Pruebas de penetración PENT
Probar la efectividad de los controles de seguridad emulando las herramientas y técnicas de probables atacantes.
Notas orientativas
Ejecutar pruebas de penetración puede ser una actividad independiente o parte de las pruebas de aceptación antes de la aprobación para operar.
Las actividades incluyen, entre otras, las siguientes:
- hacking ético: utilizar las mismas herramientas y técnicas que un adversario para explotar de manera resguardada las debilidades de seguridad
- demostrar de qué manera un adversario puede subvertir los objetivos de seguridad o lograr objetivos adversos específicos
- evaluar la eficacia de las defensas o controles de mitigación actuales o previstos
- garantizar la seguridad de redes, sistemas y aplicaciones
- identificar conocimientos detallados de los riesgos comerciales de diversas vulnerabilidades
- probar las debilidades de la red, la infraestructura, la web y las aplicaciones móviles
- comprobar los niveles y configuraciones de las revisiones
- ingeniería social
3 | 4 | 5 | 6 |
Levels of responsibility for this skill
Pruebas de penetración: Niveles 1-2
Por lo general, esta habilidad no se observa ni se practica en estos niveles de responsabilidad y rendición de cuentas.
Pruebas de penetración: Nivel 3
Sigue los enfoques normalizados para diseñar y ejecutar actividades de pruebas de penetración.
Estudia e investiga técnicas de ataque y recomienda formas para defenderse de ellas.
Analiza e informa sobre las actividades, los resultados, los problemas y los riesgos de las pruebas de penetración.
Pruebas de penetración: Nivel 4
Selecciona el enfoque de pruebas apropiado mediante un análisis técnico en profundidad de los riesgos y las vulnerabilidades habituales.
Crea guiones de pruebas, materiales y paquetes de pruebas y prueba redes, sistemas o aplicaciones nuevas y existentes. Proporciona asesoramiento sobre las pruebas de penetración para apoyar a otros.
Registra y analiza acciones y resultados y modifica las pruebas, si es necesario.
Proporciona informes sobre el progreso, las anomalías, los riesgos y los problemas asociados con el proyecto en general.
Pruebas de penetración: Nivel 5
Planifica y dirige las pruebas de penetración dentro de un área definida de la actividad comercial.
Aporta conocimientos objetivos sobre la existencia de vulnerabilidades, la eficacia de las defensas y de los controles de mitigación.
Asume la responsabilidad de la integridad de actividades de realización de pruebas y coordina la ejecución de estas actividades. Proporciona asesoramiento y orientación autoritarios sobre todos los aspectos de las pruebas de penetración.
Identifica las necesidades e implementa nuevos enfoques para las pruebas de penetración. Contribuye a las normas de pruebas de seguridad.
Pruebas de penetración: Nivel 6
Determina la política de las pruebas de penetración y es propietario de los procesos de soporte.
Gestiona todas las actividades de las pruebas de penetración dentro de la organización.
Evalúa y asesora sobre la viabilidad de las alternativas a los procesos de prueba.
Establece la capacidad de mejora continua y la invención en las pruebas de penetración y dirige la implementación de nuevos enfoques.
Evalúa las capacidades de los procesos de desarrollo y prueba de los proveedores. Gestiona las relaciones con los clientes con respecto a las pruebas de penetración.
Pruebas de penetración: Nivel 7
Por lo general, esta habilidad no se observa ni se practica en este nivel de responsabilidad y rendición de cuentas.