¿Qué es?
Se trata de un proceso de identificación de vulnerabilidades en los sistemas de información. Se basa en llevar a cabo las acciones que un atacante seguiría para violar la seguridad de los sistemas con la ventaja de que no se producen daños y se pueden prevenir posibles situaciones no deseadas (robo de información, caída de los sistemas, accesos no autorizados…)
¿A quién afecta?
Cualquier organización depende hoy en día de sistemas informáticos para la gestión de información. El uso generalizado de interconexiones con otros sistemas como pueden ser correo electrónico, conexiones remotas para mantenimientos o el simple uso de internet hacen que se encuentren expuestas a amenazas provenientes del exterior. Aunque las únicas amenazas no provienen de los entornos externos de las organizaciones. Los empleados de la propia empresa o personal de empresas subcontratadas pueden suponer la principal amenaza ya que disponen de acceso a la información de la organización. Es por eso que este proceso podría beneficiar a toda organización.
¿Para qué sirve?
Permite identificar las brechas de seguridad que un atacante podría utilizar para saltarse las medidas de seguridad que la organización tenga aplicadas, poniéndonos tanto en la situación de un atacante externo como en la de un atacante interno a la organización (empleados, proveedores, etc…).
¿Qué implicaciones tiene?
Para una completa evaluación de la seguridad de los sistemas pueden llevarse a cabo distintos tipos de pruebas:
Asimismo cada una de las pruebas puede realizarse con distintos privilegios para verificar de qué sería capaz cada uno de los perfiles con acceso a los sistemas. El hecho de que las tecnologías se actualicen constantemente hace recomendable que se realicen a cabo estas pruebas de manera periódica.
Ventajas de su aplicación
La realización de pruebas de hacking ético permite identificar vulnerabilidades antes de que sean explotadas por personal no autorizado, aplicando las medidas correctoras adecuadas.