firma-e@firma-e.com   968 93 18 12 Blog
Firma-e
  • La empresa¿Qué hacemos?
  • EquipoNosotros
  • Servicios¿Qué hacemos?
    • Gestión electrónica
      • PRP. Facturación Electrónica a Empresa Privada y AAPP
      • PRP. Recepción Facturas de Proveedores
      • PRP. Gestión Documental Electrónica
      • PRP. Soporte y Atención al Cliente
      • Facturación Electrónica ERPs
    • Ciberseguridad / GRC
      • Análisis de Riesgos
      • Test de Intrusión
      • Implantación ISO 27001
      • ENS – Esquema nacional de seguridad
      • INES – Informe Nacional del Estado de Seguridad
    • Privacidad y Protección de Datos
      • Implantación RGPD
      • Auditoría RGPD
      • Delegado de Protección de Datos (DPD)
      • Formación
      • Adecuación a la LSSICE
  • ReferenciasNuestros clientes
  • PartnersNuestras alianzas
  • Área PrivadaProveedores / Clientes

¿Qué es un Test de Intrusión? (1ª parte)

  • Inicio
  • Blog
  • ¿Qué es un Test de Intrusión? (1ª parte)

¿Qué es un Test de Intrusión? (1ª parte)

Por: Firma-e 11/03/2013 Categoría: Ciberseguridad/GRC

Se denomina Test de Intrusión, también conocido como Pen Test, al conjunto de metodologías y técnicas que permite simular un ataque real a los sistemas de información de una organización (ya sea una red, sistema y/o aplicación) con el objetivo de determinar su nivel de seguridad y, por tanto, el grado de acceso que tendría un atacante con intenciones malintencionadas en los mismos.

El Test de Intrusión intenta reproducir intentos de acceso de un potencial intruso desde los diferentes puntos de entrada que existan (tanto internos como externos), ayudando a demostrar el grado de vulnerabilidades que posee la infraestructura tecnológica, al mismo tiempo que analiza las consecuencias y riesgos de un acceso ilegal.

El resultado de un Test de Intrusión debe ser analizado para estudiar y abordar soluciones que eliminen, o minimicen en su mayor medida, todos los problemas de seguridad detectados, reforzando el nivel de seguridad de los Sistemas de Información evaluados.

Tipos de enfoque

Existen tres tipos de Test de Intrusión:

  • Caja Negra (Black-box). El ejecutor del Test de Intrusión no tiene conocimiento sobre el sistema de información a revisar. En general, suele ser el escenario de trabajo cuando la organización responsable del sistema de información a revisar contrata a un tercero la realización del Test de Intrusión desde el punto de vista de un atacante externo.
  • Caja Blanca (White-box). El ejecutor del Test de Intrusión dispone de un conocimiento detallado del funcionamiento y características del sistema, arquitectura de red, sistemas operativos y software utilizados, etc.
  • Caja Gris (Gray-box). Escenario cuando el ejecutor del Test de Intrusión simula la posición de un empleado interno de la organización que dispone de cierta información (por ejemplo, un usuario y contraseña de un sistema), pero “sin privilegios”. El objetivo de este tipo de Test de Intrusión es detectar vulnerabilidades que permitan elevaciones de privilegios de dichos usuarios.

Alcance y objetivos

Es importante tener definido el alcance deseado de un Test de Intrusión antes de llevarlo a cabo. El alcance de un Test de Intrusión puede ser amplio, llegando incluso a cubrir toda la infraestructura tecnológica completa de la organización, o por el contrario, puede estar focalizado en un determinado sistema, equipo y/o aplicación sobre el cual se requiera llevar un control más exhaustivo.

Adicionalmente, una vez definido el alcance, se deben dar respuesta a cuestiones como:

  • Horario de realización del Test de Intrusión (durante las horas laborales o fuera del horario laboral)
  • ¿está permitido llevar a cabo denegaciones de servicio (DoS)?
  • ¿está permitido instalar backdoors?
  • ¿está permitido realizar defacement de las aplicaciones web?
  • ¿está permitido llevar a cabo borrados de posibles logs?
  • ¿el personal de la organización tendrá conocimiento de la realización del Test de Intrusión? ¿es posible llevar a cabo técnicas de Ingeniería Social?

Más información:

Test de Intrusión

Próxima entrega: ¿Qué es un test de intrusión? (2ª parte)

Etiquetas:

Seguridad test de intrusión

Compartir

Tweet

Lo más leído

  • Pilares de la Seguridad de la Información: confidencialidad, integridad y disponibilidad publicado el octubre 14, 2014
  • ¿Qué es un SGSI – Sistema de Gestión de Seguridad de la Información? publicado el febrero 19, 2013
  • ¿Qué es el Esquema Nacional de Seguridad – ENS? ¿Cuál es su ámbito de aplicación y sus objetivos? publicado el febrero 14, 2013
  • ¿Qué es un Test de Intrusión? (1ª parte) publicado el marzo 11, 2013
  • Firma electrónica: tipos de firma y sus diferencias publicado el junio 25, 2014

Categorías

  • Actualidad
  • Ciberseguridad/GRC
  • Gestión electrónica
  • Privacidad y Protección de Datos

Entradas recientes

  • PLATAFORMA INTELIGENTE FIRMA-E EUROPEA
  • Ciberseguridad, una asignatura obligada que pocos aprueban
  • OFICIALMENTE ya tenemos nueva Ley de Protección de Datos Personales ¿Cuáles son sus principales novedades?
  • Modificaciones “Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales”
  • ¿A qué empresas aplica la Factura Electrónica a través de FACeB2B?

Nuestra oficina

  • Av. Teniente Montesinos, 8, Edificio Z, 3ª planta, 30100 Espinardo, Murcia
    +34 968 93 18 12
    +34 868 94 26 41
    firma-e@firma-e.com

Info Face

Localización

– Ver en Google maps –

Contacto




Acepto la política de privacidad y protección de datos
Deseo recibir información comercial y newsletter

INFORMACIÓN BÁSICA SOBRE EL TRATAMIENTO DE SUS DATOS PERSONALES
Responsable: Firma, Proyectos y Formación S.L.; Finalidad: gestionar su solicitud de contacto; Derechos: podrá ejercer su derecho de acceso, rectificación, supresión, oposición, limitación y/o portabilidad cuando proceda mandando un email a rgpd@firma-e.com; Información detallada: puede consultarla en nuestra política de privacidad.

© Firma, proyectos y formación, S.L. - 1999-2019
  • Contacto
  • Aviso Legal
  • Política de Privacidad
  • Política de Cookies
  • Política Corporativa de Calidad
  • Política Corporativa de Seguridad
NEWSLETTER

Introduce tu email para estar informado de todas las novedades

Acepto la política de privacidad y de datos

Deseo recibir información comercial y newsletter

INFORMACIÓN BÁSICA SOBRE EL TRATAMIENTO DE SUS DATOS PERSONALES

Responsable: Firma, Proyectos y Formación S.L.; Finalidad: enviarle las novedades y publicaciones informativas llevadas a cabo en Firma-e; Derechos: podrá ejercer su derecho de acceso, rectificación, supresión, oposición, limitación y/o portabilidad cuando proceda mandando un email a rgpd@firma-e.com; Información detallada: puede consultarla en nuestra política de privacidad.