¿Hacking ético in-house?
Por Gabriel Lazo
Últimamente podemos apreciar que el misticismo y casi ocultismo que había antes sobre los conceptos de hacking se van desvaneciendo poco a poco (por lo menos los conceptos básicos e intermedios) ya sea por la cantidad de información que hay online o por los cursos de entrenamiento en tests de penetración y hacking ético.
Todo esto ha logrado también que ya varias industrias comiencen a darse cuenta de las ventajas que trae el hacer pruebas exhaustivas de hacking ético para complementar sus esfuerzos en seguridad de la información y lograr encontrar vulnerabilidades antes que los atacantes; agregando a esto el cumplimiento de estándares y requerimientos de la industria como PCI DSS o aquellos establecidos por la SBS u otros organismos reguladores.
Las empresas, entonces, con el principal interés de mantenerse seguras, mostrar una imagen de confianza a sus clientes e impulsadas por los requerimientos anuales de estándares como PCI DSS (Payment Card Industry Data Security Standards) empiezan a considerar hacer sus propias pruebas de seguridad informática (in-house).
Decidir entre hacer las pruebas de penetración por un equipo interno o tercerizarlo no es una decisión que puede ser tomada a la ligera ya que contiene varios factores a ser analizados.
Una auditoría de buen nivel puede costar desde USD 5,000 hasta los USD 50,000 o en algunos casos más, dependiendo del alcance, objetivos, profundidad, tiempo de auditoría y reputación de la empresa auditora. Un producto de análisis de vulnerabilidades puede costar desde unos cuantos cientos de dólares hasta llegar fácilmente a los USD 30,000 por una herramienta focalizada.
Lo sé, la diferencia salta a la vista. Mientras suena muy tentador salvar miles de dólares adquiriendo un producto de análisis de vulnerabilidades e internalizar el proceso, esto conlleva a otros costos que no estamos tomando en cuenta. Debemos sopesar los costos en recursos humanos, entrenamiento y software con los que tendríamos si tercerizáramos el proyecto de auditoría.
Haremos un análisis un poco más profundo acerca de estos factores de costo.
Continuar leyendo en CXO Parte 1
Continuar leyendo en CXO Parte 2
Continuar leyendo en CXO Parte 3
Últimamente podemos apreciar que el misticismo y casi ocultismo que había antes sobre los conceptos de hacking se van desvaneciendo poco a poco (por lo menos los conceptos básicos e intermedios) ya sea por la cantidad de información que hay online o por los cursos de entrenamiento en tests de penetración y hacking ético.
Todo esto ha logrado también que ya varias industrias comiencen a darse cuenta de las ventajas que trae el hacer pruebas exhaustivas de hacking ético para complementar sus esfuerzos en seguridad de la información y lograr encontrar vulnerabilidades antes que los atacantes; agregando a esto el cumplimiento de estándares y requerimientos de la industria como PCI DSS o aquellos establecidos por la SBS u otros organismos reguladores.
Las empresas, entonces, con el principal interés de mantenerse seguras, mostrar una imagen de confianza a sus clientes e impulsadas por los requerimientos anuales de estándares como PCI DSS (Payment Card Industry Data Security Standards) empiezan a considerar hacer sus propias pruebas de seguridad informática (in-house).
Decidir entre hacer las pruebas de penetración por un equipo interno o tercerizarlo no es una decisión que puede ser tomada a la ligera ya que contiene varios factores a ser analizados.
Una auditoría de buen nivel puede costar desde USD 5,000 hasta los USD 50,000 o en algunos casos más, dependiendo del alcance, objetivos, profundidad, tiempo de auditoría y reputación de la empresa auditora. Un producto de análisis de vulnerabilidades puede costar desde unos cuantos cientos de dólares hasta llegar fácilmente a los USD 30,000 por una herramienta focalizada.
Lo sé, la diferencia salta a la vista. Mientras suena muy tentador salvar miles de dólares adquiriendo un producto de análisis de vulnerabilidades e internalizar el proceso, esto conlleva a otros costos que no estamos tomando en cuenta. Debemos sopesar los costos en recursos humanos, entrenamiento y software con los que tendríamos si tercerizáramos el proyecto de auditoría.
Haremos un análisis un poco más profundo acerca de estos factores de costo.
Continuar leyendo en CXO Parte 1
Continuar leyendo en CXO Parte 2
Continuar leyendo en CXO Parte 3
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!