Hacking ético

Hacking ético

Introducción al hacking ético

El hacking ético permite evaluar la seguridad de una organización y descubrir su robustez, buscando mejoras en el estado de seguridad de sus aplicaciones web, aplicaciones móviles, en la red interna o accesos externos hacia la organización, …

La metodología de trabajo del hacking ético implica el uso de métodos de ataque llevados a cabo por profesionales para simular el comportamiento propio de los cibercriminales cuando intentan acceder a los sistemas de información de una organización.

Cómo se desarrollaría el proyecto

En un proyecto de hacking ético se desarrollarían las siguientes fases:

  • Reconocimiento del objetivo. Esta fase persigue crear una visión compartida del objetivo de las pruebas de penetración que se van a realizar. Se consensúa con los responsables de la organización el tipo de pruebas a realizar:
    • Identificación de las necesidades de la organización. Se mantienen reuniones con los responsables de la organización para definir los objetivos generales de las pruebas de penetración y su alcance.
  • Pruebas de penetración. Esta fase persigue ejecutar la planificación de pruebas establecidas:
    • Apoyo en la preparación. Se apoya a la organización en la preparación de las pruebas (comunicación interna, infraestructura necesaria, …).
    • Lanzamiento de las pruebas.
  • Diagnóstico de las vulnerabilidades. Esta fase persigue documentar los resultados de las pruebas, evidenciando las vulnerabilidades detectadas y proponiendo acciones correctoras para solucionarlas:
    • Elaboración de los informes de vulnerabilidades. Se resumen los resultados de las pruebas en dos informes, técnico (responsables TI) y ejecutivo (comprensible por la alta dirección). En el informe se detallan las vulnerabilidades, el riesgo potencial y el impacto de que las amenazas se materializasen explotando las vulnerabilidades.
    • Definición de las acciones correctoras. Una vez identificadas las vulnerabilidades, se planifican las acciones correctoras.
  • Implantación de acciones correctoras. Esta fase persigue mejorar las medidas de seguridad de la organización:
    • Apoyo en la implantación de acciones correctoras. Se asesora a la organización para la correcta implantación de las acciones correctoras, resolviendo las vulnerabilidades encontradas.
    • Reporting. Se reporta a la organización el estado de avance de la implantación de las acciones correctoras y de su eficacia.

Red Team, Blue Team, Purple Team

Prestamos servicios de seguridad ofensiva (Read Team), seguridad defensiva (Blue Team) y seguridad cooperativa entre los dos primeros equipos (Purple Team).

Disponemos de las siguientes certificaciones: Certified Information System Auditor (CISA)Offensive Security Certified Professional (OSCP), Certified Ethical Hacker (CEH), Cisco Certified Network Associate Cyber Ops (CSCO), …

Haga click, si desea conocer nuestros servicios en materia de gestión de la ciberseguridad o seguridad de la información.