Ética Pirata

El ethical hacking hoy en día es una herramienta muy útil para minimizar los riesgos de que a una empresa le exploten alguna vulnerabilidad. Las llamadas pruebas de penetración son la fórmula para detectar estos huecos en la seguridad de una compañía y sellarlos.

Una manera de asegurar un prueba eficiente y sin daños colaterales es el utilizar personal que no solo esté capacitado, si no que cuente con certificación EC-Council. Hoy en día la certificación EC-Council se encuentra en su Versión 5, desde noviembre del 2006.


Un hacker ético certificado, cuenta con las habilidades para detectar los debilidades de un sistema y que maneja las herramientas y conocimientos que manejaría un cyberdeliencuente, con la diferencia del uso final que se le daría a al información recopilada.


Las empresas de seguridad han aprendido como sacarle provecho a esta nueva figura para demostrarle a un determinado cliente. En el caso de la consultora PriceWaterhouseCoopers, uno de sus especialistas, Oscar Campos, Consultor Senior, comentó “más del 95% de las pruebas realizadas en los clientes muestran vulnerabilidades que pueden ser explotadas por un posible intruso. En muchas ocasiones se encuentran configuraciones de fábrica (por default) en los dispositivos evaluados lo que hace más vulnerable la infraestructura”.

Por su parte en Panda Security, prefieren un enfoque diferente, para ellos, la palabra hacking no se encuentra dentro de su vocabulario y aun cuando su negocio es la seguridad, ven a los hackers como el enemigo. Para Jose Javier Merchan, ellos basan sus auditorías en sus herramientas de defensa y no en posibles sistemas de ataque, ven los sistemas de sus clientes desde adentro.
Entrevista con Andrés Casas, Asesor de Riesgos, Deloitte & Touche, S.A.

¿Cúal es el perfil de contratación de personal con conocimientos técnicos para fungir como “hacker ético”?

El perfil de las personas debe preferiblemente estar enfocado en seguridad de redes con capacidades de programación, orientado al análisis crítico e investigativo. La parte de habilidades personales se evalúa con las pruebas de contratación.


¿Cuáles son las principales cláusulas o características de el código de ética bajo el que se rige el utilizar personal con estas características?

Tenemos un comité de ética encargado de recibir las consultas y denuncias referentes a temas de ética y aplicar las sanciones correspondientes. A su vez, esta el listado de competencias de nuestro Principio ético por el cual se rige nuestro personal como Objetividad, Respeto, Confidencialidad, Honestidad e Integridad.


¿Cuáles son algunas de las medidas de contención para poder asegurar que la prueba de penetración sea “segura”?

Para la aplicación de pruebas preferimos utilizar los laboratorios de seguridad, donde se han implementado ambientes seguros y controlados. Este laboratorio es una red totalmente independiente a la red de Deloitte. Para los casos donde las pruebas deben ser ejecutadas en las oficinas del cliente, preparamos un equipo portátil únicamente para tal fin y finalizado el trabajo, se entrega al cliente el disco duro para que se asegure de eliminar la información (destrucción o desmagnetización).


¿Cuáles son las restricciones a las que se enfrentan por parte de sus clientes a la hora de hacer pruebas de penetración utilizando “hackers”?

La restricción más importante es poder definir cual es la intención de la Alta Gerencia con la llevada a cabo de la consultoría de seguridad. En la mayoría de las ocasiones, las organizaciones han idealizado que pruebas de ataque y penetración es el fin de la seguridad y dejan de lado la implementación de un sistema de administración de seguridad.

 

Leave a comment

Send a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *