BLOG

El pentest como herramienta de diagnóstico eficaz

by | Sep 2, 2015 | Blog

Screen Shot 2015-09-02 at 11.55.11 AM 
Screen Shot 2015-09-02 at 11.56.57 AMDavid Schekaibán, Director de Seguridad Informática
Screen Shot 2015-09-02 at 11.54.47 AMDavid Taboada, Director General.
Screen Shot 2015-09-02 at 12.01.45 PMArnulfo Espinosa, Presidente del consejo Directivo de ISACA Capítulo Monterrey

El pasado jueves 27 de agosto David Taboada, Director General en código verde y David Schekaibán, Director de Seguridad Informática, expusieron frente a la audiencia de ISACA Capítulo Monterrey, asociación mundial de profesionales en Gobierno de TI, presidida por Arnulfo Espinosa, en su desayuno técnico: el pentest como herramienta de diagnóstico eficaz.

Dentro de los temas tratados en este desayuno se destacan las recomendaciones acerca del uso del pentest como una herramienta de diagnóstico eficaz desde dos perspectivas: la intención estratégica y el rigor técnico.

Una prueba de penetración no es un escaneo de vulnerabilidades.

Una prueba de penetración necesariamente debe de explotar vulnerabilidades y como resultado de esa explotación medir el impacto y el riesgo que esto representa para la organización, si no llegas hasta ahí, no vas a saber cómo administrar los riesgos y por lo tanto cómo administrar las vulnerabilidades

El pentest debe cumplir con una intención estratégica que permita:

1- Inducir a una perspectiva favorable de la alta dirección hacia la seguridad informática, asignar recursos, gente y los sacrificios que esto implica.

2- Sensibilizar y movilizar a TI, sobre la relevancia de la Seguridad Informática, a modo que sean ágiles en la remediación de sus vulnerabilidades.

3- Movilizar a la organización a mantenerse alerta. Y no solamente a quien se le asignó un cargo de Analista de Seguridad y que ahora es CISO, sino a la organización completa.

Los hallazgos de alto impacto en una Prueba de Penetración te permiten habilitar la conversación con la Alta Dirección y movilizar a TI una vez presentadas las evidencias contundentes, comienza y gana por un knock out. 

El rigor técnico en una Prueba de Penetración implica una excesiva y escrupulosa severidad. Es un proceso que no deja lugar a sospechas y permite controlar la calidad de la información.

El rigor técnico nos va a permitir mantener un lenguaje que evita causar la falsa sensación de Seguridad al contar la misma historia de manera diferente cada vez.

Una Prueba de Penetración es una historia que se debe saber contar. 

Si tú como los asistentes a este Desayuno Técnico de ISACA deseas presenciar una exposición más de nuestros directores no olvides que estaremos presentes en Expo Tecnología TIC’s y Seguridad el próximo 10 de septiembreAprovecha la oportunidad de ganar un descuento sobre tu próximo curso de certificación con nosotros. Confirma tu registro y asistencia con nosotros aquí.

 

Share This