FAQs - 41. Ethical Hacking + Escaneo de Vulnerabilidades

R: La ISO 27001 recomienda la ejecución de ejercicios de Ethical Hacking por lo menos una vez al año.

💡 Una oportunidad de mejora puede ser realizarlo cada 6 meses.

R: No es recomendable ya que se presta a generar un conflicto de interés y por ende, a afectar el cumplimiento normativo durante una auditoría.

Si de igual forma deseas hacerlo, la persona o área responsable debe poder demostrar independencia de los procesos y/o sistemas alcanzados por el ejercicio de Ethical Hacking y tener el conocimiento y experiencia suficiente para generar un reporte de resultados adecuado y profesional que pueda ser aceptado como evidencia de cumplimiento.

R: Principalmente se verifica que el lugar de almacenamiento del código sea lo suficientemente seguro, que no sea de fácil acceso y que no se identifiquen vulnerabilidades técnicas dentro de él.

R: Lo ideal es llegar a una auditoría con todas las vulnerabilidades que fueron encontradas en el ejercicio de Ethical Hacking ya remediadas. Sin embargo, si hay algo que no pueda remediarse durante la implementación por temas de presupuesto, configuraciones, tecnología, etcétera, se debe documentar la debida justificación y definir el plan de acción pertinente con fechas estimadas de remediación.

💡 Durante la auditoría será importante poder explicar adecuadamente los motivos de la no remediación y la planificación definida.

R: El uso de este tipo de herramientas aporta mucho valor al monitoreo de la infraestructura, detección de incidentes, verificación constante de la seguridad en el almacenamiento y resguardo de información, etcétera. Sin embargo, el análisis de las vulnerabilidades que estas soluciones detectan no es suficiente para el cumplimiento normativo.

Por el contrario, un Ethical Hacking o prueba de penetración es un ejercicio mucho más profundo donde se revisan aspectos como el código fuente, puertos expuestos a internet, puntos de comunicación, elementos de la infraestructura, deficiencias en la seguridad de aplicativos, páginas web, entre otras cosas. Además, se aplica sobre el entorno que es alcanzado por tu SGSI.

En conclusión, un Ethical Hacking no es lo mismo que un escaneo de vulnerabilidades con herramientas especializadas, por lo que es altamente recomendable realizar estos ejercicios periódicamente, por lo menos una vez al año, y si lo consideran pertinente, complementarlos usando alguna de estas herramientas.

R: En la actividad 41 solicitamos que la organización realice un Ethical Hacking y nos comparta el reporte de resultados pertinente. Si lo consideran más adecuado, pueden compartir solamente el listado de vulnerabilidades encontradas en dicho ejercicio.

Esas vulnerabilidades deben ser listadas en el Plan de Remediación (template que proporcionamos en ambas actividades), para que se les pueda dar el seguimiento pertinente.

Dicho seguimiento se revisa en la actividad 53. Es ahí donde se verifica dentro del Plan de Remediación, el avance o estatus de las acciones aplicadas. En el mejor de los casos, en esta instancia todas las vulnerabilidades encontradas ya deberían estar corregidas y con el reporte de retest o de “certificación” que lo demuestre.

💡 Para compartir estos reportes, solo debes colocar los enlace a los documentos (generalmente están en formato PDF) dentro de la actividad correspondiente en la sección de “Documentos editables”, asegurando que tengamos acceso. Si realizaste el Ethical Hacking con Hackmetrix, debes colocar los reportes que te otorgó nuestro equipo de Offensive Security.