penetración periódicamente para cumplir con las normas.

Frecuencia de las pruebas de penetración

Aunque existen tecnologías de seguridad innovadoras para empresas disponibles, los expertos en seguridad suelen recomendar que las empresas realicen pruebas de penetración cada seis meses a un año.

Las regulaciones de la industria que sigue también arrojan luz sobre la frecuencia con la que debe administrar el examen para cumplir con sus requisitos.

Por un lado, la HIPAA exige que contrate proveedores de servicios externos para realizar pruebas de penetración al menos una vez al año.

Por otro lado, PCI-DSS y SOC 2 requieren que realice pruebas de penetración cada seis meses.

Puede observar estos patrones periódicos como una guía general para la frecuencia de ejecución de pruebas de penetración en su negocio.

No hay mejor momento que ahora

Si los piratas informáticos atacan cada 39 segundos, no puede permitirse el lujo de ser pasivo y convertirse en la próxima víctima de las ciberamenazas. Las pruebas de penetración le brindan la oportunidad de proteger sus sistemas de TI primero antes de que los piratas informáticos puedan atacar y lanzar sus viciosos ataques cibernéticos.

Es por eso que no hay mejor momento que ahora para considerar las pruebas de penetración para su negocio. Cuanto antes pueda hacerlo, más rápido podrá proteger sus activos comerciales y experimentar los beneficios de las pruebas de penetración para su productividad, rendimiento y operaciones a largo plazo.

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

• 4 formas de utilizar la tecnología para mejorar la productividad de su empresa
• Cómo el correo de voz sin timbre puede aumentar el éxito de su negocio
• Las necesidades de TI más comunes para las pequeñas y medianas empresas
• Los mejores productos tecnológicos que toda empresa necesita según Robinderpal Rathor