El marco global de habilidades y competencias para un mundo digital

Pruebas de penetración PENT

La valoración de vulnerabilidades de la organización mediante el diseño y la ejecución de pruebas de penetración que demuestran cómo un adversario puede trastocar los objetivos de seguridad de la organización o lograr objetivos adversos específicos. Ejecutar pruebas de penetración puede ser actividad aislada o parte de las pruebas de aceptación antes de la aprobación para operar. La identificación de conocimiento más profundo sobre los riesgos comerciales de diversas vulnerabilidades.

Niveles de responsabilidad para esta habilidad

4 5 6

Pruebas de penetración: Niveles 1-3

Por lo general, esta habilidad no se observa ni se practica en estos niveles de responsabilidad y rendición de cuentas.

Pruebas de penetración: Nivel 4

Mantiene un conocimiento actualizado sobre ataques de malware y otras amenazas contra la seguridad informática. Crea casos de prueba mediante un análisis técnico en profundidad de los riesgos y las vulnerabilidades habituales. Crea guiones de pruebas, materiales y paquetes de pruebas para probar el software o los servicios nuevos y existentes. Especifica requerimientos para el entorno, los datos, los recursos y las herramientas. Interpreta, ejecuta y documenta guiones de prueba complejos utilizando estándares y métodos acordados. Registra y analiza acciones y resultados. Revisa los resultados de las pruebas y modifica las pruebas si es necesario. Provee reportes sobre el progreso, las anomalías, los riesgos y los asuntos asociados con el proyecto global. Reporta sobre la calidad del sistema y recopila métricas sobre casos de prueba. Ofrece asesoramiento experto para soportar a otros.

Pruebas de penetración: Nivel 5

Coordina y gestiona la planificación de pruebas de penetración dentro de un área de actividad del negocio definida. Aporta conocimientos objetivos sobre la existencia de vulnerabilidades, la efectividad de controles de defensas y mitigación, tanto los que ya están en funcionamiento como aquellos que se planee implementar en un futuro. Asume la responsabilidad de la integridad de actividades de realización de pruebas y coordina la ejecución de estas actividades. Provee orientación y asesoramiento autorizados sobre la planificación y la ejecución de pruebas de vulnerabilidad. Define y comunica la estrategia de prueba. Gestiona todos los procesos de prueba y contribuye a los estándares de realización de pruebas de seguridad en la organización.

Pruebas de penetración: Nivel 6

Adopta un enfoque exhaustivo para buscar vulnerabilidades en todos los aspectos de las políticas, los procesos y las defensas de la organización con el fin de mejorar la preparación de la organización, mejorar la capacitación para los practicantes defensivos y examinar los niveles de desempeño actuales. Determina la política de realización de pruebas y es dueño de los procesos de soporte. Asume la responsabilidad por la gestión de todas las actividades de prueba de vulnerabilidad dentro de la organización. Valora y asesora sobre la viabilidad de las alternativas de procesos de prueba. Pone en marcha mejoras en los procesos de realización de pruebas y dirige su implementación. Valora las capacidades de realización de pruebas y desarrollo de los proveedores. Gestiona las relaciones con los clientes con respecto a todos los asuntos de la realización de pruebas.

Pruebas de penetración: Nivel 7

Por lo general, esta habilidad no se observa ni se practica en este nivel de responsabilidad y rendición de cuentas.