El Hacker Ético es un profesional experto en la seguridad de la información que realiza auditorías planeadas o test de intrusión en los sistemas a través de diversas metodologías (como OSSTMM) que nos permiten evaluar los puntos vulnerables a ataques informáticos en una organización.

Este perfil surgió como respuesta a la necesidad de evaluar la seguridad de los sistemas después de que las organizaciones sufrieran los primeros ataques informáticos con graves consecuencias económicas y de reputación. Una situación similar a la que nos encontramos actualmente en el ámbito industrial, sector “recientemente” expuesto a estas mismas amenazas, como ya veíamos en el artículo anterior sobre ciberseguridad industrial.

Tipos de Hackers. Hacking Ético, OSSTMM e ISO 27001Estos ataques se han especializado y se realizan con herramientas sofisticadas que pueden comprometer los sistemas y la continuidad de los negocios. Debemos conocerlas detalladamente para utilizarlas en el test de intrusión. De esta forma tendremos una imagen objetiva de la seguridad de los sistemas.

A diferencia de otros perfiles de hacking, que nos “atacarían sin piedad”, el test de intrusión del Hacker Ético se programa mediante contrato en el que la empresa da permiso por escrito para realizar la intrusión, se marca una fecha y lapso de duración y se establece su alcance. Posteriormente se realiza un informe a través del cual se entregan los resultados enumerando las vulnerabilidades encontradas y las recomendaciones para mitigarlas.

Para evitar cualquier contratiempo o daño a la infraestructura, o continuidad de negocio del cliente, las pruebas siguen una metodología y estándares, como el Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, por sus siglas en inglés) o el Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP).

La aparición de la primera versión del OSSTMM en Diciembre del 2000, marcó un punto de inflexión. No existía ningún documento que recogiera de forma abierta y pública un estándar para la evaluación formal de la seguridad de los sistemas de información. Inspirándose en la filosofía “Open Source”, el OSSTMM no sólo permite emplear herramientas de código libre, sino que también el propio proceso de análisis está completamente abierto y su revisión es pública. Comprende gran parte de los aspectos a tener en cuenta en el momento de realizar el test de seguridad desde el exterior hacia el interior junto con las normas éticas y legales que deben de ser tenidas en cuenta.

Según el Mapa de Seguridad propuesto por el OSSTMM, las secciones a las cuales se aplican el Hacking Ético son las siguientes:

Secciones OSSTMM. Hacking Ético, OSSTMM e ISO 27001

Contempla el cumplimiento de normas y mejores prácticas como las establecidas en el NIST, ISO 27001 – 27002 e ITIL entre otras, lo que la hace uno de los manuales mas completos en cuanto a la aplicación de pruebas a la seguridad de la información en las instituciones. En estos momentos se está re-escribiendo para convertirse en el nuevo “ISO Hacking Standard”, después de que organizaciones de todo el mundo se reunieran en Malasia para hablar sobre esta metodología para realizar los test de intrusión. Puedes descargar el documento OSSTMM v3 aquí.

Hacking Ético, OSSTMM e ISO 27001

Esto ayudaría a mejorar la seguridad en general, ya que podría exigirse el cumplimiento de esta metodología en auditorias para empresas o gobiernos para garantizar la calidad del trabajo realizado.

Sígueme

Carlos Sánchez Santos

Presidente de Bilbaodigital y gerente de Imagina Works, S.L.
Forense informático
Auditor de Seguridad FTSAU - RHCT 605007791313908 - RHCSA 100/014/133 CEH ECC942714
Sígueme