{"id":594676,"date":"2023-01-27T02:09:29","date_gmt":"2023-01-27T02:09:29","guid":{"rendered":"https:\/\/teknomers.com\/es\/es-suficiente-la-prueba-de-penetracion-una-vez-al-ano-para-su-organizacion\/"},"modified":"2023-01-27T02:09:31","modified_gmt":"2023-01-27T02:09:31","slug":"es-suficiente-la-prueba-de-penetracion-una-vez-al-ano-para-su-organizacion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/es-suficiente-la-prueba-de-penetracion-una-vez-al-ano-para-su-organizacion\/","title":{"rendered":"\u00bfEs suficiente la prueba de penetraci\u00f3n una vez al a\u00f1o para su organizaci\u00f3n?"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Cualquier organizaci\u00f3n que maneje datos confidenciales debe ser diligente en sus esfuerzos de seguridad, que incluyen pruebas de penetraci\u00f3n peri\u00f3dicas.  Incluso una peque\u00f1a filtraci\u00f3n de datos puede resultar en un da\u00f1o significativo para la reputaci\u00f3n y el resultado final de una organizaci\u00f3n.<\/p>\n<p>Hay dos razones principales por las que las pruebas de penetraci\u00f3n peri\u00f3dicas son necesarias para el desarrollo de aplicaciones web seguras:<\/p>\n<ul>\n<li><strong>Seguridad:<\/strong> Las aplicaciones web evolucionan constantemente y se descubren nuevas vulnerabilidades todo el tiempo.  Las pruebas de penetraci\u00f3n ayudan a identificar vulnerabilidades que los piratas inform\u00e1ticos podr\u00edan explotar y le permiten corregirlas antes de que puedan causar alg\u00fan da\u00f1o.<\/li>\n<li><strong>Cumplimiento: <\/strong>Dependiendo de su industria y del tipo de datos que maneje, es posible que deba cumplir con ciertos est\u00e1ndares de seguridad (p. ej., PCI DSS, NIST, HIPAA).  Las pruebas de penetraci\u00f3n regulares pueden ayudarlo a verificar que sus aplicaciones web cumplan con estos est\u00e1ndares y evitar sanciones por incumplimiento.<\/li>\n<\/ul>\n<h2 style=\"text-align: left;\">\u00bfCon qu\u00e9 frecuencia debe hacer un Pentest?<\/h2>\n<p>Muchas organizaciones, grandes y peque\u00f1as, <a rel=\"nofollow noopener\" href=\"https:\/\/www.helpnetsecurity.com\/2021\/04\/29\/penetration-testing-blind-spots\/\" target=\"_blank\">tener un ciclo de prueba de pluma una vez al a\u00f1o<\/a>.  Pero, \u00bfcu\u00e1l es la mejor frecuencia para las pruebas de penetraci\u00f3n?  \u00bfEs suficiente una vez al a\u00f1o, o necesita ser m\u00e1s frecuente?<\/p>\n<p>La respuesta depende de varios factores, incluido el tipo de ciclo de desarrollo que tenga, la criticidad de sus aplicaciones web y la industria en la que se encuentre.<\/p>\n<p><strong>Es posible que necesite pruebas de penetraci\u00f3n m\u00e1s frecuentes si:<\/strong><\/p>\n<h3 style=\"text-align: left;\">Tiene un ciclo de lanzamiento \u00e1gil o continuo<\/h3>\n<p>Los ciclos de desarrollo \u00e1giles se caracterizan por ciclos de lanzamiento cortos e iteraciones r\u00e1pidas.  Esto puede dificultar el seguimiento de los cambios realizados en el c\u00f3digo base y hace que sea m\u00e1s probable que se introduzcan vulnerabilidades de seguridad.<\/p>\n<p>Si solo realiza pruebas una vez al a\u00f1o, es muy probable que las vulnerabilidades pasen desapercibidas durante largos per\u00edodos de tiempo.  Esto podr\u00eda dejar a su organizaci\u00f3n expuesta a ataques.<\/p>\n<p>Para mitigar este riesgo, los ciclos de pruebas de penetraci\u00f3n deben alinearse con el ciclo de desarrollo de la organizaci\u00f3n.  Para aplicaciones web est\u00e1ticas, las pruebas cada 4 a 6 meses deber\u00edan ser suficientes.  Pero para las aplicaciones web que se actualizan con frecuencia, es posible que deba realizar pruebas con m\u00e1s frecuencia, por ejemplo, mensualmente o incluso semanalmente.<\/p>\n<h3 style=\"text-align: left;\">Sus aplicaciones web son cr\u00edticas para el negocio<\/h3>\n<p>Cualquier sistema que sea esencial para las operaciones de su organizaci\u00f3n debe recibir atenci\u00f3n adicional en lo que respecta a la seguridad.  Esto se debe a que una violaci\u00f3n de estos sistemas podr\u00eda tener un impacto devastador en su negocio.  Si su organizaci\u00f3n depende en gran medida de sus aplicaciones web para hacer negocios, cualquier tiempo de inactividad podr\u00eda generar p\u00e9rdidas financieras significativas.<\/p>\n<p>Por ejemplo, imagine que el sitio de comercio electr\u00f3nico de su organizaci\u00f3n dej\u00f3 de funcionar durante una hora debido a un ataque DDoS.  No solo perder\u00eda ventas potenciales, sino que tambi\u00e9n tendr\u00eda que lidiar con el costo del ataque y la publicidad negativa.<\/p>\n<p>Para evitar este escenario, es importante asegurarse de que sus aplicaciones web est\u00e9n siempre disponibles y seguras.<\/p>\n<p>Por lo general, las aplicaciones web no cr\u00edticas pueden probarse una vez al a\u00f1o, pero las aplicaciones web cr\u00edticas para el negocio deben probarse con m\u00e1s frecuencia para garantizar que no corran el riesgo de una interrupci\u00f3n importante o p\u00e9rdida de datos.<\/p>\n<h3 style=\"text-align: left;\">Sus aplicaciones web est\u00e1n orientadas al cliente<\/h3>\n<p>Si todas sus aplicaciones web son internas, es posible que pueda realizar pruebas de penetraci\u00f3n con menos frecuencia.  Sin embargo, si sus aplicaciones web son accesibles al p\u00fablico, debe ser m\u00e1s diligente en sus esfuerzos de seguridad. <\/p>\n<p>Las aplicaciones web accesibles al tr\u00e1fico externo tienen m\u00e1s probabilidades de ser atacadas por atacantes.  Esto se debe a que hay una mayor cantidad de vectores de ataque y m\u00e1s puntos de entrada potenciales para que un atacante los explote.<\/p>\n<p>Las aplicaciones web orientadas al cliente tambi\u00e9n tienden a tener m\u00e1s usuarios, lo que significa que cualquier vulnerabilidad de seguridad se explotar\u00e1 m\u00e1s r\u00e1pidamente.  Por ejemplo, una vulnerabilidad de secuencias de comandos entre sitios (XSS) en una aplicaci\u00f3n web externa con millones de usuarios podr\u00eda explotarse a las pocas horas de ser descubierta.<\/p>\n<p>Para protegerse contra estas amenazas, es importante realizar pruebas de penetraci\u00f3n en las aplicaciones web orientadas al cliente con m\u00e1s frecuencia que en las internas.  Seg\u00fan el tama\u00f1o y la complejidad de la aplicaci\u00f3n, es posible que deba realizar una prueba de penetraci\u00f3n cada mes o incluso cada semana.<\/p>\n<h3 style=\"text-align: left;\">Est\u00e1s en una industria de alto riesgo<\/h3>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.statista.com\/statistics\/221293\/cyber-crime-target-industries\/\" target=\"_blank\">Ciertas industrias tienen m\u00e1s probabilidades de ser objetivo<\/a> por piratas inform\u00e1ticos debido a la naturaleza sensible de sus datos.  Las organizaciones de atenci\u00f3n m\u00e9dica, por ejemplo, a menudo son atacadas debido a la informaci\u00f3n de salud protegida (PHI, por sus siglas en ingl\u00e9s) que poseen.<\/p>\n<p>Si su organizaci\u00f3n pertenece a una industria de alto riesgo, deber\u00eda considerar realizar pruebas de penetraci\u00f3n con m\u00e1s frecuencia para asegurarse de que sus sistemas sean seguros y cumplan con las normas.  Esto ayudar\u00e1 a proteger sus datos y reducir las posibilidades de un incidente de seguridad costoso.<\/p>\n<h3 style=\"text-align: left;\">No tiene operaciones de seguridad interna o un equipo de pruebas de penetraci\u00f3n<\/h3>\n<p>Esto puede parecer contradictorio, pero si no tiene un equipo de seguridad interno, es posible que deba realizar pruebas de penetraci\u00f3n con m\u00e1s frecuencia. <\/p>\n<p>Las organizaciones que no cuentan con personal de seguridad dedicado tienen m\u00e1s probabilidades de ser vulnerables a los ataques.<\/p>\n<p>Sin un equipo de seguridad interno, deber\u00e1 confiar en evaluadores de penetraci\u00f3n externos para evaluar la postura de seguridad de su organizaci\u00f3n.<\/p>\n<p>Seg\u00fan el tama\u00f1o y la complejidad de su organizaci\u00f3n, es posible que deba realizar una prueba de penetraci\u00f3n cada mes o incluso cada semana.<\/p>\n<h3 style=\"text-align: left;\">Est\u00e1 enfocado en fusiones o adquisiciones<\/h3>\n<p>Durante una fusi\u00f3n o adquisici\u00f3n, suele haber mucha confusi\u00f3n y caos.  Esto puede dificultar el seguimiento de todos los sistemas y datos que deben protegerse.  Como resultado, es importante realizar pruebas de penetraci\u00f3n con m\u00e1s frecuencia durante estos tiempos para garantizar que todos los sistemas est\u00e9n seguros.<\/p>\n<p>Las fusiones y adquisiciones tambi\u00e9n significan que est\u00e1 agregando nuevas aplicaciones web a la infraestructura de su organizaci\u00f3n.  Estas nuevas aplicaciones pueden tener vulnerabilidades de seguridad desconocidas que podr\u00edan poner en riesgo a toda su organizaci\u00f3n.<\/p>\n<p>En 2016, Marriott adquiri\u00f3 Starwood sin saber que los piratas inform\u00e1ticos hab\u00edan aprovechado una falla en el sistema de reservas de Starwood dos a\u00f1os antes.  M\u00e1s de 500 millones de registros de clientes se vieron comprometidos.  Esto puso a Marriott en problemas<a rel=\"nofollow noopener\" href=\"https:\/\/www.reuters.com\/article\/us-marriott-intnl-ico-idUSKBN27F1LH\" target=\"_blank\"> con el regulador brit\u00e1nico ICO<\/a>, lo que result\u00f3 en 18,4 millones de libras en multas en el Reino Unido.  Seg\u00fan Bloomberg, se avecinan m\u00e1s problemas, ya que el gigante hotelero podr\u00eda &#8220;enfrentar hasta $ 1 mil millones en multas regulatorias y costos de litigios&#8221;.<\/p>\n<p>Para protegerse contra estas amenazas, es importante realizar pruebas de penetraci\u00f3n antes y despu\u00e9s de una adquisici\u00f3n.  Esto lo ayudar\u00e1 a identificar posibles problemas de seguridad para que puedan solucionarse antes de que se complete la transici\u00f3n.<\/p>\n<h2 style=\"text-align: left;\">La importancia de las pruebas de penetraci\u00f3n continuas<\/h2>\n<p>Si bien las pruebas de penetraci\u00f3n peri\u00f3dicas son importantes, ya no son suficientes en el mundo actual.  A medida que las empresas conf\u00edan m\u00e1s en sus aplicaciones web, las pruebas de penetraci\u00f3n continuas se vuelven cada vez m\u00e1s importantes.<\/p>\n<p><strong>Hay dos tipos principales de pruebas de penetraci\u00f3n: en intervalos de tiempo y continuas.<\/strong><\/p>\n<p>Las pruebas de penetraci\u00f3n tradicionales se realizan en un horario establecido, como una vez al a\u00f1o.  Este tipo de pruebas de penetraci\u00f3n ya no es suficiente en el mundo actual, ya que las empresas conf\u00edan m\u00e1s en sus aplicaciones web.<\/p>\n<p>La prueba de penetraci\u00f3n continua es el proceso de escanear continuamente sus sistemas en busca de vulnerabilidades.  Esto le permite identificar y reparar vulnerabilidades antes de que puedan ser explotadas por atacantes.  Las pruebas de penetraci\u00f3n continuas le permiten encontrar y corregir problemas de seguridad <em>como suceden<\/em> en lugar de esperar a una evaluaci\u00f3n peri\u00f3dica.<\/p>\n<p>Las pruebas de penetraci\u00f3n continuas son especialmente importantes para las organizaciones que tienen un ciclo de desarrollo \u00e1gil.  Dado que el nuevo c\u00f3digo se implementa con frecuencia, existe una mayor posibilidad de que se introduzcan vulnerabilidades de seguridad.<\/p>\n<p>Las pruebas de penetraci\u00f3n como modelos de servicio es donde brillan las pruebas de penetraci\u00f3n continuas.  Outpost24&#8217;s <a rel=\"nofollow noopener\" href=\"https:\/\/outpost24.com\/products\/web-application-security\/pentest-as-a-service?utm_campaign=na_thehackernews&amp;utm_source=thehackernews&amp;utm_medium=referral&amp;utm_term=sponsored&amp;utm_content=article\" target=\"_blank\">Plataforma PTaaS (Penetration-Testing-as-a-Service) <\/a>permite a las empresas realizar pruebas de penetraci\u00f3n continuas con facilidad.  La plataforma Outpost24 siempre est\u00e1 actualizada con las \u00faltimas amenazas y vulnerabilidades de seguridad de una organizaci\u00f3n, por lo que puede estar seguro de que sus aplicaciones web son seguras.<\/p>\n<ul>\n<li><strong>Pruebas de pluma manuales y automatizadas:<\/strong> La plataforma PTaaS de Outpost24 combina pruebas de penetraci\u00f3n manuales y automatizadas para brindarle lo mejor de ambos mundos.  Esto significa que puede encontrar y corregir vulnerabilidades m\u00e1s r\u00e1pido y al mismo tiempo obtener los beneficios del an\u00e1lisis experto.<\/li>\n<li><strong>Proporciona una cobertura completa: <\/strong>La plataforma de Outpost24 cubre todas las vulnerabilidades OWASP Top 10 y m\u00e1s.  Esto significa que puede estar seguro de que sus aplicaciones web est\u00e1n protegidas contra las amenazas m\u00e1s recientes.<\/li>\n<li><strong>es rentable<\/strong>: Con Outpost24, solo paga por los servicios que necesita.  Esto hace que sea m\u00e1s asequible realizar pruebas de penetraci\u00f3n continuas, incluso para peque\u00f1as empresas.<\/li>\n<\/ul>\n<h2 style=\"text-align: left;\">La l\u00ednea de fondo<\/h2>\n<p>Las pruebas de penetraci\u00f3n peri\u00f3dicas son esenciales para el desarrollo seguro de aplicaciones web.  Seg\u00fan el tama\u00f1o, la industria y el ciclo de desarrollo de su organizaci\u00f3n, es posible que deba revisar su cronograma de pruebas de penetraci\u00f3n.<\/p>\n<p>El ciclo de pruebas de penetraci\u00f3n de una vez al a\u00f1o puede ser suficiente para algunas organizaciones, pero para la mayor\u00eda no lo es.  Para aplicaciones web cr\u00edticas para el negocio, orientadas al cliente o de alto tr\u00e1fico, debe considerar la prueba de penetraci\u00f3n continua.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/outpost24.com\/products\/web-application-security\/pentest-as-a-service?utm_campaign=na_thehackernews&amp;utm_source=thehackernews&amp;utm_medium=referral&amp;utm_term=sponsored&amp;utm_content=article\" target=\"_blank\">Plataforma PTaaS de Outpost24<\/a> hace que sea f\u00e1cil y rentable realizar pruebas de penetraci\u00f3n continuas.  Cont\u00e1ctenos hoy para obtener m\u00e1s informaci\u00f3n sobre nuestra plataforma y c\u00f3mo podemos ayudarlo a proteger sus aplicaciones web.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/is-once-yearly-pen-testing-enough-for.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cualquier organizaci\u00f3n que maneje datos confidenciales debe ser diligente en sus esfuerzos de seguridad, que incluyen pruebas de<\/p>\n","protected":false},"author":1,"featured_media":594677,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2283,4661,4664,4662,4668,4667,4654,4658,4659,4653,4655,3516,18,86770,4663,695,4666,4665,1961,158,979,4660],"class_list":["post-594676","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ano","tag-ataques-ciberneticos","tag-como-hackear","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-organizacion","tag-para","tag-penetracion","tag-programa-malicioso-ransomware","tag-prueba","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-suficiente","tag-una","tag-vez","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/594676","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=594676"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/594676\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/594677"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=594676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=594676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=594676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}