La evaluación de seguridad

Vamos a analizar las distintas opciones al momento de evaluar la seguridad de una organización. En función de la profundidad y el alcance que se le quiera dar a dicha evaluación, se escogerá la mejor opción disponible. Así, vamos a definir los conceptos de Vulnerability Assessment y Penetration Test para sumarlos al de Ethical Hacking, previamente analizado. 

También veremos algunas clasificaciones en función de los distintos tipos de análisis, algunas consideraciones relacionadas con la decisión de realizar una evaluación de seguridad en una organización y cómo llevarla adelante. Es importante mencionar que ninguna evaluación vinculada con tareas de auditoría de seguridad (en especial las de los servicios de Penetration Test y/o Ethical Hacking) debería ser iniciada hasta que no se haya firmado un acuerdo legal que brinde a aquellos involucrados en el proyecto, expresa autorización para llevarla a cabo. 

En muchos países que poseen legislación relativa a los delitos de seguridad de la información, el hacking de redes o sistemas sin previo permiso y autorización por parte de personal legalmente válido para otorgarlos es considerado un crimen. Particularmente la ley norteamericana, en el Cyber Security Enhancement Act of 2002, dispone aplicar cadena perpetua a hackers que imprudentemente pongan en peligro la vida de los demás. 

Los hackers maliciosos que ataquen redes y sistemas informáticos relacionados con sistemas de transporte, compañías de energía o cualquier otro servicio público y generen algún tipo de amenaza contra la vida podrían ser procesados por esta ley. Antes de continuar, vale la pena una aclaración. Respecto de la diversidad de criterios en cuanto a la definición de Penetration Test, análogamente al caso de Ethical Hacker, vamos a comenzar por decir qué no es. 

Penetration Test (o PenTest) no es una auditoría de seguridad, donde se evalúa hasta qué punto están bien implementadas ciertas medidas, comúnmente alineadas con alguna norma o estándar. No es un análisis de riesgo en el cual, en función de los activos de la organización, se analiza cuál sería el impacto que tendrían las distintas amenazas respecto de ellos. Tampoco es un Vulnerability Assessment. De aquí probablemente surja una duda razonable: ¿qué es un Vulnerability Assessment? En los proximos post, vamos a aclarar este punto.