¿Hacking ético in-house?

Posted on by

Por Gabriel Lazo

Últimamente podemos apreciar que el misticismo y casi ocultismo que había antes sobre los conceptos de hacking se van desvaneciendo poco a poco (por lo menos los conceptos básicos e intermedios) ya sea por la cantidad de información que hay online o por los cursos de entrenamiento en tests de penetración y hacking ético.

Todo esto ha logrado también que ya varias industrias comiencen a darse cuenta de las ventajas que trae el hacer pruebas exhaustivas de hacking ético para complementar sus esfuerzos en seguridad de la información y lograr encontrar vulnerabilidades antes que los atacantes; agregando a esto el cumplimiento de estándares y requerimientos de la industria como PCI DSS o aquellos establecidos por la SBS u otros organismos reguladores.

Las empresas, entonces, con el principal interés de mantenerse seguras, mostrar una imagen de confianza a sus clientes e impulsadas por los requerimientos anuales de estándares como PCI DSS (Payment Card Industry Data Security Standards) empiezan a considerar hacer sus propias pruebas de seguridad informática (in-house).

Decidir entre hacer las pruebas de penetración por un equipo interno o tercerizarlo no es una decisión que puede ser tomada a la ligera ya que contiene varios factores a ser analizados.

Una auditoría de buen nivel puede costar desde USD 5,000 hasta los USD 50,000 o en algunos casos más, dependiendo del alcance, objetivos, profundidad, tiempo de auditoría y reputación de la empresa auditora. Un producto de análisis de vulnerabilidades puede costar desde unos cuantos cientos de dólares hasta llegar fácilmente a los USD 30,000 por una herramienta focalizada.

Lo sé, la diferencia salta a la vista. Mientras suena muy tentador salvar miles de dólares adquiriendo un producto de análisis de vulnerabilidades e internalizar el proceso, esto conlleva a otros costos que no estamos tomando en cuenta. Debemos sopesar los costos en recursos humanos, entrenamiento y software con los que tendríamos si tercerizáramos el proyecto de auditoría.

Haremos un análisis un poco más profundo acerca de estos factores de costo.

Continuar leyendo en CXO Parte 1
Continuar leyendo en CXO Parte 2
Continuar leyendo en CXO Parte 3


View original here:
¿Hacking ético in-house? |

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>