Nuestros sistemas pueden ser vulnerables y, quizás, no somos conscientes de lo que un ataque tanto interno como externo nos puede suponer, y ¿qué mejor comprobación de que nuestros sistemas son seguros o no, que la de realizar un “ataque ficticio” o lo que actualmente se llama como hacking ético?
El objetivo de esta auditoría se centra en evaluar todos sus sistemas de seguridad, intentando encontrar algún agujero para acceder a la información, cómo si de un hacker se tratase.
Para realizar una buena auditoría de Hacking Ético, y siguiendo la metodología internacionalmente reconocida OSSTMM, se deberían evaluar y comprobar los siguientes aspectos:
- Information Gathering: Mediante la fase de Information Gathering se pretende obtener toda la información de libre acceso disponible sobre la empresa o entidad a estudiar.
- Estudio y análisis de la red: La fase de estudio de la red se efectúa desde un punto de conexión a la red a estudiar y se considera intrusiva, obteniéndose La información que se desea obtener es: Listado de equipos activos y sus servicios, mapa de red, etc.
- Detección de vulnerabilidades: El objetivo es listar todas las posibles vulnerabilidades para todos los equipos y servicios detectados.
- Obtención de acceso: En esta fase se pretende la obtención de contraseñas, elevación de privilegios, y acceso a datos, o ubicaciones restringidas.
El informe de la auditoría contrastaría las deficiencias detectadas y el plan de acción para mitigar los riesgos, es decir, tendremos la información necesaria para saber donde tenemos “agujeros” y qué necesitamos para “taparlos”. Así podremos conseguir que ningún hacker nos robe datos de carácter personal o cualquier tipo de información de la empresa.
Por tanto creemos que es fundamental realizar este tipo de auditorías que nos aportan datos reales de dónde necesitamos y tenemos que reforzar en nuestra seguridad para no vernos atacados.
Áudea Seguridad de la Información