¿Cada cuánto tiempo debería realizar un test de penetración?

Se dice normalmente que los test de penetración y escaneo de vulnerabilidades deberían realizarse de forma periódica para asegurarnos de que todas las vulnerabilidades,  incluyendo las recién descubiertas, son estudiadas y remediadas antes de que puedan ser aprovechas por los cibercriminales.

Muchas empresas esperan demasiado tiempo antes de volver a ejecutarlos, o lo hacen exclusivamente cuando la ley se lo exige, algo que podría ser erróneo si tenemos en cuenta que no todos los negocios, webs y clientes son iguales, por no hablar de países y otras circunstancias. Debemos adaptar nuestro plan.

¿Cada cuanto tiempo debería realizar un test de penetración?

Yo no te voy a dar la respuesta, de hecho tú deberías saberlo mejor que yo si administras la seguridad de tu empresa o departamento. Lo que sí puedo darte son algunas preguntas que debes hacerte para llegar a la conclusión acertada.

• Probabilidad de ser atacado: tener una compañía de un perfil alto o con un objetivo que resulte apetecible para los atacantes  -por ejemplo empresas que almacenan gran cantidad de información de proveedores o usuarios finales- es un motivo para acelerar los test de intrusión. También las menciones en los medios y otros eventos que puedan poner tu organización en el foco.
• La presencia (negativa) en los medios: la mala prensa o salir en medios por un motivo equivocado -eventos políticos, daños al entorno, derechos humanos- te sitúan en un escenario más vulnerable.
• Requerimientos de certificación: ¿tienes que cumplir con alguna normativa específica como PCI DSS?
• Uso de software open-source: normalmente, más vulnerable a automatizados.
• Cambios significativos: es decir, si la red o infraestructura de tu empresa han cambiado sustancialmente.

Pentesting e ISO 27001

Si queremos cumplir con la normativa ISO 27001 nos conviene implementar un ISMS o Information Security Management System, ya que beneficia nuestros test de intrusión de 3 formas:

1. Como parte del proceso de Evaluación de riesgos, un test de penetración identificará vulnerabilidades en nuestras aplicaciones web, dispositivos internos o aplicaciones, así como en direcciones IP expuestas a Internet y los relacionará con amenazas identificables.
2. Como parte del proceso de Gestión de riesgos, un test de intrusión garantizará que todo funciona como esperamos que debe ser.
3. Como parte del proceso de Mejora Continua, este tipo de pruebas de fortaleza asegura que estos controles siguen siendo válidos y continúan proporcionándonos información sobre nuevas vulnerabilidades.

Test de penetración para cumplir con PCI DSS

El requerimiento número 11 de la normativa PCI DSS 3.2 establece que:

[…]Componentes de sistema, procesos y software personalizado deben ser puestos a prueba frecuentemente para asegurar que los controles siguen reflejando un panorama evolutivo[…]

Entonces, ¿cuándo hacer un test de intrusión?

Nuestro plan de penetration testing debería ser llevado a cabo en cualquier momento cuando una (o varias) de las siguientes situaciones ocurra:

• Se han aplicado parches de seguridad
• Se ha modificado de forma considerable la infraestructura o red
• Se ha añadido una aplicación web o elemento de infraestructura nuevos
• Se ha cambiado de ubicación nuestra oficina o se ha añadido una sede a la red corporativa

Publicaciones como ITGovernance -dedicadas a este tipo de capacitación- recomiendan llevar a cabo test de penetración de nivel 1 de forma trimestral, seguidos de un test de nivel 2 de forma anual.

A grandes rasgos, la diferencia entre ambos niveles de pentesting se sitúa en que mientras el nivel 1 se limita a enumerar las vulenrabilidades mediante escaneo automatizado y manual, el nivel 2 lleva a cabo la explotación efectiva de las mismas, para así establecer el impacto de los ataques sobre un sistema real.