Un pentesting puede ser la respuesta cuando, al hablar de ciberseguridad con clientes, amigos, familiares… nos pregunten ¿Y por qué me van a atacar a mí, si no soy nadie?

Esta es una idea bastante extendida por la cual muchas empresas pequeñas y no tan pequeñas se despreocupan del impacto que puede llegar a tener un incidente de ciberseguridad, pero ¿es eso realmente cierto?

De acuerdo con el Small Business Trends, el 43% de los ciberataques afectan a pequeños negocios, de los cuales el 60% de ellos, en los siguientes seis meses, tiene que acabar cerrando como consecuencia del ciberataque.

Nos gustaría creer que los únicos involucrados en ciberataques son solo grandes empresas, pero, por desgracia, cada día vemos que son más las empresas que se ven obligadas a contactar con nosotros una vez han tenido un incidente grave en sus sistemas informáticos.
Ya no entramos a hablar de aquellas que puedan estar actualmente comprometidas sin el conocimiento de su propia organización interna.

El motivo de aumento de ataques en general es debido a que se trata de un negocio cada vez más lucrativo y los ciberdelincuentes ya no se limitan a elegir un objetivo en concreto.
pentesting Global TechnologyLos atacantes hoy en día disponen de una serie de herramientas que les permiten ir escaneando la red y explotar de manera automatizada servicios vulnerables, sin pararse a mirar si quien está detrás de este servicio es una empresa grande, pequeña o un particular.
Si luego resulta que esa información a la que se ha accedido y robado/cifrado es importante; ya pagarán por ella…

El test de intrusión o pentest, aparece como respuesta para acabar con todas las dudas expuestas anteriormente, aspecto este que ya se aborda en el artículo test de intrusión para estar libres de ciberataques de nuestro blog.

Cada vez son más las empresas que se plantean si contratar un pentesting es algo necesario, si el coste/eficacia de este proceso es realmente útil para una empresa como la suya.

Como ya empezaba a apuntar al comienzo de este artículo, independientemente del tamaño de la empresa, esta puede ser susceptible de ataques que le pueden llegar a suponer una parada de tiempo indefinido de la producción, una pérdida de reputación corporativa y valor de la marca o incluso una pérdida irreparable como pueda ser los datos de clientes y proveedores.

Entender el estado en el que se encuentra la infraestructura informática en la empresa es crucial para poder valorar con objetividad el riesgo que se está dispuesto a asumir.
Como decía William Thomson “Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre” y en este aspecto, la seguridad de la información NO es una excepción.

Hay diferentes maneras para tener una imagen del estado en que se encuentra la infraestructura informática de la empresa, como por ejemplo: la realización de un análisis de vulnerabilidades o un test de intrusión (pentest).

Existen varios factores que influyen a la hora de dibujar esa imagen que pueden hacer que ésta se encuentre más o menos distorsionada, como puede ser: la calidad de los auditores, el tiempo que se le dedica a la auditoría, las herramientas que se utilizan…

Uno de los métodos más eficaces y fieles para poder tener una imagen nítida de en qué estado se encuentra dicha infraestructura informática de la empresa, sería metiéndose en la mente de un atacante; para ello es conveniente tener bien procedimentada una metodología para plantearse qué serie de acciones ofensivas tomaría un atacante real.

En los últimos años muchas empresas TIC han empezado a ver un marco de negocio en la ciberseguridad, y venden sus servicios como expertos auditores en el ámbito de la ciberseguridad a un precio muy asequible (¡Cuidado con esto!).

Si finalmente te has convencido de que quieres contratar un servicio de test de intrusión, te recomendamos que selecciones una empresa especializada en ciberseguridad, habida cuenta de que las herramientas utilizadas en el diagnóstico sobre los sistemas informáticos y la profesionalidad de sus técnicos son determinantes para llevar a cabo una imagen realista de tu infraestructura de seguridad que detecte las amenazas reales que puedan existir.

En conclusión, como ha podido verse, invertir en seguridad no puede ser entendido como un privilegio de determinadas empresas, sino como una necesidad más para afrontar su negocio, independientemente del tamaño de la empresa.