¿Necesita mi empresa una Auditoría de Hacking Ético?

¿Necesita mi empresa una Auditoría de Hacking Ético?

Nuestros sistemas pueden ser vulnerables y, quizás, no somos conscientes de lo que un ataque tanto interno como externo nos puede suponer, y ¿qué mejor comprobación de que nuestros sistemas son seguros o no, que la de realizar un “ataque ficticio” o lo que actualmente se llama como hacking ético?

El objetivo de esta auditoría se centra en evaluar todos sus sistemas de seguridad, intentando encontrar algún agujero para acceder a la información, cómo si de un hacker se tratase.

Para realizar una buena auditoría de Hacking Ético, y siguiendo la metodología internacionalmente reconocida OSSTMM, se deberían evaluar y comprobar los siguientes aspectos:

  • Information Gathering: Mediante la fase de Information Gathering se pretende obtener toda la información de libre acceso disponible sobre la empresa o entidad a estudiar.
  • Estudio y análisis de la red: La fase de estudio de la red se efectúa desde un punto de conexión a la red a estudiar y se considera intrusiva, obteniéndose La información que se desea obtener es: Listado de equipos activos y sus servicios, mapa de red, etc.
  • Detección de vulnerabilidades: El objetivo es listar todas las posibles vulnerabilidades para todos los equipos y servicios detectados.
  • Obtención de acceso: En esta fase se pretende la obtención de contraseñas, elevación de privilegios, y acceso a datos, o ubicaciones restringidas.

El informe de la auditoría contrastaría las deficiencias detectadas y el plan de acción para mitigar los riesgos, es decir,  tendremos la información necesaria para saber donde tenemos “agujeros” y qué necesitamos para “taparlos”. Así podremos  conseguir que ningún hacker nos robe datos de carácter personal o cualquier tipo de información de la empresa.

Por tanto creemos que es fundamental realizar este tipo de auditorías que nos aportan datos reales de dónde necesitamos y tenemos que reforzar en nuestra seguridad para no vernos atacados.

Áudea Seguridad de la Información

www.audea.com