Descarga el PDF
Encontrar en el mercado negro información sensible sobre una empresa —o propiedad de ella— es factible, si no se tiene cuidado con el tema de la seguridad informática, y no se tienen reiteradas pruebas de penetración, o pentest, para evitar se vulnerados.
Lamentablemente, muchas empresas realizan este tipo de pruebas sólo cuando por ley se les solicita, o incluso cuando se acuerdan de que es necesario saber qué tan vieja o austera es su infraestructura contra un ciberataque. Punto en contra de la protección de datos.
Sin embargo, esta es la mayor desgracia que azota a miles de compañías: deciden hacer pruebas de penetración sólo después de que han sido víctimas de los hackers, cuando ya han perdido una parte valiosa de su propiedad intelectual, registros, información de identificación personal del cliente, y el robo es incalculable.
Sólo como muestra: en 2014 fueron expuestas 348 millones de identidades por hackeo a computadoras y móviles de personas comunes y empresas, debido a la falta de seguridad. Estos datos dados a conocer en el estudio 2016 de la compañía Norton, muestran que 44% de los usuarios de internet, han sufrido un ataque de la ciberdelincuencia, principalmente las empresas.
PENTEST: LO QUE DICEN LAS NORMAS
Para muchos expertos, las regulaciones establecen que al menos una vez al año se deben hacer pruebas de penetración. Sin embargo, para muchos analistas, lo más recomendable, si se tiene una compañía grande que tiene buena parte de su operación en internet, es hacer constantemente este tipo de pruebas, sobre todo si se han recibido ataques que no han tenido éxito, o simplemente para mantener actualizada la infraestructura de seguridad.
¿Con qué frecuencia para el resto? Se complica por el hecho de que algunas empresas necesitan un pentest más que otras. Algunas industrias, por ejemplo el sector financiero, están más regulados que otras, y tienen que cumplir con requisitos de pruebas de penetración más seguido.
Sin embargo, cualquier organización que maneja datos y que se preocupa de mantener la confidencialidad en cierto nivel de responsabilidad, deben hacerlos constantemente.
La recomendación más oportuna que se puede dar desde un punto de vista especializado, es la realización de pruebas de penetración cada trimestre.
Por encima de todo, es necesario asegurarse de que se está haciendo la prueba apropiada. Al final, todos los sistemas y aplicaciones son presa fácil para un ataque. Más importante que la frecuencia con que debe probarse la seguridad de la empresa, es la necesidad de asegurarse de que se ejecuten las pruebas de manera eficaz y coherente en el tiempo.
