Ir al contenido principal

Penetration Test según Normas de Seguridad de la PCI DSS

De acuerdo con el PCI SSC, las organizaciones deben utilizar los servicios de seguridad informática como pruebas de penetración para identificar las vulnerabilidades, para determinar si el acceso no autorizado a sus sistemas u otras actividades maliciosas es posible. 

La guía, desarrollada por PCI Special Interest Group, tiene como objetivo ayudar a las organizaciones de todos los tamaños, presupuestos y sectores a evaluar, implementar y mantener una metodología de servicios de seguridad informática.

A menudo confundido con la realización de un “análisis de vulnerabilidades”, “auditoría de cumplimiento” o “evaluación de la seguridad”, las pruebas de penetración se distinguen de estos esfuerzos en unos pocos aspectos críticos:

·         Las pruebas de penetración es una herramienta crítica para verificar que la apropiada segmentación este en su lugar para aislar el entorno de datos de titulares de tarjetas de otras redes, para reducir el alcance de PCI DSS.

·   Una prueba de penetración no se detiene simplemente el descubrimiento de vulnerabilidades: pasa al siguiente paso para explotar activamente esas vulnerabilidades con el fin de probar (o refutar) de ataque del mundo real contra los activos de TI de una organización, los datos, los seres humanos, y / o alguna otra seguridad física.

·         Si bien un pentest puede implicar el uso de herramientas automatizadas y marcos de procesos, el enfoque es sobre la persona o equipo de probadores, la experiencia que ellos aportan a la prueba, las habilidades y los medios que ellos  aprovechan en el contexto de un ataque activo en su organización. Esto no puede dejar de enfatizarse. Incluso altamente automatizadas, con buenos recursos, y avanzados redes que implementen sofisticadas tecnologías de contramedidas, suelen ser vulnerables a la naturaleza única de la mente humana, que puede pensar lateralmente y fuera de la caja, puede hacer las dos cosas análisis y síntesis, y está armada con un motivo y determinación.

·         Una prueba de penetración está diseñado para responder a la pregunta: “¿Cuál es la efectividad real de mis controles de seguridad existentes en contra de un, humano, atacante experto ” Podemos contrastar esto con la seguridad o auditorías de cumplimiento que comprueba la existencia de necesarios controles y sus configuraciones correctas, mediante el establecimiento de un escenario simple: Incluso una organización compatible 100% todavía pueden ser vulnerables en el mundo real contra una amenaza humana bien calificada.


·         Una prueba de penetración permite múltiples vectores de ataque para ser explorados contra el mismo objetivo. A menudo es la combinación de la información o las vulnerabilidades a través de diferentes sistemas que darán éxito a un ataque. Si bien hay ejemplos de pruebas de penetración que limitan su alcance a un solo objetivo a través de un vector (ejemplo, una prueba de intrusión de aplicaciones web realizado sólo desde el punto de vista del navegador de Internet), sus resultados siempre se deben tomar con importancia: mientras que la prueba puede haber proporcionado resultados valiosos, sus resultados sólo son útiles dentro del mismo contexto se llevó a cabo la prueba.

Comentarios

Entradas más populares de este blog

MISP - Malware Information Sharing Platform

Les presentamos una gran plataforma. Es MISP - Malware Information Sharing Platform. 





¿Qué es MISP?
MISP , Malware Information Sharing Platform y Threat Sharing, es una solución de software para recopilar, almacenar, distribuir y compartir indicadores de amenazas ciberseguridad. Permite el análisis de incidentes de seguridad, como así tambien el de malware. El MISP está diseñado por y para analistas de incidentes, profesionales de seguridad y TIC. El objetivo del MISP es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad y en el extranjero. MISP proporciona funcionalidades para respaldar el intercambio de información, pero también el consumo de la información por parte del Sistema de Detección de Intrusión en la Red (NIDS), Sistemas de Análisis de Logs (LIDS – Log-Based Intrusion Detection), SIEM.
¿Cómo funciona?
Las funcionalidades principales de MISP, Malware Information Sharing y Threat Sharing son:
- Una eficiente base de datos de Indicadores de Compr…

Reporte de Gartner de 2018: Cuadrante Mágico para la Infraestructura de Acceso LAN Alámbrica e Inalámbrica

El enorme volumen y variedad de usuarios e IoT conectados significa que es tiempo de reexaminar como construye, asegura y administra la infraestructura de su red. Para asegurar que sus usuarios obtengan experiencias agradables mientras se mantienen los datos seguros, se necesita de una red de siguiente generación que elimine la complejidad de las operaciones de TI - ¿pero a quién puede recurrir?

Gartner, ha liberado su cuadrante mágico al respecto. Donde se destaca la presencia de Aruba (HPE) como lider por 13 años consecutivos.

Estrategia Nacional de Ciberseguridad de la República Argentina

La Estrategia Nacional de Ciberseguridad, establecida por el Poder Ejecutivo Nacional con el consenso del conjunto de la sociedad en forma multidisciplinaria y multisectorial, sienta los principios básicos y desarrolla los objetivos fundamentales que permiten fijar las previsiones nacionales en materia de protección del Ciberespacio.

Su finalidad es brindar un contexto seguro para su aprovechamiento por parte de las personas y organizaciones públicas y privadas, desarrollando de forma coherente y estructurada, acciones de prevención, detección, respuesta y recuperación frente a las ciberamenazas, juntamente con el desarrollo de un marco normativo acorde.

En virtud de lo establecido por el Decreto N° 577 publicado el 28 de julio de 2017, se ha encomendado al Comité de Ciberseguridad, creado por esa misma norma, la elaboración de la Estrategia Nacional de Ciberseguridad.

Las Tecnologías de la Información y las Comunicaciones han incrementado notablemente la eficiencia de las estructura…