Por Lic. Jorge Luis Hernández Trejo, Gerente Operativo
“Pentesting” es usada en ciberseguridad para atacar diversos entornos con la intención de descubrir vulnerabilidad y otros fallos de seguridad para poder prevenir y tomar acciones ante ataques externos.
En ZN Corporativo tomamos esto como base y lo direccionamos a la protección de activos físicos en instalaciones con el objetivo de buscar las grietas que puedan exponer la seguridad de una empresa ante ataques, realizando un test de penetración y ponemos a prueba todo el sistema de protección, nuestra área de eficacia operativa ayuda a nuestros socios comerciales a conocer el nivel de protección que cuenta cada instalación que resguardamos y tomar acciones preventivas en conjunto, es por ello que el enfoque en la seguridad es lo primero, lo segundo y también tercero.
Realizamos exitosas pruebas de penetración contemplando las siguientes etapas:
Reconocimiento: proceso para recopilar información sobre el objetivo a evaluar antes de realizar la prueba, identificar posibles puntos de entrada, estudiar el ambiente en su estado natural en diversas condiciones y horarios, en esta etapa podemos realizar intentos sencillos de entrar.
Alcance o profundidad: identificar cuantas medidas de defensa tiene la instalación, como pueden ser la alarma perimetral, barreras físicas, cámaras de cctv, herrería de protección, sensores, equipo respuesta y contacto con autoridades, entre otros.
Simulación de ataques internos y externos: identificar el enemigo en casa, se trata de evaluar el daño que podría causar un empleado descontento con motivación criminal o simplemente obligado por extorsión, amenazas, engaños o por ataques de ingeniería social, en esta etapa se realizan diferentes escenarios posibles.
Simulación sin aviso: simulamos ataques reales con protocolos y objetivos definidos y claramente establecidos paso a paso, mismo que son aprobados y vigilados por la alta gerencia para evitar afectaciones legales o bien que la simulación se vuelva un ataque real midiendo la capacidad de disuasión, detección, denegar, demorar y del tiempo en que actúa el equipo de respuesta.
Al final se realiza un simulacro del ataque real en condiciones actuales y con el estado de fuerza al momento de ejecutarlo, la evaluación es un escaneo donde se analiza el cumplimiento a políticas y procesos de seguridad, así como el funcionamiento de los equipos y elementos que forman parte de la seguridad de una instalación.
*Importante: Estimado lector el contenido de los temas fue resumido por cuestión de espacio, por lo tanto, nos ponemos a sus órdenes para poder ampliar información y soluciones de seguridad de acuerdo a sus necesidades.