¿Necesita mi empresa una auditoría de hacking ético?

Por Elisa Sánchez, Departamento de Marketing y Comunicación de Áudea

Nuestros sistemas pueden ser vulnerables y, quizás, no somos conscientes de lo que un ataque tanto interno como externo puede suponer. ¿Qué mejor comprobación de si nuestros sistemas son seguros o no que la de realizar un ataque ficticio? O lo que es lo mismo, lo que actualmente se conoce como hacking ético.

El objetivo de esa auditoría se centra en evaluar todos los sistemas de seguridad, intentando encontrar algún agujero por donde acceder a la información, como si de un hacker se tratase.

Para realizar una buena auditoría de hacking etico, y siguiendo la metodología OSSTMM internacionalmente reconocida, se deberían evaluar y comprobar los siguientes aspectos:

– Information Gathering: mediante esta fase se pretende obtener toda la información de libre acceso disponible sobre la empresa o entidad a estudiar.
– Estudio y análisis de la red: se efectúa desde un punto de conexión a la red a estudiar. La información que se desea obtener es listado de equipos activos y sus servicios, mapa de red, etc.
– Detección de vulnerabilidades: el objetivo es listar todas las posibles vulnerabilidades para todos los equipos y servicios detectados.
– Obtención de acceso: en esta fase se pretende la obtención de contraseñas, elevación de privilegios, y acceso a datos, o ubicaciones restringidas.

El informe de la auditoría contrastaría las deficiencias detectadas y el plan de acción para mitigar los riesgos, es decir, tendremos la información necesaria para saber donde tenemos “agujeros” y qué necesitamos para “taparlos”.

Creemos que es fundamental realizar este tipo de auditorías que nos aportan datos reales de dónde necesitamos y tenemos que reforzar en nuestra seguridad para no vernos atacados. Así evitaremos que ningún hacker nos robe datos de carácter personal o cualquier tipo de información de la empresa.

Hablamos de

Emprendedores