¿Porqué hacer pruebas de penetración empresarial según las directrices de PCI?

Share this…

De acuerdo con el PCI SSC, las organizaciones pueden utilizar los servicios de seguridad informática como pruebas de penetración para identificar las vulnerabilidades, para determinar si el acceso no autorizado a sus sistemas u otras actividades maliciosas es posible. La guía, desarrollada por PCI Special Interest Group, tiene como objetivo ayudar a las organizaciones de todos los tamaños, presupuestos y sectores a evaluar, implementar y mantener una metodología de servicios de seguridad informática. Hay un montón de maneras diferentes en que las pruebas de penetración son descritas, realizadas y comercializadas. A menudo confundido con la realización de un “análisis de vulnerabilidades”, “auditoría de cumplimiento” o “evaluación de la seguridad”, las pruebas de penetración se distinguen de estos esfuerzos en unos pocos aspectos críticos:

  • Las pruebas de penetración es una herramienta crítica para verificar que la apropiada segmentación este en su lugar para aislar el entorno de datos de titulares de tarjetas de otras redes, para reducir el alcance de PCI DSS.
  • Una prueba de penetración no se detiene simplemente el descubrimiento de vulnerabilidades: pasa al siguiente paso para explotar activamente esas vulnerabilidades con el fin de probar (o refutar) de ataque del mundo real contra los activos de TI de una organización, los datos, los seres humanos, y / o alguna otra seguridad física.
  • Si bien una prueba de penetración puede implicar el uso de herramientas automatizadas y marcos de procesos, el enfoque es sobre la persona o equipo de probadores, la experiencia que ellos aportan a la prueba, las habilidades y los medios que ellos  aprovechan en el contexto de un ataque activo en su organización. Esto no puede dejar de enfatizarse. Incluso altamente automatizadas, con buenos recursos, y avanzados redes que implementen sofisticadas tecnologías de contramedidas, suelen ser vulnerables a la naturaleza única de la mente humana, que puede pensar lateralmente y fuera de la caja, puede hacer las dos cosas análisis y síntesis, y está armada con un motivo y determinación.
  • Una prueba de penetración está diseñado para responder a la pregunta: “¿Cuál es la efectividad real de mis controles de seguridad existentes en contra de un, humano, atacante experto ” Podemos contrastar esto con la seguridad o auditorías de cumplimiento que comprueba la existencia de necesarios controles y sus configuraciones correctas, mediante el establecimiento de un escenario simple: Incluso una organización compatible 100% todavía pueden ser vulnerables en el mundo real contra una amenaza humana bien calificada.
  • Una prueba de penetración permite múltiples vectores de ataque para ser explorados contra el mismo objetivo. A menudo es la combinación de la información o las vulnerabilidades a través de diferentes sistemas que darán éxito a un ataque. Si bien hay ejemplos de pruebas de penetración que limitan su alcance a un solo objetivo a través de un vector (ejemplo, una prueba de intrusión de aplicaciones web realizado sólo desde el punto de vista del navegador de Internet), sus resultados siempre se deben tomar con importancia: mientras que la prueba puede haber proporcionado resultados valiosos, sus resultados sólo son útiles dentro del mismo contexto se llevó a cabo la prueba.