Durante el mes de diciembre de 2011, en un foro[i] de discusión se comentaba si las pruebas de penetración ya no aportan el valor que deberían, e incluso se decía que no es posible calcular el ROI (retorno de inversión, por sus siglas en inglés). Esta discusión no es nueva, incluso Schneier[ii] ha dado a conocer su opinión respecto al valor de una prueba de penetración.

Mi experiencia con pruebas de seguridad se remonta a mi último año de universidad, pues como parte de mi primer intento de tesis me propuse realizar un modelo que pudiera mapear los resultados de un estudio basado en OSSTMM(Open Security Methodology Manual) a un tablero de control (Balanced Score Card). Desde aquella época me di cuenta de que muchas organizaciones dan un enfoque equivocado a los objetivos de las pruebas de seguridad, y por tal razón en ocasiones no quedan plenamente convencidas de los resultados.  A mediados de la década pasada comenzaron a tomar fuerza las certificaciones relacionadas con pruebas de penetración, hackeo ético e investigación forense, y muchos proveedores de seguridad se enfrascaron en campañas mercadológicas hablando de los hackers éticos, los hackers de sombrero blanco, etcétera. Incluso podríamos decir que se puso de moda hablar del tema.

Hoy en día un gran porcentaje de las empresas realizan pruebas de seguridad en sus organizaciones por dos razones principales:

  1. Cumplimiento regulatorio: algunas regulaciones como CNVB, SOX o PCI requieren que se realicen pruebas de seguridad sobre la infraestructura tecnológica.
  2. Justificación de presupuesto de seguridad: los resultados de las pruebas permiten mostrar el impacto de las vulnerabilidades sobre la organización para, de esta manera,  justificar los presupuestos de seguridad de la información.

Ambos enfoques tienes sus desventajas. Menciono un par:

  1. Cumplimiento regulatorio: cumplir con los controles de seguridad que exige una regulación y exponerlos al menos una vez por año a una prueba de seguridad no permite asegurar que se esté a salvo. Hay casos documentados de organizaciones que, aún cumpliendo con las regulaciones e incluso con estándares como ISO-27001 siguen siendo comprometidas y tienen brechas de seguridad.
  2. Justificación de presupuesto: pensar que un estudio de pruebas de seguridad nos mostrará todos los posibles huecos y vectores de ataque a los cuales estamos expuesto es muy osado, ya que las pruebas están limitadas por el tiempo que se les dedica, el alcance y la habilidad de los consultores que las realizan. Además se debe tener en mente que la seguridad de la información va más allá de un exploit o una prueba de seguridad.

Pero entonces surge la pregunta ¿Son requeridas las pruebas de seguridad?, yo creo que sí, pero con el enfoque adecuado. A continuación expongo algunas ideas que me gusta comentar con nuestros clientes cuando me consultan sobre pruebas de seguridad:

  • Si se necesita identificar vulnerabilidades en los sistemas, el servicio adecuado es un análisis de vulnerabilidades, en el que se utilizan herramientas especializadas que han sido afinadas de acuerdo a las necesidades del cliente y que permiten validar el estado actual de la seguridad de los activos. Este análisis detecta:
    • Vulnerabilidades conocidas.
    • Configuraciones por omisión.
    • Malas configuraciones de seguridad.
    • Nivel de estado de seguridad respecto a alguna regulación.

Y no se trata solo de ejecutar una herramienta, se requiere trabajo de análisis especializado para descartar falsos positivos,  interpretar los resultados, ponderarlos y  priorizar las tareas de remediación.

  •  Si se requiere probar un control de seguridad, lo que recomiendo es realizar una prueba de penetración enfocada a los activos que están protegidos por el control, con esto podemos validar su funcionamiento y el objetivo final es robustecerlo. En este rubro pueden abarcarse los análisis de riesgos técnicos, en los cuales probamos la efectividad de los controles tecnológicos como son firewall, IPS, filtrado de contenido e incluso proveedores de seguridad.
  • Si se necesita saber si la organización está expuesta a una cierta vulnerabilidad, se prepara un escenario de ejecución de ataque; quizás a usted le gustaría, por ejemplo, saber si  su organización está lista para soportar un ataque de DDoS o APT.
  • Si una organización quiere medir el nivel de madurez global de su política de seguridad entonces lo ideal es realizar un estudio de hackeoético, en el cual el objetivo es obtener información sensible mediante diversas técnicas como son:
    • Pruebas de penetración.
    • Ingeniería social.
    • Pruebas de seguridad física.
  • Si el fin es cumplir alguna regulación, es importante no solo limitarse a los activos. Siempre es recomendable evaluar el flujo completo de los servicios; esto permite tener una visión más amplia de los resultados.

En conclusión, si una organización tiene muy claro el valor de sus activos, su sensibilidad, el flujo de sus servicios y las medidas de protección con las que cuenta, será más fácil definir los objetivos de una prueba de seguridad  para que realmente “sirva de algo”.

[email protected]

[i] http://www.linkedin.com/groupItem?view=&gid=3011302&type=member&item=87193138&qid=8e4b1870-5d31-421b-83d7-015b916349f9&trk=group_most_popular-0-b-ttl&goback=%2Egmp_3011302

[ii] http://www.schneier.com/blog/archives/2007/05/is_penetration.html