Las pruebas de penetración ayudan a las organizaciones a avalar que los sistemas de TI sean seguros, pero nunca deben tratarse con un enfoque único para todos. Los enfoques tradicionales pueden ser rígidos y costarle tiempo y peculio a su ordenamiento, al tiempo que producen resultados inferiores.
Los beneficios de las pruebas de penetración son claros. Al permitir a los piratas informáticos de “sombrero blanco” intentar violar su sistema utilizando herramientas y técnicas similares a las de un adversario, las pruebas de penetración pueden brindarle la seguridad de que su configuración de TI es segura. Quizás lo más importante es que incluso puede señalar áreas de alivio.
Como señala el Centro Doméstico de Seguridad Cibernética (NCSC) del Reino Unido, es comparable a una auditoría financiera.
“Su equipo de finanzas realiza un seguimiento de los gastos y los ingresos día a día. Una auditoría realizada por un peña extranjero garantiza que los procesos de su equipo interno sean suficientes”.
Si acertadamente las ventajas son obvias, es optimista comprender el costo vivo del proceso: de hecho, el enfoque clásico a menudo puede exigir mucho tiempo y esfuerzo por parte de su equipo. Necesita obtener el valía de su peculio.
Costos ocultos de las pruebas de penetración
No existe una forma única de prueba de penetración: depende de qué se está probando exactamente, con qué frecuencia se realiza la prueba de penetración y cómo se lleva a final. Sin retención, existen algunos utensilios comunes del enfoque clásico que podrían suscitar costes importantes, tanto económicos como de tiempo de sus empleados.
Echemos un vistazo a algunos de los costos que podrían no ser inmediatamente obvios.
Gastos administrativos
Puede sobrevenir un administrador importante involucrado en la ordenamiento de una prueba de penetración “tradicional”. Primero, debe coordinar los cronogramas entre su propia ordenamiento y los evaluadores que contrató para realizar la prueba en su nombre. Esto puede causar perturbaciones importantes a sus empleados, distrayéndolos de sus tareas diarias.
Es más, necesitará desarrollar una visión genérico clara de los medios y activos a su disposición ayer de que pueda realizarse la prueba, mediante la resumen de inventarios del sistema, por ejemplo. Todavía deberá preparar credenciales de golpe para los piratas informáticos, según el tipo de enfoque de prueba de penetración que desee adoptar: por ejemplo, los evaluadores pueden faltar estas credenciales para desarrollar un decorado basado en el peligro de que un empleado descontento apunte a sus sistemas, por ejemplo.
Complejidad del efecto
Una vez más, es importante determinar el efecto preciso de la prueba: ¿qué está “internamente del efecto” para los piratas informáticos y qué debería terminar fuera del efecto?
Esto se determinará internamente y se basará en varios factores, según las evacuación precisas de la ordenamiento; Es posible que haya determinadas aplicaciones, por ejemplo, que no puedan incluirse en la prueba. Independientemente de los motivos, determinar el efecto genérico de las pruebas llevará tiempo.
Por supuesto, esto no está escrito en piedra: algunas organizaciones pueden litigar con entornos en extremo sofisticados, que cambian con el tiempo. Deberá entregarse medios a evaluar el impacto potencial de estos cambios; a medida que cambie su entorno, ¿debería incluir nuevos utensilios a los que los evaluadores se dediquen?
Todo esto aumenta el peligro de un “desplazamiento del efecto”, donde una prueba de penetración crece más allá de sus objetivos originales, generando trabajo (y costos) adicionales tanto para el equipo interno como para los evaluadores externos.
Costos indirectos
Como hemos conocido, las pruebas de penetración, por su naturaleza, pueden exponer importantes riesgos de interrupción para su equipo, incluidas interrupciones operativas durante el período de prueba. Es optimista amparar esto bajo control desde el principio.
Todavía está el tiempo y los costos asociados con la remediación, una escalón un tanto mal definida que podría incluir consultas con los evaluadores para pasar y resolver cualquier problema que pueda sobrevenir surgido durante la prueba de penetración. Esto podría incluso implicar retornar a realizar la prueba: difundir otra prueba de penetración para comprobar que ahora todo está seguro y protegido.
Todo esto puede suponer tiempo y peculio extra para su ordenamiento.
Desafíos de la gobierno presupuestaria
Todavía deberá considerar cómo pagará el trabajo. Por ejemplo, ¿opta por un maniquí de fijación de precios de costo fijo, donde los evaluadores ofrecen una tarifa fija? ¿O opta por “tiempo y materiales”, donde proporcionan una tarifa por hora basada en las horas estimadas (o mediante otra medida), pero agregan poco más que estas estimaciones?
“Hay una razón por la que es tan difícil comparar los costos de las pruebas de penetración: cada prueba realizada por cada empresa es única”, señala Network Assured, que proporciona orientación independiente sobre precios para pruebas de penetración y otros servicios de ciberseguridad.
Siendo ese el caso, ¿cómo se puede conquistar el mejor retorno de la inversión y optimizar la rentabilidad?
 |
| Figura 1: Es posible que algunos factores no sean inmediatamente obvios cuando se palabra del costo total de una prueba de penetración. |
Prueba de penetración como servicio (PTaaS)
Para comprobar de obtener exactamente la capacidad de prueba de penetración que necesita (al costo adecuado), un enfoque “como servicio” puede suscitar dividendos. Este enfoque se puede personalizar según sus evacuación, lo que reduce los riesgos de esfuerzos innecesarios.
Por ejemplo, CyberFlex de Outpost24 combina las fortalezas de nuestras soluciones Pen-testing-as-a-service (PTaaS) y External Attack Surface Management (EASM), brindando cobertura continua del servicio de ataque a aplicaciones en un maniquí de consumo flexible. Esto permite a las organizaciones tener una visión completa de sus costos y capacidades, al mismo tiempo que logran las evacuación de descubrimiento, priorización y engendramiento de informes que necesitan.
Las pruebas de penetración son cruciales para defender los sistemas de su ordenamiento, pero una capacidad de vanguardia no tiene por qué costarle mucho peculio. Al adoptar un enfoque inteligente, basado en dedicar los servicios que necesita en el momento adecuado, puede descubrir las vulnerabilidades que necesita enfrentarse, sin causar interrupciones indebidas ni incurrir en costos innecesarios. Reserve una demostración en vivo de CyberFlex hoy.
