Establecer y Mantener un Programa de Pruebas de Penetración
Descripción
Establecer y mantener un programa de pruebas de penetración apropiado para el tamaño, complejidad y madurez de la empresa. Las características del programa de pruebas de penetración incluyen alcance, como red, aplicación web, Interfaz de Programación de Aplicaciones (API), servicios alojados y controles de premisas físicas; frecuencia; limitaciones, como horarios aceptables y tipos de ataque excluidos; información de punto de contacto; remediación, como cómo se enrutarán los hallazgos internamente; y requisitos retrospectivos.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de pruebas de seguridad continuas con programas de recompensas por errores, pentesting gestionado y divulgación de vulnerabilidades
HackerOne · Suscripción basada en programa
Plataforma de pruebas de seguridad colaborativas con investigadores verificados, pentesting mejorado con IA y evaluación continua
Synack · Suscripción basada en activos
Plataforma de Pentest como Servicio con pentesters verificados, pruebas programáticas y gestión de hallazgos
Cobalt · Suscripción basada en créditos
Plataforma de gestión continua de superficie de ataque y seguridad ofensiva que combina escaneo automatizado con pentesting dirigido por expertos
Bishop Fox · Suscripción empresarial
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Vulnerabilidades Desconocidas Persisten por Ausencia de Pruebas de Penetración
ConfidencialidadLas vulnerabilidades explotables críticas en la red, aplicaciones y servicios de la empresa permanecen sin descubrir porque no existe un programa de pruebas de penetración para identificarlas proactivamente antes de que lo hagan los atacantes.
Falsa Sensación de Seguridad Solo por Escaneo Automatizado
IntegridadLa organización depende únicamente del escaneo automatizado de vulnerabilidades, que omite cadenas de ataque complejas y debilidades de configuración que solo un programa estructurado de pruebas de penetración descubriría.
Brecha de Cumplimiento por Ausencia de Capacidad de Pruebas de Penetración
IntegridadLa organización no logra cumplir requisitos regulatorios o contractuales para pruebas de penetración porque no se ha establecido un programa con alcance, frecuencia y procesos de remediación definidos.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Programa Establecido de Pruebas de Penetración
Sin un programa de pruebas de penetración que defina alcance, frecuencia, metodología y procesos de remediación, la organización no tiene mecanismo proactivo para descubrir vulnerabilidades explotables antes de que lo hagan los atacantes.
Sin Ruta de Remediación Definida para Hallazgos de Pruebas de Penetración
La ausencia de un programa significa que incluso las pruebas de penetración ad hoc producen hallazgos sin un proceso definido para enrutar, priorizar y rastrear la remediación de vulnerabilidades descubiertas.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |