El marco global de habilidades y competencias para un mundo digital

Pruebas de penetración PENT

La valoración de vulnerabilidades de la organización mediante el diseño y la ejecución de pruebas de penetración que demuestran cómo un adversario puede trastocar los objetivos de seguridad de la organización o lograr objetivos adversos específicos. Ejecutar pruebas de penetración puede ser actividad aislada o parte de las pruebas de aceptación antes de la aprobación para operar. La identificación de conocimiento más profundo sobre los riesgos comerciales de diversas vulnerabilidades.

Niveles

Definido en estos niveles: 4 5 6

Pruebas de penetración: Niveles 1-3

Esta habilidad no se observa típicamente al trabajar en estos niveles de responsabilidad.

Pruebas de penetración: Nivel 4

Mantiene un conocimiento actualizado sobre ataques de malware y otras amenazas contra la seguridad informática. Crea casos de prueba mediante un análisis técnico en profundidad de los riesgos y las vulnerabilidades habituales. Crea guiones de pruebas, materiales y paquetes de pruebas para probar el software o los servicios nuevos y existentes. Especifica requerimientos para el entorno, los datos, los recursos y las herramientas. Interpreta, ejecuta y documenta guiones de prueba complejos utilizando estándares y métodos acordados. Registra y analiza acciones y resultados. Revisa los resultados de las pruebas y modifica las pruebas si es necesario. Provee reportes sobre el progreso, las anomalías, los riesgos y los asuntos asociados con el proyecto global. Reporta sobre la calidad del sistema y recopila métricas sobre casos de prueba. Ofrece asesoramiento experto para soportar a otros.

Pruebas de penetración: Nivel 5

Coordina y gestiona la planificación de pruebas de penetración dentro de un área de actividad del negocio definida. Aporta conocimientos objetivos sobre la existencia de vulnerabilidades, la efectividad de controles de defensas y mitigación, tanto los que ya están en funcionamiento como aquellos que se planee implementar en un futuro. Asume la responsabilidad de la integridad de actividades de realización de pruebas y coordina la ejecución de estas actividades. Provee orientación y asesoramiento autorizados sobre la planificación y la ejecución de pruebas de vulnerabilidad. Define y comunica la estrategia de prueba. Gestiona todos los procesos de prueba y contribuye a los estándares de realización de pruebas de seguridad en la organización.

Pruebas de penetración: Nivel 6

Adopta un enfoque exhaustivo para buscar vulnerabilidades en todos los aspectos de las políticas, los procesos y las defensas de la organización con el fin de mejorar la preparación de la organización, mejorar la capacitación para los practicantes defensivos y examinar los niveles de desempeño actuales. Determina la política de realización de pruebas y es dueño de los procesos de soporte. Asume la responsabilidad por la gestión de todas las actividades de prueba de vulnerabilidad dentro de la organización. Valora y asesora sobre la viabilidad de las alternativas de procesos de prueba. Pone en marcha mejoras en los procesos de realización de pruebas y dirige su implementación. Valora las capacidades de realización de pruebas y desarrollo de los proveedores. Gestiona las relaciones con los clientes con respecto a todos los asuntos de la realización de pruebas.

Pruebas de penetración: Nivel 7

Esta habilidad no se observa típicamente al trabajar en este nivel de responsabilidad.