Las pruebas de penetración ayudan a las organizaciones a garantizar que los sistemas de TI sean seguros, pero nunca deben tratarse con un enfoque único para todos. Los enfoques tradicionales pueden ser rígidos y costarle tiempo y dinero a su organización, al tiempo que producen resultados inferiores.
Los beneficios de las pruebas de penetración son claros. Al permitir a los piratas informáticos de «sombrero blanco» intentar violar su sistema utilizando herramientas y técnicas similares a las de un adversario, las pruebas de penetración pueden brindarle la seguridad de que su configuración de TI es segura. Quizás lo más importante es que también puede señalar áreas de mejora.
«Su equipo de finanzas realiza un seguimiento de los gastos y los ingresos día a día. Una auditoría realizada por un grupo externo garantiza que los procesos de su equipo interno sean suficientes».
Si bien las ventajas son obvias, es vital comprender el costo real del proceso: de hecho, el enfoque clásico a menudo puede exigir mucho tiempo y esfuerzo por parte de su equipo. Necesita obtener el valor de su dinero.
Costos ocultos de las pruebas de penetración
No existe una forma única de prueba de penetración: Depende de qué se está probando exactamente, con qué frecuencia se realiza la prueba de penetración y cómo se lleva a cabo.. Sin embargo, existen algunos elementos comunes del enfoque clásico que podrían generar costes importantes, tanto económicos como de tiempo de sus empleados.
Echemos un vistazo a algunos de los costos que podrían no ser inmediatamente obvios.
Gastos administrativos
Puede haber un administrador importante involucrado en la organización de una prueba de penetración «tradicional». Primero, debe coordinar los cronogramas entre su propia organización y los evaluadores que contrató para realizar la prueba en su nombre. Esto puede causar perturbaciones importantes a sus empleados, distrayéndolos de sus tareas diarias.
Es más, necesitará desarrollar una visión general clara de los recursos y activos a su disposición antes de que pueda realizarse la prueba, mediante la recopilación de inventarios del sistema, por ejemplo. También deberá preparar credenciales de acceso para los piratas informáticos, según el tipo de enfoque de prueba de penetración que desee adoptar: por ejemplo, los evaluadores pueden necesitar estas credenciales para desarrollar un escenario basado en el riesgo de que un empleado descontento apunte a sus sistemas, por ejemplo.
Complejidad del alcance
Una vez más, es importante determinar el alcance preciso de la prueba: ¿qué está «dentro del alcance» para los piratas informáticos y qué debería quedar fuera del alcance?
Esto se determinará internamente y se basará en varios factores, según las necesidades precisas de la organización; Es posible que haya determinadas aplicaciones, por ejemplo, que no puedan incluirse en la prueba. Independientemente de los motivos, determinar el alcance general de las pruebas llevará tiempo.
Por supuesto, esto no está escrito en piedra: algunas organizaciones pueden lidiar con entornos altamente sofisticados, que cambian con el tiempo. Deberá dedicar recursos a evaluar el impacto potencial de estos cambios; a medida que cambie su entorno, ¿debería incluir nuevos elementos a los que los evaluadores se dediquen?
Todo esto aumenta el riesgo de un «desplazamiento del alcance», donde una prueba de penetración crece más allá de sus objetivos originales, generando trabajo (y costos) adicionales tanto para el equipo interno como para los evaluadores externos.
Costos indirectos
Como hemos visto, las pruebas de penetración, por su naturaleza, pueden plantear importantes riesgos de interrupción para su equipo, incluidas interrupciones operativas durante el período de prueba. Es vital mantener esto bajo control desde el principio.
También está el tiempo y los costos asociados con la remediación, una fase un tanto mal definida que podría incluir consultas con los evaluadores para superar y resolver cualquier problema que pueda haber surgido durante la prueba de penetración. Esto podría incluso implicar volver a realizar la prueba: lanzar otra prueba de penetración para comprobar que ahora todo está seguro y protegido.
Todo esto puede suponer tiempo y dinero extra para su organización.
Desafíos de la gestión presupuestaria
También deberás considerar cómo vas a pagar el trabajo.. Por ejemplo, ¿opta por un modelo de fijación de precios de costo fijo, donde los evaluadores ofrecen una tarifa fija? ¿O opta por «tiempo y materiales», donde proporcionan una tarifa por hora basada en las horas estimadas (o mediante otra medida), pero agregan algo más que estas estimaciones?
«Hay una razón por la que es tan difícil comparar los costos de las pruebas de penetración: cada prueba realizada por cada empresa es única», señala Network Assured, que proporciona orientación independiente sobre precios para pruebas de penetración y otros servicios de ciberseguridad.
Siendo ese el caso, ¿cómo se puede lograr el mejor retorno de la inversión y optimizar la rentabilidad?
 |
| Figura 1: Es posible que algunos factores no sean inmediatamente obvios cuando se habla del costo total de una prueba de penetración. |
Prueba de penetración como servicio (PTaaS)
Para asegurarse de obtener exactamente la capacidad de prueba de penetración que necesita (al costo adecuado), un enfoque «como servicio» puede generar dividendos. Este enfoque se puede personalizar según sus necesidades, lo que reduce los riesgos de esfuerzos innecesarios.
Por ejemplo, CyberFlex de Outpost24 combina las fortalezas de nuestra Prueba de penetración como servicio (PTaaS) y Gestión de la superficie de ataque externo (EASM) soluciones, brindando cobertura continua del servicio de ataque a aplicaciones en un modelo de consumo flexible. Esto permite a las organizaciones tener una visión completa de sus costos y capacidades, al mismo tiempo que logran las necesidades de descubrimiento, priorización y generación de informes que necesitan.
Las pruebas de penetración son cruciales para defender los sistemas de su organización, pero una capacidad de vanguardia no tiene por qué costarle mucho dinero. Al adoptar un enfoque inteligente, basado en brindar los servicios que necesita en el momento adecuado, puede descubrir las vulnerabilidades que necesita abordar, sin causar interrupciones indebidas ni incurrir en costos innecesarios. Reserve una demostración en vivo de CyberFlex hoy.