👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.12.6.1, A.12.7.1, A.18.2.3
ISO 27001 en su versión 2022: A.5.36, A.8.8, A.8.34
¿Para qué me sirve esta actividad? 📚
Esta actividad consiste en aplicar un ejercicio de Ethical Hacking a los sistemas, aplicaciones y/o servicios de la empresa alcanzados por el SGSI para identificar vulnerabilidades y brechas de seguridad.
💡 La detección proactiva de vulnerabilidades es una de las mejores prácticas para robustecer tu programa de seguridad, y por ende, asegurar el cumplimiento normativo.
¿Qué tengo que hacer? 🚀
Antes de comenzar, es muy importante comprender qué es un Ethical Hacking y qué es un escaneo de vulnerabilidades. Ambos ejercicios son prácticas muy recomendadas de seguridad, que te ayudarán a mantener tus sistemas seguros, pero cuentan con algunas características particulares.
El Ethical Hacking, también conocido como pentesting, o prueba de intrusión, consiste precisamente en la ejecución de una prueba de penetración a los sistemas y servicios de una empresa, con el objetivo de simular un ciberataque real. Esta actividad se realiza con el permiso del propietario o dueño de los sistemas.
Un escaneo de vulnerabilidades es un proceso automatizado que busca debilidades y vulnerabilidades que pueden ser explotadas dentro de los sistemas. Estos escaneos se realizan por medio de herramientas, las cuales deben ser instaladas y configuradas adecuadamente.
Si deseas conocer más sobre estas prácticas, te recomendamos leer el artículo “¿Qué es el Ethical Hacking o Pentesting?” de nuestro blog 🤓.
Como puedes ver, un escaneo de vulnerabilidades no ahonda mucho en el testeo de funcionalidades, no detecta vulnerabilidades que afecten a la lógica del negocio, o que requieran del pensamiento lateral de un hacker.
Por lo que, teniendo claros los conceptos para cada una de estas prácticas, debes tener en cuenta que para lograr esta actividad lo ideal es realizar un ejercicio de Ethical Hacking. Y si adicional a ello, cuentas con escaneos de vulnerabilidades con las herramientas de tu preferencia, ¡mejor!
Si deseas contratar nuestro servicio de Ethical Hacking, no dudes en contactar a tu Customer Success Manager para más información ✨.
Ahora bien, para lograr esta actividad te recomendamos seguir los siguientes pasos:
Solicita el Ethical Hacking a Hackmetrix, o a tu proveedor de preferencia.
Una vez realizado el Ethical Hacking y que ya cuentes con el reporte de resultados, analiza las vulnerabilidades encontradas y planifica su remediación.
Establece las acciones de remediación pertinentes para solventar las vulnerabilidades encontradas, priorizando aquellas que sean críticas. Esto debe estar alineado a lo establecido en tu Procedimiento de Gestión de Vulnerabilidades.
Realiza un retest para garantizar que las acciones de remediación fueron efectivas.
Monitorea la aplicación de las acciones de remediación y documenta el estatus de las vulnerabilidades.
El plan de remediación debe quedar como información documentada, y para eso te recomendamos incluir por lo menos los siguientes puntos:
Sistemas o aplicaciones afectadas.
Descripción de las vulnerabilidades encontradas.
Gravedad de las vulnerabilidades.
Estado actual de la vulnerabilidad para dar un seguimiento adecuado.
Responsables involucrados.
Acciones de remediación a implementar.
Fecha de remediación.
Dentro del plan de acción de Hackmetrix, debes dar continuación a este plan de remediación en la actividad 53. Remediaciones Ethical Hacking + Escaneo de Vulnerabilidades.
Si tienes en puerta una auditoría interna o externa, es muy importante remediar todas las vulnerabilidades encontradas. Si por algún motivo, esto no es posible ¡no te asustes! Lo más importante será que sepas justificar y explicar adecuadamente al auditor el porqué no han podido remediarse, y que dichos motivos sean honestos, ya que generalmente es por temas de presupuesto o aspectos que la empresa no siempre puede controlar.
Todos estos campos son los que encontrarás en el template de Plan de Remediación de Vulnerabilidades que te proporcionamos dentro de la plataforma para esta actividad, el cual te servirá para planificar fácil y rápidamente tus acciones de remediación, y dar un seguimiento adecuado. Pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final del reporte de resultados del Ethical Hacking en versión PDF (no editable).
Recomendaciones ✅
Para cumplimiento normativo debes aplicar un Ethical Hacking por lo menos una vez al año, pero puedes realizarlo con mayor frecuencia (por ejemplo cada 6 meses), si tienes la posibilidad de hacerlo.
Planifica con el tiempo necesario la remediación de las vulnerabilidades encontradas, y asigna a los responsables más adecuados con el conocimiento y experiencia apropiados.
Mantente siempre al tanto del estado de las acciones de remediación y de las vulnerabilidades, ya que esto es de suma importancia durante una auditoría interna o externa.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.