Las pruebas de penetración se ha convertido en un elemento esencial para las empresas que buscan mantener una postura robusta seguridad cibernética. Pero si usted está encargando una prueba por primera vez, entonces usted tiene el desafío de elegir el proveedor adecuado.
pruebas de penetración es una habilidad muy especializada que requiere cualificado, profesionales expertos por lo que es importante que se sienta seguro en los individuos que confiar para llevar a cabo una evaluación.
Después de todo, bien podría ser requerido para proporcionar un probador con acceso a los sistemas y datos sensibles. Estas son algunas de las preguntas clave que debe pedir a un proveedor de prueba de la pluma con el fin de hacer que los procesos de toma de decisiones como libre de estrés como sea posible.
¿Tienen certificación pertinente?
Es vital que usted confía en su proveedor de prueba de lápiz para completar el trabajo de la más alta técnica, normas legales y éticas. La primera cosa que usted tiene que mirar para obtener la tranquilidad que necesita, es si el proveedor está totalmente capacitado y calificado en los servicios que ofrecen.
Buscar proveedores Prueba de penetración que son CREST-acreditado y emplear los hackers éticos que poseen una amplia gama de certificaciones profesionales. Esto no sólo ayudará a demostrar que tienen un buen conocimiento de las últimas técnicas de piratería, pero se puede confiar para llevar a cabo evaluaciones de seguridad, sin daños y la interrupción de sus sistemas.
Pueden realizar una amplia variedad de pruebas?
Cabe señalar que hay muchos tipos diferentes de pruebas de penetración. La mayoría de las empresas requieren una gama de diferentes pruebas para identificar las exposiciones internas y externas, así como aquellos específicamente relacionados con las redes, sistemas y aplicaciones.
Esto significa que más se beneficiarán de un equipo de pruebas de intrusión que tienen las habilidades y experiencia para llevar a cabo una amplia gama de evaluaciones. Esto incluye caja blanca, caja negra y las pruebas greybox. Algunos proveedores de Prueba de penetración dependen en gran medida de automatización para realizar evaluaciones, por lo que es importante para determinar el nivel de las pruebas manuales que se realiza como parte de una evaluación.
Una prueba de pluma no siempre se trata de la identificación de una gran cantidad de vulnerabilidades de bajo nivel, en vez mas los de alto riesgo que las herramientas de exploración son incapaces de detectar.
¿Tienen un buen historial?
Un proveedor de pruebas de penetración con experiencia tendrá una buena reputación en el campo de la seguridad cibernética por lo que es una gran idea para comprobar si la empresa puede suministrar una amplia gama de referencias de clientes y testimonios de organizaciones similares a la suya.
Si un proveedor no puede mostrar prueba de que han llevado a cabo un alto nivel de trabajo para otras empresas, luego a pie. Usted no debe conformarse con trabajos de baja calidad cuando hay muchos proveedores de renombre disponibles.
¿Tienen conocimiento específico de la industria?
Es de vital importancia para establecer si el proveedor tiene experiencia de trabajo con organizaciones en su industria en particular, ya que esto puede influir en si son capaces de realizar pruebas exhaustivas.
Por ejemplo, lo familiar que es probadores de un proveedor de software o con aplicaciones específicas que se utilizan comúnmente en las empresas como en su propia? ¿Son conscientes de los riesgos de la infraestructura especialista en pruebas, tales como los utilizados en la financiera, sectores de salud y de fabricación?
¿Se informan y proporcionan retroalimentación?
Al hablar con un proveedor, es importante establecer no sólo cómo se iba a realizar la prueba de penetración, sino también qué tipo de información que recibirá y cómo se comunicarán. Muchos probadores son capaces de llevar a cabo las pruebas, pero no siempre van a proporcionar el nivel de retroalimentación que necesita para priorizar y abordar los riesgos identificados.
Usted debe elegir un proveedor que va a entregar un informe completo posterior a la evaluación adecuada de las partes interesadas tanto técnicas como no técnicas. Siempre pida ver una muestra.
Son flexibles?
Teniendo en cuenta que las pruebas de penetración es probable que incluya sistemas de pruebas importantes y la infraestructura, es necesario asegurarse de que usted elige un proveedor de pruebas de penetración que es flexible a las necesidades empresariales. Por ejemplo, puede llevarse a cabo las pruebas tanto en el lugar y de forma remota, así como fuera de las horas regulares de oficina.
¿Ofrecen una nueva prueba gratuita?
Finalmente, considere lo que sucede después de la prueba de penetración. Su negocio probablemente tendrá que tomar medidas para abordar las vulnerabilidades identificadas, pero ¿cómo saber si estas medidas son eficaces? Muchas empresas toman medidas para resolver el problema, pero nunca validar los resultados de los cambios, lo que significa que no pueden trabajar en un ataque real.
Siempre pregunte a un proveedor si ofrece la opción de una re libre–prueba para ayudar a lograr la confianza de que cualquier cambio que realice son eficaces.
Sobre el Autor: Chester Avey
Chester Avey tiene más de una década de experiencia en seguridad cibernética y el crecimiento empresarial consultor. Él disfruta de compartir sus conocimientos con otros profesionales de ideas afines a través de su escritura. Para saber qué más Chester ha sido hasta en Twitter: @ Chester15611376.