Las pruebas de penetración ayudan a las organizaciones a proteger sus sistemas de TI, pero no deben tratarse con un enfoque único para todos. Los enfoques tradicionales pueden ser rígidos, costar tiempo y dinero a las organizaciones y producir malos resultados.
Los beneficios de las pruebas de penetración son claros. Al permitir que los piratas informáticos de «sombrero blanco» intenten penetrar su sistema utilizando herramientas y técnicas similares a las de sus adversarios, las pruebas de penetración pueden brindarle la tranquilidad de saber que su configuración de TI es segura. Quizás lo más importante es que también puedes señalar áreas de mejora.
Como señala el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, esto es comparable a una auditoría financiera.
«El equipo de finanzas realiza un seguimiento diario de los gastos y los ingresos. Las auditorías realizadas por grupos externos garantizan que los procesos internos del equipo sean suficientes».
Si bien los beneficios son claros, es importante comprender el costo real del proceso. De hecho, los enfoques tradicionales a menudo requieren mucho tiempo y esfuerzo por parte de su equipo. Necesita obtener el valor de su dinero.
Los costos ocultos de las pruebas de penetración
No existe un formato establecido para las pruebas de penetración. Depende de qué esté probando exactamente, con qué frecuencia se realizan las pruebas de penetración y cómo se hacen. Sin embargo, los enfoques clásicos tienen algunos elementos comunes que pueden generar costes importantes, tanto en términos económicos como de tiempo de los empleados.
Echemos un vistazo a algunos de los costos que pueden no ser inmediatamente obvios.
Gastos administrativos
La organización de una prueba de penetración «tradicional» puede involucrar a administradores clave. Primero, debe coordinar un cronograma entre su organización y los evaluadores que contrate para realizar las pruebas en su nombre. Esto puede causar perturbaciones importantes a los empleados y hacer que no puedan concentrarse en sus tareas diarias.
Además, antes de realizar la prueba, debe crear una descripción general clara de los recursos y activos a su disposición, incluso mediante la recopilación de un inventario del sistema. También deberá preparar las credenciales de acceso de los piratas informáticos según el tipo de método de prueba de penetración que esté realizando. Por ejemplo, un evaluador podría necesitar estas credenciales para desarrollar un escenario basado en riesgos en el que un empleado descontento apunte al sistema.
complejidad del alcance
Nuevamente, es importante determinar el alcance exacto de la prueba. ¿Qué está “dentro del alcance” para los piratas informáticos y qué debería quedar fuera del alcance?
Esto se determina internamente y se basa en varios factores, según las necesidades exactas de su organización. Por ejemplo, puede haber determinadas aplicaciones que no se puedan incluir en la prueba. Cualquiera sea el motivo, determinar el alcance general de las pruebas lleva tiempo.
Por supuesto, esto no es absolutamente seguro. Algunas organizaciones pueden estar lidiando con entornos altamente sofisticados que cambian con el tiempo. Se deben dedicar recursos a evaluar el impacto potencial de estos cambios. ¿Deberían los evaluadores incluir nuevos elementos a los que apuntar a medida que cambia el entorno?
Todo esto aumenta el riesgo de «desplazamiento del alcance», donde las pruebas de penetración se expanden más allá de su propósito original, creando trabajo y costos adicionales tanto para los equipos internos como para los evaluadores externos.
gastos generales
Como hemos visto, las pruebas de penetración, por su propia naturaleza, pueden plantear importantes riesgos de interrupción para su equipo, incluida la interrupción de las operaciones durante la duración de la prueba. Es importante tener esto bajo control desde el principio.
También hay tiempo y costos asociados con las reparaciones. Esta es una etapa algo mal definida que implica consultar con el evaluador para superar y resolver cualquier problema que pueda haber surgido durante la prueba de penetración. Esto puede incluir volver a realizar la prueba. Eso significa comenzar otra prueba de penetración para asegurarse de que todo esté seguro.
Todo esto puede costarle a su organización tiempo y dinero extra.
Desafíos de la gestión presupuestaria
También debes considerar cómo pagarás el trabajo. Por ejemplo, ¿elige un modelo de precios de costo fijo, donde el evaluador proporciona una tarifa fija, o elige «tiempo y materiales», donde el evaluador proporciona una tarifa por hora basada en las horas estimadas (o en otra escala), pero se agrega cualquier cosa por encima de esa estimación?
«Hay una razón por la que es tan difícil comparar el costo de las pruebas de penetración: las pruebas de cada empresa son únicas», señala Network Assured, que proporciona orientación independiente sobre precios para las pruebas de penetración y otros servicios de ciberseguridad.
Entonces, ¿cómo se puede lograr el mejor retorno de la inversión y optimizar la rentabilidad?
Figura 1: Cuando se habla del costo total de las pruebas de penetración, es posible que algunos factores no sean inmediatamente obvios.
Pruebas de penetración como servicio (PTaaS)
Para asegurarse de obtener la funcionalidad de pruebas de penetración que necesita (a un costo razonable), es beneficioso un enfoque «como servicio». Este enfoque se puede personalizar según sus necesidades, lo que reduce el riesgo de realizar trabajos innecesarios.
Por ejemplo, CyberFlex de Outpost24 combina las fortalezas de las pruebas de penetración como servicio (PTaaS) y las soluciones de gestión de superficie de ataque externo (EASM) para proporcionar una cobertura continua de servicios de ataque de aplicaciones con un modelo de consumo flexible. Esto permite a las organizaciones lograr las necesidades deseadas de descubrimiento, priorización y generación de informes, al tiempo que obtienen una visibilidad completa de los costos y las capacidades.
Las pruebas de penetración son esenciales para defender los sistemas de una organización, pero la funcionalidad de vanguardia no necesariamente tiene que costar mucho. Al adoptar un enfoque inteligente para brindar los servicios necesarios en el momento adecuado, puede descubrir vulnerabilidades que deben abordarse sin interrupciones indebidas ni costos innecesarios. Programe una demostración en vivo de CyberFlex hoy.
Source link
