Ir al contenido principal

Ethical Hacking (para SGIA)

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO/IEC 42001:2023: A.6.2.4, A.6.2.6

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para gestionar de manera proactiva la seguridad técnica de tus sistemas. El Ethical Hacking consiste en contratar a expertos en seguridad para que simulen un ciberataque controlado contra tus sistemas, con el objetivo de encontrar vulnerabilidades antes de que lo haga un atacante real.

💡El entregable de un Ethical Hacking es un informe detallado con los hallazgos y vulnerabilidades encontrados con el cual podrás crear tu plan de remediación, asegurando que cada vulnerabilidad sea registrada, asignada, tratada y resuelta.

Realizar ejercicios de Ethical Hacking de manera periódica te ayudará a:

  • Identificar debilidades ocultas y fallos de seguridad importantes en tus sistemas que podrían no ser evidentes en el día a día.

  • Priorizar tus esfuerzos de seguridad con base en la clasificación / criticidad / gravedad de las vulnerabilidades que se indica dentro del mismo reporte de resultados del Ethical Hacking. De esta forma puedes enforcarte primero en arreglar las vulnerabilidades más peligrosas.

  • Demostrar debida diligencia a un auditor ya que un informe de Ethical Hacking vigente, junto con un plan de remediación bien gestionado es una de las evidencias más contundentes de una postura de seguridad proactiva.

¿Qué tengo que hacer? 🚀

Antes de comenzar, es muy importante comprender qué es un Ethical Hacking y qué es un escaneo de vulnerabilidades. Ambos ejercicios son prácticas muy recomendadas de seguridad, que te ayudarán a mantener tus sistemas seguros, pero cuentan con algunas características particulares.

El Ethical Hacking, también conocido como pentesting, o prueba de intrusión, consiste precisamente en la ejecución de una prueba de penetración a los sistemas y servicios de una empresa, con el objetivo de simular un ciberataque real. Esta actividad se realiza con el permiso del propietario o dueño de los sistemas.

Un escaneo de vulnerabilidades es un proceso automatizado que busca debilidades y vulnerabilidades que pueden ser explotadas dentro de los sistemas. Estos escaneos se realizan por medio de herramientas, las cuales deben ser instaladas y configuradas adecuadamente.

Si deseas conocer más sobre estas prácticas, te recomendamos leer el artículo “¿Qué es el Ethical Hacking o Pentesting?” de nuestro blog 🤓.

Como puedes ver, un escaneo de vulnerabilidades no ahonda mucho en el testeo de funcionalidades, no detecta vulnerabilidades que afecten a la lógica del negocio, o que requieran del pensamiento lateral de un hacker.

Por lo que, teniendo claros los conceptos para cada una de estas prácticas, debes tener en cuenta que para lograr esta actividad lo ideal es realizar un ejercicio de Ethical Hacking. Y si adicional a ello, cuentas con escaneos de vulnerabilidades con las herramientas de tu preferencia, ¡mejor!

Si deseas contratar nuestro servicio de Ethical Hacking, no dudes en contactar a tu Customer Success Manager para más información ✨.

Ahora bien, para lograr esta actividad te recomendamos seguir los siguientes pasos:

  1. Solicita el Ethical Hacking a Hackmetrix, o a tu proveedor de preferencia.

  2. Una vez realizado el Ethical Hacking y que ya cuentes con el reporte de resultados, analiza las vulnerabilidades encontradas y planifica su remediación.

  3. Establece las acciones de remediación pertinentes para solventar las vulnerabilidades encontradas, priorizando aquellas que sean críticas.

  4. Realiza un retest para garantizar que las acciones de remediación fueron efectivas.

  5. Monitorea la aplicación de las acciones de remediación y documenta el estatus de las vulnerabilidades.

La documentación de todos estos pasos se realiza dentro del template Plan de Remediación de Vulnerabilidades que te proporcionamos en la actividad dentro de la plataforma, en el cual recomendamos incluir por lo menos los siguientes puntos:

  • Sistemas o aplicaciones afectadas.

  • Descripción de las vulnerabilidades encontradas.

  • Gravedad de las vulnerabilidades.

  • Estado actual de la vulnerabilidad para dar un seguimiento adecuado.

  • Responsables involucrados.

  • Acciones de remediación a implementar.

  • Fecha de remediación.

👉🏽 Si tienes en puerta una auditoría interna o externa, es muy importante remediar todas las vulnerabilidades encontradas. Si por algún motivo, esto no es posible ¡no te asustes! Lo más importante será que sepas justificar y explicar adecuadamente al auditor el porqué no han podido remediarse, y que dichos motivos sean honestos, ya que generalmente es por temas de presupuesto o aspectos que la empresa no siempre puede controlar.

Antes de comenzar a trabajar el template de Plan de Remediación de Vulnerabilidades, te recomendamos comenzar leyendo la pestaña de "Instrucciones" que viene dentro del documento para comprender mejor el propósito de cada columna y los criterios de clasificación.

Este template ya está estructurado con los lineamientos necesarios para dar cumplimiento a los requisitos normativos pero recuerda que puedes añadir o ajustar la información, si lo consideras pertinente, para ajustarlo a las necesidades de tu empresa.

¿Cómo hacer el Plan de Remediación?

A continuación, te explicamos con mayor detalle cómo trabajar con el template:

  • Registrar cada vulnerabilidad. El primer paso es volcar la información del reporte de resultados del Ethical Hacking a la plantilla. Cada vulnerabilidad identificada en el informe debe convertirse en una nueva fila en tu plan. Deberás completar la información básica de cada una:

    • Sistema afectado: Para saber dónde se encuentra el problema.

    • Descripción de la vulnerabilidad: Copiando la descripción técnica del informe.

  • Clasificar y priorizar los hallazgos. Esta es una etapa crítica. Para cada vulnerabilidad, debes asignar una gravedad (Crítica, Alta, Media, Baja). Esta información generalmente ya viene establecida dentro del reporte de resultados.

  • Definir el plan de acción. Una vez registradas y clasificadas todas las vulnerabilidad que fueron encontradas en el ejercicio, hay que definir cómo se va a solucionar. Esto implica completar las siguientes columnas:

    • Responsables asignados: ¿Quién es el dueño de esta tarea? Asignar un responsable es clave para la rendición de cuentas.

    • Acciones de remediación: ¿Qué se va a hacer técnicamente para corregir el fallo?

    • Fecha de remediación: ¿Para cuándo debe estar solucionado? Esto convierte la tarea en un compromiso con fecha límite.

  • Monitorear el progreso. Este plan no es un documento estático, sino una herramienta de seguimiento. La columna "estado actual de la vulnerabilidad" debe mantenerse actualizada a medida que tu equipo trabaja en las soluciones. Esto te proporciona a ti y al Comité de IA una visión clara del progreso.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final del reporte de resultados del Ethical Hacking en versión PDF (no editable) y el documento final (última versión) del Plan de Remediación de Vulnerabilidades.

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Enfoca siempre los esfuerzos de tu equipo en remediar primero las vulnerabilidades más críticas, son las que representan un mayor riesgo para tu organización.

  • No te olvides de hacer el ejercicio de "retest", el cual es una evidencia muy potente para confirmar que las soluciones aplicadas fueron efectivas.

  • Integra los hallazgos en tu gestión de riesgos. Cada vulnerabilidad no atendida o remediada representa un riesgo técnico que debe ser registrado formalmente en tu Matriz de Riesgos.

  • Planifica la realización de un Ethical Hacking de forma periódica (al menos una vez al año, o después de cambios significativos en tu aplicación) para mantener una postura de seguridad proactiva.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!

Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
41. Ethical Hacking + Escaneo de Vulnerabilidades
53. Remediaciones Ethical Hacking + Escaneo de Vulnerabilidades
FAQs - 41. Ethical Hacking + Escaneo de Vulnerabilidades
Ethical Hacking + Escaneo de Vulnerabilidades
Remediaciones Ethical Hacking + Escaneo de Vulnerabilidades
¿Ha quedado contestada tu pregunta?