Hacking ético

¿Qué es?

Es un proceso de identificación de vulnerabilidades sobre los sistemas de información de una organización, mediante el uso de las técnicas y mecanismos que un usuario malintencionado utilizaría para violar los mecanismos de seguridad implementados y provocar daños mediante la pérdida de confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad.

La ventaja de este tipo de pruebas es que se realizan en un entorno controlado de manera que no se producen daños, pudiendo prevenir situaciones no deseadas (robo de información, caída de los sistemas, accesos no autorizados…).

 

¿A quién afecta?

Todas las organizaciones dependen de sistemas informáticos para la gestión de su información de negocio. El uso generalizado, a la vez que imprescindible, de sistemas y servicios como el correo electrónico, el uso de aplicaciones web e interconexiones de sistemas, entre otros, introduce factores de riesgo que pueden ser aprovechados por usuarios malintencionados.

Estos riesgos pueden tener su origen tanto en personal u organizaciones externas, como en personal interno (por ejemplo, empleados descontentos o proveedores), suponiendo estos últimos la principal amenaza al disponer de acceso a los recursos y la información de la organización.

Por todo esto, el proceso de auditar la seguridad de los sistemas mediante técnicas de hacking ético, puede beneficiar a cualquier organización.

 

¿Para qué sirve?

Permite identificar vulnerabilidades que un atacante, externo o interno, podría explotar para causar un perjuicio en los sistemas de información de una organización o para tener acceso a información o servicios de manera no autorizada.

Asimismo permite evaluar la eficacia de las medidas de seguridad implantadas y plantear soluciones a los posibles problemas encontrados.

 

¿Qué implicaciones tiene?

Para una completa evaluación de la seguridad de los sistemas pueden llevarse a cabo distintos tipos de pruebas:

  • Externas: Desde fuera de las instalaciones de la organización, intentando aprovechar vulnerabilidades en los servicios que se ofrecen al exterior.
  • Internas: Desde dentro de las propias instalaciones, con acceso a la red de la organización.
  • Análisis Web: Análisis de la vulnerabilidades que pudieran afectar a las aplicaciones o páginas web de la organización.

Asimismo cada una de las pruebas puede realizarse con distintos privilegios para verificar de qué sería capaz cada uno de los perfiles con acceso a los sistemas. El hecho de que las tecnologías se actualicen constantemente hace recomendable que se realicen a cabo estas pruebas de manera periódica.

 

Ventajas de su aplicación

La realización de pruebas de hacking ético permite identificar vulnerabilidades, aplicando las medidas correctoras adecuadas, antes de que sean explotadas por personal no autorizado.

Clientes ENS/ENI

Ver Todos

Nuestras Certificaciones

Ver Certificaciones

Newsletter (Ver anteriores)

Apúntate a nuestro Newsletter

Jornadas

Jornadas y eventos organizadas o en los que participa Start Up

Ver Jornadas

Ver Publicaciones

Guía de Implantación del ENS

Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014 y su aplicación en el Esquema Nacional de Seguridad

Ver Guías