El marco global de habilidades y competencias para un mundo digital

Pruebas de penetración PENT

Probar la efectividad de los controles de seguridad emulando las herramientas y técnicas de probables atacantes.

Notas orientativas

Ejecutar pruebas de penetración puede ser una actividad independiente o parte de las pruebas de aceptación antes de la aprobación para operar.

Las actividades incluyen, entre otras, las siguientes:

  • hacking ético: utilizar las mismas herramientas y técnicas que un adversario para explotar de manera resguardada las debilidades de seguridad
  • demostrar de qué manera un adversario puede subvertir los objetivos de seguridad o lograr objetivos adversos específicos
  • evaluar la eficacia de las defensas o controles de mitigación actuales o previstos
  • garantizar la seguridad de redes, sistemas y aplicaciones
  • identificar conocimientos detallados de los riesgos comerciales de diversas vulnerabilidades
  • probar las debilidades de la red, la infraestructura, la web y las aplicaciones móviles
  • comprobar los niveles y configuraciones de las revisiones
  • ingeniería social

Niveles de responsabilidad para esta habilidad

3 4 5 6

Pruebas de penetración: Niveles 1-2

Por lo general, esta habilidad no se observa ni se practica en estos niveles de responsabilidad y rendición de cuentas.

Pruebas de penetración: Nivel 3

Sigue los enfoques normalizados para diseñar y ejecutar actividades de pruebas de penetración.

Estudia e investiga técnicas de ataque y recomienda formas para defenderse de ellas.

Analiza e informa sobre las actividades, los resultados, los problemas y los riesgos de las pruebas de penetración.

Pruebas de penetración: Nivel 4

Selecciona el enfoque de pruebas apropiado mediante un análisis técnico en profundidad de los riesgos y las vulnerabilidades habituales.

Crea guiones de pruebas, materiales y paquetes de pruebas y prueba redes, sistemas o aplicaciones nuevas y existentes. Proporciona asesoramiento sobre las pruebas de penetración para apoyar a otros.

Registra y analiza acciones y resultados y modifica las pruebas, si es necesario.

Proporciona informes sobre el progreso, las anomalías, los riesgos y los problemas asociados con el proyecto en general.

Pruebas de penetración: Nivel 5

Planifica y dirige las pruebas de penetración dentro de un área definida de la actividad comercial.

Aporta conocimientos objetivos sobre la existencia de vulnerabilidades, la eficacia de las defensas y de los controles de mitigación.

Asume la responsabilidad de la integridad de actividades de realización de pruebas y coordina la ejecución de estas actividades. Proporciona asesoramiento y orientación autoritarios sobre todos los aspectos de las pruebas de penetración.

Identifica las necesidades e implementa nuevos enfoques para las pruebas de penetración. Contribuye a las normas de pruebas de seguridad.

Pruebas de penetración: Nivel 6

Determina la política de las pruebas de penetración y es propietario de los procesos de soporte.

Gestiona todas las actividades de las pruebas de penetración dentro de la organización.

Evalúa y asesora sobre la viabilidad de las alternativas a los procesos de prueba.

Establece la capacidad de mejora continua y la invención en las pruebas de penetración y dirige la implementación de nuevos enfoques.

Evalúa las capacidades de los procesos de desarrollo y prueba de los proveedores. Gestiona las relaciones con los clientes con respecto a las pruebas de penetración.

Pruebas de penetración: Nivel 7

Por lo general, esta habilidad no se observa ni se practica en este nivel de responsabilidad y rendición de cuentas.