La elección de una empresa de ciberseguridad para un penetration test (pentest) es una decisión crucial para la seguridad de tu organización. Un Web Application Penetration Test (WAPT) eficaz puede revelar vulnerabilidades ocultas y proteger tu infraestructura web frente a posibles ataques. Este artículo te guiará a través de los criterios fundamentales para seleccionar a la empresa adecuada, las diferencias entre pentest internos y externos, y te proporcionará una lista de verificación de preguntas útiles.
Criterios fundamentales para la selección
Al elegir una empresa de ciberseguridad para un penetration test, es esencial evaluar diversos factores:
- Certificaciones: las certificaciones son un indicador de competencia y profesionalidad. Busca empresas que posean certificaciones reconocidas en el sector, como ISO 9001:2015 para sistemas de gestión de calidad y ISO/IEC 27001:2013 para la seguridad de la información. Estas certificaciones demuestran que la empresa sigue estándares rigurosos y procesos de alta calidad.
- Experiencia sectorial: la experiencia en sectores específicos es un valor añadido. Una empresa que haya trabajado con organizaciones similares a la tuya tendrá una comprensión más profunda de tus necesidades y de los riesgos específicos de tu sector. ISGroup, por ejemplo, cuenta con experiencia en diversos sectores, incluyendo infraestructuras críticas como química, energía y transporte, además de sectores privados como banca y seguros.
- Metodologías: una empresa de ciberseguridad fiable debe seguir metodologías de prueba reconocidas y estándares internacionales. Estándares como PTES (Penetration Testing Execution Standard) y OSSTMM (Open Source Security Testing Methodology Manual) son indicadores de un enfoque estructurado y completo. Además, una buena empresa debería utilizar una combinación de técnicas manuales y herramientas adecuadas para identificar vulnerabilidades tanto evidentes como ocultas.
- Equipo de expertos: asegúrate de que la empresa disponga de un equipo de profesionales cualificados y expertos en ethical hacking y análisis de seguridad. Busca empresas cuyos miembros participen en la comunidad de investigación INFOSEC, publiquen avisos de seguridad y colaboren con los creadores de cursos de certificación. La experiencia práctica es fundamental; un equipo que proviene del mundo del hacking puede ofrecer una perspectiva más profunda y realista. ISGroup, por ejemplo, destaca su origen en el hacking y su experiencia plurianual.
- Transparencia y garantía: la transparencia en el proceso de testing y la garantía de los resultados son esenciales. Una empresa seria debería ofrecer una garantía de reembolso si no es capaz de realizar la actividad. La capacidad de proporcionar informes claros y detallados, con un executive summary para la dirección y detalles técnicos para los especialistas de TI, es otro signo de profesionalidad.
- Herramientas propias: el uso de software y procedimientos propietarios puede dar una ventaja en la identificación de vulnerabilidades poco comunes o especialmente ocultas. Esto indica una fuerte inversión en investigación y desarrollo por parte de la empresa.
- Cumplimiento (Compliance): una empresa debería ser capaz de ayudarte a cumplir con los requisitos normativos, como el RGPD, ISO/IEC 27001 y las directivas para la Administración Pública como AgID.
Penetration Test internos vs externos
Es importante entender la diferencia entre pentest internos y externos:
PT internos: simulan un ataque por parte de un usuario interno de la organización, como un empleado o un colaborador. Estas pruebas son útiles para identificar vulnerabilidades dentro de la red y para evaluar los riesgos derivados de amenazas internas.
PT externos: simulan un ataque por parte de un atacante externo, como un hacker que opera desde Internet. Estas pruebas son cruciales para evaluar la seguridad de la infraestructura expuesta a Internet y las aplicaciones web accesibles al público. Las empresas especializadas en pentest utilizan a menudo un enfoque black box, simulando a un atacante que no tiene información previa.
Las fuentes indican que, por defecto, los ataques simulados se realizan desde el exterior, es decir, desde Internet, a menos que se especifique lo contrario.
Preguntas esenciales que hacer durante la selección
Aquí tienes algunas preguntas que deberías hacer a las empresas de ciberseguridad que estás evaluando:
- ¿Qué certificaciones poseéis?
- ¿Cuánta experiencia tenéis en mi sector específico?
- ¿Qué metodologías de testing seguís?
- ¿Tenéis un equipo de expertos en ethical hacking?
- ¿Ofrecéis una garantía sobre los resultados de la prueba?
- ¿Utilizáis herramientas y software propietarios?
- ¿Cómo gestionáis los datos sensibles durante la prueba?
- ¿Cómo se presentan los resultados de la prueba?
- ¿Ofrecéis soporte para la remediación de las vulnerabilidades?
- ¿Sois capaces de ayudarnos con los requisitos de cumplimiento?
Penetration Test: Comparativa entre estándares internacionales
Las metodologías de pentest se basan en estándares internacionales como:
PTES (Penetration Testing Execution Standard): que proporciona un marco detallado para la realización de penetration tests, cubriendo todas las fases, desde la planificación hasta la elaboración de informes.
OSSTMM (Open Source Security Testing Methodology Manual): ofrece una metodología detallada para la evaluación de la seguridad, centrándose en la identificación de vulnerabilidades técnicas y procedimentales. ISGroup, por ejemplo, declara utilizar una combinación de estas metodologías consolidadas con técnicas más modernas.
OWASP (Open Web Application Security Project): que proporciona una guía específica para los Web Application Penetration Test (WAPT), con un enfoque en las vulnerabilidades más comunes en las aplicaciones web, como el OWASP Top 10.
Elegir una empresa de ciberseguridad para un penetration test eficaz requiere una evaluación cuidadosa de diversos factores, desde las certificaciones hasta la experiencia sectorial. Un socio fiable debe ser capaz de ofrecer un enfoque metodológico, un equipo de expertos y una garantía de resultados. Utilizando la información y las preguntas proporcionadas en este artículo, serás capaz de tomar una decisión informada para proteger a tu organización frente a las amenazas informáticas.
Recuerda, la seguridad es una inversión, no un gasto.