¿Por qué hacer pentesting no es suficiente para proteger tu negocio?
Autor: ESED - It & CyberSecurity
Recientemente, las inversiones en ciberseguridad por parte de empresas han visto un aumento significativo. Sin embargo, autoridades como el FBI advierten que puede que no sea suficiente. Uno de los métodos para protegerse de las amenazas de cibercriminales es el pentesting, pero ¿qué es y por qué podría no ser suficiente?
El pentesting, o hacking ético, se basa en atacar sin fines maliciosos a un objetivo con el fin de identificar sus vulnerabilidades. Piénsalo, la mejor manera de prevenir un ataque empieza por saber por donde es más probable que te hieran. El pentesting, o penetration test, usa una gran variedad de técnicas para evaluar la seguridad de un environment e intentar explotar las vulnerabilidades que pueda encontrar. Estos protocolos suelen hacerse una vez al año, pero en casos donde pueda sospecharse una mayor vulnerabilidad del sector o empresa, sea por un clima altamente cambiante u otros motivos, estos test pueden hacerse de manera bi-anual o semestral.
¿Qué hace un pentester?
Según cada situación concreta, lo que haga un pentester puede variar. Hay una serie de factores que pueden condicionar la naturaleza de su trabajo, como los objetivos puestos por la empresa, el tamaño de esta o incluso el riesgo en el que se encuentre dicha organización. Sin embargo, algunas de estas funciones incluyen hacer una evaluación de la seguridad física, auditorías de seguridad, desarrollar nuevas maneras de testear las vulnerabilidades de un sistema, aconsejar a la dirección en términos de seguridad.
Entonces, ¿por qué no es suficiente hacer pentest?
No se hacen suficientes test
Antes decíamos que el estándar para empresas es hacer pentesting una o dos veces al año, sin embargo, es fácil ver por qué esto supone un problema. En cualquier momento pueden aparecer nuevas vulnerabilidades, y un pentest simplemente evalúa el estado del sistema en ese momento preciso. Es como tomar una fotografía de un paisaje, ¿quién te dice que ese paisaje va a permanecer así 6 meses más? No hay manera de saberlo. La única manera de estar 100% seguro de que tu empresa está protegida es hacer pentest de manera diaria, e incluso así los hackers pueden encontrar maneras de hackearte. Recuerda, los buenos deben hacerlo bien siempre, a los malos les basta con hacerlo bien una vez.
Actuación tardía
Cuando un problema o una debilidad surge tras un pentest es indispensable construir un plan de actuación efectivo de manera rápida para solucionar esos issues. Una respuesta tardía implica que estás poniendo en riesgo a los datos de tu compañía para que algún hacker con malas intenciones los encuentre.
Recursos limitados
No hablamos solo de recursos económicos, en ESED nos premiamos por ofrecer servicios de ciberseguridad para todos los bolsillos, hay una gran escasez de personal cualificado. Es muy difícil encontrar a profesionales bien preparados para llevar a cabo trabajos de ciberseguridad. Según el Center for Strategic and International Studies, la demanda de personal de ciberseguridad ha crecido más de un 50% desde 2015.
No hay una estrategia de ciberseguridad
Una buena estrategia de ciberseguridad es fundamental para garantizar la seguridad de tu empresa. De nada sirve que sepas el estado de tu sistema tras un pentest si no vas a hacer algo para remediar los issues. En el mundo de la ciberseguridad nos gusta premiarnos en el trabajo bien hecho, y para eso la mejor manera de enfocarlo es trabajar un poco cada día, de manera que tu sistema esté bien mantenido y no surjan emergencias.
Has visto que aunque el pentesting sea una de las buenas prácticas más extendidas en materia de ciberseguridad, hace falta mucho más que eso para garantizar la seguridad de tu negocio.
En ESED ofrecemos servicios gestionados a medida para ayudarte a llevar todos estos temas que quizá son un poco más pantanosos, pero que a nosotros nos encantan.