Política de Pruebas de Penetración

[ORGANIZACION] deberá realizar pruebas de penetración al menos [PERSONALIZAR: anualmente/semestralmente] y después de cambios significativos en la infraestructura o aplicaciones.

El alcance de las pruebas de penetración deberá incluir: pruebas de penetración de red externa, pruebas de penetración de red interna, pruebas de penetración de aplicaciones web para todas las aplicaciones expuestas a Internet, evaluación de redes inalámbricas y pruebas de ingeniería social (phishing, vishing, físicas).

El programa de pruebas de penetración deberá definirse y mantenerse incluyendo: alcance, frecuencia, metodología, reglas de enfrentamiento y requisitos de informes.

La metodología de pruebas deberá alinearse con marcos reconocidos como PTES, Guía de Pruebas OWASP o NIST SP 800-115.

Las pruebas de penetración deberán ser realizadas por profesionales calificados con certificaciones relevantes (por ejemplo, OSCP, GPEN, CEH, CREST) o experiencia equivalente demostrada.

Las firmas externas de pruebas de penetración deberán contar con seguro de responsabilidad profesional de al menos [PERSONALIZAR: $1M/$5M].

Para entornos IG3: Al menos [PERSONALIZAR: una prueba anual] de penetración deberá ser realizada por una firma externa e independiente (no la misma firma que provea otros servicios de seguridad a [ORGANIZACION]).

Todas las pruebas de penetración deberán regirse por un documento firmado de Reglas de Enfrentamiento (RoE) que especifique: alcance autorizado (sistemas, redes, aplicaciones), actividades prohibidas, ventanas de pruebas, contactos de emergencia, requisitos de manejo de datos para los hallazgos y protecciones legales para los evaluadores.

Las pruebas que pudieran causar interrupción del servicio deberán programarse durante [PERSONALIZAR: ventanas de mantenimiento/horas de menor actividad] con notificación apropiada a las partes interesadas.

Las vulnerabilidades críticas descubiertas durante las pruebas deberán reportarse a [PERSONALIZAR: CISO/Seguridad de TI] inmediatamente, sin esperar al informe final.

Los hallazgos de las pruebas de penetración deberán remediarse de acuerdo con los SLA de la Política de Gestión de Vulnerabilidades.

La remediación de hallazgos Críticos y Altos deberá validarse mediante nuevas pruebas dentro de [PERSONALIZAR: 30/60] días de la remediación reportada.

Los informes de pruebas de penetración deberán clasificarse como Confidenciales y distribuirse solo a destinatarios autorizados.