IG3

Realizar Pruebas de Penetración Internas Periódicas

Grupo de Control: 18. Pruebas de Penetración

Tipo de Activo: N/A

Función de Seguridad: Identificar

Descripción

Realizar pruebas de penetración internas periódicas basándose en los requisitos del programa, no menos de una vez al año. Las pruebas pueden ser de caja clara u opaca.

Lista de Verificación de Implementación

1

Documentar el estado actual y crear un inventario de referencia

2

Definir los campos de datos y atributos a rastrear

3

Asignar la propiedad y las responsabilidades

4

Establecer la cadencia de revisión y los procedimientos de actualización

Herramientas Recomendadas

HackerOne Forrester Wave Leader, Bug Bounty Platforms 2024

Plataforma de pruebas de seguridad continuas con programas de recompensas por errores, pentesting gestionado y divulgación de vulnerabilidades

HackerOne · Suscripción basada en programa

Synack Forrester Wave Leader, Penetration Testing Services 2024

Plataforma de pruebas de seguridad colaborativas con investigadores verificados, pentesting mejorado con IA y evaluación continua

Synack · Suscripción basada en activos

Cobalt Forrester Wave Strong Performer, Penetration Testing 2024

Plataforma de Pentest como Servicio con pentesters verificados, pruebas programáticas y gestión de hallazgos

Cobalt · Suscripción basada en créditos

Bishop Fox Cosmos Forrester Wave Leader, Penetration Testing Services 2024

Plataforma de gestión continua de superficie de ataque y seguridad ofensiva que combina escaneo automatizado con pentesting dirigido por expertos

Bishop Fox · Suscripción empresarial

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Rutas de Movimiento Lateral No Descubiertas Hasta Brecha Real

Confidencialidad

Un atacante que obtiene acceso inicial interno descubre y explota rutas de movimiento lateral entre segmentos de red que habrían sido identificadas por una prueba de penetración interna.

Escalación Interna de Privilegios a Administrador de Dominio

Confidencialidad

Un atacante escala de una cuenta de usuario estándar a administrador de dominio usando configuraciones incorrectas de Active Directory que una prueba de penetración interna habría descubierto y señalado para remediación.

Amenaza Interna Explota Debilidades Internas

Confidencialidad

Una persona interna maliciosa explota la segmentación interna débil, recursos compartidos de archivos excesivamente permisivos y servicios mal configurados que nunca han sido probados desde la perspectiva de un atacante interno.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Red Interna No Probada desde Perspectiva del Atacante

Sin pruebas de penetración internas, las vulnerabilidades explotables después del acceso inicial como configuraciones incorrectas de Active Directory, segmentación débil y rutas de movimiento lateral permanecen sin descubrir.

Escenario de Asunción de Brecha Nunca Validado

La ausencia de pruebas de penetración internas significa que la organización nunca ha evaluado su postura defensiva bajo la suposición de que un atacante ya ha evadido los controles perimetrales y tiene acceso interno.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Documento	Documentación del inventario o catálogo actual	Mantenido continuamente, revisado trimestralmente
Documento	Documentación de procesos/procedimientos para actividades de identificación	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Pruebas de Penetración

Control 18

Salvaguardas Relacionadas en el Control 18

18.1 Establecer y Mantener un Programa de Pruebas de Penetración

18.2 Realizar Pruebas de Penetración Externas Periódicas

18.3 Remediar Hallazgos de Pruebas de Penetración

18.4 Validar Medidas de Seguridad