
Cualquier organización que maneje datos confidenciales debe ser diligente en sus esfuerzos de seguridad, que incluyen pruebas de penetración periódicas. Incluso una pequeña filtración de datos puede resultar en un daño significativo para la reputación y el resultado final de una organización.
Hay dos razones principales por las que las pruebas de penetración periódicas son necesarias para el desarrollo de aplicaciones web seguras:
- Seguridad: Las aplicaciones web evolucionan constantemente y se descubren nuevas vulnerabilidades todo el tiempo. Las pruebas de penetración ayudan a identificar vulnerabilidades que los piratas informáticos podrían explotar y le permiten corregirlas antes de que puedan causar algún daño.
- Cumplimiento: Dependiendo de su industria y del tipo de datos que maneje, es posible que deba cumplir con ciertos estándares de seguridad (p. ej., PCI DSS, NIST, HIPAA). Las pruebas de penetración regulares pueden ayudarlo a verificar que sus aplicaciones web cumplan con estos estándares y evitar sanciones por incumplimiento.
¿Con qué frecuencia debe hacer un Pentest?
Muchas organizaciones, grandes y pequeñas, tener un ciclo de prueba de pluma una vez al año. Pero, ¿cuál es la mejor frecuencia para las pruebas de penetración? ¿Es suficiente una vez al año, o necesita ser más frecuente?
La respuesta depende de varios factores, incluido el tipo de ciclo de desarrollo que tenga, la criticidad de sus aplicaciones web y la industria en la que se encuentre.
Es posible que necesite pruebas de penetración más frecuentes si:
Tiene un ciclo de lanzamiento ágil o continuo
Los ciclos de desarrollo ágiles se caracterizan por ciclos de lanzamiento cortos e iteraciones rápidas. Esto puede dificultar el seguimiento de los cambios realizados en el código base y hace que sea más probable que se introduzcan vulnerabilidades de seguridad.
Si solo realiza pruebas una vez al año, es muy probable que las vulnerabilidades pasen desapercibidas durante largos períodos de tiempo. Esto podría dejar a su organización expuesta a ataques.
Para mitigar este riesgo, los ciclos de pruebas de penetración deben alinearse con el ciclo de desarrollo de la organización. Para aplicaciones web estáticas, las pruebas cada 4 a 6 meses deberían ser suficientes. Pero para las aplicaciones web que se actualizan con frecuencia, es posible que deba realizar pruebas con más frecuencia, por ejemplo, mensualmente o incluso semanalmente.
Sus aplicaciones web son críticas para el negocio
Cualquier sistema que sea esencial para las operaciones de su organización debe recibir atención adicional en lo que respecta a la seguridad. Esto se debe a que una violación de estos sistemas podría tener un impacto devastador en su negocio. Si su organización depende en gran medida de sus aplicaciones web para hacer negocios, cualquier tiempo de inactividad podría generar pérdidas financieras significativas.
Por ejemplo, imagine que el sitio de comercio electrónico de su organización dejó de funcionar durante una hora debido a un ataque DDoS. No solo perdería ventas potenciales, sino que también tendría que lidiar con el costo del ataque y la publicidad negativa.
Para evitar este escenario, es importante asegurarse de que sus aplicaciones web estén siempre disponibles y seguras.
Por lo general, las aplicaciones web no críticas pueden probarse una vez al año, pero las aplicaciones web críticas para el negocio deben probarse con más frecuencia para garantizar que no corran el riesgo de una interrupción importante o pérdida de datos.
Sus aplicaciones web están orientadas al cliente
Si todas sus aplicaciones web son internas, es posible que pueda realizar pruebas de penetración con menos frecuencia. Sin embargo, si sus aplicaciones web son accesibles al público, debe ser más diligente en sus esfuerzos de seguridad.
Las aplicaciones web accesibles al tráfico externo tienen más probabilidades de ser atacadas por atacantes. Esto se debe a que hay una mayor cantidad de vectores de ataque y más puntos de entrada potenciales para que un atacante los explote.
Las aplicaciones web orientadas al cliente también tienden a tener más usuarios, lo que significa que cualquier vulnerabilidad de seguridad se explotará más rápidamente. Por ejemplo, una vulnerabilidad de secuencias de comandos entre sitios (XSS) en una aplicación web externa con millones de usuarios podría explotarse a las pocas horas de ser descubierta.
Para protegerse contra estas amenazas, es importante realizar pruebas de penetración en las aplicaciones web orientadas al cliente con más frecuencia que en las internas. Según el tamaño y la complejidad de la aplicación, es posible que deba realizar una prueba de penetración cada mes o incluso cada semana.
Estás en una industria de alto riesgo
Ciertas industrias tienen más probabilidades de ser objetivo por piratas informáticos debido a la naturaleza sensible de sus datos. Las organizaciones de atención médica, por ejemplo, a menudo son atacadas debido a la información de salud protegida (PHI, por sus siglas en inglés) que poseen.
Si su organización pertenece a una industria de alto riesgo, debería considerar realizar pruebas de penetración con más frecuencia para asegurarse de que sus sistemas sean seguros y cumplan con las normas. Esto ayudará a proteger sus datos y reducir las posibilidades de un incidente de seguridad costoso.
No tiene operaciones de seguridad interna o un equipo de pruebas de penetración
Esto puede parecer contradictorio, pero si no tiene un equipo de seguridad interno, es posible que deba realizar pruebas de penetración con más frecuencia.
Las organizaciones que no cuentan con personal de seguridad dedicado tienen más probabilidades de ser vulnerables a los ataques.
Sin un equipo de seguridad interno, deberá confiar en evaluadores de penetración externos para evaluar la postura de seguridad de su organización.
Según el tamaño y la complejidad de su organización, es posible que deba realizar una prueba de penetración cada mes o incluso cada semana.
Está enfocado en fusiones o adquisiciones
Durante una fusión o adquisición, suele haber mucha confusión y caos. Esto puede dificultar el seguimiento de todos los sistemas y datos que deben protegerse. Como resultado, es importante realizar pruebas de penetración con más frecuencia durante estos tiempos para garantizar que todos los sistemas estén seguros.
Las fusiones y adquisiciones también significan que está agregando nuevas aplicaciones web a la infraestructura de su organización. Estas nuevas aplicaciones pueden tener vulnerabilidades de seguridad desconocidas que podrían poner en riesgo a toda su organización.
En 2016, Marriott adquirió Starwood sin saber que los piratas informáticos habían aprovechado una falla en el sistema de reservas de Starwood dos años antes. Más de 500 millones de registros de clientes se vieron comprometidos. Esto puso a Marriott en problemas con el regulador británico ICO, lo que resultó en 18,4 millones de libras en multas en el Reino Unido. Según Bloomberg, se avecinan más problemas, ya que el gigante hotelero podría “enfrentar hasta $ 1 mil millones en multas regulatorias y costos de litigios”.
Para protegerse contra estas amenazas, es importante realizar pruebas de penetración antes y después de una adquisición. Esto lo ayudará a identificar posibles problemas de seguridad para que puedan solucionarse antes de que se complete la transición.
La importancia de las pruebas de penetración continuas
Si bien las pruebas de penetración periódicas son importantes, ya no son suficientes en el mundo actual. A medida que las empresas confían más en sus aplicaciones web, las pruebas de penetración continuas se vuelven cada vez más importantes.
Hay dos tipos principales de pruebas de penetración: en intervalos de tiempo y continuas.
Las pruebas de penetración tradicionales se realizan en un horario establecido, como una vez al año. Este tipo de pruebas de penetración ya no es suficiente en el mundo actual, ya que las empresas confían más en sus aplicaciones web.
La prueba de penetración continua es el proceso de escanear continuamente sus sistemas en busca de vulnerabilidades. Esto le permite identificar y reparar vulnerabilidades antes de que puedan ser explotadas por atacantes. Las pruebas de penetración continuas le permiten encontrar y corregir problemas de seguridad como suceden en lugar de esperar a una evaluación periódica.
Las pruebas de penetración continuas son especialmente importantes para las organizaciones que tienen un ciclo de desarrollo ágil. Dado que el nuevo código se implementa con frecuencia, existe una mayor posibilidad de que se introduzcan vulnerabilidades de seguridad.
Las pruebas de penetración como modelos de servicio es donde brillan las pruebas de penetración continuas. Outpost24’s Plataforma PTaaS (Penetration-Testing-as-a-Service) permite a las empresas realizar pruebas de penetración continuas con facilidad. La plataforma Outpost24 siempre está actualizada con las últimas amenazas y vulnerabilidades de seguridad de una organización, por lo que puede estar seguro de que sus aplicaciones web son seguras.
- Pruebas de pluma manuales y automatizadas: La plataforma PTaaS de Outpost24 combina pruebas de penetración manuales y automatizadas para brindarle lo mejor de ambos mundos. Esto significa que puede encontrar y corregir vulnerabilidades más rápido y al mismo tiempo obtener los beneficios del análisis experto.
- Proporciona una cobertura completa: La plataforma de Outpost24 cubre todas las vulnerabilidades OWASP Top 10 y más. Esto significa que puede estar seguro de que sus aplicaciones web están protegidas contra las amenazas más recientes.
- es rentable: Con Outpost24, solo paga por los servicios que necesita. Esto hace que sea más asequible realizar pruebas de penetración continuas, incluso para pequeñas empresas.
La línea de fondo
Las pruebas de penetración periódicas son esenciales para el desarrollo seguro de aplicaciones web. Según el tamaño, la industria y el ciclo de desarrollo de su organización, es posible que deba revisar su cronograma de pruebas de penetración.
El ciclo de pruebas de penetración de una vez al año puede ser suficiente para algunas organizaciones, pero para la mayoría no lo es. Para aplicaciones web críticas para el negocio, orientadas al cliente o de alto tráfico, debe considerar la prueba de penetración continua.
Plataforma PTaaS de Outpost24 hace que sea fácil y rentable realizar pruebas de penetración continuas. Contáctenos hoy para obtener más información sobre nuestra plataforma y cómo podemos ayudarlo a proteger sus aplicaciones web.


