La piratería es ilegal. El hacking ético es el uso de herramientas y técnicas ilegales con fines legales. Es la ética lo que diferencia a los dos. Usted como pentester, debe asegurar a nuestros clientes que sus datos, redes y aplicaciones están seguros. Ese es el propósito de nuestro compromiso con ellos.

Se estima que los insiders malintencionados causan el 60% de las violaciones de datos. Las empresas de pruebas de penetración deben tomar medidas adicionales para asegurarse de que sus empleados puedan confiar los secretos de sus clientes.

En empresas de ciberseguridad y pentesting, rutinariamente hacen verificaciones exhaustivas de los antecedentes de todas las personas que contratamos. También comprueban periódicamente que los empleados actuales se comportan de forma ética. Utilizan acuerdos de confidencialidad (NDA) para establecer penalizaciones por la divulgación de datos en cada uno de los contratos. También auditan las actividades de pruebas de penetración para garantizar que se respete el alcance del compromiso. Por último, hacen que todos sus evaluadores firmen un código de conducta ética como forma de demostrar que el personal es consciente de nuestros estándares éticos y ha jurado cumplirlos.

Hay muchos escenarios en los que un hacker ético (probador de penetración) debe demostrar profesionalismo e integridad.

Verificaciones de antecedentes de los equipos de pruebas de penetración

Un cliente puede requerir que usted y su equipo se sometan a cuidadosas verificaciones de antecedentes, según el entorno y el compromiso. Las organizaciones a veces requieren estas verificaciones de antecedentes para sentirse cómodas con los equipos de pruebas de penetración a los que permiten acceder a su entorno e información. Sus clientes pueden verificar sus credenciales y asegurarse de que tiene las habilidades para hacer que su red sea más segura mediante la búsqueda de vulnerabilidades que podrían ser explotadas por atacantes malintencionados.

Cumplimiento del alcance específico del compromiso

Ya ha aprendido sobre la importancia de un alcance adecuado del compromiso de las pruebas de penetración. Es posible que haya elementos de alcance específicos de la empresa que deba tener en cuenta. Por ejemplo, es posible que haya sido contratado para realizar una prueba de penetración de una empresa que está siendo adquirida por la empresa que lo contrató, como parte del proceso previo a la fusión. Por ejemplo, la empresa adquirente podría pedirle a la empresa que se está adquiriendo que muestre si se han realizado pruebas de penetración en el último año o en los últimos seis meses. De lo contrario, es posible que la empresa que se está adquiriendo deba contratar a una empresa de pruebas de penetración para realizar una evaluación. Durante la fase de determinación del alcance, el proceso de selección de objetivos debe completarse cuidadosamente con la empresa que lo contrató o, si forma parte de un equipo rojo a tiempo completo, con las partes interesadas adecuadas en su organización. La organización puede crear una lista de aplicaciones, sistemas o redes que se van a probar. Esto a menudo se conoce como una "lista de permitidos" del alcance de las pruebas de penetración. Una lista de permitidos es una lista de aplicaciones, sistemas o redes que están dentro del ámbito y deben probarse. Por otro lado, una lista de denegación es una lista de aplicaciones, sistemas o redes que no están dentro del alcance y no deben probarse. Siempre debes obedecer esas reglas.

Identificación de actividades delictivas y denuncia inmediata de infracciones/actividades delictivas

En algunos casos, es posible que un atacante real ya haya comprometido los sistemas y la red del cliente. En tales casos, debe identificar cualquier actividad delictiva y denunciarla de inmediato.

Limitar el uso de herramientas a un compromiso en particular

En algunos compromisos de pruebas de penetración, no se le permitirá usar un conjunto particular de herramientas que la organización no permita debido a razones legales o porque esas herramientas podrían derribar la red y los sistemas subyacentes.

Limitar la invasividad en función del alcance

Después de que el probador de penetración y el cliente o la parte interesada apropiada acuerden el alcance de la prueba, el probador de penetración podría realizar el descubrimiento de objetivos mediante la realización de un reconocimiento activo y pasivo. En el Módulo 3, "Recopilación de información e identificación de vulnerabilidades", aprenderá cómo realizar la recopilación de información y el reconocimiento, cómo realizar y analizar análisis de vulnerabilidades y cómo aprovechar los resultados del reconocimiento para prepararse para la fase de explotación. Algunas herramientas y ataques podrían ser perjudiciales y extremadamente disruptivos para los sistemas y la misión de su cliente. Siempre debe limitar el alcance y la invasividad de sus pruebas y herramientas en función del alcance acordado.

Confidencialidad de los datos/información

Los resultados del compromiso de las pruebas de penetración (informe) y la información que puede recopilar y a la que puede tener acceso durante el compromiso de las pruebas de penetración deben protegerse y mantenerse confidenciales. Si esta información se pierde o se comparte, podría ser utilizada por un adversario para causar mucho daño a su cliente.

Riesgos para el profesional

Si no se adhiere a las mejores prácticas descritas en esta lista, podría estar sujeto a diferentes tarifas o multas y, en algunos casos, incluso cargos penales. Por lo tanto, las empresas y las personas que realizan pruebas de penetración profesionales a menudo tienen al menos un seguro de responsabilidad comercial general. Si se dedica al campo de la ciberseguridad (a menudo se ocupa de la gestión de riesgos), debe conocer los riesgos para su empresa y protegerse contra este riesgo.

PROPINA Un buen programa de gobernanza de ciberseguridad examina el entorno, las operaciones, la cultura y el panorama de amenazas de una organización y los compara con los marcos estándar del sector. Debe seguir las leyes locales y nacionales a la hora de definir el alcance de un compromiso de pruebas de penetración basado en el cumplimiento. Un buen programa de gobernanza de la ciberseguridad también alinea el cumplimiento con la tolerancia al riesgo de la organización e incorpora los procesos de negocio. Además, contar con una buena gobernanza y herramientas adecuadas permite medir el progreso en relación con los mandatos y lograr el cumplimiento de las normas.

Para tener un programa de ciberseguridad sólido, debe asegurarse de que los objetivos comerciales tengan en cuenta la tolerancia al riesgo y que las políticas resultantes se apliquen y adopten.

La tolerancia al riesgo es la cantidad de un resultado indeseable que una persona está dispuesta a aceptar a cambio del beneficio potencial. Inherentemente, el riesgo no es ni bueno ni malo. Toda actividad humana conlleva algún riesgo, aunque la cantidad varía mucho. Considere esto: cada vez que se sube a un automóvil, corre el riesgo de lesionarse o incluso de morir. Usted maneja el riesgo manteniendo su automóvil en buen estado de funcionamiento, usando el cinturón de seguridad, obedeciendo las reglas de la carretera, evitando enviar mensajes de texto mientras conduce, conduciendo solo cuando no está ebrio y prestando atención. Toleras los riesgos porque la recompensa por llegar a tu destino supera el daño potencial.

La asunción de riesgos puede ser beneficiosa y, a menudo, es necesaria para avanzar. Por ejemplo, la asunción de riesgos empresariales puede dar sus frutos en innovación y progreso. Dejar de tomar riesgos eliminaría rápidamente la experimentación, la innovación, el desafío, la emoción y la motivación. Sin embargo, la asunción de riesgos puede ser perjudicial cuando está influenciada por la ignorancia, la ideología, la disfunción, la codicia o la venganza. La clave es equilibrar el riesgo con las recompensas tomando decisiones informadas y luego gestionando el riesgo teniendo en cuenta los objetivos de la organización. El proceso de gestión del riesgo requiere que las organizaciones asignen responsabilidades de gestión de riesgos, determinen el apetito y la tolerancia al riesgo de la organización, adopten una metodología estándar para evaluar el riesgo, respondan a los niveles de riesgo y supervisen el riesgo de forma continua.

La gestión de riesgos es el proceso de determinar un nivel aceptable de riesgo (apetito y tolerancia al riesgo), calcular el nivel actual de riesgo (evaluación de riesgos), aceptar el nivel de riesgo (aceptación del riesgo) o tomar medidas para reducir el riesgo a un nivel aceptable (mitigación de riesgos). La aceptación del riesgo indica que la organización está dispuesta a aceptar el nivel de riesgo asociado con una actividad o proceso determinado. Generalmente, pero no siempre, esto significa que el resultado de la evaluación de riesgos está dentro de la tolerancia. Puede haber ocasiones en las que el nivel de riesgo no esté dentro de la tolerancia, pero la organización seguirá optando por aceptar el riesgo porque todas las demás alternativas son inaceptables. Las excepciones siempre deben ser señaladas a la atención de la gerencia y autorizadas por la gerencia ejecutiva o la junta directiva.

Práctica - Demostrar una mentalidad de hacking ético

Laboratorio - Código de Conducta Personal

Instrucciones

Parte 1: Enfoques de investigación para la toma de decisiones éticas

Existen varios enfoques o perspectivas sobre la toma de decisiones éticas, incluida la ética utilitarista, el enfoque de derechos y el enfoque del bien común. Otros modelos de decisión ética incluyen el enfoque de equidad o justicia, así como el enfoque de la virtud.

En esta parte, utilizará Internet para investigar cada modelo o marco de decisión ética y luego formulará el principio subyacente a partir de ese enfoque.

Paso 1: Ética utilitarista de la investigación

Definir el principio subyacente para el enfoque de la ética utilitarista.

El principio subyacente de la ética utilitarista es el principio de utilidad o principio de la máxima felicidad. Este enfoque, desarrollado principalmente por filósofos como Jeremy Bentham y John Stuart Mill, sostiene que una acción es moralmente correcta si produce la mayor cantidad de bienestar o felicidad para el mayor número de personas posible.

En el utilitarismo, la moralidad se evalúa en función de las consecuencias de las acciones, y estas se juzgan buenas o malas según el nivel de felicidad (o reducción de sufrimiento) que generen. Esto implica un enfoque práctico y cuantitativo para la ética, en el cual el objetivo es maximizar el bienestar general de la sociedad.

Paso 2: Investigue el enfoque de derechos para la toma de decisiones éticas.

Definir el principio subyacente del enfoque de derechos para la toma de decisiones éticas.

El principio subyacente del enfoque de derechos en la toma de decisiones éticas es el respeto y protección de los derechos fundamentales de cada individuo. Este enfoque sostiene que ciertas acciones son moralmente correctas o incorrectas en función de si respetan o violan los derechos inherentes de las personas, como el derecho a la vida, a la libertad, a la privacidad, a la dignidad y a la igualdad.

A diferencia del utilitarismo, que se centra en las consecuencias y en el bienestar general, el enfoque de derechos se enfoca en tratar a cada individuo con dignidad y en garantizar que sus derechos sean respetados, independientemente del impacto que pueda tener en la felicidad o utilidad global. Este enfoque es fundamental en teorías éticas como el deontologismo de Kant, donde se sostiene que cada persona debe ser tratada como un fin en sí misma y nunca simplemente como un medio para alcanzar un fin.

Paso 3: Investigar el enfoque del bien común para la toma de decisiones éticas.

Definir el principio subyacente para el enfoque del bien común en la toma de decisiones éticas.