Conociendo el hacking Ă©tico
Un hacker Ă©tico es un profesional en el área de seguridad de la informaciĂłn, el cual utiliza todas sus habilidades y conocimientos en identificar y administrar eficientemente las brechas de seguridad en una compañĂa. La seguridad de la informaciĂłn se basa principalmente en tres (3) principios básicos:
- Confidencialidad: se refiere a mantener la informaciĂłn privada para aquellos que tengan autentificaciĂłn correcta para poder acceder a ella
- Integridad: se refiere al poder garantizar que la data permanezca Ăntegra, a menos que sea proveniente de una fuente segura
- Disponibilidad: se refiere a que simplemente el sistema se encuentre la mayor cantidad de tiempo disponible para el ingreso de cualquier usuario autentificado.
Antiguamente los hackers requerĂan de un gran conocimiento tĂ©cnico para poder vulnerar un sistema, aplicando tĂ©cnicas como ingenierĂa social, para obtener fechas de nacimiento, cedulas y adivinar contraseñas. Hoy en dĂa existe desde hijacking sessions, automated probes, stealth techiniques y las más avanzada staged attacks. Estas nuevas herramientas permiten a los hackers que poseen menos conocimientos tĂ©cnicos hacer incluso más daño a los sistemas.
Basándose en los principios de seguridad, lo que busca un hacker Ă©tico cuando va a brindar servicio es: identificar los bienes de la empresa, cuál es su capital monetario, capital intelectual, informaciĂłn confidencial, todo lo que pueda resultar atractivo para un individuo con fines maliciosos y que afectarĂa directamente a la empresa. Seguido de eso identifica posibles amenazas que podrĂan afectar principalmente a los bienes de la empresa. Y por Ăşltimo identificar las vulnerabilidades, las cuales tienen que ver con la estructura de la organizaciĂłn, los softwares, la infraestructura de hardware, las topologĂas de red, polĂticas de seguridad que rigen en la empresa, entre otros.
En tal sentido, mientras se tienen más avances tecnolĂłgicos, más vulnerable están los sistemas, debido a que dĂa a dĂa surgen nuevas herramientas que facilitan a los hackers maliciosos alterar los sistemas de informaciĂłn. Las compañĂas tienen el reto de reducir estas brechas y brindar mayor seguridad a manera de respaldarse de las amenazas actuales y las futuras. Asimismo, el hacker Ă©tico tiene el reto de brindar la confianza a empresas de que todos los riesgos asociados a tecnologĂa de informaciĂłn y/o comunicaciones se identifiquen, se comprendan y se administren de manera oportuna asegurando la productividad.
Es importante que en su presupuesto y/o plan anual, reserve los recursos necesarios para la realización de proyectos especializados en temas de seguridad, incluyendo estudios de penetración (interna y perimetral), Ethical Hacking, análisis y explosión de vulnerabilidades, en función que la empresa disponga de una imagen global y ampliada sobre su gestión tecnológica:
- Obtener un mejor entendimiento de la situación actual lo que contribuye a tomar decisiones más acertadas sobre cómo mejorar su proceso de gestión de la seguridad.
- Evaluar el rendimiento de su gestión de seguridad contra los estándares globales para proporcionar mayores niveles de confianza.
- Identificar las áreas en su programa de gestión de seguridad que debe mejorar, y desarrollar una hoja de ruta de prioridades de los próximos pasos a seguir.
Tips y recomendaciones
- Un hacker Ă©tico tiene que calcular los riesgos de los dispositivos o componentes bajo alcance, a modo de protegerlos adecuadamente: evaluando los bienes, las amenazas y las vulnerabilidades.
- Al mismo tiempo debe cuidar su espalda, limitando con la compañĂa la responsabilidad de tratar con la data sensible, en caso de que ocurran inconvenientes durante las pruebas (por ejemplo, hacker reales)
- Es responsabilidad del hacker ético el estar actualizado con las últimas tendencias y técnicas de pruebas de penetración, a fin de garantizar la oportuna identificación de vulnerabilidades, utilizando los últimos ataques empleados en el mercado.
VĂa Alta Densidad
