ISACA publica un nuevo recurso para visibilizar qué es el pentesting
Las pruebas de penetración física a menudo se pasan por alto cuando se trata de seguridad, a pesar de un aumento del 28% en los incidentes de seguridad física tanto en 2021 como en 2022. En este contexto, ISACA, asociación mundial en ciberseguridad y gobernanza de las tecnologías de la información, ha publicado un nuevo recurso que comparte una visión general de las pruebas de penetración física, la importancia de la seguridad física y una exploración de las metodologías y herramientas empleadas por los probadores de penetración física.
Las pruebas de penetración física o pentesting están diseñadas para identificar puntos débiles en los controles de seguridad física de una organización y simular cómo un atacante real intentaría acceder a áreas restringidas de información. En el documento se describen diferentes métodos de prueba, entre los que se incluyen:
- Ingeniería social
- Anulación física/técnica
- Pruebas destructivas frente a pruebas no destructivas
- Amenazas persistentes avanzadas
Los profesionales también pueden informarse sobre cómo las organizaciones y las empresas de pruebas deciden qué tipo de prueba utilizar en función de factores como el presupuesto, el alcance del encargo y la información interna facilitada por la organización. La publicación explora estos distintos tipos de pruebas, entre los que se incluyen:
- Equipo rojo
- Caja negra
- Caja blanca
- Caja gris
- Evaluación de diligencia debida (walkthrough)
“Los avances tecnológicos y la variabilidad de los lugares en los que se realiza el trabajo organizativo aumentan la dificultad de proteger los datos y activos sensibles. Las empresas no pueden pasar por alto los riesgos asociados al acceso físico”, afirma Jon Brandt, director de Prácticas Profesionales e Innovación de ISACA. “La seguridad física es anterior a la seguridad de la información y, aunque puede permanecer eclipsada por las ciberamenazas, los beneficios de las pruebas de penetración física son numerosos y fortalecerán la postura de seguridad general de cualquier organización”.
Aunque las pruebas de penetración física tienen ventajas como el cumplimiento de la normativa, la seguridad del personal y la protección de datos, también presentan varios retos: coste, tiempo, consideraciones legales y éticas, malentendidos de los guardias armados, zonas/activos fuera de los límites y personal que puede no tener las habilidades adecuadas para las pruebas de penetración. El documento comparte estrategias para superar los retos que puede encontrar una organización.