Planificación y ejecución de evaluaciones de seguridad informática desde un enfoque de ethical hacking

La tecnología ha avanzado tan rápido en los últimos 20 años que los temas de seguridad informática parecen haber pasado desapercibidos. Cualquier debilidad en una aplicación, sensor o infraestructura tecnológica deriva en un riesgo de ciberataque, se convierte en una amenaza que no solo afecta a alguien particular, una institución o una empresa, sino que toda una sociedad estaría en riesgo, es por esto que es necesario conocer los riesgos que se encuentran directamente relacionados con la operación de una organización, sus activos y sus individuos, se debe identificar vulnerabilidades internas y externas y la probabilidad de que ocurra un daño considerable.
Una evaluación de la seguridad informática se puede caracterizar como aquel proceso cuyo fin principal es determinar si el objetivo de la evaluación ya sea éste un host en una red, un sistema de información, una base de datos, una red, un procedimiento, o inclusive un individuo, satisface determinados objetivos de seguridad establecidos previamente o definidos por las buenas prácticas y estándares de la industria (Tejada, 2015).
Tres tipos de métodos de evaluación pueden ser utilizados en este proceso y que se discutirán en el presente documento: verificación, examinación y entrevista. Verificación es el proceso de ejercitar uno o más objetos de evaluación en determinadas condiciones, con el objetivo de comparar comportamiento real con comportamiento esperado. Examinación es el proceso de comprobación, inspección, revisión, observación, estudio y análisis que se le aplica a un objeto de evaluación para facilitar entendimiento, clarificar y obtener evidencia. Entrevista es el proceso de mantener discusiones con individuos o grupos dentro de una organización con objetivos similares al del proceso de examinación, pero con cuestionarios dirigidos y previamente elaborados partiendo de una lista de cumplimiento o mejores prácticas que deberían prevalecer en el ámbito del contexto donde se realizará la evaluación de seguridad.
El objetivo principal de este libro es brindar una guía para desarrollar aspectos de planificación y ejecución necesarios para las evaluaciones de seguridad informática. Aquí se presentan métodos técnicos de verificación y examinación que pueden ser usados por una organización como parte medular de una evaluación de seguridad, incluyendo referencias e indicadores sobre la ejecución de esos métodos que pueden ser de ayuda, por ejemplo, para analistas de seguridad, para entender el impacto que pueden tener sobre los sistemas o redes objetivo de la evaluación.

(…)

El autor