Pruebas de Penetración para el cumplimiento

Las Pruebas de penetración para el cumplimiento, es una condición para cumplir con normativas de seguridad de la información como ISO 27001, PCI DSS, SOC 2 y leyes o regulaciones como HIPAA, FINRA, entre otras. Las pruebas de penetración son uno de los tipos más eficientes de evaluaciones de seguridad informática que las organizaciones pueden usar para validar sus riesgos y mitigarlos.

Cada día el incremento de amenazas informáticas es más frecuente, por lo tato es mucho más obligatorio monitorizar de forma regular todos los diferentes sistemas informáticos de tu empresa y prevenir de esta manera cualquier tipo de ataque o vulnerabilidad tecnológica que le pueda causar daños irreparables.

Pruebas de Penetracion para el cumplimiento
Pruebas de Penetración para el cumplimiento
Índice

Pruebas de penetración para el cumplimiento con expertos

En una prueba de penetración, un profesional experto calificado intenta escalar el muro de ciberseguridad que ha construido una empresa y descubrir de esta manera sus puntos más débiles. Estas pruebas son vitales para la seguridad de una organización, razón por la cual son requeridas por tantas regulaciones de datos.

A continuación, algunas de las regulaciones en las que las pruebas de penetración pueden ayudar a cumplir con dichas normas. (En DragonJAR) realizamos con expertos profesionales certificados, las pruebas de penetración para mitigar las amenazas y cumplirlas.

Las pruebas de penetración son muy necesarias para determinar si las vulnerabilidades identificadas durante este proceso suponen un verdadero riesgo para una organización y se cumplan las normas que cada empresa debe mantener.

Test de penetración para PCI DSS

De acuerdo con el PCI DSS, las organizaciones deben utilizar los servicios de seguridad informática como Pentesting para determinar si el acceso no autorizado a sus sistemas u otras actividades maliciosas es posible.

El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de estándares de seguridad diseñados para garantizar que las empresas que aceptan procesan, almacenan o transmiten información de tarjetas de crédito mantienen un entorno seguro.

El requisito 11 de PCI DSS 3.2.1 exige específicamente la realización de pruebas de penetración periódicas. Las organizaciones que se encuentran dentro del alcance de PCI DSS deben realizar pruebas de penetración internas y externas al menos una vez al año, o después de cualquier cambio significativo en la infraestructura.

Pentesting para el cumplimiento de HIPAA

HIPAA es la Ley de Portabilidad y Responsabilidad del Seguro Médico. Requiere que los profesionales de la salud protejan la información de salud protegida (PHI) almacenada electrónicamente mediante el uso de medidas de seguridad administrativas, físicas y técnicas adecuadas para garantizar la confidencialidad y la seguridad de la información.

Estrictamente hablando, HIPAA no requiere una prueba de penetración o un análisis de vulnerabilidad. Sin embargo, requiere un análisis de riesgo que, efectivamente, requiere que las entidades cubiertas prueben sus controles de seguridad.

Sus requisitos de prueba de penetración permiten evaluaciones técnicas y no técnicas de seguridad a través de expertos de la seguridad Informática, cuando se considera razonable y apropiado.

HIPAA requiere que los proveedores de atención médica prueben regularmente la seguridad de los datos o enfrenten multas cuantiosas.

Pruebas de penetración para el cumplimiento de FINRA

FINRA establece las reglas de ciberseguridad para las organizaciones financieras, como las casas de bolsa, que deben cumplir con la Ley de Bolsa de Valores de 1933.

FINRA realiza revisiones detalladas de los controles efectivos de seguridad de la información en las empresas financieras. Recomienda realizar pruebas de penetración tanto de forma regular como después de eventos clave, como cambios significativos en la infraestructura o los controles de acceso de una empresa.

La utilidad de las pruebas de penetración depende menos del tamaño de la empresa y mucho más de su modelo comercial y su infraestructura tecnológica. También las pruebas son muy relevantes para empresas que brindan acceso en línea a las cuentas de los clientes.

Pruebas de penetración para SWIFT CSF

El Programa de seguridad del cliente (CSP) de SWIFT es un marco diseñado para ayudar a mejorar la seguridad del sistema de comunicaciones interbancarias de SWIFT, así como de las instituciones financieras que lo utilizan para enviar y recibir datos de transacciones financieras.

SWIFT CSF contiene una gama de controles obligatorios y de asesoramiento diseñados para ayudar a las organizaciones a proteger su entorno, restringir el acceso a datos confidenciales y detectar y responder a las amenazas.

El Principio 2 del CSP requiere que las organizaciones reduzcan su superficie de ataque y gestionen las vulnerabilidades.

SWIFT Control 7.3 requiere que las instituciones financieras realicen pruebas de penetración para identificar brechas de seguridad. Las pruebas de penetración de la aplicación, el host y la red deben realizarse anualmente.

 Ley NY SHIELD dentro de las pruebas de pentesting

Nueva York aprobó la Ley Stop Hacks and Enhance Electronic Data Security (SHIELD) a partir de marzo de 2020.

La Ley NY SHIELD exige que las empresas desarrollen, implementen y mantengan "protecciones razonables para proteger la seguridad, la confidencialidad y la integridad" de los datos de los residentes de Nueva York, incluidas las protecciones administrativas, técnicas y físicas.

Las pruebas de penetración son una forma de demostrar que se tomaron medidas razonables para proteger los datos.

Pruebas para NIS

La Directiva de Redes y Sistemas de Información, más conocida como Directiva NIS (o Regulaciones NIS en el Reino Unido), es una legislación paneuropea diseñada para mejorar la seguridad y la resiliencia de la infraestructura y los servicios críticos.

NIS se aplica a los operadores de servicios esenciales (OES), como los proveedores de energía, transporte, servicios públicos y atención médica, así como a los proveedores de servicios digitales relevantes (RDSP), incluidos los mercados en línea, las agencias de búsqueda en línea y los servicios de computación en la nube.

No existe un requisito específico dentro de la Directiva NIS o las Regulaciones NIS que exija pruebas de penetración. Pero para que las organizaciones gestionen de forma eficaz los riesgos de seguridad y se protejan contra los ataques cibernéticos, las pruebas de penetración son esenciales para cumplir los objetivos de NIS.

Pruebas para SOC 2

Una auditoria de los controles de Servicio y Organización, SOC 2, como estándar internacional ayuda a evaluar los diferentes controles de seguridad de un proveedor y las posibles amenazas de ciberseguridad que le pueden afectar.

La necesidad de realizar una auditoria SOC 2 aparece al considerar que cualquier proveedor de servicios en especial los de carácter tecnológico, pueden representar una amenaza para sus usuarios y la empresa que recibe dicho servicio necesita tener confianza en que no va a sufrir de ninguna afectación.

La ciberseguridad por lo tanto se ha convertido en una parte critica de la gestión de riesgos de los proveedores, por ello una auditoria SOC 2 es una de las formas de evaluar las amenazas de ciberseguridad.

Pruebas de penetración para el cumplimiento de la privacidad de datos

Las leyes de privacidad de datos especifican cómo se deben recopilar, almacenar y compartir los datos de las personas con terceros.

El objetivo es brindar a las personas protección contra el uso indebido de su información personal y el intercambio ilimitado de su información personal sin consentimiento informado.

Las pruebas de penetración son un componente clave del cumplimiento de la privacidad de datos, ya que permiten a las organizaciones garantizar a los ciudadanos la seguridad de sus datos, según lo exigen las leyes de privacidad.

GDPR establece que las empresas deben probar y evaluar periódicamente la eficacia de las medidas técnicas adoptadas por las empresas y organizaciones que garantizan la seguridad de los datos de acuerdo al artículo 32 GDPR.

Asimismo, la LGPD obliga a las empresas a garantizar la seguridad de los datos personales (artículo 47 LGPD).

Se consideran datos personales de acuerdo a la o Ley 1581 de 2012, aquellos como, teléfono, edad, dirección personal o laboral, estado civil, trayectoria académica, laboral, o profesional, entre otros.

Las pruebas de penetración permiten a las organizaciones que están sujetas a tales leyes de privacidad identificar vías que podrían permitir compromisos de datos, para que puedan remediarse.

Si te interesa analizar las pruebas de penetración centradas en GDPR, no dudes en ponerte en contacto con nuestros expertos en seguridad.

Pruebas de penetración para el cumplimiento de la norma ISO 27001

El estándar ISO 27001 detalla un punto de acción muy específico para que las organizaciones aseguren sus activos, que abarca una serie de controles de seguridad.

Como parte del proceso de gestión de riesgos en ISO 27001, las pruebas de penetración se pueden utilizar para validar que los controles de seguridad implementados funcionan según lo diseñado.

Específicamente, el estándar establece en A.12.6.1 que la información sobre las vulnerabilidades técnicas deben obtenerse de forma oportuna y corregirse para abordar el riesgo asociado. Las pruebas de penetración proporcionan la visibilidad exigida por la norma. En resumen las pruebas de penetración te ayudan a cumplir con los requisitos de evaluación de la ISO 27001.

Las normas y las leyes como requisitos de protección de todos

Tanto los consumidores como los gobiernos están cada vez más preocupados por las amenazas que la ciberdelincuencia puede representar para la industria, la seguridad nacional y nuestra vida cotidiana.

Como resultado, las agencias reguladoras tanto públicas como privadas están estableciendo más pautas y exigiendo más pruebas para proteger la infraestructura de la Tecnología de la Información - TI.

Si dicha infraestructura es flexible, confiable y segura, permite a las empresas y organizaciones cumplir con sus objetivos y tener una importante ventaja competitiva en los diferentes mercados.

Las pruebas de penetración pueden ayudar a proteger los activos de misión crítica y, a su vez, evitar pérdidas financieras e interrupciones. Ayudan con el cumplimiento, pero lo que es más importante, ayudan a proteger a las empresas y a los clientes a los que sirven.

Otras normas y leyes que se pueden destacar y proteger tu información

  • Ley Fintech
  • BS 7799
  • ISO 17799
  • BCRA
  • COBIT
  • COSO
  • NIST
  • ITIL
  • CMM

Para obtener más información sobre las pruebas de penetración o Pentesting, o requiera asistencia u otros servicios de ciberseguridad, póngase en contacto con nuestros expertos quienes le brindaran las mejores soluciones para cumplir con los diferentes estándares de seguridad.

Subir