¿Su empresa necesita un hacker etico?

La mayoría de los sistemas y redes de TI funcionan bajo el supuesto de que todo funciona bien porque no vemos evidencia de fallas o errores al realizar actividades de rutina, sin embargo, este supuesto se mantiene desde la posición de nivel más básico en las organizaciones hasta los CEO propiamente.

Si bien la declaración anterior no contempla ningún error, falla o exposición de información, puede haber riesgos que suceden en el fondo sin el conocimiento de nadie.

Este tipo de situaciones salen regularmente a la superficie cuando de repente la infraestructura de una empresa colapsa sin razón aparente, la información desaparece o se corrompe, cuando una organización comienza a notar que sus competidores están utilizando sus datos vitales o una serie de sucesos sin explicación. Estos eventos le dicen a la compañía que los sistemas y los entornos de seguridad de red no funcionan correctamente.

Es fundamental recordar que ningún sistema o red está 100% seguro, para evitar y rechazar intrusiones no autorizadas o ataques externos. Sin embargo, en este punto, la compañía necesita cersiorarse de que su infraestructura esté lo más segura y protegida posible.

Pero, ¿qué significa ser hackeado? ¿Quién realiza tales acciones?

En primer lugar, necesitamos definir qué es un hacker. Un hacker es un profesional de la tecnología con una comprensión muy profunda de la infraestructura, los sistemas y las redes de TI, que aplica todo ese conocimiento para ingresar a las plataformas de TI sin la autorización de nadie.

Como nota general, hoy en día, hay otro término además de “hacker” y esa es la palabra “cracker”. La principal diferencia es que el cracker irrumpe en los sistemas de la compañía sin ningún permiso, a fuerza bruta. Un hacker es alguien que tiene más conocimientos de programación y puede construir cosas para romper o proteger un entorno de red y sistemas, por otro lado, un cracker solo rompe la seguridad de un sistema para robar información.

Para los propósitos de este artículo, vamos a utilizar el término hacker como la persona que obtiene acceso forzado a un sistema y roba, corrompe, elimina y daña software o hardware.

Dicho esto, ahora podemos definir qué es un pirata informático ético y qué es una persona que, como el pirata informático habitual, puede ingresar a una infraestructura completa de TI, la diferencia es que un pirata informático ético tiene toda la autorización de la organización para entrar a los sistemas e información. 

Estos tipos de profesionales realizan muchas pesquisas de vulnerabilidades, pruebas de penetración y ataques de fuerza bruta en todos o parte de los sistemas y redes de la compañía para detectar agujeros de seguridad donde un pirata informático regular podría acceder y robar, corromper, eliminar información; o simplemente destruya y modifique las configuraciones y funcionalidades de software o hardware, dejando a la organización y su negocio deshabilitados.

Normalmente, cualquier organización tiene un departamento de seguridad de TI donde se concentren en problemas tales como el aseguramiento de dispositivos de red, certificados digitales, encriptación, parches de seguridad, antivirus, etc. Y las configuraciones para aumentar la seguridad de la infraestructura como un todo, normalmente se dejan de lado. 

Esto no se debe a que el departamento de TI no esté a la altura de la tarea, sino a una falta de visión de todos los riesgos porque en casi todos los casos, solo hay una persona especializada en un área específica.

Tener una visión completa de los riesgos y su gestión en todos los niveles del sistema en una empresa plantea la necesidad de contratar a un hacker ético para coordinar, a un nivel muy profundo y especializado, todas las actividades relacionadas con los agujeros de seguridad que puedan existir, para luego cerrar todas esas puertas abiertas dentro y entre sistemas y dispositivos y así mantener toda la plataforma lo más segura posible.

Ahora podemos responder las dos preguntas que dieron nombre a este artículo. 

Primera pregunta: ¿Necesita un hacker ético dentro de su empresa? 

Respuesta: Si la capacitación de su personal de TI está desactualizada, o no están altamente especializados en todos los segmentos que conforman el entorno tecnológico de su empresa, la respuesta es “SÍ”. Un hacker ético tiene un conocimiento muy profundo de todas las áreas relacionadas con la infraestructura técnica y puede usar muchas herramientas para hacer posible la detección de vulnerabilidades, pruebas de penetración y ataques de fuerza bruta que mencionamos al principio de este artículo.

Segunda pregunta: ¿Qué debe preguntarse una empresa antes de contratar a un hacker ético para identificar cualquier peligro o vulnerabilidad?

La respuesta a esta pregunta está ligada al compromiso y a las posibilidades económicas y de tiempo. Algunas preguntas para hacerse serían:

1.-  ¿Estoy dispuesto a pagar por lo que se necesita para que todo o parte de mi personal de TI esté altamente especializado para realizar estas tareas?

2.- ¿Tengo los recursos, el tiempo y el dinero para capacitar a mi personal de TI o incluso a algunos de ellos para realizar todas las tareas de piratería ética además de sus tareas habituales?

3.- ¿Tengo suficiente personal para cubrir la ausencia de esos entrenamientos como un hacker ético?

4.- ¿Es necesario proteger mi infraestructura técnica contra un ataque externo?

5.- ¿Qué pasaría si por cualquier ataque dado su negocio se deshabilita?

Lo anterior nos llevará a la pregunta empírica de cómo contratar a un hacker ético. Ser un hacker ético conlleva una gran responsabilidad y confianza en quien lo hace, lo que genera una creciente sospecha de la persona que la empresa quiere contratar.

¿Cómo podemos estar seguros de que esta es la persona adecuada? o donde encontrar a esta persona? ¿Tiene la persona la capacidad, la capacitación y las calificaciones completas para evaluar a mi empresa y asesorar a mi departamento de TI e incluso capacitarla sobre qué buscar en sus controles de seguridad de rutina?

Estas y muchas otras preguntas ahora están apareciendo en el tablero de dibujo, produciendo noches de insomnio para muchos ejecutivos y gerentes de TI que son demasiado tímidos para presentarse y solicitar capacitación y recursos adicionales en un momento en que las empresas están apretando los bolsillos tratando de maximizar los ahorros en un mundo muy competitivo.

Por Félix Griman – Experto en ciberseguridad

Fuente original: https://www.allaboutshipping.co.uk/2019/11/22/do-you-need-an-ethical-hacker/

• Acerca de
• Últimas entradas

Félix Grimán

Félix Grimán es un experto internacional en el diseño y administración de sistemas resistentes e infraestructura de red de alto rendimiento con más de dos décadas de experiencia en proyectos de seguridad nacional en varios países; implementación de transmisiones seguras, encriptación, niveles de acceso; gestión del tiempo de entrega, relación con gobiernos y empresas; así como la gestión del cambio y la gestión de conflictos al más alto nivel en los gobiernos de los diferentes países donde ha llevado sus proyectos.  Ingeniero de Sistemas e Ingeniero Química; Cisco CCNP, Microsoft MCSE. Su interés es la ciberseguridad aplicada a la industria naviera y la industria en general.

Últimas entradas de Félix Grimán (ver todo)

• Vulnerabilidades y riesgos de ciberataques bajo pandemias de Covid-19 - 15 junio 2020
• ¿Su empresa necesita un hacker etico? - 30 noviembre 2019
• Defensa contra el ciberatacante: Envios navieros y ciberseguridad - 30 octubre 2019