Hacking ético

From FdIwiki ELP
Jump to: navigation, search

Un proyecto ha sido contratado por una empresa y con él se pretende mostrar a toda la dirección de la compañía el status actual de la seguridad de la compañía frente a todas las amenazas que hay hoy en día en Internet, centrando sus esfuerzos tanto en el factor humano como en el dimensionamiento y configuración de sus sistemas.

¿Qué se quiere decir con esto? Pues esto es un proyecto habitual de hacking ético. No se debe confundir con la ética hacker o con la ética informática, aunque todos estos temas van muy de la mano.

Definición

El hacking ético es una disciplina profesional dentro del campo de la seguridad informática que permite evaluar el nivel de vulnerabilidad y el riesgo en el que se encuentran los sistemas informáticos o los activos de una organización mediante un acuerdo previo con el cliente.

Esto ha sido impuesto por la sociedad, para diferenciar el comportamiento ético hecho por un profesional del de las acciones ilegales no autorizadas realizadas por alguien con peores intenciones.

Objetivo

El objetivo fundamental de un proceso de Ethical Hacking es la de detectar, investigar y explotar las vulnerabilidades existentes en un sistema de interés.

Es importante recalcar lo de interés, ya que si la información que contiene ese sistema es menos valiosa que el tiempo que llevaría a un hacker acceder a ella, nadie la querría.

Control de la situación

En cualquier momento del proceso de Ethical Hacking toda actividad tiene que estar controlada, es decir, todo ataque debe poder ser parado en cualquier momento ante la demanda del contratante.

Por ejemplo, en un ataque DDoS no se podrá alquilar ni utilizar una botnet con el fin de cubrir esta prueba.

¿Quiénes son los encargados de llevar a cabo este tipo de procesos?

Los conocidos como hackers éticos son también conocidos como pentesters, y son los encargados de realizar las pruebas de penetración o intrusión a los sistemas.

A estos hackers se les suele denominar de sombrero blanco, ya que en las películas del oeste el bueno siempre suele llevar un sombrero blanco. Otro nombre puede ser el de samurái, los cuales investigan casos sobre los derechos de privacidad. La diferencia entre éstos y los de sombrero negro, es que el ataque lo hacen en nombre de sus clientes, siempre y cuando ataquen activos de éstos.

Beneficios

  • Conocimiento del grado de vulnerabilidad de los sistemas de información. Conocimiento que ha de permitir la reducción de aquellos riesgos que pueden comprometer la confidencialidad e integridad del activo más valioso de cualquier organización que es la información que gestiona.
  • Mejora de la seguridad de la organización. La auditoría de seguridad ha de contribuir a mejorar la robustez de los sistemas de información frente a posibles ataques y malos usos externos e internos.
  • Formación y concienciación de los empleados de la organización, para fomentar un comportamiento y actitud en su operativa diaria que permita mejorar la seguridad de la información, evitando riesgos innecesarios.

Certificaciones

Existen varias certificaciones profesionales que se pueden obtener para realizar la práctica profesional del Ethical Hacking. Algunas de ellas son:

  • Certified Ethical Hacker por EC-Council
  • Gerente Certificado de Seguridad de la Información (CISM) por ISACA
  • Profesional Certificado de Sistemas de Información de Seguridad (CISSP) por ISC2
  • Profesional de la Seguridad Inalámbrica Certificado (CWSP) por Certified Wireless Network Professional (CWNP)
  • CompTIA Security +
  • Todos los cursos de Certificación Global Information Assurance (GIAC)

Véase también


Referencias