Ethical Hacking

En su fabuloso libro, Carlos Tori  resume el proceso del Hacking Ético en 9 líneas:
1. La organización desea saber si sus sistemas son realmente seguros.
2. Selecciona y contrata un servicio profesional de ethical hacking.
3. Lo autoriza a realizar el trabajo mediante diversas pautas.
4. Planifican estratégicamente cómo se realizará y el alcance que tendrá.
5. El profesional, luego de llevar a cabo los análisis preliminares, realiza su tarea imitando al atacante real, pero sin comprometer dato alguno.
6. Luego, analiza los resultados del security assessment.
7. Confecciona un reporte detallado para que la organización lo evalúe.
8. Soluciona lo vulnerable o mitiga lo potencial para dejar el sistema más seguro. Se reafirma la defensa del sistema en general.
9. Se adoptan políticas de control y seguimiento (normativa).
El hacker ético responde pues a la figura del profesional encargado de encontrar las vulnerabilidades del sistema informático de una empresa mediante el test de intrusión, también conocido como pentest o network security assessment. Como bien detalla Carlos Tori en su libro, el hacker ético ha de cumplir un código de buena conducta básico:
– Hacer su trabajo de la mejor manera posible.
– Dar el mejor reporte.
– Acordar un precio justo.
– Respetar el secreto.
– No hablar mal ni inculpar a un administrador o equipo de programadores.
– No aceptar sobornos.
– No manipular o alterar resultados o análisis.
– Delegar tareas específicas en alguien más capacitado.
– No prometer algo imposible de cumplir.
– Ser responsable en su rol y función.
– Manejar los recursos de modo eficiente.
Anuncios