Este artículo es escrito y contribuido por la empresa de pruebas de penetración Software Secured, un orgulloso socio de Secureframe.

ISO 27001 es uno de los marcos de cumplimiento más populares a nivel mundial. Pero entre contratar consultores, traer auditores, establecer nuevos procesos y herramientas, y poner al día su postura de seguridad, el costo total del cumplimiento aumenta rápidamente. Sin duda, ahora está empezando a preguntarse qué es lo que realmente se requiere y cómo puede aprovechar al máximo cada servicio.

¿Qué requiere ISO 27001 en cuanto a pruebas de penetración y servicios similares? ¿Y cómo puede optar por pruebas de penetración aumentar realmente el retorno de la inversión (ROI) de su cumplimiento con la norma ISO 27001? Desentrañaremos los requisitos y explicaremos los beneficios de las pruebas de penetración a continuación.

¿Qué es la norma ISO 27001?

ISO 27001 es un marco internacional de cumplimiento que demuestra la capacidad de una empresa para proteger y gestionar de forma segura los datos sensibles de sus clientes. El marco ISO 27001 fue creado por la Organización Internacional de Normalización (ISO) en colaboración con la Comisión Electrotécnica Internacional (IEC). Ofrece directrices para construir, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI) que pueda salvaguardar datos sensibles.

Al lograr la certificación ISO 27001, las organizaciones en crecimiento pueden evitar costosos brechas de datos, establecer una diferenciación competitiva, mejorar la infraestructura y los procesos empresariales, y demostrar credibilidad en los mercados globales.

La versión más recientemente revisada de ISO 27001 se lanzó en 2022, lo que significa que todas las empresas que fueron certificadas para la versión anterior (ISO 27001:2013) tienen un período de transición de tres años a la versión más reciente. La nueva versión incluye 11 nuevos controles para organizaciones, personas, activos físicos y tecnologías.

¿Qué es la prueba de penetración?

La prueba de penetración es un enfoque manual y exhaustivo de pruebas de seguridad. Involucra el uso de hackers éticos (también conocidos como hackers de “sombrero blanco”) que intentan ingresar a una aplicación o sistema, encontrar vulnerabilidades e informar sobre estas brechas de seguridad, todo con el fin de ayudar a las empresas a entender y solucionar cualquier problema antes de que lo hagan los hackers reales.

Si bien las pruebas de penetración se realizan típicamente como una evaluación única, las empresas también pueden optar por Pruebas de Penetración como Servicio (PTaaS) que realiza pentests varias veces al año y ofrece servicios complementarios.

Cómo las pruebas de penetración ayudan a las organizaciones a obtener la certificación ISO 27001 y fortalecer su postura de seguridad

Las pruebas de penetración no solo pueden ayudar a su organización a cumplir con múltiples requisitos de ISO 27001, sino que también pueden mejorar su postura general de seguridad. Veamos cómo a continuación.

1. Satisfacer los requisitos de control del Anexo A

Como parte de la obtención de su cumplimiento con ISO 27001, se le pedirá que identifique riesgos y vulnerabilidades en todos los activos y sistemas de información que estén dentro de su alcance de cumplimiento.

Algunos de los controles que las pruebas de penetración pueden ayudarle a cumplir para ISO 27001 incluyen:

• Conjunto de controles A.11, que se ocupa de la seguridad del perímetro físico
• Control A.12.2.1, que se ocupa del malware y código malicioso
• Control A.12.6.1, que le pide que construya un proceso para manejar las vulnerabilidades técnicas rápidamente a medida que surjan.
• Control A.13.2.3, relativo a la protección de la información transmitida digitalmente (en redes internas y sistemas de mensajería electrónica)
• Conjunto de controles A.14.1, que requiere que la información que pasa por redes públicas y en transacciones de servicios esté asegurada.
• Control A.14.2.3, que requiere que las empresas tengan sistemas probados después de cada cambio significativo para asegurarse de que no haya un impacto negativo en el sistema.
• Control A.16.1.3, que trata de la notificación de debilidades del sistema observadas o sospechadas de manera sistemática.
• Control A.18.2.1, que requiere una revisión independiente de sus controles de seguridad.
• Control A.18.2.3, que requiere que las empresas revisen regularmente sus prácticas y controles para garantizar el cumplimiento del marco ISO 27001.

2. Comprender toda su superficie de ataque

Todos los esfuerzos de pruebas de penetración comienzan con una simulación de modelado de amenazas que mapea toda la superficie de ataque de su aplicación, lo que identifica posibles puntos de entrada para un ataque. El modelo de amenaza se puede volver a realizar antes de cada prueba de penetración si ha habido cambios importantes, lo cual está alineado con el Control A.14.2.3.

Otras pruebas de seguridad, como los escaneos automatizados de vulnerabilidades, no necesariamente consideran la lógica empresarial de su aplicación. Esto significa que podrían pasar por alto vulnerabilidades en casos de uso importantes. En promedio, los escáneres automatizados no encontraron 16 vulnerabilidades por contenedor probado. Al trabajar con un probador de penetración, también pueden explicar su razonamiento sobre por qué adoptaron un enfoque de prueba específico, pero lo mismo no se puede decir de las herramientas automatizadas.

3. Encontrar y remediar vulnerabilidades antes de que sean aprovechadas

Al equipo promedio le toma 256 días parchear una vulnerabilidad crítica. Eso es casi nueve meses esperando a que un hacker se tropiece con un problema que tiene una alta probabilidad de ser encontrado y consecuencias extremas para su empresa. Para el 66% de las pequeñas empresas, sufrir una brecha les obligó a cerrar sus puertas dentro de los 6 meses posteriores al incidente.

Alternativamente, una prueba de penetración dura unas pocas semanas. Dentro de cada prueba de penetración, Software Secured encuentra un promedio de 26 vulnerabilidades. Encontrar estas vulnerabilidades antes significa que su equipo también puede comenzar a parchear más rápido.

Una vez que haya parcheado sus vulnerabilidades de seguridad, realizar una nueva prueba validará si su solución fue suficiente. Luego obtendrá un certificado actualizado para mostrar a su auditor y proveedores cuán seguro es. Esto le ayuda a cumplir con el Control A.16.1.3.

4. Evitar el teatro de la seguridad y los falsos positivos

Teatro de la seguridad describe medidas de seguridad que nos hacen sentir que estamos haciendo más por nuestra aplicación de lo que realmente estamos haciendo. Un buen y, desafortunadamente, común ejemplo de teatro de la seguridad es cuando los escáneres de vulnerabilidades automatizados marcan vulnerabilidades como Críticas o Altas, incluso si ese no es el caso. De hecho, solo el 82% de los resultados proporcionados por escáneres de vulnerabilidades automatizados son relevantes.

Por otro lado, los clientes de pruebas de penetración reciben un informe que incluye detalles sobre la replicación y sugerencias de remediación para todas las vulnerabilidades encontradas. Con esta información, no hay posibilidad de que los falsos positivos lleguen al informe final de la prueba de penetración.

Para una capa adicional de certeza, todos los informes de Software Secured pasan por un proceso de aseguramiento de calidad donde al menos otro probador de penetración intenta recrear cada vulnerabilidad identificada para validar que el hallazgo es verdadero y que los pasos de replicación tienen sentido.

5. Reducir el costo de la remediación hasta 100 veces

El costo de parchear una vulnerabilidad de seguridad en la etapa de diseño es aproximadamente $500 por problema. Las vulnerabilidades encontradas en la etapa de prueba son 15 veces más caras que las encontradas en la etapa más temprana del ciclo de vida del desarrollo de software (SDLC). Aún peor, las vulnerabilidades en la etapa de mantenimiento son 100 veces más caras que las encontradas en la etapa de diseño.

Eso significa que la vulnerabilidad promedio persistente en un antiguo producto de software podría costar a tu equipo hasta $50,000 por vulnerabilidad para remediar correctamente. A medida que los sistemas crecen y envejecen, se vuelve más caro y difícil solucionar problemas de seguridad, especialmente cuando las brechas de seguridad están vinculadas a fallos de diseño inseguros cuando la aplicación fue originalmente construida.

Por supuesto, cuanto antes realices la prueba, menor será tu costo de remediación. Con opciones de servicio como Pruebas de Penetración como Servicio (PTaaS), puedes probar tu aplicación hasta 4 veces al año. Esto no solo tiene grandes ahorros de costos en lo que respecta a los esfuerzos de remediación y la demostración de tu madurez en seguridad a los clientes, sino que también te ayuda a cumplir con el Control A.18.2.3, el control general relacionado con verificar regularmente tus sistemas para garantizar la seguridad y el cumplimiento.

6. Demuestra tu postura de seguridad a tu auditor

Obviamente, necesitas alguna forma de demostrar tu postura de seguridad a tu auditor para cumplir con el Control A.16.1.3, que te pide que realices una revisión independiente de tus controles de seguridad. También necesitas tener una forma de informar cada brecha de seguridad de acuerdo con el Control A.14.2.3.

Con las pruebas de penetración, obtendrás una forma sistemática de encontrar vulnerabilidades, registrarlas (con evidencia y pasos para replicar) y documentación para probar todo esto. Hay varios tipos de documentos que puedes obtener de tu proveedor de pruebas de penetración, incluyendo:

• Un informe de prueba de penetración, que tiene todos los detalles sobre cada vulnerabilidad. Esto es principalmente excelente para tus equipos internos.
• Un certificado de prueba de penetración, que es una visión de alto nivel de tu postura de seguridad y no establece los detalles específicos de cada vulnerabilidad. Esto es excelente para compartir con tu auditor o proveedores empresariales.
• Una carta de compromiso, que demuestra que tu empresa está planeando realizar una prueba de penetración en un futuro cercano.

7. Reduce tus costos de seguros de ciberseguridad

El seguro de ciberseguridad (también conocido como seguro de responsabilidad cibernética) es requerido por muchos proveedores que quieren asegurarse de que recibirán el pago si alguna vez experimentas una brecha o ataque. La tarifa actual para el seguro de ciberseguridad es alrededor de $1,500 por año por $1 millón en cobertura, con un deducible de $10,000.

Tenga en cuenta que el costo promedio de un ataque destructivo fue de $5.12M en 2022, lo que significa que necesitará una tasa mucho más alta o una cuenta llena de efectivo para pagar abogados, multas y cubrir costos operativos adicionales en caso de una brecha (suponiendo que los hackers no se roben su dinero también).

Las pruebas de penetración pueden reducir significativamente su riesgo de ataque, lo que a su vez hace que las compañías de seguros de ciberseguridad se sientan mejor al otorgarle una tasa reducida. Demostrar a su compañía de seguros que cumple con sus acuerdos de nivel de servicio (SLA) y que no tiene vulnerabilidades críticas es un buen punto de partida.

8. Mejore la eficiencia del equipo de desarrollo

La primera vez que trabaje con un proveedor de pruebas de penetración puede que no sea tan fluida. Al principio, su equipo de desarrollo puede tener dificultades para ver cómo se construyen las vulnerabilidades en la aplicación y por qué es importante corregirlas (en lugar de producir nuevo código para ayudar a la empresa a aumentar los ingresos).

Con el tiempo, los desarrolladores obtendrán información sobre el “por qué” y el “cómo” ocurren las vulnerabilidades. Cuando se trate de escribir nuevo código, podrán usar este nuevo conocimiento y, a su vez, reducir la cantidad de vulnerabilidades que aparecen en cada una de las fases de diseño, prueba y mantenimiento del SDLC.

Cuando un equipo de desarrollo sabe que sus esfuerzos de remediación de seguridad están ayudando a la empresa con una iniciativa comercial principal, como lograr la ISO 27001, ayuda a formar campeones de seguridad y muestra a todos los miembros del equipo cómo su trabajo impacta directamente en el crecimiento empresarial general de la empresa.

Cómo Secureframe + Software Secured pueden ayudar

Cuando está obteniendo cumplimiento, hay muchas cosas sucediendo a la vez. Y los gastos asociados son difíciles de digerir, especialmente para una pequeña empresa que solo está tratando de hacer crecer su lista de clientes empresariales.

Las pruebas de penetración pueden ayudarle a aumentar el ROI de su cumplimiento ISO 27001 al permitirle cumplir con al menos 9 controles requeridos, mejorar la eficiencia general de su equipo y darle la información que necesita para hacer segura su aplicación. Conozca más sobre la opción Pentest 360 de Software Secured, que es la preferida por los proveedores que buscan el cumplimiento ISO 27001 por primera vez.

La automatización del cumplimiento puede reducir significativamente otros gastos asociados con el cumplimiento ISO 27001 al hacer que todo el proceso sea más eficiente.

La plataforma de automatización de cumplimiento de seguridad y privacidad de Secureframe agiliza el proceso de construir un SGSI compliant, redactar políticas, recopilar evidencias y gestionar riesgos para que su equipo pueda centrarse en proyectos de alta prioridad. Y nuestro equipo de expertos en cumplimiento internos ahorra a nuestros clientes miles de dólares en honorarios de consultores y evaluaciones de preparación. Solicite una demo hoy.