👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v4.0: 11.4.1
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer una metodología de pruebas de penetración adecuada para identificar, analizar y remediar las vulnerabilidades que se encuentren en los sistemas, aplicaciones y/o servicios de la empresa.
💡 Las pruebas de penetración simulan una situación de ataque del mundo real con la intención de identificar hasta qué punto un atacante podría penetrar en un entorno, dadas las diferentes cantidades de información proporcionada al evaluador. Estas pruebas son aplicadas mediante un proceso muy manual. Si bien se pueden usar algunas herramientas automatizadas, el evaluador aplica principalmente su conocimiento de los sistemas para obtener acceso.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad y documentar tu metodología, te sugerimos considerar las siguientes actividades:
Definir el alcance de las pruebas, para establecer qué activos deben ser evaluados y sometidos a la prueba.
Esto puede ser definido con tu diagrama de red.
Definir la metodología, es decir los tipos de pruebas que se van a aplicar y la recolección de información, lo cual debe apegarse a la Guía de Pruebas de OWASP. Y una vez establecida la metodología, se ejecutan las pruebas.
Revisar reporte de resultados con la información de las vulnerabilidades encontradas y su clasificación (crítica, alta, media o baja) para conocer y comprender el estado de seguridad de tus sistemas y de los activos alcanzados por la prueba.
Generalmente los reportes de estas pruebas ya te proporcionan la clasificación de las vulnerabilidades.
Una vez revisadas las vulnerabilidades encontradas, debes analizar, planificar y documentar las medidas de resolución, considerando la definición del tiempo que se requiere para remediarlas, los responsables a cargo, las acciones de remediación, las fechas de cierre o deadlines en las cuales ya deben estar corregidas, etcétera.
El documentar un plan de remediación te permitirá llevar un seguimiento adecuado del estado de las vulnerabilidades, y mantener un registro que te servirá como evidencia de cumplimiento.
Remediar / corregir las vulnerabilidades, poniendo en marcha el plan de remediación que definiste previamente, y garantizando que los responsables involucrados los sigan correctamente.
Ejecutar un retest o nueva prueba para asegurar que las vulnerabilidades fueron efectivamente remediadas con las acciones que implementaste.
Te sugerimos documentar también las acciones a aplicar en caso de que la vulnerabilidad siga presente, las pruebas no sean exitosas, se presenten fallas, errores o cualquier anomalía, considerando que no atenderlas o darles seguimiento, puede tomarse como un incumplimiento a los requisitos de PCI DSS.
Generar un reporte de las vulnerabilidades resueltas para comunicar sobre las acciones realizadas a la alta dirección u otra parte interesada, y resguardarlo como evidencia de cumplimiento, así como también para crear una base de conocimiento a la que puedas recurrir para solucionar futuras vulnerabilidades similares.
Recuerda que se deben resguardar los reportes de pruebas de penetración, pruebas de segmentación, reportes de re-test y evidencias de la remediación de vulnerabilidades, conforme al periodo de los ejercicios realizados.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu metodología fácil y rápidamente, pero recuerda que debes ajustarla al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Realiza un Ethical Hacking / prueba de penetración por lo menos una vez al año.
Planifica adecuadamente las acciones de remediación, considerando la clasificación y/o el impacto de la vulnerabilidad.
Genera la evidencia pertinente de las remediaciones.
Si deseas contratar nuestro servicio de Ethical Hacking, no dudes en contactar a tu Customer Success Manager para más información ✨.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.